Năm 2018 chỉ mới bắt đầu nhưng đã xuất hiện những dấu hiệu cho thấy đây là một năm của an toàn thông tin. Nhiều câu hỏi được đặt ra về sự an toàn của bộ vi xử lý và các sáng kiến bảo mật không gian mạng như Quy định bảo vệ dữ liệu chung EU đã có hiệu lực trong năm nay, phiên bản mới của ISO/IEC 27000 hứa hẹn sẽ là chiếc chìa khóa vạn năng cho lĩnh vực này.
Ban hành vào tháng 2 năm 2018, ISO/IEC 27000:2018 đã đón nhận rất nhiều sự quan tâm bởi nó cho thấy một cái nhìn tổng quan về an toàn thông tin (ISMS) cũng như các thuật ngữ và định nghĩa được sử dụng phổ biến trong tiêu chuẩn ISMS. ISO/IEC 27000 được thiết kế để áp dụng cho mọi quy mô tổ chức từ các công ty đa quốc gia đến các doanh nghiệp vừa và nhỏ, phiên bản mới này có giá trị như nhau đối với các cơ quan chính phủ hoặc các tổ chức phi lợi nhuận.
Có rất nhiều phiên bản của ISO 27000 nhưng phiên bản mới ISO/IEC 27000 cung cấp sự hiểu biết cụ thể hơn về cách các tiêu chuẩn phù hợp với nhau như thế nào: phạm vi, vai trò, chức năng và mối quan hệ với nhau.
Các tổ chức doanh nghiệp áp dụng ISO/IEC 27000 sẽ thấy rằng tiêu chuẩn này hữu ích, vì nó kết hợp tất cả các thuật ngữ thiết yếu được sử dụng bởi các tiêu chuẩn khác trong hệ thống tiêu chuẩn của ISO/IEC 27000.
ISO 27000 LÀ GÌ?
Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày càng nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạng máy tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn.
Một trong các biện pháp phòng ngừa được nhắc đến trong thời gian qua chính là triển khai áp dụng Hệ thống Quản lý An toàn Thông tin (ISMS: Information Security Management System) theo các nguyên tắc của bộ tiêu chuẩn quốc tế ISO 27000. Có thể nói rằng, ISO 27000 là một phần của hệ thông quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức.
Cho tới nay, việc áp dụng hệ thống quản lý an toàn thông tin phù hợp ISO 27000 đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới đặc biệt là trong lĩnh vực tài chính ngân hàng. Tại Việt Nam, một số ngân hàng cũng đang triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định.
Xét về lịch sự hình thành của bộ tiêu chuẩn, ISO 27000 cũng có nguồn gốc từ Anh quốc. Bắt đầu vào năm 1992, Phòng Thương mại và Công nghiệp Anh (UK Department Trade and Industrial) ban hành ra qui phạm thực hành về hệ thống an toàn thông tin dựa trên các hệ thống đảm bảo an toàn thông tin nội bộ của các công ty dầu khí. Tài liệunày sau đó được Viện tiêu chuẩn hoá Anh chính thức ban hành thành tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995. Năm 2000, tiêu chuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chính thức chấp nhận và ban hành với mã hiệu ISO/IEC 17799:2000 – tiền thân của bộ tiêu chuẩn ISO 27000 ngày nay.
Bộ tiêu chuẩn ISO 27000 đã và sẽ bao gồm những tiêu chuẩn cụ thể sau:
- ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)
- ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an toàn thông tin
- ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất
- ISO 27003:2007 đưa ra các hướng dẫn áp dụng
- ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS
- ISO 27005 tiêu chuẩn về quản lý rủi ro an toàn thông tin
- ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông
Theo con số thống kê chưa đầy đủ thì hiện nay số lượng các tổ chức đã áp dụng ISMS và đã được chứng nhận trên toàn thế giới là 2063 trong đó đứng đầu là Nhật Bản với số chứng chỉ được cấp ra là 1190 sau đó là Anh 219, Đài loan 69…
Các lĩnh vực áp dụng đối với ISMS cũng chiếm các tỉ lệ khác nhau. Ví dụ lĩnh vực viễn thông được áp dụng nhiều nhất với 27% tổng số lượng chứng chỉ cấp ra, Lĩnh vực tài chính ngân hàng chiếm 20%, Lĩnh vực công nghệ thông tin chiếm 15%,..
Hy vọng trong thời gian tới tại Việt Nam sẽ có thêm nhiều hơn nữa các tổ chức áp dụng ISMS để có thể giảm thiểu các rủi ro liên quan tới an toàn thông tin, đảm bảo cho sự phát triển bền vững.
2, LỢI ÍCH CỦA ISO/IEC 27000
- Giúp nhận biết, đánh giá được các rủi ro, xây dựng các biện pháp và tạo ý thức và trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ chức.
- Thể hiện trách nhiệm của tổ chức trong việc quản lý hệ thống thông tin, biểu hiện bảo mật thông tin trên mọi mức độ của tổ chức.
- Thể hiện tính tuân thủ luật pháp và quy tắc trong lĩnh vực quản lý thông tin.
- Quản lý rủi ro, dẫn đến hiểu biết tốt hơn về hệ thống an toàn thông tin, điểm yếu của chúng và cách bảo vệ chúng.
- Các đối tác, cổ đông và khách hàng yên tâm khi họ thấy được sự quan trọng trong bảo vệ thông tin của tổ chức.
- Xác định các thông tin quan trọng, các rủi ro có thể để giảm thiểu các rủi ro đó, xác định các mức chi phí bảo hiểm tốt nhất cho các rủi ro.
- Phát triển nhận thức của nhân viên trong an toàn và trách nhiệm của họ đối với tổ chức.