Lịch sử hình thành và phát triển của ISO 22000
Trong bối cảnh kinh tế ngày càng phát triển, yêu cầu về an toàn thực phẩm ngày càng tăng cao. ISO 22000 trở thành một trong những tiêu chuẩn quan trọng trong ch...
Hiện nay vấn đề bảo mật dữ liệu thông tin là một điều quan trọng trong bất cứ doanh nghiệp nào, nhất là những doanh nghiệp viễn thông, tài chính, ngân hàng. Tuy nhiên các doanh nghiệp Việt hiện nay đang mơ hồ với các khái niệm ISMS là gì ? Chúng có vài trò gì trong hệ thống ISO 27001. KNA xin chia sẻ đến bạn bài viết này nhằm cung cấp thông tin cho bạn biết về Hệ thống quản lý an toàn thông tin ISMS.
Được biết ISMS là cụm từ viết tắt của information security management system. Đây là hệ thống quản lý an ninh thông tin. ISMS là khái niệm được sử dụng nhiều trong những Doanh Nghiệp công nghệ thông tin và những đơn vị có ứng dụng hệ thống CNTT vào quản lý sản xuất.
Information security management system hay hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong doanh nghiệp để xây dựng, điều hành, triển khai, soát xét, duy trì và cải tiến an toàn thông tin.
Một số khái niệm trong hệ thống an toàn thông tin bạn cần chú ý:
Theo định nghĩa trong bộ tiêu chuẩn ISO 27001 về an toàn thông tin có liên quan đến các tính chất như sãn sàng, bảo mật, tính toàn vẹn của thông tin. Ngoài ra việc an toàn thông tin còn bao gồm có các tính chất khác như trách nhiệm, xác thực, tính tin cậy và xác nhận.
Bảo mật là một trong những tính chất của ISMS có thể tiếp cận và sử dụng thông tin của những đối tượng được xác thực.
Tính chất đầy đủ và đúng đắn thuộc tính chất toàn vẹn của thông tin.
Một trong những tính chất của an toàn thông tin chính là tính sẵn sàng. Tính sẵn sàng được hiểu có thể tiếp cận và sử dụng tùy theo nhu cầu của những đối tượng được phép.
Bạn đã biết ISMS là gì ? Dưới đây bạn sẽ biết được các lĩnh vực của một Hệ thống An ninh thông tin cần phải có:
Chính sách an ninh cung cấp các chỉ dẫn hỗ trợ và quản lý an ninh thông tin.
Một tổ chức an ninh trong hệ thống ISMS có vai trò duy trì an ninh, quản lý an toàn thông tin trong các Doanh Nghiệp và các quá trình hỗ trợ thông tin và những tài sản thông tin khác được truy cập bởi các thành phần thứ 3.
Việc phần loại và kiểm soát tài sản là vấn đề quan trọng. Hệ thống ISMS cần đảm bảo và duy trì các tài sản của Doanh Nghiệp ở mức độ thích hợp.
Hệ thống ISO 27001 có đề cập đến việc đảm bảo an ninh nhân sự. Đây là việc cần làm nhằm giảm rủi ro về sự ăn cắp, gian lận và lạm dụng hoặc lỗi của con người. Chúng nhằm giúp đảm bảo người dùng được trang bị các kiến thức về những mối đe dọa an ninh thông tin có liên quan. giảm thiểu từ những bất thường cũng như sai chức năng an ninh và giúp kiểm soát từ các bất thường phát sinh.
Việc ngăn cản truy cập vật lý không được phép, can thiệp và phá hủy đến những nguồn tài nguyên thông tin mà doanh nghiệp có là điều cực kì quan trọng. Lĩnh vực này còn giúp hạn chế sự phá hủy, mất mát hoặc tấn công nhằm làm mất thông tin hoạt động kinh doanh. Ngăn cản việc ăn cắp thông tin hoặc sự tấn công từ bên ngoài và xây dựng các quy trình hỗ trợ xử lý thông tin.
Hỗ trợ xử lý thông tin đúng, đảm bảo tác nghiệp bảo mật, bảo vệ sự nguyên vẹn của phần mềm và giảm thiểu rủi ro lỗi của các hệ thống. Duy trì sự sẵn sàng và nguyên vẹn của quá trình xử lý thông tin và các dịch vụ truyền thông giúp bảo vệ cơ sở hạ tầng hỗ trợ, đảm bảo sự an toàn của thông tin trong mạng và ngăn cản phá hủy tài sản, làm gián đoạn các hoạt động kinh doanh.
Việc truy cập dù vật lý hay trong không gian mạng trực tuyến đều cần phải được kiểm soát chặt chẽ. Việc này giúp ngăn chặn những truy cập trái phép và đảm bảo các quyền truy cập đến từ các hệ thống thông tin được cấp quyền, cấp phát tài nguyên cũng như duy trì một cách hợp lý hơn. Bảo vệ các dịch vụ mạng, đảm bảo an ninh thông tin khi dùng phương tiện điện thoại và máy tính di động.
Việc luôn đảm bảo và duy trì hệ thống an ninh thông tin được vận hành thông suốt là điều rất quan trọng. ISMS có nêu ra việc điều chỉnh, ngăn cản, làm dụng dữ liệu của người dùng trong hệ thống ứng dụng giúp đảm bảo tính xác thực, tính tin cậy hoặc tính toàn vẹn của thông tin.
Bảo vệ các quá trình kinh doanh quan trọng từ các hiểm họa hoặc lỗi phát sinh, chống lại sự ngưng trệ của các hoạt động kinh doanh.
Tuân thủ quy định, pháp luật, nghĩa vụ của hợp đồng, tránh sự vi phạm của mọi luật công dân và hình sự. Đảm bảo sự tuân thủ của các hệ thống với các chính sách an ninh và các chuẩn. Giảm thiểu trở ngại đến quá trình đánh giá hệ thống và tăng tối đa hiệu quả.
Hiện nay ở Việt Nam việc áp dụng hệ thống ISMS cũng như hệ thống chứng nhận ISO 27001 đang được triển khai ngày một nhiều. KNA xin chia sẻ một số kinh nghiệm thu được trong quá trình triển khai các giai đoạn thiết lập ISMS.
Việc cam kết xây dựng thành công hệ thống ISMS là điều quan trọng. Đại diện ban lãnh đạo An ninh thông tin (Giám đốc An ninh thông tin) là lãnh đạo cao nhất của Tổ chức. Đây là yếu tố quyết định sự thành công của ISMS và là một bằng chứng cho khách hàng và các bên quan tâm biết về việc thực hiện những cam kết của Tổ chức thiết lập, duy trì, xem xét và cải tiến ISMS.
Xác định phạm vi, giới hạn áp dụng ISMS: Đây là công việc đầu tiên quá trình xây dựng ISMS. Tùy thuộc vào quy mô và sự phức tạp của hoạt động sản xuất, kinh doanh và cung cấp dịch vụ mà Tổ chức xác định phạm vi áp dụng, số lượng địa điểm áp dụng cũng như lộ trình triển khai áp dụng ISMS phải đảm bảo những yêu cầu cơ bản sau:
- Phù hợp với yêu cầu chế định và pháp định, yêu cầu của khách hàng về kiểm soát an ninh thông tin.
- Phù hợp với đặc điểm nguồn nhân lực và tiềm lực tài chính.
- Thực hiện được những cam kết của Tổ chức với các bên quan tâm.
Việc xây dựng một chính sách ISMS là bước đầu của hệ thống đảm bảo an toàn thông tin trong doanh nghiệp. Chính sách an ninh thông tin chính là những văn bản công bố những cam kết lâu dài trong việc thực hiện cũng như duy trì ISMS của một tổ chức tới các bên liên quan. Những chính sách an ninh thông tin này từng bước được thực hiện thông qua việc thực hiện các mục tiêu kiểm soát và các hoạt động kiểm soát ISMS của Tổ chức.
Để vận hành hệ thống ISMS một cách tốt nhất thì việc xác định tài sản và giá trị tài sản cũng như phân tích – lượng hóa rủi ro cần được quan tâm đúng và đủ. Việc xử lý rủi ro xảy ra đối với hệ thống tài sản của tổ chức cần phải được: Liệt kê tất cả các tài sản, xác định giá trị, những rủi ro xuất hiện (rủi ro về sở hữu tài sản, những điểm yếu, các mối đe đọa, mất độ tin cậy, tính toàn vẹn, tính sẵn sàng), xây dựng các biện pháp kiểm soát, đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát, nhận biết những rủi ro còn sót lại theo yêu cẩu ISO/IEC 27001:2005 là
- Mọi quy trình kiểm soát trong ISMS tuân thủ mô hình PDCA. Hình 2 minh họa cho quy trình kiểm soát tài sản thông tin đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng theo mô hình PDCA.
- Sử dụng các công cụ trong bộ tiêu chuẩn ISO/IEC 27000 có hiệu quả như áp dụng tiêu chuẩn ISO/IEC 27005: 2007 để quản lý rủi ro, tiêu chuẩn ISO/IEC 27004:2007 để đo lường ISMS.
- Tập trung đầu tư hạ tầng kỹ thuật, công nghệ để giảm rủi ro từ những mối đe dọa. Ví dụ: xây dựng các vành đai an ninh vật lý – môi trường, các giải pháp công nghệ bảo vệ cơ sở dữ liệu (các biện pháp kiểm soát quyền truy cập – các phần mềm ngăn chặn quyền truy cập trái phép, chống truy cập từ bên ngoài, các phần mềm mã hóa cơ sở dữ liệu, xác thực người dùng, chữ ký điện tử hoặc chứng thực điện tử, kiểm soát các thiết bị ngoại vi...).
- Thực hiện có hiệu quả những cam kết những chính sách an ninh thông tin.
Cần thực hiện chính sách an ninh thông tin và những cam kết của lãnh đạo đơn vị nhằm xây dựng 11 mục tiêu kiểm soát và các kiểm soát theo yêu cầu phụ lục A của tiêu chuẩn.
Thiết lập hệ thống các quy trình, hướng dẫn công việc, lưu hồ sơ theo yêu cầu tiêu chuẩn. Đào tạo nguồn nhân lực để thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến ISMS. Đây là giai đoạn tốn nhiều thời gian, công sức của các đơn vị, nó thể hiện trí tuệ của cả một Tổ chức.