banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin  XML
  [Discussion]   ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 13/09/2008 04:16:44 (+0700) | #1 | 150863
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
Thực ra mình không biết là post ở đây có hợp lý không, các mod điều chỉnh giúp.
Bài viết này của một anh bạn mình.

ISO 27000 – Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin


Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày càng nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạng máy tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn.

Một trong các biện pháp phòng ngừa được nhắc đến trong thời gian qua chính là triển khai áp dụng Hệ thống Quản lý An toàn Thông tin (ISMS: Information Security Management System) theo các nguyên tắc của bộ tiêu chuẩn quốc tế ISO 27000. Có thể nói rằng, ISO 27000 là một phần của hệ thông quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức.

Cho tới nay, việc áp dụng hệ thống quản lý an toàn thông tin phù hợp ISO 27000 đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới đặc biệt là trong lĩnh vực tài chính ngân hàng. Tại Việt Nam, một số ngân hàng cũng đang triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định.

Xét về lịch sự hình thành của bộ tiêu chuẩn, ISO 27000 cũng có nguồn gốc từ Anh quốc. Bắt đầu vào năm 1992, Phòng Thương mại và Công nghiệp Anh (UK Department Trade and Industrial) ban hành ra qui phạm thực hành về hệ thống an toàn thông tin dựa trên các hệ thống đảm bảo an toàn thông tin nội bộ của các công ty dầu khí. Tài liệu này sau đó được Viện tiêu chuẩn hoá Anh chính thức ban hành thành tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995. Năm 2000, tiêu chuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chính thức chấp nhận và ban hành với mã hiệu ISO/IEC 17799:2000 - tiền thân của bộ tiêu chuẩn ISO 27000 ngày nay.

Bộ tiêu chuẩn ISO 27000 đã và sẽ bao gồm những tiêu chuẩn cụ thể sau:

- ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)

- ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an toàn thông tin

- ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

- ISO 27003:2007 đưa ra các hướng dẫn áp dụng

- ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS

- ISO 27005 tiêu chuẩn về quản lý rủi ro an toàn thông tin

- ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông

Theo con số thống kê chưa đầy đủ thì hiện nay số lượng các tổ chức đã áp dụng ISMS và đã được chứng nhận trên toàn thế giới là 2063 trong đó đứng đầu là Nhật Bản với số chứng chỉ được cấp ra là 1190 sau đó là Anh 219, Đài loan 69...

Các lĩnh vực áp dụng đối với ISMS cũng chiếm các tỉ lệ khác nhau. Ví dụ lĩnh vực viễn thông được áp dụng nhiều nhất với 27% tổng số lượng chứng chỉ cấp ra, Lĩnh vực tài chính ngân hàng chiếm 20%, Lĩnh vực công nghệ thông tin chiếm 15%,..

Hy vọng trong thời gian tới tại Việt Nam sẽ có thêm nhiều hơn nữa các tổ chức áp dụng ISMS để có thể giảm thiểu các rủi ro liên quan tới an toàn thông tin, đảm bảo cho sự phát triển bền vững.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 20/09/2008 05:08:36 (+0700) | #2 | 152113
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
Mới tìm được trang web cũng hay, dành cho bro nào muốn áp dụng ISO 27001 vào trong doanh nghiệp.
http://www.27001-online.com/secpols.htm
Thực ra ISO 27001 không khó, cái khó ở đây là đánh giá được đúng mức và áp dụng chuẩn xác các controls.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 20/09/2008 05:55:48 (+0700) | #3 | 152118
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
louisnguyen27 có tài liệu nào nói về rủi ro ko? Share cho anh em với
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 21/09/2008 15:06:30 (+0700) | #4 | 152307
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
@Anh IQ:
Cuốn này nói về quản lí rủi ro trong ngành
http://rapidshare.com/files/115323777/Managing.Information.Technology.Projects.rar 


Cuốn này có vẻ chung chung, nhưng rủi ro nào cũng là rủi ro cả smilie
http://rs15tg.rapidshare.com/files/15799132/12713351/Identifying.and.Managing.Project.Risk-CHM-0814407617.rar 


Mới google thêm cuốn này
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf 
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 23/09/2008 03:42:58 (+0700) | #5 | 152519
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

lQ wrote:
louisnguyen27 có tài liệu nào nói về rủi ro ko? Share cho anh em với
 

Hiện giờ các tài liệu này chưa có nhiều lắm cho rủi ro của riêng ngành IT. Mình sẽ cố chọn lọc tài liệu để chia sẻ vơi anh em. Trong số các đường link của mR.Bi cung cấp có đường link thứ 3 là đường link mà mình khuyến nghị anh em nên tham khảo: http://csrc.nist.gov/index.html
Các tài liệu ở CSRC này là các tài liệu và case study áp dụng cho hầu hết các khóa học về ISMS trên thế giới.

@mR.Bi
Bạn cần phân biệt rủi ro trong Information System và rủi ro trong Information System Project nhé, hai cái đó hoàn toàn khác nhau về mặt bản chất.
Đường link thứ nhất nên áp dụng cho anh em nào đang làm project. Cái rủi ro của một cái Project không hẳn đã là rủi ro của một cái system.
Đường link thứ hai thì nên đọc thêm để tham khảo.
Đường link thứ ba là một đường link khá tốt.

Nhân đây cũng lan man hơn với anh em một chút về rủi ro trong IS:
Thông thường thì rủi ro - risk là cái gì đó tồn tại hiển nhiên: thiên tai, động đất, tai nạn lao động.... (kể cả trong quản lý dự án).
Chỉ riêng với ISMS risk = vulnerability + threat (ở đây mình hiển thị sự kết hợp chứ không phải là phép toán nhé), như vậy nếu hệ thống của bạn có lỗ hổng mà không có kẻ tấn công thì không có rủi ro hay hệ thống của bạn bị tấn công mà không có lỗ hổng thì cũng không có rủi ro. Chỉ khi nào có lỗ hổng và có kẻ tấn công thì mới có rủi ro. Vấn đề ở đây là bạn chọn cái nào để giảm risk?
Nhiều anh em khi trao đổi đến đây đều có phản ứng "nghề nghiệp" là tập trung vào cái lỗ hổng này (theo kiểu dân bảo mật). Cái khó ở đây là lỗ hổng thì muôn hình vạn trạng, bạn làm sao mà biết được? bạn phải nuôi bao nhiêu anh em bảo mật để đảm bảo hệ thống của bạn 99.9999% ổn định? Trả lời xong câu hỏi này thì công ty của bạn trở thành công ty CNTT rồi. Chính vì vậy mà ISMS chú trọng nhiều hơn đến việc nhận định các rủi ro thông tin trong doanh nghiệp và đưa ra phương pháp quản lý phù hợp.


Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 23/09/2008 04:36:17 (+0700) | #6 | 152525
tuandinh
HVA Friend

Joined: 05/09/2002 12:44:34
Messages: 210
Location: Thiên đường tình ái
Offline
[Profile] [PM]
Cá nhân mình thấy các bộ tiêu chuẩn này ( ISOXXXXX và cả CMMI) đều là các công cụ marketing là chính. Cho nên các doanh nghiệp chạy đua nhau nhận được các chứng chỉ đạt các chuẩn kiểu này.

Thực tế ở VN không ít doanh nghiệp CNTT đạt chuẩn nhưng mà sản phẩm/dịch vụ của họ vẫn lởm như thường.
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 23/09/2008 05:22:13 (+0700) | #7 | 152533
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

tuandinh wrote:
Cá nhân mình thấy các bộ tiêu chuẩn này ( ISOXXXXX và cả CMMI) đều là các công cụ marketing là chính. Cho nên các doanh nghiệp chạy đua nhau nhận được các chứng chỉ đạt các chuẩn kiểu này.
Thực tế ở VN không ít doanh nghiệp CNTT đạt chuẩn nhưng mà sản phẩm/dịch vụ của họ vẫn lởm như thường.  

Cái này thì cung đúng, nhưng cái chính là họ chỉ "nổ" đối những người không hiểu nó là cái gì. Còn mình thì thấy nó cũng bình thường, vì đối với những người chưa biết thì nó marketing hiệu quả, marketing là vậy mà.
Nhưng ít nhất nó cũng chứng tỏ bạn có làm cái gì đó, nếu không thì bạn không chứng tỏ được gì. Cũng giống như chuyện bằng cấp đại học vậy thôi.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 23/09/2008 06:52:30 (+0700) | #8 | 152540
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
@mR.Bi
Bạn cần phân biệt rủi ro trong Information System và rủi ro trong Information System Project nhé, hai cái đó hoàn toàn khác nhau về mặt bản chất.
Đường link thứ nhất nên áp dụng cho anh em nào đang làm project. Cái rủi ro của một cái Project không hẳn đã là rủi ro của một cái system.
Đường link thứ hai thì nên đọc thêm để tham khảo.
Đường link thứ ba là một đường link khá tốt.
 

Bạn đưa ra ý kiến về 3 links mình đưa so với nhu cầu của bạn. Không biết nhu cầu anh IQ thế nào thì biết thế nào mới là "khá tốt" với ảnh bây chừ smilie
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 23/09/2008 21:14:56 (+0700) | #9 | 152606
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

mR.Bi wrote:

Bạn đưa ra ý kiến về 3 links mình đưa so với nhu cầu của bạn. Không biết nhu cầu anh IQ thế nào thì biết thế nào mới là "khá tốt" với ảnh bây chừ smilie
 

Không, tại vì mình đang nói theo khía cạnh của ISMS mà. Nếu bàn về risk không thì lại là chuyện khác.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 23/09/2008 23:17:19 (+0700) | #10 | 152634
lamer
Elite Member

[Minus]    0    [Plus]
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
[Profile] [PM]

louisnguyen27 wrote:

Chỉ riêng với ISMS risk = vulnerability + threat (ở đây mình hiển thị sự kết hợp chứ không phải là phép toán nhé), như vậy nếu hệ thống của bạn có lỗ hổng mà không có kẻ tấn công thì không có rủi ro hay hệ thống của bạn bị tấn công mà không có lỗ hổng thì cũng không có rủi ro. 


Đúng rồi!

Vấn đề là làm sao đoán được giá trị (mức độ) của hai cái đó.

Các cách giảm tác nhân (threat) mình thường thấy gồm bảo vệ, tường dày, cửa thép, kiểm tra lý lịch người xin việc, v.v...

Các cách giảm điểm yếu (vulnerability) mình thường thấy bao gồm sử dụng hai chữ ký khi sử dụng séc, có người đi kèm khách khi tham quan, sử dụng hệ thống chống trộm, v.v...

Cũng xin nói thêm là nhiều người (đa số là dân không có kiến thức IT) có khái niệm đơn giản (hoặc cố tình nghĩ như vậy cho khỏe) là an toàn thông tin chỉ là một dạng khác của quản lý rủi ro. Và nhiều người khác (đa số là dân IT) thì lại không ý thức được mức độ tổng quát của an toàn thông tin, chỉ nghĩ rằng có tường lửa là có tất cả.

Theo như thống kê thì Việt Nam có 10 chuyên gia đạt chứng chỉ CISSP, chứng chỉ đầu ngành trong lĩnh vực an toàn thông tin, và Bộ Quốc Phòng Mỹ yêu cầu phải có với những người làm việc cho họ. Nên để tránh đụng phải một trong hai dạng người trên thì tốt nhất là doanh nghiệp chỉ chọn những ai có chứng chỉ đó trong các hợp đồng tư vấn. Đây cũng là một cách để giảm thiểu rủi ro smilie
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 23/09/2008 23:20:31 (+0700) | #11 | 152637
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
thanks mọi người. Tài liệu của NIST nói về quản lý rủi ro an ninh thông tin, không phải rủi ro trong việc triển khai một dự án. Đó đúng là tài liệu mình cần.
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 24/09/2008 00:58:09 (+0700) | #12 | 152662
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

lamer wrote:

Vấn đề là làm sao đoán được giá trị (mức độ) của hai cái đó.
Các cách giảm tác nhân (threat) mình thường thấy gồm bảo vệ, tường dày, cửa thép, kiểm tra lý lịch người xin việc, v.v...
Các cách giảm điểm yếu (vulnerability) mình thường thấy bao gồm sử dụng hai chữ ký khi sử dụng séc, có người đi kèm khách khi tham quan, sử dụng hệ thống chống trộm, v.v...

Cũng xin nói thêm là nhiều người (đa số là dân không có kiến thức IT) có khái niệm đơn giản (hoặc cố tình nghĩ như vậy cho khỏe) là an toàn thông tin chỉ là một dạng khác của quản lý rủi ro. Và nhiều người khác (đa số là dân IT) thì lại không ý thức được mức độ tổng quát của an toàn thông tin, chỉ nghĩ rằng có tường lửa là có tất cả.

Theo như thống kê thì Việt Nam có 10 chuyên gia đạt chứng chỉ CISSP, chứng chỉ đầu ngành trong lĩnh vực an toàn thông tin, và Bộ Quốc Phòng Mỹ yêu cầu phải có với những người làm việc cho họ. Nên để tránh đụng phải một trong hai dạng người trên thì tốt nhất là doanh nghiệp chỉ chọn những ai có chứng chỉ đó trong các hợp đồng tư vấn. Đây cũng là một cách để giảm thiểu rủi ro smilie  


Cảm ơn lamer đã giải thích thêm làm mình ngứa miệng ngứa tay, nên giải thích thêm vài dòng để chia sẻ:
Threat: có 2 loại threat chính - internal và external. Khi bị hacker bên ngoài tấn công cái này là external, nhưng sai sót của nhân viên trong quá trình sử dụng, ví dụ mang USB từ ngoài vào có một đống virus, hay click vào các đường dẫn có chứa malware, những cái này là internal threat.

Đa số dân IT đều lo ở cái external mà bỏ qua internal threat, chính vì vậy họ nghĩ ISMS không quan trọng. Nhưng phần lớn khi các hệ thống bị tấn công là khi có cả yếu tố external và internal trong threat.
Còn về vulnerability thì ở đâu cũng có cả, nhưng vấn đề chính là có nhìn nhận đúng mức nó hay không. Mình không muốn đụng cham nhưng lấy ví dụ cụ thể như vụ PA vừa rồi, báo chí tung hô là tên miền Việt Nam cứu này cứu nọ mà không nhìn nhận bản chất vấn đề: điểm yếu của PA là sử dụng tên miền giá rẻ nên các dịch vụ hỗ trợ kém, đó là chưa đi sâu vào khía cạnh threat như đã nói ở trên.

Nói lung tung thêm vài dòng:
CISSP có ba phần: Architecture, Engineering và Management. Anh em IT thường chú ý đến phần Architecture, Engineering mà bỏ quên phần Management. Còn dân Management thì phải đi học thêm về Architecture và Engineering.
Trong ISMS khác với một số lãnh vực khác như ISO hay là CMMI, việc triển khai ISMS khó hơn là việc đánh giá hoạt động của ISMS nên đối với ngành này có thể xem CISSP là chứng chỉ đầu ngành. Việc đánh giá sẽ được thực hiện bởi CISA, các CISA này thường chỉ đánh giá hoạt động của ISMS.
Nếu bạn có cả CISSP và CISA lúc đó bạn có thể đăng ký được CISM, riêng với các cơ quan nhà nước Mỹ còn có CGEIT.

Bạn nào có hứng thú về an toàn thông tin, mời thử sức tại: http://www.freepracticetests.org/quiz/quiz.php
Sau khi thử sức xong ở đây, chắc nhiều bạn sẽ có cái nhìn khác về ISMS.


Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 24/09/2008 01:35:23 (+0700) | #13 | 152671
mybb
Elite Member

[Minus]    0    [Plus]
Joined: 24/03/2003 09:41:17
Messages: 62
Offline
[Profile] [PM]

louisnguyen27 wrote:

Nếu bạn có cả CISSP và CISA lúc đó bạn có thể đăng ký được CISM,
 


Nói như vậy sẽ gây hiểu lầm là CISM là chứng chỉ cấp cao hơn của CISSP và CISA. Sự thật là ba chứng chỉ này không phụ thuộc vào nhau.

CISA và CISM là hai chứng chỉ do tổ chức ISACA (một vài người ở HVA là thành viên của tổ chức này) chứng nhận. CISA nghiêng về kiểm định, đánh giá, trong khi CISM nghiêng về quản lý, định hướng. Hai chứng chỉ này không phụ thuộc vào nhau và ai thích thi chứng chỉ nào cũng được. Mỗi năm có hai lần thi vào cùng một ngày trên toàn thế giới, một vào tháng 06, một vào tháng 12. Trừ khi có thể phân thân, người thi chỉ được chọn thi một trong hai chứng chỉ mỗi lần vì cả hai chứng chỉ này thi vào cùng một lúc.

Còn về chính phủ Mỹ thì có thêm hàng loạt chứng chỉ khác nữa ví dụ như CISA, CISM, GSE, GSLC (thông tin thêm có thể xem ở đây http://www.dtic.mil/whs/directives/corres/pdf/857001m.pdf).
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 24/09/2008 05:23:37 (+0700) | #14 | 152705
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

mybb wrote:

Nói như vậy sẽ gây hiểu lầm là CISM là chứng chỉ cấp cao hơn của CISSP và CISA. Sự thật là ba chứng chỉ này không phụ thuộc vào nhau.

CISA và CISM là hai chứng chỉ do tổ chức ISACA (một vài người ở HVA là thành viên của tổ chức này) chứng nhận. CISA nghiêng về kiểm định, đánh giá, trong khi CISM nghiêng về quản lý, định hướng. Hai chứng chỉ này không phụ thuộc vào nhau và ai thích thi chứng chỉ nào cũng được. Mỗi năm có hai lần thi vào cùng một ngày trên toàn thế giới, một vào tháng 06, một vào tháng 12. Trừ khi có thể phân thân, người thi chỉ được chọn thi một trong hai chứng chỉ mỗi lần vì cả hai chứng chỉ này thi vào cùng một lúc.
 

Mình chỉ đồng ý với quan điểm là ba chứng chỉ này không phụ thuộc vào nhau.
Về khía cạnh kiến thức, CISM là sự kết hợp của CISA và CISSP.
CISA là chứng chỉ Auditor do ISACA chứng nhận
CISSP là chứng chỉ nghề nghiệp bảo mật do ISC2 chứng nhận.
Sau đó CISM là chứng chỉ quản lý do ISACA chứng nhận, nhưng nó nghiêng về CISSP hơn. Lý do tại sao như vậy?
Khi bạn xây dựng hệ thống (CISSP) bạn lấy gì kiểm tra là hệ thống của bạn hoạt động tốt? Dĩ nhiên là bạn cần auditor (CISA) để đi đánh giá. Sau khi đánh giá xong tìm ra lỗi thì bạn phải sửa.
Nhưng để quản lý nguyên cả quá trình xây dựng - đánh giá - khắc phục - đánh giá - ..... bạn phải cần một anh CISM có thể theo dõi và điều phối được toàn bộ quá trình.
Còn thành viên của ISACA thì không là cái gì lớn lao cả, chỉ cần bỏ tiền ra là được.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 24/09/2008 06:58:33 (+0700) | #15 | 152721
lamer
Elite Member

[Minus]    0    [Plus]
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
[Profile] [PM]
Có lẽ mình mới uống vài chai nên đầu hơi choáng choáng. Chứ đọc xong phần đầu khi louisnguyen27 nói là có cả hai cái CISSP và CISA thì có thể đăng ký CISM, và còn phần sau thì lại nói là đồng ý rằng ba cái này không phụ thuộc vào nhau thì mình chưa hiểu là có cần lấy chứng chỉ CISSP và CISA trước khi có thể lấy CISM không?

[lụm=google]
The difficulty can be best defined by the exam duration; CISM is 4 hours versus CISSP is 6 hours. CISM is based on 5 domains and CISSP is based on 10 domains.
[/lụm]

Theo như câu phát biểu đó của một người có cả ba chứng chỉ thì có lẽ CISSP cũng rộng hơn, bao trùm hơn, và khó đạt được hơn. Không biết là sự thật ra sao smilie.

Và hình như quá trình đó không phải là

louisnguyen27 wrote:

xây dựng - đánh giá - khắc phục - đánh giá.
 


Theo như mình được biết thì quá trình đó là PDCA (Plan - Do - Check - Act, lập kế hoạch, thực hiện, kiểm tra, khắc phục, và lập lại). Kiến thức về PDCA chắc không xa lạ gì với những người trong lĩnh vực kiểm soát chất lượng (cha đẻ là tiến sĩ Edwards Deming).

Chia sẻ thêm một tí về những chứng chỉ này được hông louisnguyen27?
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 24/09/2008 21:35:40 (+0700) | #16 | 152784
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
PDCA là một phần trong quản lý chất lượng, tiêu chuẩn ISO 9000. Vậy thì người làm security chắc cũng nên biết về bộ tiêu chuẩn này??
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 25/09/2008 02:02:58 (+0700) | #17 | 152844
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

lamer wrote:
Có lẽ mình mới uống vài chai nên đầu hơi choáng choáng. Chứ đọc xong phần đầu khi louisnguyen27 nói là có cả hai cái CISSP và CISA thì có thể đăng ký CISM, và còn phần sau thì lại nói là đồng ý rằng ba cái này không phụ thuộc vào nhau thì mình chưa hiểu là có cần lấy chứng chỉ CISSP và CISA trước khi có thể lấy CISM không?
.....
Theo như mình được biết thì quá trình đó là PDCA (Plan - Do - Check - Act, lập kế hoạch, thực hiện, kiểm tra, khắc phục, và lập lại). Kiến thức về PDCA chắc không xa lạ gì với những người trong lĩnh vực kiểm soát chất lượng (cha đẻ là tiến sĩ Edwards Deming).

Chia sẻ thêm một tí về những chứng chỉ này được hông louisnguyen27? 

Cái này nó lại hơi phức tạp đó lamer. Các tổ chức uy tín thế giới nó lại hoạt động trên nguyên tắc công nhận lẫn nhau. Ví dụ như ISO và IEC là hai tổ chức độc lập khác nhau về tiêu chuẩn, nhưng nó công nhận lẫn nhau, vì vậy ISO 27001 tên thực tế của nó là ISO/IEC 27001: 2005, hay cái ISO/IEC 17025.
Quay trở lại, CISSP CISA và CISM, do hai tổ chức này khác nhau nên certificate của nó là khác nhau. Nhưng vì nó công nhận lẫn nhau nên những credit đạt được của tổ chức này có thể được chấp nhận bởi tổ chức kia. Còn về phần test thì CISSP nội dung và hình thức khác hẳn với CISM. Không thể nào so sánh theo thời gian và số lượng domains được. CISSP thiên về kỹ thuật nhiều hơn về quản lý, trong khi đó CISA thiên về quản lý nhiều hơn về kỹ thuật còn CISM thì cả hai.
Cũng vì lý do CISSP thiên về kỹ thuật nhiều nên chắc hẳn có người nhận định rằng nó khó hơn những cái khác.

Về PDCA và ISO 9000 là hai cái khác nhau và chỉ gần đây nó mới được kết hợp ở phiên bản ISO 9001: 2000.
PDCA có cha đẻ là tiến sỹ Deming, một người Mỹ, xuất phát từ quan niệm rằng không có gì là tuyệt đối, ông đưa ra vòng tròn PDCA có nghĩa là cải tiến liên tục để càng ngày càng tốt hơn. Nhưng cái lý thuyết này không thành công ở Mỹ mà lại thành công ở Nhật. Chính vì vậy người Mỹ không hề ưa cái này. Họ đẻ ra các mô hình khác như FMEA (6sigmas) nhưng thực tế bản chất của nó cũng chỉ là PDCA.
ISO 9000 thực chất xuất phát từ quân đội mỹ, sau đó cơ quan FDA, rồi phát triển lên thành ISO 9000: 1994 và kết hợp với PDCA trở thành ISO 9000: 2000 (sắp có ISO 9000: 2008). ISO 9000 ở đây mình muốn đề cập tới bộ tiêu chuẩn nhé.

Vậy dân sercurity có nên biết bộ tiêu chuẩn này hay không?
Trước đây do ISO 9000: 1994 chưa kết hợp với PDCA và chú trọng đến sản xuất nhiều hơn nên làm nhiều người lầm tưởng ISO 9000: 2000 chỉ tập trung vào sản xuất, nhưng thực ra nó mang ý nghĩa của PDCA - "làm việc ngày càng tốt hơn".
Chính nhờ sự ra đời của ISO 9000: 2000 mà các tiêu chuẩn khác bắt đầu được hệ thống hóa, đặc biệt là giữa ISO và IEC có sự kết hợp và các tổ chức bắt đầu công nhận lẫn nhau trong các hoạt động của mình.
Mình muốn nói ở đây là vấn đề cải tiến liên tục, và với quan điểm rằng một hệ thống không thể không có lỗi, ISO 9000: 2000 hay PDCA cũng là một cách tiếp cận tốt cho anh em sercurity.
Không những vậy riêng cá nhân mình nghĩ nó còn tốt cho cá nhân của từng người.
Anh em post bài HVA làm gì? - PLAN
Anh em làm thế nào để post trên HVA? - DO
Tại sao lại có MOD hay MIN? - CHECK
Tại sao lại có người bị treo nick có người làm Elite? ACT
Cái quá trình lặp đi lặp lại như thế này mới làm cho diễn đàn sôi động phong phú và phát triển đúng theo định hướng.

Chia sẻ thêm với mọi người, trong quản lý an toàn thông tin có những lỗi đơn giản của con người mà nó còn thiệt hại nhiều hơn là hack một cái website.
Ở một công ty xe hơi nổi tiếng của Đức có một anh chàng thiết kế đi công tác ở Trung Quốc, ngày nọ, laptop của anh này bị đổ cà phê vào, thay vì gọi điện thoại hỏi ý kiến người khác, anh này tự ý mang laptop của mình ra một trung tâm dịch vụ để kiểm tra (có thể do sợ bị chửi) kết quả là một hãng xe hơi ở Trung Quốc đã giới thiệu được một mẫu xe mới trước khi hãng xe Đức 4 tháng.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 01/10/2008 23:09:21 (+0700) | #18 | 153538
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
Với mục đích chia sẻ với mọi người các tiêu chuẩn có liên quan đến vấn đề an toàn thông tin, mình sẽ cố gắng post lần lượt các tiêu chuẩn có liên quan:
ISO 27001: http://morphisme.free.fr/ISO27001.pdf
Các guidelines về văn hóa security: http://www.oecd.org/sti/cultureofsecurity
Không thể không đọc:
http://www.etsi.org/WebSite/document/Workshop/Security2007/Security2007S7_2_ts_10216501v040201p.pdf
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 21/10/2008 21:50:40 (+0700) | #19 | 156039
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Hệ thống quản lý chất lương (dich vụ IT) theo tiêu chuẩn ISO 27000 là một cơ sở rất quan trọng để đánh giá một cách khoa học, toan diện và đúng đắn hoạt đông của các công ty, tổ chức làm dich vụ IT.

Cũng như ISO 9000-9001 phiên bản 2000-2008 đang đóng một vai trò quan trọng và đựoc áp dụng trong khu vực sản xuất, kinh doanh, dich vụ nói chung để quản lý chất lương tại các nhà máy, công ty, tổ chức kinh tế... trên phạm vi toàn thế giới, thì ISO 27000-2005 đựoc áp dụng riêng trong lĩnh vưc dich vụ IT.

Tiêu chuẩn không đưa ra những giải pháp cụ thể về mặt kỹ thuât, nhưng đề câp đến các phương thức quản ly, kiểm tra, theo dõi, khắc phục, phòng ngừa... nhằm bảo đảm dich vụ bảo mật, an toàn, luôn ở trạng thái sẵn sàng phục vụ, đáp ứng nhanh chóng các yêu cầu trong kỹ thuật IT...


Tôi sẽ viết cụ thể hơn về bộ tiêu chuẩn này.

Nhân đây xin bạn louisnguyen27 cho thêm link download các tiêu chuẩn khác trong bộ tiêu chuẩn ISO27000, vì mới chỉ có link download ISO 27001:2005
Thank you in advance

- ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)

- ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an toàn thông tin

- ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin
một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

- ISO 27003:2007 đưa ra các hướng dẫn áp dụng

- ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng hệ thống quản lý
an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS

- ISO 27005 tiêu chuẩn về quản lý rủi ro an toàn thông tin

- ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ
của công nghệ thông tin và viễn thông  

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 21/10/2008 22:14:18 (+0700) | #20 | 156046
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

PXMMRF wrote:

Nhân đây xin bạn louisnguyen27 cho thêm link download các tiêu chuẩn khác trong bộ tiêu chuẩn ISO27000, vì mới chỉ có link download ISO 27001:2005
Thank you in advance
 

Đang chạy đôn chạy đáo để đi tìm đây, hard copy thì mình có còn soft copy thì không có bản nào hết. Hy vọng khoảng nửa tháng nữa có nguyên bộ. smilie smilie smilie
Thực ra ISO 27001 không phải chỉ đơn thuần là quản lý, mà những cái controls hay guidelines đi kèm cũng rất khó chịu về mặt kỹ thuật, chính vì vậy mình tham gia vào HVA để mở mang đầu óc.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 21/10/2008 22:43:32 (+0700) | #21 | 156049
lamer
Elite Member

[Minus]    0    [Plus]
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
[Profile] [PM]
Thứ nhất là không phải

ISO 27000-2005 đựoc áp dụng riêng trong lĩnh vưc dich vụ IT.
 


Sai ở hai chỗ, một là chưa có chuẩn ISO 27000, nếu có sẽ là vào năm 2009; hai nó không chỉ áp dụng riêng cho bất kỳ lĩnh vực nào.

Thứ hai là việc truyền bá tài liệu như thế này, tốt thì có tốt, nhưng rõ ràng là không hợp với đạo đức nghề nghiệp của người làm ATTT cũng như vi phạm luật pháp quá rõ ràng.

Mất đi integrity thì còn gì là an toàn thông tin? Đáng buồn hơn là khi những chuyên gia, những người hiểu rõ, biết rõ về vấn đề và có thể sẽ giúp tổ chức, cá nhân khác xây dựng hệ thống của họ, lại đi làm việc này.
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 22/10/2008 00:13:20 (+0700) | #22 | 156068
mybb
Elite Member

[Minus]    0    [Plus]
Joined: 24/03/2003 09:41:17
Messages: 62
Offline
[Profile] [PM]

lamer wrote:
Thứ nhất là không phải

ISO 27000-2005 đựoc áp dụng riêng trong lĩnh vưc dich vụ IT.
 


Sai ở hai chỗ, một là chưa có chuẩn ISO 27000, nếu có sẽ là vào năm 2009; hai nó không chỉ áp dụng riêng cho bất kỳ lĩnh vực nào.
 


Bởi vì rất nhiều người kể cả các "chuyên gia" làm trong nghề vẫn nghĩ rằng an toàn thông tin chỉ dành cho những gì nằm trong cái máy tính.
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 22/10/2008 01:29:19 (+0700) | #23 | 156070
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

lamer wrote:
Thứ nhất là không phải

ISO 27000-2005 đựoc áp dụng riêng trong lĩnh vưc dich vụ IT.
 


Sai ở hai chỗ, một là chưa có chuẩn ISO 27000, nếu có sẽ là vào năm 2009; hai nó không chỉ áp dụng riêng cho bất kỳ lĩnh vực nào.

Thứ hai là việc truyền bá tài liệu như thế này, tốt thì có tốt, nhưng rõ ràng là không hợp với đạo đức nghề nghiệp của người làm ATTT cũng như vi phạm luật pháp quá rõ ràng.

Mất đi integrity thì còn gì là an toàn thông tin? Đáng buồn hơn là khi những chuyên gia, những người hiểu rõ, biết rõ về vấn đề và có thể sẽ giúp tổ chức, cá nhân khác xây dựng hệ thống của họ, lại đi làm việc này. 


Theo tôi không nên quan niệm ISO 27000 là một tiêu chuẩn, theo cách hiểu "tiêu chuẩn" thông thường, như tiêu chuẩn của một hóa chất hay một thiết bị.

Nó đựoc hiểu là những yêu cầu quan trọng mà một tổ chức, công ty, đơn vị liên quan phải có, phải đạt đựoc nếu như muốn bảo đảm vận hành tốt công nghệ thông tin, kỹ thuật bảo mật và việc quản lý hệ thống bảo mật thông tin.
Một bộ tiêu chuẩn thừong có nhiều phần, liên quan đến nhau, nhưng chúng không nhất thiết phải ban hành cùng lúc và mỗi phần luôn đươc đổi mới, cải tiến. Nhưng những tiêu chuẩn đã đựoc ban hành thì là chính thức và có giá trị cho đến khi đựoc thay thế bởi một tiêu chuẩn mới.

Nói năm 2009 mới có chuẩn ISO 27000 là chưa đúng , chính xác nên nói là có thể một số phần mới trong trong bộ tiêu chuẩn ISO 27000 đã dự định biên soạn-xuất bản, sẽ đựoc chính thức ban hành vào 2009.
Tương tự như vậy ISO 9000 và 9001 có phiên bản 1994, phiên bản 2000 và mới đây nhất là phiên bản 2008.

(Tôi không thích gọi ISO 9000, 9001 cũng như ISO 27000 là các "tiêu chuẩn" vì không chính xác, gọi là "chuẩn' cũng chưa đúng, có lẽ gọi là "Các yêu cầu" theo ISO 9000, 9001, 27000 thì đúng hơn. Nhưng vì mọi người hay gọi là "tiêu chuẩn" nên tôi cũng gọi như vậy, cho dễ hiểu)

Đúng là ISO 27000 có thể áp dụng trong nhiều lĩnh vưc có liên quan đến công nghệ thông tin, kỹ thuật bảo mật và việc quản lý hệ thống bảo mật thông tin, nhưng rõ ràng là kỹ thuật công nghệ thông tin (IT) là đắc đia nhất và mục đich soạn thảo ISO 27000 nhằm phục vụ trứoc hết cho kỹ thuật công nghệ thông tin ở mọi loại hình doanh nghiệp, tổ chức.
Còn việc xin link download các tài liêu để nghiên cứu cá nhân, phổ biến trao đổi cùng anh em, không hề nhằm muc đích kinh doanh (tôi chưa bao giờ kinh doanh về IT cả) mà cho là có tội nặng, vi phạm bản quyền, thì tôi đành chịu nhân... tội... chứ nói sao bây giờ (hề hề).

Bởi vì rất nhiều người kể cả các "chuyên gia" làm trong nghề vẫn nghĩ rằng an toàn thông tin chỉ dành cho những gì nằm trong cái máy tính 

Chắc chắn rồi! Điều này tôi cũng đã nói nhiều lần trong HVA mà.
Vì vậy tôi mới viết là "Hệ thống quan lý chất lương theo ISO 9000 hay ISO 9001", hay Hệ thống quản lý chất lưong công nghệ thông tin, bảo mật thông tin theo ISO 27000. ( Hệ thống quản lý là bao gồm rất nhiều vấn đề trong đó có tổ chức, quản lý, chính sách, quy trình....)

Không nên nói một cái máy tính nào đó đạt ISO 27000 vì như thế phiến diện, sai lầm và ít hiểu biết. OK.
Điều này cũng đúng trong ISO 9000, ISO 9001. Không thể nói một sản phẩm (thí dụ một loại sữa, caphe hay máy, thiết bị) đạt ISO 9001 hay 9002. Đã là một "Đánh giá viên " và cả một "Phân tich viên" về ISO 9000, 9001, cũng như đã đi "bán cháo phổi " cho nhiều công ty lớn về ISO 9000, 9001, tôi hiểu rõ vấn đề chứ.

ISO 9000, 9001 và ISO 27000 có rất nhiều điểm giống nhau về cách đặt vấn đề, cách thức quản lý, theo dõi, xây dựng và kiệm tra thưc hiện các chính sách chất lương, (bảo mật), các kế hoach khắc phuc phòng ngừa, chỉ khác nhau về lĩnh vưc áp dụng và một số điều khoản đặc biệt. Các công ty IT có thể áp dụng ISO 9000, 9001 hoặc ISO 27000 hay cả hai.
Vì post trên không có thời gian viết kỹ. Nên nay tôi viết thêm.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 22/10/2008 02:08:52 (+0700) | #24 | 156072
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

PXMMRF wrote:

Đúng là ISO 27000 có thể áp dụng trong nhiều lĩnh vưc có liên quan đến công nghệ thông tin, kỹ thuật bảo mật và việc quản lý hệ thống bảo mật thông tin, nhưng rõ ràng là kỹ thuật công nghệ thông tin (IT) là đắc đia nhất và mục đich soạn thảo ISO 27000 nhằm phục vụ trứoc hết cho kỹ thuật công nghệ thông tin ở mọi loại hình doanh nghiệp, tổ chức.
Còn việc xin link download các tài liêu để nghiên cứu cá nhân, phổ biến trao đổi cùng anh em, không hề nhằm muc đích kinh doanh (tôi chưa bao giờ kinh doanh về IT cả) mà cho là có tôi nặng, vi phạm bản quyền, thì tôi đành chịu nhân... tôi... chứ nói sao bây giờ (hề hề).
 

@bác Lamer khó tính quá rồi.
Nhìn sâu xa hơn một chút, đúng là ISO27001 có thể triển khai ở các lãnh vực non-IT nhưng lý do tại sao người ta lại không áp dụng? Khi áp dụng các tiêu chuẩn quản lý, người ta quan tâm đến hai vấn đề hiệu lực và hiệu quả của hệ thống. Đa phần các công ty non-IT không làm ISMS cũng vì vấn đề này.
ISO 27001 khá quan trọng trong việc đánh giá nhà cung cấp dịch vụ IT hay outsourcing. Nếu bạn nào làm trong lĩnh vực này sẽ chắc chắn sẽ rõ khi bị các công ty khách hàng đánh giá.
Còn chuyện bản quyền, mình là một tutor về ISO 27000 và do đó có quyền sử dụng vào mục đích giáo dục và không sinh lợi ở tại diễn đàn HVA vốn là phi lợi nhuận này.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 22/10/2008 02:34:18 (+0700) | #25 | 156075
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

À, tôi xác nhận là muốn có ISO 27000 (một phần hay trọn bộ) là phải mua của tổ chức ISO. Giá không rẻ chút nào. Và ISO cũng không phân biệt là dùng cho mục đích cá nhân, giáo dục hay thương mại gì hết. Tất cả phải mua, bản in hay mua trên mạng.

Viết như vậy là cũng xác đinh thêm là tôi và bạn louisnguyen27 là có tội, hay chuẩn bị có tội rồi đấy. Thôi tốt nhất bạn louisnguyen27 không nên đưa thêm link vô đây nữa. Hề hề. Lúc nào bạn cho mượn bản in xem vậy. Ngừoi cho mươn xem và người xem chắc chắn là không có tội?
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 22/10/2008 04:55:34 (+0700) | #26 | 156087
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Nhân chuyện bàn về ISO 27000, tôi nhớ lại vào đầu tháng 8-2007, Vnhacker có tổ chức một cuôc hôi thảo bảo mật mang tên là "VNSECON07". Tôi đã dự hôi thảo này và đánh giá rất cao một số báo cáo, trong đó có báo cáo của TS Trần ngọc Minh về ISO 17799. Tôi chăm chú nghe và ghi chép báo cáo này.

/hvaonline/posts/list/12981.html

ISO 17799 (:2005) chính là ISO 27002, sau này đựoc hiệu chỉnh và đổi tên là ISO 27002:2007, nó liên hệ chặt chẽ với ISO 27001:2005 và là thành phần của "bộ tài liệu ISO 27000" (như người ta thương gọi)

Đây là bài viết của tôi ở link trên. Copy nguyên văn

Vì bận công việc ở công ty nên tôi không dư hết đựoc các buổi. Tiếc là không nghe đựoc bài của mrro.

Tôi rất có ấn tượng với các bài của " Tấn công vào bộ giao thức mạng IPv6" ( của một tác giả người Đức) và "Đánh giá mức độ an toàn một mạng tin học, lý luận và thực tiễn" của TS Trần ngọc Minh , Trửong phòng AT mạng thông tin , ĐH khoa học TN, TPHCM. ( hình như không phải Trịnh ngọc Minh )

Đúng như TS Trần ngọc Minh đã đề nghi, việc đánh giá mức độ an toàn mạng IT của môt công ty hay tổ chức , thành phố, quốc gia... phải dựa, căn cứ trên một chuẩn là ISO 17799. Việc check phát hiên các lỗi bảo mật trên môt webserver hay website chỉ là một phần trong viêc đánh giá toàn diện mức độ an toàn.

Bài " Tấn công BIOS" của một tác giả TQ, thì nội dung trình bầy không đúng như tiêu đề. Vì tác giả chỉ nói những kiến thức cơ bản của BIOS system và cũng chỉ đề cập trên BIOS của máy Dell 620 Laptop của chính tác giả. Tác giả chỉ nói thoáng ( không quá 1 phút )về CIH virus tấn công vào BIOS, nhưng CIH ( Chernobyn) thì đã bị phát hiện từ những năm 1999-2000 rồi.
À, xin bổ sung điều này. Trong lĩnh vưc phần cứng, "hacking" có nghĩa là tấn công, thí dụ tấn công vào một remote ADSL modem, nhưng thừong có nghĩa là "khám phá", "khai thác sâu" một hardware device. Có lẽ tác giả TQ có ý trình bầy nôi dung " khám phá" BIOS system.

Le coeur qui a raisons que la raison ne connait pas  
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 24/10/2008 04:03:42 (+0700) | #27 | 156341
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
Có một bạn trên HVA hỏi mình về lợi ích của ISMS, mình có hứa sẽ post một bài về vấn đề này nhưng không biết bắt đầu như thế nào nên mình sẽ bắt đầu đặt ra câu hỏi và tự trả lời luôn vậy:

1. Tại sao lại phải bảo vệ thông tin?

Thông tin là một loại tài sản vô hình và nó chi phối các loại tài sản vô hình khác hay nói đúng hơn là thông tin là nơi chứa đựng của tất cả các loại tài sản vô hình.
Tài sản của DN nhìn chung có thể chia làm hai loại: tài sản hữu hình và tài sản vô hình. Tài sản hữu hình bao gồm: nhà xưởng, máy móc, tài chính và cơ sở hạ tầng. Tài sản vô hình bao gồm danh tiếng, tinh thần và văn hóa ứng xử của đội ngũ nhân lực, bí quyết kinh doanh và bí quyết kỹ thuật, sáng chế, giải pháp kỹ thuật, kiểu dáng công nghệ, nhãn hiệu hàng hóa và các thành quả vô hình khác. Trải qua nhiều thế kỷ, tài sản hữu hình vốn được coi là thước đo giá trị và tính cạnh tranh của DN trên thị trường. Tuy nhiên, cách hiểu này đã thay đổi đáng kể trong vài thập kỷ gần đây. Tài sản vô hình đang trở thành yếu tố quyết định giá trị của DN.
An toàn thông tin là sự sống còn của tất cả các doanh nghiệp.

Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 28/10/2008 04:29:17 (+0700) | #28 | 156862
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
2. Làm thế nào để bảo vệ thông tin?

Vì thông tin là một loại tài sản vô hình nên việc bảo vệ thông tin gắn liền với việc bảo vệ các tài sản có liên quan đến nó hay nói một cách khác là bảo vệ tài sản "chứa đựng" thông tin đó.
Ba loại tài sản có liên quan tới thông tin: phần cứng (hardware), phần mềm (software) và con người (human).
Việc bảo vệ ba loại tài sản này được tiếp cận trong ISO 27001 theo cách tiếp cận đánh giá rủi ro, tức là xác định các rủi ro xảy ra đối với ba loại tài sản này.
Trên thực tế, có nhiều cách tiếp cận khác nhau, đặc trưng cho từng ngành nghề, doanh nghiệp; nhưng điểm chung nhất của các cách tiếp cận này đều là giảm thiểu rủi ro cho các loại tài sản nói trên.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 07/05/2009 05:58:28 (+0700) | #29 | 179753
ducta
Member

[Minus]    0    [Plus]
Joined: 27/10/2008 14:08:21
Messages: 4
Offline
[Profile] [PM]

Có khóa học liên quan tới Iso 27000 ne.

http://vnu-itp.edu.vn/images/stories/hinhnam2009/cnsa_v1.3.pdf
[Up] [Print Copy]
  [Question]   Re: ISO 27000 - Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin 07/05/2009 08:03:42 (+0700) | #30 | 179768
lamer
Elite Member

[Minus]    0    [Plus]
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
[Profile] [PM]
"Liên quan" thì đúng là có liên quan đấy. Chỉ là "gần" hay "xa" thôi.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|