Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC: Giúp doanh nghiệp ngăn ngừa, hạn chế tổn thất

Khái niệm

ISO/IEC 27001 nằm trong bộ tiêu chuẩn quốc tế ISO/IEC 27000 về quản lý an toàn thông tin. Bộ tiêu chuẩn này được xây dựng dựa trên các tiêu chuẩn về quản lý an toàn thông tin BS 7799 của Viện Tiêu chuẩn Anh (BSI).

Bộ tiêu chuẩn ISO/IEC 27000 bao gồm các tiêu chuẩn sau: ISO/IEC 27000:2018 Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin-Khái quát và từ vựng; ISO/IEC 27001:2013 Công nghệ thông tin-Kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu; ISO/IEC 27002:2013 Công nghệ thông tin - Kỹ thuật an toàn-Quy phạm thực hành các biện pháp kiểm soát an toàn thông tin; ISO/IEC 27003:2017 Công nghệ thông tin - Kỹ thuật an toàn-Hệ thống quản lý an toàn thông tin-Hướng dẫn; ISO/IEC 27004:2016 Công nghệ thông tin - Kỹ thuật an toàn - Quản lý an toàn thông tin-Theo dõi, đo lường, phân tích và đánh giá; ISO/IEC 27005:2018 Công nghệ thông tin - Kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin; ISO/IEC 27006:2015 Công nghệ thông tin - Kỹ thuật an toàn - Các yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin.

Tháng 12/2000, tiêu chuẩn BS 7799-1 được tổ chức Tiêu chuẩn hóa quốc tế (ISO) và Ủy ban kỹ thuật điện quốc tế (IEC) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000. Năm 2005, tiêu chuẩn này được ban hành thành tiêu chuẩn ISO/IEC 27001:2005 “Công nghệ thông tin - Hệ thông quản lý an toàn thông tin - Các yêu cầu”.

Tiêu chuẩn ISO/IEC 27001:2005 sau đó được sửa đổi, bổ sung để ban hành lần thứ 2 vào năm 2013 (ISO/IEC 27001:2013). Phiên bản ISO/IEC 27001:2013 đã được Việt Nam (Bộ KH&CN) chấp nhận thành tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019.

Hiện nay, việc áp dụng HTQL an toàn thông tin được triển khai rộng khắp ở hầu hết quốc gia trên thế giới. Tại Việt Nam, thời gian quan một số tổ chức ngân hàng, tài chính, công nghệ thông tin… bắt đầu quan tâm triển khai áp dụng HTQL an toàn thông tin và bước đầu đã đạt được những kết quả nhất định.

Đối tượng áp dụng

ISO/IEC 27001 có thể áp dụng đối với mọi loại hình tổ chức (doanh nghiệp sản xuất, dịch vụ, thương mại, cơ quan chính phủ, các tổ chức phi chính phủ…). Tiêu chuẩn quy định các yêu cầu đối với việc thiết lập, thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến một Hệ thống quản lý an toàn thông tin (ISMS) dưới dạng văn bản trong bối cảnh các rủi ro liên quan đến quá trình kinh doanh/tác nghiệp tổng thể của chính tổ chức đó.

Tiêu chuẩn cũng quy định cụ thể các yêu cầu đối với việc thực hiện biện pháp kiểm soát an toàn tương thích với nhu cầu của chính tổ chức. Mục đích cuối cùng của hệ thống là nhằm bảo vệ tài sản thông tin và tạo lòng tin cho các bên quan tâm. ISO/IEC 27001 là một phần của HTQL chung của các tổ chức/doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các HTQL khác như:  HTQL chất lượng (theo ISO 9001), HTQL môi trường (theo ISO 14001)…

Lợi ích

Những lợi ích của việc thực hiện ISMS chủ yếu có được từ việc giảm các rủi ro về an toàn thông tin (ATTT) (ví dụ như giảm khả năng xảy ra và/hoặc tác động gây ra bởi các sự cố ATTT). Cụ thể là, các lợi ích đã được thừa nhận đối với một tổ chức, doanh nghiệp nhằm đạt được sự thành công bền vững thông qua việc chấp nhận và áp dụng ISMS theo ISO/IEC 27001 bao gồm: Tạo khuôn khổ được cấu trúc để hỗ trợ cho việc quy định, thực hiện, vận hành và duy trì hệ thống quản lý ATTT toàn diện, hiệu quả về chi phí, tạo thêm giá trị (cho khách hàng, các bên quan tâm và cho chính tổ chức), nhất quán và đồng bộ nhằm thỏa mãn nhu cầu của tổ chức;

Hỗ trợ cho lãnh đạo tổ chức trong việc quản lý và vận hành một cách nhất quán, có trách nhiệm đối với hoạt động quản lý về ATTT, dựa trên nền tảng quản lý các rủi ro của tổ chức, kể cả việc giáo dục và đào tạo cho các chủ thể của hệ thống và quá trình nghiệp vụ trong tổ chức, doanh nghiệp về quản lý ATTT;

Thúc đẩy việc áp dụng các thực hành tốt về ATTT đã được chấp nhận toàn cầu, tạo cơ hội để tổ chức, doanh nghiệp có thể tiếp cận và chấp nhận áp dụng, cải tiến các biện pháp kiểm soát phù hợp với tình huống/bối cảnh cụ thể của mình cũng như để duy trì biện pháp kiểm soát này trước những thay đổi từ nội bộ và bên ngoài;

Tạo lòng tin cho khách hàng, các đối tác kinh doanh về hệ thống quản lý ATTT được tuân thủ, phù hợp tiêu chuẩn được thừa nhận quốc tế, nhất là khi các đối tác này yêu cầu chứng nhận sự phù hợp của hệ thống quản lý ATTT theo yêu cầu ISO/IEC 27001 bởi một tổ chức chứng nhận được công nhận;

Thỏa mãn nhu cầu và mong đợi của xã hội về khía cạnh ATTT, kể cả việc đáp ứng, tuân thủ yêu cầu của pháp luật; Đạt hiệu quả hơn về quản lý kinh tế khi đầu tư cho quản lý ATTT.

An toàn thông tin xét trên tính bảo mật, tính toàn vẹn, tính sẵn sàng. Ba tính đó còn gọi là tam giác C-I-A (confidentiality, integrity,availability). Đảm bảo an toàn hệ thống thông tin là đảm bảo an toàn của hệ thống thông tin (phần cứng, phần mềm, dữ liệu) trước các mối đe dọa (sự truy cập, sửa đổi, phá hoại dữ liệu bất hợp pháp) bằng các biện pháp kỹ thuật lẫn phi kỹ thuật (mã hóa, kiểm soát truy cập, chính sách …).

Một hệ thống thông tin được xem là an toàn khi đảm bảo ít nhất ba mục tiêu cơ bản: tính bảo mật, tính toàn vẹn, tính sẵn sàng. Ngoài ra còn có các mục tiêu khác như: tính không thể chối cãi, tính xác thực. Tính bảo mật (Confidentiality); Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng được cấp phép. Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập thông tin từ xa qua môi trường mạng.

Phương Nam