VietPace - Chuyên gia bảo mật Oracle hàng đầu tại Việt Nam. Chuyên đào tạo các khóa học Oracle

1. Giới thiệu chung về các chính sách an toàn thông tin theo tiêu chuẩn ISO 27001:2005

Lịch sử ra đời, mục đích.
ISO 27001
Tầm quan trọng
Phạm vi ứng dụng
Đối tượng sử dụng
Nội dung :

Phục hồi sau thảm họa
Tính liên tục của công việc
Hỗ trợ của nhà cung cấp
Các chính sách và quy trình thực hiện :
Các chính sách cá nhân
Các chính sách đối với tổ chức, doanh nghiệp
An ninh hệ thống
Chính sách sử dụng mật mã
Các chính sách xác thực
Các chính sách đối phó sự cố
Vai trò quản lý của người dùng và nhóm

2. Phương ơháp tiếp cận những dữ liệu liên quan
3. Các thuật ngữ an toàn thông tin
4. Xây dựng hệ thông quản lý an toàn thông tin(ISMS)
       a. Các Yêu Cầu Triển Khai ISMS
       b. Xây Dựng Và Quản Lý Hệ Thống ISMS
       c. Thiết Lập Mô Hình ISMS

Các biện pháp về tổ chức
Quản lý tài nguyên
An toàn thông tin cá nhân
An ninh vật lý
Quản lý các quá trình
Quản lý truy cập
Thiết kế hệ thống an toàn
Tính liên tục vận hành của hệ thống
Tính tương tác của hệ thống
Các giải pháp đảm bảo an ninh hệ thống
Các giải pháp phòng vệ:
Cách ly mạng
Quản lý truy cập
Thực Thi Và Vận Hành Hệ Thống ISMS
Giám Sát Và Kiểm Tra Hệ Thống ISMS
Duy Trì Và Phát Triển Hệ Thống ISMS

Tổng Quan Về Tài Liệu
Kiểm Sóat Tài Liệu
Các nội quy, các văn bản hướng dẫn sử dụng và các yêu cầu về ATTT trong nội bộ cơ quan:
An toàn mật khẩu
Quy tắc phòng chống virus và các phần mềm độc hại
Quy tắc phòng chống thâm nhập vật lý.
Quy tắc an toàn vật lý các thiết bị
Quy tắc tiêu hủy một cách an toàn dữ liệu và thiết bị
Nội quy đảm bảo an toàn vị trí làm việc
Quy tắc thực hiện truy cập từ xa.
Quy tắc truy cập nội bộ (Local Access)
Quy tắc lưu trữ các thông tin dự phòng
Các nội quy giám sát mạng và sử dụng log files
Các quy tắc đảm bảo tính liên tục vận hành của hệ
Kiểm Sóat Các Bản Ghi

5. Quản lý quyền hạn và tài nguyên
a. Quản Lý Đặc Quyền

6. Tiến hàn kiểm định bảo mật nội bộ
7. Quản lý các kết quả kiẩm tra hệ thống ISMS

Chính sách an ninh (Security Policy) Cung cấp các nguyên tắc, chỉ dẫn khuyến nghị để cải thiện an ninh thông tin ;
Tổ chức an ninh (Security Organization) Đề cập đến cơ cấu tổ chức quản lý an ninh thông tin;
Phân loại và kiểm tra tài sản (Asset Classification and Control) Thực hiện việc kiểm kê tài sản thông tin, đánh giá rủi ro để bảo vệ thông tin một cách có hiệu quả;
An ninh về nhân sự (Personnel Security) Mô tả trách nhiệm của nhân viên, vai trò của các cá nhân trong an ninh thông tin, nhằm giảm thiểu các sai sót do lỗi của con người, do ăn cắp hoặc lạm dụng tài sản công;
An ninh về môi trường và mức vật lý (Physical and Environmental Security) Định nghĩa, xác định mức độ an toàn về môi trường, vị trí lắp đặt hệ thống giám sát, phòng chống cháy nổ, giảm thiểu thiên tai cho các thiết bị và tài sản thông tin;
Quản lý tác nghiệp và thông tin liên lạc (Communications and Operations Management): Xác định và quản trị các quá trình thông tin tạo điều kiện cho hệ thông quản lý an ninh thông tin hoạt động có hiệu quả;
Điều khiển truy nhập (Access Control): Các khuyến nghị nhằm đảm bảo truy nhập thông tin có kiểm soát, ghi nhận (logging) quá trình truy nhập vào hệ thống;
Phát triển hệ thống và bảo dưỡng (Systems Development and Maintenance): Đảm bảo các dự án, chương trình CNTT được xây dựng, thiết lập, triển khai một cách an toàn thông qua quá trình kiểm tra mã nguồn, kiểm soát dữ liệu chương trình và sử dụng các giải thuật mã hóa;
Quản trị tính liên tục trong kinh doanh (Business Continuity Management): Các khuyến nghị cho vấn đề phát triển và duy trì họat động kinh doanh qua các kế hoạch sao lưu dự phòng và khôi phục dữ liệu (backup and disaster recovery plan);
Điều kiện tuân thủ (Compliance): Các vấn đề liên quan đến pháp lý, các cam kết tuân thủ các quy định của chính phủ, nhà nước.