Tiêu chuẩn về hệ thống quản lý an toàn thông tin và mô hình áp dụng tại doanh nghiệp

14:32 | 30/06/2016

Một trong những giải pháp toàn diện mang lại hiệu quả cao, giảm thiểu rủi ro gây mất ATTT là việc chuẩn hóa công tác đảm bảo ATTT theo các tiêu chuẩn quốc tế về Hệ thống quản lý an toàn thông tin như tiêu chuẩn ISO 27001.

Trong những năm gần đây, các loại hình xâm nhập trái phép vào hệ thống CNTT đã tăng cả về quy mô cũng như mức độ ảnh hưởng, tác động vào hệ thống đích. Hệ thống máy tính của các tổ chức thường xuyên phải đối phó với các cuộc tấn công, xâm nhập trái phép, gây rò rỉ, mất mát thông tin, thậm chí dừng hoạt động, ảnh hưởng tiêu cực đến tiến độ, chất lượng công việc, kéo theo đó là các tổn thất về kinh tế, uy tín của tổ chức và thậm chí là ảnh hưởng tới an ninh quốc gia.

Khi tổ chức có quy mô càng lớn, tính chất thông tin phức tạp, thì yêu cầu áp dụng các tiêu chuẩn, chính sách về ATTT một cách chi tiết, rõ ràng sẽ là một trong những yếu tố quyết định đến việc đảm bảo ATTT được ổn định và bền vững. 

Việc chuẩn hóa công tác đảm bảo ATTT là việc thực hiện đồng thời giữa chuẩn hóa các yếu tố liên quan đến con người; quy trình và công nghệ. Trong đó, yếu tố con người liên quan đến các vấn đề về nhận thức ATTT, sự tuân thủ theo các văn bản pháp lý của tổ chức; chuẩn hóa về quy trình là việc xây dựng, áp dụng và kiểm soát về hành lang pháp lý như hệ thống luật, chính sách, quy định... về ATTT. Còn chuẩn hóa về công nghệ là các yêu cầu về thông số kỹ thuật, yêu cầu năng lực hệ thống hay các trang thiết bị kỹ thuật.

Một trong những giải pháp toàn diện mang lại hiệu quả cao, giảm thiểu rủi ro gây mất ATTT là việc chuẩn hóa công tác đảm bảo ATTT theo các tiêu chuẩn quốc tế về Hệ thống quản lý an toàn thông tin như tiêu chuẩn ISO 27001. 

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001

Hệ thống quản lý an toàn thông tin (Information Security Management System - ISMS) là công cụ để các nhà lãnh đạo quản lý thực hiện việc giám sát, quản lý hệ thống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin, đáp ứng được mục tiêu của doanh nghiệp, tổ chức.

ISO 27001 là tiêu chuẩn quốc tế đặc tả cho các hệ thống quản lý ATTT, nó cung cấp một mô hình thống nhất để thiết lập, vận hành, duy trì và cải tiến hệ thống quản lý ATTT. Việc tuân thủ theo một hệ thống quản lý ISMS chính là quyết định chiến lược của mỗi tổ chức. 

Phiên bản đầu tiên của bộ tiêu chuẩn ISO 27000 là tiêu chuẩn BS 7799 được Viện Tiêu chuẩn Anh (Bristish Standards Institution - BSI) phát triển và được xuất bản dưới dạng Quy tắc thực tiễn cho việc quản lý ATTT (Code of Practice for Information Security Management) năm 1996. Năm 1998, tiêu chuẩn này có sự thay đổi nội dung “Quy tắc thực tiễn với việc quản lý ATTT” được chuyển thành Phần I, còn phần nội dung “Chi tiết kỹ thuật cần có” chuyển thành Phần II.

Phần I của chuẩn BS 7799 là một hướng dẫn thi hành dựa trên đề nghị các kiểm soát ATTT và là cơ sở hình thành tiêu chuẩn quốc tế ISO 17799:2000. Từ năm 2005, tiêu chuẩn ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và đến năm 2007 được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005. 

Phần II của chuẩn BS 7799 là một Hướng dẫn kiểm toán dựa trên các yêu cầu. Để được xác nhận chứng chỉ BS 7799, tổ chức sẽ được kiểm toán dựa trên các điều kiện ở Phần II. Tháng 10/2005, tiêu chuẩn này được thay thế bằng tiêu chuẩn ISO/IEC 27001:2005. 

Đến năm 2013, các tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới ISO 27001:2013; ISO 27002:2013.

Tiêu chuẩn ISO 27001:2013 có cấu trúc bao gồm 2 phần là “Điều khoản” và “Biện pháp kiểm soát”. Trong phần Điều khoản, từ mục 4 đến mục 10 là các yêu cầu bắt buộc khi tổ chức thực hiện áp dụng và đạt chứng nhận ISO 27001. 

Bảng so sánh giữa các “Điều khoản” của phiên bản cũ lên phiên bản tiêu chuẩn:



Việc thay đổi cấu trúc giữa các “Điều khoản” của phiên bản mới so với phiên bản cũ với mục đích là đồng bộ cấu trúc, yêu cầu với các tiêu chuẩn quản lý khác như Hệ thống quản lý chất lượng ISO 9001:2013 và Hệ thống Quản lý rủi ro ISO 31000:2009. Ngoài ra, tiêu chuẩn đã bổ sung thêm mục “Bối cảnh của tổ chức” giúp các tổ chức đánh giá được rõ hơn về hiện trạng của mình.

Trong phần Biện pháp kiểm soát, Phụ lục A, bao gồm 14 lĩnh vực với 35 mục tiêu kiểm soát (ứng với 114 biện pháp kiểm soát). Các tổ chức sẽ lựa chọn những biện pháp kiểm soát trong số nêu trên phù hợp với tổ chức mình để áp dụng. 

Bảng so sánh giữa các “Biện pháp kiểm soát” của phiên bản mới và phiên bản cũ:



Sự thay đổi của “Biện pháp kiểm soát” trong phiên bản mới nhằm phù hợp hơn với xu hướng phát triển công nghệ, yêu cầu thực tiễn của các tổ chức và cũng cho thấy được sự quan tâm nhiều hơn đối với các kiểm soát an toàn mã hóa hay các vấn đề ATTT khi làm việc với nhà cung cấp. Đặc biệt, việc thay đổi thứ tự đưa vị trí của mục ATTT nhân sự lên trước mục quản lý tài sản cho thấy con người là một trong những yếu tố quan trọng nhất trong việc xây dựng, vận hành, duy trì và cải tiến hệ thống ISMS.

Áp dụng ISMS theo ISO 27001 tại doanh nghiệp

Tại mỗi tổ chức, doanh nghiệp, việc xây dựng, triển khai, áp dụng ISMS có những giải pháp khác nhau, phụ thuộc vào quy mô, đặc trưng của tổ chức cũng như yêu cầu của tổ chức đó. Tuy nhiên, khi triển khai Hệ thống quản lý an toàn thông tin theo ISO 27001, mỗi tổ chức cần phải thực hiện các bước cơ bản sau để đạt được chứng nhận:

Bước 1, khảo sát hiện trạng của tổ chức nhằm nắm bắt được thực trạng quản lý ATTT tại tổ chức đó cũng như yêu cầu, mong muốn của Lãnh đạo cho việc quản lý ATTT.

Bước 2, lập kế hoạch xây dựng ISMS: Trên cơ sở kết quả khảo sát hiện trạng của tổ chức sẽ đề xuất kế hoạch để xây dựng ISMS cho phù hợp với thực tế của tổ chức.

Bước 3, xây dựng hệ thống tài liệu và triển khai áp dụng: Xây dựng các chính sách, quy định, quy trình về ATTT và ban hành các văn bản này. Sau khi ban hành, sẽ thực hiện áp dụng các yêu cầu, điều khoản của chính sách, quy định vào hệ thống CNTT với phạm vi đã được đưa ra trong văn bản ban hành. 

Bước 4, thực hiện đánh giá nội bộ trong tổ chức: Đánh giá nội bộ giúp phát hiện các điểm không phù hợp với yêu cầu của tiêu chuẩn, chính sách, quy định. Từ đó, các tổ chức đưa ra kế hoạch khắc phục các điểm không phù hợp này. Đồng thời, giai đoạn này cũng chuẩn bị cho việc đánh giá độc lập của một tổ chức đánh giá cấp chứng nhận chuyên nghiệp.

Bước 5, đánh giá chứng nhận: Tổ chức đánh giá độc lập sẽ thực hiện đánh giá hệ thống ISO 27001 của đơn vị và kết luận đơn vị này có đáp ứng đầy đủ các yêu cầu bắt buộc của tiêu chuẩn đưa ra hay không và sẽ tiến hành cấp Chứng nhận Hệ thống quản lý ATTT nếu đơn vị này đáp ứng điều kiện.

Theo yêu cầu của các tổ chức công nhận quốc tế, các đơn vị đã đạt chứng nhận Hệ thống quản lý an toàn thông tin theo tiêu chuẩn quốc tế ISO27001:2005 cần chuyển đổi sang phiên bản tiêu chuẩn mới ISO 27001:2013 vì các chứng chỉ cũ hết hiệu lực từ ngày 01/10/2015. 

Nội dung thực hiện chuyển đổi bao gồm:

- Điều chỉnh và cập nhật hệ thống ISMS tại tổ chức từ phiên bản ISO 27001:2005 sang ISO 27001:2013.

- Hoàn thành thành công việc đánh giá tái chứng nhận và chuyển đổi phiên bản ISO 27001:2013 năm đầu bởi tổ chức chứng nhận độc lập được công nhận.

- Thực hiện đánh giá duy trì hiệu lực chứng nhận định kỳ hàng năm (02 năm tiếp theo sau khi đạt được chứng nhận).

Tập đoàn Bảo Việt Áp dụng ISO 27001

Năm 2013, Tập đoàn Bảo Việt là một trong những đơn vị hoạt động trong lĩnh vực tài chính, bảo hiểm đạt được chứng nhận Hệ thống quản lý an toàn thông theo tiêu chuẩn ISO 27001:2005. Năm 2015, theo yêu cầu của tổ chức công nhận quốc tế, Tập đoàn Bảo Việt ​chuyển đổi và đánh giá tái cấp chứng nhận thành công Hệ thống quản lý an toàn thông tin theo phiên bản mới tiêu chuẩn ISO 27001:2013.

Việc áp dụng, triển khai xây dựng ISMS cũng gặp nhiều khó khăn vì ISMS là sự kết hợp tổng thể giữa con người, quy trình và công nghệ, nên sẽ phải thực hiện triển khai các biện pháp từ phi kỹ thuật đến các biện pháp kỹ thuật. Mức độ ATTT của hệ thống phụ thuộc vào tất cả các yếu tố trên, nên các bộ phận trong Tập đoàn đều phải nắm rõ, ủng hộ và tham gia vào quá trình chiến lược này. 

Quá trình thực hiện triển khai ISO 27001 được thực hiện từ việc bảo đảm an toàn máy trạm cho người dùng cuối, với mục đích chuẩn hóa việc cài đặt, thiết lập cấu hình máy trạm để đảm bảo an toàn trước khi bàn giao cho người sử dụng (joint AD, cài đặt AV, khóa các tài khoản Admin local, khóa tính năng copy dữ liệu,...). Mỗi bộ phận có những tính chất công việc khác nhau, mặt khác do thói quen của người sử dụng, nên có rất nhiều vướng mắc khi thực hiện triển khai. Tuy nhiên, được sự ủng hộ của Lãnh đạo Tập đoàn, cùng với sự phối hợp của các bộ phận, đồng thời khi áp dụng đơn vị đã thực hiện các công tác triển khai thử nghiệm, tuyên truyền, đào tạo và có đội hỗ trợ kỹ thuật luôn theo sát thực hiện, nên kết quả bước đầu tương đối khả quan. Các máy trạm của các bộ phận tại Tập đoàn Bảo Việt đã được triển khai các điều khoản theo quy định sử dụng máy trạm.

Việc đạt được chứng nhận ISO 27001 đã khẳng định sự an toàn và bảo mật cao của hệ thống công nghệ thông tin Bảo Việt theo tiêu chuẩn quốc tế. Qua đó, đảm bảo hoạt động hệ thống được vận hành liên tục, giảm thiểu được các rủi ro gây mất an toàn thông tin từ các sự cố không mong muốn.

Kết luận

An toàn thông tin được xem là một phần làm nên thương hiệu của mỗi tổ chức, doanh nghiệp. Do vậy, việc quản lý ATTT đối với mỗi tổ chức, doanh nghiệp là một vấn đề vô cùng quan trọng. Ngoài việc đảm bảo lợi nhuận về tài chính thì nó còn phản ánh được danh tiếng, uy tín của tổ chức đó.
 
Để việc xây dựng và áp dụng tiêu chuẩn quốc tế về ATTT ISO/IEC 27001 được hiệu quả, cần phải có các yếu tố quan trọng sau: Thứ nhất, sự quyết tâm của lãnh đạo tổ chức, thể hiện qua sự hỗ trợ nguồn lực, đưa ra các quy định yêu cầu tuân thủ đối với các cán bộ. Thứ hai, hoạt động của bộ phận chuyên trách ATTT phải diễn ra thường xuyên, liên tục để kiểm tra tính tuân thủ các chính sách, quy định, quy trình đã được xây dựng và phê duyệt nhằm tìm ra các điểm không phù hợp. Thứ ba, sự phối hợp chặt chẽ giữa các đơn vị trong tổ chức cũng như các đơn vị có liên quan. 

Triển khai ATTT cần có sự kết hợp chặt chẽ giữa các yếu tố con người, quy trình và công nghệ, đồng thời phải là một quá trình thường xuyên, liên tục, không chỉ thực hiện một lần là hoàn tất. Hệ thống ATTT sau khi được xây dựng và đi vào hoạt động phải được định kỳ đánh giá để phát hiện ra các điểm không phù hợp, các rủi ro mới, từ đó có kế hoạch cải tiến và nâng cấp.