ݺߣ

ݺߣShare a Scribd company logo

Security Bootcamp 2013 - Cach tiep can ISO27001-Lương Trung Thành

Security Bootcamp
Security Bootcamp
1 of 17
Downloaded 99 times
Cách tiếp cận và thực hiện ISO 27001 LƯƠNG TRUNG THÀNH
Đơn vị tổ chức: Đơn vị tài trợ:
Vì sao chọn ISO? • Cung cấp các tiêu chí đánh giá rõ ràng, hầu hết đều đo lường được. • Mang tính hệ thống và linh động, dễ ‘tương tác’ và kết hợp với các tiêu chuẩn khác. • Mục tiêu gắn kết với hoạt động doanh nghiệp. 10/29/2013 11:31 AM www.securitybootcamp.vn
ISO 27001 • Bao gồm các yêu cầu cần thiết để đạt được chứng nhận ISO 27001 • ISO 27001 là các yêu cầu cần thiết, tuy nhiên ISO 27002 mới cung cấp các cách thức cần thiết (làm thế nào để đạt được ISO 27001). 10/29/2013 11:31 AM www.securitybootcamp.vn
10/29/2013 11:31 AM www.securitybootcamp.vn
ISO 27001 • Mục tiêu của ISO 27001 đó là: – Giảm thiểu những tác động không mong muốn từ các rủi ro. – Vấn đề tiếp tục hoạt động kinh doanh của doanh nghiệp. – Nâng cao nhận thức về giá trị thông tin • Không đảm bảo an toàn tuyệt đối trước các đợt tấn công; chỉ giảm thiểu tối đa rủi ro do các tác động. 10/29/2013 11:31 AM www.securitybootcamp.vn
Cách tiếp cận • Dựa trên RISK ASSESSMENT và đánh giá những tác động lên hoạt động doanh nghiệp. • Tham khảo Annex A (ISO 27001) và ISO 27002 để chọn lựa các Controls phù hợp. • Hm..hm.. Technical details 10/29/2013 11:31 AM www.securitybootcamp.vn
Ví dụ: • VÍ DỤ – – – – Risk Assessment Annex A ISO 27002 – Choose controls … 10/29/2013 11:31 AM www.securitybootcamp.vn
Cách tiếp cận • Xác định những gì đang có. • Sử dụng Annex A – tập trung vào khu vực rủi ro cao. • Sử dụng ISO 27002 để chọn Controls phù hợp với hoạt động kinh doanh. • Chia thành nhiều giai đoạn nhỏ. • * Controls: bao gồm cả chính sách và kỹ thuật. 10/29/2013 11:31 AM www.securitybootcamp.vn
Issues Risk assessment (ISO 27002) Inject into Business Process 10/29/2013 11:31 AM www.securitybootcamp.vn (Annex A)
Fail & tại sao ? • • • • • Không có sự hỗ trợ và quyết tâm. Sự khác biệt Làm đối phó / đi quá nhanh Chưa phù hợp với doanh nghiệp Mất tính ‘cạnh tranh’ 10/29/2013 11:31 AM www.securitybootcamp.vn
<> …. <> … DOANH NGHIỆP CẦN NOT ALIGNMENT BẠN MUỐN? 10/29/2013 11:31 AM www.securitybootcamp.vn
10/29/2013 11:31 AM www.securitybootcamp.vn
Hạn chế • Cần phải cập nhật những thay đổi công nghệ và chọn lựa controls phù hợp. • Thay đổi môi trường hoạt động / kinh doanh. • Thay đổi của luật và các Compliance. • Chi phí cho việc Audit và kiểm 10/29/2013 11:31 AM www.securitybootcamp.vn
Hạn chế • Duy trì & giám sát các hoạt động ở các chi nhánh • Chi phí đầu tư cho thiết bị, con người, và quy trình. • Tầm nhìn của người quyết định. • Thay đổi nhân sự cấp cao 10/29/2013 11:31 AM www.securitybootcamp.vn
NHỮNG LƯU Ý • Phải được sự hỗ trợ của BGĐ • Xuất phát từ chính sách + sự hỗ trợ từ BGĐ • Mở rộng từ từ, bắt đầu từ IT • Tích hợp vào hoạt động của doanh nghiệp. 10/29/2013 11:31 AM www.securitybootcamp.vn
Q&A • Cám ơn những góp ý/chia sẻ của: – – – – Anh Bùi Thanh Phong – ISePro Anh Nguyễn Hải Long – Đông Á Bank Anh Trần Chí Cần – Lạc Tiên JSC …. 10/29/2013 11:31 AM www.securitybootcamp.vn

More Related Content

Security Bootcamp 2013 - Cach tiep can ISO27001-Lương Trung Thành

  • 1. Cách tiếp cận và thực hiện ISO 27001 LƯƠNG TRUNG THÀNH
  • 2. Đơn vị tổ chức: Đơn vị tài trợ:
  • 3. Vì sao chọn ISO? • Cung cấp các tiêu chí đánh giá rõ ràng, hầu hết đều đo lường được. • Mang tính hệ thống và linh động, dễ ‘tương tác’ và kết hợp với các tiêu chuẩn khác. • Mục tiêu gắn kết với hoạt động doanh nghiệp. 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 4. ISO 27001 • Bao gồm các yêu cầu cần thiết để đạt được chứng nhận ISO 27001 • ISO 27001 là các yêu cầu cần thiết, tuy nhiên ISO 27002 mới cung cấp các cách thức cần thiết (làm thế nào để đạt được ISO 27001). 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 6. ISO 27001 • Mục tiêu của ISO 27001 đó là: – Giảm thiểu những tác động không mong muốn từ các rủi ro. – Vấn đề tiếp tục hoạt động kinh doanh của doanh nghiệp. – Nâng cao nhận thức về giá trị thông tin • Không đảm bảo an toàn tuyệt đối trước các đợt tấn công; chỉ giảm thiểu tối đa rủi ro do các tác động. 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 7. Cách tiếp cận • Dựa trên RISK ASSESSMENT và đánh giá những tác động lên hoạt động doanh nghiệp. • Tham khảo Annex A (ISO 27001) và ISO 27002 để chọn lựa các Controls phù hợp. • Hm..hm.. Technical details 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 8. Ví dụ: • VÍ DỤ – – – – Risk Assessment Annex A ISO 27002 – Choose controls … 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 9. Cách tiếp cận • Xác định những gì đang có. • Sử dụng Annex A – tập trung vào khu vực rủi ro cao. • Sử dụng ISO 27002 để chọn Controls phù hợp với hoạt động kinh doanh. • Chia thành nhiều giai đoạn nhỏ. • * Controls: bao gồm cả chính sách và kỹ thuật. 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 11. Fail & tại sao ? • • • • • Không có sự hỗ trợ và quyết tâm. Sự khác biệt Làm đối phó / đi quá nhanh Chưa phù hợp với doanh nghiệp Mất tính ‘cạnh tranh’ 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 12. <> …. <> … DOANH NGHIỆP CẦN NOT ALIGNMENT BẠN MUỐN? 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 14. Hạn chế • Cần phải cập nhật những thay đổi công nghệ và chọn lựa controls phù hợp. • Thay đổi môi trường hoạt động / kinh doanh. • Thay đổi của luật và các Compliance. • Chi phí cho việc Audit và kiểm 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 15. Hạn chế • Duy trì & giám sát các hoạt động ở các chi nhánh • Chi phí đầu tư cho thiết bị, con người, và quy trình. • Tầm nhìn của người quyết định. • Thay đổi nhân sự cấp cao 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 16. NHỮNG LƯU Ý • Phải được sự hỗ trợ của BGĐ • Xuất phát từ chính sách + sự hỗ trợ từ BGĐ • Mở rộng từ từ, bắt đầu từ IT • Tích hợp vào hoạt động của doanh nghiệp. 10/29/2013 11:31 AM www.securitybootcamp.vn
  • 17. Q&A • Cám ơn những góp ý/chia sẻ của: – – – – Anh Bùi Thanh Phong – ISePro Anh Nguyễn Hải Long – Đông Á Bank Anh Trần Chí Cần – Lạc Tiên JSC …. 10/29/2013 11:31 AM www.securitybootcamp.vn