Nghiên Cứu Tiêu Chuẩn Iso 27001 Và Ứng Dụng Luận

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

PHÙNG THỊ LIÊN

NGHIÊN CỨU TIÊU CHUẨN ISO 27001

VÀ ỨNG DỤNG

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

HÀ NỘI - 2016

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

PHÙNG THỊ LIÊN

NGHIÊN CỨU TIÊU CHUẨN ISO 27001

VÀ ỨNG DỤNG

Ngành: Công nghệ thông tin

Chuyên ngành: Hệ thống thông tin

Mã số: 60 48 01 04

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƢỜI HƢỚNG DẪN KHOA HỌC: PGT.TS. TRỊNH NHẬT TIẾN

HÀ NỘI – 2016

i

LỜI CAM ĐOAN

Tôi xin cam đoan báo cáo luận văn này đƣợc viết bởi tôi dƣới sự hƣớng dẫn của cán

bộ hƣớng dẫn khoa học, thầy giáo, PGS.TS. Trịnh Nhật Tiến. Tất cả các kết quả đạt

đƣợc trong luận văn là quá trình tìm hiểu, nghiên cứu của riêng tôi. Nội dung trình bày

trong luận văn là của cá nhân tôi hoặc là đƣợc tổng hợp từ nhiều nguồn tài liệu tham

khảo khác đều có xuất xứ rõ ràng và đƣợc trích dẫn hợp pháp.

Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời

cam đam của mình.

Hà Nội, ngày 10 thán 05 năm 2016

Ngƣời cam đoan

Phùng Thị Liên

ii

LỜI CẢM ƠN

Đầu tiên, tôi xin gửi lời cảm ơn chân thành và sâu sắc nhất tới thầy Trịnh Nhật Tiến –

Ngƣời đã trực tiếp hƣớng dẫn nhiệt tình và giúp đỡ tôi, cho tôi cơ hội đƣợc tiếp xúc

với các tài liệu tham khảo, góp ý cho tôi trong quá trình nghiên cứu để hoàn thành đề

tài này.

Tôi cũng muốn bày tỏ lời cảm ơn chân thành tới các thầy cô giáo đã giảng dạy tôi

trong suốt thời gian tôi học tại trƣờng nhƣ PGS.TS. Hà Quang Thụy, PGS.TS. Đỗ

Trung Tuấn, PGS.TS Nguyễn Ngọc Hóa, TS. Phan Xuân Hiếu, TS. Bùi Quang Hƣng,

TS. Trần Trúc Mai, TS. Võ Đình Hiếu, TS. Nguyễn Văn Vinh cùng các thầy cô giáo

khác trong khoa.

Cuối cùng, tôi xin gửi lời cảm ơn sâu sắc tới Bố, Mẹ, Chồng, cùng Con trai tôi và tất

cả những ngƣời thân trong gia đình, bạn bè và đồng nghiệp tôi. Họ đã luôn ủng hộ tôi

với tình yêu thƣơng, luôn động viên và là động lực để tôi vƣợt qua tất cả những khó

khăn trong cuộc sống.

Hà Nội, ngày 10 tháng 5 năm 2016

Học viên thực hiện luận văn

Phùng Thị Liên

iii

MỤC LỤC

LỜI CAM ĐOAN........................................................................................................ i

LỜI CẢM ƠN.............................................................................................................ii

DANH MỤC TỪ VIẾT TẮT..................................................................................... v

DANH MỤC BẢNG BIỂU....................................................................................... vi

DANH MỤC HÌNH VẼ ...........................................................................................vii

MỞ ĐẦU .................................................................................................................... 1

Chương 1. TRÌNH BÀY TỔNG QUAN VỀ AN TOÀN THÔNG TIN.................... 2

1.1. CÁC KHÁI NIỆM LIÊN QUAN ĐẾN AN TOÀN THÔNG TIN .............. 2

1.2. CÁC NGUY CƠ RỦI RO MẤT AN TOÀN................................................ 3

1.3. NHU CẦU CẤP THIẾT CẦN PHẢI XÂY DỰNG MỘT HỆ THỐNG AN

TOÀN THÔNG TIN ĐÁP ỨNG TIÊU CHUẨN QUỐC TẾ................................ 7

Chương 2. TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001........................ 8

2.1. TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001............................................. 8

2.1.1. Giới thiệu họ tiêu chuẩn ISMS ........................................................... 8

2.1.2. Khái niệm ISO 27001 ....................................................................... 10

2.1.3. Lịch sử phát triển của ISO 27001 ..................................................... 11

2.1.4. Tiếp cận quá trình ............................................................................. 11

2.1.5. Thiết lập, kiểm soát, duy trì và cải tiến ISMS .................................. 12

2.1.6. Phạm vi áp dụng ............................................................................... 15

2.2. HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN.................................... 15

2.2.1. Thuật ngữ và định nghĩa ................................................................... 15

2.2.2. Bối cảnh của tổ chức......................................................................... 18

2.2.3. Lãnh đạo ........................................................................................... 19

2.2.4. Hoạch định........................................................................................ 20

2.2.5. Hỗ trợ................................................................................................ 23

iv

2.2.6. Điều hành.......................................................................................... 25

2.2.7. Đánh giá kết quả ............................................................................... 25

2.2.8. Cải tiến.............................................................................................. 27

2.2.9. Trình bày về phụ lục A của tiêu chuẩn............................................. 28

2.3. Mƣời lý do để chứng nhận ISO 27001 ....................................................... 47

2.4. Thực trạng và triển vọngphát triển ISO 27001 ........................................... 48

2.4.1. Thực trạng triển khai tại Việt Nam................................................... 48

2.4.2. Triển vọng phát triển ISO 27001 tại Việt Nam ................................ 49

Chương 3. XÂY DỰNG HỆ THỐNG QUẢN LÝ HỆ THỐNG AN TOÀN THÔNG

TIN CHO DOANH NGHIỆP................................................................................... 51

3.1. PHÁT BIỂU BÀI TOÁN............................................................................ 51

3.2. XÂY DỰNG CHƢƠNG TRÌNH................................................................ 51

3.2.1. Phƣơng pháp xác định rủi ro............................................................. 51

3.2.2. Quản lý tài sản .................................................................................. 53

3.2.3. Xác định các nguy cơ và điểm yếu của hệ thống ............................. 56

3.2.4. Lựa chọn các mục tiêu kiểm soát...................................................... 63

3.2.5. Chƣơng trình thử nghiệm.................................................................. 64

KẾT LUẬN .............................................................................................................. 68

A. NHỮNG VẤN ĐỀ GIẢI QUYẾT ĐƢỢC TRONG LUẬN VĂN NÀY... 68

B. KIẾN NGHỊ VÀ HƢỚNG NGHIÊN CỨU TRONG TƢƠNG LAI.......... 69

v

DANH MỤC TỪ VIẾT TẮT

Từ tiếng việt Từ viết tắt Từ tiếng Anh

Hệ thống quản lý an toàn thông tin

ISO

International Organization for

Standardization

IEC

International Electrotechnical

Commission

Hệ thống quản lý an toàn thông tin ISMS

Information Security Management

System

Công nghệ thông tin CNTT Information Technology