Một số chú ý khi thực hiện chương trình đào tạo ATTT trong doanh nghiệp:
Đánh giá nhu cầu đào tạo của doanh nghiệp dựa trên: quy mô hệ thống CNTT, trình
độ của đội ngũ nhân viên nói chung về ATTT, các chính sách về ATTT mà doanh
nghiệp đang áp dụng trong các nghiệp vụ của doanh nghiệp, ngân sách đầu tư cho
ATTT nói chung và đào tạo ATTT nói riêng.
Phân chia đối tượng đào tạo ATTT một cách phù hợp, mỗi đối tượng tương ứng với
các chương trình đào tạo: Cán bộ lãnh đạo quản lý, người dùng cuối, cán bộ CNTT,
cán bộ chuyên trách về ATTT. Từ đó có các chương trình đào tạo ATTT phù hợp.
47 trang |
Chia sẻ: lylyngoc | Lượt xem: 3383 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Tiểu luận Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
lý và đánh giá của việc thực hiện
các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an
toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các đề xuất, kiến nghị
cũng như các thông tin phản hồi thu thập được.
c. Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu về bảo đảm
ATTT.
d. Soát xét lại các đánh giá rủi ro đã tiến hành đồng thời xem xét các rủi ro được bỏ qua
cũng như mức độ rủi ro có thể chấp nhận được. Trong đó lưu ý các thay đổi trong:
Tổ chức;
Công nghệ;
Mục tiêu và các quá trình nghiệp vụ;
Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định;
Tính hiệu quả của các biện pháp quản lý đã thực hiện;
Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy
định, điều khoản phải tuân thủ, hoàn cảnh xã hội
e. Thực hiện việc kiểm tra nội bộ hệ thống ISMS một cách định kỳ
Chú ý: Kiểm tra nội bộ đôi khi còn được gọi là kiểm tra sơ bộ và được tự thực hiện.
f. Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống ISMS để đánh giá mục tiêu
đặt ra có còn phù hợp cũng như nâng cấp cần thiết cho hệ thống ISMS.
g. Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế
thu được qua các hoạt động giám sát và đánh giá.
h. Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng ảnh hưởng đến tính
hiệu quả hoặc hiệu lực của hệ thống ISMS.
1.4.2.4. Duy trì và nâng cấp ISMS:
Tổ chức cần thường xuyên thực hiện:
a. Triển khai các nâng cấp cho hệ thống ISMS đã xác định.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 14
b. Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp. Chú ý vận dụng
kinh nghiệm đã có cũng như tham khảo từ các tổ chức khác.
c. Thông báo và thống nhất với các thành phần liên quan về các hoạt động và sự nâng
cấp của hệ thống ISMS.
d. Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra.
1.4.3. Các yêu cầu về hệ thống tài liệu
1.4.3.1. Khái quát:
Tài liệu bao gồm tập hợp các hồ sơ xử lý nhằm đảm bảo cho phép: truy lại được các quyết
định xử lý, chính sách và đảm bảo rằng các kết quả ghi nhận là có thể tái tạo lại được.
Điều quan trọng là cần nêu rõ được sự liên quan giữa các biện pháp quản lý đã chọn với kết
quả của các quy trình đánh giá và xử lý rủi ro cũng như với các chính sách và mục tiêu của hệ
thống ISMS đã được đặt ra.
Các tài liệu của hệ thống ISMS bao gồm:
a. Các thông báo về chính sách và mục tiêu của hệ thống ISMS.
b. Phạm vi của hệ thống ISMS.
c. Các thủ tục và biện pháp quản lý hỗ trợ cho hệ thống ISMS.
d. Mô tả hệ phương pháp đánh giá rủi ro.
e. Báo cáo đánh giá rủi ro.
f. Kế hoạch xử lý rủi ro.
g. Các thủ tục dạng văn bản của tổ chức để có thể đảm bảo hiệu quả của kế hoạch, sự
điều hành và quản lý các quy trình bảo đảm an toàn thông tin và mô tả phương thức
đánh giá hiệu quả của các biện pháp quản lý đã áp dụng
h. Các hồ sơ cần thiết được mô tả trong mục 4.3.3 của tiêu chuẩn này.
i. Thông báo áp dụng.
Chú ý 1: Cụm từ “thủ tục dưới dạng văn bản” trong ngữ cảnh của tiêu chuẩn quốc tế này có
nghĩa là các thủ tục đã được thiết lập, biên soạn thành tài liệu, triển khai và bảo trì.
Chú ý 2: Quy mô của tài liệu về hệ thống ISMS giữa các tổ chức là khác nhau và phụ thuộc
vào:
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 15
Kích thước và loại hình hoạt động của tổ chức.
Phạm vi và độ phức tạp của các yêu cầu an toàn bảo mật cũng như các hệ thống
đang được tổ chức quản lý.
Chú ý 3: Các hồ sơ và tài liệu có thể được biểu diễn dưới bất kỳ hình thức và phương tiện
nào phù hợp.
1.4.3.2. Biện pháp quản lý tài liệu:
Các tài liệu cần thiết của hệ thống ISMS cần phải được bảo vệ và quản lý thích hợp. Một thủ
tục sẽ được thiết lập để xác định các hoạt động quản lý cần thiết nhằm:
a. Phê duyệt các tài liệu thỏa đáng trước khi được ban hành;
b. Soát xét tài liệu và tiến hành các sửa đổi cần thiết để có thể phê duyệt lại;
c. Đảm bảo nhận biết được các thay đổi và tình trạng sửa đổi hiện hành của tài liệu;
d. Đảm bảo rằng các phiên bản tài liệu thích hợp luôn có sẵn ở nơi cần sử dụng;
e. Đảm bảo rằng các tài liệu phải rõ ràng, dễ đọc và dễ nhận biết;
f. Đảm bảo tài liệu phải sẵn sàng đối với người cần, được chuyển giao, lưu trữ và hủy
bỏ được áp dụng theo các thủ tục phù hợp.
g. Đảm bảo các tài liệu có nguồn gốc bên ngoài được nhận biết;
h. Đảm bảo việc phân phối tài liệu phải được quản lý;
i. Tránh việc vô tình sử dụng phải các tài liệu quá hạn;
j. Áp dụng các biện pháp định danh phù hợp đối với các tài liệu cần lưu trữ.
1.4.3.3. Biện pháp quản lý hồ sơ:
Các hồ sơ sẽ được thiết lập và duy trì để cung cấp các dẫn chứng thể hiện sự phù hợp giữa
yêu cầu và các hoạt động điều hành của hệ thống ISMS. Các hồ sơ sẽ được bảo vệ và quản lý. Hệ
thống ISMS sẽ phải chú ý đến các pháp lý liên quan, các yêu cầu sửa đổi và các ràng buộc đã
thống nhất. Hồ sơ phải dễ đọc, dễ nhận biết và có thể sửa được. Các biện pháp quản lý cần thiết
để định danh, lưu trữ, bảo vệ, sửa chữa, thời gian sử dụng và hủy bỏ của hồ sơ sẽ được biên soạn
và thực hiện. Các hồ sơ sẽ được giữ theo quy trình như đã phác thảo trong mục 4.2 và các sự cố
đáng kể xuất hiện có liên quan đến hệ thống ISMS.
Ví dụ : hồ sơ là một quyển sách ghi chép về các khách tham quan, báo cáo kiểm toán v.v…
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 16
1.5. Trách nhiệm của ban quản lý:
1.5.1. Cam kết của ban quản lý:
Ban quản lý phải cam kết sẽ cung cấp các dẫn chứng để thiết lập, triển khai, điều hành, giám
sát, đánh giá, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin bằng:
a. Thiết lập chính sách cho hệ thống bảo đảm an toàn thông tin
b. Đảm bảo rằng các mục tiêu và kế hoạch của hệ thống an toàn thông tin đã được xây
dựng.
c. Xây dựng vai trò và trách nhiệm của an toàn thông tin
d. Trao đổi với tổ chức về các mục tiêu bảo đảm an toàn thông tin và làm cho phù hợp
với các chính sách an toàn thông tin, các trách nhiệm dưới luật và cần thiết tiếp tục
cải tiến;
e. Thông tin cho toàn bộ tổ chức biết về tầm quan trọng của các mục tiêu an toàn thông
tin cần đạt được, sự tuân thủ chính sách an toàn thông tin, trách nhiệm trước pháp
luật và sự cần thiết phải nâng cấp, cải thiện hệ thống một cách thường xuyên.
f. Cung cấp đầy đủ tài nguyên cho các quá trình thiết lập, triển khai, điều hành, giám
sát, kiểm tra, bảo trì và nâng cấp hệ thống ISMS.
g. Xác định chỉ tiêu cho các rủi ro và mức độ rủi ro có thể chấp nhận được.
h. Đảm bảo việc chỉ đạo quá trình kiểm toán nội bộ hệ thống ISMS.
i. Chỉ đạo việc soát xét sự quản lý của hệ thống ISMS.
1.5.2. Quản lý nguồn lực:
1.5.2.1. Cấp phát nguồn lực:
Tổ chức phải xác định và cung cấp các nguồn lực cần thiết:
a. Thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống
ISMS;
b. Đảm bảo rằng các quy trình bảo đảm an toàn thông tin hỗ trợ cho các yêu cầu nghiệp
vụ;
c. Xác định và áp dụng các yêu cầu pháp lý và quy định cũng như các ràng buộc về an
toàn thông tin phải tuân thủ;
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 17
d. Duy trì đầy đủ an toàn bảo mật bằng cách áp dụng tất cả các biện pháp quản lý đã
được triển khai;
e. Thực hiện soát xét và có các biện pháp xử lý khi cần thiết.
f. Nâng cao năng lực của hệ thống ISMS khi cần thiết.
1.5.2.2. Đào tạo, nhận thức và năng lực
Tổ chức phải đảm bảo những người có trách nhiệm trong hệ thống ISMS phải có đầy đủ
năng lực để thực hiện các nhiệm vụ được giao bằng cách:
a. Xác định các kỹ năng cần thiết để có thể thực hiện hiệu quả công việc được giao.
b. Cung cấp các khóa đào tạo hoặc tuyển chọn người đã có năng lực để có thể thỏa mãn
yêu cầu.
c. Đánh giá mức độ hiệu quả của các hoạt động đã thực hiện
d. Lưu giữ hồ sơ về việc học vấn, quá trình đào tạo, các kỹ năng, kinh nghiệm và trình
độ chuyên môn.
Tổ chức cũng cần đảm bảo rằng tất cả những cá nhân liên quan đều nhận thức được tầm
quan trọng của các hoạt động đảm bảo an toàn thông tin và hiểu cách góp phần thực hiện các mục
tiêu của hệ thống ISMS.
1.6. Kiểm tra nội bộ ISMS:
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xác định các mục tiêu quản lý,
biện pháp quản lý, quy trình, thủ tục trong hệ thống ISMS:
a. Theo các yêu cầu của tiêu chuẩn này, pháp lý và các quy định liên quan.
b. Theo các yêu cầu trong đảm bảo an toàn thông tin.
c. Phải đảm bảo hiệu quả trong triển khai và duy trì.
d. Hoạt động diễn ra đúng như mong muốn.
Các chương trình kiểm tra sẽ được lên kế hoạch và cần xem xét đến các vấn đề như hiện
trạng, ý nghĩa của các quy trình và phạm vi được kiểm tra. Các chỉ tiêu, phạm vi, tần suất và biện
pháp sẽ được xác định. Sự lựa chọn người tiến hành kiểm tra (kiểm tra viên) và cách hướng dẫn,
chỉ đạo kiểm tra sẽ đảm bảo tính khách quan, công bằng cho quá trình kiểm tra. Kiểm tra viên
không nên tự kiểm tra công việc của mình.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 18
Các trách nhiệm và yêu cầu cho việc lập kế hoạch và hướng dẫn kiểm tra, báo cáo kết quả
và lưu giữ hồ sơ (xem 1.4.3.3) phải được xác định rõ ràng trong một thủ tục dưới dạng văn bản.
Ban quản lý chịu trách nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo các hoạt
động được thực hiện đúng thời hạn nhằm loại bỏ các vi phạm. Các hoạt động tiếp theo sẽ bao
gồm việc thẩm tra các hoạt động đã thực hiện và lập báo cáo về kết quả thẩm tra này.
1.7. Ban quản lý soát xét ISMS:
1.7.1. Khái quát:
Ban quản lý sẽ soát xét hệ thống ISMS của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần
trong năm) để luôn luôn đảm bảo tính chất phù hợp, đầy đủ và hiệu quả. Sự xoát xét này bao gồm
đánh giá các cơ hội cho việc nâng cấp và sự cần thiết phải thay đổi của hệ thống ISMS, bao gồm
các chính sách an toàn thông tin và mục tiêu an toàn thông tin. Các kết quả của việc soát xét sẽ
được lưu giữ và biên soạn thành tài liệu (xem 1.4.3.3).
1.7.2. Đầu vào của việc soát xét:
Đầu vào cho ban quản lý tiến hành việc soát xét hệ thống ISMS bao gồm:
a. Các kết quả kiểm tra và soát xét hệ thống ISMS.
b. Thông tin phản hồi từ các bộ phận có liên quan.
c. Các kỹ thuật, sản phẩm hoặc thủ tục có thể được sử dụng trong tổ chức nhằm nâng
cao hiệu quả và năng lực của hệ thống ISMS.
d. Hiện trạng của các hành động ngăn ngừa và khắc phục, sửa chữa.
e. Các lỗ hổng hoặc nguy cơ mất an toàn thông tin không được đề cập một cách thấu
đáo trong lần đánh giá rủi ro trước.
f. Các kết quả đánh giá năng lực của hệ thống.
g. Các hoạt động tiếp theo lần soát xét trước.
h. Các thay đổi có ảnh hưởng đến hệ thống ISMS
i. Các kiến nghị nhằm cải thiện hệ thống.
1.7.3. Đầu ra của việc soát xét:
Ban quản lý sau khi soát xét hệ thống ISMS sẽ cần đưa ra các quyết định và hoạt động trong việc:
a. Nâng cao năng lực của hệ thống ISMS.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 19
b. Cập nhật kế hoạch đánh giá và xử lý rủi ro.
c. Sửa đổi các thủ tục và biện pháp quản lý có ảnh hưởng cần thiết đến bảo đảm an toàn
thông tin nhằm đối phó lại với các sự kiện có thể gây tác động đến hệ thống ISMS,
bao gồm:
Các yêu cầu trong hoạt động nghiệp vụ.
Các yêu cầu an toàn bảo mật.
Các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp
vụ của tổ chức.
Các yêu cầu về pháp lý và quy định.
Các ràng buộc theo các hợp đồng đã ký kết
Mức độ rủi ro và/hoặc chỉ tiêu chấp nhận rủi ro.
d. Các nhu cầu cần thiết về tài nguyên.
e. Nâng cao phương thức đánh giá mức độ hiệu quả của các biện pháp quản lý.
1.8. Nâng cấp ISMS:
1.8.1. Nâng cấp thường xuyên:
Tổ chức phải thường xuyên nâng cao tính hiệu lực của hệ thống ISMS thông qua việc tận
dụng chính sách đảm bảo an toàn thông tin, các mục tiêu đảm bảo an toàn thông tin, các kết quả
kiểm tra, kết quả phân tích các sự kiện đã xảy ra, các hành động ngăn ngừa và khắc phục cũng
như các kết quả soát xét của ban quản lý.
1.8.2. Hành động khắc phục:
Tổ chức phải thực hiện loại bỏ các nguyên nhân của các vi phạm với yêu cầu của hệ thống
ISMS. Các thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xác định rõ các yêu cầu sau:
a. Xác định các vi phạm.
b. Tìm ra nguyên nhân của các vi phạm trên.
c. Đánh giá các hành động cần thiết nhằm ngăn chặn các vi phạm này xuất hiện trở lại.
d. Quyết định và triển khai các hành động khắc phục cần thiết.
e. Lập hồ sơ các kết quả khi thực hiện các hành động trên.
f. Soát xét lại các hành động khắc phục đã được thực hiện.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 20
1.8.3. Hành động phòng ngừa:
Tổ chức cần xác định các hành động để tránh các nguyên nhân gây ra các vi phạm tiềm ẩn
có thể phát sinh với hệ thống ISMS để có các biện pháp bảo vệ và phòng ngừa. Các hành động
bảo vệ và phòng ngừa cần được thực hiện phù hợp với các tác động mà các vi phạm này có thể
gây ra. Các thủ tục dưới dạng văn bản để bảo vệ, phòng ngừa cần xác định rõ các yêu cầu sau:
a. Xác định các vấn đề vi phạm tiềm ẩn và nguyên nhân gây ra chúng.
b. Đánh giá sự cần thiết của các hành động ngăn chặn các vi phạm này xuất hiện.
c. Xác định và triển khai các hành động trên.
d. Lập hồ sơ về các hành động này (xem 1.4.3.3).
e. Soát xét các hành động đã được thực hiện trên.
Tổ chức cần nhận biết các rủi ro đã thay đổi và xác định các hành động phù hợp đáp ứng lại
các thay đổi này. Mức ưu tiên của các hành động bảo vệ và phòng ngừa sẽ được xác định dựa trên
kết quả của quá trình đánh giá rủi ro.
Chú ý: Hành động nhằm ngăn chặn trước các vi phạm thường hiệu quả và kinh tế hơn là đi
khắc phục sự cố do các vi phạm gây ra.
1.9. Triển khai tiêu chuẩn ISO 27001 cho tổ chức:
Để việc triển khai đạt được kết quả tốt nhất, tổ chức cần phải thực hiện theo các bước sau:
a. Bước 1: Khởi động dự án
Thi hành ISO 27001:2005 dưới các hình thức: ủng hộ cam kết từ lãnh đạo cấp cao, chọn và
đào tạo tất cả các thành viên của nhóm khởi động là một phần trong dự án.
b. Bước 2: Thiết lập ISMS
Nhận dạng phạm vi và giới hạn của cơ cấu quản lý an toàn thông tin là cốt lõi cho dự án.
Nghiên cứu để thiết lập yêu cầu của ISMS và sắp xếp các tài liệu an ninh đã tồn tại trong tổ chức.
c. Bước 3: Đánh giá rủi ro
Đánh giá rủi ro là thao tác cơ bản để triển khai cơ cấu quản lý an ninh thông tin.
Khảo sát các cấp độ tuân thủ với ISO 27001:2005.
Định giá tài sản để được bảo vệ và tạo thống kê tài sản.
Nhận dạng và đánh giá các mối đe dọa và những nơi dễ bị tấn công.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 21
Tính toán liên quan đến giá trị rủi ro.
d. Bước 4: Xử lý rủi ro
Nhận dạng và đánh giá các khả năng có thể cho việc xử lý rủi ro. Làm cách nào để giảm rủi
ro đến cấp độ có thể chấp nhận được bằng việc chọn và thi hành các kiểm soát.
e. Bước 5: Đào tạo và nhận thức
Nhân viên có thể giới thiệu các liên kết yếu trong chuỗi an ninh. Nghiên cứu cách làm thế
nào để thiết lập chương trình nhận thức an toàn thông tin.
f. Bước 6: Chuẩn bị đánh giá
Nghiên cứu cách xác thực cơ cấu quản lý và để chuẩn bị cho việc đánh giá của chuyên gia
đánh giá nội bộ.
g. Bước 7: Đánh giá
Xem xét các bước thực hiện của chuyên gia đánh giá bên ngoài và đoàn đánh giá chứng
nhận chính thức.
h. Bước 8: Kiểm soát và cải tiến liên tục
Cải tiến hiệu quả của hệ thống ISMS phù hợp với mô hình quản lý của tổ chức được ghi
nhận bởi ISO.
1.10. Lợi ích của việc áp dụng
Việc tuân theo hoặc đạt được chứng chỉ chuẩn ISO 27001:2005 không thể chứng minh tổ
chức được đảm bảo an toàn 100%. Không có điều gì là an ninh hoàn toàn ngoại trừ không làm gì
cả. Tuy nhiên, sự thừa nhận chuẩn quốc tế này đưa ra những lợi ích chắc chắn mà người quản lý
cần phải xem xét:
a. Cấp độ tổ chức: Sự cam kết, chứng chỉ như là một cam kết hiệu quả của nổ lực đưa
an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính
những người quản trị.
b. Cấp độ pháp luật - Tuân thủ: chứng minh cho nhà chức trách rằng tổ chức đã tuân
theo tất cả các luật và các qui định áp dụng. Điều quan trọng là chuẩn đã được bổ
sung nhưng chuẩn và luật lại tồn tại khác nhau.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 22
c. Cấp độ điều hành - Quản lý rủi ro: mang lại những hiểu biết tốt hơn về các hệ thống
thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng. Tương tự, nó đảm
bảo nhiều khả năng sẵn sàng phụ thuộc ở cả phần cứng và phần mềm.
d. Cấp độ thương mại - Sự tín nhiệm và tin cậy: các thành viên, cổ đông, và khách hàng
vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông
tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.
e. Cấp độ tài chính: tiết kiệm chi phí khắc phục các lỗ hỏng an ninh và có khả năng
giảm chi phí bảo hiểm.
f. Cấp độ con người: cải tiến nhận thức của nhân viên về các vấn đề an ninh và trách
nhiệm của họ trong tổ chức.
1.11. Thực trạng áp dụng tiêu chuẩn ISO 27001 tại Việt Nam
Trong lễ khai giảng khóa học về “Chương trình đào tạo an ninh thông tin và tiêu chuẩn
ISO/IEC 27001:2005”, Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng nhấn mạnh vai trò của hệ
thống tiêu chuẩn ISO này đối với các tổ chức, doanh nghiệp. Đó là việc áp dụng ISO 27001 giúp
các tổ chức, doanh nghiệp có được hệ thống quản lý an toàn thông tin toàn diện, giảm thiểu các
rủi ro có thể xảy ra do những sự cố về thông tin và tăng cường khả năng đối phó với các tình
huống khẩn cẩp từ nguy cơ xâm nhập đến nguy cơ vật lý.
Tuy nhiên theo số liệu chính thức của Tổ chức ISO thì tính đến tháng 7 năm 2013 Việt Nam
mới có 14 tổ chức, doanh nghiệp đạt chuẩn ISO/IEC 27001:2005. Còn theo số liệu không chính
thức của các tổ chức tư vấn đánh giá thì con số tổ chức, doanh nghiệp đạt chuẩn đang ở khoảng
40. Ngay cả trong lĩnh vực CNTT thì số lượng đơn vị đạt chuẩn này còn rất ít, chỉ khoảng 1%.
Số lượng tổ chức, doanh nghiệp triển khai ISO 27001 đa phần thuộc các lĩnh vực ngân hàng,
tài chính và các trung tâm dữ liệu (data center). Còn trong lĩnh vực phần mềm thì số lượng rất
khiêm tốn. Nguyên do chính khiến tỉ lệ doanh nghiệp CNTT có các chứng chỉ trên còn khiêm tốn
là do vấn đề kinh phí và nhận thức. Ngoài các chi phí tư vấn, đánh giá, thi lấy chứng chỉ, khoản
kinh phí duy trì hàng năm cho phần mềm bản quyền, thiết bị CNTT thường khiến nhiều doanh
nghiệp hụt hơi. Một vài doanh nghiệp còn chưa nhận thức rõ các yêu cầu của tiêu chuẩn ví dụ
như chỉ lấy chứng chỉ là xong trong khi việc đánh giá phải thực hiện định kỳ hàng năm nên bị
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 23
ISO loại khỏi danh sách đạt chuẩn (theo quy định thì mỗi năm doanh nghiệp phải trải qua 1 lần
đánh giá lại, sau 3 năm hết hạn chứng chỉ thì phải chuẩn bị cho đợt đánh giá cấp chứng chỉ mới).
Tuy nhiên, nếu doanh nghiệp xác định đây là một khoản đầu tư để có được những hợp đồng lớn,
mọi việc sẽ khác.
Nhận thấy việc triển khai ISO/IEC 27001:2005 đang là yêu cầu cấp thiết đối với các tổ chức
và doanh nghiệp, Bộ thông tin và truyền thông (TT&TT) đã triển khai “Chương trình đào tạo về
an ninh thông tin và tiêu chuẩn ISO/IEC 27001:2005 cho các tổ chức, doanh nghiệp”. Ngoài việc
hỗ trợ đào tạo, nâng cao nhận thức, Bộ TT&TT cũng hỗ trợ các tổ chức, doanh nghiệp CNTT
triển khai hệ thống quản lý an toàn thông tin ISO 27001 với mức tối đa 20.000 USD/doanh
nghiệp. Trong đó, phần xây dựng, áp dụng quy trình ISO 27001 sẽ được nhận khoảng 12.000
USD/doanh nghiệp (ưu tiên những đơn vị triển khai ISO 27001 lần đầu) và phần đánh giá, đạt
chứng chỉ cho năm đầu tiên được nhận 8.000 USD/doanh nghiệp (hỗ trợ cho đơn vị làm mới
chứng chỉ hoặc tái chứng nhận).
Một tín hiệu vui là số lượng tổ chức, doanh nghiệp đăng ký tham gia các khóa đào tạo lớn
hơn dự kiến ban đầu của Bộ TT&TT và không ít doanh nghiệp đành phải chờ cơ hội khác. Điều
này cho thấy các tổ chức, doanh nghiệp đã có sự thay đổi tích cực chí ít về tư duy nhận thức đối
với việc triển khai hệ thống quản lý an toàn an ninh thông tin.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 24
Phần 2: Phân tích thực trạng tình hình áp dụng tiêu chuẩn ISO
27001:2005 tại Ngân hàng TMCP Ngoại thương Việt Nam (VCB)
2.1. Giới thiệu Ngân hàng TMCP Ngoại thương Việt Nam
2.1.1. Giới thiệu chung:
Ngân hàng Ngoại thương Việt Nam trước đây, nay là Ngân hàng TMCP Ngoại thương Việt
Nam (Vietcombank) được thành lập và chính thức đi vào hoạt động ngày 01/4/1963, với tổ chức
tiền thân là Cục Ngoại hối (trực thuộc Ngân hàng Nhà nước Việt Nam). Là ngân hàng thương
mại nhà nước đầu tiên được Chính phủ lựa chọn thực hiện thí điểm cổ phần hoá, Ngân hàng
Ngoại thương Việt Nam chính thức hoạt động với tư cách là một Ngân hàng TMCP vào ngày
02/06/2008 sau khi thực hiện thành công kế hoạch cổ phần hóa thông qua việc phát hành cổ phiếu
lần đầu ra công chúng. Ngày 30/06/2009, cổ phiếu Vietcombank (mã chứng khoán VCB) chính
thức được niêm yết tại Sở Giao dịch Chứng khoán TPHCM.
Trải qua 50 năm xây dựng và phát triển, Vietcombank đã có những đóng góp quan trọng
cho sự ổn định và phát triển của kinh tế đất nước, phát huy tốt vai trò của một ngân hàng đối
ngoại chủ lực, phục vụ hiệu quả cho phát triển kinh tế trong nước, đồng thời tạo những ảnh
hưởng quan trọng đối với cộng đồng tài chính khu vực và toàn cầu.
Từ một ngân hàng chuyên doanh phục vụ kinh tế đối ngoại, Vietcombank ngày nay đã trở
thành một ngân hàng đa năng hoạt động đa lĩnh vực, cung cấp cho khách hàng đầy đủ các dịch vụ
tài chính hàng đầu trong lĩnh vực thương mại quốc tế; trong các hoạt động truyền thống như kinh
doanh vốn, huy động vốn, tín dụng, tài trợ dự án…cũng như mảng dịch vụ ngân hàng hiện đại:
kinh doanh ngoại tệ và các công vụ phái sinh, dịch vụ thẻ, ngân hàng điện tử…
Sở hữu hạ tầng kỹ thuật ngân hàng hiện đại, Vietcombank có lợi thế rõ nét trong việc ứng
dụng công nghệ tiên tiến vào xử lý tự động các dịch vụ ngân hàng, phát triển các sản phẩm, dịch
vụ điện tử dựa trên nền tảng công nghệ cao. Các dịch vụ: VCB Internet Banking, VCB Money,
SMS Banking, VCB Cyber Bill Payment,…đã, đang và sẽ tiếp tục thu hút đông đảo khách hàng
bằng sự tiện lợi, nhanh chóng, an toàn, hiệu quả, dần tạo thói quen thanh toán không dùng tiền
mặt (qua ngân hàng) cho khách hàng.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 25
Sau gần nửa thế kỷ hoạt động trên thị trường, Vietcombank hiện có trên 13.560 cán bộ nhân
viên, với gần 400 Chi nhánh/Phòng Giao dịch/Văn phòng đại diện/Đơn vị thành viên trong và
ngoài nước, gồm Hội sở chính tại Hà Nội, 1 Sở Giao dịch, 1 Trung tâm Đào tạo, 78 chi nhánh và
hơn 300 phòng giao dịch trên toàn quốc, 3 công ty con tại Việt Nam, 2 công ty con tại nước
ngoài, 1 văn phòng đại diện tại Singapore, 5 công ty liên doanh, liên kết. Bên cạnh đó,
Vietcombank còn phát triển một hệ thống Autobank với khoảng 1.835 ATM và 32.178 điểm chấp
nhận thanh toán thẻ (POS) trên toàn quốc. Hoạt động ngân hàng còn được hỗ trợ bởi mạng lưới
hơn 1.300 ngân hàng đại lý tại 100 quốc gia và vùng lãnh thổ.
Với bề dày hoạt động và đội ngũ cán bộ có chuyên môn vững vàng, nhạy bén với môi
trường kinh doanh hiện đại, mang tính hội nhập cao…Vietcombank luôn là sự lựa chọn hàng đầu
của các tập đoàn, các doanh nghiệp lớn và của đông đảo khách hàng cá nhân.
Bằng trí tuệ và tâm huyết, các thế hệ cán bộ nhân viên Vietcombank đã, đang và sẽ luôn nỗ
lực để xây dựng Vietcombank xứng đáng với vị thế là ngân hàng hàng đầu tại Việt Nam.
2.1.2. Sứ mạng: Hướng tới một ngân hàng xanh, phát triển bền vững vì cộng đồng.
2.1.3. Tầm nhìn:
Vietcombank sẽ phát triển dựa trên nền tảng công nghệ hiện đại, nguồn nhân lực chất lượng
cao, và quản trị theo chuẩn mực quốc tế; hướng đến một tập đoàn tài chính ngân hàng hoạt động
đa năng, có vị thế hàng đầu tại Việt Nam, có tầm ảnh hưởng và phạm vi hoạt động ở khu vực và
quốc tế, phấn đấu trở thành một trong hai ngân hàng hàng đầu tại Việt Nam có sức ảnh hưởng
trong khu vực và là một trong 300 tập đoàn ngân hàng tài chính lớn nhất thế giới vào năm 2020.
2.1.4. Các tiêu chuẩn ISO được áp dụng tại VCB:
Tính đến hiện tại, VCB có bộ quy trình tiêu chuẩn khá đồ sộ ở tất cả các công việc. Tuy
nhiên chỉ có bộ tiêu chuẩn quản lý an toàn thông tin là đạt chuẩn ISO 27001:2005. Và trong kế
hoạch cũng như định hướng sắp tới, VCB đang nỗ lực để đạt được thêm các tiêu chuẩn ISO trong
quản lý nhằm nâng cao tính chuyên nghiệp và uy tín của VCB trên thị trường và đặc biệt là đối
với khách hàng.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 26
2.2. Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại VCB:
Là một ngân hàng đứng đầu trong lĩnh vực tài chính, VCB nhận thức rõ được các rủi ro và
nguy cơ tiềm ẩn từ hệ thống CNTT và luôn xem đây là một khía cạnh quan trọng cần được quan
tâm đúng mức. Chính vì vậy vào ngày 27 tháng 08 năm 2013, Tổng Giám đốc Ngân hàng TMCP
Ngoại thương Việt Nam đã phê duyệt quyết định “Ban hành tài liệu Tuyên bố áp dụng tiêu chuẩn
ISO 27001:2005 đối với hệ thống quản lý an toàn thông tin của Ngân hàng TCMP Ngoại thương
Việt Nam”.
Văn bản này nêu rõ việc ban hành quyết định, đơn vị chịu trách nhiệm tổ chức thực hiện,
hiệu lực thi hành cũng như bảng mô tả các mục tiêu và biện pháp quản lý theo tiêu chuẩn quốc tế
ISO/IEC 17799:2005.
Ngoài văn bản tuyên bố áp dụng, Ngân hàng còn có một loạt các văn bản quy định chặt chẽ
việc thực hiện các công việc có liên quan đến nội dung tiêu chuẩn ISO 27001 bao gồm:
Tài liệu hướng dẫn đánh giá rủi ro tài sản công nghệ thông tin của Ngân hàng TMCP
Ngoại thương Việt Nam.
Quy định kiểm soát Tài liệu của Hệ thống quản lý an toàn thông tin của Ngân hàng
TMCP Ngoại thương Việt Nam.
Quy định kiểm soát hồ sơ của Hệ thống quản lý an toàn thông tin của Ngân hàng
TMCP Ngoại thương Việt Nam.
Quy định hành động khắc phục đối với Hệ thống quản lý an toàn thông tin của Ngân
hàng TMCP Ngoại thương Việt Nam.
Quy định hành động phòng ngừa đối với Hệ thống quản lý an toàn thông tin của
Ngân hàng TMCP Ngoại thương Việt Nam.
Quy định đo lường hiệu lực của Hệ thống quản lý an toàn thông tin của Ngân hàng
TMCP Ngoại thương Việt Nam.
Quy định rà soát của ban lãnh đạo đối với Hệ thống quản lý an toàn thông tin của
Ngân hàng TMCP Ngoại thương Việt Nam.
Quy định đánh giá nội bộ đối với Hệ thống quản lý an toàn thông tin của Ngân hàng
TMCP Ngoại thương Việt Nam.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 27
Nhìn chung, tất cả các văn bản trên đều thực hiện đúng theo các yêu cầu của bộ tiêu chuẩn
quốc tế ISO 27001. Tuy nhiên thì vẫn còn một số vấn đề còn tồn đọng sẽ được phân tích sau đây
cho từng loại văn bản cụ thể.
2.2.1. Phạm vi áp dụng: áp dụng các quy định và tiêu chuẩn được ban hành kèm theo các
văn bản cho toàn bộ các Trung tâm, phòng/ban, các bộ phận nghiệp vụ tại Hội sở
chính, Sở giao dịch, các Chi nhánh, Công ty TNHH MTV cho thuê tài chính Ngân
hàng Ngoại thương.
2.2.2. Trách nhiệm của các bộ phận liên quan đến Hệ thống quản lý an toàn thông tin tại
VCB:
2.2.2.1. Lãnh đạo đơn vị:
Chủ trì thực hiện hành động khắc phục, phòng ngừa trên cơ sở yêu cầu thực hiện hành động
khắc phục, phòng ngừa do Bộ phận giám sát đưa ra. Ngoài ra, còn chủ trì thực hiện hoạt động rà
soát; Cung cấp các nguồn lực đảm bảo cho các Đơn vị việc thực hiện kết luận của cuộc họp rà
soát.
2.2.2.2. Tổ ISO:
Quy định kiểm soát Tài liệu: chịu trách nhiệm soạn thảo tài liệu nội bộ theo yêu cầu.
Đầu mối thực hiện việc phân loại và phân phối tài liệu nội bộ thuộc hệ thống quản lý
ATTT, Lựa chọn và đầu mối thực hiện việc phân phối tài liệu bên ngoài cho các Đơn
vị (nếu có).
Quy định đo lường hiệu lực: Xây dựng các tiêu chí đo lường của hệ thống quản lý
ATTT; Tổng hợp kết quả đo lường hiệu lực; Lưu hồ sơ về hoạt động đo lường hiệu lực
của hệ thống quản lý ATTT.
Quy định rà soát của ban lãnh đạo: Đề xuất bổ sung thành viên từ các Đơn vị để thực
hiện chuẩn bị nội dung rà soát (nếu cần thiết); Chuẩn bị nội dung rà soát; Lưu trữ hồ sơ
về hoạt động rà soát; Chịu trách nhiệm đôn đốc các đơn vị thực hiện kết luận của cuộc
họp rà soát, tổng hợp Báo cáo ban lãnh đạo.
Quy định đánh giá nội bộ: Lập kế hoạch chương trình đánh giá định kỳ hàng năm và
đột xuất (nếu cần thiết); Lưu giữ các hồ sơ đánh giá nội bộ.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 28
2.2.2.3. Bộ phận giám sát:
Đầu mối đưa ra yêu cầu thực hiện hành động khắc phục, phòng ngừa và theo dõi, đôn đốc,
kiểm tra các Đơn vị/bộ phận thực hiện hành động khắc phục, phòng ngừa; Lưu trữ hồ sơ về các
hành động khắc phục, phòng ngừa trong phạm vi phụ trách.
2.2.2.4. Các đơn vị/bộ phận:
Quy định kiểm soát Tài liệu: Quản lý các tài liệu thuộc hệ thống quản lý ATTT được
cung cấp, Phổ biến, triển khai tài liệu thuộc hệ thống quản lý ATTT tới các Bộ phận có
liên quan, Tham gia đóng góp ý kiến trong quá trình xây dựng tài liệu nội bộ (nếu được
yêu cầu).
Quy định hành động khắc phục, phòng ngừa: thực hiện các hành động khắc phục,
phòng ngừa theo yêu cầu
Quy định đo lường hiệu lực: Thực hiện thu thập và cung cấp số liệu phục vụ cho quá
trình đo lường hiệu lực dựa trên các tiêu chí đo lường đã được xây dựng.
Quy định rà soát của ban lãnh đạo: Cử lãnh đạo tham gia họp rà soát theo yêu cầu;
Cung cấp các thông tin theo yêu cầu phục vụ cho hoạt động rà soát; Thực hiện các kết
luận của cuộc họp rà soát theo phân công.
Quy định đánh giá nội bộ: Chuẩn bị các thông tin, hồ sơ, nhân sự có liên quan cần thiết
trong phạm vi đánh giá để cung cấp cho đoàn đánh giá; Phối hợp, hợp tác và trợ giúp
đoàn đánh giá để cuộc đánh giá đạt kết quả tốt nhất; Xem xét và thấu hiểu các phát
hiện do cán bộ đánh giá trình bày; Thực hiện các hành động khắc phục/hành động
phòng ngừa các điểm không phù hợp được phát hiện trong quá trình đánh giá.
2.2.2.5. Trưởng đoàn đánh giá nội bộ:
Chủ trì các hoạt động đánh giá nội bộ (bao gồm các cuộc họp khai mạc và họp kết
thúc)
Điều phối giữa các chuyên gia đánh giá và đơn vị được đánh giá để chương trình đánh
giá được thực hiện theo đúng kế hoạch
Cùng với đơn vị được đánh giá giải quyết các vấn đề còn chưa thống nhất trong quá
trình đánh giá
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 29
Chuẩn bị và hoàn thiện báo cáo đánh giá
2.2.2.6. Các thành viên đoàn đánh giá nội bộ:
Thực hiện đánh giá theo đúng mục đích, phạm vi, kế hoạch đã được phê duyệt
Tuân thủ các tiêu chuẩn, quy định liên quan đến đánh giá
Thông báo ngay về những trở ngại (nếu có) trong quá trình đánh giá
Thu thập đầy đủ bằng chứng và giải thích rõ ràng các kết quả đánh giá cho bên được
đánh giá thấu hiểu
2.2.3. Những lưu ý khi đánh giá rủi ro an toàn thông tin tại VCB:
2.2.3.1. Các khái niệm:
Theo định nghĩa của ISO, thông tin là một loại tài sản, cũng như các loại tài sản quan trọng
khác của một doanh nghiệp, có giá trị cho một tổ chức và do đó, cần có nhu cầu để bào vệ thích
hợp. An toàn thông tin là bảo vệ thông tin trước nguy cơ mất an toàn nhằm đảm bảo tính liên tục
trong hoạt động kinh doanh của doanh nghiệp, giảm thiểu sự phá hoại doanh nghiệp và gia tăng
tới mức tối đa các cơ hội kinh doanh và đầu tư phát triển.
Thông tin có thể tồn tại dưới nhiều dạng, thông tin có thể được in hoặc được viết trên giấy,
được lưu trữ dưới dạng điện tử, được truyền đi qua bưu điện hoặc dùng thư điện tử, (được trình
diễn trên các bộ phim, hoặc được nói trên các cuộc đàm thoại. Nhưng cho dù thông tin tồn tại
dưới dạng nào đi chăng nữa, thông tin được đưa ra với 2 mục đích chính là chia sẻ và lưu trữ, nó
luôn luôn cần sự bảo vệ nhằm đảm bảo sự an toàn thích hợp.
An toàn thông tin được mô tả ở đây là sự duy trì:
Tính bảo mật (Confidentiality): đảm bảo thông tin chỉ được truy cập bởi những truy
cập cho phép.
Tính toàn vẹn (Integrity): bảo vệ tính chính xác, đầy đủ của thông tin cũng như các
phương pháp xử lý.
Tính sẵn sàng (Availability): đảm bảo những người dùng hợp pháp mới được truy cập
các thông tin và tài sản liên quan khi có yêu cầu.
An toàn thông tin đạt được bằng cách triển khai tập hợp các kiểm soát phù hợp, đó có thể là
các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các chức năng phần mềm. Các
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 30
kiểm soát này được xây dựng dựa trên kết quả của quá trình đánh giá rủi ro về an toàn thông tin.
Tổ chức sử dụng đánh giá rủi ro để xác định mức độ của các nguy cơ tiềm năng và rủi ro gắn với
hệ thống CNTT. Kết quả của quả trình này giúp xác định ra các kiểm soát thích hợp nhằm giảm
thiểu hoặc loại trừ rủi ro trong quá trình xử lý rủi ro.
Rủi ro (Risk) là một hàm của khả năng xuất hiện của một nguồn nguy cơ khai thác một điểm
yếu tiềm năng, và kết quả tạo ra một ảnh hưởng xấu đến tổ chức. Rủi ro được đo bằng sự kết hợp
giữa khả năng xuất hiện của một sự kiện và hậu quả của nó.
Đảnh giá rủi ro (Risk Assesstment) là quá trình đầu tiên trong phương pháp quản lý rủi ro, nó
bao gồm các hoạt động nhận dạng và đánh giá các ảnh hường của rủi ro, đồng thời khuyến nghị
biện pháp xử lý rủi ro.
Quá trình đánh giá các rủi ro và lựa chọn các kiểm soát cần được thực hiện nhiều lần nhằm
bao quát được toàn bộ các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin cá nhân.
Do mức độ quy mô của từng tổ chức không giống nhau, cách thức sử dụng các tài sản CNTT
cũng không giống nhau nên chắc chắn các loại rủi ro cũng không thể giống nhau hoặc nếu có thì
mức độ cũng không thể giống nhau
Mục đích của quá trình đánh giá rủi ro nhằm:
Xác định và nhận biết các rủi ro đối với tài sản CNTT;
Đánh giá mức độ ảnh hường của rủi ro (nếu xảy ra) đối với tài sản CNTT cũng như đối
với hoạt động sản xuất kinh doanh;
Xác định mức độ rủi ro chấp nhận được;
Đề xuất các giải pháp xử lý rủi ro.
2.2.3.2. Phân loại tài sản CNTT:
Bất kỳ thông tin nào, khi được lưu trữ hoặc xử lý, trên hệ thống CNTT đều cần phải được bảo
vệ nhằm chống sự truy cập trái phép, tiết lộ, sửa đổi và tiêu hủy. Các thông tin sẽ có mức độ quan
trọng khác nhau, do đó cần phân loại thông tin dựa trên mức độ cần thiết (quan trọng), hoặc xác
định giá trị của thông tin trong tổ chức để đưa ra cách thức bảo đảm an toàn cho thông tin
a. Phân loại tài sản dựa trên cách thức quản lý:
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 31
Tài sản phần cứng: Các thiết bị thông thường (PC, laptop, các loại máy in, máy fax, các
loại máy scanner), Máy chủ (các loại máy chủ Small, Medium, Big), Các thiết bị mạng
thông thường (Switch, Router), Các thiết bị bảo mật (Firewall, Proxy, QoS), Các thiết
bị lưu trữ (tape, ổ đĩa, CD-ROM3 SAN), Hệ thống mạng cáp nội bộ (bên trong các tòa
nhà).
Tài sản phần mềm: phần mềm hệ thống (Antivirus , Office), phần mềm cơ sở dữ liệu
(MySQL, Oracle), hệ thống phần mềm nghiệp vụ (HOST, E-banking, VCB-salary,…)
Tài sản văn bản giấy
Tài sản thông tin: dữ liệu trong các cơ sở dữ liệu, các dữ liệu khác: các file dữ liệu
(dạng Word, Excel, PDF, file ảnh) tạo ra bởi các bộ phận trên máy tính cá nhân.
Tài sản dịch vụ: dịch vụ đường truyền Internet.
Tài sản hỗ trợ: UPS, máy phát điện, hệ thống PCCC.
b. Phân loại theo tính bảo mật:
Thông tin công cộng: Nếu các thông tin này không có sẵn hoặc bị rò rỉ hay công bố ra
bên ngoài tổ chức thì cũng không tạo ra ảnh hưởng gì. Đây thường là các thông tin
mang tính truyền thông hoặc quảng bá. Ví dụ như tài liệu tiếp thị, quảng cáo, thông cáo
báo chí...
Thông tin nội bộ: là những thông tin dùng cho tất cả mọi người/bộ phận trong phạm vi
của NHNT. Nếu thông tin bị rò rỉ ra ngoài tổ chức sẽ không gây tổn thất nhiều về mặt
tài chính hoặc hình ảnh của NHNT. Tuy nhiên, việc công bố các thông tin này không
được khuyến khích.
Thông tin mật: Là những thông tin nếu như bị rò rỉ ra bên ngoài NHNT, sẽ ảnh hưởng
đáng kể về mặt tài chính, pháp lý hoặc hình ảnh của NHNT. Việc tiếp cận các thông tin
này cần phải được hạn chế và được sự cho phép của người quản lý. Trong trường hợp
có nhu cầu cung cấp thông tin cho bên thứ ba cần phải ký các bản cam kết bảo mật
thông tin. Ví dụ: thông tin khách hàng, các thông tin về giao dịch. Các thông tin quy
định trong Quyết định 215/QĐ-NHNT.PC ngày 22/10/2003 của Tổng Giám đốc Ngân
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 32
hàng Ngoại thương Việt nam (Quy chế quản lý và truy xuất thông tin mật trong hệ
thống Ngân hàng Ngoại thương Việt nam) nằm trong nhóm này.
Thông tin tuyệt mật: Là những thông tin mà việc tiết lộ hoặc công bố sẽ ảnh hưởng rất
lớn về mặt tài chính, pháp lý hoặc hình ảnh của NHNT. Ví dụ: Các chiến lược, kế
hoạch kinh doanh, kế hoạch phát triển sản phẩm có thể được xếp vào nhóm này.
2.2.3.3. Các bước đánh giá rủi ro tài sản CNTT:
Mô tả tài sản CNTT
Xác định các nguy cơ
Xác định các điểm yếu
Xác định các kiểm soát hiện tại
Ước lượng khả năng xuất hiện
Ước lượng mức độ ảnh hưởng của nguy cơ đối với tài sản
Xác định mức độ rủi ro
Đề xuất các kiểm soát và lựa chọn xử lý rủi ro
Xác định mức độ rủi ro còn lại
2.2.3.4. Duy trì, cập nhật danh sách nguy cơ và điểm yếu của hệ thống quản lý
ATTT:
Để nâng cao chất lượng của đánh giá rủi ro, cần thường xuyên duy trì, cập nhật danh sách này.
Công việc này sẽ do Tổ ISO hoặc Phòng Quản lý rủi ro hoạt động thực hiện, với sự giúp đỡ của
Trung tâm CNTT và các Bộ phận khác nếu cần
a. Xác định nguy cơ
Các nguy cơ có thể được xác định từ một trong số các nguồn sau:
Phân tích các kiểm soát trong tiêu chuẩn ISO 27001 và ISO 27002;
Phân tích nguyên nhân gây ra sự cố ATTT xảy ra tại NHNT và các tổ chức khác;
Khuyến cáo về ATTT của cơ quan quản lý nhà nước và các tổ chức khác;
Phát hiện của người sử dụng hệ thống CNTT tại NHNT
b. Xác định điểm yếu
Tương tự như nguy cơ, các điểm yếu cũng có thể được nhận dạng từ một trong số các nguồn
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 33
Phân tích các kiểm soát trong tiêu chuẩn ISO 27001 và ISO 27002;
Phân tích nguyên nhân của các sự cố ATTT xảy ra tại NHNT và các tổ chức khác;
Khuyến cáo về ATTT của cơ quan quản lý nhà nước và các tổ chức khác;
Phát hiện của người sử dụng hệ thống CNTT tại NHNT.
c. Liệt kê các kiểm soát
Với mỗi nguy cơ, cần xác định tẩt cả các kiểm soát có thể áp dụng để ngăn ngừa hoặc giảm
thiểu tác hại của nguy cơ đó. Các kiểm soát đối với một nguy cơ có thể được xác định từ một
trong số các nguồn sau:
Các kiểm soát trong tiêu chuẩn ISO 27001 và ISO 27002;
Thực trạng hệ thống CNTT và quản lý ATTT tại NHNT;
Đề xuất của Trung tâm CNTT và các Bộ phận liên quan (nếu cần).
d. Xác định khả năng xuất hiện của nguy cơ
Khả năng xuất hiện của một nguy cơ được xác định theo nguyên tắc:
Mức độ kiểm soát càng cao thì khả năng xuất hiện của nguy cơ càng thấp;
Khả năng xuất hiện của nguy cơ được xác định bằng 5 (khả năng xuất hiện lớn nhất)
nếu như không có kiểm soát được áp dụng để ngăn ngừa hoặc giảm thiểu tác hại của
nguy cơ lên tài sản CNTT;
Khả năng xuất hiện của nguy cơ được xác định bằng 1 (khả năng xuất hiện nhỏ nhất)
nếu như toàn bộ các điểm yếu tương ứng với nguy cơ được liệt kê ở Bước 4 đều có
kiểm soát tương ứng;
Các giá trị còn lại của khả năng xuất hiện được xác định bằng mức độ kiểm soát nằm
giữa hai mức nêu trên.
2.2.4. Các quy trình trong tiêu chuẩn ISO 27001 đang được áp dụng tại VCB
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 34
2.2.4.1. Quy trình kiểm soát Tài liệu của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại
thương Việt Nam
Ghi chú: hành động bắt đầu là “Soạn tài liệu nội bộ”
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 35
2.2.4.2. Quy trình kiểm soát hồ sơ của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương
Việt Nam
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 36
2.2.4.3. Quy trình hành động khắc phục đối với hệ thống quản lý an toàn thông tin của Ngân hàng TMCP
Ngoại thương Việt Nam
Ghi chú: Định kỳ hàng tháng, quý; bộ phận giám sát phải lập báo cáo theo dõi hành động khắc phục và gửi về phòng
kiểm tra giám sát của hội sở chính chậm nhất vào ngày 15 của tháng đầu tiên của quý tiếp theo để theo dõi.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 37
2.2.4.4. Quy trình hành động phòng ngừa đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP
Ngoại thương Việt Nam
Ghi chú: Định kỳ hàng tháng, quý; bộ phận giám sát phải lập báo cáo theo dõi hành động phòng ngừa và gửi về phòng
kiểm tra giám sát của hội sở chính chậm nhất vào ngày 15 của tháng đầu tiên của quý tiếp theo để theo dõi.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 38
2.2.4.5. Quy trình đo lường hiệu lực của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại
thương Việt Nam
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 39
2.2.4.6. Quy trình rà soát của ban lãnh đạo đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP
Ngoại thương Việt Nam
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 40
2.2.4.7. Quy định đánh giá nội bộ đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại
thương Việt Nam
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 41
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 42
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 43
2.2.5. Đánh giá:
2.2.5.1. Quy trình tài liệu
a. Ưu điểm:
Có quy định rõ trách nhiệm của các phòng ban trong việc kiểm soát tài liệu.
Công việc soạn thảo tài liệu được giao cụ thể cho tổ ISO, đồng thời có sự tham gia góp
ý kiến từ các bộ phận khác, nhờ vậy tài liệu có thể hoàn thiện hơn.
Các tài liệu được phê duyệt thỏa đáng trước khi được ban hành, thông qua cấp quản lý.
Có quy định đảm bảo việc lưu trữ bản gốc, bản sao, đồng thời việc phân phối tài liệu
cũng được quản lý thông qua số bản sao phát hành
Có quy định nhằm đảm bảo nhận biết được các thay đổi và tình trạng sửa đổi hiện hành
của tài liệu. Đồng thời tránh được việc vô tình sử dụng tài liệu quá hạn vì đã gắn nhãn
hết hiệu lực cho các tài liệu.
b. Nhược điểm:
Có quy định nhân viên chỉ được sử dụng bản gốc hoặc bản sao được kiểm soát để phục
vụ công việc liên quan, tuy nhiên chưa nêu rõ điều kiện để nhận tài liệu này, tài liệu có
luôn sẵn sàng cho bất cứ ai hay cho nhóm đối tượng có điều kiện.
Có nêu rõ việc gắn nhãn nhận biết với các tài liệu quá hạn nhưng chưa nêu rõ việc hủy
bỏ các tài liệu như thế nào.
2.2.5.2. Quy trình hồ sơ
a. Ưu điểm:
Quy định có tính hệ thống, thông dụng và quốc tế.
Quy định rõ trách nhiệm, công việc của các bộ phận.
Có các loại văn bản theo từng chức năng, luồng công việc trong quy trình.
Có các biện pháp quản lý cần thiết để định danh, lưu trữ, bảo vệ, sửa chữa, thời gian sử
dụng và hủy bỏ của hồ sơ sẽ được biên soạn và thực hiện.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 44
b. Nhược điểm:
Không có
2.2.5.3. Quy trình khắc phục
a. Ưu điểm:
Quy trình chặt chẽ rõ ràng.
Quy định rõ trách nhiệm, công việc của các bộ phận.
Có các loại văn bản theo từng chức năng, luồng công việc trong quy trình.
Có thực hiện quá trình kiểm tra, giám sát quá trình sửa chữa các lỗi trong hệ thống.
b. Nhược điểm:
Chưa đề cập đến việc xây dựng hệ thống tổng hợp ghi nhận các lỗi mới phát sinh và
các biện pháp giải quyết tương ứng.
Chưa có các biện pháp chế tài đối với bộ phận khắc phục sự cố lỗi trong trường hợp
không đạt yêu cầu.
2.2.5.4. Quy trình phòng ngừa
a. Ưu điểm:
Quy trình chặt chẽ rõ ràng,
Quy định rõ trách nhiệm, công việc của các bộ phận tham gia hành động phòng ngừa.
Có các loại văn bản cụ thể theo từng chức năng, luồng công việc trong quy trình.
Có thực hiện quá trình kiểm tra, giám sát và đánh giá hành động phòng ngừa các lỗi
trong hệ thống
b. Nhược điểm:
Chưa đề cập đến việc xây dựng hệ thống tổng hợp ghi nhận các báo cáo đánh giá hệ
thống quản lý ATTT.
Chưa có các biện pháp chế tài, khen thưởng đối với bộ phận tham gia trong hành động
phòng ngừa
2.2.5.5. Quy trình đo lường
a. Ưu điểm:
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 45
Quy định rõ ràng chặt chẽ trách nhiệm của các phòng ban trong việc đo lường hiệu lực.
Cụ thể như tổ ISO có trách nhiệm xây dựng các tiêu chí đo lường hiệu lực, tổng hợp
các kết quả đo lường và lưu hồ sơ về hoạt động đo lường.
Xây dựng tiêu chí đo lường dựa vào nhiều yếu tố bao gồm: theo tiêu chuẩn ISO 27001
và theo tình hình thực tế tại đơn vị. Do đó, có thể đưa ra các tiêu chí chính xác phù hợp
hơn.
Việc lựa chọn các tiêu chí đo lường diễn ra định kỳ hàng năm. Vì thế có thể cập nhật
kịp thời các tiêu chí dựa trên kết quả đánh giá rủi ro Hệ Thống ATTT.
Quy trình đo lường hiệu lực có các chốt kiểm soát nhằm đảm bảo kết quả đo lường
hiệu lực theo đúng yêu cầu.
Có đưa ra tài liệu hướng dẫn cụ thể thực hiện tiêu chí đo lường -> thuận tiện trong thu
thập và tổng hợp kết quả.
b. Nhược điểm:
Quá trình tổng hợp và tính toán kết quả đo lường chỉ quy định là giao cho tổ ISO mà
không nêu cách thức và kết quả phải đạt được như thế nào.
2.2.5.6. Quy trình rà soát của ban lãnh đạo
a. Ưu điểm:
Việc rà soát hệ thống quản lý an toàn thông tin được quan tâm bởi các cấp lãnh đạo của
Ngân hàng dưới sự điều hành trực tiếp của Tổng giám đốc, do đó các khâu trong quy
trình được thực hiện nghiêm ngặt và rõ ràng.
Quy trình rà soát được đưa ra rõ ràng, chi tiết, kèm theo các biểu mẫu cụ thể.
Các đề xuất được đưa ra dựa trên sự tham khảo ý kiến từ nhiều nguồn: các đơn vị,
khách hàng, các bên liên quan…do đó sẽ có cái nhìn tổng quát hơn
b. Nhược điểm:
Việc rà soát định kỳ 1lần/năm là chưa nhiều khi mà công nghệ đi cùng với tội phạm
công nghệ đang ngày càng phát triển nhanh. Bên cạnh đó, những lỗ hổng trong hệ
thống quản lý an toàn thông tin phải được phát hiện và giải quyết nhanh chóng. Do
vậy, việc định kỳ rà soát 1 lần/năm sẽ là không đủ.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 46
Chỉ có tổ ISO theo dõi, đôn đốc việc thực hiện của các đơn vị. Do đó có thể xảy ra
trường hợp bỏ sót sai phạm hoặc quá tải.
2.2.5.7. Quy trình đánh giá nội bộ
a. Ưu điểm:
Quy định rõ ràng chặt chẽ trách nhiệm của các phòng ban trong việc đánh giá nội bộ.
Nêu rõ các yêu cầu đối với các đối tượng có liên quan đến hoạt động đánh giá nội bộ.
Các nguyên tắc đánh giá có tính khách quan cao, đảm bảo mức độ chính xác của kết quả.
Quy trình đo lường hiệu lực có các chốt kiểm soát nhằm đảm bảo kết quả đầu ra.
Có đưa ra tài liệu hướng dẫn cụ thể cho việc đánh giá -> thuận tiện trong thu thập và
tổng hợp kết quả.
b. Khuyết điểm:
Việc rà soát đánh giá 1lần/năm là chưa nhiều khi mà công nghệ đi cùng với tội phạm
công nghệ đang ngày càng phát triển nhanh.
Vẫn còn thiếu việc đào tạo nhận thức cho nhân viên trong việc duy trì hệ thống an toàn
thông tin.
2.3. Kết luận
a. Kiến nghị đối với Ngân hàng TMCP Ngoại thương Việt Nam (VCB):
Ngoài các ưu nhược điểm nêu trên, VCB cần phải lảm rõ hơn các định nghĩa, chức năng,
nhiệm vụ các đơn vị có liên quan khi thực hiện xây dựng, triển khai hệ thống quản lý. Chẳng hạn
như bộ phận Trung tâm CNTT đóng vai trò cực kỳ quan trọng nên được tách ra khỏi đơn vị/bộ
phận khác.
Bên cạnh đó còn thiếu các biện pháp chế tài và khen thưởng cho bộ phận Trung tâm
CNTTT. Chẳng hạn như ở quy trình khắc phục, trong trường hợp không đạt yêu cầu khi khắc
phục thì chưa thấy VCB có áp dụng chính sách chế tài. Cũng như trong trường hợp phòng ngừa
tốt thì cần có chính sách khen thưởng. Và hệ thống VCB đang còn thiếu một hệ thống tổng hợp,
ghi nhận lỗi để hệ thống hóa các lỗi phát sinh cũng như để ra các giải pháp giải quyết vấn đề một
cách khoa học, nhanh chóng.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 47
Mặt khác, việc rà soát và đánh giá ở VCB là 1 lần/ năm là chưa phù hợp với tốc độ phát
triển và mức độ nguy hiểm của các nguy cơ về ATTT. Tùy theo điều kiện và khả năng thực hiện,
VCB nên xem xét và thay đổi thời gian là 1 lần/quý hay 1 lần/6 tháng thì sẽ hợp lý hơn.
Cuối cùng, trong các quy trình, bộ phận ISO là bộ phận quản lý trực tiếp các hoạt đồng này
mà chưa có sự kêu gọi tinh thần tự giác, cùng hành động của tập thể. Và điều quan trọng nhất là
VCB chưa chú trọng đến việc đào tạo nhận thức cho nhân viên, vì đây là yếu tố then chốt và đóng
vai trò quyết định trong việc đảm bảo an toàn thông tin.
Một số chú ý khi thực hiện chương trình đào tạo ATTT trong doanh nghiệp:
Đánh giá nhu cầu đào tạo của doanh nghiệp dựa trên: quy mô hệ thống CNTT, trình
độ của đội ngũ nhân viên nói chung về ATTT, các chính sách về ATTT mà doanh
nghiệp đang áp dụng trong các nghiệp vụ của doanh nghiệp, ngân sách đầu tư cho
ATTT nói chung và đào tạo ATTT nói riêng.
Phân chia đối tượng đào tạo ATTT một cách phù hợp, mỗi đối tượng tương ứng với
các chương trình đào tạo: Cán bộ lãnh đạo quản lý, người dùng cuối, cán bộ CNTT,
cán bộ chuyên trách về ATTT. Từ đó có các chương trình đào tạo ATTT phù hợp.
b. Hạn chế của đề tài:
Bộ tiêu chuẩn ISO 27001 mang tính đặc thù khá cao về ATTT và hệ thống CNTT. Nó
thường được Trung tâm CNTT xây dựng và thực hiện việc triển khai, kiểm tra, duy trì. Chính vì
vậy đó là một khó khăn lớn cho nhóm khi làm đề tài này.
Với mục tiêu nâng cao chất lượng và tính hoàn thiện của hệ thống quản lý ATTT tại VCB
theo tiêu chuẩn ISO 27001, nhóm chỉ tập trung vào việc phân tích để tìm ra những thiếu sót và đề
xuất các biện pháp khắc phục. Tuy nhiên do kiến thức có hạn và kinh nghiệm thực tế không nhiều
nên đề tài này của nhóm không thể tránh khỏi những thiếu sót.
Rất mong nhận được sự đóng góp ý kiến của giáo viên hướng dẫn và các bạn trong lớp để
nhóm có thể hoàn thiện đề tài này một cách tốt nhất.
Các file đính kèm theo tài liệu này:
- iso_27001_final_11_01_994.pdf