Tiêu chuẩn ISO/IEC 27001:2005 có thể được áp dụng rộng rãi cho nhiều loại hình tổchức ( các tổchức thương mại, cơquan nhà nước, các tổchức phi lợi nhuận… ). Đặc biệt là các tổchức mà các hoạt động phụthuộc nhiều vào công nghệthông tin, máy tính, mạng máy tính, sửdụng cơsở dữliệu như: ngân hàng, tài chính, viễn thông,…Một hệthống ISMS hiệu lực, phù hợp, đầy đủsẽgiúp bảo vệcác tài sản thông tin cũng như đem lại sựtin tưởng của các bên liên quan như đối tác, khách hàng… của tổchức.
HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN (Information Security Management System - ISMS) ThS. Nguyễn Đăng Quang - Khoa Đào tạo Chất lượng cao Abstract:An information security management system (ISMS) is a set of policies concerned with information security management or IT related risks. The idioms arose primarily out of ISO 27001.The governing principle behind an ISMS is that an organization should design, implement and maintain a coherent set of policies, processes and systems to manage risks to its information assets, thus ensuring acceptable levels of information security risk. 1. Lịch sử phát triển ISO 27001:2005 được phát triển dựa trên bộ tiêu chuẩn BS7799 của Viện tiêu chuẩn Anh quốc (British Standards Institution BSI). Tháng 12 năm 2000, chuẩn An toàn thông tin quốc tế ISO bao gồm BS 7799 (đặc tả kỹ thuật cho hệ thống ISMS) và ISO 17799 (mô tả Qui tắc thực tế cho hệ thống quản lý an toàn thông tin). Tháng 9 năm 2002, soát xét phần 2 của chuẩn BS7799 được thực hiện nhằm thống nhất với các chuẩn quản lý khác như ISO 9001:2000 và ISO 14001:1996 cũng như với các nguyên tắc chính của Tổ chức Hợp tác và phát triển kinh tế (OECD). Tháng 10 năm 2005 ISO phát triển ISO 17799 và BS7799 thành ISO/IEC 27001:2005, tập trung vào công tác đánh giá và chứng nhận. ISO 27001 thay thế cho BS7799-2:2002, nó định nghĩa hệ thống quản lý an toàn thông tin (ISMS), hướng đến cung cấp một mô hình cho việc thiết lậ p, thi hành, kiểm soát, duy trì và cải tiến ISMS. Bộ tiêu chuẩn ISO/IEC 27000 gồm các tiêu chuẩn sau: • ISO/IEC 27000 quy định các vấn đề thuật ngữ • ISO/IEC 27001:2005 các yêu cầu đối với hệ thống quản lý an toàn thông tin • ISO/IEC 27002:2007 qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất • ISO/IEC 27003:2007 các hướng dẫn áp dụng • ISO/IEC 27004:2007 đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS • ISO/IEC 27005 quản lý rủi ro an toàn thông tin • ISO/IEC 27006 hướng dẫn cho dịch vụ khôi phục thông tin sau thảm họa trong công nghệ thông tin và viễn thông. Hiện nay, việc áp dụng hệ thống quản lý an toàn thông tin ISO/IEC 27001 đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới. Tại Việt nam, thời gian qua một số tổ chức ngân hàng, tài chính,công nghệ thông tin,… cũng bắt đầu quan tâm triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định. 2. Đối tượng áp dụng Tiêu chuẩn ISO/IEC 27001:2005 có thể được áp dụng rộng rãi cho nhiều loại hình tổ chức ( các tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận… ). Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng… của tổ chức. ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp do vậy có thể xây dựng độc lậ p hoặc kết hợp với các hệ thống quản lý khác như ISO 9000, ISO 14000 3. Lợi ích Việc tuân theo hoặc đạt được chứng chỉ chuẩn ISO 27001:2005 không thể chứng minh tổ chức được đảm bảo an toàn 100%. Tuy nhiên, việc thừa nhận chuẩn quốc tế này đưa ra những lợi ích chắc chắn mà người quản lý cần phải xem xét. a. Cấp độ tổ chức S ự cam kết: Chứng chỉ như là một cam kết hiệu quả của nổ lực đưa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính những người quản trị. b. Cấp độ pháp luật Tuân thủ: chứng minh cho nhà chức trách rằng tổ chức đã tuân theo tất cả các luật và các qui định áp dụng. Điề u quan trọng là chuẩn đã bổ sung những chuẩn và luật tồn tại khác. c. Cấp độ điều hành Quản lý rủi ro: Mang lại những hiểu biết tốt hơn về các hệ thống thông tin, xác định điểm yếu và làm thế nào để bảo vệ. d. Cấp độ thương mại Sự tín nhiệm và tin cậy: Các thành viên, cổ đông, và khách hàng vững tin khi th ấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng chỉ đạt chuẩn là yếu tố giúp tổ chức vượt trội đối với đối thủ cạnh tranh trên thị trường. e. Cấp độ tài chính Tiết kiệm chi phí khắc phục các lỗ hỏng an ninh và có khả năng giảm chi phí bảo hiểm. f. Cấp độ con ngườ i Tăng cường nhận thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức. 4. Hệ thống quản lý an toàn thông tin (ISMS) Hệ thống quản lý an toàn thông tin (ISMS) là trái tim của ISO 27001:2005 và là điều kiện tiên quyết cho việc thi hành và lấy chứng chỉ toàn diện. Một hệ thống ISMS phải quản lý tất cả các mặt của an toàn thông tin bao gồm con người, các qui trình và các hệ thống công nghệ thông tin. Điều cốt lõi để có hệ thống ISMS thành công là dựa trên đánh giá phản hồi để cải tiến liên tục, và lấy cách tiếp cận có cấu trúc để quản lý tài sản và rủi ro. Hệ thống an toàn thông tin bao gồm tất cảc các kiểm soát mà tổ chức đặt trong vị trí thích hợp để đảm bảo an toàn thông tin, xuyên suốt 10 lĩnh vực sau: Chính sách an ninh (Security Policy) Cung cấp các chỉ dẫn quản lý và hỗ trợ an toàn thông tin Tổ chức an ninh (Security Organization) Quản lý an toàn thông tin trong tổ chức, duy trì an ninh của các quá trình hỗ trợ thông tin của tổ chức và những tài sản thông tin được truy cập bởi các thành phần thứ ba và duy trì an toàn thông tin trong trường hợp trách nhiệm xử lý thông tin đã được khoán ngoài (Outsource) cho tổ chức khác. Phân loại và kiểm soát tài sản (Asset Classification and Control) Nhằm duy trì và đả m bảo các tài sản của tổ chức được bảo vệ ở các cấp độ thích hợp. An ninh nhân sự (Personnel Security) Nhằm giảm rủi ro do lỗi của con người gây ra như việc đánh cắp, gian lận hoặc lạm dụng thông tin; đảm bảo cho người dùng nhận thức được các mối đe dọa an toàn thông tin liên quan. An ninh môi trường và vật lý (Physical and Environmental Security) Nhằm ngăn cản truy cập vật lý không được phép, phá h ủy và can thiệp đến thông tin doanh nghiệp. Ngăn chặn các tấn công, đánh cắp thông tin và qui trình hỗ trợ xử lý thông tin. Quản lý tác nghiệp và truyền thông (Communications and Operations Management) Nhằm đảm bảo tính bảo mật trong xử lý thông tin, giảm thiểu rủi ro do lỗi của hệ thống, bảo vệ sự toàn vẹn của dữ liệu; duy trì tính toàn vẹn và sẵn sàng của qui trình xử lý thông tin và các dịch vụ truyền thông; đảm bảo an ninh m ạng và bảo vệ cơ sở hạ tầng phụ trợ; ngăn chặn phá hủy tài sản và làm gián đoạn các hoạt động kinh doanh; ngăn chặn các mất mát, sửa đổi và lạm dụng thông tin trao đổi giữa các tổ chức. Kiểm soát truy cập (Access Control) Kiểm soát việc truy xuất thông tin, đảm bảo và duy trì một cách phù hợp quyền truy cập đến các hệ thống thông tin. Ngăn chặn, phát hiện các truy cậ p trái phép; bảo vệ các dịch vụ mạng, đảm bảo an toàn thông tin khi sử dụng máy tính hoặc thiết bị di động Duy trì và phát triển hệ thống (Systems Development and Maintenance) Ngăn chặn mọi hành vi cố ý sửa đổi hoặc lạm dụng dữ liệu của người dùng trong các hệ thống, bảo vệ tính tin cậy, tính xác thực hoặc toàn vẹn của thông tin. Đảm bảo các dự án CNTT và các hoạt động hỗ trợ đượ c điều hành một cách an toàn. Duy trì tính bảo mật của Hệ điều hành, các phần mềm ứng dụng và thông tin liên quan. Quản lý tính liên tục trong kinh doanh (Business Continuity Management) Bảo vệ mọi qui trình trình kinh doanh, ngăn chặn mọi khả năng có thể xảy ra làm gián đoạn hoạt động kinh doanh do lỗi an ninh. Tuân thủ (Compliance) Đảm bảo sự phù hợp của hệ thống với các chính sách an ninh. Tăng tối đa hiệu quả và giảm thiểu trở ngại đến quá trình đánh giá hệ thống. 5. Mô hình PDCA Plan (Thiết lập ISMS) Thiết lậ p chính sách an ninh, mục tiêu, mục đích, các quá trình và thủ tục phù hợp với việc quản lý rủi ro và cải tiến an toàn thông tin để phân phối các kết quả theo các mục tiêu và chính sách tổng thể của tổ chức. Do (Thi hành và điều hành ISMS) Thi hành và điều hành chính sách an ninh, các dấu hiệu kiểm soát, các quá trình và các thủ tục. Check (Kiểm soát và xem xét ISMS) Đánh giá, tìm kiếm sự phù hợp, đo lường hiệu năng của quá trình so với chính sách an ninh, mục tiêu, kinh nghiệ m thực tế và báo cáo kết quả cho lãnh đạo xem xét. Act (duy trì và cải tiến ISMS) Đưa ra các hành động khắc phục phòng ngừa trên cơ sở các kết quả xem xét để cải tiến liên tục hệ thống ISMS. 6. Các bước triển khai Về cơ bản, các bước triển khai hệ thống ISO/IEC 27001 có nhiều điểm tương đồng với áp dụng ISO 9000 & ISO 14000… Tuy nhiên, đây là hệ thống quản lý an toàn thông tin nên có một số điểm cần chú trọng khi xây dựng như: xác định đầy đủ các tài sản thông tin, nhận biết và đánh giá mối nguy, lựa chọn các biện pháp xử lý mối nguy thích hợp… Các bước cơ bản cần thực hiện để đạt được chứng nhận hệ thống quản lý an toàn thông tin ISO/IEC 27001: 1) Cam kết của Lãnh đạo về xây dựng hệ thống quản lý an toàn thông tin cho tổ chức. 2) Phổ biến, đào tạo nhận thức về tiêu chuẩn ISO/IEC 27001 cho cán bộ. 3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001. 4) Xây dựng chính sách, mục tiêu và phạm vi của hệ thống ISMS 5) Phân tích, đánh giá các rủi ro về an toàn thông tin trong phạm vi của hệ thống. 6) Thiết lập các biện pháp kiểm soát rủi ro. 7) Lựa chọn mục tiêu và các biện pháp kiể m soát. 8) Vận hành hệ thống ISMS đã thiết lập. 9) Thực hiện các hoạt động xem xét và cải tiến hiệu lực hệ thống. 10) Đánh giá chứng nhận. Thời gian cần thiết để xây dựng hệ thống quản lý an toàn thông tin có hiệu lực và hiệu quả cho đến khi đánh giá chính thức cần khoảng 9 ~ 18 tháng phụ thuộc vào quy mô, nhu cầu thực tế, khả nă ng tập trung nguồn lực của tổ chức cho quá trình xây dựng. Tổ chức cũng sẽ thuận lợi hơn nếu trước đó đã có kinh nghiệm xây dựng, vận hành một số hệ thống quản lý khác như ISO 9000, ISO 14000… . thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức. 4. Hệ thống quản lý an toàn thông tin (ISMS) Hệ thống quản lý an toàn thông tin (ISMS) là trái tim của ISO 27001:2005. chứng chỉ toàn diện. Một hệ thống ISMS phải quản lý tất cả các mặt của an toàn thông tin bao gồm con người, các qui trình và các hệ thống công nghệ thông tin. Điều cốt lõi để có hệ thống ISMS. Chính sách an ninh (Security Policy) Cung cấp các chỉ dẫn quản lý và hỗ trợ an toàn thông tin Tổ chức an ninh (Security Organization) Quản lý an toàn thông tin trong tổ chức, duy trì an ninh