- Từ những rủi ro nhất định đến tổ chức đó. Thông qua việc đánh giá rủi ro những đe doạ đến tài sản, đánh giá khả năng điểm yếu có khả năng xảy ra và đánh giá được tác động tiềm năng.
- Từ những điều luật, quy định của luật pháp và yêu cầu hợp đồng mà một tổ chức, những đối tác kinh doanh, nhà thầu và những người cung cấp dịch vụ phải thỏa mãn.
- Từ tập hợp của những nguyên tắc, mục tiêu và những yêu cầu cho việc xử lý thông tin mà một tổ chức đã triển khai để hổ trợ cho những hoạt động của nó.
- Sự thiệt hại kinh doanh có thể xảy ra từ một hư hỏng hệ thống, xem xét hậu quả tiềm tàng của một sự mất mát của tính bí mật, toàn vẹn và sẵn sàng của thông tin và những tài sản khác.
-
Khả năng thực tế có thể xảy ra một hư hỏng từ những đe doạ và yếu điểm phổ biến, và những điều khiển đang triển khai.
- Tính toán những thay đổi đối với những yêu cần và ưu tiên kinh doanh
-
Quan tâm đến những nguy cơ và những điểm yếu mới.
-
Xác nhận những biện pháp khắc phục vẫn còn thích hợp và tác dụng.
-
Mô tả làm thế nào trách nhiệm có thể được phân chia để tránh sự gian lận và lỗi. Nó không thể thực hiện được với tổ chức nhỏ để phân chia trách nhiệm.
-
Mô tả làm thế nào để giám sát và tập hợp bằng chứng sử dụng hệ thống. Những biện pháp khắc phục được mô tả như lưu nhật ký có thể mâu thuẫn với luật lệ đang áp dụng, như sự bảo vệ riêng tư cho khách hàng hoặc nơi làm việc.
-
ITSTARVN cần được ký một hợp đồng để khảo sát hệ thống của khách hàng. (1 working week)
-
Vẽ lại toàn bộ sơ đồ, thiết bị, phần mềm, chính sách, … các tài liệu liên quan đến từng phòng ban và gửi cho khách hàng xác nhận có chính xác không, nếu chưa tiếp tục trao đổi để bổ sung hoàn chỉnh. (1 working week)
-
Team ITSTARVN sẽ thực hiện kiểm thử xâm nhập để đưa ra các điểm yếu của hệ thống hiện có. (3 working weeks)
-
Phân tích và đánh giá các nguy cơ, rủi ro và khả năng khai thác ở hệ thống hiện tại của khách hàng. Cung cấp các bằng chứng các khả năng có thể xảy ra rủi ro nếu có. (2 working weeks)
-
Đưa ra các khuyến nghị triển khai chỉnh sửa, thay đổi hay đầu tư mới hệ thống an toàn thông tin cho doanh nghiệp khách hàng dựa trên các tiêu chuẩn an toàn thông tin ISO/IEC 27000 series. (2 working week)
-
Cung cấp các giải pháp an toàn thông tin toàn diện cho khách hàng và hỗ trợ khách hàng trong BCP (Business Continuity Plan) (1 working week)
-
Đánh giá lại các nguy cơ, rủi ro sau khi khách đồng ý triển khai giải pháp an toàn thông tin theo kiến nghị. (1 working week)
STT |
Phạm vi công việc thực hiện |
1 |
Tìm hiểu thông qua phỏng vấn hiện trạng CNTT của Doanh Nghiệp, các hệ thống phần mềm, bảo mật, phần cứng đang sử dụng... (Giai đoạn 1, 2) |
2 |
Đánh giá tổng quan nhu cầu cấp thiết của công tác an toàn bảo mật thông tin với các hệ thống phần mềm, phần cứng hiện tại. (Giai đoạn 3) |
3 |
Phân tích và khuyến cáo các rủi ro có thể xảy ra với hệ thống thông tin tại văn phòng Doanh Nghiệp. (Giai đoạn 4) |
4 |
Gợi ý và khuyến cáo các tiêu chuẩn, quy trình AN TOÀN THÔNG TIN theo một tiêu chuẩn quốc tế có sẵn, hoặc các tiêu chuẩn an toàn thông tin trong hệ thống ISO27001 (Giai đoạn 5) |
5 |
Trình bày và hỏi đáp các thắc mắc về an toàn an ninh thông tin. (Giai đoạn 6, 7) |