8 tiêu chuẩn quốc tế đảm bảo tuân thủ các quy định an ninh mạng

GDPR là gì?

GDPR bao gồm một loạt các dữ liệu cá nhân, bao gồm các số nhận dạng trực tuyến như địa chỉ IP và cookie và ở đầu kia của thang đo, thẻ tín dụng và thông tin sức khỏe. Nó ảnh hưởng đến cách các tổ chức thu thập dữ liệu cá nhân, cách họ lưu trữ và cách họ sử dụng dữ liệu đó. Tuân thủ đầy đủ là một yêu cầu pháp lý bắt buộc để tránh các lệnh trừng phạt nghiêm trọng, bao gồm tiền phạt lên tới 20 triệu EUR - hoặc 4% doanh thu toàn cầu, nếu số tiền cao hơn. 

GDPR cũng bảo lưu quyền "tính di động dữ liệu": người dùng có thể chuyển dữ liệu cá nhân dễ dàng giữa các nhà cung cấp dịch vụ khác nhau. GDPR đảm bảo rằng dữ liệu cá nhân chỉ được lưu giữ với sự đồng ý rõ ràng của khách hàng, chỉ được sử dụng cho mục đích mà dữ liệu được lấy và lưu trữ không còn quá cần thiết. Không chỉ cho phép sử dụng dữ liệu phải rõ ràng, mà người dùng cũng có thể thu hồi nó bất cứ lúc nào. Các tổ chức phải tuân theo các hướng dẫn nghiêm ngặt để đảm bảo rằng dữ liệu luôn chính xác và được xử lý một cách công bằng và nhất quán.  

Dưới đây là tám điều mà các tổ chức có thể làm để giúp đáp ứng các quy định pháp lý nghiêm ngặt nhất với sự trợ giúp của các tiêu chuẩn IEC và ISO.

1. Thiết lập hệ thống bảo mật quản lý thông tin (ISMS)

Các yêu cầu ISMS có trong ISO / IEC 27001 xác định cách tiếp cận dựa trên quản lý rủi ro không gian mạng để quản lý con người, quy trình, dịch vụ và công nghệ. Sử dụng ISO / IEC 27001, giúp các tổ chức quản lý rủi ro bảo mật thông tin của họ, bao gồm các mối đe dọa, lỗ hổng và tác động, cũng như thiết kế các biện pháp kiểm soát để bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu và để điều chỉnh quyền truy cập vào các hệ thống và mạng thông tin quan trọng. Nó nhấn mạnh tầm quan trọng của quy trình quản lý rủi ro ISO / IEC 27001 có tính đến các yêu cầu pháp lý, quy định và hợp đồng. 

2. Ủy ban kiểm toán độc lập

Về việc giảm thiểu rủi ro không gian mạng, bước đầu tiên mà mọi tổ chức nên thực hiện là triển khai tiêu chuẩn ISMS ISO/ IEC 27001 và sau đó thực hiện kiểm toán chứng nhận ISMS độc lập để đảm bảo tuân thủ các yêu cầu của ISO / IEC 27001. Chứng nhận ISMS sẽ giúp các tổ chức chứng minh cách tiếp cận rủi ro không gian mạng của họ đã kiểm chứng luật pháp và quy định của địa phương và quốc tế. ISO / IEC 27001. ISO / IEC 27014 , cung cấp hỗ trợ về quản trị an ninh thông tin, khuyến nghị cách tiếp cận như vậy. Các tiêu chuẩn khác cũng được hỗ trợ triển khai trong ISO / IEC 27001 bao gồm: ISO / IEC 27005, cung cấp hướng dẫn về quản lý rủi ro thông tin; và ISO / IEC 27004, trong đó đề xuất các số liệu để đánh giá hiệu quả và hiệu suất của các hệ thống bảo mật thông tin.

Mục đích của kiểm toán chứng nhận ISMS là xác minh rằng tổ chức đã xem xét và đánh giá các rủi ro không gian mạng mà họ gặp phải và họ đã thực hiện một bộ kiểm soát hiệu quả và phù hợp để giảm thiểu những rủi ro này, bao gồm cả kiểm soát bảo mật thông tin và bảo vệ quyền riêng tư. Kiểm toán chứng nhận này cần xác minh rằng tổ chức đã tính đến tất cả các yêu cầu kinh doanh, hợp đồng, pháp lý và quy định (ví dụ GDPR) trong đánh giá rủi ro. ISO / IEC 27014 cung cấp hướng dẫn về việc thiết lập khung quản trị an ninh thông tin để đảm bảo rằng tổ chức giải quyết đúng đắn là các yêu cầu quản trị nội bộ tuân thủ các quy tắc và quy định bên ngoài.

3. Giữ một kho dữ liệu chính xác  

Không thể quản lý rủi ro một cách hiệu quả hoặc tuân thủ các quy định về quyền truy cập và tính di động, mà không thực hiện một bộ kiểm soát hiệu quả. Ví dụ: một tổ chức nên có một kho dữ liệu và tài sản mạng chính xác. ISO / IEC 27002 là một quy tắc thực hành giúp tập hợp các kiểm soát bảo mật thông tin như vậy với các hướng dẫn để thực hiện các kiểm soát này. ISO / IEC 27002 là bộ điều khiển cơ bản hỗ trợ ISO / IEC 27001 và giảm thiểu rủi ro không gian mạng.

4. Triển khai Hệ thống quản lý thông tin bảo mật (PIMS)

ISO / IEC 27701 là một phần mở rộng của ISO / IEC 27001 cung cấp một bộ kiểm soát vận hành toàn diện để thực hiện, duy trì và liên tục cải thiện PIMS, bao gồm các điều khiển xử lý quyền riêng tư. Việc triển khai ISO / IEC 27701 và ISO / IEC 27001 giúp đáp ứng yêu cầu GDPR của EU đối với các biện pháp kỹ thuật và tổ chức phù hợp. 

5. Tính linh hoạt trong việc thực hiện quy trình giảm thiểu dữ liệu

GDPR cung cấp cho các cá nhân quyền truy cập dữ liệu của họ và tìm hiểu làm thế nào nó được sử dụng. ISO / IEC 19941 cung cấp hỗ trợ cho các tổ chức, cho phép khách hàng của họ di chuyển dữ liệu hoặc ứng dụng giữa các dịch vụ đám mây. Một yêu cầu quan trọng khác của GDPR là tối thiểu hóa dữ liệu, có nghĩa là giữ dữ liệu có thể nhận dạng các cá nhân không lâu hơn mức cần thiết. ISO / IEC 27018, một quy tắc thực hành để bảo vệ thông tin cá nhân (PII) trong các đám mây công cộng, cho phép xóa tạm thời các tệp trong một khoảng thời gian được chỉ định, được ghi lại, một tiêu chuẩn bổ sung là ISO / IEC 27017 nhằm bảo mật thông tin trong đám mây. Một tiêu chuẩn khác, hiện đang được phát triển, ISO / IEC 27555 sẽ cung cấp các hướng dẫn về việc thiết lập khái niệm xóa PII trong các tổ chức.

6. Thiết lập kế hoạch ứng phó sự cố

Một kế hoạch ứng phó sự cố rất quan trọng trong việc giảm thiểu rủi ro. Nó cũng giúp đảm bảo rằng các yêu cầu thông báo vi phạm của GDPR (72 giờ) và của bất kỳ luật hoặc quy định liên quan nào khác đều được tôn trọng. ISO / IEC 27035 gồm hai phần trình bày các nguyên tắc quản lý sự cố và hướng dẫn đầy đủ để lập kế hoạch và chuẩn bị ứng phó sự cố.

7. Xây dựng mối quan hệ với nhà cung cấp bảo mật thông tin

Điều quan trọng là chiến lược giảm thiểu rủi ro pháp lý của một tổ chức phải tính đến các mối quan hệ của bên thứ ba, đưa các thông tin bảo mật của nhà cung cấp vào hồ sơ rủi ro của riêng. Đây là trường hợp ví dụ, gã khổng lồ bán lẻ Mỹ, Target, sau khi bị tin tặc sử dụng thông tin mạng của một công ty bán lò sưởi ấm, thông gió và điều hòa không khí để đánh cắp dữ liệu cá nhân từ hàng chục triệu thẻ tín dụng và thẻ ghi nợ. Target đã trả 18,5 triệu USD để giải quyết các khiếu nại đa quốc gia, cũng như một khoản giải quyết khác là 10 triệu USD sau vụ kiện tập thể bên cạnh khoản bồi thường lên tới 10.000 USD cho các khách hàng bị thiệt hại trực tiếp do vi phạm dữ liệu. Tiêu chuẩn ISO / IEC 27036 cung cấp hướng dẫn về mối quan hệ nhà cung cấp, bao gồm chuỗi cung ứng và bảo mật dịch vụ đám mây.

8. Mua bảo hiểm không gian mạng

Các tổ chức được khuyến nghị nên có bảo hiểm mạng đầy đủ để chi trả mọi chi phí hoạt động hoặc pháp lý, bao gồm các khoản phạt có thể có, liên quan đến các vi phạm nghiêm trọng. ISO / IEC 27102 cung cấp các hướng dẫn về bảo hiểm không gian mạng để bù đắp các tổn thất tài chính tiềm ẩn. Các tiêu chuẩn xem xét các loại tổn thất được bảo hiểm và các biện pháp cần phải có để đáp ứng các nhà cung cấp bảo hiểm. ISO / IEC 27102 lưu ý rằng ISMS, có thể cung cấp cho các công ty bảo hiểm dữ liệu, thông tin và tài liệu có thể được sử dụng trong việc khởi động chính sách bảo hiểm mạng, đổi mới chính sách bảo hiểm mạng và trong suốt thời hạn của chính sách bảo hiểm mạng. 

Bảo Linh