Thực trạng triển khai ISO 27001 tại Việt Nam

16:02 | 06/10/2008

Năm 2005, Tổ chức Tiêu chuẩn hóa quốc tế (ISO) và Ban Kỹ thuật điện quốc tế (IEC) đã ban hành tiêu chuẩn ISO/IEC 27001 về Hệ thống quản lý an ninh thông tin. Tiêu chuẩn này được thực hiện trên nguyên tắc tiếp cận rủi ro trong hoạt động để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an ninh thông tin của cơ quan/tổ chức.

 Kể từ khi ban hành đến nay, việc áp dụng hệ thống quản lý an ninh thông tin phù hợp ISO 27001 đã được triển khai rộng rãi ở hầu hết các quốc gia trên thế giới, đặc biệt là trong lĩnh vực tài chính - ngân hàng.
Nhận thức được tầm quan trọng trong việc áp dụng ISO 27001, đặc biệt là đối với các nước đang phát triển - nơi trình độ ứng dụng CNTT chưa cao, phải thường xuyên đối mặt với nhiều nguy cơ bị thất thoát thông tin, ngày 25/8/2008 tại Hà nội, tổ chức ISO đã phối hợp với Tổng cục Tiêu chuẩn Đo lường Chất lượng tổ chức Hội thảo về “Hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO 27001”. Hội thảo được sự tài trợ của Tổ chức Hợp tác phát triển quốc tế Thụy Điển (SIDA) và Bộ Khoa học – Công nghệ.  Tham dự Hội thảo có khoảng 70 đại biểu là các nhà quản lý và chuyên gia đến từ một số nước đang phát triển của khu vực châu Á và các cơ quan, tổ chức, doanh nghiệp của Việt Nam.
Nhiều bài phân tích, tham luận của các chuyên gia đã nhận được sự quan tâm của đông đảo các đại biểu tại Hội thảo. Trong đó, báo cáo của KS. Ngô Tuấn Anh và KS. Nguyễn Hoàng Hưng đến từ Trung tâm an ninh mạng Bkis đã phân tích rõ nét thực trạng triển khai ISO 27001 tại Việt Nam. Tạp chí ATTT xin giới thiệu một số nội dung chính của bản tham luận này.

Thực trạng triển khai tại Việt Nam
Từ năm 2006, nhiều tổ chức, cơ quan ở Việt Nam đã quan tâm  đến ISO 27001, có thể thấy điều đó qua một số sự kiện sau:
- Tháng 2/2006: Tổng cục Tiêu chuẩn Đo lường Chất lượng Việt Nam đã ban hành tiêu chuẩn TCVN 7562: 2005 – Công nghệ thông tin – Mã thực hành quản lý an toàn thông tin, (tương đương với tiêu chuẩn ISO/IEC 17799: 2000). Tiêu chuẩn này đề ra các hướng dẫn thực hiện hệ thống quản lý an ninh thông tin làm cơ sở cho ISO 27001.
- Tháng 1/2007: Công ty CSC Việt Nam (Computer Sciences Corporation) đã trở thành đơn vị đầu tiên có được chứng nhận ISO 27001.
- Tháng 3/2007: Công ty Hệ thống Thông tin FPT (FPT-IS) đạt được chứng nhận ISO 27001.
- Tháng 11/2007: Giáo sư Ted Humphreys, người được coi là “cha đẻ” của ISO 27001 đã đến Việt Nam tham dự hội thảo “Quản lý bảo mật thông tin” do 2 công ty TÜVRheinland và ECCI (Philippines) phối hợp tổ chức.
Đồng thời, một số đơn vị cung cấp dịch vụ tư vấn và cấp chứng nhận ISO 27001 đã có mặt tại Việt Nam như: BVC, TÜV SUD, TÜV NORD và TÜVRheinland.
Đến nay ở Việt Nam có 5 đơn vị (CSC Vietnam, FPT IS, FPT Soft, GHP FarEast, ISB Corporation Vietnam…) đã đạt chứng nhận ISO 27001 và hơn 10 đơn vị (HPT Soft, VietUnion, Quantic…) đang trong quá trình triển khai ứng dụng tiêu chuẩn này.
Qua các số liệu nêu trên có thể thấy, hầu hết các đơn vị, doanh nghiệp đã và đang áp dụng ISO 27001 đều có vốn đầu tư hoặc có đối tác chính là các công ty nước ngoài. Một trong những nguyên nhân chính thúc đẩy các doanh nghiệp này thực hiện và áp dụng ISO 27001 là yêu cầu bắt buộc từ phía công ty chính hãng, đối tác khách hàng nước ngoài, là những nơi đã thực hiện và áp dụng ISO 27001.
Cũng qua số liệu này, chúng ta có thể thấy số đơn vị đạt chứng nhận ISO 27001 tại Việt Nam khá khiêm tốn so với Nhật Bản (2668 chứng nhận), Trung Quốc (100 chứng nhận), Philippines (10 chứng nhận) và Thái Lan (9 chứng nhận). Một trong những nguyên nhân của tình trạng này là chi phí để đạt chứng nhận ISO 27001 khá cao, bao gồm các chi phí về tư vấn, cấp chứng nhận và đặc biệt là chi phí doanh nghiệp phải bỏ ra để thực hiện các biện pháp kiểm soát rủi ro. Chi phí cho áp dụng ISO 27001 ước lớn gấp khoảng 2 - 3 lần so với thực hiện ISO 9000. Bên cạnh đó, trình độ về CNTT, nhận thức về an ninh thông tin của người sử dụng chưa cao cũng gây những trở ngại, khó khăn khi triển khai ISO 27001. Tuy nhiên, đối với những doanh nghiệp, đơn vị mà nguồn lực tài chính chưa đủ để tiến hành áp dụng ISO 27001 trong phạm vi rộng thì có thể thực hiện triển khai áp dụng từng bước với phạm vi mở rộng dần, với một lộ trình hợp lý. Ngoài ra, có một lựa chọn cho nhiều doanh nghiệp để giảm chi phí là tự áp dụng ISO 27001 nhưng không tiến hành xin đánh giá cấp chứng nhận.

Triển vọng phát triển ISO 27001 tại Việt Nam
Theo đánh giá của một số chuyên gia, triển vọng áp dụng ISO 27001 tại Việt Nam là khá cao. ISO 27001 đã được các cơ quan chuyên trách của chính phủ (Tổng cục Tiêu chuẩn Đo lường chất lượng, Bộ Thông tin và Truyền thông…) khuyến cáo áp dụng rộng rãi trong cả nước. Ngoài ra, yêu cầu về đảm bảo an ninh thông tin của khách hàng, đối tác cũng ngày một cao hơn, đòi hỏi các tổ chức, doanh nghiệp phải áp dụng ISO 27001 để tăng cường sức cạnh tranh và nâng cao thương hiệu cho chính mình.
Trong thời gian tới đây, ISO 27001 sẽ thu hút được sự quan tâm của các doanh nghiệp, tổ chức thuộc lĩnh vực tài chính (ngân hàng, chứng khoán, bảo hiểm) và các tổ chức, cơ quan Nhà nước trong lĩnh vực quốc phòng, an ninh. ISO 27001 được kỳ vọng sẽ tạo được sự quan tâm như ISO 9000 trong thập niên 90.
Để biết thêm thông tin về ISO 27001, có thể tham khảo:
http://www.iso.org/iso/catalogue_detail?csnumber=42103