tiểu luận môn bảo mật thương mại điện tử đề tài giới thiệu về iso 2700x

Đây cũng là tiêu chuẩn duy nhất trong bộ tiêu chuẩn ISO 27000 mà các tổ chức có thể được đánh giá và chứng nhận._ ISO / IEC 27002:2013: Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc t

Trang 1

ĐẠI HỌC UEH TRƯỜNG CÔNG NGHỆ VÀ THIẾT KẾ KHOA CÔNG NGHỆ THÔNG TIN KINH DOANH

BỘ MÔN CÔNG NGHỆ THÔNG TIN

MÔN: BẢO MẬT THƯƠNG MẠI ĐIỆN TỬ

ĐỀ TÀI: GIỚI THIỆU VỀ ISO 2700X

GVHD: Tiến sĩ Nguyễn Mạnh Tuấn

Nhóm 3

Hoàng Nguyễn Linh Chi Ngô Đình Khôi

Lê Hồ Ngọc Trân Nguyễn Trung Trực

Lê Đình Cẩm Tú

Thành phố Hồ Chí Minh, tháng 4/2024

Trang 3

MỤC LỤC

1.Tổng hợp ý nghĩa bộ 2700x: 5

1.1 Bộ tiêu chuẩn quản lý ATTT ISO/IEC 2700x là gì? 5

1.2 Các tiêu chuẩn ISO / IEC 2700x: 5

2.Lợi ích của các chứng chỉ ISO 2700x 9

ISO 27001 9

ISO 27002 9

ISO 27003 10

ISO 27004 11

ISO 27005 11

3.Thực trạng 2700x tại VN: (27001) 14

Tóm tắt thực trạng triển khai ISO 27001 tại Việt Nam: 14

ABeam : 14

Meey Group: 15

ABBANK: 16

4.Khó khăn tại Việt Nam 17

Giải thích thêm về các khó khăn và giải pháp: 17

Mở rộng câu trả lời: 19

Ví dụ về các doanh nghiệp Việt Nam đã đạt được chứng chỉ ISO 27001: 19

Kết luận: 19

Tham khảo thêm: 20

Trang 4

1.Tổng hợp ý nghĩa bộ 2700x:

1.1 Bộ tiêu chuẩn quản lý ATTT ISO/IEC 2700x là gì?

Bộ tiêu chuẩn quản lý ATTT ISO/IEC 2700x là tổng hợp các phương pháp hay nhất mà các công ty, tổ chức có thể quản lý bảo mật an toàn thông tin bằng cách thiết lập, duy tri, đánh giá hệ thống quản lý bảo mật thông tin

1.2 Các tiêu chuẩn ISO / IEC 2700x:

_ ISO / IEC 27000:Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý

an toàn thông tin - Tổng quan và từ vựng

_ ISO / IEC 27001

ISO / IEC 27001:Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Các yêu cầu - Phiên bản mới nhất của tiêu chuẩn ISO 27001 ISO 27001 là tiêu chuẩn trung tâm trong bộ ISO 27000, bao gồm các yêu cầu triển khai đối với ISMS Đây cũng là tiêu chuẩn duy nhất trong bộ tiêu chuẩn ISO 27000 mà các tổ chức có thể được đánh giá và chứng nhận

_ ISO / IEC 27002:2013: Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát an toàn thông tin

Đây là một tiêu chuẩn bổ sung cung cấp tổng quan về các biện pháp kiểm soát

an toàn thông tin mà các tổ chức có thể lựa chọn để thực hiện Các biện pháp kiểm soát đã được nêu trong Phụ lục A của ISO 27001 , nhưng về cơ bản đây chỉ là bản tóm tắt nhanh, ISO 27002 bao gồm một cái nhìn tổng quan toàn diện hơn, giải thích cách thức hoạt động của từng kiểm soát, mục tiêu của nó và cách tổ chức có thể thực hiện nó

_ ISO / IEC 27003: 2017 (ISO 27003) Công nghệ thông tin - Kỹ thuật bảo mật

- Hệ thống quản lý an toàn thông tin - Hướng dẫn

- Quản lý an toàn thông tin - Giám sát, đo lường, phân tích và đánh giá

- Quản lý rủi ro an toàn thông tin

- Yêu cầu đối với cơ quan cung cấp dịch vụ đánh giá và chứng nhận hệ thống quản lý an toàn thông tin

- Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin

_ ISO / IEC TR 27008: 2011 (ISO 27008) Công nghệ thông tin - Kỹ thuật bảo mật - Hướng dẫn cho đánh giá viên về các biện pháp kiểm soát an toàn thông tin

Trang 5

- Áp dụng theo lĩnh vực cụ thể của ISO / IEC 27001 - Yêu cầu

- Quản lý an toàn thông tin cho truyền thông liên ngành và liên tổ chức

- Quy tắc thực hành về Kiểm soát an toàn thông tin dựa trên ISO / IEC 27002 cho các tổ chức viễn thông

- Hướng dẫn triển khai tích hợp ISO / IEC 27001 và ISO / IEC 20000-1

- Quản trị an toàn thông tin

_ ISO / IEC TR 27016: 2014 (ISO 27016) Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý an toàn thông tin - Kinh tế tổ chức

- Quy tắc thực hành về kiểm soát an toàn thông tin dựa trên ISO / IEC 27002 cho các dịch vụ đám mây

_ ISO / IEC 27018: 2014 (ISO27018) Công nghệ thông tin Kỹ thuật bảo mật -Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trong các đám mây công cộng hoạt động như bộ xử lý PII

- Lập bản đồ các phiên bản sửa đổi của ISO / IEC 27001 và ISO / IEC 27002 _ ISO / IEC 27031: 2011 (ISO 27031) Công nghệ thông tin - Kỹ thuật bảo mật

- Hướng dẫn về sự sẵn sàng của công nghệ thông tin và truyền thông cho tính liên tục của doanh nghiệp

- Hướng dẫn về an ninh mạng

_ ISO / IEC 27033: Công nghệ thông tin Kỹ thuật bảo mật An ninh mạng -Phần 1 - 6

_ ISO / IEC 27034: Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 1-7

_ ISO / IEC 27035:2016 (ISO 27035): Công nghệ thông tin - Kỹ thuật bảo mật

- Quản lý sự cố an toàn thông tin - Phần 1, 2

_ ISO / IEC 27036: Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin cho các mối quan hệ với nhà cung cấp - Phần 1, 2, 3, 4

- Hướng dẫn xác định, thu thập, thu thập và bảo quản bằng chứng kỹ thuật số _ ISO / IEC 27038: 2014 (ISO 27038) Công nghệ thông tin - Kỹ thuật bảo mật

- Đặc tả kỹ thuật số

Trang 6

- Lựa chọn, triển khai và vận hành hệ thống (IDPS)

- Bảo mật lưu trữ

- Hướng dẫn đảm bảo tính phù hợp và đầy đủ của các phương pháp điều tra sự cố

- Hướng dẫn phân tích và giải thích bằng chứng kỹ thuật số

- Nguyên tắc và quy trình điều tra sự cố

_ ISO / IEC 27050: Công nghệ thông tin - Kỹ thuật bảo mật - Khám phá điện

tử - Phần 1 - 3

_ ISO / IEC TR 27103: 2018 (ISO27103) Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng và các tiêu chuẩn ISO và IEC

_ ISO / IEC 27102: 2019 (ISO27102) Quản lý an toàn thông tin - Hướng dẫn

về bảo hiểm mạng

_ ISO / IEC PRF TR 27550: 2019 (ISO27550) Công nghệ thông tin - Kỹ thuật bảo mật - Khám phá điện tử

->Tầm quan trọng:

_ Tăng sự tin cậy của doanh nghiệp đối với khách hàng

_ Tạo dựng hệ thống tốt trong tổ chức, xác định các thông tin quan trọng, các rủi ro có thể xảy ra để kịp thời xử lý và giảm thiểu

_ Quản lý và bảo đảm tài sản an toàn

_ Tạo vị thế cạnh tranh trên thị trường

_ Bảo mật thông tin và nâng cao nhận thức của nhân viên trong an toàn và trách nghiệm bảo mật thông tin của họ đối với tổ chức

->Do tổ chức nào cấp?

ISO 27000 là bộ tiêu chuẩn an toàn đồng nhất do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) phối hợp với Ủy ban Kỹ thuật điện quốc tế (IEC) xây dựng

ISO 27006 là một bộ tiêu chuẩn bảo mật thông tin xác định liệu một công ty có đủ điều kiện để thực hiện đánh giá ISO 27001 hay không

Trang 7

Viết tắt:

- ISMS (information security management system): Hệ thống quản

lý bảo mật thông tin

- ATTT: An toàn thông tin

2.Lợi ích khi đạt các chứng chỉ ISO 2700x

ISO 27001

1 Giới thiệu:

- Tài liệu ISO 27001 được gọi là “Information technology - Security techniques - Information security management systems - Requirements”

- ISO/IEC 27001 là tiêu chuẩn của hệ thống quản lý bảo mật thông tin (ISMS) nổi tiếng trên thế giới và là một phần của bộ tiêu chuẩn an toàn thông tin ISO 27000 Nó nêu ra những yêu cầu mà ISMS phải đáp ứng

- Tiêu chuẩn ISO/IEC 27001 sẽ hướng dẫn thiết lập, triển khai, duy trì và nâng cấp ISMS liên tục Sau phiên bản năm 2005 là phiên bản được ra mắt vào tháng 9/2013 và bản này được áp dụng đến hiện tại Chứng nhận ISO/IEC 27001 phù hợp với mọi tổ chức, quy mô lớn hoặc nhỏ và trong bất kỳ lĩnh vực nào

2 Lợi ích:

- Có khả năng phục hồi khi bị tấn công mạng

- Sẵn sàng trước các mối đe dọa mới

- Tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu

- Các sự hỗ trợ được bảo mật

- Bảo vệ tổ chức toàn diện

- Tối ưu chi phí

ISO 27002

- Tài liệu ISO 27002 được gọi là “Information security, Cybersecurity and privacy protection - Information security controls” trong bản sửa đổi năm 2022

Trang 8

- ISO/IEC 27002 là tiêu chuẩn quốc tế cung cấp biện pháp để thiết lập, triển khai hay cải tiến ISMS cho các tổ chức Bao gồm các hoạt động kiểm soát truy cập, mã hóa, bảo mật nguồn nhân lực và ứng phó sự cố

- Năm 2013 ISO 27002 được cập nhật và sử dụng thay cho phiên bản năm

2005 Ở bản 2013, các biện pháp kiểm soát được cập nhật và sửa đổi phù hợp với tình hình an toàn thông tin hiện nay trên thế giới Nội dung tổng có 114 biện pháp kiểm soát nhóm lại trong 35 phân loại, thuộc

14 điều khoản (nhóm mục tiêu) như sau: Chính sách ATTT; Tổ chức đảm bảo ATTT; Đảm bảo ATTT từ nguồn lực; Quản lý tài sản; Quản lý truy cập; Mật mã hóa; Đảm bảo an toàn vật lý và môi trường; An toàn vận hành; An toàn truyền thông; Tiếp nhận, phát triển và duy trì các hệ thống thông tin; Quan hệ với nhà cung cấp; Quản lý sự cố ATTT; Các khía cạnh ATTT trong quản lý sự liên tục của hoạt động nghiệp vụ; Sự tuân thủ

- ISO 27002:2022 đã giảm từ 114 biện pháp kiểm soát xuống còn 93 biện pháp và được phân loại thành bốn “chủ đề” kiềm soát: Tổ chức, con người, vật chất, con người.

2 Lợi ích:

- Bảo mật thông tin toàn diện: cung cấp hướng dẫn chi tiết và phương

pháp bảo vệ thông tin ở nhiều khía cạnh

- Quản lý rủi ro: Tổ chức có thể xác định, đánh giá và quản lý hiệu quả

các cách rủi ro bảo mật

- Nâng cao lòng tin: Các bên liên liên quan đều được bảo mật thông tin,

dữ liệu nhạy cảm

- Tuân thủ quy định bảo vệ dữ liệu hợp pháp: Hỗ trợ bảo vệ dữ liệu

theo quy định, hợp đồng

- Khả năng phục hồi hoạt động: Giảm gián đoạn hoạt động khi gặp sự

cố bảo mật

- Lợi thế cạnh tranh: Có khả năng bảo mật dữ liệu sẽ tăng tính cạnh

tranh của công ty

ISO 27003

- ISO 27003 được gọi đầy đủ là “Information technology - Security techniques - Information security management systems - Guidance” vào phiên bản năm 2017

- ISO/IEC 27003 là tài liệu cơ bản và toàn diện, cung cấp hướng dẫn cho tất cả các yêu cầu của ISO/IEC 27001, ngoại trừ các khía cạnh liên quan đến “giám sát, đo lường, phân tích và đánh giá” và quản lý rủi ro ATTT

Trang 9

Ngoài ra, tiêu chuẩn này cũng không bổ sung bất kỳ yêu cầu mới nào đối với ISMS cũng như các thuật ngữ và định nghĩa liên quan của nó Các tổ chức triển khai ISMS không có nghĩa vụ phải tuân theo hướng dẫn trong tài liệu này

2 Lợi ích:

- Sắp xếp cách tiếp cận triển khai ISMS theo từng bước phù hợp với tổ chức

ISO 27004

- Tài liệu ISO 27004 được gọi là “Information technology - Security techniques - Information security management - Measurement”

- ISO 27004:2009 được xuất bản lần đầu tiên vào năm 2009 như một

phần của bộ tiêu chuẩn ISO 27000, sau đó được sửa đổi vào năm 2016

và được gọi là ISO 27004:2016 Cả hai tiêu chuẩn đều là hướng dẫn chứ không phải yêu cầu

- ISO/IEC 27004:2016 đưa ra các hướng dẫn để xác định hiệu suất của ISO 27001 Tiêu chuẩn này mô tả cách tạo và vận hành các hệ

thống đánh giá cũng như cách phân tích và công bố tác động của một bộ

số liệu bảo mật thông tin

2 Lợi ích:

- Tăng tính minh bạch

- Cải thiện việc quản lý quy trình và thông tin ISMS

- Cung cấp các biện pháp đo lường khác nhau

- Phù hợp với các thông số kỹ thuật của ISO/IEC 2700:2013, cũng như các quy tắc, luật pháp và quy định liên quan

ISO 27005

1 Giới thiệu:

- ISO 27005 được gọi là “Information security, cybersecurity and privacy protection — Guidance on managing information security risks”

- ISO 27005 xuất hiện khi việc quản lý rủi ro trở nên khó khăn hơn trong

tổ chức Vai trò của ISO 27005 là đề cập đến các quy trình tiến hành đánh giá rủi ro bảo mật thông tin theo tiêu chuẩn ISO 27001 Để làm được thì nó tập hợp một loạt các biện pháp thực hành tốt nhất nhằm ngăn chặn vi phạm dữ liệu trong tổ chức

Trang 10

- Từ thông số kỹ thuật, cung cấp hướng dẫn về việc xác định, đánh giá, xem xét và xử lý các lỗ hổng bảo mật thông tin Đảm bảo rằng, các tổ chức lập kế hoạch, thực hiện, giám sát và quản lý các biện pháp kiểm soát bảo mật thông tin một cách phù hợp

- ISO 27005 chỉ đề xuất những phương pháp đánh giá rủi ro hay nhất, không có lộ trình cụ thể để thực hiện theo từ đầu đến cuối, vì vậy áp dụng được với mọi ISMS

2 Lợi ích:

- Ngăn chặn vi phạm dữ liệu

- Giảm thiểu các mối đe dọa về bảo mật thông tin

- Duy trì mức độ rủi ro phù hợp với tổ chức

- Linh hoạt trong việc lựa chọn phương pháp phù hợp

Một số ảnh:

- Nguồn: https://ictvietnam.vn/ap-dung-tieu-chuan-iso-iec-27000-trong-linh-vuc-an-toan-thong-tin-43854.html

Lịch sử hình thành và mối quan hệ giữa tiêu chuẩn ISO/IEC 27000 và ISO/IEC

27001, ISO/IEC 27002

Trang 11

Mối quan hệ giữa các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000

Số lượng chứng chỉ ISO 27001 tại Việt Nam qua các năm

Trang 12

3.Thực trạng 2700x tại VN: (27001)

Tóm tắt thực trạng triển khai ISO 27001 tại Việt Nam:

1 Lịch sử:

● 2006: Tiêu chuẩn TCVN 7562: 2005 (tương đương ISO/IEC 17799: 2000)

được ban hành

● 2007: CSC Việt Nam và FPT-IS là những đơn vị đầu tiên đạt chứng nhận ISO

27001

● 2007: Giáo sư Ted Humphreys, cha đẻ của ISO 27001, đến Việt Nam tham dự

hội thảo về bảo mật thông tin

2 Thực trạng:

Một số doanh nghiệp đạt chứng chỉ ISO 27001 gầy đây

ABeam :

https://vnexpress.net/abeam-viet-nam-dat-chung-nhan-iso-27001-4724635.html

Hệ thống Quản lý an toàn thông tin (ISMS) của ABeam Việt Nam đạt tiêu chuẩn ISO 27001:

● Chứng nhận: Cấp bởi British Standards Institution (BSI)

● Mục đích: Bảo vệ dữ liệu khách hàng trong suốt quá trình chuyển đổi số

● Quy trình:

○ Quản lý rủi ro

○ Kiểm soát truy cập

○ Ứng phó sự cố

○ Cải tiến liên tục

Lợi ích của việc đạt chứng nhận ISO 27001:

● Nâng cao uy tín của ABeam trong việc cam kết bảo mật dữ liệu

● Giúp các doanh nghiệp tự tin bắt tay vào hành trình chuyển đổi số

Về ABeam Consulting:

● Công ty tư vấn chuyển đổi số:

Trang 13

○ Trụ sở: Tokyo (Nhật Bản)

○ Hoạt động ở 13 quốc gia và vùng lãnh thổ

○ 29 văn phòng trên toàn thế giới

○ Hơn 7.900 chuyên gia tư vấn

● Tại Việt Nam:

○ Thành lập năm 2018

○ Hơn 110 chuyên gia tư vấn

○ Chuyên tư vấn triển khai SAP, chiến lược và vận hành; chuyển đổi số

○ Thấu hiểu về bức tranh chuyển đổi số tại Việt Nam

○ Đạt nhiều giải thưởng uy tín từ đối tác SAP trên toàn cầu

Kết luận:

Việc đạt chứng nhận ISO 27001 là minh chứng cho cam kết của ABeam Việt Nam trong việc bảo mật dữ liệu khách hàng Cùng với đội ngũ chuyên gia giàu kinh nghiệm, ABeam là đối tác uy tín cho các doanh nghiệp trong hành trình chuyển đổi số

Meey Group đã đạt được chứng nhận ISO 9001:2015 và ISO/IEC 27001:2013, đây là

những tiêu chuẩn quốc tế về Hệ thống quản lý chất lượng và Hệ thống quản lý an toàn thông tin

Đây là một thành tựu quan trọng đối với Meey Group:

● Thể hiện cam kết của doanh nghiệp trong việc nâng cao chất lượng sản phẩm

và dịch vụ, cũng như đảm bảo an toàn thông tin

● Giúp Meey Group tăng cường uy tín thương hiệu, tạo dựng niềm tin với khách hàng và đối tác

● Là nền tảng cho sự phát triển bền vững của Meey Group trong tương lai

Để đạt được thành quả này, Meey Group đã:

● Phối hợp chặt chẽ với Viện Tiêu chuẩn Anh (BSI) trong 3 giai đoạn: Đào tạo

và chuẩn bị; Triển khai áp dụng và Đánh giá chứng nhận

● Đầu tư vào việc xây dựng và cải tiến hệ thống quản lý, cũng như đào tạo nhân viên

● Cam kết thực hiện các đợt đánh giá, giám sát định kỳ để đảm bảo duy trì tính hiệu lực của chứng nhận

Tiêu đề	Giới thiệu về ISO 2700x
Tác giả	Hoàng Nguyễn Linh Chi, Ngô Đình Khôi, Lê Hồ Ngọc Trân, Nguyễn Trung Trực, Lê Đình Cẩm Tú
Người hướng dẫn	Tiến Sĩ Nguyễn Mạnh Tuấn
Trường học	Đại học UEH, Trường Công nghệ và Thiết kế, Khoa Công nghệ Thông tin Kinh doanh
Chuyên ngành	Bảo mật Thương mại Điện tử
Thể loại	Tiểu luận
Năm xuất bản	2024
Thành phố	Thành phố Hồ Chí Minh

Định dạng
Số trang	17
Dung lượng	488,89 KB