ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin

[Question] Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin	14/05/2009 21:31:09 (+0700) \| #31 \| 180543

halh
Member

Joined: 22/01/2008 16:03:25
Messages: 26
Offline

mình đang cần bộ toolkit này mà tìm mãi không ra ai có share cho mình thì cảm ơn nhiều nhiều

[Discussion] ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin	22/07/2009 12:05:57 (+0700) \| #32 \| 187116

hoangdoan
Member

Joined: 28/03/2008 01:10:04
Messages: 5
Offline

Hi! chào các bạn.
Topic này mở ra đã lâu nhưng hôm nay tình cờ đọc được topic này nên có vài góp ý với các bạn ở góc độ nghiên cứu và ứng dụng chuẩn 17799 hay 27001/27002 này.
Mình cũng xin nói rõ, Đại học Quốc gia TP.HCM đã có 1 đề tài trọng điểm cấp ĐHQG liên quan tới ISO 17799/27002 "kiểm định độ bảo mật mạng với giải pháp Foundstone và chuẩn ISO17799", do phòng thí nghiệm An ninh Thông tin trực thuộc Khu Công nghệ Phần mềm (ITPark)- ĐHQG thực hiện, chủ trì đề tài là TS Trịnh Ngọc Minh (ở trên không hiểu sao có bạn nói là Trần Ngọc Minh, hình như có chút hiểu nhầm smilie

). Đề tài được thực hiện trong năm 2006-2007.
Các bạn đã bàn nhiều về chuẩn này là gì, người ta lập nên để làm gì?..., ở đây mình xin đưa ra vài giới thiệu mang tính tổng quan như sau:
- thứ nhất, hiên nay có một họ chuẩn về an toàn, an ninh và bảo mật thông tin là 2700X. Về định nghĩa chúng ta hay dung từ an ninh thông tin để thay thế ba từ này vì nó được dùng rộng rãi và thông dụng, nhưng với cách nhìn của người làm trong ngành thì nó hoàng toàn khác.
--An ninh thông tin - Information Security: đảm bảo chỉ có những người có thẩm quyền mới được truy xuất, sử dụng tài nguyên thông tin
--An toàn thông tin - Information Safety: bảo đàm sự họat động liên tục theo đúng thiết kế của dịch vụ cung cấp thông tin
--Bảo mật thông tin –Secret of information, privacy of information: đảm bảo chỉ có những người có quyền mới biết được nội dung thông tin
mình hay gọi tắt nó là 3S.

Còn chuẩn ISO 17799 ra đời vào năm 2000 dựa trên một chuẩn của Anh BS 7799-1:1999. Phiên bản hiện tại là bản phát hành vào năm 2005 gọi là ISO/IEC 17799:2005 sau đó được đổi thành ISO/IEC 27002:2005 vào năm 2007. Nó có tựa là Information technology - Security techniques - Code of practice for information security management (Công nghệ thông tin – Kỹ thuật bảo mật – Quy tắc thực tế cho việc quản lý an ninh thông tin).
Chuẩn đưa ra các hướng dẫn và nguyên lý tổng quát cho việc khởi tạo, vận dụng, duy trì và nâng cao sự quản lý an ninh thông tin trong một tổ chức. Mục đích của chuẩn là cung cấp hướng dẫn tổng quan nhằm đạt được các mục tiêu thường gặp trong việc quản lý an ninh thông tin (trích báo cáo tổng quan đề tài).
Chuẩn này bao gồm 11 mục chứa một số nhóm bảo mật chính. 11 mục (kèm theo số lượng nhóm bảo mật chính của mỗi mục) là:
 Chính sách bảo mật (1);
 Thiết lập bảo mật thông tin (2);
 Quản lý tài sản (2);
 Bảo mật tài nguyên con người (3);
 Bảo mật về mặt vật lý và môi trường (2);
 Quản lý hoạt động và giao tiếp (10);
 Kiểm soát truy cập (7);
 Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems acquisition, development and maintenance)
 Xử lý sự cố an toàn thông tin (Information security incident management)
 Phương án cho trường hợp khẩn cấp (Business continuity management)
 Theo đúng các quy định pháp luật (Compliance)
Như vậy có thể xem đây là một bộ “hướng dẫn” để xây dựng vận hành hệ thống thông tin sao cho đảm bảo 3S tốt nhất.
ISeLAB đã triển khai dịch vụ Audit và Hadening – một kết quả của đề tài, cho các trường đại học, một số sở ban nghành, công ty … tại Thành phố Hồ Chí Minh.
Đề tài này song song với bộ báo cáo về chuẩn ISO này là một bộ giáo trình đào tạo CNSA (đánh giá bảo mật mạng) do Phòng Thí nghiệm An ninh Thông Tin (ISeLAB) xây dựng nhằm đào tạo chuyển giao việc đánh giá, kiểm định hệ thống thông tin cho tổ chức của mình.
Cũng nói thêm về khóa học CNSA, hiện tại khóa học có thể mở tại nội thành TP, hoặt ở Thủ Đức (Khu Công nghệ Phần mềm), một lớp không hơn 10 học viên. Khóa học không đi sâu vào chuẩn ISO, nói cách khác, ISO là một bộ lý thuyết hướng dẫn chúng ta nên làm gì, làm thế nào…, còn khóa học này dạy chúng ta tiến hành làm như thế nào để kết quả của nó là đánh giá được mức độ an toàn, an ninh, bảo mật của hệ thống mạng tới đâu để có hướng khắc phục đảm bảo hoạt động của tổ chức mình thông suốt. Chuẩn ISO được đề cập trong chương 3 của khóa học.
Ở Việt Nam, VNCert đã được giao nhiệm vụ xây dựng bổ chuẩn tương đương, hiện tại đã có dự thảo, các bạn tìm kiếm tham khảo thêm.
Bạn nào có nhu cầu học CNSA thì liên hê với mình, hiện tại mình làm việc tại ISeLAB phụ trách mảng này.
Xin chào.

Go to:

Users currently in here
1 Anonymous