1. ISO/IEC 27001 là gì?
ISO 27001 là một tiêu chuẩn quốc tế đưa ra các yêu cầu liên quan đến Hệ Thống Quản Lý Bảo Mật Thông Tin, cho phép tổ chức doanh nghiệp đánh giá được những rủi ro và thực hiện kiểm soát thích hợp để bảo toàn tính bảo mật, toàn vẹn và sẵn có của tài sản thông tin.
Mục đích chính là bảo vệ thông tin của tổ chức doanh nghiệp, không để rơi vào tay người lạ hay bị thất lạc vĩnh viễn.
Bộ tiêu chuẩn ISO/IEC 27000 gồm các tiêu chuẩn sau:
-
ISO/IEC 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)
-
ISO/IEC 27001 các yêu cầu đối với hệ thống quản lý an toàn thông tin
-
ISO/IEC 27002 qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất
-
ISO/IEC 27003 các hướng dẫn áp dụng
-
ISO/IEC 27004 đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS
-
ISO/IEC 27005 quản lý rủi ro an toàn thông tin
-
ISO/IEC 27006 hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông.
Hiện nay, việc áp dụng hệ thống quản lý an toàn thông tin ISO/IEC 27001 đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới. Tại Việt nam, thời gian qua một số tổ chức ngân hàng, tài chính,công nghệ thông tin,… cũng bắt đầu quan tâm triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định.
2. Đối tượng áp dụng
Tiêu chuẩn ISO/IEC 27001 có thể được áp dụng rộng rãi cho nhiều loại hình tổ chức ( các tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận… ). Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng… của tổ chức.
ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác như ISO 9001, ISO 14001…
3. Lợi ích của việc áp dụng ISO/IEC 27001
- Do sự phụ thuộc ngày càng nhiều vào thông tin và hệ thống thông tin, tính bảo mật, toàn vẹn và sẵn có của thông tin là điều kiện cần thiết để duy trì lợi thế cạnh tranh, dòng tiền, lợi nhuận và hình ảnh thương hiệu.
- Đảm bảo sự phù hợp với các yêu cầu luật định và các yêu cầu khế ước.
- Nâng cao khả năng quản lý và sự đảm bảo của tổ chức doanh nghiệp trước các bên liên quan như cổ đông, khách hàng, người tiêu dùng và nhà cung cấp.
- Thông qua việc đánh giá rủi ro đúng cách, những đe dọa đến tài sản thông tin được xác định, khả năng bị tấn công được đo lường và những tác động tiềm ẩn được ước tính. Vì vậy giúp tổ chức doanh nghiệp đầu tư vào đúng chỗ.
4. Các bước triển khai ISO/IEC 27001
Về cơ bản, các bước triển khai hệ thống ISO/IEC 27001 có nhiều điểm tương đồng với áp dụng ISO 9001 & ISO 14001… Tuy nhiên, đây là hệ thống quản lý an toàn thông tin nên có một số điểm cần chú trọng khi xây dựng như: xác định đầy đủ các tài sản thông tin, nhận biết và đánh giá mối nguy, lựa chọn các biện pháp xử lý mối nguy thích hợp…
Các bước cơ bản cần thực hiện để đạt được chứng nhận hệ thống quản lý an toàn thông tin ISO/IEC 27001:
1) Cam kết của Lãnh đạo về xây dựng hệ thống quản lý an toàn thông tin cho tổ chức.
2) Phổ biến, đào tạo nhận thức về tiêu chuẩn ISO/IEC 27001 cho cán bộ.
3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001.
4) Xây dựng chính sách, mục tiêu và phạm vi của hệ thống ISMS
5) Phân tích, đánh giá các rủi ro về an toàn thông tin trong phạm vi của hệ thống.
6) Thiết lập các biện pháp kiểm soát rủi ro.
7) Lựa chọn mục tiêu và các biện pháp kiểm soát.
8) Vận hành hệ thống ISMS đã thiết lập.
9) Thực hiện các hoạt động xem xét và cải tiến hiệu lực hệ thống.
10) Đánh giá chứng nhận.
Thời gian cần thiết để xây dựng hệ thống quản lý an toàn thông tin có hiệu lực và hiệu quả cho đến khi đánh giá chính thức cần khoảng 9 ~ 18 tháng phụ thuộc vào quy mô, nhu cầu thực tế, khả năng tập trung nguồn lực của tổ chức cho quá trình xây dựng. Tổ chức cũng sẽ thuận lợi hơn nếu trước đó đã có kinh nghiệm xây dựng, vận hành một số hệ thống quản lý khác như ISO 9001, ISO 14001…