ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHÙNG THỊ LIÊN NGHIÊN CỨU TIÊU CHUẨN ISO 27001 VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HÀ NỘI - 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHÙNG THỊ LIÊN NGHIÊN CỨU TIÊU CHUẨN ISO 27001 VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60 48 01 04 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: PGT.TS TRỊNH NHẬT TIẾN HÀ NỘI – 2016 i LỜI CAM ĐOAN Tôi xin cam đoan báo cáo luận văn đƣợc viết dƣới hƣớng dẫn cán hƣớng dẫn khoa học, thầy giáo, PGS.TS Trịnh Nhật Tiến Tất kết đạt đƣợc luận văn q trình tìm hiểu, nghiên cứu riêng tơi Nội dung trình bày luận văn cá nhân đƣợc tổng hợp từ nhiều nguồn tài liệu tham khảo khác có xuất xứ rõ ràng đƣợc trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đam Hà Nội, ngày 10 thán 05 năm 2016 Ngƣời cam đoan Phùng Thị Liên ii LỜI CẢM ƠN Đầu tiên, xin gửi lời cảm ơn chân thành sâu sắc tới thầy Trịnh Nhật Tiến – Ngƣời trực tiếp hƣớng dẫn nhiệt tình giúp đỡ tơi, cho hội đƣợc tiếp xúc với tài liệu tham khảo, góp ý cho tơi q trình nghiên cứu để hồn thành đề tài Tơi muốn bày tỏ lời cảm ơn chân thành tới thầy cô giáo giảng dạy suốt thời gian học trƣờng nhƣ PGS.TS Hà Quang Thụy, PGS.TS Đỗ Trung Tuấn, PGS.TS Nguyễn Ngọc Hóa, TS Phan Xuân Hiếu, TS Bùi Quang Hƣng, TS Trần Trúc Mai, TS Võ Đình Hiếu, TS Nguyễn Văn Vinh thầy cô giáo khác khoa Cuối cùng, xin gửi lời cảm ơn sâu sắc tới Bố, Mẹ, Chồng, Con trai tất ngƣời thân gia đình, bạn bè đồng nghiệp tơi Họ ln ủng hộ tơi với tình u thƣơng, ln động viên động lực để vƣợt qua tất khó khăn sống Hà Nội, ngày 10 tháng năm 2016 Học viên thực luận văn Phùng Thị Liên iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT v DANH MỤC BẢNG BIỂU vi DANH MỤC HÌNH VẼ vii MỞ ĐẦU Chương TRÌNH BÀY TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 CÁC KHÁI NIỆM LIÊN QUAN ĐẾN AN TỒN THƠNG TIN 1.2 CÁC NGUY CƠ RỦI RO MẤT AN TOÀN 1.3 NHU CẦU CẤP THIẾT CẦN PHẢI XÂY DỰNG MỘT HỆ THỐNG AN TỒN THƠNG TIN ĐÁP ỨNG TIÊU CHUẨN QUỐC TẾ Chương TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001 2.1 TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS 2.1.2 Khái niệm ISO 27001 10 2.1.3 Lịch sử phát triển ISO 27001 11 2.1.4 Tiếp cận trình 11 2.1.5 Thiết lập, kiểm soát, trì cải tiến ISMS 12 2.1.6 Phạm vi áp dụng 15 2.2 HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 15 2.2.1 Thuật ngữ định nghĩa 15 2.2.2 Bối cảnh tổ chức 18 2.2.3 Lãnh đạo 19 2.2.4 Hoạch định 20 2.2.5 Hỗ trợ 23 iv 2.2.6 Điều hành 25 2.2.7 Đánh giá kết 25 2.2.8 Cải tiến 27 2.2.9 Trình bày phụ lục A tiêu chuẩn 28 2.3 Mƣời lý để chứng nhận ISO 27001 47 2.4 Thực trạng triển vọngphát triển ISO 27001 48 2.4.1 Thực trạng triển khai Việt Nam 48 2.4.2 Triển vọng phát triển ISO 27001 Việt Nam 49 Chương XÂY DỰNG HỆ THỐNG QUẢN LÝ HỆ THỐNG AN TỒN THƠNG TIN CHO DOANH NGHIỆP 51 3.1 PHÁT BIỂU BÀI TOÁN 51 3.2 XÂY DỰNG CHƢƠNG TRÌNH 51 3.2.1 Phƣơng pháp xác định rủi ro 51 3.2.2 Quản lý tài sản 53 3.2.3 Xác định nguy điểm yếu hệ thống 56 3.2.4 Lựa chọn mục tiêu kiểm soát 63 3.2.5 Chƣơng trình thử nghiệm 64 KẾT LUẬN 68 A NHỮNG VẤN ĐỀ GIẢI QUYẾT ĐƢỢC TRONG LUẬN VĂN NÀY 68 B KIẾN NGHỊ VÀ HƢỚNG NGHIÊN CỨU TRONG TƢƠNG LAI 69 v DANH MỤC TỪ VIẾT TẮT Từ tiếng việt Từ viết tắt Từ tiếng Anh ISO International Organization Standardization IEC International Commission for Hệ thống quản lý an tồn thơng tin Electrotechnical Hệ thống quản lý an tồn thơng tin ISMS Information Security Management System Công nghệ thông tin CNTT Information Technology vi DANH MỤC BẢNG BIỂU Bảng 3.1: Ma trận tính giá trị rủi ro .53 Bảng 3.2: Đánh giá tài sản độ bảo mật .55 Bảng 3.3: Đánh giá tài sản độ toàn vẹn 56 Bảng 3.4: Đánh giá tài sản độ sẵn sàng 56 Bảng 3.5: Danh sách nguy 57 Bảng 3.6: Danh sách điểm yếu 61 vii DANH MỤC HÌNH VẼ Hình 1.1: Đặc tính an tồn thông tin .2 Hình 2.1: Họ tiêu chuẩn ISMS Hình 2.2: Lịch sử phát triển ISO 27001 11 Hình 3.1: Tài sản 54 Hình 3.2: Các module hệ thống 64 Hình 3.3: Tài liệu 65 Hình 3.4: Kiểm soát .65 Hình 3.5: Nguy 65 Hình 3.6: Điểm yếu .66 Hình 3.7: Đánh giá rủi ro .66 Hình 3.8: Tuyên bố áp dụng 66 MỞ ĐẦU Hiện nay, với phát triển nhƣ nhanh chóng lĩnh vực công nghệ, xuất nhiều công mạng, công từ hacker, nguy gây an tồn thơng tin xảy với tần xuất nhiều hơn, nghiêm trọng Bên cạnh doanh nghiệp giới nói chung Việt Nam nói riêng phát triển đa dạng ngành nghề lĩnh vực Mỗi ngành nghề lĩnh vực địi hỏi thơng tin cần phải đƣợc bảo mật, xác thực tồn vẹn, vừa giúp cho doanh nghiệp phát triển, thông tin đƣợc bảo vệ, hạn chế công, vừa giúp cho doanh nghiệp có đƣợc hình ảnh uy tín nhƣ đƣợc bên đối tác đánh giá tin tƣởng hợp tác với doanh nghiệp có đƣợc bảo vệ thơng tin cách an tồn Nhƣ vấn đề an tồn thơng tin lại quan trọng nhu cầu cấp thiết doanh nghiệp Vậy làm để giúp doanh nghiệp thực đƣợc điều Để trả lời cho câu hỏi này, luận văn “Nghiên cứu tiêu chuẩn ISO 27001 ứng dụng” nghiên cứu tìm hiểu cách xây dựng hệ thống an tồn thơng tin cho doanh nghiệp, giúp cho doanh nghiệp quản lý, bảo vệ thơng tin cách an toàn hiệu Luận văn đƣợc chia làm chƣơng: - Chƣơng 1: Trình bày tổng quan an tồn thơng tin Chƣơng trình bày khái niệm liên quan đến an tồn thơng tin, nguy rủi ro an tồn - Chƣơng 2: Trình bày tiểu chuẩn quốc tế ISO 27001 Chƣơng trình bày tổng quan ISO 27001, trình bày chi tiết hệ thống an tồn thơng tin thực trạng triển khai ISO 27001 - Chƣơng 3: Xây dựng hệ thống quản lý hệ thống an tồn thơng tin cho doanh nghiệp Sau q trình nghiên cứu tìm hiểu ISO 27001 Trong chƣơng tơi xin trình bày phần mềm quản lý hệ thống an tồn thơng tin xây dựng sách, quy định, quy trình cho doanh nghiệp 56 Bảng 3.3: Đánh giá tài sản độ tồn vẹn Giá trị Mơ tả Ảnh hƣởng tới kinh doanh không đáng kể Ảnh hƣởng tới kinh doanh thấp Ảnh hƣởng quan trọng tới kinh doanh Ảnh hƣởng chủ yếu tới kinh doanh Tác động làm sụp đổ q trình kinh doanh Bảng 3.4: Đánh giá tài sản độ sẵn sàng Giá trị Mô tả Sẳn sàng đáp ứng vòng 25% số làm việc Sẳn sàng đáp ứng vòng 50-60 % số làm việc Sẳn sàng đáp ứng vòng 75-80 % số làm việc Sẳn sàng đáp ứng vòng 95 % số làm việc Sẳn sàng đáp ứng vòng 99.5 % số làm việc Giá trị lớn tính chất C, I, A tài sản đƣợc lấy làm giá trị tài sản, sở để tính giá trị rủi ro Ví dụ: Một tài sản giá trị C = 2, I=3, A=3 giá trị tài sản mang giá trị Giá trị tài sản độ quan trọng tài sản tỷ lệ thuận với 3.2.3 Xác định nguy điểm yếu hệ thống Mối nguy (T): Các nguy đƣợc coi nguyên nhân tiềm tàng gây cố không mong muốn, chúng có khả gây thiệt hại cho hệ thống, công ty tài sản hệ thống, cơng ty Nguy xuất phát từ lý nhƣ ngƣời, môi trƣờng công nghệ/ kỹ thuật; nguy phát sinh từ nội bên ngồi tổ chức Ví dụ: Bị file lỗi ngƣời dùng, bị hỏng phần mềm quan trọng 57 Đầu vào cho việc nhận biết nguy ƣớc lƣợng khả xảy thu thập đƣợc từ việc sốt xét cố, ngƣời quản lý tài sản, ngƣời sử dụng tài sản nguồn thông tin khác, kể danh mục nguy từ bên Đầu cho việc nhận biết nguy danh sách nguy với thông tin nhận biết kiểu nguồn gốc Đầu vào cho việc nhận biết nguy ƣớc lƣợng khả xảy thu thập đƣợc từ việc soát xét cố, ngƣời quản lý tài sản, ngƣời sử dụng tài sản nguồn thông tin khác, kể danh mục nguy từ bên Đầu cho việc nhận biết nguy danh sách nguy với thông tin nhận biết kiểu nguồn gốc nguy Bảng 3.5: Danh sách nguy Tên nguy STT Bão lụt Bị đột nhập, trộm cắp tài sản Bị khóa password cá nhân, khơng truy cập đƣợc Bị file lỗi ngƣời dùng Bị hỏng phần mềm quan trọng Bụi, ăn mịn, đóng bang Cài đặt thay đổi phần mềm trái phép Can thiệp từ bên ngoài, bị nghe cài đặt thông tin trả lời tự động trái phép Cháy nổ cáp điện, đứt cáp điện thoại 10 Cháy, nổ 11 Công tác bảo hành, bảo trì kèm 12 Dễ bị hack 13 Dễ bị virus 14 Động đất 58 15 Gây nhầm lẫn việc sử dụng cho ngƣời dùng 16 Giả mạo danh tính ngƣời dùng 17 Lạm dụng quyền sử dụng tài sản 18 Lỗi kỹ thuật 19 Lỗi phần cứng 20 Lỗi phần mềm 21 Lỗi sử dụng 22 Lý sức khỏe 23 Mất ATTT 24 Mất C, I, A thông tin 25 Mất điện 26 Mất liệu 27 Nhân viên làm việc dễ truy cập trái phép làm rị rỉ thơng tin cách thiếu ý thức 28 Nhiệt độ độ ẩm không bảo đảm máy tính server 29 Những ngƣời nghỉ việc truy cập văn phịng hệ thống thơng tin 30 Phá hoại, trộm cắp, gian lận 31 Phá hủy, trộm cắp tài sản thông tin 32 Quá tải mạng 33 Rách, mủn, mờ mơi trƣờng 34 Rị rỉ thơng tin 35 Sang làm việc cho đối thủ canh tranh 59 36 Sử dụng thiết bị trái phép 37 Sự sẵn sàng tính tồn vẹn hệ thống sản xuất bị ảnh hƣởng, gây lỗi, hỏng phần mềm chƣa đƣợc kiểm tra đƣa vào sử dụng 38 Thất lạc, không lƣu trữ quy định 39 Thiệt hại có chủ ý ngƣời 40 Thiếu chế giám sát 41 Thời gian chờ đợi dài 42 Tính sẵn sàng nguồn lực 43 Tính tồn vẹn liệu bị ảnh hƣởng, bị trộm cắp liệu 44 Trộm cắp liệu 45 Trộm cắp liệu thông tin 46 Trộm cắp phƣơng tiện tài liệu 47 Trộm cắp, gây rối, làm gián điệp, phá hoại Công ty 48 Truy cập trái phép 49 Truy cập trái phép thông tin 50 Truy cập trái phép tới máy chủ 51 Truy cập trái phép tới máy tính cá nhân 52 Truy cập trái phép sử dụng trái phép tài nguyên 53 Truy cập trái phép sửa đổi thông tin hệ thống 54 Từ chối dịch vụ 55 Vận hành hệ thống bị gián đoạn 56 Vi phạm quyền điều khoản điều kiện thỏa thuận với nhà cung cấp phần mềm, gây tranh chấp pháp lý 60 57 Vi phạm bảo trì hệ thống, gây lỗi sử dụng Điểm yếu (V): Các điểm yếu không tự gây thiệt hại mà chúng cần phải có nguy khai thác Một tài sản có nhiều điểm yếu nguyên nhân ngƣời, mơi trƣờng cơng nghệ/ kỹ thuật Ví dụ: Bảo trì thiết bị khơng đầy đủ; Bảo vệ truy cập vật lý Đầu vào việc nhận biết điểm yếu danh sách nguy biết, danh sách tài sản biện pháp có Các hƣớng dẫn nhận biết điểm yếu: - Cần phải nhận biết điểm yếu bị khai thác nguy an tồn thơng tin nguyên nhân gây thiệt hại cho tài sản, cho tổ chức - Điểm yếu đƣợc nhận biết vấn đề sau: o Tổ chức o Quy trình, thủ tục o Thủ tục quản lý o Nhân o Mơi trƣờng vật lý o Cấu hình hệ thống thông tin o Phần cứng, phần mềm, thiết bị truyền thông o Sự phụ thuộc vào thành phần bên ngồi Một điểm yếu mà khơng có nguy tƣơng ứng khơng cần thiết phải triển khai biện pháp nhƣng thay đổi cần đƣợc phát giám sát chặt chẽ Ngƣợc lại, nguy mà khơng có điểm yếu tƣơng ứng khơng gây rủi ro Trong đó, biện pháp đƣợc thực khơng cách, quy trình sau chức áp dụng khơng điểm yếu Biện pháp có hiệu hay khơng cịn phụ thuộc vào môi trƣờng vận hành hệ thống Một điểm yếu liên quan đến thuộc tính tài sản bị sử dụng khác với mục đích cách thức đƣợc mua sắm sản xuất, cần phải xem xét điểm yếu phát sinh từ nhiều nguồn khác Đầu việc nhận biết điểm yếu danh sách điểm yếu liên quan đến tài sản, mối đe dọa biện pháp xử lý Một danh sách điểm yếu không liên quan đến nguy đƣợc nhận biết để soát xét 61 Bảng 3.6: Danh sách điểm yếu Tên điểm yếu STT Bảo trì thiết bị khơng đầy đủ Bảo trì, bảo dƣỡng điều hịa Bảo vệ truy cập vật lý Các mã độc hại lây nhiễm sang máy tính Có nhiều ngƣời nội có quyền truy cập Con ngƣời Công tác PCCC Đào tạo an tồn thơng tin khơng đầy đủ Dịch vụ bảo vệ Tòa nhà 10 File mềm 11 Giao dịch qua mạng truyền thông, Đƣờng cáp mạng không đƣợc bảo vệ 12 Giấy, bảo vệ vật lý yếu 13 Giấy, dễ bị ảnh hƣởng độ ẩm, bụi 14 Khi bàn giao ngƣời quản lý cũ quên ko bàn giao password cá nhân 15 Không tắt máy rời khỏi máy trạm 16 Không bảo mật file password 17 Không cập nhật thƣờng xuyên phần mềm chống virus 18 Khơng có nguồn điện dự phịng 19 Khơng có phụ tùng thay hỏng 20 Khơng đƣợc bảo vệ kiểm sốt đầy đủ 21 Khơng kiểm soát việc lƣu hay nhân tài liệu 62 22 Kiểm sốt vật lý khơng đầy đủ vào Công ty 24 Lỗi bị virut Trojan phần mềm cài đặt 25 Lỗi hệ điều hành phần mềm ứng dụng 26 Mức độ cung cấp dịch vụ không rõ ràng 27 Nguồn điện không ổn định 28 Password bảo vệ yếu 29 Phần mềm chƣa đƣợc cập nhật 30 Quy trình kiểm thử phần mềm thiếu khơng có 31 Rời bỏ Cơng ty 32 Sao chép khơng đƣợc kiểm sốt 35 Sự vắng mặt 36 Tấn công virut hacker 37 Thiếu biện pháp kiểm sốt việc mang máy tính cá nhân (đƣợc cấp phép truy cập mạng Công ty) ra, vào hàng ngày 38 Thiếu biện pháp thay đổi cấu hình hiệu 39 Thiếu thủ tục quản lý thay đổi 40 Thiếu cẩn thận hủy bỏ 42 Thiếu sách sử dụng email internet 43 Thiếu sách sử dụng tài sản 44 Thiếu chế giám sát 45 Thiếu đƣờng dự phòng 46 Thiếu giám sát công việc cấp dƣới 47 Thiếu giám sát hệ thống 63 48 Thiếu khơng có đầy đủ quy định (liên quan đến ATTT) hợp đồng với khách hàng hoặc/ bên thứ ba 49 Thiếu kiểm soát phƣơng tiện phần mềm 50 Thiếu kiểm soát truy cập 51 Thiếu nhận thức bảo mật thông tin 53 Thiếu phân loại đầy đủ 54 Thiếu phòng cháy chữa cháy 55 Thiếu trình backup liệu 56 Thiếu quy định cho việc sử dụng phƣơng tiện thông tin 57 Thiếu bảo vệ vật lý 58 Thiếu nhận diện rủi ro liên quan đến đối tác bên 59 Thiếu thủ tục để xem xét, giám sát quyền truy cập 60 Thông tin trao đổi phận HRD bên liên quan không kịp thời 61 Thủ tục tuyển dụng không đầy đủ (thiếu sàng lọc) 62 Việc sử dụng phần mềm phần cứng không cách 3.2.4 Lựa chọn mục tiêu kiểm sốt Mục đích việc quản lý an ninh thông tin áp dụng ISO 27001:2013 để đảm bảo toàn nhân viên, nhà thầu bên thứ ba hiểu đƣợc đƣợc trách nhiệm thân tƣơng ứng với vai trò đƣợc giao, giảm thiểu nguy gây tổn hại tới an ninh thông tin nhƣ trộm cắp, lừa đảo lạm dụng sở vật chất Thứ hai là, nhận thức đƣợc mối nguy vấn đề liên quan đến an tồn thơng tin, trách nhiệm nghĩa vụ pháp lý họ; đƣợc đào tạo trang bị kiến thức, điều kiện cần thiết nhằm hỗ trợ sách an tồn thơng tin cơng ty trình làm việc giảm thiểu rủi ro lỗi ngƣời gây Thứ ba là, rời khỏi tổ chức thay đổi việc làm cách tổ chức, đảm bảo an tồn thơng tin 64 Quản lý an ninh thông tin nhân bao gồm đƣợc áp dụng ba giai đoạn trƣớc tuyển dụng, thời gian làm việc chấm dứt thay đổi vị trí cơng việc 3.2.5 Chƣơng trình thử nghiệm Chƣơng trình đƣợc xây dựng ngơn ngữ C# sử dụng công cụ Visual Studio 2012 Hệ quản trị sở liệu SQL Server 2008 R2 Chƣơng trình thử nghiệm đƣợc cài đặt laptop có cấu hình: Intel core i3 2.13Hz, ram 4Gb Máy tính sử dụng hệ điều hành Microsoft Win 32 bit Hệ thống Tài sản Tài liệu Kiểm soát Nguy Điểm yếu Đánh giá rủi ro Báo cáo Hình 3.2: Các module hệ thống Chƣơng trình đƣợc xây dựng cho phép định nghĩa thông tin tài sản công ty, xác định giá trị tài sản dựa thuộc tính C, I, A Định nghĩa nguy cơ, điểm yếu xây dựng kiểm sốt Từ cho phép quản lý rủi ro dựa ảnh hƣởng nguy điểm yếu tài sản Với rủi ro có giá trị lớn 16 chƣơng trình đƣa cảnh báo để ngƣời dùng biết đƣợc cần phải đƣa biện pháp kiểm soát để giảm rủi ro Các báo cáo tuyên bố áp dụng (SoA) kiểm sốt cơng ty áp dụng để giảm thiểu rủi ro Ngồi ra, chƣơng trình cịn có biểu đồ trực quan so sánh giá trị rủi ro trƣớc sau áp dụng biện pháp kiểm sốt 65 Một số hình ảnh chƣơng trình: Hình 3.3: Tài liệu Hình 3.4: Kiểm sốt Hình 3.5: Nguy 66 Hình 3.6: Điểm yếu Hình 3.7: Đánh giá rủi ro Hình 3.8: Tuyên bố áp dụng 67 68 KẾT LUẬN A NHỮNG VẤN ĐỀ GIẢI QUYẾT ĐƢỢC TRONG LUẬN VĂN NÀY Đảm bảo an toàn thông tin cần đƣợc thực định kỳ cách thƣờng xuyên, nhằm đảm bảo cho hệ thống thông tin đƣợc an toàn Tránh đƣợc rủi ro đáng tiếc xảy ra, gây ảnh hƣởng tới hoạt động sản xuất, kinh doanh công ty Luận văn đạt đƣợc kết quan trọng trình xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001 1/ Về nghiên cứu, tìm hiểu hệ thống quản lý theo chuẩn ISO 27001: Luận văn đƣa đƣợc đầy đủ lý thuyết từ lịch sử phát triển, phạm vi, tiêu chuẩn liên quan kiểm soát, mục tiêu kiểm soát phụ luc A tiêu chuẩn Lập hệ thống quản lý ATTT theo chuẩn ISO 27001 cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm tổ chức nhằm trì đảm bảo ba thuộc tính an tồn thơng tin: Tính tin cậy, Tính tồn vẹn, Tính sẵn sàng Với yêu cầu cụ thể gồm Tiêu chuẩn ISO 27001:2013 có nội dung chính: - Bối cảnh tổ chức Lãnh đạo Hoạch định Hỗ trợ Điều hành Đánh giá kết Cải tiến Và phụ lục A bao gồm 14 chƣơng, 35 mục tiêu 114 kiểm soát Nhƣ ISO 27001 giúp cho tổ chức tạo đƣợc hệ thống quản lý an tồn thơng tin chặt chẽ nhờ đƣợc cải tiến nhằm đảm bảo an ninh khai thác thông tin cách hợp lý hiệu 2/ Về thử nghiệm xây dựng hệ thống an tồn thơng tin cho doanh nghiệp: Từ sở lý thuyết nghiên cứu đƣợc, chƣơng đƣa phƣơng pháp xác định rủi ro, định nghĩa tài sản, nguy điểm yếu Từ tài sản, nguy cơ, điểm yếu lựa chọn mục tiêu kiểm sốt phù hợp để nhằm mục đích giảm bớt rủi ro xảy doanh nghiệp Qua trình nghiên cứu q trình làm việc thực tiễn cơng ty, định nghĩa số tài liệu sách, quy trình, quy định liên quan đến hệ thống quản lý an tồn thơng tin, xây dựng đƣợc chƣơng trình demo thử nghiệm thơng tin quản lý hệ thống an tồn thơng tin đƣa đƣợc tuyên bố áp dụng tổ chức 69 B KIẾN NGHỊ VÀ HƢỚNG NGHIÊM CỨU TRONG TƢƠNG LAI Việc tổ chức hay doanh nghiệp tuân thủ đạt đƣợc chứng ISO 27001 thừa nhận quốc tế việc đảm bảo an tồn thơng tin tổ chức Tuy nhiên, việc tn thủ hay đạt đƣợc đƣợc chứng ISO 27001 không khẳng định tổ chức đƣợc an toàn tuyệt đối Do vậy, cần liên tục kiểm soát, đánh giá rủi ro, xác định mối đe dọa điểm yếu hệ thống để có hiểu biết tốt hệ thống thơng tin, từ đƣa đƣợc giải pháp để giảm thiểu rủi ro Nên đánh giá hệ thống định kỳ tháng/1 lần để có cải tiến phù hợp với hệ thống quản lý an tồn thơng tin Đảm bảo tài sản thơng tin ln đáp ứng đƣợc ba thuộc tính tính bảo mật, tính tồn vẹn tính sẵn sàng Hệ thống quản lý an tồn thơng tin đƣợc nhiều tổ chức quan tâm đón nhận áp dụng Trong tƣơng lai, muốn nghiên cứu thêm phƣơng pháp đánh giá rủi ro theo định lƣợng có nghĩa việc đánh giá rủi ro gây thiệt hại tiền mặt, để nhằm giúp cho tổ chức, doanh nghiệp có hình dung cụ thể thiệt hại, mát rủi ro gây Đồng thời nghiên cứu phƣơng pháp đánh giá công nhận chứng ISO 27001 cho tổ chức, doanh nghiệp 70 TÀI LIỆU THAM KHẢO Tiếng việt Trịnh Nhật Tiến (2008), Giáo trình an tồn liệu, Trƣờng Đại học cơng nghệ, đại học Quốc gia Hà Nội Nghị định 64/2007/NĐ-CP, ngày 10/04/2007 Chính phủ Ứng dụng cơng nghệ thơng tin hoạt động quan Nhà nƣớc Tiếng anh Alan Calder & Steve Watkins, IT Governance A manager’s Guide to Data Security and ISO 27001/ISO 27002 Barry L Williams (2010), Information Security Policy Development for Compliance, New York Gary Stoneburner, Alice Goguen, and Alexis Feringa (2002), Risk Management Guide for Information Technology Systems Val Thiagarajan B.E., M.Comp, CCSE, MCSE, SFS, ITS 2319, IT Security Specialist (2006), BS ISO/IEC 17799:2005 SANS Audit Check List ISO/IEC 27000 – Information technology – Security techniques – Information security management systems – Overview and vocabulary (2014) ISO/IEC 27001 – Information technology – Security techniques – Information security management systems – Overview and vocabulary (2005, 2013) ISO/IEC 27003 – Information technology – Security techniques – Information security management system implementation guidance 10 ISO/IEC 27005 - Information technology – Security techniques – Information security management systems – Information security risk management (2008, 2013) 11 ISO 31000: Risk management – A practical guide for SMEs ... ĐÁP ỨNG TIÊU CHUẨN QUỐC TẾ Chương TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001 2.1 TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS 2.1.2 Khái niệm ISO 27001. .. thích hợp 8 Chƣơng TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001 2.1 TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS Họ tiêu chuẩn ISMS bao gồm tiêu chuẩn có mối quan hệ với nhau,... phần tập trung chủ yếu vào mô tả yêu cầu ISMS (ISO/ IEC 27001) tiêu chuẩn dùng để chứng nhận (ISO/ IEC 27006) cho phù hợp tiêu chuẩn ISO/ IEC 27001 mà tổ chức áp dụng Các tiêu chuẩn khác cung cấp hƣớng