Quản trị doanh nghiệp trên nền tảng ISO điện tử phù hợp tiêu chuẩn quản lý sự cố an toàn thông tin theo ISO/IEC 27035 ( idas-ISO/IEC 27035)

Ngày đăng: 27/08/2024 12:00 AM

TỔNG QUAN HỆ THỐNG ISO ĐIỆN TỬ - IDAS

Hệ thống ISO điện tử - idas là một nền tảng số hóa giúp doanh nghiệp quản lý, giám sát và triển khai các quy trình tuân thủ ISO/IEC 27035 một cách tự động, hiệu quả và chính xác. Hệ thống hỗ trợ từ giai đoạn lập kế hoạch, phát hiện sự cố, ứng phó đến rút kinh nghiệm và cải tiến.

ISO 27035 Foundation | RQM Cert

CHỨC NĂNG CHÍNH CỦA HỆ THỐNG ISO ĐIỆN TỬ IDAS THEO ISO/IEC 27035

Hệ thống được xây dựng theo quy trình quản lý sự cố gồm 5 giai đoạn chính:

1. Quy trình Lập kế hoạch và chuẩn bị

Thiết lập chính sách quản lý sự cố: Hệ thống hỗ trợ định nghĩa chính sách quản lý sự cố theo ISO/IEC 27035-1.
Quản lý đội ngũ ứng phó sự cố (CSIRT - Computer Security Incident Response Team): Hỗ trợ phân quyền, gán nhiệm vụ cho từng thành viên trong nhóm ứng phó sự cố.
Tích hợp công cụ giám sát và cảnh báo: Liên kết với các hệ thống SIEM, IDS/IPS để phát hiện và thu thập dữ liệu sự cố.

2. Quy trình Phát hiện và báo cáo sự cố

Tự động phát hiện sự cố: Hệ thống có khả năng thu thập dữ liệu từ các nguồn khác nhau như firewall, hệ thống mạng, ứng dụng bảo mật.
Gửi cảnh báo tức thời: Khi phát hiện sự cố, hệ thống tự động gửi cảnh báo qua email, SMS hoặc dashboard.
Ghi nhận sự kiện và tạo báo cáo: Ghi lại đầy đủ các thông tin về sự cố, bao gồm thời gian xảy ra, mức độ nghiêm trọng, nguồn gốc, hệ thống bị ảnh hưởng.

3. Quy trình Đánh giá và quyết định

Phân loại và đánh giá mức độ nghiêm trọng của sự cố: Hệ thống tự động đánh giá sự cố dựa trên các tiêu chí của ISO/IEC 27035-2.
Đề xuất phương án xử lý: Cung cấp hướng dẫn ứng phó dựa trên cơ sở dữ liệu sự cố đã xảy ra trước đó.
Xác nhận và phê duyệt quyết định xử lý: Quy trình phê duyệt qua các cấp quản lý, đảm bảo tuân thủ chính sách tổ chức.

4. Quy trình Ứng phó sự cố

Tích hợp playbook ứng phó sự cố: Hệ thống hỗ trợ các quy trình tự động hóa ứng phó sự cố như cô lập hệ thống bị xâm nhập, khởi động lại dịch vụ quan trọng.
Theo dõi quá trình xử lý sự cố: Ghi nhận mọi hành động từ đội ngũ kỹ thuật để kiểm soát chặt chẽ.
Lưu trữ và trích xuất bằng chứng số: Hệ thống hỗ trợ lưu trữ nhật ký (log) để phục vụ điều tra forensics.

5. Quy trình Rút kinh nghiệm và cải tiến

Đánh giá hiệu quả xử lý sự cố: Hệ thống tự động tạo báo cáo đánh giá hậu sự cố, xác định nguyên nhân gốc rễ.
Lưu trữ bài học kinh nghiệm: Tích hợp cơ sở dữ liệu bài học từ các sự cố trước đó để giúp cải thiện phản ứng trong tương lai.
Đề xuất cải tiến quy trình: Phân tích xu hướng sự cố và đề xuất các điều chỉnh cần thiết trong hệ thống bảo mật.

LỢI ÍCH KHI TRIỂN KHAI HỆ THỐNG ISO ĐIỆN TỬ CHO ISO/IEC 27035

Tăng cường khả năng phát hiện và phản ứng nhanh với sự cố
Tự động hóa quy trình ứng phó, giảm thiểu rủi ro và tổn thất
Cải thiện khả năng tuân thủ các tiêu chuẩn an toàn thông tin
Cung cấp báo cáo chi tiết giúp nâng cao khả năng đánh giá và cải tiến
Tích hợp dễ dàng với các hệ thống giám sát và bảo mật khác

Hệ thống ISO điện tử giúp doanh nghiệp triển khai ISO/IEC 27035 một cách hiệu quả, đảm bảo tính liên tục của hoạt động kinh doanh và bảo vệ tài sản thông tin quan trọng.

Link tải app ISO điện tử - IDAS:

IOS: https://apps.apple.com/us/app/iso-digital/id6737464291?zarsrc=1303&utm_source=zalo&utm_medium=zalo&utm_campaign=zalo

Android: https://play.google.com/store/apps/details?id=com.idas.isodigital&hl=vi&zarsrc=1303&utm_source=zalo&utm_medium=zalo&utm_campaign=zalo

CẤU TRÚC TIÊU CHUẨN ISO 27035

Tiêu chuẩn ISO/IEC 27035 trên hệ thống ISO điện tử của idas về quản lý sự cố an toàn thông tin được chia thành nhiều phần, mỗi phần tập trung vào các khía cạnh cụ thể của quy trình quản lý sự cố. Dưới đây là chi tiết về các phần chính:

ISO/IEC 27035-1:2023 – Nguyên tắc và quy trình

Phần này đặt nền tảng cho việc quản lý sự cố an toàn thông tin bằng cách giới thiệu các khái niệm cơ bản, nguyên tắc và quy trình tổng thể. Nó mô tả một quy trình quản lý sự cố gồm 5 giai đoạn:

Lập kế hoạch và chuẩn bị: Thiết lập chính sách quản lý sự cố, thành lập đội ngũ ứng phó và xác định các nguồn lực cần thiết.
Phát hiện và báo cáo: Xác định và báo cáo kịp thời các sự kiện có thể ảnh hưởng đến an toàn thông tin.
Đánh giá và quyết định: Đánh giá mức độ nghiêm trọng của sự cố và quyết định hành động phù hợp.
Ứng phó: Thực hiện các biện pháp ngăn chặn, loại bỏ và khôi phục sau sự cố.
Rút ra bài học: Phân tích sự cố để cải thiện quy trình và ngăn ngừa tái diễn.

ISO/IEC 27035-2:2023 – Hướng dẫn lập kế hoạch và chuẩn bị ứng phó sự cố

Phần này cung cấp hướng dẫn chi tiết về việc lập kế hoạch và chuẩn bị cho việc ứng phó sự cố, bao gồm:

Chính sách quản lý sự cố: Xây dựng và duy trì chính sách phản ánh cam kết của tổ chức đối với việc quản lý sự cố.
Kế hoạch quản lý sự cố: Phát triển kế hoạch chi tiết xác định vai trò, trách nhiệm và quy trình khi xảy ra sự cố.
Thiết lập năng lực quản lý sự cố: Đảm bảo đội ngũ được đào tạo và có kỹ năng cần thiết để ứng phó hiệu quả.
Đào tạo và nâng cao nhận thức: Tổ chức các chương trình đào tạo và nâng cao nhận thức về an toàn thông tin cho nhân viên.
Thử nghiệm và đánh giá: Thực hiện các bài kiểm tra và đánh giá định kỳ để đảm bảo hiệu quả của kế hoạch và khả năng ứng phó.

ISO/IEC 27035-3:2020 – Hướng dẫn cho các hoạt động ứng phó sự cố CNTT-TT

Phần này tập trung vào các hoạt động vận hành trong việc ứng phó sự cố an toàn thông tin, đặc biệt trong lĩnh vực công nghệ thông tin và truyền thông. Nội dung bao gồm:

Phát hiện sự cố: Sử dụng các công cụ và kỹ thuật để nhận diện sớm các dấu hiệu của sự cố.
Thông báo và báo cáo: Thiết lập quy trình thông báo nội bộ và báo cáo cho các bên liên quan.
Phân loại và phân tích: Xác định loại hình, nguồn gốc và tác động của sự cố để đưa ra biện pháp xử lý phù hợp.
Ứng phó và khôi phục: Thực hiện các hành động cần thiết để ngăn chặn sự cố lan rộng và khôi phục hoạt động bình thường.
Kết thúc và đánh giá: Đánh giá hiệu quả của quá trình ứng phó và đề xuất cải tiến cho tương lai.

ISO/IEC 27035-4:2024 – Phối hợp quản lý sự cố

Phần này, dự kiến ban hành vào năm 2024, sẽ cung cấp hướng dẫn về việc phối hợp giữa các tổ chức trong việc quản lý sự cố an toàn thông tin, đặc biệt khi sự cố ảnh hưởng đến nhiều bên liên quan. Nội dung dự kiến bao gồm:

Thiết lập kênh liên lạc: Xây dựng các kênh liên lạc hiệu quả giữa các tổ chức để chia sẻ thông tin kịp thời.
Phối hợp ứng phó: Đồng bộ hóa các hành động ứng phó giữa các bên để đảm bảo hiệu quả và tránh xung đột.
Chia sẻ thông tin và bài học kinh nghiệm: Tạo cơ chế chia sẻ thông tin về sự cố và các bài học rút ra để nâng cao khả năng ứng phó chung.

Việc tuân thủ và triển khai các hướng dẫn trong bộ tiêu chuẩn ISO/IEC 27035 sẽ giúp tổ chức nâng cao khả năng phát hiện, ứng phó và ngăn ngừa các sự cố an toàn thông tin, bảo vệ tài sản thông tin và duy trì hoạt động kinh doanh liên tục.

ISO 27035 Lead Incident Manager Training - iCertWorks

IDAS – HỆ THỐNG ISO ĐIỆN TỬ TIÊN PHONG TẠI VIỆT NAM

Tự động hóa quy trình – Tuân thủ dễ dàng mà không cần nắm bắt luồng

IDAS giúp doanh nghiệp chuẩn hóa quy trình và tối ưu hiệu suất hoạt động với quy trình động, cho phép người dùng thực hiện công việc mà không cần ghi nhớ từng bước.

1. Quy trình động – Linh hoạt và dễ dàng sử dụng

Hướng dẫn tự động: Người dùng chỉ cần thao tác theo chỉ dẫn trên App.
Thích ứng nhanh: Hệ thống cập nhật ngay khi quy trình thay đổi.
Đa nền tảng: Hỗ trợ Web App & Mobile App.

2. Tự động hóa tư vấn theo tiêu chuẩn quản lý

Tư vấn thông minh: Hướng dẫn từng bước theo tiêu chuẩn ISO.
Đánh giá & cải tiến tự động: Giúp doanh nghiệp đạt chuẩn dễ dàng.
Đào tạo nhân sự hiệu quả: Giảm phụ thuộc vào chuyên gia tư vấn.

3. Lợi ích khi triển khai hệ thống IDAS

Tiết kiệm 60% thời gian triển khai so với tài liệu giấy.
Giảm chi phí tư vấn nhờ hệ thống tự động hướng dẫn.
Đào tạo nhanh hơn 80%, trực quan và dễ sử dụng.
Tích hợp dễ dàng với hệ thống hiện có.
Kết nối IoT, kiểm soát dữ liệu thời gian thực.
Gắn kết chặt chẽ với hoạt động thực tế, không còn triển khai chỉ để "đối phó".

4. Tích hợp linh hoạt với hệ thống CNTT khác

Hỗ trợ đa tiêu chuẩn ISO (9001, 14001, 27001, 45001; ISO 50.001,...).
Kết nối API, đồng bộ dữ liệu, tránh trùng lặp.
Tự động cập nhật tiêu chuẩn mới nhất.

5. Công nghệ tiên tiến – Bảo mật & ổn định

Điện toán đám mây, truy cập nhanh chóng.
Mã hóa bảo mật cao, bảo vệ dữ liệu doanh nghiệp.
Tích hợp linh hoạt với hệ thống hiện có.

KẾT LUẬN

Với khả năng tự động hóa tư vấn ISO, quy trình động, báo cáo chính xác, tích hợp linh hoạt và tiết kiệm chi phí, IDAS xứng đáng là hệ thống ISO điện tử số 1 tại Việt Nam.

Một số Modules của hệ thống ISO điện tử phù hợp theo ISO/IEC 27035 idas bao gồm

Tự hào cung cấp dịch vụ cho hàng ngàn doanh nghiệp

286+

Doanh nghiệp 100% vốn nước ngoài

36+

Tổng công ty và tập đoàn

2300+

Doanh nghiệp vừa và nhỏ

Ý Kiến khách hàng

Khách hàng nói về Chúng tôi

Rubi là một Công ty gia công phân fmềm có trụ sở chính tại Nhật bản và tại Việt nam có trụ sở tại Đà nẵng và Hà nội... sau một thời gian lựa chọn đơn vị cung cấp dịch vụ tư vấn chất lượng và ATTT theo ISO 9001:2015 và ISO/IEC 27001:2013 chúng tôi quyết định lựa chọn idas vì là một đơn vị có rất nhiều kinh nghiệm triển khai thực hiện hoạt động tư vấn này ... Sau khi triển khai chúng tôi đánh giá sự lựa chọn của chúng tôi là đúng đắn và idas đã giúp chúng tôi nhìn nhận ISO một cách có hệ thống... Xin cám ơn idas

Ông Yamazaki - Trưởng phòng phát triển Ông Yamazaki - Trưởng phòng phát triển - Công ty RUBY Việt nam

Cám ơn idas đã triển khai đào tạo và tư vấn thành công dự án tư vấn ATTT theo ISO/IEC 27001:2013, các chuyên gia của idas triển khai có trách nhiệm và nhiệt tình ... Chúc idas thành công

Ông Khương Thế Anh - Giám đốc HPCSONLA Giám đốc - Công ty Thủy điện Sơn La ( EVNHPCSONLA)

Trong quá trinh ftriển khai chuyển đổi số của Tổng Công ty điện lực Thành phố Hồ Chí Minh (EVNHCMC) và 24 đơn vị trực thuộc chúng tôi đã nhận được sự tư vấn và đánh giá nhiệt tình và thẳng thắn của Công ty idas và kết quả EVNHCMC đã triển khai thành công và đạt được là doanh nghiệp số đầu tiên của cả nước Qua đây chúng tôi xin trân thành cám ơn sự quan tâm hợp tác của idas và xin chúc idas liên tục và phát triển ....

Ông Luân Quốc Hưng - PTGD EVNHCMC Phó tổng giám đốc - Tổng Công ty điện lực TP.HCM

“ Qua quá trình tìm hiểu và nghiên cứu về việc triển khai áp dụng các tiêu chuẩn ISO tại doanh nghiệp, Ominext đã tin tưởng và lựa chọn iDAS là đơn vị tư vấn và đào tạo. Với đội ngũ chuyên gia có bề dày kinh nghiệm trong lĩnh vực tư vấn và đào tạo, đặc biệt là trong lĩnh vực CNTT, iDAS đã giúp Ominext xác định được các vấn đề còn tồn tại trong doanh nghiệp. Cùng với sự nhiệt huyết, tận tình và chuyên nghiệp của các chuyên gia iDAS, chỉ trong thời gian ngắn Ominext đã xây dựng được hệ thống các tiêu chuẩn đánh giá và đưa vào áp dụng, nâng cao hiệu quả sản xuất kinh doanh cũng như công tác quản lý tại doanh nghiệp. ”

Bà. Đào Minh Phượng Phó trưởng ban Chất lượng & ISMS - Công Ty Cổ Phần Ominext

“ Trong quá trình xây dựng hệ thống ISO, bên tư vấn iDAS rất chuyên nghiệp và nhiệt tình hỗ trợ cho chúng tôi, nhất là các chuyên gia của iDAS có năng lực cao, giúp cho chúng tôi cải tiến được hiệu quả nội bộ, xác định được rủi ro để vận hành đúng theo tiêu chuẩn ISO/IEC 27001:2013... ”

Ông. Tô Hải Sơn Chủ tịch hội đồng quản trị - Công ty NTQ Solution

Qua tìm hiểu được biết đến Công ty idas qua quá trình làm việc chúng tôi cảm nhận được niềm tin từ ban lãnh đạo đến các chuyên gia chính vì vậy chúng tôi quyết định đề xuất lựa chọn dịch vụ tư vấn xây dựng hệ thống ATTT theo ISO/IEC 27001 .. trong quá trình triển khai tại các địa điểm Hà nội và Hồ Chí Minh, idas rất nhiệt tình và giúp chúng tôi có cách nhìn hệ thống ATTT một cách có hệ thống và triển khai dự án đúng tiến độ ... Chúng tôi trân thành cám ơn idas nhiều

Ông. Lê Quang Hưng - Ban CNTT Ban CNTT - Công ty DAIKIN Air Conditioning Việt nam

“ Là một công ty chuyên cung cấp phần mềm với 100% vốn đầu tư từ Nhật bản sau khi sử dụng dịch vụ iDAS về ANTT(ISMS) phù hợp tiêu chuẩn ISO/IEC 27001:2013 chúng tôi đánh giá rất cao về tính chuyên nghiệp cũng như sự hiểu biết của các chuyên gia iDAS đã giúp chúng tôi rất nhiều về những kiến thức bảo mật và an toàn thông tin để chúng tôi phòng ngừa được các mối nguy cho sự phát triển của FRAMGIA. Cám ơn iDAS ”

Ông. Chu Anh Tuấn - Trưởng ban ISMS Trưởng Ban An Ninh Thông tin - Công ty TNHH Framgia Việt Nam

Được biết đến idas thông qua bạn bè và các đối tác chúng tôi đã liên hệ với idas và triển khai tích hợp 02 hệ thống ISO 9001 tích hợp với ISO/IEC 27001... trong quá trình triển khai tôi thấy icác chuyên gia idas có chuyên môn tốt và nhiệt tình giúp cho chúng tôi xây dựng được các quy trình cũng như cách nhìn một cách có hệ thống... Chúng tôi xin trân thành cám ơn idas và các chuyên gia tư vấn đã hỗ trợ chúng tôi nhận được chứng chỉ này

Ông TSUCHIHASHI KAZUHIRO Tổng giám đốc - Công ty WBC Việt nam

“ Qua quá trình tìm hiểu thông tin về các đơn vị triển khai dịch vụ tư vấn và đào tạo tiêu chuẩn ISO chúng tôi đã quyết định chọn iDAS là đối tác tư vấn và triển khai hệ thống ISO cho Rikkeisoft. Với kinh nghiệm dày dặn trong công tác tư vấn triển khai tiêu chuẩn ISO, các chuyên gia của iDAS đã giúp chúng tôi xác định được vấn đề đang tồn tại trong tổ chức, xây dựng kế hoạch và biện pháp cải tiến. Các chuyên gia của iDAS đã không chỉ nhiệt tình và sát sao trong quá trình tư vấn triển khai xây dựng hệ thống, đối với quá áp dụng và cải tiến, chúng tối cũng luôn nhận được sự hỗ trợ nhiệt tình khi gặp khó khăn và được các chuyên gia cập nhật kiến thức khi có tiêu chuẩn mới. ”

Ông Hà Huy Luân Trưởng ban An ninh Thông tin - Công ty TNHH Rikkei soft

Đồng hành cùng idas

Đối tác của IDAS