Khái niệm về an toàn thông tin
Thông tin là tài sản quan trọng của tổ chức và cá nhân, tồn tại dưới nhiều hình thức như tài liệu in, file điện tử, email, phim hoặc trong các cuộc họp Trong môi trường cạnh tranh hiện nay, thông tin đang bị đe dọa từ nhiều nguồn khác nhau, bao gồm cả nội bộ và bên ngoài, với sự phát triển công nghệ trong việc liên lạc và lưu trữ Điều này dẫn đến việc chúng ta phải đối mặt với nhiều mối nguy mới, bên cạnh những mối nguy truyền thống.
An toàn thông tin là việc bảo vệ thông tin một cách an toàn, giữ nguyên giá trị của nó, và đảm bảo các hệ thống cũng như dịch vụ có khả năng ngăn chặn, chống lại các tai nạn, lỗi và tác động không mong đợi, đồng thời phục hồi từ những sự cố đó Nó bao gồm nhiều yếu tố, nhưng chủ yếu là sự kết nối giữa yếu tố công nghệ và yếu tố con người.
Yếu tố công nghệ bao gồm các sản phẩm như Firewall, phần mềm chống virus, giải pháp mã hóa, thiết bị mạng, hệ điều hành, cũng như các ứng dụng như trình duyệt Internet và phần mềm nhận Email từ máy trạm.
Yếu tố con người đóng vai trò quan trọng trong việc sử dụng máy tính và làm việc với thông tin Những người sử dụng máy tính cần tuân thủ các chính sách an toàn thông tin để bảo vệ dữ liệu và thông tin trong công việc của họ Sự kết hợp giữa con người và chính sách an toàn thông tin là yếu tố then chốt để đảm bảo an toàn cho hệ thống thông tin.
Khái niệm an toàn thông tin bao gồm việc bảo vệ cả phần cứng và phần mềm, với an toàn phần cứng tập trung vào việc duy trì hoạt động của cơ sở hạ tầng thông tin An toàn phần mềm liên quan đến các biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin, đảm bảo chúng hoạt động đúng chức năng và phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy Để đạt được an toàn thông tin, cần đảm bảo ba yếu tố quan trọng: tính bí mật, toàn vẹn và sẵn sàng của các hệ thống thông tin phục vụ cho hoạt động của tổ chức.
Hình 1: Tam giác an toàn thông tin - CIA
Tính bí mật là yếu tố quan trọng nhất trong mọi giải pháp an toàn cho sản phẩm và hệ thống công nghệ thông tin Một giải pháp an toàn bao gồm các quy tắc xác định quyền truy cập thông tin cho một nhóm người dùng nhất định và tài sản thông tin cụ thể Trong trường hợp kiểm soát truy cập cục bộ, nhóm người truy cập sẽ được quản lý chặt chẽ để đảm bảo an toàn thông tin.
Mười điều được kiểm soát đảm bảo rằng người dùng chỉ truy cập những số liệu cần thiết Tính bí mật đóng vai trò quan trọng trong việc xác thực rằng các chức năng kiểm soát truy cập luôn hoạt động hiệu quả.
Tính bí mật của thông tin chỉ cho phép cung cấp cho những người có thẩm quyền, giúp ngăn ngừa các hành vi cố ý hoặc vô ý truy cập vào thông tin không được phép.
Tính toàn vẹn thông tin đề cập đến việc bảo đảm rằng thông tin không bị thay đổi hoặc mất mát trong quá trình lưu trữ và truyền tải Điều này có nghĩa là thông tin cần phải được giữ nguyên vẹn và không bị hiệu chỉnh Để duy trì tính toàn vẹn, cần thực hiện một loạt các biện pháp đồng bộ nhằm bảo đảm rằng thông tin luôn được cập nhật, đầy đủ và bảo mật Những điểm yếu trong hệ thống có thể dễ dàng bị khai thác, dẫn đến những hậu quả nghiêm trọng cho tính toàn vẹn thông tin của tổ chức nếu không có các biện pháp bảo vệ thích hợp.
Tính sẵn sàng là đảm bảo cho người dùng hợp lệ có thể truy xuất vào hệ thống đúng như thiết kế
Tính sẵn sàng của thông tin là yếu tố quan trọng, đảm bảo rằng thông tin được cung cấp đúng lúc và đến tay người dùng hợp lệ khi cần thiết hoặc được yêu cầu.
Tính sẵn sàng là yếu tố quan trọng đảm bảo độ ổn định và độ tin cậy của thông tin, đồng thời đóng vai trò là thước đo xác định giới hạn an toàn của một hệ thống thông tin.
Tình hình an ninh thông tin hiện nay
Tình hình an ninh thông tin trên thế giới
Hiện nay, tình hình an ninh thông tin đang đối mặt với nhiều nguy cơ như nghe lén, gián điệp và tấn công bằng mã độc, có thể dẫn đến hậu quả nghiêm trọng như tiết lộ thông tin cá nhân, lừa đảo, chiếm đoạt bí mật công nghệ và gián đoạn dịch vụ Những mối đe dọa này không chỉ ảnh hưởng đến cuộc sống hàng ngày của cá nhân mà còn có thể gây tổn hại lớn đến nền kinh tế quốc gia và an ninh quốc gia.
Trong thời gian gần đây, các nguy cơ an ninh đối với hệ thống thông tin đang gia tăng đáng kể Nhiều lỗ hổng bảo mật đã bị khai thác, dẫn đến sự gia tăng mật độ các cuộc tấn công mạng quy mô lớn Điều này đặc biệt nghiêm trọng khi các lỗ hổng về an toàn thông tin ảnh hưởng sâu sắc đến cộng đồng công nghệ thông tin.
Lỗ hổng bảo mật "Heartbleed" (Trái tim rỉ máu) là một lỗ hổng nghiêm trọng ảnh hưởng đến hai phần ba thiết bị Internet toàn cầu, nằm trong phần mềm mã nguồn mở OpenSSL Nhiều trang web lớn như Google, Facebook, Yahoo và Amazon sử dụng OpenSSL để bảo vệ thông tin cá nhân của người dùng Heartbleed cho phép tin tặc truy cập vào quá trình trao đổi dữ liệu và lấy ra thông tin từ bộ nhớ máy tính mà không gặp trở ngại nào, bao gồm cả những thông tin ngẫu nhiên và đôi khi vô dụng như lịch sinh nhật hay lịch họp.
Lỗ hổng bảo mật Ghost trong glibc cho phép tin tặc thực thi lệnh từ xa, chiếm quyền điều khiển máy chủ Linux Lỗi này liên quan đến tràn bộ đệm heap-based và ảnh hưởng đến tất cả hệ thống Linux, xuất hiện trong mã glibc từ năm 2000 Các ứng dụng PHP và WordPress là hai trong số những ứng dụng bị ảnh hưởng nghiêm trọng bởi lỗ hổng này.
• Lỗ hổng bảo mật Shellshock xuất hiện vào tháng 9 cũng rất nguy hiểm
Lỗ hổng Shellshock trong phần mềm lõi Bash, phổ biến trên các hệ thống Unix, cho phép kẻ tấn công thực thi lệnh từ xa trên các hệ thống dễ bị tổn thương.
Lỗ hổng Poodle là một lỗ hổng nghiêm trọng trong giao thức SSL 3.0, cho phép kẻ tấn công dễ dàng đánh cắp cookie của người dùng Từ đó, kẻ tấn công có thể thực hiện nhiều cuộc tấn công có chủ đích khác, gây ra nguy cơ bảo mật cao cho thông tin cá nhân.
Lỗ hổng Logjam đang đe dọa hàng triệu người dùng Internet, ảnh hưởng đến hàng ngàn website sử dụng giao thức HTTPS, máy chủ email và nhiều dịch vụ trực tuyến phổ biến Lỗ hổng này cho phép tin tặc thực hiện các cuộc tấn công "người đứng giữa" (MitM), từ đó đọc và chỉnh sửa thông tin cá nhân của người dùng.
12 kết nối đã được mã hóa giữa người dùng với một dịch vụ web hay email sử dụng khóa 512 bit
Trong quá trình phân tích dữ liệu rò rỉ từ Hacking Team, các nhà nghiên cứu đã phát hiện nhiều lỗ hổng nghiêm trọng liên quan đến phần mềm Adobe Flash Player, hệ điều hành Windows và Internet Explorer Đặc biệt, lỗ hổng zero-day CVE-2015-5119 của Adobe Flash Player cho phép tin tặc thực thi mã độc, gây “crash” máy và kiểm soát toàn bộ hệ thống Lỗ hổng CVE-2015-5122 cũng có khả năng khiến máy tính bị “crash” và cho phép kẻ tấn công chiếm quyền điều khiển hệ thống Các lỗ hổng này đi kèm với mã khai thác POC thành công, gây ảnh hưởng lớn đến cộng đồng mạng.
Phương thức tấn công "Man-In-The-Cloud" (MITC) cho phép tin tặc xâm nhập vào các dịch vụ điện toán đám mây như Dropbox và Google Drive mà không cần mật khẩu của người dùng Lỗ hổng bảo mật này khai thác sự yếu kém trong quá trình đồng bộ hóa tập tin, vốn có trong thiết kế của nhiều dịch vụ như Google, Box, Microsoft và Dropbox Các cuộc tấn công MITC không chỉ dựa vào lỗ hổng trong ứng dụng đồng bộ hay máy chủ lưu trữ đám mây mà còn dựa vào lỗi thiết kế, cho phép tin tặc truy cập và lợi dụng tài khoản đã bị đánh cắp Điều này giúp họ giả mạo người dùng hợp pháp, quản lý các tệp tin và thậm chí tải lên phần mềm độc hại.
Nhiều lỗ hổng bảo mật nghiêm trọng đã được phát hiện, với các hình thức tấn công liên tục thay đổi, gây ra hậu quả nghiêm trọng cho các quốc gia.
Năm 2015 chứng kiến tình hình an ninh thông tin toàn cầu trở nên phức tạp, với sự gia tăng các phần mềm độc hại và các cuộc tấn công mạng đa dạng Các hình thức tấn công liên tục thay đổi, dẫn đến nhiều cuộc tấn công thành công trong thời gian gần đây.
Mã độc RIG Exploit Kit 3.0 đã lây nhiễm nhanh chóng, với tốc độ trung bình 27 nghìn máy tính mỗi ngày, tổng số máy bị lây nhiễm đạt 1,3 triệu trên toàn cầu kể từ ngày 3/8/2015 Trong số đó, Brazil ghi nhận 450 nghìn máy bị nhiễm, Mỹ có hơn 45 nghìn, Anh 10 nghìn, Canada 4 nghìn, và Việt Nam cũng bị ảnh hưởng.
13 trên 302 nghìn máy bị lây nhiễm Tỉ lệ lây nhiễm cao liên quan đến lỗ hổng Adobe Flash Player, kể cả lỗ hổng trong vụ rò rỉ “Hacking Team”
Phần mềm độc hại Superfish VisualDiscovery thu thập thông tin từ các truy cập trên máy tính đã cài đặt nó, ngay cả khi dữ liệu được mã hóa bằng HTTPS Superfish chèn quảng cáo vào lưu lượng web của người dùng và thực hiện giả mạo SSL mà không thông báo cho người dùng về việc lưu lượng web đã bị can thiệp.
Nhóm tin tặc APT17 của Trung Quốc đã lợi dụng trang Technet của Microsoft để triển khai hoạt động độc hại, theo phát hiện của công ty bảo mật FireEye Họ đã tạo tài khoản giả mạo trên diễn đàn Microsoft và gắn thông tin mã hóa C&C cho một biến thể Trojan BlackCoffee, cho phép truy cập từ xa Các nhà nghiên cứu của RSA cho biết mã độc này được đính kèm vào một kết nối mã hóa, dẫn đến một trang web hồ sơ tài khoản TechNet.
• Trong tháng 9/2015, tin tặc liên tục tấn công vào các trang mạng và hệ thống máy tính đánh cắp nhiều thông tin, dữ liệu quan trọng
• Ngày 01/09 theo báo cáo của IBM, một Trojan ngân hàng mới có tên là
Shifu đã tấn công 14 ngân hàng Nhật Bản, đánh cắp mật khẩu và thông tin ủy quyền của người dùng, đồng thời thu thập chứng chỉ riêng tư và token xác thực Ngoài ra, nó còn trích xuất dữ liệu từ thẻ thông minh của người dùng.
Tình hình an ninh thông tin tại Việt Nam
Trong bối cảnh toàn cầu hóa, an toàn thông tin tại Việt Nam đang ngày càng ảnh hưởng đến mọi khía cạnh của đời sống xã hội Sự phát triển nhanh chóng của công nghệ thông tin và Internet đã dẫn đến sự gia tăng đáng kể về số lượng thiết bị viễn thông di động, đặc biệt là điện thoại thông minh Sự bùng nổ ứng dụng di động đi kèm với những tiện ích mà công nghệ mang lại, nhưng cũng đồng thời kéo theo sự gia tăng các vụ tấn công mạng Môi trường an ninh mạng tại Việt Nam hiện đang đối mặt với nhiều thách thức cần được giải quyết.
Sự thiếu giám sát giữa các tổ chức quản lý Internet, nhân lực an toàn thông tin hạn chế và sự chủ quan của người dùng đã tạo điều kiện cho các hành vi như đánh cắp tài khoản, phát tán virus máy tính và tấn công website gia tăng, từ đó tiềm ẩn nhiều nguy cơ cho an ninh mạng.
Theo nghiên cứu mới nhất của Công ty An ninh mạng Bkav Security, trong nửa đầu năm 2015, trung bình mỗi tháng có hơn 1.000 trang giả mạo Facebook được phát hiện, nhằm mục đích đánh cắp thông tin tài khoản và lừa đảo người dùng Ngoài ra, có tới 13,9 triệu tin nhắn rác được phát tán mỗi ngày, và 30% website ngân hàng tồn tại lỗ hổng bảo mật.
Hình thức lừa đảo nạp thẻ điện thoại "ông chú Viettel" đang xuất hiện nhiều biến tướng mới, với tội phạm tạo ra các website giả mạo trang nạp thẻ nhằm tăng độ tin cậy từ người dùng Hành vi này đã khiến nhiều nạn nhân bị mất tiền, với số tiền thiệt hại lên tới vài triệu đồng Trung bình mỗi tháng, có khoảng 200 website giả mạo nạp thẻ được lập ra bởi kẻ xấu.
Vào ngày 23/02/2015, Google Việt Nam, trang web tìm kiếm hàng đầu thế giới, đã thông báo rằng họ bị tấn công bởi nhóm hacker Lizard Squad.edu.vn.
Vào ngày 14/5/2015, Phòng Cảnh sát Phòng chống tội phạm sử dụng công nghệ cao (PC50) thuộc Công an Hà Nội đã tiến hành tạm giữ ba đối tượng vì hành vi sử dụng mạng máy tính, mạng viễn thông và Internet cùng các thiết bị số để đánh cắp thông tin tài khoản thẻ tín dụng của khách hàng.
Vào ngày 11/10/2015, một cuộc tấn công mạng đã xảy ra, khiến giao diện của website Sở Giáo dục và Đào tạo Đà Nẵng bị thay đổi và được cho là đã xóa toàn bộ dữ liệu trong bộ nhớ tạm thời của trang web này.
Trong 6 tháng đầu năm 2015, Việt Nam ghi nhận 23.605 dòng virus máy tính mới, lây nhiễm trên hơn 30 triệu lượt máy tính Virus W32.Sality.PE là loại lây lan mạnh nhất, ảnh hưởng đến 2.676.000 máy tính.
• Cũng trong 2 quý đầu năm, 2.790 website của các cơ quan, doanh nghiệp tại Việt Nam bị hacker xâm nhập, trong đó có 34 site gov.vn và 122 site.edu.vn
Bên cạnh các cuộc tấn công, các phần mềm độc hại, năm 2015 tình hình ATTT tại Việt Nam cũng diễn ra một số sự kiện tiêu biểu như sau :
• Hội thảo – Triển lãm Quốc gia về An ninh Bảo mật 2015 (Security World
2015) diễn ra ngày 25/3/2015 tại Hà Nội với chủ đề “Tăng cường Bảo mật & An toàn thông tin trong Môi trường rủi ro hiện nay”
VNISA đã bắt đầu triển khai Bộ quy tắc đạo đức nghề nghiệp an toàn thông tin từ đầu năm 2015, và đến nay đã có 11 đơn vị, doanh nghiệp ký cam kết tuân thủ quy tắc này.
Hội thảo Tetcon 2015 diễn ra vào ngày 06/01/2015 tại TP Hồ Chí Minh, thu hút sự tham gia của nhiều chuyên gia bảo mật trong và ngoài nước, đánh dấu sự khởi đầu cho chuỗi sự kiện an toàn thông tin tại Việt Nam trong năm 2015.
• Ngày 17/4/2015 Việt Nam tham dự Hội nghị toàn cầu về không gian mạng
• Ngày 20/5/2015 Việt Nam tham gia diễn tập an ninh mạng ASEAN – Nhật Bản
Vào ngày 22/4/2015, tại Hà Nội, Hội thảo về “Giám sát An toàn thông tin trên mạng CNTT của các cơ quan nhà nước” đã được tổ chức bởi Ban Cơ yếu Chính phủ Sự kiện này nhằm nâng cao nhận thức và chia sẻ kinh nghiệm trong việc bảo đảm an toàn thông tin cho các cơ quan nhà nước.
Tình hình an ninh trong nước đang có dấu hiệu tích cực, nhưng an toàn mạng tại các doanh nghiệp vẫn chưa được chú trọng đúng mức, tạo điều kiện cho tin tặc tấn công Mặc dù các doanh nghiệp đã nhận thức được tầm quan trọng của an toàn thông tin, họ vẫn gặp khó khăn trong việc thiết lập quy mô và chính sách an toàn thông tin phù hợp Đối với các doanh nghiệp lớn, việc tự phát triển tài liệu chính sách an toàn thông tin cho tất cả người dùng là một thách thức lớn Một giải pháp hiệu quả hơn là xây dựng một bộ tài liệu chính sách an toàn thông tin tổng quát, có thể áp dụng cho các đối tượng cụ thể, nhằm đảm bảo hiệu quả cho tất cả mọi người.
Khái quát về chính sách an toàn thông tin
Khái niệm chính sách an toàn thông tin
Chính sách an toàn, theo “Sách da cam” năm 1983, bao gồm các điều luật, quy định và giải pháp thực tiễn nhằm giám sát việc điều khiển, bảo vệ và phân phối thông tin nhạy cảm trong hệ thống.
Chính sách an toàn thông tin đóng vai trò quan trọng trong việc định hướng quản lý và bảo đảm an toàn thông tin, đáp ứng các yêu cầu trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định cần tuân thủ.
Quản lý các chính sách an toàn thông tin là rất quan trọng, vì nó không chỉ định hướng rõ ràng cho tổ chức mà còn chứng minh khả năng hỗ trợ các cam kết về an toàn thông tin Việc xây dựng và duy trì các chính sách này giúp đảm bảo an toàn thông tin hiệu quả cho tổ chức.
Hiện nay, hệ thống thông tin đóng vai trò quan trọng trong các tổ chức, cung cấp khả năng xử lý thông tin hiệu quả Tuy nhiên, sự phát triển nhanh chóng của công nghệ máy tính và việc phát hành phần mềm liên tục với nhiều tính năng mới đã dẫn đến việc các sản phẩm không được kiểm tra kỹ lưỡng, gây ra nhiều lỗ hổng bảo mật Bên cạnh đó, sự phát triển của hệ thống mạng và tính phân tán của thông tin cũng tạo điều kiện cho người dùng dễ dàng truy cập, nhưng đồng thời cũng mở ra nhiều cơ hội cho tin tặc tấn công.
Một chính sách hiệu quả đòi hỏi sự cam kết quản lý và hỗ trợ các thủ tục cần thiết, cùng với một khuôn khổ kỹ thuật phù hợp để thực hiện Cần có sự tham gia của những người có thẩm quyền, cũng như phương tiện để kiểm tra và đảm bảo tuân thủ Ngoài ra, cần có cơ chế pháp lý rõ ràng để phản ứng kịp thời khi chính sách bị xâm phạm.
Chính sách phù hợp đóng vai trò quan trọng trong việc bảo mật thông tin, cung cấp các chỉ đạo và hành động cần thiết để liên kết tất cả các khía cạnh của quản lý an ninh thông tin.
Tầm quan trọng của chính sách an toàn thông tin
Để xây dựng một hệ thống thông tin hiện đại phục vụ nhu cầu của các cơ quan và tổ chức, việc bảo vệ hệ thống thông tin là vô cùng cần thiết Điều này đảm bảo an toàn và bảo mật cho dữ liệu, giúp duy trì hoạt động hiệu quả của các tổ chức.
18 thống đó hoạt động ổn định và tin cậy An toàn và bảo mật thông tin là thiết yếu trong mọi cơ quan, tổ chức
Chính sách an ninh thông tin cần xác định rõ các mục đích và vai trò của mình Để đảm bảo an toàn, chính sách này phải thực hiện nhiều mục tiêu quan trọng nhằm bảo vệ dữ liệu và hệ thống thông tin.
• Bảo vệ thông tin và đối tượng sử dụng
• Thiết lập các quy tắc về các hành vi của người dùng, quản trị hệ thống, quản lý, và nhân viên an ninh
• Cho phép nhân viên an ninh có thể giám sát, thăm dò, điều tra
• Xác định và áp dụng biện pháp khắc phục những hậu quả của hành vi vi phạm quy định
• Xác định lập trường nhất quán của công ty về an ninh
• Giúp giảm thiểu rủi ro
• Giúp kiểm soát việc tuân thủ các quy định
Chính sách an toàn thông tin là nền tảng cho tất cả các chỉ thị, chuẩn mực, thủ tục và hướng dẫn liên quan Để đảm bảo an toàn cho cơ sở hạ tầng, việc thiết lập một nền tảng vững chắc là điều thiết yếu Chính sách này thực hiện hai vai trò quan trọng: đối nội và đối ngoại.
Phần đối nội giúp nhân viên hiểu rõ kỳ vọng và cách đánh giá hành động của họ, trong khi phần đối ngoại truyền đạt với thế giới về cách thức điều hành doanh nghiệp, chính sách hỗ trợ hoạt động kinh doanh và cam kết bảo vệ tài sản quan trọng nhằm thực hiện thành công sứ mệnh của tổ chức.
Chính sách bảo đảm an toàn thông tin của chúng ta được triển khai với mục tiêu rõ ràng, nhiệm vụ cụ thể và trách nhiệm của từng cá nhân trong tổ chức Mỗi thành viên cần hiểu rõ vai trò của mình trong việc thực hiện các biện pháp bảo mật, nhằm bảo vệ thông tin và dữ liệu quan trọng.
Trong các cuộc thảo luận về yêu cầu văn bản, thuật ngữ “chính sách” mang nhiều nghĩa khác nhau Đối với một số người, chính sách được hiểu là chỉ đạo từ nhà quản lý cấp cao, liên quan đến cách thức hoạt động của chương trình, mục tiêu, đối tượng và trách nhiệm của các bên liên quan Bên cạnh đó, “chính sách” cũng có thể ám chỉ các quy tắc an toàn cụ thể cho một hệ thống nhất định, như tập luật ACF2, giấy phép RACF, hoặc các chính sách hệ thống phát hiện xâm nhập.
Các quyết định quản lý cụ thể đóng vai trò quan trọng trong việc thiết lập chính sách bảo mật thư điện tử và chính sách sử dụng Internet của tổ chức.
Việc xây dựng chính sách an toàn thông tin không chỉ là vấn đề kỹ thuật hay trách nhiệm kiểm tra mà cần phải được tích hợp vào tất cả các chính sách của tổ chức.
Chính sách cung cấp cho tổ chức một hệ thống quản trị rõ ràng và hiệu quả, giúp quản lý nội bộ tốt hơn và giảm thiểu rủi ro thông tin Một chính sách an toàn thông tin rõ ràng sẽ mang lại lợi ích thực sự cho tổ chức.
• Cung cấp hướng chỉ đạo và cam kết quản lý rõ ràng
• Thiết lập trách nhiệm và vai trò đã được thỏa thuận
Chính sách an toàn thông tin giúp giảm thiểu rủi ro và ứng phó kịp thời với các sự cố an ninh Nó xác định thông tin, bao gồm cả thông báo nội bộ và bên ngoài, như một tài sản quý giá của tổ chức, được bảo vệ khỏi truy cập trái phép, sửa đổi và tiết lộ.
Trong bối cảnh an ninh thông tin ngày càng phức tạp, các cơ quan và tổ chức cần thiết lập một chính sách bảo mật thống nhất Việc xây dựng hệ thống an toàn thông tin có thể thực hiện qua nhiều phương thức và quan điểm khác nhau Một trong những biện pháp phòng ngừa quan trọng được đề xuất gần đây là triển khai áp dụng các giải pháp bảo mật hiệu quả.
Hệ thống Quản lý An toàn Thông tin theo các nguyên tắc của bộ tiêu chuẩn quốc tế ISO/IEC 27000
GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO TRONG LĨNH VỰC QUẢN LÝ AN TOÀN THÔNG TIN
Giới thiệu chung
Hiện nay, nhiều tổ chức và doanh nghiệp phụ thuộc vào hệ thống mạng máy tính và cơ sở dữ liệu, dẫn đến việc hoạt động của họ bị ảnh hưởng nghiêm trọng khi gặp sự cố công nghệ thông tin Điều này có thể gây ra tình trạng tê liệt hoàn toàn cho các đơn vị Do đó, Hệ thống Quản lý An toàn thông tin ngày càng được chú trọng và áp dụng rộng rãi.
The Information Security Management System (ISMS) is an integral component of comprehensive management systems, designed to identify and address potential risks within an organization's operations It focuses on establishing, implementing, operating, monitoring, reviewing, maintaining, and enhancing information security measures to ensure the protection of sensitive data.
Hệ thống Quản lý An toàn thông tin (ISMS) là bộ quy định bao gồm chính sách, quy trình, hướng dẫn, quản lý rủi ro và đánh giá, được áp dụng trong các tổ chức như doanh nghiệp hoặc trường học Mục tiêu của ISMS là đảm bảo an toàn cho hệ thống thông tin và tuân thủ các yêu cầu trong tiêu chuẩn ISO/IEC 27000.
ISO/IEC 27000 có nguồn gốc từ Anh quốc Bắt đầu vào năm 1992, Phòng Thương mại và Công nghiệp Anh (UK Department Trade and Industrial) ban
Vào năm 1995, Viện tiêu chuẩn hoá Anh đã ban hành 21 hành ra qui phạm thực hành về hệ thống an toàn thông tin, dựa trên các hệ thống đảm bảo an toàn thông tin nội bộ của các công ty dầu khí, với mã hiệu BS 7799-1 Đến năm 2000, tiêu chuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chấp nhận và phát hành với mã hiệu ISO/IEC 17799:2000, đánh dấu bước đầu của bộ tiêu chuẩn ISO/IEC 27000 hiện nay.
ISO (Tổ chức tiêu chuẩn quốc tế) và IEC (Hội đồng kỹ thuật quốc tế) là hai tổ chức thiết lập tiêu chuẩn toàn cầu, với sự tham gia của các quốc gia thành viên trong việc phát triển chuẩn quốc tế thông qua các ủy ban chuyên trách ISO và IEC hợp tác trong các lĩnh vực có lợi ích chung, trong đó ISO/IEC 27000 đóng vai trò quan trọng trong hệ thống quản lý của tổ chức Tiêu chuẩn này được xây dựng dựa trên nguyên tắc tiếp cận rủi ro, nhằm thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến an toàn thông tin trong tổ chức.
Tiêu chuẩn ISO/IEC 27000 phù hợp với tất cả các tổ chức, từ nhỏ đến lớn, và có thể áp dụng cho mọi lĩnh vực kinh tế toàn cầu Nó cũng đưa ra các yêu cầu cần thiết cho việc thiết lập một Hệ thống Quản lý An toàn Thông tin (ISMS).
Bộ tiêu chuẩn ISO/IEC 27000 phù hợp với mọi tổ chức có nhu cầu bảo vệ thông tin Triển khai Hệ thống Quản lý An ninh Thông tin (ISMS) theo tiêu chuẩn này mang lại nhiều lợi ích cho tổ chức.
Để bảo vệ thông tin của tổ chức, việc nhận biết và đánh giá các rủi ro là rất quan trọng Điều này giúp xây dựng các biện pháp phòng ngừa hiệu quả, đồng thời nâng cao ý thức và trách nhiệm của nhân viên trong việc bảo vệ dữ liệu.
• Thể hiện trách nhiệm của tổ chức trong việc quản lý hệ thống thông tin, biểu hiện bảo mật thông tin trên mọi mức độ của tổ chức
• Thể hiện tính tuân thủ luật pháp và quy tắc trong lĩnh vực quản lý thông tin
• Quản lý rủi ro, dẫn đến hiểu biết tốt hơn về hệ thống an toàn thông tin, điểm yếu của chúng và cách bảo vệ chúng
• Các đối tác, cổ đông và khách hàng yên tâm khi họ thấy được sự quan trọng trong bảo vệ thông tin của tổ chức
Để giảm thiểu các rủi ro, cần xác định thông tin quan trọng và các rủi ro tiềm ẩn, đồng thời tìm ra mức chi phí bảo hiểm phù hợp nhất cho từng loại rủi ro.
• Phát triển nhận thức của nhân viên trong an toàn và trách nhiệm của họ đối với tổ chức
Hệ thống Quản lý an toàn thông tin (ISMS) theo tiêu chuẩn ISO/IEC 27000 đã được triển khai rộng rãi trên toàn cầu, đặc biệt trong lĩnh vực tài chính ngân hàng Hiện nay, có khoảng 2063 tổ chức đã áp dụng và được chứng nhận ISMS trên thế giới Nhật Bản dẫn đầu với 1190 chứng chỉ, tiếp theo là Anh với 219 và Đài Loan với 69 chứng chỉ.
Các lĩnh vực áp dụng Hệ thống quản lý an ninh thông tin (ISMS) có tỷ lệ khác nhau, trong đó lĩnh vực viễn thông dẫn đầu với 27% tổng số chứng chỉ cấp ra Lĩnh vực tài chính ngân hàng chiếm 20%, trong khi lĩnh vực công nghệ thông tin chiếm 15%.
Hy vọng rằng trong tương lai, sẽ có nhiều tổ chức tại Việt Nam áp dụng Hệ thống Quản lý An ninh Thông tin (ISMS) nhằm giảm thiểu rủi ro liên quan đến an toàn thông tin, từ đó đảm bảo sự phát triển bền vững.
Các tiêu chuẩn của bộ tiêu chuẩn ISO/IEC 27000
Bộ tiêu chuẩn ISO/IEC 27000 cung cấp mô hình thiết lập và vận hành hệ thống quản lý an toàn thông tin (ISMS) Việc áp dụng tiêu chuẩn này giúp các tổ chức phát triển khung quản lý an toàn cho tài sản thông tin và chuẩn bị cho đánh giá độc lập nhằm bảo vệ thông tin ISO/IEC 27000 cũng mang đến cái nhìn tổng quan về các chuẩn trong bộ tiêu chuẩn, cùng với các thuật ngữ và định nghĩa liên quan.
27000 bao gồm những chuẩn sau:
Hình 2: Cấu trúc bộ tiêu chuẩn ISO/IEC 27000
Bộ tiêu chuẩn ISO/IEC 27000 hiện tại bao gồm những tiêu chuẩn cụ thể sau:
• ISO/IEC 27000: 2009: Tổng quan, từ vựng và định nghĩa (thuật ngữ) của hệ thống quản lý an toàn thông tin (ISMS)
• ISO/IEC 27001: 2005: Xác định các yêu cầu đối với hệ thống quản lý an toàn thông tin (ISMS)
• ISO/IEC 27002: 2005: Xác định các quy tắc thực hành cho quản lý an toàn thông tin
• ISO/IEC 27003: Đưa ra các hướng dẫn áp dụng cho hệ thống an toàn thông tin (ISMS)
ISO/IEC 27004 đưa ra các tiêu chuẩn về việc đo lường và định lượng hệ thống quản lý an toàn thông tin (ISMS), nhằm giúp đánh giá hiệu quả của việc áp dụng các biện pháp an ninh thông tin Việc tuân thủ các tiêu chuẩn này không chỉ nâng cao khả năng bảo mật mà còn cải thiện quy trình quản lý rủi ro trong tổ chức.
• ISO/IEC 27005: 2008: Đưa ra tiêu chuẩn về quản lý rủi ro an toàn thông tin
• ISO/IEC 27006: 2007: Đưa ra yêu cầu cho các cơ quan kiểm toán và chứng nhận hệ thống quản lý an toàn thông tin (ISMS)
• ISO/IEC 27007: Đường dẫn cho việc kiểm toán hệ thống an toàn thông tin (ISMS)
Hiện nay, bộ chuẩn này đang trong quá trình xây dựng, sửa đổi và bổ sung để phù hợp hơn với các yêu cầu khắt khe từ các đơn vị, tổ chức và doanh nghiệp.
Tại Việt Nam, hai tiêu chuẩn TCVN ISO/IEC 27001 và TCVN ISO/IEC 27002 đã được ban hành, được xây dựng dựa trên các tiêu chuẩn tương đương của bộ ISO/IEC 27000 Tiêu chuẩn ISO/IEC 27001 cung cấp mô hình chuẩn để thiết lập và quản lý hệ thống an ninh thông tin, trong khi ISO/IEC 27002 đưa ra các biện pháp và khuyến cáo nhằm đảm bảo an toàn thông tin, hỗ trợ thực hiện các yêu cầu của ISO/IEC 27001.
Tiêu chuẩn ISO/IEC 27001: 2005
ISO/IEC 27001: 2005 là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC
Tiêu chuẩn ISO 27000 về quản lý an toàn thông tin được phát triển dựa trên tiêu chuẩn BS7799 của Viện tiêu chuẩn Anh quốc (BSI) Vào tháng 12 năm 2000, tiêu chuẩn an toàn thông tin quốc tế ISO đã bao gồm BS 7799, cung cấp đặc tả kỹ thuật cho hệ thống quản lý an toàn thông tin (ISMS), cùng với ISO/IEC 17799, mô tả các quy tắc thực tiễn cho hệ thống này.
Tháng 9 năm 2002, soát xét phần 2 của chuẩn BS7799 được thực hiện nhằm thống nhất với các chuẩn quản lý khác như ISO/IEC 9001: 2000 và ISO 14001: 1996 cũng như với các nguyên tắc chính của Tổ chức Hợp tác và phát triển kinh tế (OECD) Tháng 10 năm 2005 ISO phát triển ISO/IEC 17799 và BS7799 thành ISO/IEC 27001: 2005, tập trung vào công tác đánh giá và chứng nhận
ISO/IEC 27001 là tiêu chuẩn thay thế cho BS7799-2: 2002, định nghĩa hệ thống quản lý an toàn thông tin (ISMS) Tiêu chuẩn này cung cấp một mô hình rõ ràng cho việc thiết lập, thực hiện, kiểm soát, duy trì và cải tiến ISMS, giúp tổ chức quản lý và bảo vệ thông tin hiệu quả hơn.
ISO/IEC 27001 is a standard that outlines the requirements for establishing and implementing an Information Security Management System (ISMS) to ensure confidentiality, integrity, and availability of information This framework helps organizations manage and protect sensitive data effectively, mitigating risks associated with information security breaches By adhering to ISO/IEC 27001, businesses can enhance their security posture and build trust with stakeholders.
25 toàn vẹn (integrity) và tính sẵn sàng (availability) đối với tài sản thông tin của các tổ chức/doanh nghiệp
The ISO/IEC 27001 standard for Information Security Management Systems has become a top priority for organizations today There is a growing interest in adopting ISO/IEC 27001 as companies recognize the importance of safeguarding their information assets and ensuring robust security practices.
ISO/IEC 27001 đóng vai trò quan trọng trong việc quản lý và bảo vệ bí mật, toàn vẹn và sẵn sàng của tài sản thông tin trong tổ chức, cũng như đối với nhà đầu tư, khách hàng và nhà cung cấp Theo tiêu chuẩn này, việc quản lý tài sản thông tin là cần thiết để đảm bảo an toàn và bảo mật cho tất cả các bên liên quan.
• Thông tin: cơ sở dữ liệu, tài liệu hệ thống, file hướng dẫn sử dụng
• Phần mềm: ứng dụng, công cụ quản lý, công cụ phát triển
• Phần cứng: máy tính, thiết bị mạng, thiết bị lưu trữ
• Dịch vụ: dịch vụ internet, điện
• Con người: nhân viên, đối tác
Tiêu chuẩn này giúp các tổ chức và doanh nghiệp quản lý toàn diện hoạt động của mình, chú trọng đến việc lưu trữ dữ liệu ở mọi định dạng Nó đảm bảo tính sẵn sàng và độ tin cậy của phần cứng và cơ sở dữ liệu, bảo mật thông tin, và tạo dựng niềm tin với đối tác và khách hàng Đồng thời, tiêu chuẩn này còn giảm chi phí bảo hiểm và nâng cao nhận thức, trách nhiệm của nhân viên về an ninh thông tin.
Tiêu chuẩn ISO/IEC 27001 có thể dùng cho tất cả các tổ chức thuộc mọi loại hình và quy mô
2.3.2 Lợi ích và tình hình ứng dụng của tiêu chuẩn ISO/IEC 27001
Thông tin là tài sản quan trọng quyết định sự thành bại của các cơ quan, tổ chức và doanh nghiệp Việc bảo vệ thông tin nhạy cảm trước các mối đe dọa là cần thiết, và áp dụng các tiêu chuẩn an toàn thông tin là biện pháp hiệu quả để bảo vệ tài sản này ISO/IEC 27001 cung cấp cấu trúc và biện pháp kiểm soát giúp cải thiện an ninh thông tin, đồng thời tăng cường sự tin tưởng từ khách hàng và đối tác.
Tiêu chuẩn ISO/IEC 27001:2005 đã được áp dụng rộng rãi trên toàn cầu và đã trải qua nhiều lần sửa đổi để phù hợp với các mô hình tổ chức đa dạng Việc áp dụng tiêu chuẩn này mang lại nhiều lợi ích cho các cơ quan và tổ chức, bao gồm việc tăng cường bảo mật thông tin, nâng cao uy tín và lòng tin từ khách hàng, cũng như cải thiện quy trình quản lý rủi ro.
• Cho phép các cơ quan, tổ chức xác định được đúng mục tiêu, phạm vi và vai trò của hệ thống quản lý an toàn thông tin
• Xây dựng một giải pháp tổng thể đảm bảo an toàn cho hệ thống thông tin, tránh ảnh hưởng tới các hoạt động khác
• Giảm thiểu các rủi ro và có biện pháp chủ động phòng chống các nguy cơ có thể xảy ra
• Đảm bảo hiệu quả đầu tư của hệ thống CNTT nói chung và hệ thống ISMS nói riêng
• Nâng cao uy tín và sự tin cậy đối với đối tác và khách hàng, nâng cao năng lực cạnh tranh của các doanh nghiệp
Nâng cao nhận thức về an toàn thông tin cho toàn bộ nhân viên là rất quan trọng trong tổ chức Tiêu chuẩn ISO/IEC 27001 cung cấp hướng dẫn thực tế để phát triển các tiêu chuẩn an toàn và thực hành quản lý an toàn hiệu quả, từ đó xây dựng sự tự tin trong các hoạt động liên tổ chức.
Hiện nay, một số công ty tin học - viễn thông, và ngân hàng Việt Nam đang từng bước tham gia mạng lưới cung cấp dịch vụ quốc tế
Nghiên cứu và áp dụng chuẩn ISO/IEC 27001 không chỉ giúp các doanh nghiệp tạo lợi thế cạnh tranh mà còn đảm bảo không bị tụt hậu so với đối thủ quốc tế Đặc biệt, khi một công ty đa quốc gia muốn thiết lập trung tâm dịch vụ khách hàng tại Việt Nam, họ sẽ rất chú trọng đến việc đối tác Việt Nam có đảm bảo an ninh thông tin hay không, bao gồm cả các kế hoạch dự phòng trong tình huống khẩn cấp Việc sở hữu hệ thống thông tin tuân thủ chuẩn ISO/IEC 27001 chắc chắn sẽ gây ấn tượng mạnh với các đối tác quốc tế.
2.3.3 Nội dung của tiêu chuẩn ISO/IEC 27001
Tiêu chuẩn ISO/IEC 27001:2005 có thể áp dụng cho nhiều loại hình tổ chức như thương mại, cơ quan nhà nước và tổ chức phi lợi nhuận Đặc biệt, tiêu chuẩn này rất phù hợp với các tổ chức có hoạt động phụ thuộc nhiều vào công nghệ thông tin.
27 nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông…
Nhiều doanh nghiệp lớn như ngân hàng, bảo hiểm, quỹ đầu tư và công ty CNTT đã áp dụng tiêu chuẩn ISO/IEC 27001 để đảm bảo an toàn thông tin cho hệ thống của họ Tiêu chuẩn này xác định rõ các yêu cầu cho từng quy trình, bao gồm thiết lập, triển khai, điều hành, giám sát, duy trì và cải tiến Hệ thống Quản lý An toàn Thông tin (ISMS) Mục tiêu của tiêu chuẩn là bảo vệ hệ thống thông tin và chuẩn bị ứng phó với các rủi ro có thể xảy ra Ngoài ra, tiêu chuẩn cũng nêu rõ các yêu cầu khi thực hiện các mục tiêu và biện pháp quản lý phù hợp với tổ chức hoặc các bộ phận.
Hệ thống ISMS được xây dựng với các biện pháp an toàn thông tin đầy đủ và phù hợp, nhằm bảo vệ tài sản thông tin và tạo dựng niềm tin từ các bên liên quan như đối tác và khách hàng của tổ chức.
ISO/IEC 27001 là một thành phần quan trọng trong hệ thống quản lý tổng thể của các tổ chức và doanh nghiệp Nó có thể được triển khai độc lập hoặc tích hợp cùng với các hệ thống quản lý khác như ISO/IEC 9000 và ISO/IEC 14000.
2.3.3.2 Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa như sau:
Bất kỳ thứ gì có giá trị đối với tổ chức
Tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo yêu cầu
Tính chất đảm bảo thông tin không sẵn sàng và phơi bày trước cá nhân, thực thể và các tiến trình không được phép
• An toàn thông tin (information security)
Tiêu chuẩn ISO/IEC 27002: 2005
ISO/IEC 27002 là tiêu chuẩn quốc tế do Viện Tiêu chuẩn Anh quốc (BSI) ban hành, cung cấp quy định về quản lý an toàn thông tin Tiêu chuẩn này được xem như hướng dẫn cơ bản, có khả năng phát triển thành các tiêu chuẩn an toàn thông tin khác và hỗ trợ tổ chức trong việc quản lý hiệu quả hoạt động của mình.
This standard is the new name for ISO/IEC 17799 and is intended to be used alongside ISO/IEC 27001 (Information Security Management System) and ISO/IEC 27004 (Information Security Management Metrics), collectively forming the ISO/IEC 27000 series of standards.
ISO/IEC 27002 cung cấp hướng dẫn và nguyên tắc cho việc khởi xướng, thực hiện, duy trì và cải thiện quản lý an toàn thông tin trong tổ chức Tiêu chuẩn này bao gồm các biện pháp thi hành tốt nhất nhằm kiểm soát và quản lý an toàn thông tin hiệu quả.
ISO/IEC 27002 cung cấp các mục tiêu và biện pháp kiểm soát nhằm đáp ứng yêu cầu từ đánh giá rủi ro Nó được xem là hướng dẫn thực tiễn để phát triển tiêu chuẩn an toàn tổ chức và thực hành quản lý an toàn hiệu quả, từ đó nâng cao sự tự tin trong các hoạt động liên tổ chức.
Tiêu chuẩn này phục vụ như một tài liệu tham khảo cho các tổ chức trong việc lựa chọn các điều khoản khi triển khai hệ thống quản lý an ninh thông tin (ISMS) theo tiêu chuẩn ISO/IEC 27001 Nó cũng cung cấp hướng dẫn cho các tổ chức trong việc thực hiện các biện pháp kiểm soát an ninh thông tin một cách hiệu quả.
Tiêu chuẩn 41 được chấp nhận nhằm cung cấp hướng dẫn quản lý an ninh thông tin cho từng ngành và tổ chức, đồng thời xem xét môi trường rủi ro an ninh thông tin đặc thù của từng tổ chức.
2.4.2 Tình hình ứng dụng ISO/IEC 27002
2.4.2.1 Tình hình ứng dụng ISO/IEC 27002 trên thế giới
Tiêu chuẩn quốc tế ISO/IEC 27002 được áp dụng rộng rãi trên toàn cầu với hai phiên bản tiếng Anh và tiếng Pháp Nhiều quốc gia đã sử dụng tiêu chuẩn này như một tài liệu tham khảo quan trọng để phát triển các tiêu chuẩn tương thích với nhu cầu và quy định của quốc gia mình.
Tiêu chuẩn ISO/IEC 27002: 2005 được Nhật dịch và xây dựng thành tiêu chuẩn quốc gia với tên gọi JIS Q 27002: 2006, xuất bản vào năm 2006
Tiêu chuẩn AS/NZS ISO/IEC 27002:2006 tại Australia và New Zealand được xây dựng dựa trên các tiêu chuẩn ISO/IEC 27002 và AS/NZS ISO/IEC 17799:2001 Nội dung của tiêu chuẩn NZS ISO/IEC 27002 hoàn toàn tương đồng với ISO 27002, nhưng có một số điều chỉnh để phù hợp với quy định về cách trình bày tiêu chuẩn của từng quốc gia, bao gồm tiêu đề, tên tiêu chuẩn, trang bìa và một số ký hiệu khác.
Tại New Zealand, chính phủ đã ban hành tài liệu hướng dẫn "Đảm bảo an toàn thông tin trong lĩnh vực chính phủ" vào năm 2002, nhằm cung cấp các chỉ dẫn về an toàn thông tin bắt buộc cho các cơ quan chính phủ Tài liệu này được xây dựng bởi các thành viên từ nhiều bộ ngành khác nhau và dựa trên tiêu chuẩn AS/NZS ISO/IEC 17799: 2001 Ngoài ra, cơ quan tình báo quốc gia và văn phòng an toàn truyền thông của chính phủ cũng đã bổ sung một số quy trình nhằm tăng cường an toàn thông tin.
Tiêu chuẩn NEN-ISO/IEC 17799: 2002 của Hà Lan được xây dựng từ ISO/IEC 17799: 2000, bản dịch từ ISO/IEC 27002 (17799: 2005) đang được thực hiện
Nhiều quốc gia đang xây dựng tiêu chuẩn quốc gia dựa trên tiêu chuẩn ISO/IEC 27002, như Tiêu chuẩn DS484:2005 của Đan Mạch, UNE71501 của Tây Ban Nha, TS ISO/IEC 27002 của Thổ Nhĩ Kỳ và EVS-ISO/IEC 17799: 2003 của Estonia.
2.4.2.2 Tình hình ứng dụng ISO/IEC 27002 tại Việt Nam
Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2011, được ban hành năm 2011, là quy tắc thực hành quản lý an toàn thông tin, được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 27002.
TCVN ISO/IEC 27002:2011 được biên soạn bởi Viện Khoa học Kỹ thuật Bưu điện, được Bộ Thông tin và Truyền thông đề nghị, và đã được Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định trước khi Bộ Khoa học và Công nghệ công bố Tiêu chuẩn này hoàn toàn tương đương với ISO/IEC 27002.
Tiêu chuẩn ISO/IEC 27002 đang ngày càng được áp dụng rộng rãi tại Việt Nam, đặc biệt trong các doanh nghiệp lớn như ngân hàng, bảo hiểm, quỹ đầu tư và công ty công nghệ thông tin để đảm bảo an toàn thông tin hệ thống Nhiều doanh nghiệp vừa và nhỏ cũng đã nghiên cứu và áp dụng các thành phần phù hợp của tiêu chuẩn này theo quy mô tổ chức của mình Ngoài ra, các cơ quan nhà nước cũng đang triển khai ISO/IEC 27002 nhằm xây dựng một hệ thống thông tin an toàn.
Hiện nay, nhiều công ty công nghệ thông tin, viễn thông và ngân hàng tại Việt Nam đang dần tham gia vào mạng lưới cung cấp dịch vụ quốc tế Việc nghiên cứu và áp dụng chuẩn ISO/IEC 27002 có thể giúp tạo lợi thế cạnh tranh, hoặc ít nhất là không thua kém các đối thủ quốc tế Khi một công ty đa quốc gia muốn thiết lập trung tâm dịch vụ khách hàng tại Việt Nam, họ sẽ đặc biệt quan tâm đến khả năng đảm bảo an ninh của đối tác, bao gồm cả các kế hoạch dự phòng trong tình huống khẩn cấp Một hệ thống thông tin được xây dựng theo chuẩn ISO 27002 sẽ tạo ấn tượng tích cực cho các đối tác quốc tế.
Tiêu chuẩn ISO/IEC 27002 cung cấp các hướng dẫn và nguyên tắc quan trọng cho việc khởi tạo, triển khai, duy trì và cải tiến quản lý an toàn thông tin trong tổ chức Mục tiêu chính của tiêu chuẩn này là hướng dẫn các tổ chức thực hiện các biện pháp bảo mật hiệu quả nhằm bảo vệ thông tin.
43 chung nhằm đạt được các mục đích thông thường đã được chấp nhận về quản lý an toàn thông tin
Sự khác biệt giữa ISO/IEC 27001: 2005 với ISO/IEC 27002: 2005
ISO/IEC 27001:2005, established in 2005, outlines the requirements for an information security management system (ISMS) within the realm of information technology This standard provides a framework for organizations to manage sensitive information securely, ensuring the implementation of effective security techniques and practices By adhering to these guidelines, businesses can enhance their information security posture and protect against potential threats.
Tiêu chuẩn 45 cho hệ thống quản lý an toàn thông tin nhằm xác định các yêu cầu cần thiết để các tổ chức có thể chứng minh khả năng cung cấp sản phẩm và dịch vụ đáp ứng nhu cầu của khách hàng cũng như tuân thủ các quy định pháp luật.
ISO/IEC 27002:2005, issued on June 15, 2005, provides a comprehensive framework for information security management through its guidelines titled "Information Technology – Security techniques – Code of practice for information security management." The standard outlines 134 measures for controlling information security, categorized into 11 widely accepted objectives for effective security management practices.
Tiêu chuẩn ISO/IEC 27001 định hướng tổ chức và quy định các yêu cầu cho hệ thống quản lý an toàn thông tin (ISMS) có thể được kiểm toán, trong khi ISO/IEC 27002 tập trung vào cá nhân, cung cấp quy tắc thực hành cho họ trong tổ chức.
ISO/IEC 27002 đưa ra các khuyến nghị về thực hành tốt nhất trong quản lý an ninh thông tin và duy trì hệ thống quản lý an ninh thông tin (ISMS), trong khi ISO/IEC 27001 xác định các yêu cầu cần thiết cho việc kiểm toán.
ISO/IEC 27001 đặt ra các yêu cầu cần thiết cho tổ chức muốn chứng nhận hệ thống quản lý an ninh thông tin Để đạt được chứng nhận, tổ chức phải tuân thủ đầy đủ các yêu cầu trong tiêu chuẩn này.
ISO/IEC 27002 cung cấp các thực tiễn tốt nhất cho tổ chức, tuy không bắt buộc phải tuân thủ Mặc dù không cần phải tuân theo tiêu chuẩn này, tổ chức có thể tham khảo ISO/IEC 27002 như một nguồn cảm hứng để thực hiện các yêu cầu trong tiêu chuẩn ISO/IEC 27001.
Tổ chức có thể được cấp chứng nhận theo tiêu chuẩn ISO/IEC 27001, vì đây là tiêu chuẩn quản lý, trong khi ISO/IEC 27002 không phải là tiêu chuẩn cấp chứng nhận Hệ thống quản lý an toàn thông tin cần được lập kế hoạch, thực hiện, giám sát, xem xét và cải thiện liên tục Quản lý phải chịu trách nhiệm rõ ràng, thiết lập các mục tiêu cụ thể, đo lường và đánh giá hiệu quả, đồng thời thực hiện kiểm toán nội bộ Tất cả các yếu tố này được quy định trong tiêu chuẩn ISO/IEC 27001.
27001 chứ không phải trong ISO/IEC 27002
ISO/IEC 27002 không phân biệt các biện pháp kiểm soát áp dụng cho từng tổ chức cụ thể, trong khi đó, ISO/IEC 27001 yêu cầu phải thực hiện đánh giá rủi ro.
Để xác minh cho mỗi điều khiển, cần thực hiện 46 bước khác nhau Hai tiêu chuẩn này không thể kết hợp lại với nhau, vì nếu chúng trở thành một tiêu chuẩn duy nhất, nó sẽ trở nên phức tạp và quá lớn để áp dụng trong thực tế.
Để xây dựng nền tảng an ninh thông tin vững chắc cho tổ chức của bạn, việc áp dụng tiêu chuẩn ISO/IEC là rất cần thiết Tiêu chuẩn này sẽ giúp bạn thiết lập một khuôn khổ an ninh thông tin hiệu quả, đảm bảo bảo mật và quản lý rủi ro tốt hơn.
27001 Nếu bạn muốn thực hiện điều khiển thì nên sử dụng tiêu chuẩn ISO/IEC
Tiêu chuẩn ISO/IEC 27002 là yếu tố quan trọng giúp triển khai các biện pháp kiểm soát được quy định trong phụ lục A của tiêu chuẩn ISO/IEC 27001 Phụ lục A nhấn mạnh rằng các mục tiêu kiểm soát và biện pháp kiểm soát sẽ được lựa chọn trong quá trình xây dựng Hệ thống Quản lý An ninh Thông tin (ISMS).