ISMS là gì? Tìm hiểu hệ thống quản lý an toàn thông tin

Hiện nay vấn đề bảo mật dữ liệu thông tin là một điều quan trọng trong bất cứ doanh nghiệp nào, nhất là những doanh nghiệp viễn thông, tài chính, ngân hàng. Tuy nhiên các doanh nghiệp Việt hiện nay đang mơ hồ với các khái niệm ISMS là gì ? Chúng có vài trò gì trong hệ thống ISO 27001. KNA CERT xin chia sẻ đến bạn bài viết này nhằm cung cấp thông tin cho bạn biết về Hệ thống quản lý an toàn thông tin ISMS.

1. Hiểu về ISMS và Hệ thống quản lý an toàn thông tin

1.1. ISMS là gì?

Được biết ISMS là cụm từ viết tắt của information security management system. Đây là hệ thống quản lý an ninh thông tin. ISMS là khái niệm được sử dụng nhiều trong những Doanh Nghiệp công nghệ thông tin và những đơn vị có ứng dụng hệ thống công nghệ thông tin vào quản lý sản xuất.

1.2. Hệ thống quản lý an toàn thông tin là gì ?

Information security management system hay hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong doanh nghiệp để xây dựng, điều hành, triển khai, soát xét, duy trì và cải tiến an toàn thông tin.

2. Một số khái niệm trong ISMS (Hệ thống an toàn thông tin) bạn cần chú ý

2.1. An toàn thông tin là gì ?

Theo định nghĩa trong bộ tiêu chuẩn ISO 27001 về an toàn thông tin có liên quan đến các tính chất như sãn sàng, bảo mật, tính toàn vẹn của thông tin. Ngoài ra việc an toàn thông tin còn bao gồm có các tính chất khác như trách nhiệm, xác thực, tính tin cậy và xác nhận.

2.2. Bảo mật là gì ?

Bảo mật là một trong những tính chất của ISMS có thể tiếp cận và sử dụng thông tin của những đối tượng được xác thực.

2.3. Toàn vẹn là gì ?

Tính chất đầy đủ và đúng đắn thuộc tính chất toàn vẹn của thông tin.

2.4. Sẵn sàng là gì ?

Một trong những tính chất của an toàn thông tin chính là tính sẵn sàng. Tính sẵn sàng được hiểu có thể tiếp cận và sử dụng tùy theo nhu cầu của những đối tượng được phép.

HỎI ĐÁP CÙNG CHUYÊN GIA

3. Một Hệ thống an ninh thông tin (ISMS) kiểm soát những khía cạnh nào?

Bạn đã biết ISMS là gì ? Dưới đây bạn sẽ biết được các lĩnh vực của một Hệ thống An ninh thông tin cần phải có:

• Chính sách an ninh: Chính sách an ninh cung cấp các chỉ dẫn hỗ trợ và quản lý an ninh thông tin.
• Tổ chức an ninh: Một tổ chức an ninh trong hệ thống ISMS có vai trò duy trì an ninh, quản lý an toàn thông tin trong các Doanh Nghiệp và các quá trình hỗ trợ thông tin và những tài sản thông tin khác được truy cập bởi các thành phần thứ 3.
• Phân loại và kiểm soát tài sản: Việc phần loại và kiểm soát tài sản là vấn đề quan trọng. Hệ thống ISMS cần đảm bảo và duy trì các tài sản của Doanh Nghiệp ở mức độ thích hợp.
• An ninh nhân sự: Hệ thống ISO 27001 có đề cập đến việc đảm bảo an ninh nhân sự. Đây là việc cần làm nhằm giảm rủi ro về sự ăn cắp, gian lận và lạm dụng hoặc lỗi của con người. Chúng nhằm giúp đảm bảo người dùng được trang bị các kiến thức về những mối đe dọa an ninh thông tin có liên quan. giảm thiểu từ những bất thường cũng như sai chức năng an ninh và giúp kiểm soát từ các bất thường phát sinh.
• An ninh môi trường và vật lý: Việc ngăn cản truy cập vật lý không được phép, can thiệp và phá hủy đến những nguồn tài nguyên thông tin mà doanh nghiệp có là điều cực kì quan trọng. Lĩnh vực này còn giúp hạn chế sự phá hủy, mất mát hoặc tấn công nhằm làm mất thông tin hoạt động kinh doanh. Ngăn cản việc ăn cắp thông tin hoặc sự tấn công từ bên ngoài và xây dựng các quy trình hỗ trợ xử lý thông tin.
• Quản lý tác nghiệp và truyền thông: Hỗ trợ xử lý thông tin đúng, đảm bảo tác nghiệp bảo mật, bảo vệ sự nguyên vẹn của phần mềm và giảm thiểu rủi ro lỗi của các hệ thống. Duy trì sự sẵn sàng và nguyên vẹn của quá trình xử lý thông tin và các dịch vụ truyền thông giúp bảo vệ cơ sở hạ tầng hỗ trợ, đảm bảo sự an toàn của thông tin trong mạng và ngăn cản phá hủy tài sản, làm gián đoạn các hoạt động kinh doanh.
• Kiểm soát truy cập: Việc truy cập dù vật lý hay trong không gian mạng trực tuyến đều cần phải được kiểm soát chặt chẽ. Việc này giúp ngăn chặn những truy cập trái phép và đảm bảo các quyền truy cập đến từ các hệ thống thông tin được cấp quyền, cấp phát tài nguyên cũng như duy trì một cách hợp lý hơn. Bảo vệ các dịch vụ mạng, đảm bảo an ninh thông tin khi dùng phương tiện điện thoại và máy tính di động.
• Duy trì và phát triển các hệ thống: Việc luôn đảm bảo và duy trì hệ thống an ninh thông tin được vận hành thông suốt là điều rất quan trọng. ISMS có nêu ra việc điều chỉnh, ngăn cản, làm dụng dữ liệu của người dùng trong hệ thống ứng dụng giúp đảm bảo tính xác thực, tính tin cậy hoặc tính toàn vẹn của thông tin.
• Quản lý sự liên tục trong kinh doanh: Bảo vệ các quá trình kinh doanh quan trọng từ các hiểm họa hoặc lỗi phát sinh, chống lại sự ngưng trệ của các hoạt động kinh doanh.
• Tuân thủ: Tuân thủ quy định, pháp luật, nghĩa vụ của hợp đồng, tránh sự vi phạm của mọi luật công dân và hình sự. Đảm bảo sự tuân thủ của các hệ thống với các chính sách an ninh và các chuẩn. Giảm thiểu trở ngại đến quá trình đánh giá hệ thống và tăng tối đa hiệu quả.

4. Trình tự thiết lập, vận hành, xem xét, duy trì, cải tiến ISMS

Hiện nay tại Việt Nam, việc áp dụng Hệ thống quản lý an toàn thông tin (ISMS) cũng như đạt được chứng nhận ISO 27001 đang trở thành xu hướng tất yếu của nhiều doanh nghiệp trong kỷ nguyên số. Để triển khai thành công và tối ưu hóa hiệu quả, doanh nghiệp cần tuân thủ lộ trình bài bản. 

4.1. Giai đoạn thiết lập hệ thống

Đây là bước đặt nền móng cho toàn bộ hệ thống an ninh thông tin của tổ chức. Trong giai đoạn này, sự cam kết từ ban lãnh đạo (đại diện là Giám đốc An ninh thông tin – CISO) đóng vai trò quyết định. Lãnh đạo phải đảm bảo nguồn lực và thể hiện rõ cam kết thiết lập ISMS thông qua các hành động cụ thể. Tiếp theo, tổ chức cần xác định phạm vi áp dụng dựa trên quy mô, đặc điểm nguồn nhân lực và tiềm lực tài chính, đồng thời đảm bảo phù hợp với các yêu cầu pháp định. Cuối cùng, việc xây dựng và ban hành Chính sách ISMS sẽ là “kim chỉ nam” bằng văn bản, công bố cam kết bảo mật của tổ chức tới các bên liên quan. 

4.2. Giai đoạn vận hành hệ thống

Để vận hành hệ thống ISMS một cách tốt nhất, doanh nghiệp cần tập trung vào việc quản lý tài sản và xử lý rủi ro. Quy trình này bao gồm việc liệt kê tất cả các tài sản thông tin, xác định giá trị và phân tích các mối đe dọa (như sự mất đi tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu). Sau khi nhận diện các rủi ro, tổ chức sẽ xây dựng và triển khai các biện pháp kiểm soát phù hợp. Giai đoạn này đòi hỏi sự tuân thủ nghiêm ngặt theo các hướng dẫn trong Phụ lục A của tiêu chuẩn. Việc nắm vững các yêu cầu vận hànhsẽ giúp doanh nghiệp lượng hóa rủi ro một cách chính xác và triển khai các biện pháp bảo mật hiệu quả.

4.3. Giai đoạn xem xét và đánh giá

Sau một thời gian vận hành, hệ thống ISMS cần được xem xét và đánh giá định kỳ để đảm bảo tính hiệu lực. Giai đoạn này bao gồm việc đo lường kết quả của các biện pháp kiểm soát đã triển khai và thực hiện đánh giá nội bộ. Ban lãnh đạo sẽ xem xét các báo cáo về hiệu suất hệ thống, những thay đổi về rủi ro và phản hồi từ các bên liên quan. Mục tiêu của việc xem xét là để kiểm chứng xem hệ thống có đang đi đúng hướng theo các mục tiêu an ninh thông tin đã đề ra ban đầu hay không. Các tiêu chí đánh giá chi tiết thường được nêu rõ trong các điều khoản kiểm soát của bản ISO 27001 phiên bản mới nhất.

4.4. Giai đoạn cải tiến liên tục

Dựa trên kết quả từ giai đoạn xem xét, tổ chức sẽ tiến hành các hành động khắc phục và cải tiến để nâng cao năng lực bảo mật. Giai đoạn cải tiến giúp ISMS không bị lạc hậu trước các mối đe dọa an ninh mạng ngày càng tinh vi. Doanh nghiệp cần cập nhật các biện pháp kiểm soát mới, đào tạo nâng cao nhận thức cho nhân viên và tối ưu hóa quy trình dựa trên thực tế vận hành. Đặc biệt, với sự ra đời của phiên bản 2022, việc cải tiến hệ thống theo các cấu trúc kiểm soát mới là vô cùng cần thiết. 

5. Kinh nghiệm của những đơn vị áp dụng hiệu quả ISMS

Dưới đây là một số kinh nghiệm được đúc kết từ những doanh nghiệp đã triển khai ISMS hiệu quả mà doanh nghiệp có thể tham khảo:

• Mọi quy trình kiểm soát trong ISMS nên tuân thủ mô hình PDCA. Hình trên minh họa cho quy trình kiểm soát tài sản thông tin đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng theo mô hình PDCA.
• Nên áp dụng thêm các tiêu chuẩn khác trong bộ tiêu chuẩn ISO/IEC 27000 để tăng hiệu quả như tiêu chuẩn ISO/IEC 27005 để quản lý rủi ro, tiêu chuẩn ISO/IEC 27004 để đo lường ISMS.
• Tập trung đầu tư hạ tầng kỹ thuật, công nghệ để giảm rủi ro từ những mối đe dọa. Ví dụ: Xây dựng các vành đai an ninh vật lý – môi trường, các giải pháp công nghệ bảo vệ cơ sở dữ liệu (các biện pháp kiểm soát quyền truy cập – các phần mềm ngăn chặn quyền truy cập trái phép, chống truy cập từ bên ngoài, các phần mềm mã hóa cơ sở dữ liệu, xác thực người dùng, chữ ký điện tử hoặc chứng thực điện tử, kiểm soát các thiết bị ngoại vi…).
• Nỗ lực thực hiện có hiệu quả những cam kết những chính sách an ninh thông tin.
• Thiết lập hệ thống các quy trình, hướng dẫn công việc, lưu hồ sơ theo yêu cầu tiêu chuẩn.
• Đào tạo nguồn nhân lực để thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến ISMS.

ĐĂNG KÝ NHẬN TƯ VẤN

Nếu doanh nghiệp của bạn đang gặp khó khăn trong quá trình triển khai ISMS, vui lòng liên hệ KNA CERT qua số Hotline: 0983.246.419 hoặc Email: salesmanager@knacert.com để được liên hệ.