QUẢN LÝ RỦI RO VÀ BẢO MẬT
Trương Việt Phương
Khoa Tin học Quản lý
Đại học Kinh Tế Tp.HCM
PHẦN 1
Giới thiệu về an toàn Thông tin
Thông
tin là gì?
Cơ sở hạ tầng CNTT
An toàn thông tin
Các rủi ro của hệ thống thông tin
ISMS
ISO 27001
Giới thiệu – Thông tin là gì?
Đối với một đối tượng hay hệ thống:
Dữ liệu (data): Là các số liệu hay tài
liệu cho trước chưa được xử lý.
Thông tin (information): Là dữ liệu đã
được xử lý và có ý nghĩa đối với đối
tượng nhận tin.
Thông tin là gì?
Thông tin là tài sản, cũng như các
tài sản kinh doanh quan trọng khác,
có giá trị đối với một tổ chức và
thường cần được bảo vệ một cách
thích hợp.
Nguồn: ISO/IEC 17799
Tầm quan trọng của Thông tin
Thông tin là yếu tố cần thiết để duy
trì lợi nhuận, dòng tiền mặt, lợi thế
cạnh tranh và hình ảnh thương mại
Ngày càng tăng sự phụ thuộc vào
các hệ thống thông tin
Thông tin là tài sản cũng như tài
sản nguồn vốn và tài sản con người
Thông tin
Được lưu trữ trong Máy vi tính
Được truyền qua mạng
Được in hoặc viết ra giấy
Được gửi bằng fax
Được lưu trữ trong băng hoặc đĩa
Được truyền đạt qua giao tiếp (kể cả điện
thoại)
Được hiển thị trên phim ảnh hoặc trình
chiếu
…
Các Mối đe dọa đối với Thông
tin
Tai nạn và Thảm họa
Nhân viên
Các nhà tư vấn
Đối tác Kinh doanh
Người ngoài
Máy vi tính (PC) và Vi rút
…
Phân loại thông tin
Giới thiệu
Cơ sở hạ tầng CNTT là gì?
Nền tảng căn bản về
đầu tư cho khả năng của
CNTT (cả về mặt kỹ
thuật và con người),
được chia sẻ trong toàn
doanh nghiệp nhờ vào
các dịch vụ tin cậy và
việc điều phối tập trung.
Cơ sở hạ tầng Công nghệ Thông tin
Mới
Các Ứng dụng của Cơ sở hạ tầng
Công nghệ Thông tin
Thu thập Dữ liệu
Phân tích, Rút gọn và Báo cáo Dữ liệu
Phân tích Thống kê
Kiểm soát quy trình
Kiểm tra và Giám sát Tự động
Thiết kế Hệ thống
Quản lý Tài liệu
…
Các Ứng dụng của Cơ sở hạ tầng
Công nghệ Thông tin
Trong
Trong
Trong
Trong
Trong
Trong
…
thương mại
quản lý công
giáo dục
dịch vụ truyền thông
học tập, nghiên cứu
giải trí
Thách thức của việc Quản lý Cơ sở
hạ tầng CNTT
Thách thức của việc Quản lý Cơ sở
hạ tầng CNTT
An toàn Thông tin là gì?
Theo tiêu chuẩn ISO 27001, An toàn
Thông tin được định nghĩa là việc
bảo vệ:
Tính bảo mật
Tính toàn vẹn
Tính sẵn sàng
Ngoài ra, các thuộc tính khác như
tính xác thực, tính trách nhiệm, tính
thừa nhận và độ tin cậy cũng được
đưa vào định nghĩa.
Ba Khía cạnh của An toàn Thông tin
Nội dung Quản lý An toàn Thông tin
Công chúng
Quản lý Nội
bộ
Người
dùng
Tính toàn vẹn Tính bảo mật
Nhân viên
Rủi ro
Tranh
chấp
Tính sẵn sàng
Các Chủ thể
liên đới
Đánh giá Nội
bộ
An toàn Thông tin
Thách thức Quản lý hay Vấn đề Kỹ thuật?
Hệ thống, Công cụ, Cấu trúc, v.v...
•Chính sách An toàn Thông tin
•Trách nhiệm An toàn Thông tin
•Phổ biến/Huấn luyện An toàn Thông tin
•Kế hoạch Kinh doanh Liên tục
An toàn thông tin phải được coi là
vấn đề quản lý và là thách thức
kinh doanh, không đơn thuần chỉ
là vấn đề kỹ thuật được giao cho
các chuyên gia. Để bảo đảm an toàn
cho việc kinh doanh, cần phải hiểu
cả sự cố và giải pháp.
Tại sao phải An toàn Thông tin?
Bảo vệ thông tin khỏi những mối đe
dọa
Bảo đảm tính liên tục trong kinh
doanh
Tối đa hóa lợi nhuận đầu tư và các
cơ hội kinh doanh
Đây là một vấn đề kinh doanh!
Làm cách nào để Đảm bảo An toàn
Thông tin?
Đảm bảo an toàn thông tin bằng
cách thực hiện một nhóm công cụ
kiểm soát thích hợp, có thể bao
gồm các chính sách, thực hành, thủ
tục, cơ cấu tổ chức và các chức
năng phần mềm.
Các công cụ kiểm soát này cần phải
được thiết lập để đảm bảo đáp ứng
các mục tiêu an toàn cụ thể của tổ
chức.
Tìm hiểu các Đe dọa, Lỗ hổng và Rủi
ro
Tìm hiểu các Đe dọa, Lỗ hổng và Rủi
ro
Các Đe dọa, Rủi ro và Lỗ hổng
Khai thác
Lỗ hổng
Đe dọa
Tă
Bảo vệ
chống
ng
ă
T
ng
Tấn
công
Risk
Kiểm soát
Gi
ả m
Giảm
Đáp ứng
bằng
ỉ r
h
C
Tài sản
a
Các Yêu cầu
An toàn
Có
Giá trị
Tài sản
Ảnh hưởng
đến Tổ chức