Hiện nay, vấn đề bảo mật thông tin là điều quan trọng trong bất kỳ doanh nghiệp nào, đặc biệt là lĩnh vực viễn thông, tài chính, ngân hàng. tuy nhiên, các công ty Việt Nam hiện đang bị nhầm lẫn bởi khái niệm isms. chúng đóng vai trò gì trong hệ thống iso 27001?
isms?
ismos được biết đến là từ viết tắt của hệ thống quản lý bảo mật thông tin. đây là một hệ thống quản lý bảo mật thông tin. isms là một khái niệm được sử dụng rộng rãi trong các công ty và đơn vị công nghệ thông tin áp dụng hệ thống nó vào quản lý sản xuất.
hệ thống quản lý bảo mật thông tin là gì?
hệ thống quản lý an toàn thông tin hoặc hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý toàn diện, dựa trên những rủi ro có thể xuất hiện trong công ty để xây dựng, vận hành, thực hiện, kiểm soát, xem xét, duy trì và cải thiện an ninh thông tin.
một số khái niệm trong hệ thống bảo mật thông tin mà bạn nên chú ý:
- Bảo mật thông tin là gì?
như được định nghĩa trong bộ tiêu chuẩn iso 27001 về bảo mật thông tin, nó liên quan đến các thuộc tính như tính khả dụng, tính bảo mật và tính toàn vẹn của thông tin. Ngoài ra, bảo mật thông tin còn bao gồm các thuộc tính khác như trách nhiệm, xác thực, độ tin cậy và xác nhận.
- Bảo mật là gì?
bảo mật là một trong những thuộc tính của isms có thể truy cập và sử dụng thông tin của các đối tượng đã được xác thực.
- liêm chính là gì?
tính toàn vẹn và tính đúng đắn thuộc tính toàn vẹn cho thông tin.
- cái gì đã sẵn sàng?
Một trong những đặc điểm của bảo mật thông tin là tính sẵn sàng. tính khả dụng có nghĩa là có thể truy cập và sử dụng được theo nhu cầu của khán giả được ủy quyền.
các lĩnh vực của hệ thống bảo mật thông tin:
Bạn có biết isms là gì không? Tiếp theo, bạn sẽ biết các lĩnh vực mà một hệ thống an toàn thông tin phải có:
- chính sách bảo mật
Chính sách bảo mật cung cấp hướng dẫn để hỗ trợ và quản lý bảo mật thông tin.
- tổ chức bảo mật
một tổ chức bảo mật trong hệ thống Iss có chức năng duy trì bảo mật, quản lý tính bảo mật của thông tin trong các công ty và các quy trình hỗ trợ thông tin và các tài sản thông tin khác mà bên thứ ba truy cập.
>
- phân loại và kiểm soát tài sản
loại và quyền kiểm soát thuộc tính là quan trọng. hệ thống isms cần đảm bảo và duy trì tài sản của công ty ở mức phù hợp.
- an ninh con người
hệ thống iso 27001 đề cập đến sự an toàn của con người. đây là những gì cần thiết để giảm nguy cơ trộm cắp, gian lận và lạm dụng hoặc do lỗi của con người. mục tiêu của nó là giúp đảm bảo rằng người dùng được thông báo về các mối đe dọa liên quan đến bảo mật thông tin. giảm thiểu các bất thường và vi phạm bảo mật và giúp kiểm soát các bất thường phát sinh.
- an ninh vật lý và môi trường
Tránh truy cập vật lý trái phép, can thiệp và phá hủy tài nguyên thông tin của công ty là điều tối quan trọng. nó cũng giúp hạn chế việc phá hủy, mất mát hoặc bị tấn công phá hoại thông tin doanh nghiệp. ngăn chặn việc đánh cắp thông tin hoặc các cuộc tấn công từ bên ngoài và tạo các quy trình hỗ trợ xử lý thông tin.
- quản lý hoạt động và giao tiếp
hỗ trợ xử lý thông tin chính xác, đảm bảo hoạt động an toàn, bảo vệ tính toàn vẹn của phần mềm và giảm nguy cơ lỗi hệ thống. Duy trì tính khả dụng và tính toàn vẹn của các dịch vụ xử lý và truyền thông thông tin giúp bảo vệ cơ sở hạ tầng hỗ trợ, đảm bảo an toàn thông tin mạng và ngăn chặn việc phá hủy tài sản cũng như gián đoạn hoạt động kinh doanh.
- kiểm soát truy cập
Quyền truy cập, dù là thực hay trong không gian mạng trực tuyến, đều phải được kiểm soát chặt chẽ. điều này giúp ngăn chặn truy cập trái phép và đảm bảo rằng các quyền truy cập đến từ các hệ thống thông tin được ủy quyền, nguồn lực và duy trì phù hợp hơn. bảo vệ các dịch vụ mạng, đảm bảo an toàn thông tin khi sử dụng điện thoại di động và máy tính.
- duy trì và phát triển hệ thống
Điều rất quan trọng là phải đảm bảo và luôn duy trì hoạt động tốt của hệ thống an toàn thông tin. các isms quy định, ngăn chặn và lạm dụng dữ liệu người dùng trong hệ thống ứng dụng để giúp đảm bảo tính xác thực, độ tin cậy hoặc tính toàn vẹn của thông tin.
- quản lý tính liên tục của kinh doanh
bảo vệ các quy trình kinh doanh quan trọng khỏi các mối đe dọa hoặc thất bại, chống lại sự gián đoạn kinh doanh.
- tuân thủ
tuân thủ các quy định, luật pháp, nghĩa vụ hợp đồng, tránh vi phạm mọi luật dân sự và hình sự. đảm bảo hệ thống tuân thủ các chính sách và tiêu chuẩn bảo mật. giảm thiểu các trở ngại đối với việc đánh giá hệ thống và tối đa hóa hiệu quả.
trình tự thành lập, vận hành, sửa đổi, bảo trì, cải tiến các isms – một số kinh nghiệm
hiện tại ở Việt Nam, việc áp dụng hệ thống Iss cũng như hệ thống iso 27001 đang được triển khai ngày càng nhiều. kna muốn chia sẻ một số kinh nghiệm có được trong quá trình thực hiện các giai đoạn cấu hình ismos.
- Lập kế hoạch theo chủ nghĩa
Điều quan trọng là phải cam kết xây dựng thành công hệ thống isms. Đại diện lãnh đạo về an toàn thông tin (Giám đốc an toàn thông tin) là lãnh đạo cao nhất của tổ chức. điều này rất quan trọng đối với sự thành công của các isms và là bằng chứng cho khách hàng và các bên liên quan về việc đáp ứng các cam kết của tổ chức để thiết lập, duy trì, xem xét và cải thiện các isms.
xác định phạm vi, giới hạn áp dụng các isms : đây là công việc đầu tiên của việc xây dựng các isms. Tùy theo quy mô và mức độ phức tạp của hoạt động sản xuất, kinh doanh và cung cấp dịch vụ mà tổ chức xác định phạm vi áp dụng, số lượng địa điểm áp dụng cũng như lộ trình triển khai áp dụng ISMS. các yêu cầu cơ bản như sau:
– phù hợp với các yêu cầu pháp lý và quy định, các yêu cầu của khách hàng về kiểm soát an ninh thông tin.
– phù hợp với đặc điểm nguồn nhân lực và tiềm lực tài chính.
– thực hiện các cam kết của tổ chức với các bên liên quan.
Việc xây dựng chính sách isms là bước đầu tiên trong hệ thống đảm bảo an toàn thông tin của công ty. Chính sách bảo mật thông tin là tài liệu tuyên bố cam kết lâu dài về việc thực hiện và duy trì ISMS của một tổ chức cho các bên quan tâm. Các chính sách an toàn thông tin này được thực hiện dần dần thông qua việc thực hiện các mục tiêu kiểm soát ISMS của tổ chức và các hoạt động kiểm soát.
- định cấu hình, chạy hoạt động isms
Để vận hành hệ thống ismos một cách tốt nhất, việc xác định giá trị tài sản và tài sản cũng như phân tích và định lượng rủi ro phải được quan tâm đúng mức và đầy đủ. xử lý rủi ro đối với hệ thống tài sản của tổ chức phải là: liệt kê tất cả tài sản, xác định giá trị, rủi ro hiện tại (rủi ro sở hữu tài sản, điểm yếu), các mối đe dọa, mất độ tin cậy, tính toàn vẹn, tính sẵn có), phát triển các biện pháp kiểm soát, đo lường, đánh giá hiệu quả của kiểm soát phương pháp, xác định lại rủi ro tồn dư theo yêu cầu của iso / iec 27001: 2005
kinh nghiệm của các đơn vị áp dụng isms hiệu quả cho thấy:
– Mọi quy trình kiểm soát trong ISMS tuân thủ mô hình PDCA. Hình 2 minh họa cho quy trình kiểm soát tài sản thông tin đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng theo mô hình PDCA.
– sử dụng các công cụ trong loạt tiêu chuẩn iso / iec 27000 cũng hiệu quả như việc áp dụng iso / iec 27005: 2007 để quản lý rủi ro, iso / iec 27004: 2007 để đo lường iso.
– tập trung đầu tư vào cơ sở hạ tầng kỹ thuật và công nghệ để giảm thiểu rủi ro bị đe dọa. ví dụ: xây dựng các chu vi bảo mật vật lý-môi trường , các giải pháp công nghệ để bảo vệ cơ sở dữ liệu (các biện pháp kiểm soát truy cập – phần mềm để ngăn chặn truy cập trái phép), truy cập trái phép, chống truy cập từ bên ngoài, mã hóa cơ sở dữ liệu phần mềm, xác thực người dùng, điện tử chữ ký hoặc xác thực điện tử, kiểm soát các thiết bị ngoại vi …).
– thực hiện hiệu quả các cam kết đối với chính sách bảo mật thông tin.
cần thực hiện chính sách bảo mật thông tin và cam kết của ban lãnh đạo đơn vị để phát triển 11 mục tiêu kiểm soát và các biện pháp kiểm soát theo yêu cầu trong phụ lục a của tiêu chuẩn.
thiết lập hệ thống thủ tục, hướng dẫn công việc, lưu trữ hồ sơ phù hợp với các yêu cầu tiêu chuẩn. đào tạo nguồn nhân lực để thực hiện, vận hành, giám sát, rà soát, bảo trì và cải tiến các thành phần. đây là công đoạn của các đơn vị đòi hỏi nhiều thời gian và nhân lực, nó thể hiện trí tuệ của cả tổ chức.