Tải bản đầy đủ (.docx) (38 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Hệ thống quản lý an toàn thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (188.2 KB, 38 trang )

Phần 1: Hướng dẫn hệ thống quản lý an toàn thông tin chính phủ
1. Giới thiệu
Sổ tay hướng dẫn Hệ thống quản lý an toàn thông tin chính phủ (The Government
Information Security Management System Manual) kiểm tra và thực hiện như 1
phần của Hệ thống quản lý an toàn thông tin chính phủ, dưới chính sách Hệ thống
quản lý an toàn thông tin chính phủ, được công khai bởi thủ tướng chính phủ,
người đứng đầu chính phủ.
2. Phạm vi
Áp dụng cho tất cả các cơ quan tổ chức sau:
3. Tài liệu viện dẫn, thuật ngữ và định nghĩa
3.1 Tài liệu viện dẫn
ISO/ISE 27001:2005– Công nghệ thông tin – Các phương pháp kỹ thuật an toàn –
Hệ thống quản lý an toàn thông tin– Các yêu cầu.
3.2 Các thuật ngữ và định nghĩa
Hệ thống quản lý an toàn thông tin (ISMS)
Hệ thống quản lý an toàn thông tin cho chính phủ (Government Information
Security Management System – GISMS):
Là hệ thống quản lý an toàn thông tin (ISMS) cho chính phủ. ISMS được tham
chiếu từ tiêu chuẩn ISO/IEC 27001.
Cơ quan an toàn thông tin chính phủ (Government information security
Office – GIS Office):
Là cơ quan chịu trách nhiệm thiết lập chính sách, tiêu chuẩn và hướng dẫn cho Hệ
thống quản lý an toàn thông tin cho chính phủ.
Lãnh đạo an toàn thông tin (Chief Information Security Officer - CISO):
Là một cán bộ quản lý cấp cao thuộc Bộ, có trách nhiệm rõ ràng trước Bộ.
Cán bộ quản lý an toàn thông tin (IS Manager)
Vai trò này được giao cho 1 cán bộ của cơ quan và có trách nhiêm trong cả 2: sổ
tay hướng dẫn hệ thống quản lý an toàn thông tin và Sách nguyên tắc an toàn hệ
thống thông tin chính phủ
Sách kiểm tra rủi ro (Risk Check Book):
Là một loại sách kiểm tra để định nghĩa tài sản thông tin, đánh giá tài sản thông tin,


kiểm tra những rủi ro tiềm ẩn, xác định rủi ro và đánh giá rủi ro.
Sách nguyên tắc Hệ thống quản lý an toàn thông tin cho chính phủ
(Government Information Security Security Rule Book – GIS Rule Book) :
Định nghĩa nguyên tắc và các thủ tục an toàn cho từng tài sản thông tin.
4. Hệ thống quản lý rủi ro an toàn thông tin Chính phủ (Government
Information Security Management System - GISMS)
GISMS lập kế hoạch, thực hiện, kiểm tra, hành động theo chu trình khép kín
PDCA tham chiếu từ tài liệu ISO/IEC 27001. Tài liệu này cũng định nghĩa các quy
trình của GISMS và định nghĩa các biện pháp kiểm soát và ghi tài liệu.
4.1 Lập kế hoạch (Thiết lập)
Quy trình lập kế hoạch bao gồm 5 quy trình con; hướng và hướng dẫn chính sách,
định nghĩa phạm vi của GISMS, đánh giá rủi ro, phát triển hướng dẫn GIS và chứa
những phê chuẩn.
4.1.1 Hướng chinh sách GISMS và sổ tay hướng dẫn GISMS
Đây là bước đầu tiên, chính sách GISMS đỏ, là tài liệu công bố mục tiêu và chính
sách của GISMS. Sổ tay GISMS hướng dẫn áp dụng cho tất cả tổ chức, cơ quan
chính phủ.
4.1.2 Định nghĩa phạm vi của ISMS
Khi 1 Bộ bắt đầu phát triển hệ thống quản lý an toàn thông tin ISMS, đều cần
phải xác định phạm vi của chu trình PDCA. Đây là bước áp dụng chung nhất để
xác định phạm vi bằng các phương tiện vật lý, như là phạm vi bao quanh/tòa
nhà. Phạm vi này có thể được xác định bằng ảnh hưởng của mạng hê thống
thông tin của các biện pháp và xử lý những mối đe dọa. Cần xác định cẩn trọng
phạm vi bằng sơ đồ tổ chức bởi vì có thể gây khó khăn khi triển khai. Phiên bản
khởi tạo của GISMS chỉ tập trung cho phạm vi là các PC khách và sẽ phát triển
đầy đủ hơn trong tương lai.
4.1.3 Đánh giá rủi ro
Thủ tục đánh giá rủi ro bao gồm 5 bước sau: Xác định tài sản thông tin, Đánh
giá tài sản thông tin, Kiểm trả rủi ro tiềm ẩn, Xác định rủi ro và đánh giá rủi ro.
Thủ tục chi tiết được xác định trong sách kiểm tra rủi ro. Có thể tham khảo

them trong Sách kiểm tra rủi ro.
Bước 1: Xác định tài sản
Xác định tài sản. Sách kiểm tra rủi ro đưa ra 6 tài sản mặc định, 4 tài sản
khác như phương tiện, giấy tờ, PC khách, mạng và tài sản máy chủ được
được xác định bởi cơ quan cho mỗi lần để tự kiểm tra.
Bước 2: Đánh giá tài sản
Bước tiếp theo để đánh giá tài sản. Có 3 thuộc tính của thông tin: bí mật,
toàn vẹn và sẵn sàng. Chọn 1 lớp theo các tiêu chuẩn được thể hiện dưới
đây:
1: Đánh giá tính bí mật
# Lớp Đánh giá Mô tả
C1 1:Chung 1 Tài sản thông tin mở công khai
C2 2:Nội bộ 2
Thông tin chỉ được sử dụng trong điều hành
nghiệp vụ của chính phủ
C3 5: Bí mật 5
Tính bí mật trong số người dùng có thẩm
quyền đã bị giới hạn
2: Đánh giá tính nguyên vẹn
# Lớp Đánh giá Mô tả
I1 1:Thấp 1
Không ảnh hưởng đến tính liên tục nghiệp vụ
bằng cách giả mạo
I2
2:Trung
bình
3 Chi phí điều hành tác động bằng cách giả mạo
I3 Cao 5 Tác động chính trị bằng cách giả mạo
3: Đánh giá tính sẵn sàng
# Lớp Đánh giá Mô tả

A
1
1:Thấp 1 Ngắt dịch vụ được cho phép hơn 24 giờ
A
2
2:Trung
bình
3 Ngắt dịch vụ được cho phép đến 24 giờ
A
3
5:Cao 5 Ngắt dịch vụ được cho phép đến 4 giờ
Đánh giá tổng của tài sản xác định bằng tổng của 3 thành phần. Soát xét và duyệt
lại đánh giá tính bí mật, toàn vẹn, sẵn sàng nếu cảm thấy giá trị tài sản tổng khác
với thực tế.
4: Đánh giá tài sản (Điểm = bí mật + toàn vẹn + sẵn sàng)
# Lớp Đánh giá Điểm Mô tả
A
1
1:Thấp 1 3 đến 6
Tài sản có tác động 1 cách vừa phải trong
1 hoạt động
A
2
2:Trung
bình
2 7 đến 12
Tài sản có tác động to lớn trong 1 hoạt
động
A
3

3:Cao 3
13 đến
15
Tài sản có tác động to lớn trong 1 quản trị
chung
Bước 3: Kiểm tra tài sản
Kiểm tra tài sản. Chọn là Có hoặc Không cho mỗi lần kiểm tra
(Kiểm tra các mục của máy tính cá nhân PC)
 Phân công một người sử dụng chính ở mức tối thiểu cho tất cả máy
tính cá nhân.
 Sử dụng 1 mật khẩu mạnh và thay đổi 1 cách có định kỳ.
 Cấm chia sẻ tài khoản và mật khẩu người dùng với một vài người.
 Xóa màn hình hiển thị bằng chức năng bảo vệ màn hình có cả mật
khẩu bảo vệ
 Quét các ổ chứa địa phương với phần mềm chống virus một cách
định kỳ
 Sử dụng chức năng phát hiện virus một cách tự động thường xuyên
 Cập nhật file nhận dạng virus một cách thường xuyên
 Giữ các bản ghi quét và cập nhật nhận dạng virus
 Kết nối với UPS cho tất cả các máy tính cá nhân
 Thực thi xóa, định dạng các thiết bị lưu trữ
Bước 4: Đánh giá rủi ro
Đánh giá mối hiểm họa và điểm yếu để áp dụng cho tiêu chuẩn. Với mỗi
kiểm tra có ví dụ của mối đe dọa trong 1 cột chú thích để nhận dạng dễ
dàng hơn cho các mối đe dọa đặc trưng.
6: Đánh giá mối đe dọa
# Lớp Đánh giá Mô tả
T1 1:Thấp 1 Khả năng các mối đe dọa xảy ra là thấp
T2 2:Trung bình 2 Khả năng các mối đe dọa xảy ra là trung bình
T3 Cao 3 Khả năng các mối đe dọa xảy ra là cao

7: Đánh giá lỗ hổng
# Lớp Đánh giá Mô tả
V
1
1: Thấp 1
Được điều chỉnh đủ để bảo mật chống lại 1
mối đe dọa
V
2
2:Hơi cao 2
Được điều chỉnh nhưng không có cơ hội để
cải tiến
V
3
3:Trung bình 3
Được điều chỉnh thích hợp nhưng vẫn cần để
cải tiến
V
4
4:Cao 4
Không có điều chỉnh để chống lại 1 mối đe
dọa
Đánh giá rủi ro tổng được xác định bằng tính toán sau:
8: Đánh giá rủi ro (Điểm = (tài sản + mối đe dọa) * điểm yếu)
# Lớp Đánh giá Điểm Mô tả
R1 1:Thấp 1 2 đến 6 Rủi ro được cho phép
R3 2:Cao 2 8 đến 24 Rủi ro không cho phép cần có sự điều chỉnh
Bước 5: Quyết định biện pháp
Tất cả các mục kiểm tra được đánh giá là rủi ro “Cao” yêu cầu phải điều
chỉnh. Nhìn chung, cần thiết để triển khai các nguyên tắc, thủ tục để

giảm nhẹ rủi ro . Do đó, cần thiết phải phát triển Sách nguyên tắc an toàn
thông tin. Sau khi quyết định sử dụng các biện pháp và tiến hành các xử
lý những danh mục rủi ro, đánh giá rủi ro lần nữa và chắc chắn tất cả các
danh mục kiểm tra được đánh giá ở mức “Thấp”.
4.1.4 Phát triển sách nguyên tắc đảm bảo an toàn thông tin chính phủ
Sách nguyên tắc đảm bảo an toàn thông tin chính phủ được định nghĩa
bởi Bộ. Dựa trên kết quả đánh giá rủi ro, xử lý chủ yếu để xác định các
nguyên tắc và thủ tục để làm giảm rủi ro đã được bộc lộ. Sách nguyên tắc
đảm bảo an toàn thông tin chính phủ cần phải chứa 5 nội dung sau: Xác
định phạm vi của 1 hệ thống quản lý an toàn thông tin, Tổ chức an toàn
thông tin, Nguyên tắc và các thủ tục, Đào tạo an toàn thông tin và Đo
lường kiểm tra và hành động. Mẫu Sách nguyên tắc đảm bảo an toàn
thông tin chính phủ cho 1 Bộ bắt buộc phải sử dụng, vai trò của cơ quan
an toàn thông tin chính phủ GIS được mô tả trong chương 5 Quản lý
trách nhiệm. 3 Bước tiếp theo được giải thích để phát triển sách an toàn
thông tin chính phủ.
4.1.5 Xác định phạm vi của hệ thống quản lý an toàn thông tin trong sách
nguyên tắc đảm bảo an toàn thông tin chính phủ
Phạm vi của hệ thống quản lý an toàn thông tin ở chương 4.1.2 được tài
liệu hóa trong Sách nguyên tắc đảm bảo an toàn thông tin chính phủ, nơi
để nghị để làm rõ các tài sản thông tin và liên quan đến địa điểm vật lý /
tổ chức/cơ quan được đưa ra trong mẫu sách nguyên tắc.
4.1.5.1. Xác định nguyên tắc/thủ tục không áp dụng trọng mẫu sách
nguyên tắc
Các nguyên tắc và thủ tục dựa trên tài sản thông tin và phạm vi tính bí
mật của từng Bộ, không cần xác định trừ khi tài sản thông tin đích tồn
tại trong phạm vi này.
4.1.5.2. Xác định các nguyên tắc và thủ tục trong sách nguyên tắc
mẫu
Sách cần thiết xác định được an toàn hơn nếu số lượng thông tin trong 1

Bộ bí mật hơn theo kết quả của 1 đánh giá rủi ro. Sách cần phải thêm
các định nghĩa nếu như sách nguyên tắc mẫu không chứa các tài sản
thông tin trong phạm vi này. Trong trường hợp sau, đề nghị để thảo
luận với cơ quan an toàn thông tin chính phủ trước khi bắt đầu định
nghĩa các nguyên tắc và thủ tục, để quyết định định nghĩa tiêu chuẩn
của tài sản thông tin mới.
4.1.6 Đạt được các phê duyệt(? chấp thuận)
Có 2 bước phê duyệt. Tất cả các bước từ chương 4.1.1 đến 4.1.4 được
hoàn thành và danh sách kiểm tra rủi ro và sách nguyên tắc đảm bảo an
toàn thông tin chính phủ bao gồm người quản lý cấp cao an toàn thông
tin và bản quản lý an toàn thông tin phải được tài liệu hóa 1 cách đầy đủ,
tiến trình lập kế hoạch và tài liệu sẽ được soát xét và phê duyệt bởi cơ
quan GIS.
Trường hợp rất đặc biệt có phép chấp nhận một rủi ro như là rủi ro còn
tồn động mặc dù rủi ro đó không vượt quá mức chấp nhận được trong
đánh giá rủi ro 1 cách tự động trong Sách kiểm tra rủi ro.
Sự phê duyệt của người quản lý đứng đầu của Bộ phải triển khai đầy đủ
và có hiệu quả ở Bộ.
4.2 Thực hiện (triển khai và thực thi)
Điều đầu tiên cần thực hiện khi triển khai ISMS ở 1 Bộ là thiết lập ISO. Sau đó,
CISO sẽ phân công cho các thành viên ISO để chuẩn bị và tiến hành đào tạo an
toàn thông tin. Một ISMS là một hệ thống quản lý, do đó, cần được ưu tiên đào tạo
đầu tiên.
4.3 Kiểm tra (Giám sát và soát xét)
Cần phải có 1 chặng đường dài để đưa ISMS thành một phần vô cùng quan trọng
của tổ chức và cần thiết phải có nhiều sự cải tiến và nỗ lực liên tục.
Để nắm được tình trạng khách quan để thảo luận cho bất kỳ sự cải tiến nào, hệ
thống đo lường cần phải được thiết lập và xác định trong Sách nguyên tắc đảm bảo
an toàn thông tin chính phủ.
Kiểm toán nội bộ để điều tra hiệu quả của hệ thống quản lý an toàn thông tin đã

triển khai cũng như yêu cầu phải tìm những phát sinh để lưu trữ các mức rủi ro
trong quy trình lập kế hoạch và soát xét các mức độ chấp nhận được của rủi ro. Kết
quả của đánh giá rủi ro phải được cập nhật trong Sách nguyên tắc rủi ro.
Thường xuyên kiểm và hành động phải được định nghĩa trong Sách nguyên tắc
đảm bảo an toàn thông tin chính phủ, tuy nhiên cần phải thực hiên ít nhất 1 lần
trong 1 năm hoặc hơn nữa.
4.4 Hành động (duy trì và cải tiến)
Kết quả của phép đo lường và kiểm toán nội bộ để quyết định hành động để cải
tiến hiệu năng của hệ thống quản lý an toàn thông tin và tối ưu mức chấp nhận
được của các rủi ro. Các hành động không chỉ là cải tiến cho nguyên tắc và quy
trình nhưng cũng cần xử lý để thiết lập phần cứng/phần mềm mới để bảo vệ cho hệ
thống/mạng. Những hành động này có thể dẫn đến bãi bỏ 1 số nguyên tắc để thủ
tục phù hợp với sự thay đổi của Bộ và điều hành nghiệp vụ.
4.5 Kiểm soát tài liệu
Phần này định nghĩa cấu trúc tài liệu, quyền hạn, hiệu chỉnh, sự phân tán, truy cập
của hệ thống quản lý an toàn thông tin chính phủ GISMS.
4.5.1 Cấu trúc tài liệu và quyền
Hệ thống quản lý an toàn thông tin chính phủ GISMS có 4 tài liệu chính
1) Chính sách GISMS
2) Sổ tay hướng dẫn GISMS
Đó là những bản nháp của cơ quan GIS, được soát xét bởi ủy ban GCIO và
được xác thực bởi chủ tịch GCIO. Chính sách GISMS được công bố bởi
người đứng đầu của chính phủ.
3) Sách kiểm tra rủi ro
Những danh mục kiểm tra được nháp bởi cơ quan GIS, được soát xét và xác
thực bởi ủy ban GCIO.
4) Sách nguyên tắc đảm bảo an toàn thông tin chính phủ
Đây là sách được xây dựng bởi Bộ. Mẫu Sách nguyên tắc GIS, là được xây
dựng dựa trên những giá trị đánh giá rủi ro mặc định của hình thức Sách
kiểm tra rủi ro được nháp bởi cơ quan GIS, được xác nhận bởi người đứng

đầu Bộ. Và tên của Bộ có trên tài liệu đó.
4.5.2 Soát xét, phân tán, truy cập, bảo vệ tài liệu
Soát xét
Chinh sách GISMS được công bố bởi người đứng đầu của chính phủ.
Thủ tục soát xét được xác định bởi các nguyên tắc khác trong RGC.
Sổ tay hướng dẫn GISMS và Sách kiểm tra rủi ro được duyệt lại hàng
năm bởi cơ quan GIS trên cơ sở của kiến nghị/ yêu cầu từ lãnh đạo triển
khai ISMS. Tài liệu nháp này được xác thực với cùng thủ tục được xanh
định trong 4.5.1 tài liệu cấu trúc và xác thực.
Tất cả các tài liệu soát xét GISMS được xây dựng bởi Bộ với chu trình
PDCA được xác định trong kiểm tra 4.3 và hành động 4.4
Sổ tay GISMS, Sách kiểm tra rủi ro và Sách nguyên tắc đảm bảo an toàn
thông tin chính phủ phải có lịch sử soát xét để đảm bảo người đọc soát
xét có thể tham khảo và soát xét được.
Phân tán, truy cập và bảo vệ
Tính bí mật của tài liệu GISMS được xác định như sau:
1. Chính sách GISMS và sổ tay GISMS được phân loại “chung” nhất
sao cho mọi người có thể truy cập và đọc được.
2. Sách kiểm tra đánh giá rủi ro không được xác định và được phân
loại là “chung”. Mặt khác Sách đánh giá rủi ro, sau khi được đánh
giá chứa các rủi ro đã được đánh giá (các mối đe dọa và điểm yếu),
do đó nó được phân loại như “nội bộ” yêu cầu phải phân tán, truy
cập, bảo vệ cẩn thận.
3. Sách nguyên tắc GIS chứa các nghiệp vụ nội bộ và các thủ tục
được phân loại như “nội bộ “
4.6 Kiểm soát bản ghi
Bản ghi cần phải quản lý chi việc triển khai nguyên tắc và thủ tục. Kiểm soát
các quyền xác thực, soát xét, phân tán, truy cập và bảo vệ bản ghi trống có thể
được xây dựng trong Sách nguyên tắc GIS.
Nhìn chung, các bản ghi được gửi bởi các nhân viên, lĩnh vực lưu trữ thông

tin của cơ quan an toàn thông tin, và số của bản ghi là được xác định duy
nhất.
Các bản ghi thường chứa các thông tin bí mật (ví dụ: địa chỉ IP của server,
thông tin riêng tư cá nhân), và yêu cầu cẩn thận khi xử lý.
5. Trách nhiệm quản lý
5.1 Ủy ban quản lý
Người quản lý đứng đầu chính phủ phải có trách nhiệm thiết lập, triển khai,
giám sát và duy trì ISMS để đảm bảo quyền quản trị liên tục của chính phủ và
làm giảm nhỏ nhất thiệt hại của rủi ro bằng cách ngăn chặn các sự cố an toàn
và giảm tác động tiềm ẩn của chúng bằng các chính sách của GISMS
Người quản lý sẽ có trách nhiệm trực tiếp để triển khai ISMS và đặc biệt để
đảm bảo nhân viên tuân thủ theo từng vị trí của họ trong cơ quan.
5.2 Tổ chức an toàn thông tin chính phủ
Ban quản lý cao nhất của từng tổ chức chính phủ sẽ chỉ định cho lãnh đạo an
toàn thông tin (CISO) và người đó sẽ thiết lập cơ quan an toàn thông tin (IS
Office).
5.3 Phát triển năng lực
Năng lực an toàn thông tin được nhận biết và nâng cao bởi ban quản lý của cơ
quan an toàn thông tin chính phủ như là 1 tâm điểm của sự xuất sắc
Các lĩnh vực của năng lực an toàn thông tin:
1. Hệ thống quản lý an toàn thông tin
2. An toàn kiến trúc hạ tầng mạng
3. An toàn ứng dụng
4. An toàn hệ điều hành
5. Tường lửa
6. Phát hiện xâm nhập
7. Virus
8. Các kỹ thuật lập trình an toàn
9. Vận hành an toàn
10. Giao thức an toàn

11. Xác thực
12. Hạ tầng kỹ thuật khóa công cộng
13. Mã hóa
14.Chữ ký điện tử
15.Truy cập không xác thực
16. Quy phạm, pháp luật
5.4 Quản lý soát xét
Lãnh đạo an toàn thông tin yêu cầu soát xét tất cả các quy trình của hệ thống
quản lý an toàn thông tin cho tất cả các tổ chức của chính phủ và cơ quan an
toàn thông tin chính phủ xác thực để yêu cầu tất cả tổ chức chính phủ báo cáo
hiện trạng của tổ chức mình.
Lãnh đạo an toàn thông tin và cơ quan an toàn thông tin tại mỗi tổ chức chính
phủ yêu cầu để thực thi những soát xét tương đương để làm đầy đủ hơn cho
những yêu cầu của cơ quan GIS và kiểm tra (giám sát và soát xét).
6. Biện pháp và xử lý
6.1 Các loại biện pháp
Có 4 loại: giảm rủi ro, truyền rủi ro, tránh rủi ro và chấp nhận rủi ro.
Giảm nhẹ rủi ro là biện pháp chủ yếu để chống lại những rủi ro đã bộc lộ.
Một máy tính cá nhân dễ là điểm yếu để virus có thể xâm nhập, do đó cần cài
đặt và kích hoạt các chương trình chống virus để bảo vệ thông tin trong máy
tính.
Chuyển giao rủi ro là phương cách hành chính của biện pháp. Giả sử 1 máy
tính cá nhân có chứa thông tin giá trị và có thể bị cháy. Vì vậy, cần phải sao
lưu dữ liệu từ 1 vị trí từ xa là 1 biện pháp để làm giảm nguy cơ này, mặt khác,
đăng ký tham gia bảo hiểm hỏa hoạn và bảo hiểm thiệt hại mất mát dữ liệu
cũng là 1 biện pháp làm giảm rủi ro.
Tránh rủi ro là cách để loại bỏ nguồn gốc của rủi ro. Những nghiên cứu
trước đây đã thu thập rất nhiều những thông tin cá nhân, những thông tin
không liên quan nghiệp vụ chính và điểm yếu thông tin rò rỉ, và quyết định xử
lý 1 cách an toàn là biện pháp để tránh rủi ro.

Chấp nhận rủi ro là lựa chọn cuối cùng. Ví dụ, áp dụng rộng rãi để bảo vệ
mạng LAN là thiết lập tường lửa ngược lại 1 máy chủ web cho những người
dùng bên ngoài thì được thiết lập ở bên ngoài tường lửa. Máy chủ có thể bị
tấn công từ bên ngoài mặc dù cần nỗ lực khi có tấn công xảy ra. Chấp nhận
rủi ro là quản lý 1 cách rất cẩn thận và ban quản lý cấp cao xem xét và xác
thực luôn luôn cần thiết.
6.2 Biện pháp xử lý tài sản thông tin
Hầu hết các biện pháp và xử lý đều thuộc giảm nhẹ rủi ro. Các biện pháp và
xử lý chính được tìm thấy trong Sách kiểm tra rủi ro và mẫu Sách nguyên tắc
đảm bảo an toàn thông tin chính phủ. Các biện pháp và xử lý tốt nhất là
những nơi thuộc Bộ, và phải được báo cáo 1 cách rõ ràng tại thời gian chấp
thuận cơ quan GIS.
Phụ lục.1 Bản hướng dẫn kiểm tra rủi ro
Hướng dẫn sách kiểm tra rủi ro
Sách kiểm tra rủi ro được sử dụng trong giai đoạn lập kế hoạch của ISMS.
Sau đây là những hướng dẫn từng bước
Bước 1 Xác định rủi ro
Bước 1.1
Hướng tài sản được đưa ra ở cột C trong bảng kiểm tra rủi ro.
Bảng này định nghĩa 6 loại tài sản: thông tin, con người, phương
tiện, giấy tờ, phần cứng và phần mềm, mạng và máy chủ
Bước 1.2 Chia tài sản theo cấu trúc tài sản
Tài sản thông tin và con người có nghĩa vụ được xác định ở cấp
Bộ đươc phù hợp với chính phủ
Phương tiện, giấy tờ, phần cứng và phân mềm. Tài sản mạng và
máy chủ đòi hỏi phải được xác định cho từng tài sản để kiểm tra
Bước 1.3 Sửa cột C và D theo các bộ phận được làm ở bước 1.2
Có thể sao chép và dán tài sản bằng dòng dể kiểm tra. Tuy nhiên
một tài sản có thể có nhiều kiểm tra để xác định rủi ro. Cần phải
cẩn thận khi sao chép cả 1 dòng bao gồm nhiều tài sản

Bước 2 Đánh giá tài sản
Bước 2.1
Đánh giá tính bí mật, toàn vẹn và sẵn sàng để áp dụng cho các
tiêu chuẩn được mô tả trong bảng đánh giá
Có thể chọn 1 từ danh sách kéo xuống trong mỗi trường từ cột G
H và I
Sử dụng giá trị mặc định nếu cảm thấy khó đánh giá
Bước 2.2
Bảng đánh giá rủi ro tự động sẽ đưa ra đánh giá tổng cho tài sản
ở cột J
Soát xét kết quả và kiểm tra với các tiêu chí được liệt kê ra trong
bảng đánh giá
Xem xét lại đánh giá tính bí mật, toàn vẹn, sẵn sàng nếu cảm
thấy giá trị tài sản tổng khác với sự thật
Bước 3 Kiểm tra tài sản
Bước 3.1 Đọc giá trị ở cột L và M, và chọn giá trị có hoặc không ở cột N
Bước 4 Đánh giá rủi ro
Bước 4.1
Đánh giá mối đe dọa và điểm yếu để áp dung cho các tiêu chuẩn
được mô tả trong bảng đánh giá
Bạn có thể chọn 1 từ danh sách thả xuống ở mỗi trường tại cột R
và P
Đọc mô tả của mỗi mối đe dọa tại cột Q để hỗ trợ đưa ra quyết
định đánh giá mối đe dọa
Sử dụng giá trị mặc định nếu cảm thấy khó đánh giá
Bước 4.2
Bàng kiểm tra rủi ro tự động hiển thị giá trị tổng đánh giá rủi ro
ở cột T
Bảng đánh giá rủi ro tự động sẽ đưa ra đánh giá tổng cho tài sản
ở cột J

Soát xét kết quả và kiểm tra với các tiêu chí được liệt kê ra trong
bảng đánh giá
Xem xét lại đánh giá tính bí mật, toàn vẹn, sẵn sàng nếu cảm
thấy giá trị tài sản tổng khác với sự thật
Đến bước 5 nếu rủi ro tổng là cao
Xem xét tính nhất quán của ISMS nếu rủi ro tổng là thấp
Và sắp xếp nếu có (cập nhật sách nguyên tắc đã có hoặc cập
nhật các biện pháp tham chiếu ở cột V)
Bước 5 Quyết định các biện pháp
Bước 5.1 Đọc mô tả của các nội dung biện pháp mặc định của cột U
Bước 5.2
Đọc mô tả của sách nguyên tắc an toàn thông tin mẫu được tham
chiếu tại cột V
Bước 5.3
Quyết định áp dụng triển khai nguyên tắc và thủ tục trong sách
nguyên tắc an toàn thông tin mẫu
Quyết định các lựa chọn thay thế nếu không được áp dụng
Bước 5.4
Cập nhật nội dung các biện pháp tại cột U và tham chiếu tại cột
V và nguyên tắc và thủ tục áp dụng có thể được triển khai cho tổ
chức
Bước 6 Đánh giá rủi ro sau biện pháp
Bước 6.1
Đánh giá mối đe dọa và điểm yếu để áp dụng cho các tiêu chuẩn
được mô tả trong bảng đánh giá
Bạn có thể chọn 1 từ danh sách thả xuống ở mỗi trường tại cột
W và Y
Sử dụng các giá trị mặc định nếu bạn không thay đổi các biện
pháp và quý tắc thủ tục trong mẫu sách an toàn thông tin
Bước 6.2

Bảng kiểm tra rủi ro 1 cách tự động thể hiện đánh giá tổng của
rủi ro tại cột AA
Soát xét kết quả và kiểm tra với các tiêu chuẩn được liệt kê ra
trong bảng đánh giá
Xem xét đánh giá mối đe dọa và điểm yếu nếu cảm thấy giá trị
rủi ro tổng khác so với thực tế
Bước 6.3
Chắc chắn rằng thích hợp hơn để phân loại từng rủi ro tổng là
thấp
Quyết định thêm các hành động để làm giảm rủi ro hoặc mô tả
báo cáo rủi ro còn tồn đọng để đến mức chấp nhận được
Phần 2: Nguyên tắc đảm bảo an toàn thông tin chính phủ
1. Giới thiệu
Sách nguyên tắc đảm bảo an toàn thông tin được xác định triển khai Hệ thống
quản lý an toàn thông tin chính phủ dưới Chính sách hệ thống an toàn thông tin và
Sổ tay hướng dẫn quản lý an toàn thông tin chính phủ.
2. Ba nguyên tắc cơ bản an toàn thông tin
[Nguyên tắc 1] Luôn luôn xem xét cho dù có được yêu cầu, xử lý hoặc lưu thông
tin bí mất hay không, không được phép đưa thông tin dựa trên bất kỳ nguy cơ giả
mạo, rò rỉ, truy cập trái phép.
[Nguyên tắc 2] Khóa cửa ra vào văn phòng, tủ đựng hồ sơ và ngăn kéo bàn làm
việc trước khi đi ra ngoài.
[Nguyên tắc 3] Kích hoạt chức năng tự động phát hiện của phần mềm diệt virus.
Cập nhật tập tin nhận dạng virus hàng tuần. Quét ổ cứng của máy tính hàng tuần và
bất kỳ thiết bị ngoài nào khi kết nối với máy tính của bạn.
3. Phạm vi
4. Tài liệu viện dẫn, thuật ngữ và định nghĩa
4.1 Tài liệu viện dẫn
1) ISO/IEC 27001:2005: Công nghệ thông tin – Các phương pháp kỹ
thuật an toàn – Hệ thống quản lý an toàn thông tin– Các yêu cầu.

2) Sổ tay hướng dẫn hệ thống quản lý an toàn thông tin chính phủ
4.2 Thuật ngữ và định nghĩa
Các thuật ngữ và định nghĩa được sử dụng trong sách nguyên tắc đảm
bảo an toàn thông tin chính phủ
Máy tính cá nhân:
Máy tính cá nhận là những máy địa phương như là máy tính để bàn,
máy xách tay hoặc là điện thoại di động
Tất cả các thuật ngữ và định nghĩa được tham chiếu đến thuật ngữ và
định nghĩa trong sổ tay hướng dẫn Hệ thống quản lý an toàn thông tin
chính phủ hoặc tài liệu ISO/IEC 27001:2005
5. Tổ chức an toàn thông tin
5.1 Định nghĩa tổ chức an toàn thông tin
Tài liệu phát triển kỹ thuật truyền thông thông tin quốc gia (NiDA)
đưa ra vai trò và trách nhiệm của an toàn thông tin
Cơ quan an toàn thông tin (ISO)
Được thiết lập ở NiDA. Nó có trách nhiệm triển khai Hệ thống quản
lý an toàn thông tin tại NiDA. Các thành viên của ISO là các giám đốc
quản lý an toàn thông tin, nguời quản lý hệ thống thông tin, người
được giao trách nhiệm an toàn thông tin, và được xác định dưới đây:
Lãnh đạo an toàn thông tin (Chief Information Security Officer -
CISO):
Là một cán bộ quản lý cấp cao thuộc Bộ, có trách nhiệm rõ ràng trước
Bộ.
Cán bộ quản lý an toàn thông tin (IS Manager)
Vai trò này được giao cho 1 cán bộ của cơ quan và có trách nhiêm
trong cả 2: sổ tay hướng dẫn hệ thống quản lý an toàn thông tin và
Sách nguyên tắc an toàn hệ thống thông tin chính phủ
5.2 Danh sách thành viên ISO
Các thành viên của ISO sẽ được chỉ định bởi tổng thư ký của NiDA
5.3 Định tuyến truyền thông (giao tiếp và chia sẻ) khi có sự cố

Khi xảy ra sự cố cần phải báo cáo theo các đường sau, từ chính phủ
đến những người được giao trách nhiệm, từ người được giao trách
nhiệm đến người quản lý hệ thống thông tin, từ người quản lý hệ
thống thông tin đến người lãnh đạo an toàn thông tin/cơ quan an toàn
thông tin.
6. Nguyên tắc và thủ tục
6.1 Phân loại thông tin
(a) Nguyên tắc
(a1) Thông tin được sử dụng trong điều hành nghiệp vụ chính phủ
được chia thành 3 loại sau:
1. Chung:
Thông tin mở được công bố rộng rãi
2. Nội bộ:
Thông tin chỉ được sử dụng trọng vận hành nghiệp vụ chính
phủ
3. Bí mật:
Thông tin bí mật được giới hạn những người có quyền truy cập
(a2) Phân loại thông tin khi bạn có được và đưa ra chú thích đánh
dấu hoặc dán nhãn cho phân loại thông tin
(a3) Luôn luôn quản lý thông tin 1 cách cẩn thận để phân loại
(a4) Phân loại thông tin cá nhân như thông tin bí mật
(b)Thủ tục
(Không có thủ tục nào được áp dụng trong phần này)
6.2 An toàn con người (sẽ được định nghĩa trong tương lai)
(a) Nguyên tắc
Phần này sẽ xác định các yêu cầu an toàn cho con người về những
vấn đề con người như kiểm tra quá trình tuyển dụng, mô tả công
việc liên quan đến những vấn đề an toàn thông tin và yêu cầu về
chấm dứt việc làm.
6.3 An toàn phương tiện

6.3.1 Văn phòng và tòa nhà làm việc
(a) Nguyên tắc
(a1) Xác định những người nào có thể ra vào văn phòng
(a2) Triển khai hệ thống khóa thích hợp cho quyền vào văn
phòng
(a3) Phân chia không gian văn phòng và nhưng không gian
chung khác
(a4) Khi ra ngoài cơ quan phải đi có 1 người bên trong tổ chức
đi cùng
(a5) Lập hồ sơ báo cáo chi tiết cho người ra vào tổ chức
(a6) Giữ hồ sơ của dịch vụ chuyển phát nhanh
(b) Thủ tục
(Không có thủ tục nào được áp dụng trong phần này)
6.3.2 Tủ đựng hồ sơ và bàn làm việc
(a) Nguyên tắc
(a1) Với những tài sản thông tin bí mật cần phải khóa cẩn thận
(b)Thủ tục
(Không có thủ tục nào được áp dụng trong phần này)
6.3.3 Máy in và máy fax
(a) Nguyên tắc
(a1) Tiêu hủy các tài liệu in/ fax 1 cách cẩn thận
(a2) Giữ hồ sơ tài liệu fax (gửi và nhận)
(b)Thủ tục
(Không có thủ tục nào được áp dụng trong phần này)
6.4 An toàn thông tin về mặt vật lý
6.4.1 Giấy tờ
(a) Nguyên tắc
(a1) Luôn luôn phải cẩn thận khi xác định thông tin bí mật cho
mỗi lọa giấy tờ/tài liệu
(a2) Lưu giấy tờ/tài liệu bí mật an toàn chống truy cập không cho

phép
(a3) Văn phòng phải tự tiêu hủy giấy tờ cho văn phòng đấy.
Hoặc sử dụng máy cắt hủy giấy tờ bao gồm cả tiêu hủy thông tin
bí mật
(b) Thủ tục
(Không có thủ tục nào được áp dụng trong phần này)
6.5 An toàn máy tính cá nhân
6.5.1 Máy tính cá nhân để bàn
(a) Nguyên tắc
Tổng quan
(a1) Giữ an toàn vật lý cho máy tính để bàn của bạn là trách
nhiệm của mỗi cá nhân để đề phòng tất cả các khả năng có
thể xảy ra và cảnh giác trước những rủi ro
(a2) Tất cả máy tính để bàn phải được giao trách nhiệm cho 1
người duy nhất ngay cả khi được sử dụng bởi nhiều người
khác
(a3) Bạn phải có trách nhiệm cá nhân cho tất cả các mạng và
truy cập hệ thống khi sử dụng tài khoản ID của mình, và giữ
mật khẩu tuyệt đối bí mật. Mật khẩu phải đặt cực mạnh và
thay đổi 1 cách định kỳ. Không bao giờ được chia sẻ cho bất
cứ ai, kể cả các thành viên trong gia đình, bạn bè hoặc nhân
viên công nghệ thông tin
(a4) Khi đi ra ngoài, phải tắt máy, khởi động chức năng bảo
vệ màn hình bảo vệ mật khẩu.
Bảo vệ khỏi virus
(a5) Virus là một mối đe doa cho NiDA và các máy tính cá
nhân nếu như phần phềm diệt virus không được cập nhật từng
ngày. Tập tin nhận dạng virus phải được cập nhật hàng tuần.
Cách dễ nhất và đơn giản nhất là kết nối trong mạng Lan để
chạy cập nhật tự động. Nếu bạn không thể vào vì 1 vài lý do,

liên hệ với cơ quan an toàn thông tin để xin chỉ dẫn cho xử lý
và cài cập nhật virus cho phần mềm.
(a6) Luôn luôn quét virus cho bất kỳ tập tin nào được tải
xuống máy tính từ bất kỳ nguồn nào (FD/CD/DVD), ổ cứng
USB và các thẻ nhớ, tập tin mạng, các email đính kèm hoặc
tập tin từ mạng Internet. Quét virus phải được thiết lập để
xảy ra tự động, cũng phải yêu cầu khở tạo lịch quét hàng
tuần.
(a7) Báo cáo bất kỳ sự kiện an toàn thông tin nào (như là
nhiễm virus) kịp thời đến cơ quan An toàn thông tin để giảm
nhẹ thiệt hại
(a8) Đáp ứng ngay lập tức cho bất kỳ thông điểm cảnh báo
virus trên máy tinh của bạn hoặc nếu bạn nghi ngờ là có virus
(các tập tin hoạt động không bình thường) bằng cách liên hệ
với cơ quan An toàn thông tin. Không chuyển tiếp bất kỳ tập
tin nào hoặc đưa dữ liệu lên mạng nếu bạn nghi ngờ máy tính
bị nhiễm virus
(a9) Đặc biệt cẩn thận quét virus hệ thống của bạn trước khi
bạn gửi bất cứ tập tin nào đi. Kể cả các đính kèm email và
FD/CD/DVD mà bạn tạo ra.
(a10) Kết nối với các thiết bị lưu điện cho tất cả các máy tính
cá nhân để bàn để tránh mất mát thông tin
Tiêu hủy
(a11) Thực hiện xóa vật lý các ổ lưu trữ trong máy tính trước
khi loại bỏ các thông tin mà có thể đọc được
(b)Thủ tục
Cho tất cả các thành phần
Bảo vệ phần mềm diệt virus
(b1) Thủ tục sau được định nghĩa kể chắc chắn tất cả máy tính cá
nhân phải được cập nhật phần mềm diệt virus với tần số nhất định

Bước Mô tả Thực hiện Bản ghi
B1.1 Hướng dẫn đăng ký các phần mềm
quét virus
Cơ quan an toàn
thông tin
n/a
B1.2 Thực hiện quét Nhân viên n/a
B1.3 In ra và đăng ký 1 bản nhật ký quét Nhân viên
B1.4 Tập tin nhật ký quét và giữ trong 1 Quản lý an toàn n/a
khoảng thời gian xác định thông tin
B1.5 Bám sát những người đã không
thực hiện quét và giữ nhật ký
Quản lý an toàn
thông tin
n/a
Xử lý phát hiện virus
(b2) Thủ tục sau đây sẽ được định nghĩa để thực hiện các hành động để chống lại
virus
Bước Mô tả Thực hiện Bản ghi
B2.1 Sự kiện an toàn thông tin như là
phát hiện virus
Nhân viên n/a
B2.2 Ngắt kết nối vật lý từ mạng ngay
lập tức
Nhân viên n/a
B2.3 Báo tin cho ISO ngay lập tức khi có
sự kiện gì xảy ra
Nhân viên Báo cáo sự
kiện an toàn
thông tin

B2.4 Phân tích những ảnh hưởng của sự
kiện và đưa ra hành động thích hợp
Cơ quan an toàn
thông tin
n/a
B2.5 Kết thúc dịch vụ mạng/ứng dụng
nếu thấy cần thiết
Cơ quan an toàn
thông tin
n/a
B2.6 Thực hiện các thủ tục bảo vệ an
toàn thông tin nếu thấy cần thiết
Cơ quan an toàn
thông tin
n/a
B2.7 Ghi các phân tích và hành động
trong báo cáo
Cơ quan an toàn
thông tin
(Đã cập nhật)
Báo cáo sự
kiện an toàn
thông tin
B2.8 Tập tin báo cáo và được giữ trong
thời gian định kỳ
Quản lý an toàn
thông tin
n/a
6.5.2 Máy tính xác tay/điện thoại di động cá nhân
(a) Nguyên tắc

Tổng quan
Các quy tắc sau cho những thiết bị máy tính xách tay/điện thoại cá
nhân 1 cách đặc biệt. Máy tính xách tay/điện thoại cá nhân cũng cần
phải yêu cầu để triển khai các nguyên tắc và thủ tục được định nghĩa
trong 6.5.1 máy tính cá nhân để bàn.
(a1) Giữ máy tính xách tay của bạn luôn trong tầm nhìn và sở hữu
của bạn bất kỳ khi nào có thể, cũng như ví, điện thoại di động, túi
xách tay. Cẩn thận ở những nơi công cộng như là nhà hàng…
(a2) Nếu bạn rời khỏi máy tính tạm thời không có sự giám sát trong
văn phòng, phòng họp hoặc phòng khách sạn, ngay cả 1 thời gian
ngắn, sử dụng cáp bảo vệ vật lý cho máy tính cá nhân của bạn hoặc
thiết bị tương tự để gắn chặt vào bàn làm việc hoặc các đồ nội thất.
Những cách này không hẳn là an toàn nhưng mà hạn chế được
những tên trộm bình thường
(a3) Khóa máy tính cá nhân của bạn khi nào bạn không sử dụng, tốt
nhất là để trong 1 cái tủ, hoặc tủ đựng hồ sơ chắc chắn áp dụng
trong trường hợp tại nhà, ở cơ quan hoặc ở khách sạn. Không bao
giờ rời máy tính xách tay mà không có giám sát khi sử dụng phương
tiện giao thông.
(a4) Để tránh những thiệt hại không may cần phải mang và đựng
máy tính xách tay bằng cặp có đệm tốt, hoặc cặp tài liệu tốt. Không
được đánh rơi hoặc va đập. Một cặp xách bình thường sẽ không thu
hút chú ý của tên trộm bằng một cặp máy tính xách tay
(a5) Máy tính xách tay thuộc sở hữu chính phủ được cung cấp cho
chính phủ sử dụng cho nhân viên. Không cho phép mượn máy tính
xách tay hoặc cho người khác sử dụng kể cả bạn bè và người trong
gia đình
(a6) Giữ những chú ý của hang, model, số seri và mã sở hữu tài sản
của máy tính đó. Trong trường hợp bị mất hoặc bị trộm phải thông
báo cho Cảnh sát ngay lập tức và báo cáo cho Cơ quan an toàn

thông tin ngay
Các biện pháp chống lại truy cập trái phép dữ liệu máy tính
xách tay/điện thoai di động
(a7) Cần phải đề nghị sử dụng phần mềm mã hóa đã được phê duyệt
trên máy tính cá nhân, máy tính xách tay/điện thoại di động, chọn
những mật khẩu/cụm từ để mã hóa mạnh và giữ chúng an toàn. Liên
hệ với cơ quan an toàn thông tin để mã hóa. Nếu các thiết bị này bị
mất thì phải có các biện pháp bảo vệ để chống những truy cập trái
phép dữ liệu
(a8) Không được lưu thông tin bí mật trên máy tính xách tay/điện
thoại di động thay vào đó phải mã hóa, cách mã hóa sẽ được đưa ra
trong các phần sau
(b)Thủ tục
Cho tất cả các thành phần
Xử lý vụ việc có tính chất mất/trộm cắp
(b1) Nếu như máy tính xách tay/điện thoại di động bị mất hay bị
trộm cắp, các thủ tục sau được đưa ra như là 1 sự kiện an toàn thông
tin bình thường
Bước Mô tả Thực hiện Bản ghi

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×