Giới thiệu tiêu chuẩn về lĩnh vực an toàn thông tin - ISO/IEC 27002

13:34 | 14/04/2021

ISO/IEC 27002 là một tiêu chuẩn quốc tế thuộc bộ tiêu chuẩn ISO/IEC 27000 về lĩnh vực ATTT, đưa ra các biện pháp kiểm soát phù hợp với các tổ chức thuộc nhiều lĩnh vực khác nhau. Tính đến thời điểm hiện tại đã có gần 18.000 tổ chức trên thế giới được cấp chứng nhận, trong đó đáp ứng được các yêu cầu về quy tắc thực hành ATTT theo tiêu chuẩn ISO/IEC 27002:2005. Bên cạnh đó nhiều nước cũng đã và đang cập nhật tiêu chuẩn quốc gia của mình ứng với tiêu chuẩn quốc tế mới ISO/IEC 27002:2013 nhằm cải thiện hiệu quả khi triển khai quản lý hệ thống ISMS.

NGUỒN GỐC, CƠ SỞ HÌNH THÀNH TIÊU CHUẨN ISO/IEC 27002

Tiêu chuẩn ISO/IEC 27002 là bộ quy tắc thực hành quản lý An toàn thông tin (ATTT). Tiêu chuẩn này có nguồn gốc xuất phát từ một tài liệu có tên “PD 0003 A Code of Practice for Information Security Management” được Viện Tiêu chuẩn Anh Quốc xuất bản. Đến năm 1995, Viện Tiêu chuẩn Anh Quốc đã thông qua tài liệu này và ban hành thành tiêu chuẩn BS 7799-1. Tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc tế mã hiệu ISO/IEC 17799:2000 và phát triển thành tiêu chuẩn ISO/IEC 17799:2005 vào tháng 6/2005. Đến tháng 11/2005, tiêu chuẩn này được sửa đổi thành ISO/IEC 27002:2005 “Công nghệ thông tin (CNTT) - Các kỹ thuật an ninh - Quy tắc thực hành quản lý ATTT”. Nội dung ISO/IEC 17799:2005 được phát triển thành tiêu chuẩn ISO 27002:2005 bao gồm 134 biện pháp cho an ninh thông tin và được nhóm thành 39 phân loại, thuộc 11 điều khoản.

Đến tháng 9/2013, tiêu chuẩn ISO/IEC 27002 được cập nhật lên phiên bản mới ISO/IEC 27002:2013. Phiên bản cập nhật này có nhiều thay đổi so với phiên bản năm 2005 để đáp ứng sự phát triển và bùng nổ của ngành CNTT sau gần một thập kỷ. Tiêu chuẩn ISO/IEC 27002:2013 giữ lại một số phần nội dung chính về đề mục và biện pháp kiểm soát theo phiên bản ISO/IEC 27002:2005, ngoài ra cũng thay đổi bổ sung các biện pháp kiểm soát mới và cập nhật lại các biện pháp kiểm soát cho phù hợp. Nội dung tiêu chuẩn ISO/IEC 27002:2013 bao gồm 114 biện pháp kiểm soát nhóm lại trong 35 phân loại, thuộc 14 điều khoản (nhóm mục tiêu) như sau: Chính sách ATTT; Tổ chức đảm bảo ATTT; Đảm bảo ATTT từ nguồn lực; Quản lý tài sản; Quản lý truy cập; Mật mã hóa; Đảm bảo an toàn vật lý và môi trường; An toàn vận hành; An toàn truyền thông; Tiếp nhận, phát triển và duy trì các hệ thống thông tin; Quan hệ với nhà cung cấp; Quản lý sự cố ATTT; Các khía cạnh ATTT trong quản lý sự liên tục của hoạt động nghiệp vụ; Sự tuân thủ.

TIÊU CHUẨN ISO/IEC TẠI VIỆT NAM

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2011 ở Việt Nam được Viện Khoa học Kỹ thuật Bưu điện biên soạn và Bộ Khoa học và Công nghệ công bố dựa theo tiêu chuẩn quốc tế ISO/ IEC 27002:2005. Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai, duy trì và cải tiến công tác quản lý an toàn thông tin trong một tổ chức. Mục tiêu của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung đã được chấp nhận trong quản lý an toàn thông tin.

Nội dung của TCVN 27002:2011 bao gồm 134 biện pháp cho an toàn thông tin và được chia thành 11 nhóm. Dựa trên việc phân tích các ý kiến thu thập từ việc triển khai thực tế, cấu trúc phiên bản mới này có khá nhiều thay đổi so với phiên bản năm 2000. Nội dung mới được cập nhật đã làm rõ hơn các vấn đề trong việc bảo đảm an toàn thông tin trong thương mại điện tử, các dịch vụ do các đối tác bên ngoài cung cấp, quản lý nhân sự, sử dụng mạng không dây v.v… Tiêu chuẩn này bao gồm 14 điều, cụ thể như: Phạm vi áp dụng; Thuật ngữ và định nghĩa; Cấu trúc của tiêu chuẩn; Chính sách an toàn thông tin; Tổ chức đảm bảo an toàn thông tin; Quản lý tài sản; An toàn thông tin từ nguồn nhân lực; Đảm bảo an toàn vật lý và môi trường; Quản lý truyền thông và vận hành; Quản lý truy cập; Tiếp nhận, duy trì và phát triển hệ thống thông tin; Quản lý các sự cố an toàn thông tin; Quản lý sự liên tục của hoạt động nghiệp vụ; Sự tuân thủ.

Trong đó có 11 điều về kiểm soát an toàn thông tin với tất cả 39 danh mục an toàn chính và một điều giới thiệu về đánh giá và xử lý rủi ro.

Kể từ khi phiên bản ISO/IEC 27002 ban hành đầu tiên năm 2005, có rất nhiều thay đổi về an ninh thông tin, các mối đe dọa, điểm yếu kỹ thuật và rủi ro liên quan đến điện toán đám mây, dữ liệu lớn và nhất là an ninh mạng. Tổ chức tiêu chuẩn quốc tế đã tổ chức cuộc họp với các chuyên gia chuyên ngành tìm kiếm các điểm cải tiến cho tiêu chuẩn ISO/IEC 27002:2013. Kết quả rất tích cực và đã tinh giản các biện pháp kiểm soát cũng như áp dụng bổ sung một số biện pháp an toàn trước đây chưa có.

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2011 được ban hành như một bản hướng dẫn chi tiết thực hiện các biện pháp kiểm soát cho quy trình quản lý hệ thống ATTT đưa ra trong tiêu chuẩn ISO/IEC 27002 từ việc khởi đầu, thiết lập, quản lý và duy trì ATTT trong tổ chức. Phiên bản ISO/IEC 27002:2013 ban hành để cập nhật các nội dung cho phù hợp với tình hình ATTT hiện nay trên thế giới. Các tổ chức trên thế giới và tại Việt Nam cũng đã nhận thức được tầm quan trọng của ATTT.  Việc ban hành và cập nhật phiên bản mới nhất tiêu chuẩn Việt Nam TCVN ISO/IEC 27002 là cần thiết để tạo điều kiện thuận lợi cho các doanh nghiệp trong nước áp dụng.

Bộ Thông tin và Truyền thông cũng tổ chức các hội thảo và các khóa đào tạo hướng dẫn doanh nghiệp hiểu rõ về các biện pháp kiểm soát chi tiết đưa ra trong tiêu chuẩn ISO/IEC 27002. Các biện pháp kiểm soát này được đưa ra dưới hình thức các tình huống, kịch bản về ATTT khác nhau để các tổ chức cũng như người tham gia hiểu được và áp dụng đúng đắn trong trường hợp của mình.