Tổng quan về ISO 27001

Trong bối cảnh công nghệ thông tin phát triển mạnh mẽ như hiện nay. Có rất nhiều các tổ chức hoạt động phụ thuộc một phần hoặc hoàn toàn vào hệ thống mạng, máy tính, cơ sở dữ liệu. Nếu như có sự cố hoạt động thì các tổ chức này sẽ chịu thiệt hại nghiêm trọng và tổn thất kinh tế lớn. Chính vì vậy, áp dụng ISO 27001 - hệ thống quản lý an ninh thông tin (ISMS) giúp các tổ chức này hoạt động ổn định, giảm thiểu rủi ro vể anh ninh thông tin đến mức tối đa.

Khái niệm về ISO 27001

ISO 27001 là hệ thống quản lý an ninh thông tin (ISMS) duy nhất có thể đánh giá theo các tiêu chuẩn quốc tế.

Triển khai áp dụng tiêu chuẩn ISO 27001 sẽ thiết lập và duy trì một hệ thống quản lý hiệu quả giúp doanh nghiệp hay tổ chức của bạn kiểm soát tính an toàn và bảo mật tài sản thông tin của đơn vị mình. Qua đó, các quá trình thông tin thiết lập trong tổ chức sẽ được tiến hành lưu trữ và định dạng thông tin. Đây là bước khởi đầu nhằm hạn chế những thiệt hại tới mức có thể khi sự cố mất dữ liệu xảy ra.
Mất dữ liệu có thể do nhiều nguyên nhân gây ra trong đó có nguyên nhân thiên tai, tai nạn và vi phạm có chủ đích. Mất dữ liệu có thể tác động xấu đến sự ổn định tài chính của một doanh nghiệp.

Thời đại CNTT - an toàn thông tin là sự sống còn của doanh nghiệp

Lịch sử hình thành ISO 27001
Bộ tiêu chuẩn ISO 27000 có nguồn gốc từ nước Anh. Bắt đầu vào năm 1992, Phòng Thương mại và Công nghiệp Anh (UK Department Trade and Industrial) ban hành ra qui phạm thực hành về hệ thống an toàn thông tin dựa trên các hệ thống đảm bảo an toàn thông tin nội bộ của các công ty dầu khí. Tài liệu này sau đó được Viện tiêu chuẩn hoá Anh chính thức ban hành thành tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995. Năm 2000, tiêu chuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chính thức chấp nhận và ban hành với mã hiệu ISO/IEC 17799:2000 - tiền thân của bộ tiêu chuẩn ISO 27000 ngày nay. 

Bộ tiêu chuẩn ISO 27000 bao gồm những tiêu chuẩn cụ thể sau: 

- ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ) 

- ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an toàn thông tin 

- ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất 

- ISO 27003:2007 đưa ra các hướng dẫn áp dụng 

- ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS 

- ISO 27005 tiêu chuẩn về quản lý rủi ro an toàn thông tin 

- ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông 

Những lợi ích ISO 27001 mang lại cho tổ chức

Số lượng doanh nghiệp áp dụng ISO 27001 ngày càng tăng

Thông tin chính xác: Có được thông tin chính xác và kịp thời là yếu tố sống còn của bất kỳ tổ chức nào, ISO 27001 sẽ giúp các tổ chức hay doanh nghiệp quản lý thông tin của mình một cách hiệu quả hơn.

Thúc đẩy quan hệ khách hàng: Các tổ chức hay doanh nghiệp ngày càng ý thức được việc thiếu kiểm soát của mình, đặc biệt là công tác thông tin tới nhà cung cấp và khách hàng của mình. Do đó, họ đang tìm kiếm các quy tắc và sự tin tưởng nhờ hệ thống đánh giá theo tiêu chuẩn ISO 27001 đem lại.

Cắt giảm chi phí: ISO 27001 được coi như sáng kiến giúp giảm thiểu các hoạt động trùng lặp của công ty hay doanh nghiệp bạn, chẳng hạn như kiểm tra lượng hàng nhập vào và xuất ra. Tiêu chuẩn này cũng được coi là sáng kiến nhằm giảm dữ liệu đầu vào cho doanh nghiệp.

Quản lý rủi ro về mặt thông tin cho doanh nghiệp: Ngoài đảm bảo an ninh thông tin, ISO 27001 còn cung cấp các giải pháp quản lý bảo mật, tính toàn vẹn và sẵn có của thông tin. Đồng nghĩa với đó là hỗ trợ quản lý rủi ro cho các tổ chức doanh nghiệp.

Khả năng phát triển áp dụng tiêu chuẩn: Trước kia, ISO 27001 được biết đến là tiêu chuẩn đánh giá trong lĩnh vực công nghệ thông tin (CNTT). Tuy nhiên, hiện nay tiêu chuẩn này đã được mở rộng và bao quát toàn bộ tổ chức hay doanh nghiệp từ nhân viên vệ sinh đến giám đốc điều hành.

Lợi ích của ISO 27001 mang tính toàn diện chứ không chỉ cho CNTT

Tăng khả năng trúng thầu và cơ hội ký kết hợp đồng: Khách hàng thường bị hạn chế về nguồn lực để tìm hiểu các đối tác hay nhà cung cấp của mình. Thông thường họ sử dụng ISO 27001 và các tiêu chuẩn quản lý khác làm thước đo xác định xem tổ chức hay doanh nghiệp bạn có phải là đối tác tin cậy hay không để từ đó tiếp tục xem xét hồ sơ bỏ thầu của doanh nghiệp bạn. Nếu như có chứng chỉ ISO 27001 sẽ làm tăng khả năng tin tưởng đối tác của khách hàng.

Tăng lợi nhuận: Các sự cố và vụ việc nghiêm trọng như sự cố đều khiến tổ chức hay doanh nghiệp bạn lãng phí thời gian và tiền bạc. Do vậy, điều quan trọng là làm thể nào xác định được các sự cố và rủi ro tiềm ẩn và triển khai hành động phòng ngừa sự cố đó. Trên cơ sở đó, ISO 27001 hướng tới giúp các doanh nghiệp đảm bảo thông tin đúng được cung cấp đúng chỗ, đúng lúc và đúng người.

Liên tục cải tiến: Môi trường kinh doanh hiện đang không ngừng thay đổi. Do vậy, các tổ chức hay doanh nghiệp cũng cần phải cải tiến và thay đổi để phù hợp với xu thế. Để tăng tính hiệu quả cho các doanh nghiệp, ISO 27001 hỗ trợ họ giám sát các chỉ số quan trọng của mình và đưa ra quyết định và hành động phù hợp với thực tế.

Các bước cơ bản để xây dựng ISO 27001

- Cam kết thực hiện dự án của lãnh đạo

-  Thành lập Ban chỉ đạo ANTT

-  Khảo sát đánh giá thực trạng Hệ thống hiện hành

-  Đào tạo nhận thức về ISO 27001

-  Đào tạo viết tài liệu

-  Đưa ra chính sách mục tiêu và  phạm vi an ninh thông tin

-  Phân tích, đánh giá rủi ro trong phạm vi của Hệ thống ISMS

-  Lựa chọn mục tiêu, biện pháp kiểm soát phù hợp để thực thi

-  Áp dụng thử

-  Đào tạo chuyên gia đánh giá nội bộ

-  Tiến hành đánh giá nội bộ

-  Hoàn chỉnh hệ thống tài liệu

-  Tiến hành đánh giá thử

-  Khắc phục, phòng ngừa sự không phù hợp

-  Đánh giá chứng nhận

-  Duy trì, cải tiến Hệ thống sau chứng nhận

Duy Trung