Thực Trạng Áp Dụng ISO 27001
Tại Ngân Hàng TMCP Ngoại
thương Việt Nam
GVHD: TS T Th Ki u Anạ ị ề
Th c hi n: nhóm 7ự ệ
Phần 1: giới thiệu tiêu chuẩn
ISO 27001
Phần 2: phân tích thực
trạng áp dụng tại ngân
hàng TMCP ngoại
thương việt nam
Giới thiệu

ISO 27001 là tiêu chuẩn của
Anh về hệ thống quản lý an ninh
thông tin (viết tắt là ISMS).

Tiêu chuẩn quốc tế này được
xây dựng để đưa ra một mô
hình cho việc thiết lập, triển
khai, điều hành, giám sát, soát
xét, bảo trì và nâng cấp ISMS

Plan (thiết lập các hệ thống
ISMS)
Thiết lập hệ thống ISMS, chính sách,
mục tiêu, quy trình và thủ tục liên quan
đến quản lý rủi ro và cải thiện an ninh
thông tin để cung cấp kết quả phù hợp
với chính sách và mục tiêu chung của

tổ chức.
Do (thực hiện và hoạt động
ISMS)
Thực hiện và điều hành chính sách
ISMS, điều khiển, quy trình vàthủ tục.
Check (giám sát và đánh
giá ISMS)
Đánh giá và, nếu có thể, quá trình thực
hiện biện pháp chống lại chính sách
ISMS, mục tiêu và kinh nghiệm thực tế
và báo cáo kết quả để quản lý xem xét.
Act (duy trì và cải thiện
ISMS)
Có những hành động khắc phục và
phòng ngừa, dựa trên kết quả của
kiểm toán ISMS nội bộ và xem xét
hoặc thông tin liên quan khác, để cải
tiến liên tục hệ thống ISMS.
Tiêu chuẩn iso 27001

Phạm vi áp dụng: Tiêu chuẩn này hướng tới việc áp
dụng rộng rãi cho nhiều loại hình tổ chức khác nhau.

ISMS được thiết kế để bảo đảm lựa chọn kiểm soát an
ninh thích hợp và tương xứng để bảo vệ tài sản thông
tin và sự tin tưởng cho các bên liên quan.

Các yêu cầu đặt ra trong tiêu chuẩn này mang tính tổng
quát và nhằm áp dụng cho tất cả các tổ chức, bất kể
loại hình, qui mô và tính chất.

Thuật ngữ và định nghĩa

Tài sản

Tính sẵn sàng

Tính bí mật

An toàn thông tin

Hệ thống quản lý an toàn thông tin

Tính toàn vẹn

Phân tích, đánh giá rủi ro

Thông báo áp dụng

Tài liệu

Hồ sơ
THIẾT LẬP HỆ THỐNG QUẢN LÝ
ATTT

Phạm vi và ranh giới của hệ thống quản lý
ATTT (ISMS).

Chính sách ISMS.

Phương pháp đánh giá rủi ro của tổ chức.


Những rủi ro.

Phân tích và đánh giá rủi ro.

Đánh giá các lựa chọn để xử lý rủi ro.
THIẾT LẬP HỆ THỐNG QUẢN LÝ
ATTT (cont)

Chọn mục tiêu kiểm soát và điều khiển để
xử lý rủi ro.

Được giám đốc phê chuẩn rủi ro thặng dư
trong kế hoạch.

Được giám đốc ủy quyền thực hiện và vận
hành hệ thống ISMS.

Chuẩn bị một bản báo cáo để áp dụng.
TRIỂN KHAI VÀ ĐiỀU HÀNH ISMS

Lập kế hoạch xử lý rủi ro

Triển khai kế hoạch xử lý rủi ro

Xác định cách thức đo lường hiệu quả

Triển khai các chương trình đào tạo nâng
cao nhận thức


Xây dựng các quy trình quản lý hoạt
động, quản lý tài nguyên, cách ứng phó
khi có các sự cố ATTT xảy ra
THEO DÕI VÀ GIÁM SÁT ISMS

Thực hiện giám sát và chuẩn bị các phương án
đối phó với các sự cố ATTT

Thực hiện đánh giá thường xuyên về hiệu quả
của hệ thống ISMS.

Đo lường hiệu quả của các biện pháp quản lý
ATTT

Cập nhật, ghi chép lại các sự kiện và hoạt động
ảnh hưởn đến hệ thống quản lý ATTT.
DUY TRÌ VÀ NÂNG CẤP ISMS

Triển khai các nâng cấp cho hệ thống thường
xuyên.

Thường xuyên cập nhật các biện pháp phòng
ngừa, xử lý sự cố thích hợp. Có thể tham khảo
kinh nghiệm từ các tổ chức khác.

Trước khi nâng cấp thì cần thông báo.

Đánh giá việc duy trì và nâng cấp có phù hợp và
đạt chất lượng hay không.
CAM KẾT CỦA BAN QUẢN LÝ

1. Cam kết: cung cấp bằng chứng về cam kết
thành lập, thực hiện, vận hành, giám sát,
xem xét, duy trì và cải thiện hệ thống ISMS
2. Quản lý nguồn lực:
1. Cung cấp nguồn lực 2. Đào tạo, nâng cao nhận thức
và năng lực
Tổ chức phải xác định
và cung cấp nguồn nhân
lực cần thiết để thực
hiện và giải quyết các
vấn đề liên quan đến
ISMS
Tổ chức phải đảm bảo rằng tất cả
các những người có liên quan đến
ISMS phải có đầy đủ năng lực để
thực hiện các nhiệm vụ, nghĩa vụ
của mình.
KIỂM TRA VÀ RÀ SOÁT NỘI BỘ

Thực hiện theo yêu cầu của ban quản lý và theo định
kỳ căn cứ theo các quy định về pháp lý và các chính
sách về đảm bảo về ATTT.

Các tiêu chí để ban quản lý đánh giá ISMS: kết quả
kiểm tra, hiện trạng về rủi ro và sự cố, các báo cáo
lần trước, các kiến nghị nhằm cải thiện ISMS.

Sau khi đánh giá cần phải đề ra: các biện pháp nâng
cao năng lực ISMS, cập nhật các kế hoạch xử lý rủi
ro, việc cấp phát các nguồn lực hiệu quả.

TRIỂN KHAI TIÊU CHUẨN ISO 27001
CHO TỔ CHỨC
1. Khởi động dự án
2. Thiết lập ISMS
3. Đánh giá rủi ro
4. Xử lý rủi ro
5. Đào tạo và nhận thức
6. Chuẩn bị đánh giá
7. Đánh giá
8. Kiểm soát và cải tiến liên tục
LỢI ÍCH CỦA VIỆC ÁP DỤNG
TIÊU CHUẨN ISO 27001

Cấp độ tổ chức

Cấp độ pháp luật

Cấp độ điều hành

Cấp độ thương mại

Cấp độ tài chính

Cấp độ con người
Phần 2: phân tích thực
trạng áp dụng tiêu
chuẩn ISO 27001:2005
tại Ngân hàng TMCP
Ngoại thương Việt Nam
(VCB)

GIỚI THIỆU VỀ NGÂN HÀNG TMCP
NGOẠI THƯƠNG VIỆT NAM (VCB)

Sứ mạng: Hướng tới một ngân hàng xanh, phát
triển bền vững vì cộng đồng.
ÁP DỤNG TIÊU CHUẨN ISO
27001 TẠI VCB

Phạm vi áp dụng: áp dụng các quy
định và tiêu chuẩn được ban hành
kèm theo các văn bản cho toàn bộ
các Trung tâm, phòng/ban, các bộ
phận nghiệp vụ tại Hội sở chính, Sở
giao dịch, các Chi nhánh, Công ty
TNHH MTV cho thuê tài chính Ngân
hàng Ngoại thương
ÁP DỤNG TIÊU CHUẨN ISO
27001 TẠI VCB

Trách nhiệm của các cá nhân, đơn vị
có liên quan:

Lãnh đạo đơn vị

Tổ ISO

Bộ phận giám sát

Các đơn vị bộ phận


Trưởng đoàn đánh giá nội bộ

Các thành viên trong đoàn đánh giá
ÁP DỤNG TIÊU CHUẨN ISO
27001 TẠI VCB

Các khái niệm:

Thông tin

Tính bảo mật

Tính toàn vẹn

Tính sẵn sàng

Rủi ro

Đánh giá rủi ro
ÁP DỤNG TIÊU CHUẨN ISO
27001 TẠI VCB

Các bước đánh giá rủi ro

Mô tả tài sản CNTT

Xác định các nguy cơ

Xác định các điểm yếu


Xác định các kiểm soát hiện tại

Ước lượng khả năng xuất hiện

Ước lượng mức độ ảnh hưởng của nguy cơ đối
với tài sản

Xác định mức độ rủi ro

Đề xuất các kiểm soát và lựa chọn xử lý rủi ro

Xác định mức độ rủi ro còn lại
ÁP DỤNG TIÊU CHUẨN ISO
27001 TẠI VCB

Duy trì, cập nhật danh sách nguy
cơ và điểm yếu của ISMS:

Xác định nguy cơ

Xác định điểm yếu

Liệt kê các kiểm soát

Xác định khả năng xuất hiện của
nguy cơ
Quy trình kiểm soát Tài liệu của Hệ thống quản lý an toàn
thông tin của Ngân hàng TMCP Ngoại thương Việt Nam
Quy trình kiểm soát hồ sơ của Hệ thống quản lý an toàn
thông tin của Ngân hàng TMCP Ngoại thương Việt Nam