Profile cover photo
Profile photo
VinastarConsulting
2 followers -
Experience Exchange
Experience Exchange

2 followers
About
Posts

ISMS LÀ GÌ?& ISO 27001 LÀ GÌ?
ISMS được viết tắt của information security management system, là hệ thống quản lý an toàn thông tin.

Vậy An toàn Thông tin là gì ?
An toàn thông tin bao gồm các tính chất bảo mật, toàn vẹn và sẵn sàng của thông tin. Ngoài ra, có thể liên quan các tính chất như: xác thực, trách nhiệm, xác nhận, tin cậy.
                                                                                              Trích dẫn ISO 27001
Bảo mật là gì ?
Bảo mật là tính chất có thể tiếp cận và sử dụng thông tin của những đối tượng được xác thực
Trích dẫn ISO 13335-1

Toàn vẹn là gì ?
Tính toàn vẹn là tính chất đúng đắn và đầy đủ của thông tin
Trích dẫn ISO 13335-1

Sẵng sàng là gì ?
Tính sẵn sàng là tính chất có tiếp cận và sử dụng tùy theo nhu cầu của những đối tượng được phép
Trích dẫn ISO 13335-1

 Hệ thống quản lý an toàn thông tin là gì ?
Hệ thống quản lý an toàn thông tin (information security management system) là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin.
Trích dẫn ISO 27001

        ISMS có thể hiểu theo cách khác như sau:
Hệ thống quản lý an toàn thông là các tài liệu và các hoạt động liên quan:
Chính sách An toàn Thông tin
Quy trình: qui định phòng chống mã độc, qui trình quản lý thay đổi, qui trình quản lý sự cố, qui trình phát triển phần mềm, qui định sao lưu dữ liệu, qui định quản lý mật khẩu, qui trình đảm bảo hoạt động liên tục (BCP)… 
 Hướng dẫn công việc: Hướng dẫn làm việc từ xa, hướng dẫn phân quyền cho phần mềm ABC, danh sách liên hệ, danh sách phần mềm được phép sử dụng…
Bảng kiểm kê tài sản thông tin
Phương pháp quản lý rủi ro
Kế hoạch xử lý rủi ro
Hoạt động đào tạo
Hoạt động xem xét của lãnh đạo
Hoạt động đánh giá nội bộ
Hành động khắc phục

        ISO 27001 là gì ?
 ISO 27001 là tiêu chuẩn dùng để triển khai và duy trì ISMS bao gồm việc thiết lập, vận hành, duy trì, cải tiến. Ngoài ISO 27001, còn một số tiêu chuẩn khác được áp dụng cho ISMS nhưng ISO 27001 là tiêu chuẩn phổ biến nhất.  
 
Ghi chú trích dẫn:
1.         ISO 27000: Information technology - Security techniques - Information security management systems - Overview and vocabulary
2.         ISO 13335-1: Information technology - Security techniques - Management of information and communications technology security
3.         ISO 27001: Information technology - Security techniques -  Information security management systems - Requirements
Ngày: 30/07/2015
Tô Hoàng Nam - Vinastar Consulting

PHÒNG THỦ NHƯ THẾ NÀO ?
Thế giới không yên bình hay chuyện đó còn xa lắm, lịch sử đã cho thấy chuyện đó và hiện nay đối với các công ty dữ liệu là một loại tài sản quan trọng cần được bảo vệ.
Quản lý bảo mật là một công việc hàng ngày như việc giữ một thành trì vậy, yếu ở điểm nào thì sẽ dễ bị tấn công ở đó.
VẬY CÁC ĐIỂM YẾU Ở ĐÂU ? LÀM CÁCH NÀO PHÁT HIỆN ĐIỂM YẾU/ RỦI RO ?
Dựa vào đánh giá rủi ro đối với mỗi công ty sẽ xác định các điểm yếu/ rủi ro qua đó sẽ có cách quản lý an toàn thông tin, tăng cường bảo mật dữ liệu. Mỗi công ty là khác nhau nên sẽ có các điểm yếu/ rủi ro khác nhau. Việc này có thể áp dụng cho công ty ở mức lớn, vừa, nhỏ ở bất kỳ ngành nào.
TRIỂN KHAI GIẢI PHÁP NÀO ĐỂ BẢO MẬT ?
Có rất nhiều nhiều nguồn có thể tham khảo:
- Tham khảo ý kiến các chuyên gia
- Tham khảo các hãng cung cấp các giải pháp
- Tham khảo 114 kiểm soát (control) được đề xuất tại ISO/ IEC 27001:2013. Đây được xem là “best practice” của một hệ thống quản lý an toàn thông tin
- …
Để hoàn chỉnh nên xây dựng hệ thống quản lý an toàn thông tin (ISMS-information security management system) cũng tương tự như các hệ thống quản lý khác bao gồm ba thành phần chính: qui trình, con người, công nghệ. ISO 27001 là một trong những tiêu chuẩn dùng để áp dụng quản lý an toàn thông tin.
LÀM GÌ KHI BỊ TẤN CÔNG ?
Để hạn chế thiệt hại và thời gian dừng hệ thống/ hoạt động của công ty là ít nhất thì cần phải chuẩn bị trước cho các tình huống có thể xảy ra. Cần chuẩn bị các kế hoạch đảm bảo hoạt động liên tục (BCP- Business Continuity Plan). Ngoài ra, kế hoạch này còn có thể áp dụng xử lý cho các tình huống không mong muốn khác như: hỏa hoạn, dịch bệnh, hệ thống IT quan trọng bị hư…
Để xây dựng các kế hoạch đảm bảo hoạt động liên tục có thể tham khảo hướng dẫn tại ISO/ IEC 27001:2013 hoặc ISO 22301:2012
Ngày: 31/07/2016
TÔ HOÀNG NAM – VINASTAR CONSULTING

Post has attachment
ISO 27001 tại System EXE Việt Nam
Photo

Post has attachment
SO SÁNH ISO 27001:2013 & ISO 27001:2005

Phiên bản ISO 27001:2013 có một số khác biệt so lớn so với phiên bản cũ ISO 27001:2005 như sau:

1. Cấu trúc tiêu chuẩn khác biệt
Tiêu chuẩn ISO 27001:2013 nội dung chính từ 4-10, phụ lục A bao gồm 14 chương, 35 mục tiêu và 114 kiểm soát
Tiêu chuẩn ISO 27001:2005 nội dung chính từ 4-8, phụ lục A bao gồm 11 chương, 39 mục tiêu và 133 kiểm soát
Hướng dẫn về cấu trúc ISO mới xin tham khảo link: http://www.iso.org/iso/standards_development/processes_ and_procedures/iso_iec_directives_and_iso_supplement.htm

2. Phạm vi ISMS
Tiêu chuẩn ISO 27001:2013 yêu cầu xác định ngữ cảnh (external and internal issues), yêu cầu của các bên liên quan (interested parties), giao diện và phụ thuộc (interfaces and dependencies)

3. Quản lý rủi ro
Tiêu chuẩn ISO 27001:2013 tham chiếu ISO 31000
Tiêu chuẩn ISO 27001:2005 có thể tham chiếu ISO/IEC TR 13335-3, ISO 27005 hoặc các phương pháp khác đáp ứng yêu cầu ISO 27001:2005
Tiêu chuẩn ISO 27001:2013 có khái niệm mới là quản lý rủi ro (risk owner)

4. Quản lý tài liệu và quản lý hồ sơ được gom lại thành quản lý tài liệu thông tin (documented information)

5. Hành động phòng ngừa không còn trong phiên bản ISO 27001:2013
   
Tham khảo thêm chi tiêt so sánh tại Vinastar Blog: www.vinastarconsulting.com/blog

Post has attachment
Tư vấn ISO 27001 tại VNTT
Photo

Post has attachment
ISO 27001 tại Viettel IDC.
Photo

Post has attachment
ISO 27001 tại Sacombank.
Photo

Post has attachment
Bế giảng lớp Triển khai ISO/ IEC 27001:2013 (Phiên bản mới) 
PhotoPhotoPhotoPhotoPhoto
2014-05-22
7 Photos - View album

Post has attachment
ISO 27001-ISMS
Dịch vụ về ISO 27001 của Vinastar
Tư vấn
Đào tạo
Đánh giá hiện trạng
Cung cấp chuyên gia đánh giá cho các tổ chức đánh giá chứng nhận


ISO 27001 là gì ?      
ISO 27001 cung cấp nền tảng cho việc quản lý cũng như các biện pháp kỹ thuật để quản lý các tài sản thông tin một cách hiệu quả. Các tài sản thông tin cần quản lý theo khuyến nghị của tiêu chuẩn bao gồm:
Thông tin: cơ sở dữ liệu, Hợp đồng, tài liệu hệ thống, hướng dẫn sử dụng, tài liệu đào tạo…
Phần mềm: phần mềm ứng dụng, phần mềm quản lý, công cụ phát triển…
Phần cứng: máy tính, thiết bị mạng, thiết bị lưu trữ…
Dịch vụ: dịch vụ internet, điện, máy lạnh…
Con người: nhân viên, đối tác…
Hình ảnh: công ty
Các biện pháp kiểm soát được kết hợp bởi qui trình, con người và kỹ thuật với các tính chất ngăn ngừa, kiểm tra, phục hồi, duy trì và giám sát nhằm đảm bảo hệ thống hoạt động hiệu quả với các mục tiêu xác định.
Cách triển khai ISO 27001
Bước thực hiện quan trọng nhất là dựa vào đánh giá rủi ro (risk assessment) để xác định chính sách, qui trình, hướng dẫn, biện pháp quản lý…

Chi tiết triển khai xin xem phương pháp của Vinastar

Nội dung ISO 27001        
ISO 27001 được chia thành hai phần:
- Phần I hệ thống quản lý: được trình bày từ mục 4 đến mục 8 của tiêu chuẩn bao gồm các yêu cầu bắt buộc mà hệ thống quản lý an toàn thông tin phải đáp ứng. Trong các nội dung về hệ thống quản lý phần quản lý rủi ro là quan trọng nhất và đây cũng là điểm khác biệt chính so với các tiêu chuẩn quản lý khác như ISO 9001, ISO 14001, ISO 20000…
- Phần II các biện pháp kiềm soát: được trình bày trong phụ lục A bao gồm 11 chương với 39 mục tiêu kiểm soát và 133 biện pháp kiểm soát giúp tổ chức đạt được được các mục tiêu về an toàn thông tin. Phụ lục A là phụ lục bắt buộc thực hiện, tuy nhiên tổ chức triển khai ISO 27001 có thể bỏ bớt hoặc thêm vào các biện pháp kiểm soát để phù hợp với yêu cầu thực tế của tổ chức.

Post has attachment
ISO 20000-ITSMS
Dịch vụ về ISO 20000 của Vinastar
Tư vấn
Đào tạo
Đánh giá hiện trạng




Tại sao ISO 20000/ITIL-ITSMS ?
ISO 20000 được áp dụng để quản lý chất lượng của các loại hình dịch vụ khác nhau nhưng được áp dụng chủ yếu cho các dịch vụ IT như: email, web, helpdesk,…. ISO 20000 có thể áp dụng cho phòng IT với các dịch vụ IT phục vụ cho nội bộ của tổ chức hoặc các dịch vụ IT được cung cấp cho khách hàng bên ngoài như các dịch vụ kinh doanh.
ISO 20000 giúp tổ chức quản lý và đo lường các dịch vụ IT, xây dựng trung tâm IT thành trung tâm lợi nhuận thay cho trung tâm chi phí. Mỗi dịch vụ IT đều được áp dụng các qui trình theo tiêu chuẩn yêu cầu để đảm bảo chất lượng của dịch vụ cũng như đáp ứng các yêu cầu về quản lý.
ITIL có thể được xem là các hướng dẫn thực hành (best practice) dùng để triển khai ISO 20000 hoặc có thể áp dụng độc lập cho việc triển khai quản lý đối với hoạt động IT  
Cách thực hiện ISO 20000/ITIL-ITSMS ?
Bước thực hiện quan trọng nhất là dựa vào yêu cầu của từng dịch vụ (SLA- Service level agreement) để xác định chính sách, qui trình, hướng dẫn, biện pháp quản lý…

Chi tiết triển khai xin xem phương pháp của Vinastar
Nội dung ISO 20000/ITIL
ISO 20000 được chia thành hai phần:
- Phần I hệ thống quản lý: được trình bày trong mục 4 của tiêu chuẩn bao gồm các yêu cầu bắt buộc mà hệ thống quản lý dịch vụ phải đáp ứng.
- Phần II mục 5 đến mục 9 đưa ra các yêu cầu mà mỗi dịch vụ phải thực hiện như sau:
+ Lập kế hoạch cho dịch vụ mới/ thay đổi dịch vụ
+ Thiết kế và phát triển cho dịch vụ mới/ thay đổi dịch vụ
+ Quản lý sự cố
+ Quản lý cấu hình
+ Quản lý thay đổi
+ ....
Wait while more posts are being loaded