Tải bản đầy đủ (.pdf) (101 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Đánh giá hiện trạng bảo mật hệ thống thông tin tại tổng công ty cổ phần may việt tiến

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.18 MB, 101 trang )

I H C QU C GIA TP. H CHÍ MINH
I H C BÁCH KHOA

----------------------------

N TR NG B O M T
H TH NG THÔNG TIN T I T NG CÔNG TY C
MAY VI T TI N

Chuyên nghành: H TH NG THÔNG TIN QU N LÝ
Mã s chuyên nghành: 60.34.48

LU

TP. H CHÍ MINH, tháng 06

2013

PH N


I H C QU C GIA TP. H CHÍ MINH
I H C BÁCH KHOA
----------------------------

N TR NG B O M T
H TH NG THÔNG TIN T I T NG CÔNG TY C
MAY VI T TI N

Chuyên nghành: H th ng thông tin qu n lý
Mã s : 60.34.48



LU N

TP. H CHÍ MINH, tháng 06

2013

PH N


CƠNG TRÌNH
C HỒN THÀNH T I
I H C BÁCH KHOA - HCM
Cán b

ng d n khoa h c: PGS. TS. ng Tr n Khánh
(Ghi rõ h , tên, h c hàm, h c v và ch ký)

Cán b ch m nh n xét 1: TS. Nguy
ng
(Ghi rõ h , tên, h c hàm, h c v và ch ký)

Cán b ch m nh n xét 2: TS. Nguy n Thanh Bình
(Ghi rõ h , tên, h c hàm, h c v và ch ký)

Lu
ngày 19 tháng 07

cb ov t
2013.


Thành ph n H
n
(Ghi rõ h , tên, h c hàm, h c v c a H

ih

P. HCM

m:
ng ch m b o v lu

1. TS. Tr
2. TS. Nguy

ng (PB1)

3. TS. Nguy n Thanh Bình (PB2)
4.

ng Tr n Khánh (UV)

5. TS. Lê Thanh Vân (TK)
Xác nh n c a Ch t ch H
ngành sau khi lu
ã
CH T CH H

ng Khoa qu n lý chuyên
c s a ch a (n u có).

NG

NG KHOA


I H C QU C GIA TP.HCM
I H C BÁCH KHOA

C NG HÒA XÃ H I CH
T NAM
c l p - T do - H nh phúc

NHI M V LU N
H tên h c viên:

MSHV: 10320984
10/01/1970

nh

Chuyên ngành: H Th ng Thông Tin Qu n Lý
I.

Mã s : 60.34.48

TÀI:
N TR NG B O M T H TH NG THÔNG TIN T I T NG

CÔNG TY C


PH N MAY VI T TI N

II. NHI M V VÀ N I DUNG:
Th c hi

n tr ng b o m t c a h th ng công ngh thông tin t i T ng

Công ty C ph n May Vi t Ti n. Bao g m vi c kh o sát, phân tích và
tr ng b o m t h th ng thông tin t i tr s

hi n

ng Công ty theo tiêu chu n

ISO/IEC 27001:2005.
III. NGÀY GIAO NHI M V : 02/07/2012
IV. NGÀY HOÀN THÀNH NHI M V : 21/06/2013
V. CÁN B

NG D N

CÁN B
NG D N
(H tên và ch ký)

ng Tr n Khánh
Tp. HCM, ngày . . . . tháng ..
13
CH NHI M B
ÀO T O

(H tên và ch ký)

NG KHOA KHOA KH VÀ KT MÁY TÍNH
(H tên và ch ký)


i

L IC
tài t t nghi

tôi t ng k t, áp d ng nh ng ki n th

ng d ng th c ti

c vào

ng kinh nghi m th c t h u ích. Qua th i

gian th c hi

is

ng d n t n tình c a th y

tài và

ng Tr n Khánh, tôi

c m t s kinh nghi m cho b n thân và rút ra


c m t s ki n th c b

ph c v cho c

ng

c k t qu

hôm nay, tôi vô cùng c
-

Ban Giám hi u cùng các Th y Cô

công tác và gi ng d y t i

i H c Bách Khoa TP.

u ki n thu n l

tôi

h c t p và rèn luy n.
-

Th y

ng Tr n Khánh

tơi th c hi n hồn thành

-

trình h c t

u ki n thu n l i nh t

cho

tài này.

o và các anh ch

Ti
-

ng d n và t

i T ng Cơng ty C ph n May Vi t

tơi hồn thành lu
b n bè

ng nghi p
c hi n lu

tôi trong su t quá
này.

Xin chân thành c
2

Thanh Huy

06

3


ii

TĨM T T LU
An tồn thơng tin là v

c h u h t các danh nghi p hi

u. Trong lu

n

tác gi ti n hành

b o m t công ngh thông tin t i T ng Công ty C ph n May Vi t Ti n d a trên
tiêu chu n ISO/IEC 27001:2005.
T

lý thuy t là b tiêu chu n ISO/IEC 27001:2005 và nh ng nghiên c u

khoa h

c, cùng v i ý ki


ho

c này, tác gi ti n hành xây d

và th c hi
K t qu c a lu

ct .
không ph i là k t qu c a vi

c

k t l i thành bài h c th c t giúp cho các doanh nghi p s p tri
n hành h th ng qu n lý an tồn thơng tin theo tiêu chu n ISO/IEC
27001:2005 th c hành t

.

ABSTRACT
Information security is an issue that most businesses today viewed as prime
concern. In this thesis, the author carried out an assessment the situation of IT
(information technology) security at Viet Tien Garment Corporation based on
criterion ISO/IEC 27001:2005.
From the theoretical basis of the ISO/IEC 27001:2005 and scientific research in
and outside the country, together with the comments of the experts working in this
field, the author proceed to build assessment methods and conduct actual
assessment.
The results of this thesis is not the result of the evaluation, is to conclude the real
lesson to help businesses which are operating and about to operate better the
information security management system (ISMS) per standard ISO/IEC

27001:2005.


iii

L
Tôi tên

, là h c viên cao h c chuyên ngành H th ng Thông tin

Qu n lý, Khoa Khoa h c và K thu

i h c Bách Khoa TP.

H Chí Minh, khóa 2010
- Cơng trình nghiên c u này do chính tơi th c hi n.
- Các s li u trong lu

à hoàn toàn trung th

nghiên c u khác hay trên b t k

c công b

n truy n thông nào.

TP. H
Thanh Huy

các



iv

M CL C
L IC

..................................................................................................................................... i

TÓM T T LU

.................................................................................................................... ii

ABSTRACT ....................................................................................................................................... ii
L

............................................................................................................................. iii

M C L C......................................................................................................................................... iv
CÁC T

VI T T T ......................................................................................................................... vi

DANH M C CÁC B NG .............................................................................................................. vii
DANH M C CÁC HÌNH ................................................................................................................ vii
U.......................................................................................................................... 1
1.1

Gi i thi


tài .................................................................................................................. 1

1.1.1. Tình hình trên th gi i........................................................................................................ 1
1.1.2. Tình hình
1.1.3

Lý do ch

1.2
1.3

Vi t Nam ......................................................................................................... 5
tài ................................................................................................................ 5

ng và ph m vi nghiên c u ...................................................................................... 6
M c tiêu c

1.4
1.5

tài ........................................................................................................... 10
tài............................................................................................................. 11

K t c u c a lu

........................................................................................................ 11

LÝ THUY T ..................................................................................................... 12
2.1


An tồn thơng tin.............................................................................................................. 12

2.2

Qu n lý r i ro an ninh thông tin ....................................................................................... 12

2.3

Gi i thi u v b ISO 27001 và ISO 27002 ...................................................................... 12

2.3.1

L ch s phát tri n c a ISO 27001 và ISO 27002 ............................................................. 12

2.3.2

B tiêu chu n ISO/IEC 27001:2005 ................................................................................ 14

2.3.3

B tiêu chu n ISO/IEC 27002:2005 ................................................................................ 15
....................................................................................... 16

3.1

p d li u ....................................................................... 16

3.3.1

..................................................................................................... 16


3.3.2

p d li u.......................................................................................... 17

3.2

Thi t l p các yêu c

u khi n ki m soát .............................................................. 17

3.3

Kh o sát tình hình th c t t i T ng Công ty C ph n May Vi t Ti n ............................. 18

3.3.1

h t ng m ng t i T ng Công ty C ph n May Vi t Ti n ....................................... 18

3.3.2

T ch c b o m t h th ng thông tin (ISMS) t i VTEC .................................................... 23

3.3.3

Ch

m v c a các phòng ban ......................................................................... 23



v

3.3.4

nh các r

........................................................................................ 32

3.3.5

Ph

3.4

Thu th p thơng tin, phân tích h th ng theo các ki m soát .............................................. 36

3.4.1

H th ng tài li u chính sách an tồn thơng tin (ATTT) (Ki m soát A.5) ......................... 36

3.4.2

Xây d ng t ch

3.4.3

Qu n lý tài s n (Ki m soát A.7) ....................................................................................... 36

............................................................................................................. 33


m b o ATTT (Ki m soát A.6) .......................................................... 36

3.4.4

mb

i (Ki m soát A.8).............................................................. 37

3.4.5

m b o an tồn v

ng (Ki m sốt A.9) .................................................. 39

3.4.6

Qu n lý truy

u hành (Ki m soát A.10) ...................................................... 42

3.4.7

Qu n lý truy c p (Ki m soát A.11) .................................................................................. 47

3.4.8

Ti p nh n, phát tri n và duy trì các h th ng thơng tin (Ki m sốt A.12) ....................... 50

3.4.9


Qu n lý các s c an tồn thơng tin (Ki m soát A.13) .................................................... 53

3.4.10 Qu n lý s liên t c c a ho

ng nghi p v (Ki m soát A.14)....................................... 53

3.4.11 S tuân th (Ki m soát A.15) ........................................................................................... 54
3.5

K t lu
T QU

4.1

T ng h p k t qu

4.1.1

K t qu

4.1.2

T ng h p k t qu

4.2

K t lu

............................................................................................................... 55
.................................................................................................. 56

............................................................................................... 56
....................................................................................... 56
........................................................................ 67
............................................................................................................... 74

5: K T LU N VÀ KI N NGH ........................................................................................ 76
5.1

K t lu n ............................................................................................................................ 76

5.2

Ki n ngh .......................................................................................................................... 76

TÀI LI U THAM KH O................................................................................................................ 78
PH L C 1: B ng kh o sát các y u c u c a b Tiêu chu n ISO 27001 ......................................... 80
PH L C 2: B ng kh

u khi n ki m soát c a h th ng an tồn thơng tin ................... 81

PH L C 3: B ng tóm t t k t qu phân tích................................................................................... 89
LÝ L CH TRÍCH NGANG .............................................................................................................. 90


vi

CÁC T

VI T T T


STT Thu t ng

Vi t
t t

1.

Plan Do

ISMS

3.

Information Security
Management System

ITIL

4.

Information Technology
Infrastructure Library

h t ng
công ngh thông tin

ISO
17799

Quy t c th c hành cho

qu n lý an toàn thông tin

6.

Code of Practice for
Information Security
Management
British Standards Institution

BSI

Vi n tiêu chu n Anh qu c

7.

Statement of Applicability

SOA

8.

Enterprise Resource Planning

ERP

Tài li u tuyên b mô t các
m c tiêu ki m sốt và các
bi n pháp liên quan và có
th áp d ng cho h th ng
qu n lý an toàn thông tin

c a t ch c.
Ho
nh ngu n l c
doanh nghi p

9.

Customer Relationship
Management

CRM

Qu n lý quan h khách
hàng

10.

Intellectual Property Rights

IPR

Quy n s h u trí tu

11.

International Electrotechnical
Commission

IEC


y ban K thu
Qu c t

5.

Check - Act

PDCA

Chu trình ho
ng c a
ISO 27001
H th ng qu n lý b o m t
thông tin

n


vii

B
B
B
B
B
B
B
B
B
B

B
B
B
B
B
B
B
B
B
B
B
B
B
B

DANH M C CÁC B NG
ng 1.1: S
ng ch ng ch ISO/IEC 27001 trên toàn th gi i ..............................1
ng 1.2: Gi y ch ng nh n ISO 27001 phân b theo các nghành ............................2
ng 1.3: S
ng ch ng ch ISO 27001 c a các qu
c ..................4
ng 1.4: S
ng ch ng ch ISO 27001 c p cho các doanh nghi p Vi t Nam ....5
ng 1.5: Danh sách phòng ban t i VTEC ...............................................................10
ng 3.1: Các yêu c
u khi n ki m sốt v an tồn thơng tin .......................17
ng 3.2: Ngu n g c các m
a h th ng an toàn thông tin ...........................32
ng 3.3: N i dung kh o sát t

..............................................................34
ng 4.1: T ng h p k t qu
i Phòng Ki m soát N i b .........................56
ng 4.2: T ng h p k t qu
i Phịng K tốn ........................................57
ng 4.3: T ng h p k t qu
i Phòng B o v Quân s ...........................61
ng 4.4: T ng h p k t qu
i Phịng Hành chính ..................................61
ng 4.5: T ng h p k t qu
i Phòng T ch c ........................................62
ng 4.6: T ng h p k t qu
i Phòng K thu t .......................................62
ng 4.7: T ng h p k t qu
i Phịng Cơng ngh ....................................63
ng 4.8: T ng h p k t qu
i Phòng QA................................................63
ng 4.9: T ng h p k t qu
i
n ........................................64
ng 4.10:T ng h p k t qu
i Phòng Kinh doanh N
a ....................64
ng 4.11: T ng h p k t qu
iPhòng K ho
ng .65
ng 4.12: T ng h p k t qu
i Phòng Kho v n......................................65
ng 4.13: T ng h p k t qu
i Phòng Kinh doanh XK (1, 2 và 3).........66

ng 4.14: T ng h p k t qu
i Phòng Xu t nh p kh u ..........................66
ng 4.15: B ng t ng h p các k t qu
......................................................67
ng 4.16: Di n gi i chi ti t k t qu
.........................................................68
DANH M C CÁC HÌNH

Hình 2.1:
Hình 2.2:
Hình 3.1:
Hình 3.2:
Hình 3.3:
Hình 3.5:

u t ch c c a T ng Cơng ty C ph n May Vi t Ti n ...............8
L ch s hình thành b tiêu chu n ISO/IEC 27001 và ISO/IEC 27002 .....13
Mơ hình PDCA áp d ng cho quá trình xây d ng ISMS ...........................14
Qui trình th c hi
.....................................................................16
Các khía c nh t ch c theo các ki m sốt c a b ISO 27001 ..................18
Mơ hình m ng theo ch
i VTEC .................................................19
phân b
t i tr s chính c a T ng Công ty ....19
T ng Công ty C ph n May Vi t Ti n di n t p PCCC .............................40
ng d n thao tác an toàn v
n t i VTEC.........................................41



1

U
Trong xu th phát tri n ngày nay, tin h c hóa trong cơng tác qu

cr t

nhi u t ch c quan tâm. Cùng v i s bùng n v công ngh thông tin trong k
nguyên s

y n n kinh t phát tri

ng th i m t khía c

tình hình t i ph m công ngh thông tin ngày càng gia
nh và v

cv v

Vi

ng mà các doanh nghi p

này.

c tiêu chu n an tồn thơng tin trong các doanh nghi p nh và v a và

nh t là các doanh nghi p trong nghành d t may có t l

ng ph thông r t cao


.
tài này s

ng ti p c n và t xây d ng h th ng an tồn thơng tin c a

các doanh nghi p trong th i gian hi n t i.
u khơng có an ninh thông tin, doanh nghi

im tv

ng

tiêu c c khác nhau bao g m c h u qu tài chính, b o v kém s h u trí tu c a
t ch c và quy n s h u trí tu , m t th ph
giá, ho

t kém và bi u hi n s

ng khơng hi u qu , khơng có kh

pháp lu t và các quy

nh, ho c m t hình nh và danh ti
(Humphreys, 2006, p.10).
1.1 Gi i thi

tài

1.1.1. Tình hình trên th gi i

Trong nh

v

c

quan tâm c a các doanh nghi p, theo ngu n Wikipedia tuy r
ph
B ng 1.1: S

ng ch ng ch ISO/IEC 27001 trên toàn th gi i

(Ngu n: />
cs
ng kê


2

M c dù v

t p trung vào các doanh nghi p ho t
c công ngh thông tin và d ch v , nh ng doanh nghi p mà

ng xuyên ph

i m t v i các hi m h a v

y


hi
v

c khác khơng ph

im t

u nó x y ra khơng t p trung, d ng ti m n ho c
nd

c mà thôi.

B ng 1.2: Gi y ch ng nh n ISO 27001 phân b theo các nghành

ISO/IEC 27001 - Certificates by industrial
sector
The following table gives an idea of the number of certificates by industrial sector. Not all data
sources responded to the request for this additional detail, so they should be taken as rough
indicators. The sum of industrial sectors by country may exceed.

EA*
Code Nos.

ISO/IEC 27001 BY
INDUSTRIAL SECTOR

2006 2007

2008


2009 2010 2011

1

Agriculture, fishing

1

45

1

13

2

0

1

3

6

3

Mining and quarrying
Food products, beverages and
tobacco


3

14

1

10

4

Textiles and textile products

0

1

1

3

5

Leather and leather products

0

0

0


1

6

Wood and wood products

0

0

0

1

7

Pulp, paper and paper products

2

6

6

7

8

Publishing companies


1

5

6

9

Printing companies
Manufacture of coke & refined
petroleum products

34

84

3

12
13

Nuclear fuel
Chemicals, chemical products &
fibres
Pharmaceuticals

14
15

10

11

16

8
2

14
12

6
3

8
2

2
3

5
5

10

4
11

7
20


30

62

78

101

6

9

8

3

5

0

0

0

0

0

1


7
0

3
1

3
3

9
4

Rubber and plastic products

7

5

0

Non-metallic mineral products
Concrete, cement, lime, plaster,
etc.

1

3

1


1

9

9
3

10

6
15

16

0

16

16

8

1

6

6

14



3

17

Basic metal & fabricated metal
products

10

5

2

16

25

28

18

Machinery and equipment

18

10

9


29

31

36

19

Electrical and optical equipment

38

58

50

135

280

20
21

Shipbuilding
Aerospace

0
0

0

7

2
12

5
22

22

1

3

2

4

23

Other transport equipment
Manufacturing not elsewhere
classified

221
3
24
4

4


14

2

5

24

Recycling

2

10

4

11

5
32

23
44

25

Electricity supply

8


10

11

20

12

26

Gas supply

0

2

2

4

9
3

27
28

Water supply
Construction
Wholesale & retail trade; repairs

of motor vehicles, motorcycles &
personal & household goods
Hotels and restaurants
Transport, storage and
communication
Financial intermediation, real
estate, rental
Information technology
Engineering Services
Other Services
Public administration
Education
Health and social work
Other social services
TOTAL

1
55

1
17

2
12

11
127

13
266


13
350

12
2

38
4

26
0

93
6

164
10

214
32

60

70

63

170


184

241

47
890
25
189
23
8
14
8
1475

54
1236
33
204
33
9
10
13
2016

68
1152
48
228
79
25

61
16
1940

148
2086
173
380
181
47
102
46
3987

29
30
31
32
33
34
35
36
37
38
39

M c dù v y, không ph i t t c các qu
v

u có s


này. B ng 1.3 cho th y s ch ng nh n

185
3217
122
579
79
75
102
54
5579

3
17
7

2

113
3588
126
564
106
65
145
75
6314

iv i

c c a các

qu c gia trên toàn th gi i.
t là m t qu
s

n ch

ng cách bi t các qu c gia còn l i. Riêng Vi t Nam s

còn r t h n ch .

uv i


4

B ng 1.3: S

ng ch ng ch ISO 27001 c a các qu

c

(Ngu n: />

5

1.1.2. Tình hình

Vi t Nam

khác bi t so v i tình hình chung c a th gi i, s

nh n ISO 27001 t i Vi

thu c v

ng ch ng

c công ngh thông tin,

truy n thông và các m ng d ch v .
B ng 1.4: S

ng ch ng ch ISO 27001 c p cho các doanh nghi p

Vi t Nam

(Ngu n: />1.1.3 Lý do ch

tài
c an ninh doanh nghi p, có ý ki n cho r ng: doanh nghi p

xâm nh p ho c h không h nh n bi
ch c này l i ti p t c ph

n a, các t

i m t v i các m

(Advanced Persistent Threat - APT). VNISA, 2013. H i

v

c và Doanh nghi

ng tr c cao c p
om t

( />
option=com_content&view=article&id=240%3Ahi-tho-qan-ninh-bo-mt-vi-cquan-nha-nc-va-doanh-nghip&catid=35%3Ahot-ng-hi&Itemid=167&lang=vi).
[Ngày truy c

.


6

n có nh ng cơng trình nghiên c u xây d ng các mơ
hình phù h p v i các lo i hình cơng ty nh m t
ti p c

u ki n cho các công ty này

c v i các tiêu chu n an tồn thơng tin mà khơng ph i thông qua m t
n nào, giúp doanh nghi p t b o v
ng t

tính c nh tranh trên

t chu


m thi u chi phí.

L i ích c a vi c tri n khai ISO 27001:
- Cung c p m t khuôn kh cho vi c gi i quy t các v
vào nh
-

an ninh, ch t p trung

n t ch c c th .
ng s t tin và nh n th c c

i

tác c a t ch c.
- Ngày càng tr thành m t s khác bi t trong h

c a các khách hàng ti

.

- S t tin trong vi c qu n lý r i ro n i b và bên ngoài t ch c.
- Nâng cao nh n th c an tồn thơng tin

o nhân viên.

- Giúp phát tri n th c hành t t nh t.
- Giúp tuân th các tiêu chu n kinh doanh liên t c ch
chuyên nghi p và th n tr


c qu n lý

ng h p c a m t th m h a.

Chi phí tri n khai ISO 27001 tùy thu c r t nhi u vào qui mô doanh nghi p, ph m
vi tri

nc am ts

doanh nghi p b
kho ng 20.000

u tri

n viên v tri n khai ISO 27001, m t
n lúc

t ch ng nh n ISO 27001 vào

200.000 USD (ngu n: PC World VN).

ng và ph m vi nghiên c u

1.2

c th c hi n t i T ng Công ty C ph n May Vi t Ti n (VTEC).
C
-





7

.
993, C
-

t,
ƠNG
-

/VPCPCơng ty
-

-

C

C

- cơng ty con

p
CORPORATION;


8

u t ch c c a T ng Công ty C ph n May Vi t Ti n:


Hình 1.1:

u t ch c c a T ng Công ty C ph n May Vi t Ti n
(ngu n: )

(

-

ông ty, bao


9

-

-

ty.
-

i di n theo pháp lu t c a T ng Công ty, là
i ch

doanh, s
p, Công ty con, Công ty liên k

x


Ph m vi th c hi

tài này t i tr s c a T ng Công ty. M t s

phịng ban chính và các xí nghi p tr c thu c t
Công ty là:

m c a tr s c a T ng


10

B ng 1.5: Danh sách phòng ban t i VTEC
Stt

S

1

Phòng Ki m sốt N i b

4

2

Phịng K tốn

24

3


Phịng B o v Qn s

16

4

Phịng Hành Chính

19

5

ch c

6

Phịng K thu t

25

7

Phịng Cơng ngh

9

8

Phòng QA


35

9

9

n

8

10

Phòng Kinh doanh N

11

Phòng K ho

12

Phòng Kho v n

19

13

Phòng Kinh doanh Xu t kh u (1, 2 và 3)

30


14

Phòng Xu t Nh p Kh u

24

1.3 M c tiêu c

a

120
ng

Th i gian th c hi n: t 02/07

ng nhân s

9

n 21/06/2013

tài

M

n tr ng b o m t công ngh thông tin t i m t

doanh nghi p t xây d ng h th ng an tồn thơng tin d a theo b tiêu chu n
ISO/IEC 27001:2005.

T nh ng k t qu

ct s

thông tin cho doanh nghi
d ng h th ng an tồn thơng tin nói chung.

ng ki n ngh v gi i pháp an toàn
p t xây


11

tài

1.4

T t c nh ng doanh nghi p h u h t là t xây d ng h th ng ISMS, ho
bên th ba xây d ng, ho
nghi

p ch ng ch

xây d ng h th

n cho doanh

t chu n.

tài này xây d


a trên tiêu chu n ISO 27001 giúp cho

các doanh nghi p xây d ng h th ng ISMS và t
tin (Internal ISMS audits) c a doanh nghi
thông tin hay

c

ng s quan tâm c

th ng an tồn thơng
t

c các m c tiêu an toàn
o và toàn th CBCNV vào

vi c xây d ng và b o v h th ng ISMS c a doanh nghi p.
1.5 K t c u c a lu

Lu n
u
lý thuy t

t qu

á

t lu n và ki n ngh



12

2:

LÝ THUY T

2.1 An tồn thơng tin
An tồn thơng tin

và trao

thơng tin sao cho tính

tính

tính

tính

khoa h c t
nhiên, k thu t, khoa h c xã h i và kinh t . (Wikipedia)
2.2 Qu n lý r i ro an ninh thông tin
Qu n lý r i ro là m
ho ng và r

i v i các doanh nghi p. Trong th c t , kh ng

u b t ngu n t nh ng sai l m c


mang l i r i ro. Vi c tìm ki m m

u hành và ban qu n lý

ng d n giúp cho các t ch

ng ho ng là r t quan tr ng. Trong gi i h n c

t qua khó

tài này, tác gi tìm

hi u và gi i thi u hai b tiêu chu n v an tồn thơng tin là ISO/IEC 27001 : 2005
và ISO/IEC 27002 : 2005.
2.3 Gi i thi u v b ISO 27001 và ISO 27002
B tiêu chu
ISO và

c phát tri n b i T ch c tiêu chu n hóa qu c t

y ban k

thu

Commission) xây d ng b
(ATTT)
l p, tri

n qu c t


IEC (International Electrotechnical

khung chu n cho vi c qu n lý an tồn thơng tin

n ISO/IEC 27001 là t p h p các yêu c u cho vi c thi t
u hành, giám sát, soát xét, b o trì và nâng c p h th ng qu n lý

ATTT. Chu

ng d n th c hành trong vi c xây

d ng các tiêu chu n và th c hành qu n lý ISMS.
Tiêu chu n
c p ch ng nh

c dùng cho các t ch
hi n th c h th ng qu n lý ATTT, b t

u b ng các yêu c

c hi

ng

d n c a ISO/IEC 27002.
2.3.1 L ch s phát tri n c a ISO 27001 và ISO 27002
ISO/IEC

c phát tri n trên chu n BS7799 c a Vi n các


chu n Anh Qu c (British Standards Institution BSI). BS7799 b
nh

u phát tri n t

ng các yêu c u cho doanh nghi p, chính ph và công


13

nghi p v vi c thi t l p c

n theo

c chính th c cơng nh n. Tháng 05/1999 phiên b n chính th 2 c a
chu

c phát hành v i nhi u c i ti n ch t ch . Trong th i gian này T

ch c th gi i v chu
p qu n ph

n chu
uc

v y chu n an ninh thông tin này bao g m ISO 17799 (mô t Qui t c th c t cho h
th ng qu n lý an ninh thơng tin) và

c tính k thu t cho h th ng an


ninh thông tin). Trong tháng 09/2002, xem xét l i ph n 2 c a chu
th c hi

c

t o s nh t quán v i các chu n qu
i các nguyên t c chính c a T ch c H p tác và phát

tri n kinh t (OECD). Ngày 15/10/2005, ISO phát tri n ISO 17799 và BS7799
thành ISO 27001:2005 và chú tr

ng nh n. ISO

27001 thay th m t cách tr c ti p cho BS7799qu n lý an

th ng

n cung c p m t mơ hình cho vi c thi t l p,
u hành, ki m sốt, xem xét, duy trì và c i ti n h th ng qu n lý an

tồn thơng tin. Ngày 15/06/2005, ISO 27002:2005 thay th cho ISO 17799.
L ch s hình thành b tiêu chu n

Hình 2.1: L ch s hình thành b tiêu chu n ISO/IEC 27001 và ISO/IEC 27002


14

2.3.2 B tiêu chu n ISO/IEC 27001:2005
Các yêu c u c a b tiêu chu n ISO/IEC


c mô t theo mơ hình

"Plan-Do-Check-Act" (PDCA) 6

Hình 2.2: Mơ hình PDCA áp d ng cho quá trình xây d ng ISMS
-

Plan: Thi t l p k ho ch an ninh thông tin, m

nh liên

n qu n lý r i ro ISMS.
-

Do: Th c hi n và v n hành chính sách an ninh, ki m sốt, quy trình và quy
nh.

-

Check: Ki

c hi n, các bi n pháp ch ng l i chính

sách an ninh, m c tiêu và t kinh nghi m th c t , báo cáo k t qu

xem xét l i

h th ng ISMS.
-


Act: Th c hi

ng kh c ph c, phòng ng a d a trên k t qu

c c i ti n liên t c ISMS.
B tiêu chu n ISO/IEC 27001 : 2005 nh m cung c p m

thi t l p,

th c hi n, v n hành, theo dõi, xem xét, duy trì và c i ti n H th ng qu n lý an
tồn thơng tin (ISMS). Vi c ch p nh n ISMS ph i là quy

nh mang tính chi n

c c a m t t ch c. Vi c thi t k và th c hi n ISMS c a t ch c ch u nh
ng b i các y u t c n thi t và các m c tiêu, các yêu c u v an toàn và b o m t,
các quá trình tuy n d ng và qui mơ và c u trúc c a t ch c. Các y u t này cùng
v i các h th ng h tr c a chúng có th x

i theo th i gian. Nó mong


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×