Thực trạng áp dụng ISO 27001 tại ngân hàng TMCP ngoại thương Việt Nam

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level ‹#› Thực Trạng Áp Dụng ISO 27001 Tại Ngân Hàng TMCP Ngoại thương Việt Nam GVHD: TS Tạ Thị Kiều An Thực hiện: nhóm 7 Phần 1: giới thiệu tiêu chuẩn ISO 27001Phần 2: phân tích thực trạng áp dụng tại ngân hàng TMCP ngoại thương việt nam Giới thiệu ISO 27001 là tiêu chuẩn của Anh về hệ thống quản lý an ninh thông tin (viết tắt là ISMS). Tiêu chuẩn quốc tế này được xây dựng để đưa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp ISMS Plan (thiết lập các hệ thống ISMS) Thiết lập hệ thống ISMS, chính sách, mục tiêu, quy trình và thủ tục liên quan đến quản lý rủi ro và cải thiện an ninh thông tin để cung cấp kết quả phù hợp với chính sách và mục tiêu chung của tổ chức. Do (thực hiện và hoạt động ISMS) Thực hiện và điều hành chính sách ISMS, điều khiển, quy trình vàthủ tục. Check (giám sát và đánh giá ISMS) Đánh giá và, nếu có thể, quá trình thực hiện biện pháp chống lại chính sách ISMS, mục tiêu và kinh nghiệm thực tế và báo cáo kết quả để quản lý xem xét. Act (duy trì và cải thiện ISMS) Có những hành động khắc phục và phòng ngừa, dựa trên kết quả của kiểm toán ISMS nội bộ và xem xét hoặc thông tin liên quan khác, để cải tiến liên tục hệ thống ISMS. Tiêu chuẩn iso 27001 Phạm vi áp dụng: Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác nhau. ISMS được thiết kế để bảo đảm lựa chọn kiểm soát an ninh thích hợp và tương xứng để bảo vệ tài sản thông tin và sự tin tưởng cho các bên liên quan. Các yêu cầu đặt ra trong tiêu chuẩn này mang tính tổng quát và nhằm áp dụng cho tất cả các tổ chức, bất kể loại hình, qui mô và tính chất. Thuật ngữ và định nghĩa Tài sản Tính sẵn sàng Tính bí mật An toàn thông tin Hệ thống quản lý an toàn thông tin Tính toàn vẹn Phân tích, đánh giá rủi ro Thông báo áp dụng Tài liệu Hồ sơ THIẾT LẬP HỆ THỐNG QUẢN LÝ ATTT Phạm vi và ranh giới của hệ thống quản lý ATTT (ISMS). Chính sách ISMS. Phương pháp đánh giá rủi ro của tổ chức. Những rủi ro. Phân tích và đánh giá rủi ro. Đánh giá các lựa chọn để xử lý rủi ro. THIẾT LẬP HỆ THỐNG QUẢN LÝ ATTT (cont) Chọn mục tiêu kiểm soát và điều khiển để xử lý rủi ro. Được giám đốc phê chuẩn rủi ro thặng dư trong kế hoạch. Được giám đốc ủy quyền thực hiện và vận hành hệ thống ISMS. Chuẩn bị một bản báo cáo để áp dụng. TRIỂN KHAI VÀ ĐiỀU HÀNH ISMS Lập kế hoạch xử lý rủi ro Triển khai kế hoạch xử lý rủi ro Xác định cách thức đo lường hiệu quả Triển khai các chương trình đào tạo nâng cao nhận thức Xây dựng các quy trình quản lý hoạt động, quản lý tài nguyên, cách ứng phó khi có các sự cố ATTT xảy ra THEO DÕI VÀ GIÁM SÁT ISMS Thực hiện giám sát và chuẩn bị các phương án đối phó với các sự cố ATTT Thực hiện đánh giá thường xuyên về hiệu quả của hệ thống ISMS. Đo lường hiệu quả của các biện pháp quản lý ATTT Cập nhật, ghi chép lại các sự kiện và hoạt động ảnh hưởn đến hệ thống quản lý ATTT. DUY TRÌ VÀ NÂNG CẤP ISMS Triển khai các nâng cấp cho hệ thống thường xuyên. Thường xuyên cập nhật các biện pháp phòng ngừa, xử lý sự cố thích hợp. Có thể tham khảo kinh nghiệm từ các tổ chức khác. Trước khi nâng cấp thì cần thông báo. Đánh giá việc duy trì và nâng cấp có phù hợp và đạt chất lượng hay không. CAM KẾT CỦA BAN QUẢN LÝ Cam kết: cung cấp bằng chứng về cam kết thành lập, thực hiện, vận hành, giám sát, xem xét, duy trì và cải thiện hệ thống ISMS Quản lý nguồn lực: 1. Cung cấp nguồn lực 2. Đào tạo, nâng cao nhận thức và năng lực Tổ chức phải xác định và cung cấp nguồn nhân lực cần thiết để thực hiện và giải quyết các vấn đề liên quan đến ISMS Tổ chức phải đảm bảo rằng tất cả các những người có liên quan đến ISMS phải có đầy đủ năng lực để thực hiện các nhiệm vụ, nghĩa vụ của mình. KIỂM TRA VÀ RÀ SOÁT NỘI BỘ Thực hiện theo yêu cầu của ban quản lý và theo định kỳ căn cứ theo các quy định về pháp lý và các chính sách về đảm bảo về ATTT. Các tiêu chí để ban quản lý đánh giá ISMS: kết quả kiểm tra, hiện trạng về rủi ro và sự cố, các báo cáo lần trước, các kiến nghị nhằm cải thiện ISMS. Sau khi đánh giá cần phải đề ra: các biện pháp nâng cao năng lực ISMS, cập nhật các kế hoạch xử lý rủi ro, việc cấp phát các nguồn lực hiệu quả. TRIỂN KHAI TIÊU CHUẨN ISO 27001 CHO TỔ CHỨC 1. Khởi động dự án 2. Thiết lập ISMS 3. Đánh giá rủi ro 4. Xử lý rủi ro 5. Đào tạo và nhận thức 6. Chuẩn bị đánh giá 7. Đánh giá 8. Kiểm soát và cải tiến liên tục LỢI ÍCH CỦA VIỆC ÁP DỤNG TIÊU CHUẨN ISO 27001 Cấp độ tổ chức Cấp độ pháp luật Cấp độ điều hành Cấp độ thương mại Cấp độ tài chính Cấp độ con người Phần 2: phân tích thực trạng áp dụng tiêu chuẩn ISO 27001:2005 tại Ngân hàng TMCP Ngoại thương Việt Nam (VCB) GIỚI THIỆU VỀ NGÂN HÀNG TMCP NGOẠI THƯƠNG VIỆT NAM (VCB) Sứ mạng: Hướng tới một ngân hàng xanh, phát triển bền vững vì cộng đồng. ÁP DỤNG TIÊU CHUẨN ISO 27001 TẠI VCB Phạm vi áp dụng: áp dụng các quy định và tiêu chuẩn được ban hành kèm theo các văn bản cho toàn bộ các Trung tâm, phòng/ban, các bộ phận nghiệp vụ tại Hội sở chính, Sở giao dịch, các Chi nhánh, Công ty TNHH MTV cho thuê tài chính Ngân hàng Ngoại thương ÁP DỤNG TIÊU CHUẨN ISO 27001 TẠI VCB Trách nhiệm của các cá nhân, đơn vị có liên quan: Lãnh đạo đơn vị Tổ ISO Bộ phận giám sát Các đơn vị bộ phận Trưởng đoàn đánh giá nội bộ Các thành viên trong đoàn đánh giá ÁP DỤNG TIÊU CHUẨN ISO 27001 TẠI VCB Các khái niệm: Thông tin Tính bảo mật Tính toàn vẹn Tính sẵn sàng Rủi ro Đánh giá rủi ro ÁP DỤNG TIÊU CHUẨN ISO 27001 TẠI VCB Các bước đánh giá rủi ro Mô tả tài sản CNTT Xác định các nguy cơ Xác định các điểm yếu Xác định các kiểm soát hiện tại Ước lượng khả năng xuất hiện Ước lượng mức độ ảnh hưởng của nguy cơ đối với tài sản Xác định mức độ rủi ro Đề xuất các kiểm soát và lựa chọn xử lý rủi ro Xác định mức độ rủi ro còn lại ÁP DỤNG TIÊU CHUẨN ISO 27001 TẠI VCB Duy trì, cập nhật danh sách nguy cơ và điểm yếu của ISMS: Xác định nguy cơ Xác định điểm yếu Liệt kê các kiểm soát Xác định khả năng xuất hiện của nguy cơ Quy trình kiểm soát Tài liệu của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Quy trình kiểm soát hồ sơ của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Quy trình hành động khắc phục đối với hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Quy trình hành động phòng ngừa đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Quy trình đo lường hiệu lực của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Quy trình rà soát của ban lãnh đạo đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Quy định đánh giá nội bộ đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Quy định đánh giá nội bộ đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Quy định đánh giá nội bộ đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam KIẾN NGHỊ ĐỐI VỚI HỆ THỐNG QUẢN LÝ ATTT VCB Làm rõ các định nghĩa, chức năng, nhiệm vụ của các đơn vị liên quan. Các chính sách thưởng phạt đối với bộ phận Trung tâm CNTT Xây dựng hệ thống tổng hợp lỗi. Tăng tần suất kiểm tra, đánh giá Đào tạo nâng cao năng lực và nhận thức cho nhân viên. HẠN CHẾ CỦA NHÓM Đề tài mang tính chuyên môn cao. Kinh nghiệm thực tế ít, kiến thức có hạn. Xin cảm ơn!