http://rapidshare.com/files/115323777/Managing.Information.Technology.Projects.rar 

http://rs15tg.rapidshare.com/files/15799132/12713351/Identifying.and.Managing.Project.Risk-CHM-0814407617.rar 

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf 

louisnguyen27 có tài liệu nào nói về rủi ro ko? Share cho anh em với
 

Cá nhân mình thấy các bộ tiêu chuẩn này ( ISOXXXXX và cả CMMI) đều là các công cụ marketing là chính. Cho nên các doanh nghiệp chạy đua nhau nhận được các chứng chỉ đạt các chuẩn kiểu này.
Thực tế ở VN không ít doanh nghiệp CNTT đạt chuẩn nhưng mà sản phẩm/dịch vụ của họ vẫn lởm như thường.  

@mR.Bi
Bạn cần phân biệt rủi ro trong Information System và rủi ro trong Information System Project nhé, hai cái đó hoàn toàn khác nhau về mặt bản chất.
Đường link thứ nhất nên áp dụng cho anh em nào đang làm project. Cái rủi ro của một cái Project không hẳn đã là rủi ro của một cái system.
Đường link thứ hai thì nên đọc thêm để tham khảo.
Đường link thứ ba là một đường link khá tốt.
 

Bạn đưa ra ý kiến về 3 links mình đưa so với nhu cầu của bạn. Không biết nhu cầu anh IQ thế nào thì biết thế nào mới là "khá tốt" với ảnh bây chừ
 

Chỉ riêng với ISMS risk = vulnerability + threat (ở đây mình hiển thị sự kết hợp chứ không phải là phép toán nhé), như vậy nếu hệ thống của bạn có lỗ hổng mà không có kẻ tấn công thì không có rủi ro hay hệ thống của bạn bị tấn công mà không có lỗ hổng thì cũng không có rủi ro. 

Vấn đề là làm sao đoán được giá trị (mức độ) của hai cái đó.
Các cách giảm tác nhân (threat) mình thường thấy gồm bảo vệ, tường dày, cửa thép, kiểm tra lý lịch người xin việc, v.v...
Các cách giảm điểm yếu (vulnerability) mình thường thấy bao gồm sử dụng hai chữ ký khi sử dụng séc, có người đi kèm khách khi tham quan, sử dụng hệ thống chống trộm, v.v...

Cũng xin nói thêm là nhiều người (đa số là dân không có kiến thức IT) có khái niệm đơn giản (hoặc cố tình nghĩ như vậy cho khỏe) là an toàn thông tin chỉ là một dạng khác của quản lý rủi ro. Và nhiều người khác (đa số là dân IT) thì lại không ý thức được mức độ tổng quát của an toàn thông tin, chỉ nghĩ rằng có tường lửa là có tất cả.

Theo như thống kê thì Việt Nam có 10 chuyên gia đạt chứng chỉ CISSP, chứng chỉ đầu ngành trong lĩnh vực an toàn thông tin, và Bộ Quốc Phòng Mỹ yêu cầu phải có với những người làm việc cho họ. Nên để tránh đụng phải một trong hai dạng người trên thì tốt nhất là doanh nghiệp chỉ chọn những ai có chứng chỉ đó trong các hợp đồng tư vấn. Đây cũng là một cách để giảm thiểu rủi ro  

Nếu bạn có cả CISSP và CISA lúc đó bạn có thể đăng ký được CISM,
 

Nói như vậy sẽ gây hiểu lầm là CISM là chứng chỉ cấp cao hơn của CISSP và CISA. Sự thật là ba chứng chỉ này không phụ thuộc vào nhau.

CISA và CISM là hai chứng chỉ do tổ chức ISACA (một vài người ở HVA là thành viên của tổ chức này) chứng nhận. CISA nghiêng về kiểm định, đánh giá, trong khi CISM nghiêng về quản lý, định hướng. Hai chứng chỉ này không phụ thuộc vào nhau và ai thích thi chứng chỉ nào cũng được. Mỗi năm có hai lần thi vào cùng một ngày trên toàn thế giới, một vào tháng 06, một vào tháng 12. Trừ khi có thể phân thân, người thi chỉ được chọn thi một trong hai chứng chỉ mỗi lần vì cả hai chứng chỉ này thi vào cùng một lúc.
 

xây dựng - đánh giá - khắc phục - đánh giá.
 

Có lẽ mình mới uống vài chai nên đầu hơi choáng choáng. Chứ đọc xong phần đầu khi louisnguyen27 nói là có cả hai cái CISSP và CISA thì có thể đăng ký CISM, và còn phần sau thì lại nói là đồng ý rằng ba cái này không phụ thuộc vào nhau thì mình chưa hiểu là có cần lấy chứng chỉ CISSP và CISA trước khi có thể lấy CISM không?
.....
Theo như mình được biết thì quá trình đó là PDCA (Plan - Do - Check - Act, lập kế hoạch, thực hiện, kiểm tra, khắc phục, và lập lại). Kiến thức về PDCA chắc không xa lạ gì với những người trong lĩnh vực kiểm soát chất lượng (cha đẻ là tiến sĩ Edwards Deming).

Chia sẻ thêm một tí về những chứng chỉ này được hông louisnguyen27? 

- ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)

- ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an toàn thông tin

- ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin
một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

- ISO 27003:2007 đưa ra các hướng dẫn áp dụng

- ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng hệ thống quản lý
an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS

- ISO 27005 tiêu chuẩn về quản lý rủi ro an toàn thông tin

- ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ
của công nghệ thông tin và viễn thông  

Nhân đây xin bạn louisnguyen27 cho thêm link download các tiêu chuẩn khác trong bộ tiêu chuẩn ISO27000, vì mới chỉ có link download ISO 27001:2005
Thank you in advance
 

ISO 27000-2005 đựoc áp dụng riêng trong lĩnh vưc dich vụ IT.
 

Thứ nhất là không phải

ISO 27000-2005 đựoc áp dụng riêng trong lĩnh vưc dich vụ IT.
 

Sai ở hai chỗ, một là chưa có chuẩn ISO 27000, nếu có sẽ là vào năm 2009; hai nó không chỉ áp dụng riêng cho bất kỳ lĩnh vực nào.
 

Thứ nhất là không phải

ISO 27000-2005 đựoc áp dụng riêng trong lĩnh vưc dich vụ IT.
 

Sai ở hai chỗ, một là chưa có chuẩn ISO 27000, nếu có sẽ là vào năm 2009; hai nó không chỉ áp dụng riêng cho bất kỳ lĩnh vực nào.

Thứ hai là việc truyền bá tài liệu như thế này, tốt thì có tốt, nhưng rõ ràng là không hợp với đạo đức nghề nghiệp của người làm ATTT cũng như vi phạm luật pháp quá rõ ràng.

Mất đi integrity thì còn gì là an toàn thông tin? Đáng buồn hơn là khi những chuyên gia, những người hiểu rõ, biết rõ về vấn đề và có thể sẽ giúp tổ chức, cá nhân khác xây dựng hệ thống của họ, lại đi làm việc này. 

Bởi vì rất nhiều người kể cả các "chuyên gia" làm trong nghề vẫn nghĩ rằng an toàn thông tin chỉ dành cho những gì nằm trong cái máy tính 

Đúng là ISO 27000 có thể áp dụng trong nhiều lĩnh vưc có liên quan đến công nghệ thông tin, kỹ thuật bảo mật và việc quản lý hệ thống bảo mật thông tin, nhưng rõ ràng là kỹ thuật công nghệ thông tin (IT) là đắc đia nhất và mục đich soạn thảo ISO 27000 nhằm phục vụ trứoc hết cho kỹ thuật công nghệ thông tin ở mọi loại hình doanh nghiệp, tổ chức.
Còn việc xin link download các tài liêu để nghiên cứu cá nhân, phổ biến trao đổi cùng anh em, không hề nhằm muc đích kinh doanh (tôi chưa bao giờ kinh doanh về IT cả) mà cho là có tôi nặng, vi phạm bản quyền, thì tôi đành chịu nhân... tôi... chứ nói sao bây giờ (hề hề).
 

Vì bận công việc ở công ty nên tôi không dư hết đựoc các buổi. Tiếc là không nghe đựoc bài của mrro.

Tôi rất có ấn tượng với các bài của " Tấn công vào bộ giao thức mạng IPv6" ( của một tác giả người Đức) và "Đánh giá mức độ an toàn một mạng tin học, lý luận và thực tiễn" của TS Trần ngọc Minh , Trửong phòng AT mạng thông tin , ĐH khoa học TN, TPHCM. ( hình như không phải Trịnh ngọc Minh )

Đúng như TS Trần ngọc Minh đã đề nghi, việc đánh giá mức độ an toàn mạng IT của môt công ty hay tổ chức , thành phố, quốc gia... phải dựa, căn cứ trên một chuẩn là ISO 17799. Việc check phát hiên các lỗi bảo mật trên môt webserver hay website chỉ là một phần trong viêc đánh giá toàn diện mức độ an toàn.

Bài " Tấn công BIOS" của một tác giả TQ, thì nội dung trình bầy không đúng như tiêu đề. Vì tác giả chỉ nói những kiến thức cơ bản của BIOS system và cũng chỉ đề cập trên BIOS của máy Dell 620 Laptop của chính tác giả. Tác giả chỉ nói thoáng ( không quá 1 phút )về CIH virus tấn công vào BIOS, nhưng CIH ( Chernobyn) thì đã bị phát hiện từ những năm 1999-2000 rồi.
À, xin bổ sung điều này. Trong lĩnh vưc phần cứng, "hacking" có nghĩa là tấn công, thí dụ tấn công vào một remote ADSL modem, nhưng thừong có nghĩa là "khám phá", "khai thác sâu" một hardware device. Có lẽ tác giả TQ có ý trình bầy nôi dung " khám phá" BIOS system.

Le coeur qui a raisons que la raison ne connait pas