Nghiên cứu hệ thống quản lý an toàn thông tin
theo tiêu chuẩn ISO 27001

Nguyễn Văn Anh

Trường Đại học Công nghệ
Luận văn ThS. Chuyên ngành: Công nghệ thông tin; Mã số: 60 48 05
Người hướng dẫn: PGS.TS. Trịnh Nhật Tiến
Năm bảo vệ: 2010

Abstract: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm, các nguy cơ, rủi ro
của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một hệ thống quản lý ATTT đáp ứng
tiêu chuẩn quốc tế.Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của tiêu chuẩn ISO
27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông tin trên phương tiện thuộc tài
sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó.
Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”, như một phương thức tiếp cận để
thực hiện việc đánh giá và xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk
Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin
của chuẩn ISO 27001.
Keywords: An toàn thông tin; Quản lý thông tin; Công nghệ thông tin
Content:
LỜI NÓI ĐẦU
Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày càng nhiều các
tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạng máy
tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ
liệu gặp các sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có
thể bị tê liệt hoàn toàn.

Nền kinh tế Việt Nam đang trong thời kỳ hội nhập và phát triển với sự trợ giúp đắc lực
của công nghệ thông tin, nhưng bên cạnh đó Việt Nam cũng đã và đang phải đối mặt với những
khó khăn và thách thức lớn do các nguy cơ gây mất an toàn thông tin gây ra đặc biệt liên quan

Việc áp dụng các tiêu chuẩn về ATTT theo tiêu chuẩn ISO 27001 làm tăng nhận thức cho
đội ngũ cán bộ nhân viên về ATTT. Xây dựng một môi trường an toàn, có khả năng miễn dịch
trước các rủi ro, giảm thiểu các nguy cơ do con người gây ra. Tiêu chuẩn ISO 27001 đề ra những
nguyên tắc chung trong quá trình thiết kế - xây dựng hệ thống thông tin một cách khoa học, giúp
cho việc quản lý hệ thống trở nên sáng sủa, an toàn, minh bạch hơn. Xây dựng một “bức tường
người an toàn” (Secure People Wall) trong tổ chức. Một môi trường thông tin an toàn, trong sạch
sẽ có tác động không nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT vốn dĩ rất tốn
kém. Về lâu dài, việc nhận được chứng chỉ ISO 27001 là một lời khẳng định thuyết phục với các
đối tác, các khách hàng về một môi trường thông tin an toàn và trong sạch. Tạo điều kiện thuận
lợi cho sự hội nhập một môi trường thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế
cạnh tranh của tổ chức.

Trên cơ sở kết quả phân tích, đánh giá rủi ro của hệ thống thông tin và dựa trên hướng
dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu về tiêu chuẩn ISO 27001 để giúp các
doanh nghiệp, tổ chức xây dựng các chính sách, biện pháp xử lý phù hợp để phòng tránh và giảm
thiểu các tác động khi rủi ro an ninh thông tin xảy ra.
Luận văn này đuợc trình bày theo ba chương:
Chương 1: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm, các nguy cơ,
rủi ro của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một hệ thống quản lý ATTT
đáp ứng tiêu chuẩn quốc tế.
Chương 2: Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của tiêu chuẩn ISO
27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông tin trên phương tiện thuộc tài
sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó.
Chương 3: Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”, như một phương thức
tiếp cận để thực hiện việc đánh giá và xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and
Risk Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn
thông tin của chuẩn ISO 27001
TÀI LIỆU THAM KHẢO
Tiêu chuẩn kỹ thuật
[1] ISO/IEC 1799:2000, Information technology – Code of Practice.