TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN Tiểu luận Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam T rang TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN Lời nói đầu Hiện giới nói chung Việt Nam nói riêng, hoạt động sản xuất kinh doanh phần lớn sử dụng máy tính mạng internet để tương tác với nhau. Tốc độ phát triển CNTT năm gần nhanh kèm theo nguy rủi ro CNTT ngày gia tăng. Do vậy, việc xây dựng hệ thống quản lý an toàn thông tin (ATTT) việc tất yếu phải làm tất doanh nghiệp thời đại công nghệ số ngày nay. Điều đáng buồn, Việt Nam nước bị tin tặc lộng hành phổ biến tốc độ phát triển hệ thống thông tin Internet Việt Nam chưa xem cao khu vực. Có nhiều Website quan trọng liên quan đến tài chính, chứng khoán tổ chức an toàn cảnh báo nhiều lần tình trạng an toàn không cải thiện. Thực tế phản ánh lơ công tác an toàn thông tin, gián tiếp gây thiệt hại lớn kinh tế: hệ thống máy tính bị đánh cắp, liệu bị đánh cắp, gây thiệt hại cho doanh nghiệp khách hàng. Tình hình an toàn mạng thông tin Việt Nam nhiều thách thức, đặc biệt nguồn nhân lực có trình độ thiếu trầm trọng, đầu tư cho lĩnh vực nhỏ giọt, quan tâm chưa tầm. Về môi trường pháp lý, chưa hoàn thiện thiếu đồng dẫn tới tình trạng chế tài đủ mạnh để răn đe Hacker có hành vi phát tán Virus diện rộng công vào hệ thống máy tính doanh nghiệp để trục lợi. Trong đó, khả công nghệ bị đánh giá thiếu yếu. Một hạ tầng mạng không đủ mạnh đương đầu với thách thức đe dọa an toàn có mức độ tinh vi chuyên nghiệp ngày cao. Bên cạnh đó, mức đầu tư cho công nghệ thông tin Việt Nam mức thấp. Trung bình nước giới có mức đầu tư cho công nghệ 8-10%. Còn Việt Nam, số thấp nhiều. Do mức đầu tư hạn hẹp nên doanh nghiệp, tổ chức có phận IT riêng, chủ yếu công việc số người kiêm nhiệm. Từ dẫn tới tình trạng an ninh, an toàn thông tin lỏng lẻo, có nhiều kẽ hở để kẻ xấu lợi dụng. Các vụ công tổ chức hơn, quy mô hơn, kín đáo mức độ thiệt hại lớn hơn. Chính vậy, nhóm định làm đề tài “Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam” để lợi T rang TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN ích áp dụng tiêu chuẩn ISO vấn đề cần lưu ý xây dựng, triển khai, áp dụng tiêu chuẩn ISO này. Mục lục Phần 1: Giới thiệu hệ thống ISM S .5 1.1. Giới thiệu chung: 1.2. Phạm vi áp dụng: 1.3. Thuật ngữ định nghĩa: .7 1.4. Hệ thống quản lý an toàn thông tin (ISM S): 1.5. Trách nhiệm ban quản lý: 16 1.6. Kiểm tra nội ISM S: .17 1.7. Ban quản lý soát xét ISMS: 18 1.8. Nâng cấp ISM S: .19 1.9. Triển khai tiêu chuẩn ISO 27001 cho tổ chức: 20 1.10. Lợi ích việc áp dụng 21 1.11. Thực trạng áp dụng tiêu chuẩn ISO 27001 Việt Nam .22 Phần 2: Phân tích thực trạng tình hình áp dụng tiêu chuẩn ISO 27001:2005 Ngân hàng TM CP Ngoại thương Việt Nam (VCB) .24 2.1. Giới thiệu Ngân hàng TM CP Ngoại thương Việt Nam .24 2.2. Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 VCB: 26 2.3. Kết luận 46 T rang TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN T rang TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN Phần 1: Giới thiệu hệ thống ISMS 1.1. Giới thiệu chung: 1.1.1. Tiêu chuẩn ISO 27001:2005 gì? Tiêu chuẩn quốc tế “Information security management system” (ISMS-hệ thống quản lý an toàn thông tin) có mã số ISO/IEC 27001:2005 biên soạn ủy ban kỹ thuật chung công nghệ thông tin - ISO/IEC JTC thuộc tiểu ban kỹ thuật an toàn thông tin - SC 27 thuộc tổ chức ISO. Tiêu chuẩn ban hành vào tháng 10 năm 2005 để thay tiêu chuẩn tên có mã số BS 7799-2:2002 tổ chức Britist Standard ban hành năm 2002. Tiêu chuẩn quốc tế xây dựng để đưa mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì nâng cấp ISMS. Việc chấp nhận triển khai hệ ISMS định chiến lược tổ chức. Thiết kế triển khai hệ thống quản lý an toàn thông tin tổ chức phụ thuộc vào nhu cầu mục tiêu khác nhau, yêu cầu an toàn cần phải đạt, quy trình sử dụng quy mô, cấu trúc tổ chức. Các điều hệ thống hỗ trợ cần cập nhật thay đổi. Đầu tư triển khai ISMS cần phải phù hợp với nhu cầu thực tiễn tổ chức. Tiêu chuẩn sử dụng để đánh giá tuân thủ phận bên tổ chức phận bên liên quan đến tổ chức. 1.1.2. Cách tiếp cận theo quy trình tiêu chuẩn ISO 27001:2005 Tiêu chuẩn khuyến khích việc chấp nhận cách tiếp cận theo quy trình thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì nâng cấp ISMS tổ chức. Một tổ chức cần xác định quản lý nhiều hoạt động để vận hành cách hiệu quả. Bất hoạt động sử dụng tài nguyên quản lý việc tiếp nhận đầu vào chuyển hóa thành đầu coi quy trình. Thông thường đầu quy trình đầu vào quy trình tiếp theo.Việc áp dụng hệ thống quy trình tổ chức, với nhận biết tương tác quy trình vậy, quản lý chúng, coi “cách tiếp cận theo quy trình”. Cách tiếp cận theo quy trình cho quản lý an toàn thông tin trình bày tiêu chuẩn nhằm khuyến khích người sử dụng nhấn mạnh điểm quan trọng sau: T rang TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN  Việc hiểu yêu cầu an toàn thông tin tổ chức cần thiết phải thiết lập sách mục tiêu cho an toàn thông tin.  Việc triển khai điều hành biện pháp để quản lý rủi ro an toàn thông tin tổ chức trước tất rủi ro chung xảy với tổ chức.  Việc giám sát soát xét lợi ích hiệu ISMS.  Việc thường xuyên nâng cấp dựa khuôn khổ mục tiêu đặt ra. Tiêu chuẩn đưa mô hình để áp dụng cho tất quy trình ISMS. Đó mô hình PDCA (Lập kế hoạch-Thực hiện-Kiểm tra-Hành Động) sơ đồ bên Hình 1: Áp dụng mô hình PDCA cho quy trình hệ thống quản lý an toàn thông tin Trong đó: P (Plan)-thiết lập ISMS: thiết lập sách, mục tiêu, quy trình thủ tục liên quan đến việc quản lý rủi ro nâng cao an toàn thông tin nhằm đem lại kết phù hợp với sách mục tiêu chung tổ chức. D (Do)-triển khai điều hành ISMS: Cài đặt vận hành sách, biện pháp quản lý, quy trình thủ tục hệ thống ISMS. T rang TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN C (Check)-giám sát soát xét ISMS: Xác định hiệu việc thực quy trình dựa sách, mục tiêu mà hệ thống ISMS đặt ra; kinh nghiệm thực tiễn báo cáo kết cho việc soát xét ban quản lý. A (Act)-Duy trì nâng cấp ISMS: Tiến hành biện pháp hoàn thiện bảo vệ dựa kết việc kiểm toán nội ISMS, soát xét ban quản lý thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS. 1.2. Phạm vi áp dụng: Tiêu chuẩn hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác (ví dụ: tổ chức thương mại, quan nhà nước, tổ chức phi lợi nhuận, v.v… ). Nội dung tiêu chuẩn rõ yêu cầu cho trình: thiết lập; triển khai; điều hành; giám sát; soát xét; bảo trì nâng cấp ISMS để đảm bảo an toàn thông tin trước tất rủi ro xảy với tổ chức. Tiêu chuẩn rõ yêu cầu triển khai biện pháp bảo vệ an toàn chọn lọc phù hợp với nhu cầu tổ chức phận tổ chức. ISMS thiết kế biện pháp đảm bảo an toàn thông tin phù hợp đầy đủ để bảo vệ tài sản thông tin đem lại tin tưởng bên liên quan đối tác, khách hàng v.v… Các yêu cầu tiêu chuẩn mang tính tổng quát nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức khác nhau. 1.3. Thuật ngữ định nghĩa: 1.3.1. Tài sản: có giá trị tổ chức. 1.3.2. Tính sẵn sàng: tính chất đảm bảo thực thể phép truy cập sử dụng theo yêu cầu. 1.3.3. Tính bí mật: tính chất đảm bảo thông tin không sẵn sàng công khai cá nhân, thực thể tiến trình không phép. 1.3.4. An toàn thông tin: trì tính bí mật, tính toàn vẹn tính sẵn sàng thông tin; bao hàm số tính chất khác xác thực, kiểm soát, chống chối bỏ tin cậy. T rang TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN 1.3.5. Sự kiện an toàn thông tin: Một kiện xác định xảy hệ thống, dịch vụ hay trạng thái mạng vi phạm sách an toàn thông tin, thất bại hệ thống bảo vệ tình bất ngờ liên quan đến an toàn. 1.3.6. Sự cố an toàn thông tin: Một chuỗi kiện an toàn thông tin không mong muốn có khả làm tổn hại hoạt động quan tổ chức đe dọa an toàn thông tin. 1.3.7. Hệ thống quản lý an toàn thông tin (ISMS): Hệ thống quản lý an toàn thông tin phần hệ thống quản lý tổng thể, vào việc đánh giá rủi ro xuất hoạt động tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì nâng cấp an toàn thông tin. Chú ý: Hệ thống quản lý tổng thể bao gồm cấu, sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy trình tài nguyên tổ chức. 1.3.8. Tính toàn vẹn: Tính chất đảm bảo xác toàn vẹn tài sản. 1.3.9. Rủi ro tồn đọng: Các rủi ro lại sau trình xử lý rủi ro. 1.3.10.Sự chấp nhận rủi ro: Quyết định chấp nhận tồn rủi ro. 1.3.11.Phân tích rủi ro: Sử dụng thông tin cách có hệ thống nhằm xác định nguồn gốc đánh giá rủi ro. 1.3.12.Đánh giá rủi ro: trình tổng thể phân tích rủi ro đánh giá rủi ro. 1.3.13.Đánh giá giá trị rủi ro: Quá trình so sánh rủi ro dự đoán với tiêu rủi ro có nhằm xác định mức độ nghiêm trọng rủi ro. 1.3.14.Quản lý rủi ro: Các hoạt động phối hợp nhằm điều khiển quản lý tổ chức trước rủi ro xảy ra. 1.3.15.Xử lý rủi ro: Quá trình lựa chọn triển khai biện pháp hạn chế rủi ro. 1.3.16.Thông báo áp dụng: Thông báo biên soạn nhằm mô tả mục tiêu quản lý biện pháp quản lý thích hợp áp dụng cho hệ thống ISMS tổ chức. CHÚ Ý: mục tiêu biện pháp kiểm soát xây dựng dựa kết kết luận đánh giá rủi ro quy trình xử lý rủi ro, yêu cầu hay chế tài pháp lý, ràng buộc yêu cầu hoạt động nghiệp vụ tổ chức để đảm bảo an toàn thông tin. T rang TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN 1.3.17.Tổ chức: Tổ chức (TC) hình thức tập hợp, liên kết thành viên xã hội (cá nhân, tập thể) nhằm đáp ứng yêu cầu, nguyện vọng, lợi ích thành viên; hành động mục tiêu chung. 1.4. Hệ thống quản lý an toàn thông tin (ISMS): 1.4.1. Các yêu cầu chung: Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì nâng cấp hệ thống quản lý an toàn thông tin (ISMS) tài liệu hóa bối cảnh toàn hoạt động tổ chức có rủi ro phải đối mặt. 1.4.2. Thiết lập quản lý ISMS: 1.4.2.1. Thiết lập ISMS: Để thiết lập ISMS, tổ chức cần thực công việc sau: a. Xác định phạm vi ranh giới ISMS theo khía cạnh: đặc điểm doanh nghiệp, tổ chức, địa điểm, tài sản công nghệ, đồng thời bao gồm thông tin chi tiết lý loại trừ phạm vi áp dụng. b. Vạch rõ sách triển khai ISMS theo mặt: đặc thù công việc; tổ chức; địa điểm; tài sản công nghệ. Bao gồm:  Bao gồm khuôn khổ cho mục tiêu, thiết lập định hướng tổng thể nguyên tắc hoạt động liên quan đến an ninh thông tin.  Sẽ đưa vào tài khoản kinh doanh yêu cầu pháp lý quy định, nghĩa vụ theo hợp đồng.  Gắn với bối cảnh quản lý rủi ro chiến lược tổ chức, việc thành lập trì hệ thống ISMS diễn ra.  Thiết lập tiêu chí dựa vào rủi ro đánh giá.  Được chấp thuận Ban Giám đốc. Chú ý: Để đạt mục tiêu tiêu chuẩn này, sách triển khai ISMS xem xét danh mục đầy đủ sách an toàn thông tin. Các sách mô tả tài liệu. c. Xác định phương pháp tiếp cận đánh giá rủi ro tổ chức T rang TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN  Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, quy định, pháp lý, an toàn bảo mật thông tin xác định.  Phát triển tiêu cho rủi ro chấp nhận vạch rõ mức rủi ro chấp nhận được. Hệ phương pháp đánh giá rủi ro lựa chọn đảm bảo đánh giá rủi ro đưa kết so sánh tái tạo được. Chú ý: Có nhiều hệ phương pháp đánh giá rủi ro khác nhau. d. Xác định rủi ro:  Xác định tài sản phạm vi hệ thống ISMS đối tượng quản lý tài sản này.  Xác định mối đe doạ xảy tài sản.  Xác định yếu điểm bị khai thác mối đe doạ trên.  Xác định tác động xấu tới tính chất quan trọng tài sản cần bảo đảm: bí mật, toàn vẹn sẵn sàng. e. Phân tích đánh giá rủi ro:  Đánh giá ảnh hưởng hoạt động tổ chức cố an toàn thông tin, ý đến hậu việc tính bí mật, toàn vẹn hay sẵn sàng tài sản.  Đánh giá khả thực tế xảy cố an toàn thông tin bắt nguồn từ mối đe dọa nguy dự đoán. Đồng thời đánh giá tác động tới tài sản biện pháp bảo vệ thực hiện.  Ước lượng mức độ rủi ro.  Xác định rủi ro chấp nhận hay phải có biện pháp xử lý dựa tiêu chấp nhận rủi ro thiết lập. f. Xác định đánh giá lựa chọn cho việc xử lý rủi ro Các hoạt động thực hiện:  Áp dụng biện pháp quản lý thích hợp. T rang 10 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN hàng Ngoại thương Việt nam (Quy chế quản lý truy xuất thông tin mật hệ thống Ngân hàng Ngoại thương Việt nam) nằm nhóm này.  Thông tin tuyệt mật: Là thông tin mà việc tiết lộ công bố ảnh hưởng lớn mặt tài chính, pháp lý hình ảnh NHNT. Ví dụ: Các chiến lược, kế hoạch kinh doanh, kế hoạch phát triển sản phẩm xếp vào nhóm này. 2.2.3.3. Các bước đánh giá rủi ro tài sản CNTT:  Mô tả tài sản CNTT  Xác định nguy  Xác định điểm yếu  Xác định kiểm soát  Ước lượng khả xuất  Ước lượng mức độ ảnh hưởng nguy tài sản  Xác định mức độ rủi ro  Đề xuất kiểm soát lựa chọn xử lý rủi ro  Xác định mức độ rủi ro lại 2.2.3.4. Duy trì, cập nhật danh sách nguy điểm yếu hệ thống quản lý ATTT: Để nâng cao chất lượng đánh giá rủi ro, cần thường xuyên trì, cập nhật danh sách này. Công việc Tổ ISO Phòng Quản lý rủi ro hoạt động thực hiện, với giúp đỡ Trung tâm CNTT Bộ phận khác cần a. Xác định nguy Các nguy xác định từ số nguồn sau:  Phân tích kiểm soát tiêu chuẩn ISO 27001 ISO 27002;  Phân tích nguyên nhân gây cố ATTT xảy NHNT tổ chức khác;  Khuyến cáo ATTT quan quản lý nhà nước tổ chức khác;  Phát người sử dụng hệ thống CNTT NHNT b. Xác định điểm yếu Tương tự nguy cơ, điểm yếu nhận dạng từ số nguồn T rang 32 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN  Phân tích kiểm soát tiêu chuẩn ISO 27001 ISO 27002;  Phân tích nguyên nhân cố ATTT xảy NHNT tổ chức khác;  Khuyến cáo ATTT quan quản lý nhà nước tổ chức khác;  Phát người sử dụng hệ thống CNTT NHNT. c. Liệt kê kiểm soát Với nguy cơ, cần xác định tẩt kiểm soát áp dụng để ngăn ngừa giảm thiểu tác hại nguy đó. Các kiểm soát nguy xác định từ số nguồn sau:  Các kiểm soát tiêu chuẩn ISO 27001 ISO 27002;  Thực trạng hệ thống CNTT quản lý ATTT NHNT;  Đề xuất Trung tâm CNTT Bộ phận liên quan (nếu cần). d. Xác định khả xuất nguy Khả xuất nguy xác định theo nguyên tắc:  Mức độ kiểm soát cao khả xuất nguy thấp;  Khả xuất nguy xác định (khả xuất lớn nhất) kiểm soát áp dụng để ngăn ngừa giảm thiểu tác hại nguy lên tài sản CNTT;  Khả xuất nguy xác định (khả xuất nhỏ nhất) toàn điểm yếu tương ứng với nguy liệt kê Bước có kiểm soát tương ứng;  Các giá trị lại khả xuất xác định mức độ kiểm soát nằm hai mức nêu trên. 2.2.4. Các quy trình tiêu chuẩn ISO 27001 áp dụng VCB T rang 33 TIÊU CHUẨN ISO 27001 2.2.4.1. GVHD: T S T Ạ T HỊ KIỀU AN Quy trình kiểm soát Tài liệu Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam Ghi chú: hành động bắt đầu “Soạn tài liệu nội bộ” T rang 34 TIÊU CHUẨN ISO 27001 2.2.4.2. GVHD: T S T Ạ T HỊ KIỀU AN Quy trình kiểm soát hồ sơ Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam T rang 35 TIÊU CHUẨN ISO 27001 2.2.4.3. GVHD: T S T Ạ T HỊ KIỀU AN Quy trình hành động khắc phục hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam Ghi chú: Định kỳ hàng tháng, quý; phận giám sát phải lập báo cáo theo dõi hành động khắc phục gửi phòng kiểm tra giám sát hội sở chậm vào ngày 15 tháng quý để theo dõi. T rang 36 TIÊU CHUẨN ISO 27001 2.2.4.4. GVHD: T S T Ạ T HỊ KIỀU AN Quy trình hành động phòng ngừa Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam Ghi chú: Định kỳ hàng tháng, quý; phận giám sát phải lập báo cáo theo dõi hành động phòng ngừa gửi phòng kiểm tra giám sát hội sở chậm vào ngày 15 tháng quý để theo dõi. T rang 37 TIÊU CHUẨN ISO 27001 2.2.4.5. GVHD: T S T Ạ T HỊ KIỀU AN Quy trình đo lường hiệu lực Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam T rang 38 TIÊU CHUẨN ISO 27001 2.2.4.6. GVHD: T S T Ạ T HỊ KIỀU AN Quy trình rà soát ban lãnh đạo Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam T rang 39 TIÊU CHUẨN ISO 27001 2.2.4.7. GVHD: T S T Ạ T HỊ KIỀU AN Quy định đánh giá nội Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam T rang 40 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN T rang 41 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN T rang 42 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN 2.2.5. Đánh giá: 2.2.5.1. Quy trình tài liệu a. Ưu điểm:  Có quy định rõ trách nhiệm phòng ban việc kiểm soát tài liệu.  Công việc soạn thảo tài liệu giao cụ thể cho tổ ISO, đồng thời có tham gia góp ý kiến từ phận khác, nhờ tài liệu hoàn thiện hơn.  Các tài liệu phê duyệt thỏa đáng trước ban hành, thông qua cấp quản lý.  Có quy định đảm bảo việc lưu trữ gốc, sao, đồng thời việc phân phối tài liệu quản lý thông qua số phát hành  Có quy định nhằm đảm bảo nhận biết thay đổi tình trạng sửa đổi hành tài liệu. Đồng thời tránh việc vô tình sử dụng tài liệu hạn gắn nhãn hết hiệu lực cho tài liệu. b. Nhược điểm:  Có quy định nhân viên sử dụng gốc kiểm soát để phục vụ công việc liên quan, nhiên chưa nêu rõ điều kiện để nhận tài liệu này, tài liệu có sẵn sàng cho hay cho nhóm đối tượng có điều kiện.  Có nêu rõ việc gắn nhãn nhận biết với tài liệu hạn chưa nêu rõ việc hủy bỏ tài liệu nào. 2.2.5.2. Quy trình hồ sơ a. Ưu điểm:  Quy định có tính hệ thống, thông dụng quốc tế.  Quy định rõ trách nhiệm, công việc phận.  Có loại văn theo chức năng, luồng công việc quy trình.  Có biện pháp quản lý cần thiết để định danh, lưu trữ, bảo vệ, sửa chữa, thời gian sử dụng hủy bỏ hồ sơ biên soạn thực hiện. T rang 43 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN b. Nhược điểm:  Không có 2.2.5.3. Quy trình khắc phục a. Ưu điểm:  Quy trình chặt chẽ rõ ràng.  Quy định rõ trách nhiệm, công việc phận.  Có loại văn theo chức năng, luồng công việc quy trình.  Có thực trình kiểm tra, giám sát trình sửa chữa lỗi hệ thống. b. Nhược điểm:  Chưa đề cập đến việc xây dựng hệ thống tổng hợp ghi nhận lỗi phát sinh biện pháp giải tương ứng.  Chưa có biện pháp chế tài phận khắc phục cố lỗi trường hợp không đạt yêu cầu. 2.2.5.4. Quy trình phòng ngừa a. Ưu điểm:  Quy trình chặt chẽ rõ ràng,  Quy định rõ trách nhiệm, công việc phận tham gia hành động phòng ngừa.  Có loại văn cụ thể theo chức năng, luồng công việc quy trình.  Có thực trình kiểm tra, giám sát đánh giá hành động phòng ngừa lỗi hệ thống b. Nhược điểm:  Chưa đề cập đến việc xây dựng hệ thống tổng hợp ghi nhận báo cáo đánh giá hệ thống quản lý ATTT.  Chưa có biện pháp chế tài, khen thưởng phận tham gia hành động phòng ngừa 2.2.5.5. Quy trình đo lường a. Ưu điểm: T rang 44 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN  Quy định rõ ràng chặt chẽ trách nhiệm phòng ban việc đo lường hiệu lực. Cụ thể tổ ISO có trách nhiệm xây dựng tiêu chí đo lường hiệu lực, tổng hợp kết đo lường lưu hồ sơ hoạt động đo lường.  Xây dựng tiêu chí đo lường dựa vào nhiều yếu tố bao gồm: theo tiêu chuẩn ISO 27001 theo tình hình thực tế đơn vị. Do đó, đưa tiêu chí xác phù hợp hơn.  Việc lựa chọn tiêu chí đo lường diễn định kỳ hàng năm. Vì cập nhật kịp thời tiêu chí dựa kết đánh giá rủi ro Hệ Thống ATTT.  Quy trình đo lường hiệu lực có chốt kiểm soát nhằm đảm bảo kết đo lường hiệu lực theo yêu cầu.  Có đưa tài liệu hướng dẫn cụ thể thực tiêu chí đo lường -> thuận tiện thu thập tổng hợp kết quả. b. Nhược điểm:  Quá trình tổng hợp tính toán kết đo lường quy định giao cho tổ ISO mà không nêu cách thức kết phải đạt nào. 2.2.5.6. Quy trình rà soát ban lãnh đạo a. Ưu điểm:  Việc rà soát hệ thống quản lý an toàn thông tin quan tâm cấp lãnh đạo Ngân hàng điều hành trực tiếp Tổng giám đốc, khâu quy trình thực nghiêm ngặt rõ ràng.  Quy trình rà soát đưa rõ ràng, chi tiết, kèm theo biểu mẫu cụ thể.  Các đề xuất đưa dựa tham khảo ý kiến từ nhiều nguồn: đơn vị, khách hàng, bên liên quan…do có nhìn tổng quát b. Nhược điểm:  Việc rà soát định kỳ 1lần/năm chưa nhiều mà công nghệ với tội phạm công nghệ ngày phát triển nhanh. Bên cạnh đó, lỗ hổng hệ thống quản lý an toàn thông tin phải phát giải nhanh chóng. Do vậy, việc định kỳ rà soát lần/năm không đủ. T rang 45 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN  Chỉ có tổ ISO theo dõi, đôn đốc việc thực đơn vị. Do xảy trường hợp bỏ sót sai phạm tải. 2.2.5.7. Quy trình đánh giá nội a. Ưu điểm:  Quy định rõ ràng chặt chẽ trách nhiệm phòng ban việc đánh giá nội bộ.  Nêu rõ yêu cầu đối tượng có liên quan đến hoạt động đánh giá nội bộ.  Các nguyên tắc đánh giá có tính khách quan cao, đảm bảo mức độ xác kết quả.  Quy trình đo lường hiệu lực có chốt kiểm soát nhằm đảm bảo kết đầu ra.  Có đưa tài liệu hướng dẫn cụ thể cho việc đánh giá -> thuận tiện thu thập tổng hợp kết quả. b. Khuyết điểm:  Việc rà soát đánh giá 1lần/năm chưa nhiều mà công nghệ với tội phạm công nghệ ngày phát triển nhanh.  Vẫn thiếu việc đào tạo nhận thức cho nhân viên việc trì hệ thống an toàn thông tin. 2.3. Kết luận a. Kiến nghị Ngân hàng TMCP Ngoại thương Việt Nam (VCB): Ngoài ưu nhược điểm nêu trên, VCB cần phải lảm rõ định nghĩa, chức năng, nhiệm vụ đơn vị có liên quan thực xây dựng, triển khai hệ thống quản lý. Chẳng hạn phận Trung tâm CNTT đóng vai trò quan trọng nên tách khỏi đơn vị/bộ phận khác. Bên cạnh thiếu biện pháp chế tài khen thưởng cho phận Trung tâm CNTTT. Chẳng hạn quy trình khắc phục, trường hợp không đạt yêu cầu khắc phục chưa thấy VCB có áp dụng sách chế tài. Cũng trường hợp phòng ngừa tốt cần có sách khen thưởng. Và hệ thống VCB thiếu hệ thống tổng hợp, ghi nhận lỗi để hệ thống hóa lỗi phát sinh để giải pháp giải vấn đề cách khoa học, nhanh chóng. T rang 46 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN Mặt khác, việc rà soát đánh giá VCB lần/ năm chưa phù hợp với tốc độ phát triển mức độ nguy hiểm nguy ATTT. Tùy theo điều kiện khả thực hiện, VCB nên xem xét thay đổi thời gian lần/quý hay lần/6 tháng hợp lý hơn. Cuối cùng, quy trình, phận ISO phận quản lý trực tiếp hoạt đồng mà chưa có kêu gọi tinh thần tự giác, hành động tập thể. Và điều quan trọng VCB chưa trọng đến việc đào tạo nhận thức cho nhân viên, yếu tố then chốt đóng vai trò định việc đảm bảo an toàn thông tin. Một số ý thực chương trình đào tạo ATTT doanh nghiệp:  Đánh giá nhu cầu đào tạo doanh nghiệp dựa trên: quy mô hệ thống CNTT, trình độ đội ngũ nhân viên nói chung ATTT, sách ATTT mà doanh nghiệp áp dụng nghiệp vụ doanh nghiệp, ngân sách đầu tư cho ATTT nói chung đào tạo ATTT nói riêng.  Phân chia đối tượng đào tạo ATTT cách phù hợp, đối tượng tương ứng với chương trình đào tạo: Cán lãnh đạo quản lý, người dùng cuối, cán CNTT, cán chuyên trách ATTT. Từ có chương trình đào tạo ATTT phù hợp. b. Hạn chế đề tài: Bộ tiêu chuẩn ISO 27001 mang tính đặc thù cao ATTT hệ thống CNTT. Nó thường Trung tâm CNTT xây dựng thực việc triển khai, kiểm tra, trì. Chính khó khăn lớn cho nhóm làm đề tài này. Với mục tiêu nâng cao chất lượng tính hoàn thiện hệ thống quản lý ATTT VCB theo tiêu chuẩn ISO 27001, nhóm tập trung vào việc phân tích để tìm thiếu sót đề xuất biện pháp khắc phục. Tuy nhiên kiến thức có hạn kinh nghiệm thực tế không nhiều nên đề tài nhóm tránh khỏi thiếu sót. Rất mong nhận đóng góp ý kiến giáo viên hướng dẫn bạn lớp để nhóm hoàn thiện đề tài cách tốt nhất. T rang 47 [...]... thay đổi tích cực chí ít về tư duy nhận thức đối với việc triển khai hệ thống quản lý an toàn an ninh thông tin T rang 23 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN Phần 2: Phân tích thực trạng tình hình áp dụng tiêu chuẩn ISO 27001: 2005 tại Ngân hàng TMCP Ngoại thương Việt Nam (VCB) 2.1 Giới thiệu Ngân hàng TMCP Ngoại thương Việt Nam 2.1.1 Giới thiệu chung: Ngân hàng Ngoại thương Việt Nam trước... trước đây, nay là Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) được thành lập và chính thức đi vào hoạt động ngày 01/4/1963, với tổ chức tiền thân là Cục Ngoại hối (trực thuộc Ngân hàng Nhà nước Việt Nam) Là ngân hàng thương mại nhà nước đầu tiên được Chính phủ lựa chọn thực hiện thí điểm cổ phần hoá, Ngân hàng Ngoại thương Việt Nam chính thức hoạt động với tư cách là một Ngân hàng TMCP vào ngày... thông tin của Ngân hàng TMCP Ngoại thương Việt Nam  Quy định hành động phòng ngừa đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam  Quy định đo lường hiệu lực của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam  Quy định rà soát của ban lãnh đạo đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam  Quy định... việc thực hiện các công việc có liên quan đến nội dung tiêu chuẩn ISO 27001 bao gồm:  Tài liệu hướng dẫn đánh giá rủi ro tài sản công nghệ thông tin của Ngân hàng TMCP Ngoại thương Việt Nam  Quy định kiểm soát Tài liệu của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam  Quy định kiểm soát hồ sơ của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam. .. an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam T rang 26 TIÊU CHUẨN ISO 27001 GVHD: T S T Ạ T HỊ KIỀU AN Nhìn chung, tất cả các văn bản trên đều thực hiện đúng theo các yêu cầu của bộ tiêu chuẩn quốc tế ISO 27001 Tuy nhiên thì vẫn còn một số vấn đề còn tồn đọng sẽ được phân tích sau đây cho từng loại văn bản cụ thể 2.2.1 Phạm vi áp dụng: áp dụng các quy định và tiêu chuẩn được ban hành kèm... an ninh và trách nhiệm của họ trong tổ chức 1.11 Thực trạng áp dụng tiêu chuẩn ISO 27001 tại Việt Nam Trong lễ khai giảng khóa học về “Chương trình đào tạo an ninh thông tin và tiêu chuẩn ISO/ IEC 27001: 2005”, Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng nhấn mạnh vai trò của hệ thống tiêu chuẩn ISO này đối với các tổ chức, doanh nghiệp Đó là việc áp dụng ISO 27001 giúp các tổ chức, doanh nghiệp có được hệ thống... hành tài liệu Tuyên bố áp dụng tiêu chuẩn ISO 27001: 2005 đối với hệ thống quản lý an toàn thông tin của Ngân hàng TCMP Ngoại thương Việt Nam Văn bản này nêu rõ việc ban hành quyết định, đơn vị chịu trách nhiệm tổ chức thực hiện, hiệu lực thi hành cũng như bảng mô tả các mục tiêu và biện pháp quản lý theo tiêu chuẩn quốc tế ISO/ IEC 17799:2005 Ngoài văn bản tuyên bố áp dụng, Ngân hàng còn có một loạt các... trị theo chuẩn mực quốc tế; hướng đến một tập đoàn tài chính ngân hàng hoạt động đa năng, có vị thế hàng đầu tại Việt Nam, có tầm ảnh hưởng và phạm vi hoạt động ở khu vực và quốc tế, phấn đấu trở thành một trong hai ngân hàng hàng đầu tại Việt Nam có sức ảnh hưởng trong khu vực và là một trong 300 tập đoàn ngân hàng tài chính lớn nhất thế giới vào năm 2020 2.1.4 Các tiêu chuẩn ISO được áp dụng tại VCB:... 2.2 Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại VCB: Là một ngân hàng đứng đầu trong lĩnh vực tài chính, VCB nhận thức rõ được các rủi ro và nguy cơ tiềm ẩn từ hệ thống CNTT và luôn xem đây là một khía cạnh quan trọng cần được quan tâm đúng mức Chính vì vậy vào ngày 27 tháng 08 năm 2013, Tổng Giám đốc Ngân hàng TMCP Ngoại thương Việt Nam đã phê duyệt quyết định “Ban hành tài liệu Tuyên bố áp. .. chuẩn ISO 27001 đang được áp dụng tại VCB T rang 33 TIÊU CHUẨN ISO 27001 2.2.4.1 GVHD: T S T Ạ T HỊ KIỀU AN Quy trình kiểm soát Tài liệu của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Ghi chú: hành động bắt đầu là “Soạn tài liệu nội bộ” T rang 34 TIÊU CHUẨN ISO 27001 2.2.4.2 GVHD: T S T Ạ T HỊ KIỀU AN Quy trình kiểm soát hồ sơ của Hệ thống quản lý an toàn thông tin của Ngân . TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 1 Tiểu luận Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam TIÊU CHUẨN. khai tiêu chuẩn ISO 27001 cho tổ chức: 20 1.10. Lợi ích của việc áp dụng 21 1.11. Thực trạng áp dụng tiêu chuẩn ISO 27001 tại Việt Nam 22 Phần 2: Phân tích thực trạng tình hình áp dụng tiêu chuẩn. chuẩn ISO 27001: 2005 tại Ngân hàng TMCP Ngoại thương Việt Nam (VCB) 24 2.1. Giới thiệu Ngân hàng TMCP Ngoại thương Việt Nam 24 2.2. Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại VCB: