ISO 27001: 2005 – HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

Triển khai an ninh thông tin là thiết lập một hệ thống quản lý an ninh thông tin (ISMS) nhằm đảm bảo 3 thuộc tính của nó: Tính tin cậy (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability). Làm thế nào để thiết lập một hệ thống ISMS nhất quán, hiệu quả và thật sự chuyên nghiệp? Bài viết này giới thiệu chuẩn ISO 27001, hệ thống ISMS được triển khai, duy trì và cải tiến theo chuẩn này sẽ đáp ứng những vấn đề trên.

I. ISO 27001 là gì?

Mục đích của ISO 27001 là cung cấp cơ sở chung cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ của tổ chức.

1. Hệ thống quản lý ATTT (ISMS)

Theo tiêu chuẩn ISO/IEC 27001, thông tin và các hệ thống, quy trình, cán bộ liên quan đều là tài sản của tổ chức. Tất cả các tài sản đều có giá trị quan trọng trong hoạt động của tổ chức và cần được bảo vệ thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau, nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.

Bên cạnh những rủi ro về ATTT do bị tấn công phá hoại có chủ đích, tổ chức cũng có thể gặp phải những rủi ro đối với thông tin nếu: Các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ…. Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro. 

Hệ thống quản lý ATTT (ISMS) sẽ giúp tổ chức thực hiện việc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT. Việc Hệ thống vận hành tốt sẽ giúp công tác đảm bảo ATTT tại tổ chức được duy trì liên tục, được xem xét đánh giá định kỳ và không ngừng cải tiến để đối phó với các rủi ro mới phát sinh. Các hoạt động đảm bảo ATTT trong tổ chức sẽ mang tính hệ thống, giảm sự phụ thuộc vào cán bộ thực thi và luôn được xem xét, đánh giá để nâng cao hiệu quả.

2. Lợi ích triển khai áp dụng ISMS

Tiêu chuẩn ISO 27001 có thể áp dụng được cho mọi loại hình tổ chức có nhu cầu bảo vệ thông tin. Việc triển khai Hệ thống ISMS theo tiêu chuẩn ISO 27001 sẽ giúp tổ chức đạt được các lợi ích sau:

– Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức luôn thông suốt và an toàn.

– Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày; Các sự cố ATTT do người dùng dây ra sẽ được hạn chế tối đa khi nhân viên được đào tạo, nâng cao nhận thức ATTT.

– Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến. Các biện pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ.

– Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên quan đến ATTT.

– Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế.

II. Áp dụng mô hình PDCA để triển khai hệ thống ISMS

1. Plan (Thiết lập ISMS)
Thiết lập chính sách an ninh, mục tiêu, mục đích, các quá trình và thủ tục phù hợp với việc quản lý rủi ro và cải tiến an ninh thông tin để phân phối các kết quả theo các mục tiêu và chính sách tổng thể của tổ chức.

2. Do (Thi hành và điều hành ISMS)
Thi hành và điều hành chính sách an ninh, các dấu hiệu kiểm soát, các quá trình và các thủ tục.

3. Check (Kiểm soát và xem xét ISMS)
Đánh giá, tìm kiếm sự phù hợp, đo lường hiệu năng của quá trình so với chính sách an ninh, mục tiêu, kinh nghiệm thực tế và báo cáo kết quả cho lãnh đạo xem xét.

4. Act (duy trì và cải tiến ISMS)
Đưa ra các hành động khắc phục phòng ngừa trên cơ sở các kết quả xem xét để cải tiến liên tục hệ thống ISMS.

III. Kết luận

Hệ thống quản lý ATTT là nhu cầu thiết yếu của một tổ chức, khi cần đảm bảo ATTT một cách toàn diện. Xây dựng Hệ thống ISMS theo chuẩn ISO 27001 sẽ giúp hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ, cũng là cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm của tổ chức nhằm duy trì và đảm bảo 3 thuộc tính an ninh thông tin: Tính tin cậy, tính toàn vẹn và tính sẵn sàng. ISO 27001 giúp cho tổ chức tạo được một hệ thống quản lý an ninh thông tin chặt chẽ và luôn được cải tiến nhằm đảm bảo an ninh và khai thác thông tin một cách hợp lý và hiệu quả nhất.