You are on page 1of 24

TỔ CHỨC BẢO MẬT

Security Organisation

Ths. Trần Văn Thanh


khoadtvt@hcm.vnn.vn
Trường Đại Học Lạc Hồng
NỘI DUNG
 TỔNG QUAN
 CẤU TRÚC TỔ CHỨC BẢO MẬT
 VAI TRÒ VÀ TRÁCH NHIỆM
 CÁC QUY TRÌNH
 BẢO MẬT MARKETING
 BẢO MẬT TRUNG TÂM THÔNG TIN
1. TỔNG QUAN

 Yêu cầu của bảo mật thông tin là:


 Xác định chiến lược/chính sách bảo mật
 Thực thi chính sách: Vai trò, trách nhiệm và tổ
chức
• Tổ chức bảo mật cần xác định rõ ràng nhiệm vụ,
chiến lược – Xác định quy trình và vai trò bảo mật.
• Vai trò, trách nhiệm của người dùng, người quản trị
hệ thống và nhà quản lý củng như sự hiểu biết của
họ
• Có chính sách hổ trợ, đào tạo để họ thực hiện tốt
vai trò, nhiệm vụ được giao.

 Sử dụng hiệu quả các biện pháp kỹ thuật và quản


lý.
1. TỔNG QUAN (tt)

 Yêu cầu của bảo mật thông tin


là:
 Có các hướng dẫn kỹ thuật và biện
pháp quản lý cụ thể cho từng hệ
thống riêng biệt.
 Thường xuyên kiểm tra, xem xét lại
các rũi ro một cách đều đặn.
2. Cấu trúc tổ chức

 Tùy thuộc vào các công ty khác


nhau để đưa ra các cấu trúc tổ
chức khác nhau.
 Vai trò, trách nhiệm của các cá
nhân, tập thể được phân công
dựa trên cấu trúc, kích cở của tổ
chức, dựa trên văn hóa tổ chức…
What’s in ISO/IEC
17799?
Security policy

Security organisation

Asset classification & control

Physical & Communications Systems


Personnel environmental & operations Access development &
security security management control maintenance

Business continuity Compliance


3. VAI TRÒ VÀ TRÁCH
NHIỆM
 Dựa vào kích thước của công ty, trách nhiệm có thể
được phân theo các vai trò sau:
 Giám đốc điều hành : CEO hoặc tương tự:
• Có nhiệm vụ cơ bản nhất về chiến lược bảo mật và phải có
năng lực cần thiết để chống lại các sự đe dọa.
• Có nhiệm vụ phổ biến các chiến lược, thiết lập văn hóa
bảo mật, các kiến thức bảo mật.
 Giám đốc IT:
• Có trách nhiệm bảo mật tòan bộ doanh nghiệp, tổ chức.
• Xác định các hướng dẫn bảo mật thông tin cùng với các
người quản lý các quy trình họat động của DN.
• Có kiến thức về bảo mật để tư vấn cho các nhà quản lý
• Có khả năng phân tích rũi ro
• Là người cuối sau cùng đưa ra các vấn đề bảo mật, giải
pháp bảo mật.
• Hợp tác với các đối tác, tổ chức bảo mật.
3. VAI TRÒ VÀ TRÁCH
NHIỆM

 Người quản các quản lý quy trình


kinh doanh, dữ liệu, các họat động
doanh nghiệp
• Chịu trách nhiệm trực tiếp đến các quy
trình cụ thể, dữ liệu của từng bộ phận
… và báo cáo trực tiếp cho cấp trên.
• Phân tích tác động các lỗi bảo mật của
các hướng dẫn, quy trình…
• Không liên quan đến những người
kiểm tra.
3. VAI TRÒ VÀ TRÁCH
NHIỆM

 Người cung cấp hệ thống:


• Cài đặt và bảo trì hệ thống, xác định
vai trò, trách nhiệm của nhà cung cấp,
khách hàng tùy theo từng mức dịch
vụ.
• Có thể là một công ty bên ngòai, người
quản lý dữ liệu của công ty, quản trị
bảo mật/hệ thống.
• Có trách nhiệm hướng dẫn người sủ
dụng đúng các kỹ thuật bảo mật.
• Là người quản trị root hoặc database
3. VAI TRÒ VÀ TRÁCH
NHIỆM
 Người thiết kế hệ thống:
• Là người có nhiệm vụ chính thiết kế hệ
thống nhằm đảm bảo hệ thống được
sử dụng một cách an tòan.
• Các dự án phát triển mới phải tính
toán đến các yêu cầu bảo mật
 Lãnh đạo dự án: đảm bảo rằng các
hướng dẫn kỹ thuật bảo mật phải
gắn liền với các dự án.
3. VAI TRÒ VÀ TRÁCH
NHIỆM
 Người thiết kế hệ thống:
• Là người có nhiệm vụ chính thiết kế hệ
thống nhằm đảm bảo hệ thống được
sử dụng một cách an tòan.
• Các dự án phát triển mới phải tính
toán đến các yêu cầu bảo mật
 Lãnh đạo dự án: đảm bảo rằng các
hướng dẫn kỹ thuật bảo mật phải
gắn liền với các dự án.
3. VAI TRÒ VÀ TRÁCH
NHIỆM
 Người quản lý:
• Đảm bảo rằng nhân viên của họ phải
hiểu biết đầy đủ các chính sách bảo
mật.
• Thực thi các chính sách bảo mật và
kiểm tra các tiến trình thực hiện.
 Người dùng.
• Có trách nhiệm với các hành động của
họ.
• Hiểu biết về chính sách bảo mật của
công ty.
4. CÁC QUY TRÌNH
 Chính sách bảo mật cần có các quy
trình và con người để đảm bảo thực
hiện và phù hợp với các yêu cầu
trong kinh doanh:
• Đường dây nóng bảo mật.
• Quản lý thay đổi.
• Giám sát hệ thống và phát hiện sự
xâm nhập trái phép.
• Khôi phục và sao lưu dữ liệu
• Kiểm tra hệ thống
• Quản lý sự khủng hoảng.
4. CÁC QUY TRÌNH
 Đường dây nóng bảo mật:
• Quản lý tài khỏan người dùng phải đảm bảo
tính sẵn sàng.
• Đường dây nóng là nơi người dùng gọi khi họ
gặp vấn đề. Nếu đường dây nóng không giải
quyết được vấn đề, trách nhiệm đó sẽ được
chuyển lên mức cao hơn chẳng hạn như người
quản trị hệ thống .
• Người dùng có thể truy cập vào dịch vụ đường
dây nóng để mở Pass nhanh chóng.
• Phải có cơ chế giám sát sự thay đổi thông qua
đường dây điện thọai như các yêu cầu xác
nhận trừ khi sử dụng hệ thống ĐT nội bộ.
4. CÁC QUY TRÌNH
 Quản lý sự thay đổi:
• Ai là người cài đặt hoặc nâng cấp Hw
và Sw.
• Các Sw mới phải có ít nhất một tuần
kiểm tra thử trước khi cài đặt cho tòan
hệ thống.
• Mọi thay đổi phải được chuẩn bị cẩn
thận và không làm rối lọan các họat
động khác.
• Sự thay đổi phần cứng
• KISS (Keep it simple, stupid)
4. CÁC QUY TRÌNH
 Giám sát hệ thống:
• Ai là người giám sát hệ thống? Giám
sát cái gì? ở đâu?.
 Data backup & Restore.
• Cần phải có quy trình và trách nhiệm
đảm bảo sự sao lưu dữ liệu an tòan.
• Chính sách sao lưu phải đều đăn được
kiểm tra.
4. CÁC QUY TRÌNH
 Kiểm tra hệ thống:
• Các server phải thường xuyên được
kiểm tra đều đặn.
• Việc kiểm tra được thực hiện cho mỗi
mức bảo mật, hệ điều hành phải đơn
giản.
• Người kiểm tra phải khách quan và
đọc lập với người quản trị hệ thống.
• Công việc kiểm tra: các hướng dẫn,
các chính sách, người dùng, người
quản lý, quản lý bảo mật thông tin,
người quản trị hệ thống, các nguồn tài
5. Security Marketing
 Tại sao phải bảo mật thông tin tiếp
thị:
5. Security Marketing
 Tại sao phải bảo mật thông tin tiếp
thị:
THE BUSINESS
Certification is easier with specific boundaries
‘Whole of Organisation’ is ideal
•Data centres
•eCommerce applications
Scope
Objectives Organisational context and
Legal and Regulatory Policy accountabilities
requirements Risk Evaluation criteria

Executive level accountabilities Organisation Governance, reporting,


direction

Context, criteria Risk Management Process Methods, tools, processes

Operational responsibilities Security in job descriptions


Security Management
Descriptions of actions At the ‘coal face’
and activities
Processes and Procedures
Shared corporate values
‘Business as usual’ in the organisation Corporate culture
Company X Implementation

MANAGING THE RISK


Plan
Stakeholders Stakeholders
Establish the
ISMS
Regulators Regulators
Business Business
Development,
Partners maintenance,
Partners
Implement and Maintain and
Customers Do operate the ISMS and improve the ISMS Improve Customers
Shareholders improvement Shareholders
cycle
Information
security Managed
Monitor and
requirements
review the ISMS information
and
expectations security
Check

Manage Operational Risk Effectively


Company X Implementation

LAYERS
Business
Layer
Legal & Regulatory Policy & Procedures
Contracts Risk Analysis
Data Privacy Management Accountability
Layer
Change Management
AAA Services Exception Management
Privacy Services Alarm & Event Management
Network Intrusion Detection
Layer Connection & Address Management
Traffic & Session Management
KiỂM TRA GiỮA KỲ
Thời gian: 90 phút

2. Thương mại điện tử B2B cộng tác là gì?


Hãy phân tích mô hình TMĐT B2B cộng
tác.
3. Trình bày những hiểu biết của bạn về
EDI trong thương mại điện tử B2B.
4. Trình bày quy trình tạo và xác nhận
chữ ký số (Có vẽ sơ đồ minh họa). Nêu
rõ vai trò của chữ ký điện tử trong
thương mại điện tử
Questions?

 Tuần sau chuyển sang học buổi sáng


(7h00)
 Tuần sau kiểm tra giữa kỳ

Trần Văn Thanh


khoadtvt@hcm.vnn.vn

You might also like