KIỂM ĐỊNH & ĐÁNH GIÁ AN TOÀN THÔNG TIN
1. Làm thế nào thiết lập được những yêu cầu an toàn thông tin?
Điều cần thiết là một tổ chức xác định được những yêu cầu an toàn thông tin của mình. Có 3 nguồn chính là:
- Từ những rủi ro nhất định liên quan đến tổ chức. Thông qua việc đánh giá rủi ro, các mối đe dọa đến tài sản, đánh giá khả năng điểm yếu có khả năng xảy ra và đánh giá được tác động tiềm năng.
- Từ những điều luật, quy định của luật pháp và yêu cầu hợp đồng mà một tổ chức, những đối tác kinh doanh, nhà thầu và những người cung cấp dịch vụ phải thỏa mãn.
- Từ tập hợp của những nguyên tắc, mục tiêu và những yêu cầu cho việc xử lý thông tin mà một tổ chức đã triển khai để hổ trợ cho những hoạt động của nó.
2. Đánh giá những rủi ro an toàn
Những yêu cầu an toàn thông tin được xác định bởi những phương pháp đánh giá rủi ro an toàn thông tin. Phí tổn cho những biện pháp khắc phục cần được cân đối với những thiệt hại kinh doanh có thể xảy ra từ những hư hỏng an toàn thông tin. Kỹ thuật đánh giá rủi ro cần được áp dụng cho cả tổ chức, hoặc chỉ một phần, cũng như những hệ thống thông tin riêng lẻ, những thành phần hệ thống cụ thể hoặc những dịch vụ nơi mà có thể thực hiện, có tính khả thi và có ích.
Đánh giá rủi ro là sự suy xét có hệ thống của:
-
Sự thiệt hại kinh doanh có thể xảy ra từ một hư hỏng hệ thống, xem xét hậu quả tiềm tàng của một sự mất mát của tính bí mật, toàn vẹn và sẵn sàng của thông tin và những tài sản khác.
-
Khả năng thực tế có thể xảy ra một hư hỏng từ những đe doạ và yếu điểm phổ biến, và những điều khiển đang triển khai.
Kết quả của việc đánh giá này sẽ giúp hướng dẫn và xác định rõ những ưu tiên và hành động quản lý thích hợp cho quản lý rủi ro an toàn thông tin, và để triển khai những điều khiển có lựa chọn để bảo vệ chống lại những rủi ro. Quy trình đánh giá rủi ro và lựa chọn những điều khiển có thể cần được thực thi nhiều lần để kiểm soát từng phần khác nhau của tổ chức hoặc những hệ thống thông tin riêng lẻ.
Điều quan trọng là phải tiến hành những xem xét định kỳ của những rủi ro an toàn thông tin và những biện pháp được triển khai để:
- Tính toán những thay đổi đối với những yêu cần và ưu tiên kinh doanh
-
Quan tâm đến những nguy cơ và những điểm yếu mới.
-
Xác nhận những biện pháp khắc phục vẫn còn thích hợp và tác dụng.
Những xem xét lại có thể thi hành ở những mức độ khác nhau dựa trên kết quả của những đánh giá trước và những mức độ thay đổi của rủi ro mà việc quản lý sẵn sàng đón nhận. Đánh giá rủi ro thường được tiến hành đầu tiên ở cấp độ cao, có nghĩa là dành ưu tiên cho những tài nguyên trong khu vực có rủi ro cao, và sau đó là cấp độ chi tiết hơn, để xác định rõ rủi ro.
3. Lựa chọn những biện pháp khắc phục
Một khi các yêu cầu an toàn thông tin được xác định, những biện pháp khắc phục có thể được lựa chọn và triển khai để đảm bảo những rủi ro được giảm ở một mức độ có thể chập nhận được. Những biện pháp khắc phục có thể được lựa chọn từ các tiêu chuẩn An Toàn Thông Tin như ISO/IEC27001 hoặc từ những tập hợp biện pháp khắc phục khác, hoặc những biện pháp khắc phục mới có thể được thiết kế để thích hợp với yêu cầu. Có nhiều cách khác nhau để quản lý rủi ro và chúng tôi cung cấp những cách tiếp cận phổ biến và hiện đại nhất cho quý doanh nghiệp. Tuy nhiên, cần thiết nhìn nhận rằng một vài biện pháp khắc phục không thể áp dụng đối với mọi hệ thống hoặc môi trường thông tin, và có thể không khả thi cho tất cả các tổ chức. Ví dụ:
-
Mô tả làm thế nào trách nhiệm có thể được phân chia để tránh sự gian lận và lỗi. Nó không thể thực hiện được với tổ chức nhỏ để phân chia trách nhiệm.
-
Mô tả làm thế nào để giám sát và tập hợp bằng chứng sử dụng hệ thống. Những biện pháp khắc phục được mô tả như lưu nhật ký có thể mâu thuẫn với luật lệ đang áp dụng, như sự bảo vệ riêng tư cho khách hàng hoặc nơi làm việc.
Những biện pháp khắc phục có thể được lựa chọn dựa trên chi phí của việc triển khai, trong mối tương quan với những rủi ro được giảm tránh và khả năng mất mát nếu lổ hổng bảo mật xảy ra. Những nhân tố không có tiền lệ như mất mát danh tiếng cũng phải được ghi lại.
Hãy để chúng tôi giúp cung cấp các biện pháp và định hướng xây dựng hệ thống an toàn cho công ty quý khách và đánh giá rủi ro cho doanh nghiệp
Quy trình kiểm định & đánh giá
-
ITSTARVN cần được ký một hợp đồng để khảo sát hệ thống của khách hàng. (1 working week)
-
Vẽ lại toàn bộ sơ đồ, thiết bị, phần mềm, chính sách, … các tài liệu liên quan đến từng phòng ban và gửi cho khách hàng xác nhận có chính xác không, nếu chưa tiếp tục trao đổi để bổ sung hoàn chỉnh. (1 working week)
-
Team ITSTARVN sẽ thực hiện kiểm thử xâm nhập để đưa ra các điểm yếu của hệ thống hiện có. (3 working weeks)
-
Phân tích và đánh giá các nguy cơ, rủi ro và khả năng khai thác ở hệ thống hiện tại của khách hàng. Cung cấp các bằng chứng các khả năng có thể xảy ra rủi ro nếu có. (2 working weeks)
-
Đưa ra các khuyến nghị triển khai chỉnh sửa, thay đổi hay đầu tư mới hệ thống an toàn thông tin cho doanh nghiệp khách hàng dựa trên các tiêu chuẩn an toàn thông tin ISO/IEC 27000 series. (2 working week)
-
Cung cấp các giải pháp an toàn thông tin toàn diện cho khách hàng và hỗ trợ khách hàng trong BCP (Business Continuity Plan) (1 working week)
-
Đánh giá lại các nguy cơ, rủi ro sau khi khách đồng ý triển khai giải pháp an toàn thông tin theo kiến nghị. (1 working week)
Nội dung đáp ứng được cho khách hàng như sau
|
STT |
Phạm vi công việc thực hiện |
|
1 |
Tìm hiểu thông qua phỏng vấn hiện trạng CNTT của Doanh Nghiệp, các hệ thống phần mềm, bảo mật, phần cứng đang sử dụng... (Giai đoạn 1, 2) |
|
2 |
Đánh giá tổng quan nhu cầu cấp thiết của công tác an toàn bảo mật thông tin với các hệ thống phần mềm, phần cứng hiện tại. (Giai đoạn 3) |
|
3 |
Phân tích và khuyến cáo các rủi ro có thể xảy ra với hệ thống thông tin tại văn phòng Doanh nghiệp. (Giai đoạn 4) |
|
4 |
Gợi ý và khuyến cáo các tiêu chuẩn, quy trình AN TOÀN THÔNG TIN theo một tiêu chuẩn quốc tế có sẵn, hoặc các tiêu chuẩn an toàn thông tin trong hệ thống ISO27001 (Giai đoạn 5) |
|
5 |
Trình bày và hỏi đáp các thắc mắc về an toàn an ninh thông tin. (Giai đoạn 6, 7) |
Hãy liên hệ ngay với chúng tôi để nhận được tư vấn tốt nhất.
