Triển khai các chính sách và tiêu chuẩn
an toàn thông tin trong thực tiễn
• Triển khai an ninh,an toàn hệ thống thông tin là
thiết lập hệ thống quản lý an ninh thông tin
(ISMS) nhằm đảm bảo 3 thuộc tính của nó: Tính
tin cậy (Confidentiality), tính toàn vẹn (Integrity)
và tính sẵn sàng (Availability). Làm thế nào để
thiết lập một hệ thống ISMS nhất quán, hiệu quả
và thật sự chuyên nghiệp?


Bộ tiêu chuẩn ISO 27000
ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)
• - ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an
toàn thông tin
• - ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm
soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm
soát thực hành an toàn tốt nhất
• - ISO 27003:2007 đưa ra các hướng dẫn áp dụng
• - ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng
hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu
lực của việc áp dụng ISMS
• - ISO 27005:2007 tiêu chuẩn về quản lý rủi ro an toàn thông tin
• - ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông
tin sau thảm hoạ của công nghệ thông tin và viễn thông


Nội dung chính
I, ISO 27001:2005 là gì?
II, Lịch sử phát triển ISO 27001:2005
III, Cách tiếp cận cơ bản ISO 27001:2005

IV, Bất cập hệ thống an toàn thông tin hiện nay
V, Hệ thống quản lý an toàn thông tin theo tiêu
chuẩn ISO 27001:2005


I, ISO 27001:2005 là gì?
Mục đích của ISO 27001:2005 là cung cấp cơ sở chung
cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn
quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin
cậy trong các mối quan hệ của tổ chức.

II, Lịch sử phát triển ISO 27001:2005
ISO 27001:2005 ban đầu được phát triển trên chuẩn BS7799
của Viện các chuẩn Anh quốc (British Standards Institution
BSI). BS7799 bắt đầu phát triển từ những năm 1990 nhằm
đáp ứng các yêu cầu cho doanh nghiệp, chính phủ và công
nghiệp về việc thiết lập cấu trúc an ninh thông tin chung. Năm
1995, chuẩn the BS7799 đã được chính thức công nhận.


• Tháng 5/1999 phiên bản chính thứ 2 của chuẩn BS7799 được phát hành với nhiều cải tiến
chặt chẽ. Trong thời gian này Tổ chức thế giới về chuẩn (ISO) đã bắt đầu quan tâm đến
chuẩn này. Tháng 12/ 2000, ISO đã tiếp quản phần đầu của BS7799, đổi thành ISO 17799.
Như vậy chuẩn an ninh thông tin này gồm: ISO 17799 (mô tả Qui tắc thực tế cho hệ thống
quản lý an ninh thông tin) và BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông tin.
Trong tháng 9/2002, soát xét phần 2 của chuẩn BS7799 được thực hiện để tạo sự nhất
quán với các chuẩn quản lý khác như ISO 9001:2000; ISO 14001:1996 cũng như với các
nguyên tắc chính của Tổ chức Hợp tác và phát triển kinh tế (OECD).
• 15/10/ 2005 ISO phát triển ISO 17799 và BS7799 thành ISO 27001:2005, chú trọng vào
công tác đánh giá và chứng nhận. ISO 27001 thay thế một cách trực tiếp cho BS77992:2002, nó định nghĩa hệ thống ISMS và hướng đến cung cấp một mô hình cho việc thiết

lập, thi hành, điều hành, kiểm soát, xem xét, duy trì và cải tiến ISMS.


III, Cách tiếp cận cơ bản ISO 27001:2005
Trong bộ tiêu chuẩn ISO 27001, khái niệm bảo
đảm an ninh thông tin được hiểu là :
- Duy trì tính bí mật
- Duy trì tính toàn vẹn
- Duy trì tính sẵn sàng của thông tin

Ba thuộc tính này luôn luôn là các tiêu chuẩn để
kiểm chứng mức độ bảo đảm an ninh của thông tin
và hệ thống thông tin.


Cách tiếp cận cơ bản ISO 27001:2005
• Thông tin này còn gắn liền với ba yếu tố là:
– Con người
– Quy trình nghiệp vụ
– Hạ tầng kỹ thuật
Giải pháp cho an ninh thông tin chính là các biện
pháp tác động tới yếu tố con người, quy trình nghiệp
vụ và hạ tầng kỹ thuật để thông tin đảm bảo được 3
thuộc tính: bảo mật, toàn vẹn và sẵn sàng.


Bất cập hệ thống an toàn thông tin hiện nay
• Trước đây, an toàn thông tin chủ yếu được tập trung vào yếu
tố hạ tầng kỹ thuật. Các giải pháp trong giai đoạn này thường
là triển khai Firewall tại các mạng LAN để bảo vệ các máy chủ,

hệ thống phòng chống virus. Các kết nối Internet chỉ được
bảo vệ bằng Firewall, Antivirus, IPS, IDS… Chính vì chỉ tập
trung vào các giải pháp kỹ thuật nên các tổ chức đã bỏ qua
yếu tố con người và quy trình nghiệp vụ, chưa có các chính
sách toàn diện về an ninh thông tin, và cơ cấu tổ chức chuyên
trách về an ninh thông tin nên dù được đầu tư tương đối lớn
nhưng các hệ thống thông tin vẫn tồn tại nhiều điểm yếu gây
mất an ninh thông tin. Theo đánh giá của các chuyên gia,
trong những yếu tố tác động đến an ninh thông tin thì chỉ có
20% do công nghê, còn 80% do quản lý, bao gồm yếu tố con
người và quy trình nghiệp vụ.


V, Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005
 Hệ thống quản lý an ninh thông tin (ISMS) là trái tim của
ISO 27001:2005 và là điều kiện tiên quyết cho việc thi
hành và lấy chứng chỉ toàn diện.
 Một hệ thống ISMS phải quản lý tất cả các mặt của an
ninh thông tin bao gồm con người, các qui trình và các hệ
thống công nghệ thông tin.
 Điều cốt lõi để có hệ thống ISMS thành công là dựa trên
đánh giá phản hồi để cung cấp sự cải tiến liên tục, và lấy
cách tiếp cận có cấu trúc để quản lý tài sản và rủi ro. Hệ
thống an ninh thông tin bao gồm tất cảc các kiểm soát mà
tổ chức đặt trong vị trí thích hợp để đảm bảo an ninh
thông tin, xuyên suốt 10 lĩnh vực sau:


Hệ thống quản lý an toàn thông tin theo tiêu

chuẩn ISO 27001:2005
1. Tính chất an ninh (Security Policy)
Cung cấp các chỉ dẫn quản lý và hỗ trợ an ninh thông tin.
2. Tổ chức an ninh (Security Organization)
3. Phân loại và kiểm soát tài sản (Asset Classification and
Control)
4. An ninh nhân sự (Personnel Security)
5. An ninh môi trường và vật lý (Physical and Enviromental
Security)
6. Quản lý tác nghiệp và truyền thông (Communications and
Operations Management)
7. Kiểm soát truy cập (Access Control)
8. Duy trì và phát triển các hệ thống (Systems Development
and Maintenance)


Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005
9. Quản lý sự liên tục trong kinh doanh (Business
Continuity Management)

10. Tuân thủ (Compliance):
Tránh sự vi phạm của mọi luật công dân và hình
sự, tuân thủ pháp luật, qui định hoặc nghĩa vụ của hợp
đồng và mọi yêu cầu về an ninh. Đảm bảo sự tuân thủ
của các hệ thống với các chính sách an ninh và các
chuẩn. Tăng tối đa hiệu quả và giảm thiểu trở ngại đến
quá trình đánh giá hệ thống.



Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005

1. Đối tượng áp dụng
Tiêu chuẩn ISO 27001 có thể được áp dụng rộng rãi
cho nhiều loại hình tổ chức ( các tổ chức thương mại,
cơ quan nhà nước, các tổ chức phi lợi nhuận… ). Đặc
biệt là các tổ chức mà các hoạt động phụ thuộc nhiều
vào công nghệ thông tin, máy tính, mạng máy tính, sử
dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn
thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ
sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại
sự tin tưởng của các bên liên quan như đối tác, khách
hàng… của tổ chức.


Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005

2. Lợi ích
a, Cấp độ tổ chức
Sự cam kết: Chứng chỉ như là một cam kết hiệu quả
của nỗ lực đưa an ninh của tổ chức đạt tại các cấp độ và
chứng minh sự cần cù thích đáng của chính những người
quản trị.

b, Cấp độ pháp luật
Tuân thủ: Chứng minh cho nhà chức trách rằng tổ chức
đã tuân theo tất cả các luật và các qui định áp dụng ngoài
ra nó cũng giúp cho tổ chức "hoàn vốn đầu tư" nhanh nhất.



Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005

c. Cấp độ điều hành
Quản lý rủi ro: Mang lại những hiểu biết tốt hơn về các
hệ thống thông tin, điểm yếu của chúng và làm thế nào để
bảo vệ chúng. Tương tự, nó đảm bảo khả năng sẵn sàng ở
cả phần cứng và phần mềm.
d. Cấp độ thương mại
Sự tín nhiệm và tin cậy: Các thành viên, cổ đông, và
khách hàng vững tin khi thấy khả năng và sự chuyên
nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng chỉ
có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong
thị trường.


Lợi ích

e. Cấp độ tài chính
Tiết kiệm chi phí khắc phục các lỗ hổng an ninh và có khả
năng giảm chi phí bảo hiểm.

f. Cấp độ con người
Nâng cao nhận thức và trách nhiệm của nhân viên về an ninh
thông tin.

Áp dụng mô hình PDCA để triển khai hệ thống ISMS



Mô hình PDCA


•

Áp dụng mô hình PDCA để triển khai hệ thống ISMS

Bước 1: Plan (Thiết lập ISMS):
Thiết lập chính sách an ninh, mục tiêu, mục đích, các quá trình và thủ tục phù hợp với
việc quản lý rủi ro và cải tiến an ninh thông tin để phân phối các kết quả theo các mục
tiêu và chính sách tổng thể của tổ chức.

Bước 2: Do (Thi hành và điều hành ISMS):
Cài đặt,thi hành và vận hành các chính sách an ninh, biện pháp quản lý, các dấu hiệu
kiểm soát, quy trình và thủ tục của hệ thống ISMS.

Bước 3: Check (Kiểm soát và xem xét ISMS):
Đánh giá, tìm kiếm sự phù hợp, đo lường hiệu năng của quá trình so với chính sách
an ninh, mục tiêu, kinh nghiệm thực tế và báo cáo kết quả cho lãnh đạo xem xét.

Bước 4: Act (duy trì và cải tiến ISMS):
Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các kết quả của việc kiểm toán
nội bộ hệ thống ISMS, soát xét của ban quản lý hoặc các thông tin liên quan khác
nhằm liên tục hoàn thiện hệ thống ISMS.


Triển khai chuẩn ISO 27001:2005 cho tổ chức
>>Giai đoạn 1: Thiết lập hệ thống ISMS:
o Để thiết lập hệ thống ISMS, tổ chức cần thực hiện như

sau :
a) Định nghĩa phạm vi và các giới hạn của hệ thống ISMS
theo các mặt: đặc thù công việc; sự tổ chức; địa điểm;
các tài sản và công nghệ, đồng thời bao gồm cả các
thông tin chi tiết và lý do nếu loại bỏ yêu cầu ….. trong
tiêu chuẩn khỏi phạm vi áp dụng.


Triển khai chuẩn ISO 27001:2005 cho tổ chức
b) Vạch rõ chính sách triển khai hệ thống ISMS theo các mặt: đặc thù công
việc; sự tổ chức; địa điểm; các tài sản và công nghệ mà trong đó:
– Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và
nguyên tắc cho việc đảm bảo an toàn thông tin.
– Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản
bắt buộc về bảo mật.
– Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng
như các nghĩa vụ về an toàn an ninh có trong hợp đồng.
– Thực hiện sự thiết lập và duy trì hệ thống ISMS như một phần trong
chiến lược quản lý rủi ro của tổ chức.
– Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra .
– Được ban quản lý phê duyệt.


Triển khai chuẩn ISO 27001:2005 cho tổ
chức
c) Xác định phương pháp tiếp cận đánh giá rủi ro của tổ
chức:
 Xác định hệ phương pháp đánh giá rủi ro thích hợp
với hệ thống ISMS, và các quy định, pháp lý, an toàn
bảo mật thông tin đã xác định.

 Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và
vạch rõ các mức rủi ro có thể chấp nhận được.
=> Hệ phương pháp đánh giá rủi ro được lựa chọn
sẽ đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể
so sánh và tái tạo được.


Triển khai chuẩn ISO 27001:2005 cho tổ chức
d) Xác định các rủi ro:
– Xác định các tài sản trong phạm vi hệ thống ISMS và đối
tượng quản lý các tài sản này.
– Xác định các mối đe doạ có thể xảy ra đối với tài sản.
– Xác định các yếu điểm có thể bị khai thác bởi các mối đe
doạ trên.
– Xác định những tác động xấu tới các tính chất quan trọng
của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng
f) Phân tích và đánh giá các rủi ro:
– Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về
an toàn thông tin, chú ý đến các hậu quả của việc mất tính
bí mật, toàn vẹn hay sẵn sàng của các tài sản.


Triển khai chuẩn ISO 27001:2005 cho tổ chức
– Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin
bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh
giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện.
– Ước lượng các mức độ của rủi ro.
– Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên
các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục.
f) Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro.

)Các hoạt động có thể thực hiện :
– Áp dụng các biện pháp quản lý thích hợp.
– Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính
sách và tiêu chuẩn chấp nhận rủi ro của tổ chức.
– Tránh các rủi ro.
– Chuyển giao các rủi ro các bộ phận khác như bảo hiểm, nhà cung cấp
v.v....


Triển khai chuẩn ISO 27001:2005 cho tổ chức
g) Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý
các rủi ro:
•) Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn
và thực hiện để đáp ứng các yêu cầu được xác định bởi quá
trình xử lý rủi ro và đánh giá rủi ro. Sự lựa chọn này sẽ xem
xét đến tiêu chuẩn chấp nhận rủi ro cũng như các yêu cầu về
pháp lý, quy định và cam kết phải tuân thủ.
•) Các mục tiêu quản lý và biện pháp quản lý trong có thể được
lựa chọn như là một phần thích hợp để bảo đảm các yêu cầu đã
xác định và tùy trường hợp có thể lựa chọn thêm các mục tiêu
quản lý và biện pháp quản lý cần thiết khác.


Triển khai chuẩn ISO 27001:2005 cho tổ chức
h) Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.
j) Được ban quản lý cho phép cài đặt và vận hành hệ thống
ISMS.
k) Chuẩn bị thông báo áp dụng:
)Thông báo áp dụng hệ thống ISMS bao gồm :
– Các mục tiêu quản lý và biện pháp quản lý đã được lựa

chọn và các cơ sở tiến hành lựa chọn.
– Các mục tiêu quản lý và biện pháp quản lý đang được thực
hiện.
– Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong
phụ lục A cũng như giải trình cho việc này.


>> Triển khai và điều hành hệ thống ISMS:
o Quá trình triển khai và điều hành hệ thống ISMS đòi hỏi
thực hiện như sau:
a) Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt
động quản lý thích hợp, tài nguyên, trách nhiệm và mức
độ ưu tiên để quản lý các rủi ro an toàn thông tin.
b) Triển khai kế hoạch xử lý, khắc phục rủi ro nhằm đạt
được mục tiêu quản lý đã xác định trong đó bao gồm cả
sự xem xét kinh phí đầu tư cũng như phân bổ vai trò,
trách nhiệm.
c) Triển khai các biện pháp quản lý được lựa chọn để thỏa
mãn các mục tiêu quản lý.