Luận văn: Xây dựng quy trình bảo mật ISO 27001 cho doanh nghiệp SME Việt Nam

Luận văn: Xây dựng quy trình bảo đảm an toàn thông tin theo ISO 27001 cho doanh nghiệp vừa và nhỏ tại Việt Nam. Giải pháp tối ưu bảo mật.

Trường đại học

Trường Đại học Công nghệ

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2017

107
3
0

Phí lưu trữ

35 Point

Mục lục chi tiết

LOI CAM DOAN

LOI CAM ON

MUCLUC

DANH MUC TU VIET TAT

DANH MỤC BẢNG BIỂU

DANH MỤC HÌNH VẼ

1. CHƯƠNG 1: GIỚI THIẾU ISO27001

1.1. Khái niệm

1.2. Vị trí của ISO27001 trong họ ISO27000

1.3. Cấu trúc của ISO27001

1.4. Các lợi ích mà ISO27001 mang lại

2. CHƯƠNG 2: KHẢO SÁT DOANII NGHIỆP SME CỤ THỂ VỀ BẢO DAM AN TOÀN THÔNG TIN

2.1. Giới thiệu công ty SME cụ thể

2.2. Các đối tác liên quan

2.3. Mong muốn và yêu cầu của các bên liên quan đối với công ty

2.4. Nhận xét về thực trạng áp dụng tiêu chuẩn an toàn đối với hệ thống thông tin tại Công ty X

2.5. Khảo sát công ty X về đảm bảo an toàn thông tin

2.6. Phân loại tài sản CNTT

2.7. Các bước đánh giá rủi ro tài sản CMTT

3. CHƯƠNG 3: ĐỀ XUẤT BỘ QUY TRÌNH CHO DOANH NGHIỆP SME ĐÃ CHỌN

3.1. Đưa ra các biện pháp kiểm soát

3.2. Quy trình đo lường của hệ thống quản lý an toàn thông tin

3.3. Quy trình về quản lý source code, các bản mềm tài liệu

3.4. Quy trình về giáo dục nhận thức, đào tạo về an toàn thông tin

3.5. Quy trình hành động phòng ngừa đối với hệ thống quản lý an toàn thông tin

3.6. Chính sách

TÀI LIỆU THAM KHẢO

Tóm tắt

I. ISO 27001 là gì Nền tảng bảo mật thông tin cho SME

ISO/IEC 27001 là một tiêu chuẩn quốc tế cung cấp các yêu cầu cho một Hệ thống Quản lý An toàn Thông tin (ISMS). Đây không chỉ là một danh sách các biện pháp kỹ thuật, mà là một khuôn khổ toàn diện giúp các tổ chức, đặc biệt là doanh nghiệp vừa và nhỏ (SME), thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và cải tiến liên tục việc bảo mật thông tin. Trọng tâm của tiêu chuẩn là cách tiếp cận dựa trên rủi ro, cho phép doanh nghiệp xác định và xử lý các mối đe dọa một cách có hệ thống. Việc tuân thủ và đạt chứng nhận ISO 27001 không chỉ là một quyết định về công nghệ mà còn là một quyết định chiến lược, giúp bảo vệ tài sản thông tin quý giá, từ dữ liệu khách hàng đến bí mật kinh doanh. Theo nghiên cứu của Trần Kiên (2017), việc triển khai ISO 27001 giúp hoạt động đảm bảo an toàn thông tin cho SME được quản lý chặt chẽ, nâng cao uy tín và tạo ra lợi thế cạnh tranh bền vững. Tiêu chuẩn này được xây dựng dựa trên nguyên tắc Vòng lặp PDCA (Plan-Do-Check-Act), đảm bảo hệ thống ISMS luôn được cải tiến để đối phó với các mối đe dọa an ninh mạng ngày càng tinh vi. Bằng cách áp dụng một tiêu chuẩn an ninh thông tin được công nhận toàn cầu, các SME tại Việt Nam có thể chứng minh cam kết của mình đối với việc bảo vệ dữ liệu cá nhân và thông tin của đối tác, một yếu tố ngày càng quan trọng trong bối cảnh Luật An ninh mạng Việt Nam được thực thi nghiêm ngặt.

1.1. Khái niệm về Hệ thống Quản lý An toàn Thông tin ISMS

Một Hệ thống Quản lý An toàn Thông tin (ISMS) là một tập hợp các chính sách, quy trình, thủ tục và hệ thống kiểm soát được thiết lập để quản lý rủi ro đối với tài sản thông tin của một tổ chức. Mục tiêu của ISMS là bảo vệ ba thuộc tính cốt lõi của thông tin: Tính bảo mật (Confidentiality), Tính toàn vẹn (Integrity), và Tính sẵn sàng (Availability). Thay vì áp dụng các giải pháp bảo mật một cách riêng lẻ và tự phát, ISMS cung cấp một cách tiếp cận có cấu trúc, đảm bảo rằng các nỗ lực bảo mật được tích hợp chặt chẽ vào hoạt động kinh doanh, văn hóa tổ chức và các mục tiêu chiến lược. Việc xây dựng ISMS theo ISO 27001 đòi hỏi sự cam kết từ lãnh đạo cấp cao, sự tham gia của toàn bộ nhân viên và một quy trình cải tiến liên tục.

1.2. Cấu trúc cốt lõi của tiêu chuẩn an ninh thông tin ISO 27001

Tiêu chuẩn ISO 27001 bao gồm hai phần chính. Phần một là các điều khoản bắt buộc (từ Điều khoản 4 đến 10), quy định các yêu cầu mà một tổ chức phải tuân thủ để thiết lập và vận hành ISMS. Các điều khoản này bao gồm bối cảnh của tổ chức, sự lãnh đạo, hoạch định, hỗ trợ, vận hành, đánh giá hiệu suất và cải tiến. Phần hai là Phụ lục A ISO 27001, cung cấp một danh mục gồm 114 biện pháp kiểm soát an ninh được chia thành 14 lĩnh vực. Các biện pháp này không bắt buộc phải áp dụng tất cả, mà tổ chức sẽ lựa chọn dựa trên kết quả của quá trình đánh giá rủi ro thông tin. Sự lựa chọn này được ghi lại trong một tài liệu quan trọng gọi là Tuyên bố Áp dụng (SoA).

II. 05 rủi ro an ninh mạng SME phải đối mặt tại Việt Nam

Các doanh nghiệp vừa và nhỏ tại Việt Nam đang đối mặt với một môi trường rủi ro an ninh mạng ngày càng phức tạp. Luận văn của Trần Kiên (2017) chỉ ra rằng nhận thức về an toàn thông tin cho SME còn hạn chế, trong khi các cuộc tấn công ngày càng tinh vi. Thứ nhất, tấn công lừa đảo (Phishing) và mã độc tống tiền (Ransomware) là mối đe dọa hàng đầu, nhắm vào sự thiếu cảnh giác của nhân viên để xâm nhập hệ thống. Thứ hai, rò rỉ dữ liệu do nhân viên vô tình hoặc cố ý là một vấn đề nhức nhối. Nghiên cứu trường hợp tại một SME cho thấy "thiếu kiểm soát việc sao chép" dữ liệu ra thiết bị cá nhân là một điểm yếu nghiêm trọng. Thứ ba, các lỗ hổng phần mềm không được vá kịp thời tạo điều kiện cho tin tặc khai thác. Thứ tư, việc thiếu một chính sách bảo mật rõ ràng và các quy trình vận hành chuẩn hóa khiến hoạt động bảo mật trở nên tự phát và kém hiệu quả. Cuối cùng, áp lực tuân thủ pháp luật ngày càng tăng, đặc biệt là các quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP và Luật An ninh mạng Việt Nam, đặt ra thách thức lớn về pháp lý nếu xảy ra sự cố. Những rủi ro này không chỉ gây thiệt hại về tài chính mà còn làm suy giảm nghiêm trọng uy tín và niềm tin của khách hàng.

2.1. Thách thức về chi phí và nguồn lực triển khai ISMS

Một trong những rào cản lớn nhất đối với SME khi áp dụng ISO 27001 là chi phí. Theo Trần Kiên (2017), chi phí chứng nhận ISO 27001 khá cao, bao gồm chi phí tư vấn ISO 27001, phí đánh giá và đặc biệt là chi phí đầu tư cho các biện pháp kiểm soát rủi ro. Ngoài ra, các SME thường thiếu hụt nhân sự có chuyên môn sâu về an toàn thông tin, dẫn đến khó khăn trong việc xây dựng và duy trì một hệ thống quản lý an toàn thông tin hiệu quả. Sự hạn chế về nguồn lực tài chính và con người khiến nhiều doanh nghiệp ngần ngại đầu tư vào bảo mật một cách bài bản.

2.2. Nhận thức hạn chế và sự thiếu cam kết từ lãnh đạo

Thành công của ISMS phụ thuộc rất lớn vào sự cam kết của ban lãnh đạo. Tuy nhiên, tại nhiều SME, nhận thức về tầm quan trọng của an toàn thông tin chưa cao. Lãnh đạo có thể xem đây là một khoản chi phí thay vì một khoản đầu tư chiến lược. Sự thiếu quan tâm này dẫn đến việc không cung cấp đủ nguồn lực, không thúc đẩy văn hóa bảo mật trong tổ chức và làm cho việc triển khai các chính sách bảo mật chỉ mang tính hình thức, không có hiệu quả thực tế. Đây là một nguyên nhân gốc rễ dẫn đến thất bại trong việc áp dụng ISO 27001.

III. Hướng dẫn quy trình triển khai ISO 27001 cho SME

Việc triển khai ISO 27001 là một dự án chiến lược đòi hỏi một lộ trình rõ ràng và có phương pháp. Quy trình triển khai ISMS cho SME có thể được đơn giản hóa nhưng vẫn phải đảm bảo tuân thủ các yêu cầu cốt lõi của tiêu chuẩn. Bước đầu tiên và quan trọng nhất là phải có được sự cam kết tuyệt đối từ ban lãnh đạo. Tiếp theo, doanh nghiệp cần xác định phạm vi của ISMS, tức là quyết định những bộ phận, quy trình, và tài sản thông tin nào sẽ được đưa vào hệ thống quản lý. Sau khi xác định phạm vi, việc tiến hành đánh giá rủi ro an ninh mạng là trung tâm của mọi hoạt động. Quá trình này giúp xác định các mối đe dọa, lỗ hổng và tác động tiềm tàng, từ đó làm cơ sở để lựa chọn các biện pháp kiểm soát an ninh phù hợp từ Phụ lục A ISO 27001. Các biện pháp được chọn sẽ được ghi vào Tuyên bố Áp dụng (SoA). Song song đó, việc xây dựng các tài liệu cốt lõi như chính sách bảo mật, các quy trình vận hành và tổ chức đào tạo nhận thức cho nhân viên là không thể thiếu. Cuối cùng, doanh nghiệp sẽ tiến hành đánh giá nội bộ ISO 27001 để kiểm tra sự tuân thủ trước khi mời một tổ chức chứng nhận độc lập đến đánh giá chính thức.

3.1. Phương pháp đánh giá rủi ro thông tin theo chuẩn quốc tế

Quá trình đánh giá rủi ro thông tin là hoạt động nền tảng của ISMS. Nó bao gồm ba bước chính: xác định rủi ro, phân tích rủi ro và định lượng rủi ro. Đầu tiên, doanh nghiệp cần nhận diện các tài sản thông tin quan trọng (ví dụ: cơ sở dữ liệu khách hàng, mã nguồn sản phẩm), sau đó xác định các mối đe dọa (hacker, virus, lỗi con người) và các điểm yếu (mật khẩu yếu, thiếu sao lưu). Tiếp theo, phân tích khả năng xảy ra của mối đe dọa và mức độ tác động nếu rủi ro thành hiện thực. Cuối cùng, giá trị rủi ro được tính toán để ưu tiên các rủi ro cần xử lý. Phương pháp này giúp SME tập trung nguồn lực hạn chế vào những khu vực có nguy cơ cao nhất.

3.2. Xây dựng và áp dụng Tuyên bố Áp dụng Statement of Applicability SoA

Tuyên bố Áp dụng (SoA) là một tài liệu bắt buộc và là một trong những kết quả quan trọng nhất của quá trình đánh giá rủi ro. SoA liệt kê tất cả 114 biện pháp kiểm soát trong Phụ lục A. Đối với mỗi biện pháp, tài liệu này phải nêu rõ liệu doanh nghiệp có áp dụng hay không, lý do cho quyết định đó, và tình trạng triển khai hiện tại. SoA đóng vai trò như một bản kế hoạch chi tiết, kết nối kết quả đánh giá rủi ro với các hoạt động bảo mật thực tế, đồng thời là bằng chứng quan trọng cho các chuyên gia đánh giá thấy rằng doanh nghiệp đã xem xét toàn diện các yêu cầu của tiêu chuẩn an ninh thông tin.

IV. Case study ISO 27001 Lộ trình thực tế cho doanh nghiệp

Để minh họa cho quá trình triển khai, luận văn của Trần Kiên (2017) đã thực hiện một khảo sát chi tiết tại "Công ty X", một doanh nghiệp SME trong lĩnh vực sản xuất game với 50 nhân viên. Đây là một ví dụ điển hình cho thấy các vấn đề bảo mật cho startup và SME. Quá trình khảo sát bắt đầu bằng việc phân loại tài sản, từ tài sản phần cứng (máy chủ, PC) đến tài sản thông tin (cơ sở dữ liệu người chơi, mã nguồn game). Sau đó, một cuộc đánh giá rủi ro an ninh mạng toàn diện được thực hiện. Kết quả đã chỉ ra nhiều điểm yếu nghiêm trọng có giá trị rủi ro cao. Ví dụ, tài sản "Cơ sở dữ liệu khách hàng" có điểm yếu là "Thiếu quy trình kiểm soát phân quyền" và "Thiếu quy trình cho việc backup dữ liệu", dẫn đến nguy cơ truy cập trái phép và mất mát dữ liệu. Một rủi ro khác là việc "Thiếu kiểm soát việc sao chép" dữ liệu quan trọng ra thiết bị lưu trữ cá nhân, có thể dẫn đến rò rỉ thông tin chiến lược. Dựa trên những phát hiện này, một bộ quy trình và biện pháp kiểm soát an ninh đã được đề xuất, tập trung vào việc khắc phục các lỗ hổng có rủi ro cao nhất, cho thấy cách áp dụng ISO 27001 một cách thực tế và hiệu quả cho một doanh nghiệp vừa và nhỏ.

4.1. Hiện trạng và các điểm yếu bảo mật tại một SME điển hình

Khảo sát tại "Công ty X" cho thấy thực trạng chung của nhiều SME: hoạt động bảo mật mang tính tự phát, dựa trên kinh nghiệm cá nhân thay vì một quy trình triển khai ISMS có hệ thống. Các điểm yếu chính được xác định bao gồm: không có quy trình quản lý mật khẩu an toàn, không phân quyền truy cập chặt chẽ vào dữ liệu nhạy cảm, không có chính sách sao lưu dữ liệu định kỳ, và thiếu các quy định về việc mang thiết bị cá nhân vào công ty. Đặc biệt, việc thiếu chương trình đào tạo nhận thức về an toàn thông tin cho nhân viên khiến họ trở thành mắt xích yếu nhất, dễ bị tấn công lừa đảo.

4.2. Đề xuất biện pháp kiểm soát an ninh dựa trên rủi ro thực tế

Dựa trên Bảng 2.5 "Bảng giá trị rủi ro" trong nghiên cứu, các biện pháp kiểm soát an ninh được đề xuất một cách có chọn lọc. Đối với rủi ro mất mát cơ sở dữ liệu, giải pháp là xây dựng "Quy trình sao lưu và phục hồi dữ liệu". Để giải quyết nguy cơ rò rỉ thông tin, "Chính sách phân loại và xử lý thông tin" cùng với "Quy định kiểm soát việc sử dụng thiết bị lưu trữ di động" đã được đề xuất. Các biện pháp này không chỉ giải quyết các vấn đề kỹ thuật mà còn tập trung vào việc xây dựng quy trình và nâng cao ý thức con người, phản ánh đúng tinh thần của tiêu chuẩn an ninh thông tin ISO 27001.

V. Lợi ích dài hạn từ chứng nhận ISO 27001 cho doanh nghiệp

Việc đạt được chứng nhận ISO 27001 mang lại những lợi ích chiến lược và bền vững cho các doanh nghiệp vừa và nhỏ, vượt xa việc tuân thủ đơn thuần. Lợi ích rõ ràng nhất là tăng cường khả năng bảo mật thông tin, bảo vệ tài sản trí tuệ và dữ liệu khách hàng khỏi các mối đe dọa, từ đó giảm thiểu rủi ro tài chính và gián đoạn kinh doanh. Quan trọng hơn, chứng nhận này là một minh chứng mạnh mẽ về sự chuyên nghiệp và cam kết của doanh nghiệp, giúp nâng cao uy tín và xây dựng lòng tin với khách hàng và đối tác. Trong nhiều trường hợp, ISO 27001 là một yêu cầu bắt buộc khi tham gia đấu thầu hoặc hợp tác với các tập đoàn lớn, mở ra nhiều cơ hội kinh doanh mới. Việc triển khai một hệ thống quản lý an toàn thông tin còn giúp tối ưu hóa các quy trình nội bộ, nâng cao nhận thức của nhân viên và tạo ra một văn hóa bảo mật vững chắc. Về lâu dài, đây là một khoản đầu tư thông minh, giúp SME không chỉ tồn tại mà còn phát triển mạnh mẽ trong nền kinh tế số đầy thách thức.

5.1. Nâng cao uy tín và tạo lợi thế cạnh tranh trên thị trường

Chứng nhận ISO 27001 hoạt động như một con dấu đảm bảo chất lượng được công nhận trên toàn cầu. Đối với khách hàng, nó chứng tỏ rằng dữ liệu của họ được xử lý một cách an toàn và có trách nhiệm. Đối với đối tác, nó cho thấy doanh nghiệp là một mắt xích đáng tin cậy trong chuỗi cung ứng. Trong một thị trường mà các sự cố rò rỉ dữ liệu ngày càng phổ biến, việc sở hữu chứng nhận này giúp SME nổi bật so với các đối thủ cạnh tranh, trở thành một lợi thế marketing và bán hàng mạnh mẽ, đặc biệt khi làm việc với các khách hàng quốc tế hoặc trong các ngành đòi hỏi tuân thủ cao.

5.2. Đảm bảo tuân thủ pháp lý và các quy định ngành

Khung pháp lý về bảo mật dữ liệu ngày càng trở nên nghiêm ngặt, từ Luật An ninh mạng Việt Nam đến các tiêu chuẩn quốc tế như tuân thủ GDPR. Việc triển khai ISMS theo ISO 27001 cung cấp một khuôn khổ vững chắc để doanh nghiệp đáp ứng các yêu cầu pháp lý này một cách có hệ thống. Các quy trình như đánh giá rủi ro và quản lý sự cố giúp doanh nghiệp chứng minh được sự cẩn trọng và tuân thủ của mình trước các cơ quan quản lý. Điều này không chỉ giúp tránh được các khoản phạt tốn kém mà còn bảo vệ ban lãnh đạo khỏi các trách nhiệm pháp lý cá nhân trong trường hợp xảy ra sự cố an ninh.

11/09/2025

Trích đoạn nội dung tài liệu

Chương 1: Gidi thiéu 18027001 Chương nảy sẽ tập trung giới thiệu khái niém 18027001, cấu trúc, nội dung, các diền khoản phải tuần thủ khi áp dụng T8O27001. - Chương 2: Khảo sát doanh nghiệp SME cụ thể về bảo dám an toàn thông tin tưởng Chính phủ với doanh nghiệp 5 Chương này sẽ chọn ra một doanh nghiệp SMIE tiêu biểu trong việc đảm bảo an toàn thông tm, giới thiệu về cơ câu tổ chức, nhân sự, lĩnh vực hoạt động kinh doanh. cũng như yêu cầu đấm bảo an Loàn thông tỉn của các bên liên quan. Sau đó sẽ tiên hành khảo sát về thực trạng bảo đâm an toán (hông lin của doanh nghiệp SIME đã lựa chọn dựa trên việc liệt kê các tài sân của doanh nghiệp, phần tích các rủi ro, các nguy cơ và đưa ra các biện pháp kiểm soát - Chương 3: Đề xuất bộ quy trình cho doanh nghiệp SMIH đã lựa chọn Sau khi tiễn hành khảo sát doanh nghiệp SMH đã lựa chọn ở chương 2, chương nay sẽ để xuất xây dựng quy trình, chính sách, biện pháp, thủ Lục.

để đâm bao an toàn thông tim, giải quyết các vấn đề liên quan đến an toàn thông tin mả doanh nghiệp trên pặp phải theo chuẩn 18027001. - Chương 4: Kết luận Sau khi để xuất, xây dựng bộ quy trình ở chương 3, chương này sẽ đánh giá những mặt được và mặt chưa được của bộ quy trinh đã xây dựng được. Sau đó sẽ tiến hành đề xuất những hướng phát triển tiếp theo của luận văn, đó là tiếp tục tìm hiểu các doanh nghiệp vừa và nhỏ đặc trưng khác trong việc bảo đảm an toàn thông tin, rút ra những nét dặc trưng để xây dựng một nền táng quy trình chung, với mục đích đóng góp một phần công sức cho các doanh nghiệp vừa và nhỏ tại Việt Nam trong việc đảm bảo an toàn thông tin, một vấn đề khá nhức nhdi hiện nay CIIVONG 1. Khải niệm T8O27001 là tiêu chuẩn quốc tế lắc tá cho các hệ thông quản lý ATTT, nó cung cấp một mô hình thống nhất để thiết lập, vận hành, duy trì và cải tiến hệ thống quan ly ATTY.

Việc tuân thủ theo ISMS8 chính là quyết định chiến lược của mỗi tổ chức 18O27001 tạo ra một hệ thống theo dối và duy trì - Tỉnh bảo mật thông tin. - Tỉnh sẵn có (availability) của thông tin - Tinh tinh toan ven (integrity) cia théng tin ‘Trong dé Tinh bão mật thông tin bao gồm - Tỉnh báo mật dữ liệu (Data conlidentiality) đảm bảo rằng thông lin hoặ bí mật cá nhân không được cung cấp và tiết lộ cho các cá nhân không có thẫm quyền. - Tinh riéng tu (Privacy) dim bảo ring cá nhân kiểm soát và có tác động tới thông tin pì liên quan đến họ được phép thu thập và lưu giữ, và kiểm soát và tác đồng tới người nào được phép cung cấp thông tin nói trên và cung cấp tới những, aL Tinh toàn vẹn thông tin bao gồm: - Tinh toàn vẹn dữ liệu (Data integrity) đảm bảo rằng thong tin va chương trình chỉ được thay đổi theo các cách thức quy định và được phép. - ‘Tinh toàn vẹn hệ théng (System integrity) đảm bảo rằng hệ thống triển khai các chức năng dinh sẵn một cách không suy giảm, dốc lập dối với các thao tác trái phép cô ý hoặc vô ý Tính sẵn có đảm báo rằng hệ thống làm việc nhanh và dịch vụ không bị từ chối đổi với người dùng được phép.

Vị trí của IS027001 trong ho 150270008 T3uÀn tr sàEon toàn tràng túy hiên lý ựìroạn Z1 Em inn et ears chức Số 20820 hểng th sate gữa tácans2 zrarr Hình 1.1 Vị trí ISO27001 1. Cầu trúc của ISO270011 Tiêu chuẩn ISO27001 có cẩu trúc bao gém 2 phần là “Điều khoản" và “Biên pháp kiểm soát" Phần “Điều khoản” Phần "Điều khoản” bao gồm 7 điều khoản bắt buộc phải thực thi. Mọi vi pham đối với từng điều khoản đều được coi là không tuân thủ ISO27001. ~ 07 điều khoản chỉnh (tử phần 4 đến phần 10 của Tiêu chuẩn): đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp ISMS của các tổ chức.

Bất kỳ vi phạm nảo của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn: # Theo http://antoanthongtin vn. 8 Điều khoản 4 - Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tế chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liền quan thiết lập phạm vi Hệ thống quản lý ATTT phủ hợp. Điều khoản 5 - Lãnh dạo: Quy định các vẫn dễ về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong ISMS, bao gầm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy trì hệ thống, các yêu cầu về việc cung cấp nguồn lực, tải chính để vận hành hệ thống Điều khoản 6 - Lập kế hoạch: Tổ chức cần dịnh nghĩa vả áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra cáo quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiểu ATTT và kế hoạch để đạt được mục tiêu đó.

Didu khoản 7 - Hỗ trợ: yêu cầu đối với việc tổ chức đảo tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực A'ITT và TSMS, số hóa thông tin Điều khoăn § - Vận hành hệ thống: TỔ chức cần có kế hoạch vận hành và quắn ly để đạt được các mục tiều đã để ra. Déng thoi cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý. Điều khoản 9 - Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá ISMS của tổ chức. Phả này đưa 1a yêu cầu đối với mỗi kỳ xem xét hệ thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phủ hợp với những thay dỗi trong hoạt động cúa tổ chức.

Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực hiện - Kiểm tra - Hành động (P-D-C-A), tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo ISMS không ngừng được cải tiến trong quá trỉnh hoạt động. Gồm các quy định trong việc áp dụng các chỉnh sách mới, các hoạt đông khắc phục, phỏng ngừa các điểm yếu đã xây ra và tiềm tang để đảm bảo hiệu quả của ISMS. Phân “Biện pháp kiếm soát” Các mục tiêu và biện pháp kiểm soát: đưa ra 14 lĩnh vực kiểm soát với 35 mục tiêu kiểm soát (ứng với 114 biện pháp kiểm soát) nhằm cụ thể hóa các vấn dé mả tổ chức cần xem xét, thực hiện khi xây dựng và duy tri ISMS. Cac lĩnh vực 9 đưa ra xem xét bao gầm từ chính sách của lãnh đạo tổ chức, tới việc đảm bảo AI trong quản lý tài sản, nhân sự, các nguyên tắc căn bản dé dam bao ATIT trong việc vận hanh, phat triển, duy trì các hệ thắng ƠN'ITL Các lĩnh vực kiểm soát trong ISO27001 Chính sách ATTT Mục tiêu: Đề cung cấp hướng quản lý và hỗ trợ an ninh thông tin theo những yêu cầu của doanh nghiệp, những điều luật và những quy định liên quan.

Các mục tiêu kiểm soát - Chính sách an ninh thông tin ~ 8oát xét chính sách an ninh thông tim. ATTT trong tổ chức - Tổ chức nội bộ: Thiết lập một hệ thống quản lý để bắt đầu và kiểm soát sự thực hiện và các hoạt đông liên quan đến an ninh thông tin trong tổ chức -_ Các thiết bị đi đông và làm việc tử xa: Để đảm bảo an toan trong việc làm việc từ xa và an toàn trong việc sử dụng thiết bị đi động Các mục tiêu kiểm soát Vai tro và trách nhiêm liên quan đên an ninh thông tin Sự phân chia trách nhiệm. Liên lạc với các bên liên quan Liên lạc với nhóm có những lợi ích đặc biệt. An ninh thông tin trong quản lý dự án.

- Chính sách thiết bị di đông. Làm việc từ xa. ATTT nhân sự - Trước khi làm việc: Để đảm bảo rằng những nhân viên và nhà thâu hiểu rõ được trách nhiệm và phủ hợp với vai trò họ được đâm nhiệm. - "Trong quá trình làm việc: Để đảm bảo rằng những nhân viên và nhả thầu hiểu và thực hiện trách nhiệm của họ liên quan đến an ninh thông, tin.

- Chấm dứt vả thay đổi nhân sự: Để bảo vệ lợi ích của tổ chức khi thay đổi hay chấm đút hợp đồng nhân viên. Các mục tiêu kiếm soát: Screening Diều khoán và điều kiện làm việc. 'trách nhiệm trong việc quần lý Nhận thức, giáo dục và dào †ạo an ninh thông tin Quy trình kỷ luật Chấm đứt hoặc thay đổi trách nhiệm công việc Quản lý tài sản - Trách nhiệm đối với tài sản: Dễ xác định tài sản của tổ chức và xác định rách nhiệm bảo vệ phủ hợp. - Phan loại thông tin: Để đảm bảo rằng thông tin nhận được mức bảo vệ phù hợp phù hợp với lầm quan trọng của nó đối với tổ chức - Xử lý mcdia.

Để tránh việc tiết lộ, chính sửa, xóa hay hủy bỏ thông tin được lưu trữ trên các phương tiện, thiết bị lưu trữ một cách. không được phép, Các mục tiêu kiểm soát: - Kiểm kê tài sản - Quyển sở hữu tài sẵn - Chấp nhận sử dụng tải sản -_ Trả lại tải sản. ~ Phân loại thông tin - Dánh nhãn thông tín. - Xửlý tài sản - Quản lý các phương tiện, thiết bị di đời dược - "Tiết lộ thông tin -_ Vận chuyển phương tiện, thiết bị vật lý Kiểm soát truy nhập -_Yêu cầu của doanh nghiệp trong việc kiểm soát truy cập: Để giới hạn truy cập đến thông tin và thiết bị xử lý thông tin - Quản lý truy cập người dủng: Để đảm hảo truy cập người dùng hợp pháp và ngăn chặn việc truy uập vào hệ thống và dịch vụ một cách bất hợp pháp.

- Trách nhiệm người dùng: Dễ người dũng có trách nhiệm bảo vệ thông tim đã được xác thục của họ. - Kiểm soát truy cập hệ thống và ứng dụng: Để ngăn chặn truy cập trái phúp váo hệ thống và ứng dụng. Các mục tiêu kiểm soát ~ Chỉnh sách kiểm soát truy cập. - Truy cập đến mạng và các dịch vụ mạng.

- Đăng ký và hủy đăng kỷ người dùng -_ Truy cập người dùng, - Quản lý quyền truy cập đặc quyền - Quần lý thông tin bảo mật của người dùng. Soát xét quyền truy cập người dùng, Hủy bỏ hoặc điêu chỉnh quyền truy cập.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ