Tải bản đầy đủ (.pdf) (21 trang)
  1. Trang chủ
    2. >>
  2. Biểu Mẫu - Văn Bản
    3. >>
  3. Thủ tục hành chính

522701270 so tay an ninh thong tin iso 27001

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (413.6 KB, 21 trang )

SỔ TAY
HỆ THỐNG QUẢN LÝ
AN NINH THÔNG TIN
Ngày ban hành:

BIÊN SOẠN

PHÊ DUYỆT


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN

Sốt xét

MS: ST-ISMS

TÌNH TRẠNG SỬA ĐỔI
Mơ tả sửa đổi

Ngày hiệu lực

Trang: 2/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN
1.


Giới thiệu

Phần này trình bày phạm vi của hệ thống quản lý an ninh thông tin (HTQL
ANTT), mục đích và áp dụng HTQL ANTT
1.1 Mục đích
Sổ tay này xác định các yêu cầu cho việc thiết lập, thực hiện, giám sát, xem
xét, duy trì và cải tiến HTQL ANTT trong toàn bộ hoạt động của Công ty và
tuân thủ yêu cầu của tiêu chuẩn ISO 27001. Sổ tay cũng xác định việc thực thi
các biện pháp quản lý an ninh theo yêu cầu của Công ty.
HTQL ANTT được xây dựng nhằm đảm bảo các biện pháp quản lý an ninh
phù hợp và thỏa đáng cho mục đích duy trì tính mật, tính tồn vẹn và sẵn sàng
của tài sản thông tin.
Các ngoại lệ và lý giải cho các ngoại lệ này được nêu trong bản tuyên bố áp
dụng (SOA).
1.2 Phạm vi của hệ thống quản lý ANTT
Phạm vi của HTQL ANTT được áp dụng tại Cơng ty:
CƠNG TY …
Địa chỉ: …
Sản phẩm: …
Tài sản và Cơng nghệ trong phạm vi áp dụng, gồm:
• Cơ sở dữ liệu (khách hàng, tiền lương), các file dữ liệu, sổ tay người
dùng, tài liệu hệ thống, tài liệu đào tạo nội bộ, tài liệu kỹ thuật – công
nghệ của công ty, thủ tục vận hành, các báo cáo đánh giá rủi ro, các báo
cáo phát hiện lỗ hổng, tài sản trí tuệ của cơng ty, thơng tin giá trong hợp
đồng, đơn đặt hàng,
• Tài sản vật lý: các thiết bị xử lý thông tin, thiết bị truyền dẫn thông tin,
các thiết bị đầu cuối, các phương tiện lưu trữ thơng tin
• Phần mềm: phần mềm ứng dụng, phần mềm hệ thống (ERP, các phần
mềm hệ điều hành, phần mềm PM – quản lý dự án), các công cụ và tiện
ích phát triển phần mềm, các cơng cụ và tiện ích mạng

MS: ST-ISMS
Trang: 3/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN
• Dịch vụ gồm: sửa chữa, trợ giúp người dùng, cung cấp điện, nước,
internet, điện thoại, fax, bảo trì, mã hóa dữ liệu
• Con người: đi kèm kiến thức, nhận thức, kỷ năng và kinh nghiệm của họ,
như: lập trình viên, những người có học hàm, học vị, chuyên gia (những
người có kiến thức, kỷ năng đặc biệt)
• Tài sản vơ hình: hình ảnh cơng ty thơng qua (đồng phục, logo, namecard,
văn hóa cơng ty, cách thức giao tiếp, làm việc, các templet document, …)
1.3 Thuật ngữ, định nghĩa và từ viết tắt
Các thuật ngữ, định nghĩa và từ viết tắt được sử dụng trong hệ thống quản
lý an ninh thông tin của Công ty được đề cập trong Sổ tay thuật ngữ và định
nghĩa.
2.

Tài liệu tham khảo
- Tiêu chuẩn ISO/IEC 27001
- Tiêu chuẩn ISO/IEC 27002
- Chính sách Hệ thống quản lý an ninh thông tin của Công ty
- ISO/IEC Guide 73 – Risk management – Vocabulary – Guideline for use in
standards
- ISMS Implementation Guide v1.1 (atsec information security corporation)
- The security risk assessment handbook
- Information security management handbook (CRC press)
- Information security policy, Ministry of communications and information
technology government of india

- Information security guidelines for NSW government agencies (The
Australian New South Wales department of commerce)
- Protecting your computer from malicious code: của Ausert (Autralia’s
national computer emergency response team)

MS: ST-ISMS

Trang: 4/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

MS: ST-ISMS

Trang: 5/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

3.

Sơ đồ tổ chức:

3.1 Sơ đồ tổ chức chung: tham khảo Sơ đồ tổ chức của Công ty.
3.2 Sơ đồ tổ chức ANTT
Mô tả tổ chức ANTT của Công ty, các mối liên hệ hàng ngang, dọc, chéo (bao
gồm tất cả các lĩnh vực trong phạm vi áp dụng, không chỉ riêng bộ phận IT)
DIỄN ĐÀN

ANTT

GIÁM ĐỐC
ANTT

NHÓM
ĐỐI PHÓ SỰ CỐ
THIÊN TAI,
HỎA HOẠN

NHÓM
ĐỐI PHĨ SỰ
CỐ MÁY TÍNH,
MẠNG

ĐẠI DIỆN ANTT

BAN ANTT

VĂN PHỊNG

CÁC ĐÕN VỊ
CHỨC NĂNG

PHÒNG QUẢN
TRỊ MẠNG

BẢO VỆ

QUẢN TRỊ HẠ

TẦNG MẠNG

QUẢN LÝ HỆ
THỐNG MẠNG

QUẢN LÝ TÀI
SẢN THÔNG
TIN

HỖ TRỢ CÔNG
NGHỆ THÔNG
TIN

QUẢN LÝ HĐH,
ỨNG DỤNG

ĐÀO TẠO
NHẬN THỨC
ANTT

ĐẠI DIỆN AN
NINH
ĐÕN VỊ

ĐẠI DIỆN AN
NINH
ĐÕN VỊ

ĐẠI DIỆN AN
NINH

ĐÕN VỊ

SƠ ĐỒ TỔ CHỨC AN NINH THÔNG TIN

MS: ST-ISMS

Trang: 6/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

3.3 Vai trò trách nhiệm ANTT: Tham khảo các quyết định thành lập, Bản mô
tả công việc, quy định chức năng nhiệm vụ trong Công ty.
4.

Hệ thống quản lý an ninh thông tin

4.1 Các yêu cầu chung
Công ty thiết lập, thực hiện, giám sát, xem xét, duy trì và cải tiến HTQL
ANTT trong tồn bộ hoạt động của Cơng ty. Các q trình của HTQL ANTT
được sử dụng dựa trên chu trình PDCA

Plan

Các bên
quan
tâm

Thiết lập

Act

Các u
cầu và
những
mong
đợi an
ninh
thơng tin

Các bên
quan
tâm

Do

Duy trì và cải
tiến ISMS

Thực hiện và
điều hành ISMS
Giám sát và
xem xét ISMS
Check

An ninh
thơng tin
đã được
quản lý


CHU TRÌNH PDCA

MS: ST-ISMS

Trang: 7/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
4.2 Thiết lập và quản lý HTQL ANTT
4.2.1 Thiết lập
4.2.1.1

Phạm vi và ranh giới của HTQL ANTT

HTQL ANTT của Công ty bao gồm các hoạt động liên quan đến:
- Gửi và nhận thông tin qua: đường bưu diện, điện thoại, fax, email,
website, gửi và nhận trực tiếp (công văn đến, đi; thông tin, dữ liệu)…
- Quản lý q trình xử lý thơng tin qua văn phòng điện tử
- Quản lý việc cấp phát và sử dụng tài khoản
- Quản lý website
- Quản lý các tiện ích xử lý thơng tin
- Quản lý hồ sơ, tài liệu và dữ liệu
- Quá trình trao đổi thông tin trên internet
HTQL ANTT áp dụng cho tất cả các tài sản thông tin thuộc Công ty bao
gồm cả tài sản hữu hình và vơ hình.
4.2.1.2

Các lĩnh vực an ninh được xác định trong HTQL ANTT


Các lĩnh vực an ninh được xác định bởi HTQL ANTT tuân thủ tiêu chuẩn
ISO 27001
- Chính sách an ninh (A.5): Hỗ trợ và định hướng của lãnh đạo đối với an
ninh thông tin theo các yêu cầu hoạt động chính yếu, pháp luật và chế
định liên quan.
- Tổ chức ANTT (A.6): Duy trì an ninh thơng tin trong tổ chức và các tiện
ích xử lý được truy cập, xử lý, giao tiếp, hay được quản lý bởi các đối tác
bên ngoài.
- Quản lý tài sản (A.7): Nhằm mục đích phân loại một cách phù hợp và bảo
vệ tài sản của Công ty
- An ninh nguồn nhân lực (A.8): để xác định vai trò trách nhiệm rõ ràng,
đảm bảo nhân viên, người hợp đồng và người dùng của bên thứ 3 hiểu
trách nhiệm của họ và phù hợp với vai trò của họ, đào tạo và nhận thức về
ANTT, ra khỏi tổ chức theo một cách được quy định
- An ninh môi trường và vật lý (A.9): Ngăn ngừa truy cập vật lý trái phép
vào cơ sở và làm tổn thất hay gây hại hay trộm thiết bị
- Quản lý giao tiếp và vận hành (A.10): Đảm bảo mạng lưới được an ninh,
duy trì các thỏa thuận phân phối dịch vụ của bên thứ ba một cách phù
hợp, việc chia tách sự phát triển và kiểm tra các tiện ích để giảm thiểu đến
MS: ST-ISMS
Trang: 8/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

mức thấp nhất các rủi ro hư hỏng hệ thống và bảo vệ phần mềm và tính
tồn vẹn của thơng tin
- Kiểm soát truy cập (A.11): ngăn ngừa truy cập trái phép đến các hệ thống
thông tin, các dịch vụ mạng lưới, hệ điều hành, hệ thống ứng dụng và đảm

bảo an ninh thơng tin khi sử dụng máy tính di động và các tiện ích làm
việc từ xa
- Xây dựng, duy trì và phát triển các hệ thống thơng tin (A.12): ngăn ngừa
các sai lỗi, tổn thất, bổ sung trái phép, sử dụng sai thông tin trong các ứng
dụng, đảm bảo an ninh của các file hệ thống và phần mềm và làm giảm
rủi ro gây ra từ việc khai thác đã lỗ hổng đã công bố.
- Quản lý sự kiện ANTT (A.13): Truyền đạt đúng lúc về các sự cố và điểm
yếu ANTT và thực hiện các hành động khắc phục
- Quản lý tính liên tục trong hoạt động chính yếu (A.14): tránh làm gián
đoạn các hoạt động của Công ty và bảo vệ các q trình hoạt động chính
yếu từ các sai lỗi nghiêm trọng hay thảm họa và để đảm bảo khơi phục lại
tình trạng ban đầu một cách kịp thời.
- Tuân thủ (A.15): Việc tuân thủ các u cầu luật pháp, chính sách an ninh
và tiêu chuẩn.
4.2.1.3

Khn khổ ISMS

ISMS bao gồm các Chính sách, q trình, thủ tục, hướng dẫn, biểu mẫu áp
dụng, hồ sơ và nhật ký.
Cơng ty thiết lập các chính sách mức cao được áp dụng cho server, đồng
thời chọn lựa và thực thi các biện pháp quản lý (controls) để hỗ trợ cho các
chính sách ISMS. Việc chọn lựa này được dựa trên (không giới hạn) cơ sở sau:
- Các yêu cầu pháp luật và nghĩa vụ hợp đồng: Bảo vệ dữ liệu, hồ sơ của tổ
chức, tuân thủ Luật Sở hữu trí tuệ, Luật Công nghệ thông tin, các yêu cầu
trong hợp đồng
- Các yêu cầu trong hoạt động chính: tuân thủ tiêu chuẩn và chính sách an
ninh
- Các yêu cầu đánh giá rủi ro: Các mối nguy môi trường và truy cập bất hợp
pháp, sự cố ANTT, vi phạm an ninh, các quy định an ninh.

Chi tiết về đánh giá rủi ro được trình bày trong tài liệu: Phương pháp đánh
giá rủi ro. Đầu ra của quá trình đánh giá rủi ro gồm:
- Báo cáo đánh giá rủi ro
- Kế hoạch xử lý rủi ro
MS: ST-ISMS

Trang: 9/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

- Tuyên bố áp dụng (bao gồm cả lý do, lý giải cho các ngoại lệ)
Dựa trên cơ sở báo cáo đánh giá rủi ro, Ban an ninh lập kế hoạch xử lý rủi
ro (bao gồm cả việc chọn lựa biện pháp quản lý) trình Giám đốc ANTT duyệt để
thực thi xử lý rủi ro và / hoặc chấp nhận rủi ro
4.2.2 Thực thi và điều hành ISMS
Các mục tiêu kiểm soát và biện pháp quản lý được lựa chọn là một phần
của kế hoạch xử lý rủi ro phải được thực hiện trong Cơng ty và thơng qua đó
cũng có thể tạo điều kiện trong việc nhắc nhở nhận biết và phản ứng các sự kiện
ANTT
Công ty đảm bảo việc đào tạo và nhận thức phù hợp về ISMS được tiến
hành và đáp ứng các nguồn lực phù hợp để quản lý ISMS
Cơng ty duy trì một danh mục các rủi ro cần phải xử lý tương ứng với các
biện pháp quản lý chính nhằm mục đích giám sát để đảm bảo rằng các biện pháp
quản lý đã chọn có hiệu lực. Các nhật ký cho việc làm giảm rủi ro được duy trì
cho mục đích so sánh với trước khi xử lý.
4.2.3 Giám sát và xem xét ISMS
Công ty đảm bảo ISMS được giám sát và xem xét định kỳ một cách thỏa
đáng

a. Để giám sát các sự kiện ANTT, Cơng ty xây dựng một thủ tục đối phó
với các sự cố ANTT (Incident response), đảm bảo tất cả các sự cố, sự
kiện, các sai lỗi được nhận biết trong quá trình xử lý và được xử lý một
cách nhanh nhất có thể.
b. Cơng ty xây dựng một thủ tục cho quá trình xem xét của lãnh đạo và
một thủ tục cho quá trình đánh giá nội bộ ISMS. Việc xem xét của lãnh
đạo và đánh giá nội bộ nhằm đảm bảo hiệu lực của ISMS và tất cả các
chính sách, mục tiêu kiểm soát và biện pháp quản lý được thực thi và
đáp ứng các yêu cầu của Công ty.
c. Ban an ninh thông tin xem xét mức các rủi ro có thể chấp nhận và các
rủi ro cịn lại dựa trên cơ sở các thay đổi kỹ thuật đã triển khai, các mối
nguy, lỗ hổng và mục tiêu mới của Cơng ty
d. Tại những thời điểm thích hợp, các biện pháp quản lý được giám sát
tương ứng với nhật ký rủi ro hiện hành. Điều này được so sánh với mức
rủi ro trước đó nhằm xác nhận hiệu lực của các biện pháp quản lý.

MS: ST-ISMS

Trang: 10/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

4.2.4 Duy trì và cải tiến ISMS
Dựa trên cơ sở các báo cáo xem xét và các phát hiện trong đánh giá, các
hành động khắc phục, phòng ngừa phù hợp được thực thi và cập nhật vào ISMS.
Các đầu vào cải tiến có thể từ:
- Báo cáo đánh giá
- Báo cáo xem xét của lãnh đạo

- Báo cáo sự cố, sự kiện ANTT
- Báo cáo đánh giá rủi ro
- Các thay đổi trong tổ chức (Mục tiêu, q trình, thực tiễn cơng nghệ, luật
pháp và chế định, …)
- Các thay đổi môi trường (các mối nguy, lỗ hổng mới, các thay đổi về
cơng nghệ, kỹ thuật, …)
Cơng ty duy trì tất cả các yếu tố đầu vào trong một cơ sở dữ liệu cải tiến
được lưu trên mạng nội bộ của Công ty. Giám đốc an ninh thông tin tổng hợp
các đầu vào và xem xét ISMS cho mục đích cải tiến. Tất cả các nội dung thay
đổi được tạo ra, Giám đốc ANTT chuẩn bị một kế hoạch hành động và truyền
đạt kết quả cho tất cả các bên quan tâm và/ hoặc những bên chịu ảnh hưởng từ
kết quả đó. Tất các những điểm cải tiến phải hướng dến những mục tiêu đã được
xác định trước.
Các mục tiêu của năm do Ban an ninh thiết lập và được xem xét cho mục
đích cải tiến đã định.
(Tham khảo Thủ tục Hành động khắc phục và Thủ tục hành động phòng
ngừa)
4.3 Các yêu cầu tài liệu
Cấu trúc của hệ thống tài liệu:

MS: ST-ISMS

Trang: 11/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN

Chính
sách

ISMS

Sổ tay ISMS
Chính sách an ninh

Thủ tục, quy trình
Hướng dẫn, biểu mẫu
Các thành phần của tài liệu:
- Mức 0: Chính sách hệ thống quản lý an ninh thơng tin – Là chính sách
mức cao nhất của Công ty
- Mức 1: Sổ tay ISMS (Hệ thống quản lý ANTT) - Sổ tay này bao gồm các
yêu cầu của tiêu chuẩn ISO 27001 và mô tả cách thức đáp ứng các yêu
cầu.
- Mức 2: Bộ chính sách an ninh thơng tin của Cơng ty
- Mức 3: Các thủ tục và quy trình được yêu cầu cho việc thực hiện, điều
hành và giám sát ISMS
- Mức 4: Các hướng dẫn thực hiện và các biểu mẫu áp dụng trong quá trình
tác nghiệm
5.

Trách nhiệm của lãnh đạo:

Phần này trình bày cam kết của lãnh đạo trong việc thực thi và điều hành
ISMS một cách có hiệu quả. Đồng thời, xác định vai trò và trách nhiệm liên
quan đến hoạt động của ISMS
5.1 Cam kết của lãnh đạo:
MS: ST-ISMS

Trang: 12/21



SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
Lãnh đạo ủy quyền cho Giám đốc ANTT có trách nhiệm triển khai xây
dựng và cải tiến HTQL ANTT.
Lãnh đạo cung cấp bằng chứng về sự cam kết trong việc thiết lập, thực
thi, điều hành, giám sát, xem xét, duy trì và cải tiến ISMS bằng cách:
a. Thiết lập một chính sách ISMS
b. Đảm bảo các mục tiêu và kế hoạch của ISMS được thiết lập
c. Thiết lập vai trò và trách nhiệm về an ninh thông tin trong Công ty
d. Truyền đạt trong tổ chức về tầm quan trọng của việc đáp ứng các mục tiêu
ANTT và sự phù hợp với chính sách ANTT, trách nhiệm đối với pháp luật
và nhu cầu cải tiến liên tục
e. Cung cấp nguồn lực cần thiết cho việc thiết lập, thực hiện, vận hành, theo
dõi, xem xét, duy trì và cải tiến ISMS
f. Quyết định các tiêu chí chấp nhận rủi ro và các mức sủi ro có thể chấp
nhận
g. Đảm bảo tiến hành đánh giá nội bộ ISMS
h. Tiến hành xem xét của lãnh đạo về ISMS
5.1.1 Vai trò và trách nhiệm về an ninh thông tin
5.1.1.1 Giám đốc an ninh
Giám đốc an ninh có trách nhiệm cung cấp định hướng và hỗ trợ an ninh
thông qua các trách nhiệm sau:
- Bổ nhiệm Đại diện an ninh của Công ty
- Quyết định các chức danh trong hệ thống ANTT
- Thành lập Ban an ninh
- Xác định cấu trúc tổ chức an ninh
- Phê duyệt và ban hành các tài liệu của HTQL ANTT
- Đảm bảo các mục tiêu an ninh được xác định, đáp ứng các u cầu của
Cơng ty và được tích hợp vào trong các quá trình liên quan

- Xem xét và phê duyệt các chính sách ANTT
- Cung cấp nguồn lực và tài chính cần thiết cho việc đảm bảo ANTT
- Duyệt nhiệm vụ, vai trò và trách nhiệm cho các vị trí chức danh có liên
quan đến ANTT trong tổ chức
- Khởi xướng các kế hoạch và chương trình nhằm duy trì nhận thức ANTT
MS: ST-ISMS

Trang: 13/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
- Quyết định các tiêu chí đánh giá rủi ro, Phê duyệt và xem xét kế hoạch xử
lý rủi ro và chấp nhận rủi ro cịn lại
- Chủ trì cuộc họp xem xét của lãnh đạo về ISMS nhằm đảm bảo tính hiệu
lực của các chính sách ANTT đã thiết lập
5.1.1.2 Đại diện an ninh
- Xác định vai trò và trách nhiệm cụ thể về an ninh thông tin trong Công ty
- Tham mưu cho Giám đốc an ninh về định hướng trong việc đảm bảo an
ninh thông tin và tiếp nhận sự hỗ trợ cho các hoạt động và vận hành an
ninh
- Phát triển, duy trì kế hoạch an ninh và đảm bảo thực thi các kế hoạch an
ninh
- Chịu trách nhiệm chính trong việc xây dựng, duy trì và tham mưu sửa đổi
sổ tay ISMS, các thủ tục theo các điều khoản 4, 6, 8 và phụ lục A.10.1 của
ISO 27001; các biện pháp quản lý theo phụ lục A của tiêu chuẩn ISO
27001
- Đảm bảo các yêu cầu của hệ thống quản lý ANTT được truyền đạt và thực
thi trong Công ty
- Làm việc với Ban an ninh trong tất cả các hoạt động trong phạm vi trách

nhiệm, quyền hạn của Ban
- Điều phối 2 nhóm đối phó sự cố để giải quyết các vấn đề có liên quan khi
cần huy động để đối phó các sự cố.
- Đảm bảo các cuộc đánh giá nội bộ và bên ngoài được hoạch định và thực
hiện
- Tổ chức cuộc họp xem xét của lãnh đạo đối với hệ thống quản lý ANTT
- Xúc tiến, xem xét và phê duyệt các chương trình đào tạo nhận thức ANTT
trong Cơng ty
- Tập hợp, xem xét, phân phối cho các người chủ để giải quyết, phân tích
và báo cáo các sự cố
- Giám sát kịp thời và phù hợp các báo cáo không phù hợp có u cầu các
hành động khắc phục / phịng ngừa. Triển khai giám sát hành động khắc
phục, phòng ngừa
- Đảm bảo các biện pháp quản lý được thực thi
- Đảm bảo các hoạt động an ninh được thực thi tuân thủ các chính sách và
thủ tục đã được xác định
MS: ST-ISMS

Trang: 14/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN
- Trình Giám đốc ANTT nhân sự được đề cử vào các chức danh trên cơ sở
đề nghị của các đơn vị
5.1.1.3 Ban an ninh
- Xây dựng, duy trì và thực thi các chính sách và thủ tục của ISMS
- Chịu trách nhiệm chính trong việc thực thi điều khoản 5 của ISO 27001
- Thực hiện đánh giá rủi ro, chuẩn bị kế hoạch xử lý rủi ro và tuyên bố áp
dụng

- Đảm bảo ISMS phù hợp với các yêu cầu pháp luật hiện hành, yêu cầu
hoạt động của Công ty
- Đánh giá hệ thống và dịch vụ mới nhằm đảm bảo an ninh trước khi đưa
vào hệ thống, đồng thời xác định và thực hiện các biện pháp quản lý phù
hợp
- Điều phối các hoạt động ANTT trong Công ty
- Tham mưu áp dụng các kỹ thuật, công nghệ mới trong việc đảm bảo
ANTT trong ISMS
- Xác định và xử lý sự không phù hợp và gợi ý các hành động phản ứng các
sự cố an ninh thông tin
- Đồng phối hợp trong việc thực thi các biện pháp quản lý ANTT
- Tham gia xây dựng và duy trì các kế hoạch nhằm đảm bảo tính liên tục
trong hoạt động chính
- Tham gia vào hoạt động xem xét của lãnh đạo
- Xây dựng và triển khai các chương trình đào tạo an ninh thông tin
- Báo cáo trong diễn đàn ANTT các vấn đề liên quan giữa 2 kỳ họp của
diễn đàn
- Báo cáo kết quả đánh giá rủi ro cho diễn đàn ANTT thảo luận
- Phối hợp chặt chẽ với các bộ phận trong việc tổ chức thực hiện và giải
quyết các vấn đề ANTT
- Tổng hợp, đề xuất Giám đốc an ninh các biện pháp đảm bảo và xử lý vi
phạm ANTT
5.1.1.4 Đại diện an ninh đơn vị
- Thông qua phụ trách các đơn vị, phối hợp với Ban an ninh, phòng quản trị
mạng trong việc đảm bảo an ninh thơng tin trong đơn vị mình
MS: ST-ISMS

Trang: 15/21



SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
- Tổng hợp, đề xuất, báo cáo các vấn đề an ninh trong đơn vị, thông qua
phụ trách đơn vị, gửi đến các phòng ban chức năng liên quan (Ban an
ninh, phòng quản trị mạng).
- Trao đổi, thảo luận, đề xuất trong diễn đàn ANTT về các vấn đề liên quan
đến an ninh
5.1.1.5 Phịng Hành chính
a. Nhiệm vụ chung
- Phối hợp với Ban an ninh trong việc chuẩn bị và thực hiện kế hoạch xử lý
rủi ro
- Cung cấp các sự trợ giúp cần thiết và phối hợp với phòng Quản trị mạng
trong việc đào tạo nhận thức ANTT
- Xác định các tiêu chuẩn chức danh cho các vị trí liên quan trong ISMS
- Thực hiện các chính sách và thủ tục trong lĩnh vực được giao
- Giải quyết các sự cố an ninh thông tin trong lĩnh vực được giao
- Tham gia xem xét và đánh giá an ninh
- Đảm bảo thực hiện các hành động khắc phục phòng ngừa liên quan
- Triển khai thực hiện kế hoạch xử lý các rủi ro có liên quan đến đơn vị
- Chịu trách nhiệm chính trong việc nhận biết các yêu cầu pháp luật, chế
định liên quan áp dụng trong Công ty, tổ chức cập nhật và phổ biến các
yêu cầu chế định và pháp luật có liên quan đến ANTT cho nhân viên
- Hướng dẫn cho đội ngũ bảo vệ trong việc nhận biết khách và hướng dẫn
an ninh cho khách
b. Văn thư lưu trữ
- Đảm bảo các hồ sơ được lưu tuân thủ thủ tục kiểm soát hồ sơ
c. Bảo vệ an ninh vật lý và môi trường
- Đảm bảo khuôn viên Công ty luôn được giám sát và bảo vệ 24/24
- Đảm bảo việc kiểm soát vào ra tuân thủ các chính sách và thủ tục
- Tham gia các khóa đào tạo cho đội ngũ bảo vệ cơ quan nhà nước của tỉnh

- Hướng dẫn an ninh cho khách
- Đảm bảo thực hiện các quy định được nêu trong các chính sách ANTT
liên quan đến cơng tác của bảo vệ
- Trong trường hợp khẩn cấp, bảo vệ có quyền thực hiện ngay các biện
pháp nhằm ngăn chặn các hành vi vi phạm chính sách ANTT của Cơng ty
hoặc các trường hợp nguy cấp (bảo, cháy, nổ, ngập nước, ngăn ngừa tội
MS: ST-ISMS

Trang: 16/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN
phạm…) có khả năng ảnh hưởng đến tài sản thông tin, các trường hợp này
bảo vệ phải báo cáo với Giám đốc ANTT và/hoặc Đại diện an ninh của
Công ty ngay sau khi thực hiện biện pháp ngăn chặn hoặc ngay khi có
điều kiện.
d. Trao đổi thơng tin với bên ngồi
- Nhận công văn đến và gửi công văn đi
- Quản lý việc trao đổi thơng tin với bên ngồi thơng qua điện thoại, fax và
email
e. Quản lý tài sản chung
- Thực hiện kiểm kê tài sản và xác định người chủ các tài sản
- Tham gia đánh giá rủi ro đối với tất cả các tài sản thông tin
5.1.1.6

Diễn đàn ANTT

Diễn đàn an ninh được tổ chức nhằm:
- Trao đổi, thảo luận các vấn đề an ninh thông tin

- Xem xét các chính sách an ninh thơng tin và các giải quyết các vấn đề liên
quan đến ANTT
- Giám sát các thay đổi trong hoạt động có liên quan đến việc tiết lộ tài sản
thông tin cho các mối nguy nghiêm trọng
- Xem xét và giám sát các sự kiện an ninh
- Phê duyệt các sáng kiến quan trọng nhằm nâng cao mức độ ANTT
- Xác định vai trò và trách nhiệm ANTT
- Thảo luận và quyết định về đánh giá rủi ro
5.1.1.7

Người dùng

- Cam kết bảo mật thông tin
- Tuân thủ nghiêm các chính sách an ninh do Cơng ty ban hành
- Tuân thủ các yêu cầu pháp luật, chế định đã nhận biết
- Báo cáo các sự kiện an ninh khi phát hiện
- Phối hợp với phụ trách đơn vị duy trì mơi trường an ninh
- Tham gia một cách tích cực vào hoạt động sáng kiến, cải thiện an ninh
thông tin trong Công ty
5.2 Quản lý nguồn lực
MS: ST-ISMS

Trang: 17/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

5.2.1 Cung cấp nguồn lực
Lãnh đạo cung cấp nguồn lực để thiết lập, thực thi, vận hành, theo dõi,

duy trì, xem xét và cải tiến ISMS. Nguồn lực bao gồm: tài chính, nhân lực, thời
gian và bất cứ nguồn lực nào khác cần thiết nhằm đảm bảo hiệu lực của ISMS
Định kỳ đánh giá các yêu cầu đối với nguồn lực dựa trên cơ sở đánh giá
rủi ro, các hồ sơ xem xét, các hồ sơ đánh giá. Dựa trên cơ sở các yêu cầu đối với
nguồn lực, lãnh đạo phê duyệt các nguồn lực cần thiết
5.2.2 Năng lực, nhận thức và đào tạo
Nhân viên được giao nhiệm vụ quản lý ISMS phải có kỹ năng và kinh
nghiệm trong lĩnh vực ANTT. Khi kỹ năng và kinh nghiệm không đáp ứng được
các yêu cầu thì phải tiến hành đào tạo nhằm đảm bảo kỹ năng và nhận thức đáp
ứng được yêu cầu nhiệm vụ được giao. Việc đào tạo cần:
- Xác định nhu cầu đào tạo (bao gồm cả các vị trí đặc biệt như quản trị
mạng, …)
- Xác định các tổ chức, cá nhân đủ điều kiện để tiến hành đào tạo
- Tổ chức các chương trình đào tạo
- Duy trì các hồ sơ tham dự, các chương trình đào tạo và phản hồi trong và
sau quá trình đào tạo.
6.

Đánh giá nội bộ

Công ty tiến hành đánh giá nội bộ 1 lần trong năm. Việc đánh giá được
tiến hành nhằm đảm bảo ISMS:
- Tuân thủ các yêu cầu của tiêu chuẩn ISO 27001
- Tuân thủ các yêu cầu pháp luật, chế định và nghĩa vụ hợp đồng liên quan
- Tuân thủ các yêu cầu an ninh thông tin đã nhận biết
- Được thực thi và duy trì có hiệu quả
Các cuộc đánh giá an ninh nội bộ được tiến hành theo thủ tục “Đánh giá
nội bộ”. Chuyên gia đánh giá không được đánh giá lĩnh vực hoạt động mình phụ
trách. Trưởng ban an ninh phải đảm bảo các sự không phù hợp được xử lý.
Trưởng ban an ninh có trách nhiệm lập kế hoạch, tổ chức và duy trì hồ sơ đánh

giá
7.

Xem xét của lãnh đạo về ISMS

MS: ST-ISMS

Trang: 18/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
Đại diện an ninh có trách nhiệm chủ trì, phối hợp với Ban an ninh chuẩn
bị kế hoạch xem xét của lãnh đạo phù hợp với thủ tục “Xem xét của lãnh đạo”
Xem xét của lãnh đạo về ISMS được thực hiện thường xuyên hàng tuần
phối hợp trong cuộc họp giao ban và ít nhất 01 lần trong năm sau lần đánh giá
nội bộ hoặc bất kỳ lúc nào phù hợp và thỏa đáng cho việc cải tiến hệ thống.
Cuộc họp xem xét của lãnh đạo bao gồm đánh giá cơ hội cải tiến và nhu cầu
thay đổi ISMS, việc xem xét chính sách an ninh và mục tiêu an ninh thơng tin
được xem xét ít nhất 1 lần trong năm.
Đầu vào cuộc họp xem xét của lãnh đạo gồm:
- Kết quả của các cuộc xem xét và đánh giá ISMS
- Phản hồi từ các bên quan tâm
- Các kỹ thuật, sản phẩm hay thủ tục có thể được sử dụng trong tổ chức để
cải tiến tính hiệu lực của ISMS
- Tình trạng các hành động khắc phục và phòng ngừa, các điểm yếu hoặc
mối đe dọa chưa được nêu đầy đủ trong đánh giá rủi ro trước đó.
- Kết quả của các đo lường tính hiệu lực
- Các hoạt động tiếp theo từ các cuộc xem xét của lãnh đạo trước đó
- Các thay đổi ảnh hưởng đến ISMS (tổ chức, Luật, chế định, …)

- Các khuyến nghị cải tiến
Đầu ra của xem xét của lãnh đạo:
- Cải tiến tính hiệu lực của ISMS
- Cập nhật các đánh giá rủi ro và các kế hoạch xử lý rủi ro
- Thay đổi các thủ tục và các biện pháp quản lý ảnh hưởng đến ANTT khi
cần để phản ứng lại các sự kiện nội bộ hay bên ngoài tác động lên ISMS,
các thay đổi gồm:
• Các yêu cầu đối với hoạt động chính,
• Các u cầu an ninh,
• Các q trình của hoạt động chính yếu ảnh hưởng đến các yêu cầu hoạt
động chính yếu hiện tại,
• Các u cầu của chế định và pháp luật,
• Các nghĩa vụ hợp đồng,
• Các mức độ rủi ro và hoặc chuẩn mực chấp nhận rủi ro.
- Các nhu cầu về nguồn lực
- Việc cải tiến cách thức đo lường tính hiệu lực của các biện pháp kiểm soát
MS: ST-ISMS

Trang: 19/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
Kết quả của các cuộc xem xét và đánh giá đều phải được lập thành tài liệu
rõ ràng, các hồ sơ được duy trì theo thủ tục “Kiểm sốt tài liệu” và thủ tục
“Kiểm soát hồ sơ”
8.

Cải tiến ISMS


8.1 Cải tiến liên tục
Đại diện an ninh Cơng ty có trách nhiệm đối với việc cải tiến liên tục
ISMS.
Đầu vào cho quá trình cải tiến có thể từ:
- Các thay đổi về mục tiêu và chính sách an ninh
- Các báo cáo đánh giá nội bộ và xem xét của lãnh đạo
- Các báo cáo sự cố an ninh
- Kết quả phân tích các sự kiện được giám sát
- Các hành động khắc phục và phịng ngừa
- Các thay đổi hoạt động chính yếu của
- Thay đổi về bối cảnh rủi ro (môi trường: mối nguy và lỗ hổng mới)
- Các nguyên tắc công nghệ
8.2 Hành động khắc phục
Đại diện an ninh Công ty có trách nhiệm xem xét các đầu vào đã nhận biết
(như sự khơng phù hợp) cho mục đích cải tiến và chuẩn bị kế hoạch cải tiến với
sự trợ giúp của Ban an ninh. Kế hoạch này được trình cho lãnh đạo phê duyệt.
(tham khảo thêm thủ tục “Hành động khắc phục”)
9.

Các biện pháp kiểm soát trong ISMS

Phần này mô tả việc chọn lựa và thực thi các biện pháp kiểm sốt. Thêm
vào đó, việc chọn lựa các biện pháp kiểm sốt trình bày khả năng áp dụng các
biện pháp kiểm soát được đề nghị trong tiêu chuẩn.
Các mục tiêu kiểm soát và biện pháp kiểm soát được liệt kê trong phần này
được trích từ tiêu chuẩn ISO 27001.
Các biện pháp kiểm sốt có thể được áp dụng cho Công ty được đề cập và
xác định trong phần này.
Các biện pháp kiểm sốt khơng được áp dụng được nêu trong mục “10.
ngoại lệ”

MS: ST-ISMS

Trang: 20/21


SỔ TAY
HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
(Tham khảo thêm bản “Tun bố áp dụng”)
[Mơ tả tóm tắt các biện pháp kiểm sốt]
10.

Ngoại lệ: Khơng.

MS: ST-ISMS

Trang: 21/21



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×