Đào tạo Phân loại Tài sản Thông tin và Đánh giá Rủi ro trong ISO 27001

Đào tạo Phân loại Tài sản Thông tin và Đánh giá Rủi ro trong ISO 27001

Nhằm giúp các doanh nghiệp nhận thức rõ và triển khai hệ thống an toàn thông tin, khóa học sẽ giúp các doanh nghiệp:
- Phân loại các dạng tài sản thông tin. Giúp các doanh nghiệp nhận thức rõ các loại tài sản và mức độ quan trọng của nó.

Phân loại thông tin chắc chắn là một trong những phần hấp dẫn nhất của quản lý an toàn thông tin, nhưng đồng thời, một trong những hiểu lầm nhất. Điều này có lẽ là do thực tế là lịch sử, phân loại thông tin là yếu tố đầu tiên của an toàn thông tin được quản lý - rất lâu trước máy tính đầu tiên được xây dựng, các chính phủ, quân đội, mà còn tập đoàn dán nhãn thông tin của họ là bí mật. Tuy nhiên, quá trình làm thế nào nó làm việc vẫn phần nào là một bí ẩn.

Vì vậy, trong bài viết này tôi sẽ cung cấp cho bạn một phác thảo về cách phân loại thông tin hoạt động, và làm thế nào để làm cho nó phù hợp với tiêu chuẩn ISO 27001, tiêu chuẩn an ninh thông tin hàng đầu. Mặc dù phân loại có thể được thực hiện theo các tiêu chí khác, tôi sẽ nói về phân loại về tính bảo mật, bởi vì đây là loại phổ biến nhất của phân loại thông tin.

ISO 27001 không quy định mức phân loại - bạn nên phát triển trên riêng, dựa trên những gì là phổ biến ở nước bạn hoặc trong ngành công nghiệp của bạn. Lớn hơn và phức tạp hơn tổ chức của bạn, mức độ chi tiết của mật, bạn sẽ có - ví dụ, đối với một tổ chức cỡ trung bạn có thể sử dụng loại mức độ phân loại thông tin với ba cấp độ bảo mật và một mức độ nào:

Bí mật (mức độ bảo mật cao nhất)
Hạn chế (mức độ bảo mật trung bình)
Sử dụng nội bộ (mức thấp nhất giữ bí mật)
Dùng chung (mọi người đều có thể xem các thông tin)

Trong hầu hết các trường hợp, chủ sở hữu tài sản có trách nhiệm phân loại thông tin - và điều này thường được thực hiện dựa trên kết quả của việc đánh giá rủi ro: cao hơn giá trị của thông tin (cao hơn các hậu quả của việc vi phạm bảo mật), cao hơn mức độ phân loại.

- Đánh giá rủi ro với những tài sản thông tin mà công ty xác định là quan trọng cần phải đưa vào đánh giá rủi ro để xử lý rủi ro.

Xem thêm:

Đào tạo chuyên gia Đánh giá Nội bộ Hệ thống Quản lý An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-chuyen-gia-anh-gia-noi-bo-he.html

Đào tạo triển khai Hệ thống Quản lý An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-trien-khai-he-thong-quan-ly-toan.html

Đào tạo Nhận thức Tiêu chuẩn An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-nhan-thuc-tieu-chuan-toan-thong.html

-------------------------

Nguyễn Đăng Quang

Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal. Security and Networking System.

Phone: 0944 65 99 37. Skype: c_services_a

Email: dangquang@tuvantieuchuaniso.com 

Website: www.tuvantieuchuaniso.com 

CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp

Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai ISO 27001.

Read More

Các yếu tố quan trọng quyết định thành công của ISMS

Có khá nhiều yếu tố quan trọng cho việc thực hiện thành công một hệ thống ISMS cho phép đáp ứng các mục tiêu kinh doanh của tổ chức. Ví dụ về các yếu tố thành công quan trọng bao gồm:

a)  chính sách an toàn thông tin, mục tiêu và các hoạt động phù hợp với mục tiêu;

b)  cách thức tiếp cận và bộ khung cho việc thiết kế, thực hiện, giám sát, bảo trì và cải thiện an toàn thông tin phù hợp với văn hóa doanh nghiệp;

c)  hỗ trợ và cam kết rõ ràng từ tất cả các cấp quản lý, đặc biệt là từ cấp quản lý cao nhất;

d)  hiểu biết về nhu cầu bảo vệ tài sản thông tin đạt được thông qua việc áp dụng quản lý rủi ro an toàn thông tin (xem TCVN 10295:2014);

e)  một chương trình nâng cao nhận thức và giáo dục đào tạo an toàn thông tin hiệu quả, thông báo cho tất cả nhân viên và các bên liên quan khác về nghĩa vụ an toàn thông tin đặt ra trong chính sách an toàn thông tin, tiêu chuẩn vv, và động viên họ để có hành động phù hợp;

f)   một quy trình quản lý sự cố an toàn thông tin hiệu quả;

g)  cách thức tiếp cận quản lý duy trì liên tục kinh doanh hiệu quả; 

h)  một hệ thống đo lường sử dụng để ước lượng hiệu suất trong quản lý an toàn thông tin và ý kiến ​​phản hồi để cải thiện.

Hệ thống ISMS làm tăng khả năng cho tổ chức liên tục đạt được những yếu tố thành công quan trọng cần thiết để bảo vệ tài sản thông tin của mình.

Xem thêm:

Đào tạo chuyên gia Đánh giá Nội bộ Hệ thống Quản lý An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-chuyen-gia-anh-gia-noi-bo-he.html

Đào tạo triển khai Hệ thống Quản lý An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-trien-khai-he-thong-quan-ly-toan.html

Đào tạo Nhận thức Tiêu chuẩn An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-nhan-thuc-tieu-chuan-toan-thong.html

-------------------------

Nguyễn Đăng Quang

Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal. Security and Networking System.

Phone: 0944 65 99 37. Skype: c_services_a

Email: dangquang@tuvantieuchuaniso.com 

Website: www.tuvantieuchuaniso.com 

CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp

Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai ISO 27001.

Read More

Tại sao ISMS hệ thống quản lý an toàn thông tin lại quan trọng?

Rủi ro liên quan đến tài sản thông tin của một tổ chức cần phải được giải quyết. Đạt được an toàn thông tin đòi hỏi phải quản lý rủi ro, bao gồm rủi ro từ các mối đe dọa liên quan về vật lý, con người và công nghệ đối với tất cả các hình thức thông tin trong tổ chức hoặc được sử dụng bởi tổ chức.

Việc áp dụng một hệ thống ISMS dự kiến ​​sẽ là một quyết định chiến lược cho một tổ chức và điều cần thiết là quyết định này được tích hợp nhuần nhuyễn, có mở rộng và cập nhật phù hợp với nhu cầu của tổ chức.

Việc thiết kế và thực hiện hệ thống ISMS của một tổ chức bị ảnh hưởng bởi nhu cầu và mục tiêu của tổ chức, các yêu cầu an ninh, các quy trình kinh doanh được áp dụng, quy mô và cấu trúc của tổ chức. Thiết kế và hoạt động của một hệ thống ISMS cần phản ánh lợi ích và yêu cầu an toàn thông tin của tất cả các bên liên quan đến tổ chức bao gồm khách hàng, nhà cung cấp, các đối tác kinh doanh, các cổ đông và các bên thứ ba khác có liên quan.

Trong một thế giới kết nối với nhau, thông tin và các quy trình liên quan, các hệ thống và mạng lưới là các tài sản kinh doanh quan trọng. Tổ chức và các hệ thống thông tin cũng như mạng lưới của họ phải đối mặt với các mối đe dọa an ninh từ một loạt các nguồn khác nhau, bao gồm gian lận máy tính, hoạt động gián điệp, phá hoại, hỏa hoạn và lũ lụt. Thiệt hại cho hệ thống thông tin và mạng lưới gây ra bởi mã độc hại, tin tặc máy tính và tấn công từ chối dịch vụ đã trở nên phổ biến hơn, với nhiều tham vọng hơn và ngày càng tinh vi hơn.

Hệ thống ISMS quan trọng cho các hoạt động nghiệp vụ cả khu vực công và tư. Trong bất cứ ngành nào, hệ thống ISMS tạo động lực hỗ trợ thương mại điện tử và rất cần thiết cho các hoạt động quản lý rủi ro. Việc kết nối các mạng công cộng và tư nhân, chia sẻ tài sản thông tin càng làm tăng khó khăn trong việc kiểm soát truy cập thông tin và xử lý thông tin. Ngoài ra, việc phân tán các thiết bị lưu trữ di động có chứa tài sản thông tin có thể làm giảm hiệu quả của các biện pháp kiểm soát truyền thống. Khi tổ chức áp dụng hệ thống tiêu chuẩn ISMS, họ có khả năng thể hiện việc áp dụng một cách nhất quán các nguyên tắc an toàn thông tin phù hợp tương ứng cho các đối tác kinh doanh và các bên liên quan khác.

An toàn thông tin thường không phải lúc nào cũng được tính đến khi thiết kế và phát triển hệ thống thông tin. Mặt khác, an toàn thông tin thường chỉ được coi như là một giải pháp kỹ thuật. Tuy nhiên, an toàn thông tin đạt được thông qua các phương tiện kỹ thuật có những hạn chế và có thể không có hiệu quả nếu không được hỗ trợ bởi quản lý và các thủ tục phù hợp trong khuôn khổ một hệ thống ISMS. Tích hợp an ninh vào một hệ thống thông tin sau khi đã triển khai thực tế có thể rất cồng kềnh và tốn kém. Một hệ thống ISMS liên quan đến việc xác định các biện pháp kiểm soát nào được đưa ra và yêu cầu cần lập kế hoạch cặn kẽ, chi tiết. Ví dụ, kiểm soát truy cập có thể về mặt kỹ thuật (logic), vật lý, hành chính (quản lý) hoặc kết hợp giữa chúng, sẽ cung cấp một phương tiện để đảm bảo quyền truy cập vào tài sản thông tin được hợp pháp và có giới hạn dựa trên các yêu cầu nghiệp vụ và an toàn thông tin.

Việc áp dụng thành công một hệ thống ISMS là điều quan trọng để bảo vệ tài sản thông tin cho phép một tổ chức có thể:

a)  đảm bảo rằng thông tin của mình được bảo vệ đầy đủ chống lại các mối đe dọa liên tục;

b)  duy trì một bộ khung tổng thể, có cấu trúc để xác định và đánh giá rủi ro an toàn thông tin, lựa chọn và áp dụng các biện pháp kiểm soát khả dụng, đo lường và cải thiện hiệu quả của chúng;

c)  liên tục cải thiện môi trường kiểm soát;

d)  tuân thủ pháp luật và các quy định một cách hiệu quả.

-------------------------

Nguyễn Đăng Quang

Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal. Security and Networking System.

Phone: 0944 65 99 37. Skype: c_services_a

Email: dangquang@tuvantieuchuaniso.com 

Website: www.tuvantieuchuaniso.com 

CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp

Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai ISO 27001.

Read More

ĐÀO TẠO CHUYÊN GIA ĐÁNH GIÁ NỘI BỘ ISO/IEC 27001:2013

ĐÀO TẠO CHUYÊN GIA ĐÁNH GIÁ NỘI BỘ

ISO/IEC 27001:2013

MỤC TIÊU KHÓA HỌC

Cung cấp cho người học là những chuyên gia đánh giá nội bộ trong tương lai, có những kiến thức và kỹ năng cần thiết để thực hiện đánh giá hệ thống an toàn thông tin (ISMS) theo ISO/IEC 27001:2013. Báo cáo về sự phù hợp và việc áp dụng có hiệu lực các quá trình thông qua đánh giá nội bộ, để đóng góp vào sự cải tiến liên tục của hệ thống quản lý an toàn thông tin.

ĐỐI TƯỢNG THAM DỰ

§  Ban Lãnh đạo, quản lý doanh nghiệp

§  Nhân viên chuyên trách an toàn thông tin, kỹ thuật/ Đại diện lãnh đạo về an toàn thông tin

§  Các nhân viên có vai trò đánh giá viên nội bộ của tổ chức

§  Các cá nhân quan tâm đến chủ đề và nội dung của khoá học

GIẢNG VIÊN:  

Giảng viên chính, Chuyên gia tư vấn: Đã tham gia tư vấn -triển khai hệ thống quản lý an toàn thông tin với các dự án ISO 27001 tại TPBank, CMC TI, S3 Solution, Goline, ...; và các dự án ITIL tại TehcomBank, ACB Bank, MB Bank; PVcomBank, ...; Chuyên gia đánh giá trưởng giàu kinh nghiệm. Người có kinh nghiệm giảng dạy các khóa học về quản lý ISO; thực hiện trên 100 cuộc đánh giá ISO với vai trò là Trưởng đoàn đánh giá.

Xem thêm:

Đào tạo chuyên gia Đánh giá Nội bộ Hệ thống Quản lý An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-chuyen-gia-anh-gia-noi-bo-he.html

Đào tạo triển khai Hệ thống Quản lý An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-trien-khai-he-thong-quan-ly-toan.html

Đào tạo Nhận thức Tiêu chuẩn An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-nhan-thuc-tieu-chuan-toan-thong.html

-------------------------

Nguyễn Đăng Quang

Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal. Security and Networking System.

Phone: 0944 65 99 37. Skype: c_services_a

Email: dangquang@tuvantieuchuaniso.com 

Website: www.tuvantieuchuaniso.com 

CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp

Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai ISO 27001.

Read More

Bản dịch tiếng việt phụ lục A của tiêu chuẩn ISO/IEC 27001 (lưu hành nội bộ NQA Việt Nam)

Bản dịch tiếng việt phụ lục A của tiêu chuẩn ISO/IEC 27001:2013 (lưu hành nội bộ NQA Việt Nam)

Phụ lục A / Annex A - ISO 27001 : 2013 – phiên bản 2
A5	Chính sách an toàn thông tin
A5.1	Định hướng quản lý an toàn thông tin
Mục tiêu: Nhằm cung cấp định hướng quản lý và hỗ trợ bảo đảm an toàn thông tin thỏa mãn với các yêu cầu trong hoạt động nghiệp vụ, pháp lý và các quy định của tổ chức/công ty.
A5.1.1	Chính sách an toàn thông tin	Biện pháp quản lý: Một tài liệu về chính sách an toàn thông tin cần nên được soạn ra, phê duyệt bởi ban quản lý, được phát hành và thông báo tới mọi nhân viên cũng như các bên liên quan.
A5.1.2	Xem xét các chính sách an toàn thông tin	Biện pháp quản lý: Chính sách an toàn thông tin cần thường xuyên được xem xét theo kế hoạch hoặc khi có những thay đổi lớn xuất hiện để luôn đảm bảo sự phù hợp, đầy đủ và thực sự có hiệu lực.
KH (khách hàng)		Lý do nên áp dụng kiểm soát này?
TV (tư vấn)
A6	An toàn thông tin trong tổ chức
A6.1	Tổ chức nội bộ
Mục tiêu: Để thiết lập một khuôn khổ quản lý ban đầu và kiểm soát việc thực hiện/triển khai và hoạt động/vận hành của an toàn thông tin trong tổ chức
A6.1.1	Phân định vai trò và trách nhiệm bảo đảm an toàn thông tin	Biện pháp quản lý: Tất cả các trách nhiệm bảo đảm an toàn thông tin cần nên được xác định và phân bổ một cách rõ ràng.
A6.1.2	Phần chia công việc	Biện pháp quản lý: Các nhiệm vụ và phạm vi trách nhiệm nên được phân chia rõ ràng, nhằm giảm thiểu khả năng sửa đổi bất hợp lệ hoặc không mong muốn hay lạm dụng các tài sản của tổ chức.
A6.1.3	Liên lạc với những cơ quan/tổ chức có thẩm quyền	Biện pháp quản lý: Nên duy trì liên lạc thoả đáng với các cơ quan có thẩm quyền liên quan.
A6.1.4	Liên lạc với các nhóm chuyên gia	Biện pháp quản lý: Nên giữ liên lạc với các nhóm chuyên gia hoặc các diễn đàn và hiệp hội an toàn thông tin.
A6.1.5	An toàn thông tin trong quản lý dự án	Biện pháp quản lý: An toàn thông tin được đề cập trong quản lý dự án, bất kể loại dự án nào.
KH		Lý do nên áp dụng kiểm soát này?
TV
A6.2	Thiết bị di động và làm việc từ xa
Mục tiêu: Để đảm bảo sự an toàn khi làm việc từ xa và sử dụng các thiết bị di động.
A6.2.1	Chính sách thiết bị di động	Biện pháp quản lý: Một chính sách chính thức cần được chuẩn bị và các biện pháp an toàn thông tin thích hợp cần được chấp nhận nhằm bảo vệ khỏi các rủi ro khi sử dụng tính toán và truyền thông di động.
A6.2.2	Làm việc từ xa	Biện pháp quản lý: Một chính sách, các kế hoạch điều hành và các thủ tục cần được phát triển và triển khai cho các hoạt động làm việc từ xa.
KH		Lý do nên áp dụng kiểm soát này?
TV

Xem thêm:

Đào tạo chuyên gia Đánh giá Nội bộ Hệ thống Quản lý An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-chuyen-gia-anh-gia-noi-bo-he.html

Đào tạo triển khai Hệ thống Quản lý An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-trien-khai-he-thong-quan-ly-toan.html

Đào tạo Nhận thức Tiêu chuẩn An toàn Thông tin ISO 27001 – link:

http://www.tuvantieuchuaniso.com/2017/11/ao-tao-nhan-thuc-tieu-chuan-toan-thong.html

-------------------------

Nguyễn Đăng Quang

Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal. Security and Networking System.

Phone: 0944 65 99 37. Skype: c_services_a

Email: dangquang@tuvantieuchuaniso.com 

Website: www.tuvantieuchuaniso.com 

CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp

Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai ISO 27001.

Read More