Chương 1: Gidi thiéu 18027001 Chương nảy sẽ tập trung giới thiệu khái niém 18027001, cấu trúc, nội dung, các diền khoản phải tuần thủ khi áp dụng T8O27001. - Chương 2: Khảo sát doanh nghiệp SME cụ thể về bảo dám an toàn thông tin tưởng Chính phủ với doanh nghiệp 5 Chương này sẽ chọn ra một doanh nghiệp SMIE tiêu biểu trong việc đảm bảo an toàn thông tm, giới thiệu về cơ câu tổ chức, nhân sự, lĩnh vực hoạt động kinh doanh. cũng như yêu cầu đấm bảo an Loàn thông tỉn của các bên liên quan. Sau đó sẽ tiên hành khảo sát về thực trạng bảo đâm an toán (hông lin của doanh nghiệp SIME đã lựa chọn dựa trên việc liệt kê các tài sân của doanh nghiệp, phần tích các rủi ro, các nguy cơ và đưa ra các biện pháp kiểm soát - Chương 3: Đề xuất bộ quy trình cho doanh nghiệp SMIH đã lựa chọn Sau khi tiễn hành khảo sát doanh nghiệp SMH đã lựa chọn ở chương 2, chương nay sẽ để xuất xây dựng quy trình, chính sách, biện pháp, thủ Lục.
để đâm bao an toàn thông tim, giải quyết các vấn đề liên quan đến an toàn thông tin mả doanh nghiệp trên pặp phải theo chuẩn 18027001. - Chương 4: Kết luận Sau khi để xuất, xây dựng bộ quy trình ở chương 3, chương này sẽ đánh giá những mặt được và mặt chưa được của bộ quy trinh đã xây dựng được. Sau đó sẽ tiến hành đề xuất những hướng phát triển tiếp theo của luận văn, đó là tiếp tục tìm hiểu các doanh nghiệp vừa và nhỏ đặc trưng khác trong việc bảo đảm an toàn thông tin, rút ra những nét dặc trưng để xây dựng một nền táng quy trình chung, với mục đích đóng góp một phần công sức cho các doanh nghiệp vừa và nhỏ tại Việt Nam trong việc đảm bảo an toàn thông tin, một vấn đề khá nhức nhdi hiện nay CIIVONG 1. Khải niệm T8O27001 là tiêu chuẩn quốc tế lắc tá cho các hệ thông quản lý ATTT, nó cung cấp một mô hình thống nhất để thiết lập, vận hành, duy trì và cải tiến hệ thống quan ly ATTY.
Việc tuân thủ theo ISMS8 chính là quyết định chiến lược của mỗi tổ chức 18O27001 tạo ra một hệ thống theo dối và duy trì - Tỉnh bảo mật thông tin. - Tỉnh sẵn có (availability) của thông tin - Tinh tinh toan ven (integrity) cia théng tin ‘Trong dé Tinh bão mật thông tin bao gồm - Tỉnh báo mật dữ liệu (Data conlidentiality) đảm bảo rằng thông lin hoặ bí mật cá nhân không được cung cấp và tiết lộ cho các cá nhân không có thẫm quyền. - Tinh riéng tu (Privacy) dim bảo ring cá nhân kiểm soát và có tác động tới thông tin pì liên quan đến họ được phép thu thập và lưu giữ, và kiểm soát và tác đồng tới người nào được phép cung cấp thông tin nói trên và cung cấp tới những, aL Tinh toàn vẹn thông tin bao gồm: - Tinh toàn vẹn dữ liệu (Data integrity) đảm bảo rằng thong tin va chương trình chỉ được thay đổi theo các cách thức quy định và được phép. - ‘Tinh toàn vẹn hệ théng (System integrity) đảm bảo rằng hệ thống triển khai các chức năng dinh sẵn một cách không suy giảm, dốc lập dối với các thao tác trái phép cô ý hoặc vô ý Tính sẵn có đảm báo rằng hệ thống làm việc nhanh và dịch vụ không bị từ chối đổi với người dùng được phép.
Vị trí của IS027001 trong ho 150270008 T3uÀn tr sàEon toàn tràng túy hiên lý ựìroạn Z1 Em inn et ears chức Số 20820 hểng th sate gữa tácans2 zrarr Hình 1.1 Vị trí ISO27001 1. Cầu trúc của ISO270011 Tiêu chuẩn ISO27001 có cẩu trúc bao gém 2 phần là “Điều khoản" và “Biên pháp kiểm soát" Phần “Điều khoản” Phần "Điều khoản” bao gồm 7 điều khoản bắt buộc phải thực thi. Mọi vi pham đối với từng điều khoản đều được coi là không tuân thủ ISO27001. ~ 07 điều khoản chỉnh (tử phần 4 đến phần 10 của Tiêu chuẩn): đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp ISMS của các tổ chức.
Bất kỳ vi phạm nảo của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn: # Theo http://antoanthongtin vn. 8 Điều khoản 4 - Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tế chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liền quan thiết lập phạm vi Hệ thống quản lý ATTT phủ hợp. Điều khoản 5 - Lãnh dạo: Quy định các vẫn dễ về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong ISMS, bao gầm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy trì hệ thống, các yêu cầu về việc cung cấp nguồn lực, tải chính để vận hành hệ thống Điều khoản 6 - Lập kế hoạch: Tổ chức cần dịnh nghĩa vả áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra cáo quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiểu ATTT và kế hoạch để đạt được mục tiêu đó.
Didu khoản 7 - Hỗ trợ: yêu cầu đối với việc tổ chức đảo tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực A'ITT và TSMS, số hóa thông tin Điều khoăn § - Vận hành hệ thống: TỔ chức cần có kế hoạch vận hành và quắn ly để đạt được các mục tiều đã để ra. Déng thoi cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý. Điều khoản 9 - Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá ISMS của tổ chức. Phả này đưa 1a yêu cầu đối với mỗi kỳ xem xét hệ thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phủ hợp với những thay dỗi trong hoạt động cúa tổ chức.
Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực hiện - Kiểm tra - Hành động (P-D-C-A), tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo ISMS không ngừng được cải tiến trong quá trỉnh hoạt động. Gồm các quy định trong việc áp dụng các chỉnh sách mới, các hoạt đông khắc phục, phỏng ngừa các điểm yếu đã xây ra và tiềm tang để đảm bảo hiệu quả của ISMS. Phân “Biện pháp kiếm soát” Các mục tiêu và biện pháp kiểm soát: đưa ra 14 lĩnh vực kiểm soát với 35 mục tiêu kiểm soát (ứng với 114 biện pháp kiểm soát) nhằm cụ thể hóa các vấn dé mả tổ chức cần xem xét, thực hiện khi xây dựng và duy tri ISMS. Cac lĩnh vực 9 đưa ra xem xét bao gầm từ chính sách của lãnh đạo tổ chức, tới việc đảm bảo AI trong quản lý tài sản, nhân sự, các nguyên tắc căn bản dé dam bao ATIT trong việc vận hanh, phat triển, duy trì các hệ thắng ƠN'ITL Các lĩnh vực kiểm soát trong ISO27001 Chính sách ATTT Mục tiêu: Đề cung cấp hướng quản lý và hỗ trợ an ninh thông tin theo những yêu cầu của doanh nghiệp, những điều luật và những quy định liên quan.
Các mục tiêu kiểm soát - Chính sách an ninh thông tin ~ 8oát xét chính sách an ninh thông tim. ATTT trong tổ chức - Tổ chức nội bộ: Thiết lập một hệ thống quản lý để bắt đầu và kiểm soát sự thực hiện và các hoạt đông liên quan đến an ninh thông tin trong tổ chức -_ Các thiết bị đi đông và làm việc tử xa: Để đảm bảo an toan trong việc làm việc từ xa và an toàn trong việc sử dụng thiết bị đi động Các mục tiêu kiểm soát Vai tro và trách nhiêm liên quan đên an ninh thông tin Sự phân chia trách nhiệm. Liên lạc với các bên liên quan Liên lạc với nhóm có những lợi ích đặc biệt. An ninh thông tin trong quản lý dự án.
- Chính sách thiết bị di đông. Làm việc từ xa. ATTT nhân sự - Trước khi làm việc: Để đảm bảo rằng những nhân viên và nhà thâu hiểu rõ được trách nhiệm và phủ hợp với vai trò họ được đâm nhiệm. - "Trong quá trình làm việc: Để đảm bảo rằng những nhân viên và nhả thầu hiểu và thực hiện trách nhiệm của họ liên quan đến an ninh thông, tin.
- Chấm dứt vả thay đổi nhân sự: Để bảo vệ lợi ích của tổ chức khi thay đổi hay chấm đút hợp đồng nhân viên. Các mục tiêu kiếm soát: Screening Diều khoán và điều kiện làm việc. 'trách nhiệm trong việc quần lý Nhận thức, giáo dục và dào †ạo an ninh thông tin Quy trình kỷ luật Chấm đứt hoặc thay đổi trách nhiệm công việc Quản lý tài sản - Trách nhiệm đối với tài sản: Dễ xác định tài sản của tổ chức và xác định rách nhiệm bảo vệ phủ hợp. - Phan loại thông tin: Để đảm bảo rằng thông tin nhận được mức bảo vệ phù hợp phù hợp với lầm quan trọng của nó đối với tổ chức - Xử lý mcdia.
Để tránh việc tiết lộ, chính sửa, xóa hay hủy bỏ thông tin được lưu trữ trên các phương tiện, thiết bị lưu trữ một cách. không được phép, Các mục tiêu kiểm soát: - Kiểm kê tài sản - Quyển sở hữu tài sẵn - Chấp nhận sử dụng tải sản -_ Trả lại tải sản. ~ Phân loại thông tin - Dánh nhãn thông tín. - Xửlý tài sản - Quản lý các phương tiện, thiết bị di đời dược - "Tiết lộ thông tin -_ Vận chuyển phương tiện, thiết bị vật lý Kiểm soát truy nhập -_Yêu cầu của doanh nghiệp trong việc kiểm soát truy cập: Để giới hạn truy cập đến thông tin và thiết bị xử lý thông tin - Quản lý truy cập người dủng: Để đảm hảo truy cập người dùng hợp pháp và ngăn chặn việc truy uập vào hệ thống và dịch vụ một cách bất hợp pháp.
- Trách nhiệm người dùng: Dễ người dũng có trách nhiệm bảo vệ thông tim đã được xác thục của họ. - Kiểm soát truy cập hệ thống và ứng dụng: Để ngăn chặn truy cập trái phúp váo hệ thống và ứng dụng. Các mục tiêu kiểm soát ~ Chỉnh sách kiểm soát truy cập. - Truy cập đến mạng và các dịch vụ mạng.
- Đăng ký và hủy đăng kỷ người dùng -_ Truy cập người dùng, - Quản lý quyền truy cập đặc quyền - Quần lý thông tin bảo mật của người dùng. Soát xét quyền truy cập người dùng, Hủy bỏ hoặc điêu chỉnh quyền truy cập.