i ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CƠNG NGHỆ TRẦN KIÊN XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TỒN THƠNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2017 HÀ NỘI i ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CƠNG NGHỆ TRẦN KIÊN XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TỒN THƠNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: 6048101 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS BÙI QUANG HƯNG Hà Nội - 2017 HÀ NỘI i LỜI CAM ĐOAN Tôi xin cam đoan báo cáo luận văn viết bởi hướng dẫn cán hướng dẫn khoa học, thầy giáo, TS Bùi Quang Hưng Tất kết đạt luận văn trình tìm hiểu, nghiên cứu, khảo sát, xây dựng kết hợp với kinh nghiệm riêng dẫn thầy giáo, TS Bùi Quang Hưng Nội dung trình bày luận văn cá nhân hoặc tổng hợp từ nhiều ng̀n tài liệu tham khảo khác đều có x́t xứ rõ ràng trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đam Hà Nội, ngày 21 tháng năm 2017 Người cam đoan Trần Kiên ii LỜI CẢM ƠN Tôi xin gửi lời cảm ơn chân thành sâu sắc nhất tới thầy giáo, TS Bùi Quang Hưng, người trực tiếp hướng dẫn nhiệt tình giúp đỡ tơi, bảo kinh nghiệm, phương pháp tiếp cận tài liệu tham khảo để giúp tơi hồn thành đề tài Tôi bày tỏ lời cảm ơn chân thành tới thầy cô giáo giảng dậy thời gian học tập tại trường PGS.TS Hà Quang Thụy, PGS.TS Hoàng Xuân Huấn, PGS.TS Trần Đăng Hưng, PGS.TS Phạm Ngọc Hùng, PGS TS Nguyễn Ngọc Hóa, TS Nguyễn Tuệ, TS Trần Trọng Hiếu, TS Phan Xuân Hiếu, TS Đặng Đức Hạnh, TS Nguyễn Hoài Sơn, thầy cô giác khác khoa Tôi xin gửi lời cảm ơn đến bạn bè, đồng nghiệp người dành thời gian nghe lời chia sẻ, tâm đưa lời khuyên, lời động viên chân thành quý báu Đặc biệt xin gửi lời cảm ơn chân thành nhất đến bạn Lê Hữu Tùng, chuyên gia tư vấn triển khai đảm bảo an tồn thơng tin cho doanh nghiệp tại Việt Nam, tại công tác tại công ty BKAV theo sát, cách tiếp cận vấn đề cách thực tiễn nhất q trình nghiên cứu luận văn Cuối tơi xin gửi tình cảm chân thành nhất từ trái tim đến bố, mẹ, vợ, trai đặc biệt gái tôi, cháu sinh vào thời điểm bắt đầu nhận đề tài bắt tay làm luận văn, dấu mốc mà tơi khó thể quên đời Hà Nội, ngày 21 tháng năm 2017 Học viên thực luận văn Trần Kiên iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC BẢNG BIỂU .v DANH MỤC HÌNH VẼ vi MỞ ĐẦU CHƯƠNG GIỚI THIỆU ISO27001 1.1 Khái niệm 1.2 Vị trí ISO27001 họ ISO27000 1.3 Cấu trúc ISO27001 1.4 Các lợi ích mà ISO27001 mang lại .19 CHƯƠNG 20 KHẢO SÁT DOANH NGHIỆP SME CỤ THỂ VỀ BẢO ĐẢM AN TỒN THƠNG TIN .20 2.1 Giới thiệu công ty SME cụ thể 21 2.2 Tổ chức .23 2.3 Các đối thủ cạnh tranh 23 2.4 Các đối tác liên quan 23 2.5 Mong muốn yêu cầu bên liên quan công ty 24 2.6 Nhận xét về thực trạng áp dụng tiêu chuẩn an toàn hệ thống thông tin tại Công ty X 25 2.7 Khảo sát công ty X về đảm bảo an tồn thơng tin 27 2.7.1 Phân loại tài sản CNTT 27 2.7.2 Các bước đánh giá rủi ro tài sản CNTT 29 CHƯƠNG 48 ĐỀ XUẤT BỘ QUY TRÌNH CHO DOANH NGHIỆP SME ĐÃ CHỌN 48 3.1 Đưa biện pháp kiểm soát 49 3.2 Quy trình đo lường hệ thống quản lý an tồn thơng tin .67 3.3 Quy trình về quản lý source code, mềm tài liệu 72 3.4 Quy trình về giáo dục nhận thức, đào tạo về an tồn thơng tin 77 3.5 Quy trình hành động phịng ngừa hệ thống quản lý an tồn thơng tin 84 3.6 Chính sách 86 CHƯƠNG 95 KẾT LUẬN 95 TÀI LIỆU THAM KHẢO .99 iv DANH MỤC TỪ VIẾT TẮT STT Từ tiếng Việt Từ tiếng Anh Từ viết tắt An tồn thơng tin Information Security ATTT Công nghệ thông tin Information Technology CNTT Doanh nghiệp vừa nhỏ Small and Medium Enterprise SME Hệ thống quản lý thông tin ISMS Information Security Management System v DANH MỤC BẢNG BIỂU Bảng 2.1 Bảng giá trị tính bảo mật 30 Bảng 2.2 Bảng giá trị tính tồn vẹn .30 Bảng 2.3 Bảng giá trị tính sẵn sàng .31 Bảng 2.4 Bảng giá trị tỷ lệ xảy 31 Bảng 2.5 Bảng giá trị rủi ro 32 Bảng 3.1 Các biện pháp kiểm soát đối ứng với nguy 49 BẢNG 3.2 QUY TRÌNH ĐO LƯỜNG CỦA HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 68 BẢNG 3.3 CÁC TIÊU CHÍ, PHƯƠNG THỨC ĐO LƯỜNG .69 BẢNG 3.4 QUY TRÌNH QUẢN LÝ SOURCE CODE, CÁC BẢN MỀM TÀI LIỆU 73 BẢNG 3.5 QUY TRÌNH VỀ GIÁO DỤC NHẬN THỨC, ĐÀO TẠO VỀ AN TỒN THƠNG TIN 78 BẢNG 3.6 QUY TRÌNH HÀNH ĐỘNG PHỊNG NGỪA ĐỐI VỚI HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 85 vi DANH MỤC HÌNH VẼ Hình 1.1 Vị trí ISO27001 Hình 2.1 Sơ đờ tở chức 23 MỞ ĐẦU Sự phát triển Internet Việt Nam đạt nhiều thành to lớn 15 năm qua, với số lượng gần 4,8 triệu thuê bao truy nhập Internet băng rộng cố định, 3,2 triệu hộ gia đình có kết nối Internet, 100% Bộ ngành, tỉnh thành phố có cởng thơng tin điện tử Hiện tại, theo xu hướng ứng dụng công nghệ thơng tin vào sống ngày sâu rộng loại hình tội phạm mạng nguy làm mất an tồn thơng tin ngày đa dạng khó phịng chống Hệ thống máy tính tở chức thường xun phải đối phó với tấn cơng, xâm nhập trái phép, gây rị rỉ, mất mát thơng tin, thậm chí dừng hoạt động, ảnh hưởng tiêu cực đến tiến độ, chất lượng công việc, kéo theo tởn thất về kinh tế, uy tín tở chức thậm chí ảnh hưởng tới an ninh quốc gia Các cố liên quan đến an tồn thơng tin (ATTT) Việt Nam Theo báo cáo nhiều tổ chức quốc tế về an tồn thơng tin, Việt Nam mục tiêu hàng đầu khu vực tấn cơng gián điệp có tở chức, mà mục tiêu tấn công quan, tở chức quan trọng thuộc phủ tở chức có sở hữu hạ tầng thơng tin trọng yếu Theo ghi nhận trung tâm VNCERT số lượng loại vụ việc, cố mất an tồn thơng tin năm qua phát xửa lý ngày tăng Trong năm 2013-2015 trung tâm VNCERT ghi nhận 4.954.853 lượt địa IP Việt Nam bị mạng máy tính ma chiếm quyền điều khiển để đánh cắp thông tin hoặc phát tán mã độc, phát tán thư điện tử rác tấn công mạng, có tới 12.480 lượt địa IP tĩnh quan nhà nước nằm mạng Chỉ tính riêng tháng đầu năm 2016 cố 127.000 Trong đó, Phishing: 8.758; Deface: 77.160; Malware: 41.712.1 Tâm điểm về cố mất an tồn thơng tin năm 2016 vụ tin tặc tấn cơng vào vào số hình hiển thị thông tin chuyến bay tại khu vực làm thủ tục bay sân bay như: Sân bay Tân Sơn Nhất, Sân bay Nội Bài, Sân bay Đà Nẵng, Sân bay Phú Quốc vào chiều 29 tháng 07 năm 2016 Các hình sân bay bị chèn hình ảnh nội dung câu chữ xúc phạm Việt Nam Philippines, xuyên Nguồn: Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam tạc nội dung về biển Đông Hệ thống phát sân bay phát thông điệp tương tự Đồng thời website Việt Nam Airlines bị hack với 411.000 liệu hành khách máy bay bị hacker thu thập phát tán Vụ việc gây thiệt hại làm cho 100 chuyến bay bị ảnh hưởng, hàng chục chuyến bay bị chậm giờ từ 15 phút cho đến tiếng Tại sân bay Nội Bài tất hình loa phát tạm thời ngưng hoạt động để ngăn chặn hacker phát thông tin giả mạo Các hãng hàng sử dụng loa tay để thông báo cho khách Bên cạnh rủi ro về an tồn thơng tin (ATTT) bị tấn cơng phá hoại có chủ đích, đáng ý nhiều đơn vị khơng biết cố liên quan đến an tồn thơng tin nằm hệ thống mạng Các nguyên nhân chủ yếu là: Các quy trình quản lý, vận hành không đảm bảo; việc quản lý quyền truy cập chưa kiểm tra xem xét định kỳ; nhận thức nhân viên việc sử dụng trao đổi thông tin chưa đầy đủ; năng lực cán kỹ thuật yếu, thiếu cán chuyên môn thiếu trang bị kỹ thuật tối thiểu… Do đó, ngồi biện pháp kỹ thuật, tở chức cần xây dựng áp dụng sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro Giải pháp ISO27001 Giải pháp toàn diện hiệu nhất để giải quyết vấn đề hệ thống doanh nghiệp cần xây dựng, triển khai quy trình bảo vệ ATTT theo tiêu chuẩn ISO27001 Việc triển khai quy trình đáp ứng tiêu chuẩn ISO27001 sẽ giúp hoạt động đảm bảo ATTT tổ chức quản lý chặt chẽ, đạt số lợi ích sau: - Bảo vệ thông tin tổ chức, khách hàng đối tác - Nhân viên tuân thủ có thói quen đảm bảo ANTT - Hoạt động đảm bảo ANTT ln trì cải tiến - Hoạt động nghiệp vụ trọng yếu tổ chức khơng bị gián đoạn - Nâng cao uy tín tổ chức, tăng sức mạnh cạnh tranh Thực trạng triển khai ISO27001 Việt Nam Hiện tại tại Việt Nam việc xây dựng, triển khai quy trình bảo vệ ATTT theo tiêu 86 3.6 Chính sách I Kiểm sốt truy cập Đăng ký người sử dụng a) Sử dụng tên truy cập cá nhân nhất để người sử dụng có thể kết nối chịu trách nhiệm với hoạt động mình; b) Kiểm tra mức cho phép truy cập có phù hợp với mục đích doanh nghiệp có nhất qn với sách an ninh tổ chức; c) Đưa cho người sử dụng công bố quyền truy cập họ; d) Yêu cầu người sử dụng ký kê để họ hiểu điều kiện truy cập; e) Duy trì lưu thức tồn người đăng ký sử dụng dịch vụ; f) Bỏ quyền truy cập người sử dụng người sử dụng thay đổi công việc hoặc rời tổ chức; g) Kiểm tra định kỳ để xóa bỏ tên truy cập tài khoản cá nhân không cần thiết; h) Đảm bảo tên truy cập cá nhân dư thừa không phát hành cho người sử dụng khác Quản lý đặc quyền a) Xác định đặc quyền kết hợp với sở liệu: có quyền View, có quyền Create, có quyền Update, có quyền Delete, đặc quyền sở liệu phân phối nhân viên dựa vai trò chức năng họ; b) Một quy trình cấp quyền lưu toàn đặc quyền phân phối bảo lưu Các đặc quyền không cho phép cho đến quy trình cấp qùn hồn tất; 87 Quản lý mật người sử dụng a) Yêu cầu người sử dụng ký kết cam kết để giữ bí mật mật cá nhân (điều có thể thêm vào điều khoản điều kiện thuê nhân công); b) Đảm bảo lúc đầu họ cung cấp mật tạm thời an tồn mà họ buộc phải thay đởi lập tức; c) Yêu cầu đưa mật tạm thời cho người sử dụng cách an toàn Người sử dụng nên thông báo nhận mật Soát xét quyền truy cập người sử dụng a) Quyền truy cập người sử dụng soát xét sau mỗi khoảng thời gian đều đặn định kỳ tháng sau bất kỳ thay đổi nào; b) Việc cấp đặc quyền truy cập đặc biệt soát xét sau khoảng thời gian ngắn hơn, định kỳ tháng; c) Phân phối đặc quyền kiểm tra thường sau mỗi khoảng thời gian đều đặn để đảm bảo khơng có đặc qùn trái phép Người sử dụng sử dụng mật a) Giữ bí mật mật khẩu; b) Tránh giữ lại tờ giấy ghi mật khẩu, trừ phi lưu giữ an tồn; c) Thay đởi mật bất kỳ lúc có dấu hiệu hệ thống hoặc mật có thể bị tởn hại; d) Chọn mật có chất lượng với độ dài nhất ký tự và: 1) Dễ nhớ; 2) Không dựa bất kỳ mà khác có thể dễ dàng đốn hoặc có thơng tin liên quan đến cá nhân, ví dụ tên, số điện thoại, ngày sinh v v.; 3) Tránh nhóm ký tự giống liên tiếp hoặc số hoặc chữ 88 e) Thay đổi mật sau mỗi khoảng thời gian đều đặn hoặc theo lần truy cập (các mật cá tài khoản đặc quyền thay đổi thường xuyên mật thông thường) tránh sử dụng lại, quay lại mật cũ; f) Thay đổi mật tạm thời vào lần khởi động đầu tiên; g) Khơng tính đến mật bất kỳ trình khởi động tự động hố nào, ví dụ lưu trữ phím chức năng hoặc macro; h) Khơng chia sẻ mật cá nhân Kiểm soát truy cập mạng a) Các mạng dịch vụ mạng phép truy cập; b) Các thủ tục cấp phép để xác định rõ người phép truy cập mạng dịch vụ mạng đó; c) Các kiểm sốt thủ tục quản lý để bảo vệ truy cập tới kết nối mạng dịch vụ mạng II Quản lý truyền thông hoạt động Sao lưu thông tin a) Technical leader công ty người sẽ tiến hành thực lưu, kiểm tra việc thực lưu b) Mức thông tin lưu nhỏ nhất, lưu toàn liệu sở liệu có được, với lưu trữ chép dự phòng thủ tục lưu trữ ghi chép lại xác đầy đủ lưu ở nơi tách biệt, với khoảng cách đủ để thoát khỏi hư hại tai hoạ xảy ở vị trí c) Nếu có thể, tool thực backup kiểm tra đều đặn để đảm bảo chúng có thể chơng cậy lúc khẩn cấp cần; d) Việc tiến hành lưu sở liệu phải đảm bảo nhất tháng kể từ người chơi ngừng sử dụng dịch vụ việc lưu tiến hành hàng ngày vào ban đêm (khi hệ thống dịch vụ game người chơi truy cập nhất) 89 Bảo vệ chống lại phần mềm cố ý gây hại a) Một sách thức địi hỏi tn theo giấy phép phần mềm ngăn cấm việc sử dụng trái phép phần mềm; - Xuất sách tuân thủ quyền phần mềm xác định việc sử dụng pháp lý sản phẩm phần mềm thông tin; - Việc trì nhận thức về quyền phần mềm sách giành đưa thơng báo về mục đích thự hoạt động - Kỷ luật nhân viên vi phạm; b) Một sách thức để bảo vệ chống lại cá rủi ro liên quan đến việc sử dụng tệp phần mềm từ mạng bên hoặc bất kỳ phương tiện truyền thông khác, cho biết biện pháp bảo vệ sử dụng - Chỉ mua chương trình có ng̀n đáng tin; - Mua chương trình có mã ng̀n mà có thể xác minh; - Sử dụng sản phẩm đánh giá; c) Việc lắp đặt nâng cấp thông thường phần mềm chống virút sửa chữa để quét máy vi tính d) Chỉ đạo việc sốt xét thơng thường phần mềm nội dụng liệu hệ thống hỡ trợ q trình kinh doanh qút định Sự diện bất kỳ tệp không chấp nhận hoặc sửa đổi trái phép điều tra cách thức; e) Kiểm tra virút bất kỳ tệp phương tiện trùn thơng điện tử có nguồn gốc không rõ ràng hoặc trái phép hoặc tệp nhận từ mạng không đáng tin trước sử dụng ; f) Kiểm tra phần mềm gây hại bất kỳ tệp gửi kèm thư điện tử hoặc phần tải mạng trước sử dụng Việc kiểm tra tiến hành ở nhiều vị trí khác nhau, ví dụ máy chủ thư điện tử, máy tính bàn hoặc ở cởng mạng tổ chức; g) Các thủ tục quản lý trách nhiệm giải quyết vấn đề bảo vệ chống virút 90 hệ thống, đào tạo việc sử dụng, báo cáo khắc phục tấn công virút h) Các kế hoạch liên tục kinh doanh phù hợp với việc khắc phục tấn công virút, bao gờm tồn liệu cần thiết phần mềm lưu xếp khôi phục; i) Các thủ tục thẩm tra tồn thơng tin liên quan đến phần mềm có hại đảm bảo tin cảnh báo xác đầy đủ thông tin Các nhà quản lý đảm bảo ng̀n đủ tiêu chuẩn, ví dụ báo chí danh tiếng, địa mạng hoặc nhà cung cấp phần mềm diệt virút đáng tin, sử dụng để phân biệt trò lừa virút thực Nhân viên nhận thức vấn đề về trò lừa bịp phải làm nhận chúng Kiểm soát chung a) Những tài liệu, thiết bị, tài sản công ty đều không phép mang về nhà (điều có thể thêm vào điều khoản điều kiện thuê nhân công) III An ninh môi trường vật lý Vành đai an ninh vật lý a) Vành đai an ninh thiết lập rõ ràng: - Văn bản, công văn trao đổi nội cơng ty lưu trữ tủ kính, chống cháy, có khóa đặt phịng riêng, người phụ trách phịng hành chính, tởn hợp nhân quản lý Phịng vào có chế kiểm sốt thẻ từ - Văn bản, cơng văn, hóa đơn, bảng kê khai th́ trao đởi với khách hàng bên ngồi lưu trữ tủ kính, chống cháy, có khóa đặt phịng riêng, người phụ trách phịng hành chính, tởng hợp nhân quản lý Phịng vào có chế kiểm soát thẻ từ - Chiến lược phát triển kinh doanh, thông tin đối thủ cạnh tranh, thông tin về lương, thưởng nhân viên… lưu trữ tủ kính, chống cháy, có khóa đặt phòng riêng, người phụ trách phòng hành chính, tởng hợp nhân quản lý Phịng vào có chế kiểm sốt thẻ từ 91 - Tài liệu source code, ảnh, tài liệu liên quan đến dự án sản xuất game giấy… lưu trữ tủ kính, chống cháy, có khóa đặt phòng riêng, người phụ trách phòng sản xuất game quản lý Phòng vào có chế kiểm sốt thẻ từ - Thiết bị Wacom lưu trữ tủ kính, chống cháy, có khóa đặt phịng riêng, người phụ trách phòng sản xuất game quản lý Phòng vào có chế kiểm sốt thẻ từ - Các thiết bị lưu trữ̃ (USB, ổ cứng, CD-ROM) lưu trữ tủ kính, chống cháy, có khóa đặt phòng riêng, người phụ trách phòng sản xuất game quản lý Phòng vào có chế kiểm sốt thẻ từ - Các máy điện thoại để test game lưu trữ tủ kính, chống cháy, có khóa đặt phòng riêng, người phụ trách phòng sản xuất game quản lý Phịng vào có chế kiểm soát thẻ từ Kiểm soát xâm nhập vật lý a) Các khách đến khu vực an ninh giám sát hoặc rà soát ghi lại ngày giờ vào họ Họ cho phép truy cập mục đích cụ thể b) Truy cập tới cơng văn, văn kiểm sốt hạn chế cho cá nhân cấp phép c) Các quyền truy cập tới khu vực an ninh xem xét cập nhật cách đều đặn An ninh cho thiết bị ngoại vi a) Nghiêm cấm việc sử dụng USB, thẻ nhớ nội cơng ty, có thể niêm phong ổ USB, thẻ nhớ b) Nghiêm cấm việc cài đặt phần mềm cho phép gửi file peer-to-peer, ngăn chặn trang web cho phép upload, gửi file c) Tất máy tính có gắn camera sử dụng q trình làm việc tại cơng ty phải gián giấy che d) Tất nhân viên mang máy tính cá nhân ra, vào cơng ty phải nhân viên kỹ thuật kiểm tra, đồng ý lãnh đạo 92 Kiểm sốt chung a) KHI THÍCH HỢP, công văn văn trao đổi nội công ty cá nhân liên quan lưu nên lưu trữ tủ có khố riêng cá nhân, đặc biệt giờ làm việc; b) KHI THÍCH HỢP, văn bản, cơng văn, hóa đơn, bảng kê khai thuế trao đổi với khách hàng bên cá nhân liên quan lưu nên lưu trữ tủ có khố riêng cá nhân, đặc biệt ngồi giờ làm việc; c) KHI THÍCH HỢP, chiến lược phát triển kinh doanh, thông tin đối thủ cạnh tranh, thông tin về lương, thưởng nhân viên… cá nhân liên quan lưu nên lưu trữ tủ có khố riêng cá nhân, đặc biệt giờ làm việc; d) Các máy photo nên khóa ngồi giờ làm việc thức (hoặc bảo đảm an toàn khỏi việc sử dụng trái phép cách cách khác); e) Thông tin nhạy cảm hoặc phân loại, in xong nên xố khỏi máy in f) Chính sách hình "sạch": máy tính cá nhân cởng in cởng khác máy tính nên đóng khơng dùng nên bảo vệ khóa mật mã, mật hoặc kiểm sốt khác khơng sử dụng g) Các thiết bị lưu trữ̃ (USB, ổ cứng, CD-ROM) sử dụng phải log lại văn bản, sử dụng xong phải trả lại, có ký nhận phải cho phép lãnh đạo h) Các máy điện thoại để test game sử dụng phải log lại văn bản, sử dụng xong phải trả lại, có ký nhận phải cho phép lãnh đạo i) Nghiêm cấm việc sử dụng chức năng liên quan đến ghi âm, ghi hình cơng ty 93 IV An ninh cá nhân Giáo dục đào tạo an toàn thơng tin a) Tồn nhân viên tở chức đào tạo thích hợp cập nhật thường xun về sách thủ tục tở chức Điều bao gờm u cầu an tồn, trách nhiệm pháp lý kiểm soát kinh doanh, đào tạo việc sử dụng phương tiện xử lý thông tin trước truy cập tới thơng tin hoặc dịch vụ cho phép ví dụ thủ tục đăng nhập, sử dụng gói phần mềm b) Tồn nhân viên cơng ty đào tạo thích hợp cập nhật thường xun về sách thủ tục tở chức, đào tạo việc sử dụng phương tiện xử lý thông tin trước truy cập tới thông tin sở liệu c) Technical leader đào tạo thích hợp cập nhật thường xuyên về sách thủ tục tổ chức, đào tạo việc sử dụng tool backup để thực việc lưu sở liệu d) Toàn nhân viên, cá nhân liên quan công ty đào tạo thích hợp cập nhật thường xuyên về sách thủ tục tở chức, đào tạo việc sử dụng sách, quy trình về việc sử dụng mật truy cập tới sở liệu e) Toàn nhân viên, cá nhân liên quan công ty đào tạo, giải thích về khu vực an ninh dẫn về yêu cầu an ninh khu vực f) Tồn nhân viên, cá nhân liên quan cơng ty đào tạo, giải thích về quy chế, sách sử dụng mạng máy tính nội công ty hướng dẫn thi hành An ninh theo định nghĩa nguồn công việc 2.1 An ninh theo trách nhiệm công việc a) Các vai trò trách nhiệm an ninh, đặt sách an ninh thơng tin tở chức tài liệu hóa cách thích hợp Chúng nên gồm trách nhiệm chung việc thực hoặc trì sách an ninh trách nhiệm đặc biệt việc bảo vệ tài sản cụ thể hoặc 94 việc thi hành quy trình hoặc hoạt động an ninh cụ thể 2.2 Chính sách kiểm tra nhân a) Tính sẵn có giấy tờ dẫn chứng về đặc điểm, ví dụ về cơng việc cá nhân; b) Kiểm tra (đầy đủ xác) hồ sơ ứng viên; c) Xác nhận cấp yêu cầu phẩm chất nghề nghiệp; d) Kiểm tra nhận dạng (hộ chiếu hoặc giấy tờ tương tự) 2.3 Thỏa thuận về tính bảo mật a) Các thỏa thuận về tính bảo mật hoặc khơng làm lộ sử dụng để đưa lưu ý thông tin bảo mật hoặc bí mật Các nhân viên ký kết thỏa thuận phần điều khoản điều kiện tuyển dụng ban đầu họ Yêu cầu người sử dụng không chủ định, nhân viên bên thứ ba, chưa có hợp đờng bao gờm thỏa thuận về tính bảo mật, ký kết thỏa thuận về tính bảo mật trước phép truy cập tới phương tiện xử lý thông tin Các thỏa thuận về tính bảo mật sốt xét có thay đởi về thời hạn cơng việc hoặc hợp đồng, cụ thể người lao động rời tổ chức hoặc hợp đồng hết hạn Chính sách kiểm tra nhân a) Đảm bảo quyền lợi, đưa mục tiêu thăng tiến, phát triển rõ ràng nhân viên, lương thưởng ở mỗi cấp 95 CHƯƠNG KẾT LUẬN Với dân số 90 triệu người, gần 44% sử dụng Internet, nhiều người truy cập sử dụng Internet thiết bị di động, thị trường công nghệ rất phát triển tại Việt Nam Việt Nam trở thành mục tiêu nhà phát triển ứng dụng nhà đầu tư nước để mắt Nhiều tập đoàn đa quốc gia Samsung Intel có diện vơ lớn tại đây, startup công nghệ Việt Nam nhanh chóng nhập Tuy chưa có số liệu thức về bức tranh khởi nghiệp Việt Nam, tập đồn Softbank Nhật Bản ước tính có khoảng 1.500 startup hoạt động, phần lớn startup liên quan đến cơng nghệ, từ số có thể thấy Việt Nam có tỉ lệ startup số dân cao hẳn láng giềng Trung Quốc, Indonesia Ấn Độ.8 Đặc điểm startup công nghệ ở Việt Nam quy mô ở mức vừa nhỏ, doanh nghiệp tập trung phần lớn công sức, thời gian vào việc phát triển kinh doanh, tìm kiếm ý tưởng, sáng tạo, sản xuất sản phẩm ứng dụng công nghệ mới… chưa để ý, dành thời gian, công sức, chưa hiểu rõ phương pháp tiếp cận đến việc đảm bảo an tồn thơng tin cho doanh nghiệp Sau lựa chọn doanh nghiệp vừa nhỏ đặc thù, với lĩnh vực hoạt động liên quan đến công nghệ thông tin, cụ thể sản xuất phân phối game online điện thoại di động, ngành nổi rất nhiều tiềm năng phát triển tại Việt Nam, tiến hành khảo sát về thực trạng đảm bảo an tồn thơng tin doanh nghiệp này, xác định rủi ro, nguy đưa biện pháp kiểm soát, luận văn xây dựng cho doanh nghiệp sách, quy trình, quy định việc đảm bảo an tồn thơng tin theo tiêu chuẩn ISO27001, cụ thể sau: 01 sách lĩnh vực: - Kiểm sốt truy cập Theo http://ictnews.vn 96 - Quản lý truyền thông hoạt động - An ninh môi trường vật lý - An ninh cá nhân - Đào tạo nhân viên 04 quy trình: - Quy trình đo lường hệ thống quản lý an tồn thơng tin - Quy trình về quản lý source code, mềm tài liệu - Quy trình về giáo dục nhận thức, đào tạo về an tồn thơng tin - Quy trình hành động phòng ngừa hệ thống quản lý an tồn thơng tin 02 quy định: - 01 quy định chung nhân viên - 01 quy định việc phải làm việc không làm nhân viên Các tiêu chuẩn ISO27001 áp dụng 01 sách, 04 quy trình 02 quy định tuân thủ tiêu chuẩn sau ISO27001: - điều khoản bắt buộc về phạm vi tổ chức, lãnh đạo, lập kế hoạch, hỗ trợ, vận hành hệ thống, đánh giá hiệu năng hệ thống, cải tiến hệ thống - Các lĩnh vực kiểm sốt liên quan bao gờm: sách ATTT, ATTT tổ chức, ATTT nhân sự, quản lý tài sản, kiểm soát truy cập, ATTT vật lý nơi làm việc, ATTT trình vận hành, quản lý cố ATTT, đảm bảo tính hoạt động liên tục trường hợp thảm họa tuân thủ Những lợi điểm mà sách, quy trình quy định mang lại Luận văn giải quyết khó khăn mà doanh nghiệp vừa nhỏ gặp phải việc đảm bảo an tồn thơng tin: 97 - Nâng cao nhận thức tồn tở chức về việc đảm bảo ANTT - Tiết kiệm chi phí doanh nghiệp phải bỏ để thực biện pháp kiểm sốt rủi ro, chi phí về ng̀n lực tài giảm thiểu phù hợp với đặc trưng doanh nghiệp vừa nhỏ như: về mặt nhân tham gia giảm thiểu bao gồm 01 nhân viên phụ trách việc xây dựng đảm bảo quy trình an tồn thơng tin theo tiêu chuẩn ISO27001 tổ chức, lãnh đạo tồn thể nhân viên phịng ban, về mặt thời gian xây dựng triển khai sách, quy trình quy định ngắn, dễ áp dụng cho doanh nghiệp vừa nhỏ, áp dụng nhiều công nghệ tiên tiến việc triển khai công cụ phần mềm việc quản lý tài liệu, source code, công cụ quản lý cố, công việc nhân viên cuối cùng, sẽ dẫn đến tiết kiệm chi phí tài phải bỏ cho doanh nghiệp - Việc triển khai sách, quy trình quy định việc đảm bảo an tồn thơng tin tinh giản nâng cao hiệu việc phối hợp, trao đổi phận - Nâng cao nhận thức cam kết thực lãnh đạo Tuy nhiên với thời gian khảo sát ngắn có thể chưa liệt kê tất vấn đề mà doanh nghiệp gặp phải việc đảm bảo an tồn thơng tin, tiến hành sách, quy trình quy định, sẽ gặp phải vấn đề phát sinh, cần tiếp tục điều chỉnh, sửa đổi bổ sung cho phù hợp nhất với thực tế doanh nghiệp So sánh tiêu chí áp dụng quy trình luận văn thuê tư vấn việc đảm bảo an toàn thông tin theo chuẩn ISO27001 doanh nghiệp vừa nhỏ Các tiêu chí Tài Thuê tư vấn ngồi Áp dụng quy trình luận văn - Các phần mềm yêu - Các phần mềm triển khai thực cầu sử dụng đa số phải mua tận dụng từ phần mềm mã nguồn mở miễn phí - Phải tiến hành th cơng ty đào tạo về ATTT để - Không cần thuê công ty giảng dậy, nâng cao nhận đào tạo về ATTT mà có thể sử 98 Thời gian thức cho nhân viên dụng tài liệu quy trình để giảng dậy, nâng cao nhận thức cho nhân viên Mất khoảng thời gian để khảo sát, đánh giá rủi ro, đưa biện pháp kiểm sốt rời tiến hành đưa vào áp dụng - Có thể triển khai ln với 70% khối lượng cơng việc quy trình - 30% khối lượng cơng việc cịn lại sẽ tùy vào tình hình thực tế cụ thể cơng ty mà tiến hành khảo sát, cập nhật, sửa đổi, đánh giá rủi ro, đưa biện pháp kiểm soát tương ứng Nhân tham Một đội ngũ chiếm khoảng 01 người 10% nhân công ty gia đạo việc thực quy trình Hướng phát triển Hướng tiếp theo, tơi có đề x́t sẽ tiếp tục tiến hành khảo sát doanh nghiệp vừa nhỏ đặc trưng lĩnh vực khác công nghiệp, dịch vụ về vấn đề đảm bảo an tồn thơng tin, xây dựng, triển khai sách, quy trình quy định cho doanh nghiệp Từ kết thực tiễn thu được, luận văn mong muốn từ khái qt khung sách, quy trình quy định đảm bảo về an tồn thơng tin theo chuẩn ISO27001 cho doanh nghiệp vừa nhỏ tại Việt Nam Hy vọng với khung sách, quy trình quy định cho doanh nghiệp vừa nhỏ tại Việt Nam việc đảm bảo an tồn thơng tin theo chuẩn ISO27001 này, sẽ giúp đỡ phần cho doanh nghiệp vừa nhỏ tại Việt Nam, chiếm gần 95% tổng số doanh nghiệp, đảm bảo an tồn về an tồn thơng tin cho cơng ty startup, góp phần nhỏ bé vào cơng xây dựng bảo vệ đất nước 99 TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt Bộ Thông tin Truyền thông (2014), Thông tư 24/2014/TT-BTTT Quy định chi tiết hoạt động quản lý, cung cấp sử dụng dịch vụ trò chơi điện tử mạng Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ (2005), Tiêu chuẩn quốc gia TCVN 7562 Công nghệ thông tin – Mã thực hành quản lý an ninh thông tin Thế Hảo (2008), Thực trạng triển khai ISO27001 Việt Nam, http://antoanthongtin.vn “Báo cáo tổng quan tình hình doanh nghiệp”, Báo cáo phục vụ Hội nghị Thủ tướng Chính phủ với doanh nghiệp KS Đinh Quang Hùng (2015), Hệ thống quản lý An tồn thơng tin theo tiêu chuẩn ISO 27001:2013, http://antoanthongtin.vn Tài liệu tiếng Anh International Organization for Standardization (2014), ISO/IEC 27000, Information technology – Security techniques – Information security management systems – Overview and vocabulary International Organization for Standardization (2013), ISO/IEC 27001, Information technology - Security techniques - Information security management systems – Requirements International Organization for Standardization (2013), ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls Gaffri Johnson Senior Security Advisor at Neupart (2014), Measuring ISO 27001 ISMS processes 10 Scott Ritchie, Security Risk Management 100 ... TRẦN KIÊN XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TỒN THƠNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số:... chi phí doanh nghiệp phải bỏ để thực biện pháp kiểm soát rủi ro Vấn đề doanh nghiệp vừa nhỏ Việt Nam việc áp dụng triển khai ISO27001 Các doanh nghiệp ở Việt Nam chủ ́u doanh nghiệp có quy mơ... phần nhỏ cơng sức cho nền doanh nghiệp nước nhà việc đảm bảo an toàn thông tin, nơi mà tỷ lệ doanh nghiệp vừa nhỏ chiếm đa số, luận văn sẽ tập trung tìm hiểu ISO27001, chọn doanh nghiệp