Xây dựng chính sách An toàn thông tin theo chuẩn ISO 27001

  24/06/2016

MỤC TIÊU KHÓA HỌC

 • Giúp cho những nhà quản trị thông tin, các cấp lãnh đạo hệ thống thông tin của một tổ chức có cái nhìn tổng quan về An toàn thông tin (ATTT) trong bức tranh chung của vận hành một tổ chức.
 • Nhận thức được những “nguy cơ” tiềm ẩn trong hệ thống thông tin cùng phương pháp luận trong công tác làm giảm thiểu nguy cơ, đảm bảo khả năng hoạt động của tổ chức một cách hiệu quả nhất.
 • Kiến thức nền tảng về các phương thức tốt nhất và phổ biến nhất (best practice) đảm bảo ATTT; về xây dựng hệ thống đảm bảo ATTT (ISMS) phù hợp với tổ chức.
 • Khóa học cung cấp cho các cấp quản lý một cái nhìn tổng quát & tòan diện về các nội dung & lĩnh vực trong ISO 27001.
 • Một số kinh nghiệm, kỹ năng giúp cho các nhà quản lý xây dựng và triển khai các chính sách về ATTT phù hợp với từng đặc thù của từng đơn vị và tiến tới lấy các chứng chỉ ISO về ATTT

Sau khóa học, học viên có thể:

 • Chủ trì, thiết kế hệ thống đảm bảo ATTT (ISMS) theo chuẩn ISO 27001;
 • Có kỹ năng đánh giá rủi ro; xây dựng và áp dụng các biện pháp giảm thiểu rủi ro;
 • Khả năng xây dựng các chính sách phi kỹ thuật hợp chuẩn ISO 27xxx cho tổ chức, doanh nghiệp đảm bảo ATTT;

ĐỐI TƯỢNG THAM GIA

Chương trình dành cho:

 • Các nhà quản trị & các cấp lãnh đạo hệ thống thông tin;
 • Giám đốc Công nghệ thông tin (CIO);
 • Giám đốc bảo mật (CSO);
 • Cán bộ phụ trách triển khai chính sách ATTT và lấy chứng chỉ ISO của tổ chức;
 • Các nhà tư vấn, thiết kế về hệ thống an toàn thông tin;

THỜI LƯỢNG: 24 giờ

NỘI DUNG KHÓA HỌC

Phần 1: Giới thiệu tổng quan về ISMS

 • Bảo mật thông tin là gì, 03 yêu cầu cốt lõi trong bảo mật thông tin.
 • Tại sao hiện nay cần thực hiện ISMS.
 • Giới thiệu hệ thống quản lý bảo mật thông tin & lịch sử hình thành ISO 27001.
 • Bạn cần bảo vệ cái gì ở một công ty.
 • Các khái niệm phân loại tài sản ISMS, lỗ hổng, đe dọa và rủi ro về bảo mật thông tin.

Bài tập nhóm: Nhận biết các lỗ hổng, đe dọa và rủi ro bảo mật thông tin tiềm ẩn ở hoạt động phòng ban trong đơn vị của bạn
Phần 2: Giới thiệu đánh giá rủi ro trong bảo mật thông tin

 • Phân tích và nhận diện các rủi ro.
 • Đánh giá lượng hóa giá trị tài sản & mức độ rủi ro
 • Giảm thiểu rủi ro, quản lý mức rủi ro chấp nhận được của một đơn vị

Bài tập nhóm: Đánh giá rủi ro bảo mật thông tin tiềm ẩn ở hoạt động phòng ban trong đơn vị của bạn
Phần 3: Thiết lập biện pháp kiểm soát rủi ro

 • Các biện pháp giảm thiểu rủi ro cơ bản và nâng cao theo ISO/IEC 17799 và Phụ lục A – ISO 27001 theo 03 nguyên tắc:

o Loại bỏ
o Thay thế
o Các biện pháp kiểm soát kỹ thuật

Bài tập nhóm: Thiết lập biện pháp kiểm soát các rủi ro cụ thể theo công đoạn
Phần 4: Thiết lập ISMS và nhận chứng chỉ ISO 27001

 • Giới thiệu tổng quan các yêu cầu tiêu chuẩn ISO 27001
 • Lộ trình chứng nhận ISMS
 • Các bài học kinh nghiệm thiết lập và chứng nhận ISMS

Phần 5: Tổng hợp kiến thức và xây dựng kỹ năng thiết kế các thành phần cơ bản của hệ thống ISO 27001 (Dạng Workshop)

 • Kỹ năng phân loại và đánh giá giá trị tài sản thông tin,
 • Phương pháp đánh giá rủi ro cùng ví dụ thực tiễn,
 • Kỹ năng và ví dụ xây dựng chính sách ATTT theo chuẩn ISO 27001
 • Kỹ năng xây dựng biểu ghi, giám sát thực thi chính sách ATTT 

Bình luận