MASCI Co., Ltd.
004, Kim Son 1 Apartment Building, Truc street
ward 13, Binh Thanh district, Ho Chi Minh city
Tel: 08.5445.4564 email:
www.masci.com.vn; www.facebook.com/masci.co.ltd

TÀI LIỆU GIỚI THIỆU
DỊCH VỤ TƯ VẤN VÀ ĐÀO TẠO
XÂY DỰNG HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
THEO TIÊU CHUẨN ISO/IEC 27001:2013

Liên hệ
Tel
Mobile
Email

: Nguyễn Trung Kiên
: 08.5445.4564
: 090.338.5154
:


Năm 2016


MASCI Co., Ltd.
004, Kim Son 1 Apartment Building, Truc street
ward 13, Binh Thanh district, Ho Chi Minh city
Tel: 08.5445.4564 email:
www.masci.com.vn; www.facebook.com/masci.co.ltd

GIỚI THIỆU
DỊCH VỤ TƯ VẤN ISO/IEC 27001:2013
Với độ ngũ chuyên gia được đào tạo bài bản, chuyên nghiệp, có nhiều năm kinh
nghiệm làm việc trong li ̃nh vự c quả n lý an ninh thông tin từ trướ c khi tiêu chuẩn
́ xây dự ng và
ISO/IEC 27001 được ban hành, do đó có thể đánh giá, phân ti ́ch và tư vân
áp dụng hệ thống quả n lý an ninh thông tin một cách có hiệu quả , góp phần nâng cao
hiệu quả hoạt động của doanh nghiệp, giả m thiểu được rủ i ro an ninh thông tin cho
doanh nghiệp.
Việc xây dựng và áp dụng thành công hệ thống quản lý này là minh chứng cho
việc đảm bảo an ninh thông tin cho khách hàng của mình.
́ , đào tạo và tham
Trong nhiều năm qua, các chuyên gia của công ty đã tư vân
gia đánh giá chứ ng nhận cho hơn 20 đơn vi ̣ trong li ̃nh vự c này.
Dịch vụ giá trị gia tăng (miễn phí):
Công ty sẽ giới thiệu miễn phí tổng quan về Hệ thống quản lý an ninh thông tin
theo bộ tiêu chuẩn ISO/IEC 27000, trình tự thực hiện và dự kiến khối lượng công việc
cho Quý doanh nghiệp nhằm giúp cho CBCNV hiểu rõ hơn về bộ tiêu chuẩn ISO/IEC
27000 trước khi quyết định ký hợp đồng thực hiện dự án.
Hỗ trợ xây dựng, thuyết minh đề án
Hỗ trợ trong đánh giá chứng nhận
Hỗ trợ, trao đổi thông tin trong quá trình đơn vị duy trì hệ thống

2/8


MASCI Co., Ltd.
004, Kim Son 1 Apartment Building, Truc street
ward 13, Binh Thanh district, Ho Chi Minh city
Tel: 08.5445.4564 email:

www.masci.com.vn; www.facebook.com/masci.co.ltd

QUY TRÌNH TƯ VẤN XÂY DỰNG VÀ ÁP DỤNG ISO/IEC 27001

1

Tiếp xúc ban đầu

2

Giới thiệu ISO/IEC 27000

3

Xác đi ̣nh phạ m vi ISMS

4

Hợp đồng, kế hoạch

5

Khảo sát thực trạng

6

Đào tạo nhận thức, XD tà i liệ u

7


Thiết lập chính sách, mụ c tiêu

8

Xác định bối cảnh nội bộ và bên
ngoài

9

Xác định các bên quan tâm và
yêu cầu về của họ

10

Xây dự ng phương pháp đánh
giá rủi ro

11

Xây dựng các tiêu chí chấp nhận
rủi ro

12

Đánh giá rủi ro

13

Tù y chọ n xử lý rủi ro


14

Lự a chọ n mụ c tiêu kiểm soát và
biệ n pháp kiểm soát

15

Xây dự ng kế hoạch xử lý Risk

3/8


MASCI Co., Ltd.
004, Kim Son 1 Apartment Building, Truc street
ward 13, Binh Thanh district, Ho Chi Minh city
Tel: 08.5445.4564 email:
www.masci.com.vn; www.facebook.com/masci.co.ltd

16

XD bảng tuyên bố áp dụ ng

17

Soạn thảo và soát xét tài liệu
(gồm trách nhiệm quyền hạn)

18

Á p dụ ng: Thự c hiệ n kế hoạch

xử lý Risk, các biệ n pháp kiểm
soát đã chọ n, các thủ tụ c vận
hà nh ISMS

19

Đào tạo chuyên gia đánh giá
nội bộ

20

Tiến hành đánh giá nội bộ

21

Khắc phụ c sau đánh giá

22

Họ p xem xé t của lãnh đạo về
ANTT

23

Đánh giá chứng nhận

24

Nhận Giấy chứng nhận, duy trì
và cải tiến hệ thống


(Ghi chú: tổng thờ i gian xây dự ng đêń khi đánh giá chứ ng nhận tù y thuộc và o nguồn
lự c, nhận thứ c củ a tổ chứ c, khoả ng từ 06 đêń 10 tháng)

4/8


MASCI Co., Ltd.
004, Kim Son 1 Apartment Building, Truc street
ward 13, Binh Thanh district, Ho Chi Minh city
Tel: 08.5445.4564 email:
www.masci.com.vn; www.facebook.com/masci.co.ltd

Hệ thống quản lý an ninh thông tin
ISO/IEC 27001:2013
Giới thiệu chung
ISO 27001 là tiêu chuẩn về hệ thống quản lý an ninh thông tin (ISMS–Information
Security Management System) do Tổ chức tiêu chuẩn hoá quốc tế (ISO) phát triển và
ban hành vào tháng 10 năm 2005, được soát xét vào tháng 10/2013. Tiêu chuẩn cung
cấp một mô hình để thiết lập, áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến
ISMS và có thể áp dụng cho hầu hết mọi loại hình tổ chức như: các tổ chức kinh
doanh – thương mại, Chính phủ, tổ chức phi lợi nhuận.
ISO/IEC 27002 “bộ quy tăć thực hành tốt an ninh thông tin” là tiêu chuẩn bổ sung cho
ISO 27001, nêu cụ thể các biện pháp kiểm soát an ninh trong phụ lục A của ISO 27001,
được lựa chọn và áp dụng như một phần của hệ thống an ninh thông tin. Hai tiêu
chuẩn này hoà hợp và liên quan mật thiết với nhau.
ISO 27001 qui định những yêu cầu đối với hệ thống an ninh thông tin là cơ sở để bên
thứ ba xem xét đánh giá cấp chứng chỉ.
ISO 27001 được xây dựng hài hoà, tương thích với các hệ thống quản lý khác như: ISO
9001:2015, ISO 14001:2015 và đã có ảnh hưởng trên phạm vi toàn cầu.


Lợi ích của việc áp dụng ISO 27001:2013
Chứng tỏ cam kết đảm bảo về an ninh thông tin ở mọi cấp độ trong tổ chức
Đảm bảo tính mật, toàn vẹn và sẵn sàng của tài sản thông tin
Tạo niềm tin cho đối tác và khách hàng
Giảm thiếu rủi ro gặp phải
Nhanh chóng khắc phục các sự cố xảy ra
Giảm giá thành và các chi phí bảo hiểm
Giảm chi phí sửa chữa, trang bị lại thiết bị
Nâng cao nhận thức và trách nhiệm của tất cả các nhân viên về an ninh thông tin.
Nâng cao hình ảnh của cơ quan, đơn vị
Tạo lợi thế cạnh tranh trong đấu thầu, kinh doanh
Thể hiện được tính cạnh tranh quốc tế, giúp cho việc kinh doanh có được sự công
nhận ngay lập tức trên toàn thế giới

5/8


MASCI Co., Ltd.
004, Kim Son 1 Apartment Building, Truc street
ward 13, Binh Thanh district, Ho Chi Minh city
Tel: 08.5445.4564 email:
www.masci.com.vn; www.facebook.com/masci.co.ltd

Bộ tiêu chuẩn ISO/IEC 27000
ISO/IEC 27000:2014 – Các nguyên tắc và từ vựng
ISO/IEC 27001:2013 – Các yêu cầu của hệ thống quản lý an ninh thông tin
ISO/IEC 27002:2013 – Quy tăć thự c hành an ninh thông tin
ISO/IEC 27003:2007 – Hướng dẫn áp dụng Hệ thống quản lý an ninh thông tin
ISO/IEC 27004:2006 – Hướ ng dẫn Đo lường Hệ thống quản lý an ninh thông tin

ISO/IEC 27005:2011 – Hướ ng dẫn Quản lý rủi ro HTQL an ninh thông tin
ISO/IEC 27006:2011 – Các yêu cầu đối với tổ chức chứng nhận
ISO/IEC 27007:2011 – Hướng dẫn đánh giá nội bộ HTQL an ninh thông tin

6/8


MASCI Co., Ltd.
004, Kim Son 1 Apartment Building, Truc street
ward 13, Binh Thanh district, Ho Chi Minh city
Tel: 08.5445.4564 email:
www.masci.com.vn; www.facebook.com/masci.co.ltd

Các yêu cầu của tiêu chuẩn quốc tế ISO 27001:2013
1. Bối cảnh của tổ chức (hiểu nội bộ và bên ngoài; xác định phạm vi áp dụng)
2. Lãnh đạo (yêu cầu chứng minh việc cam kết, thiết lập chính sách, mục tiêu, thiết
lập trách nhiệm và quyền hạn
3. Hoạch định:
-

Xác định rủi ro và cơ hội
 Xác định rủi ro (yêu cầu hoạch định các hoạt động để xác định rủi ro)
 Xác định các cơ hội để đạt được kết quả mong muốn, giảm thiểu rủi ro (yêu
cầu hoạch định các hoạt động để xác định cơ hội)
 Cách thức đánh giá hiệu quả của các hoạt động trên

-

Đánh giá rủi ro
 Thiết lập chuẩn mực (đánh giá và chấp nhận)

 Nhận biết các rủi ro
 Phân tích rủi ro
 Lượng hóa rủi ro

-

Xử lý rủi ro
 Chọn tùy chọn xử lý (chọn 1 trong 4 tùy chọn)
 Chọn biện pháp kiểm soát (có thể ngoài phụ lục A)
 Tuyên bố áp dụng các biện pháp kiểm soát (kể cả biện pháp ngoài phụ lục A)
 Xây dựng kế hoạch xử lý rủi ro
 Phê duyệt rủi ro còn lại

-

Thiết lập mục tiêu ANTT và hoạch định để đạt được MT ANTT
 Thiết lập MT ANTT
 Hoạch định cách thức để đạt mục tiêu (5W, 1H)

4. Hỗ trợ
-

Nguồn lực (nhân lực, vật lực, thời gian)

-

Xác định năng lực nhân sự

-


Đào tạo nhận thức

-

Xác định kên trao đổi thông tin (nội bộ và bên ngoài – 5W, 1H)

-

Kiểm soát tài liệu, hồ sơ (thông tin được lập thành tài liệu)

7/8


MASCI Co., Ltd.
004, Kim Son 1 Apartment Building, Truc street
ward 13, Binh Thanh district, Ho Chi Minh city
Tel: 08.5445.4564 email:
www.masci.com.vn; www.facebook.com/masci.co.ltd

5. Vận hành
-

Thực hiện các quá trình

-

Thực hiện đánh giá rủi ro ANTT

-


Thực hiện xử lý rủi ro ANTT

-

Kiểm soát việc thực hiện

-

Kiểm soát các quá trình thuê ngoài

6. Đánh giá việc thực hiện
Giám sát, đo lường, phân tích và đánh giá
Đánh giá nội bộ Hệ thống ISMS
Xem xét của lãnh đao về Hệ thống ISMS
7. Cải tiến
Sự không phù hợp
Cải tiến liên tục
Kèm theo là 1 phụ lục quan trọng gồm 114 biện pháp kiểm soát, 35 mục tiêu kiểm soát
được phân thành 14 nhóm yếu tố, sau :
1. Chính sách an ninh thông tin (A.5)
2. Tổ chức an ninh thông tin (A.6)
3. An ninh nguồn nhân lực (A.7)
4. Quản lý tài sản (A.8)
5. Kiểm soát truy cập (A.9)
6. Mã hóa (A.10)
7. An ninh vật lý và môi trường (A.11)
8. An ninh vận hành (A.12)
9. An ninh trong trao đổi thông tin (A.13)
10. Tiếp nhận, phát triển và duy trì Hệ thống (A.14)
11. Mối quan hệ với nhà cung ứng (A.15)

12. Quản lý sự cố an ninh thông tin (A.16)
13. An ninh trong đả m bả o tính liên tục trong hoạt động (A.17)
14. Sự tuân thủ (A.18)

Mọi chi tiết xin liên hệ:
Nguyễn Trung Kiên Email:

Tel: 08.5445.4564
Mobile: 090.338.5154

8/8