1. Doanh nghiệp cần làm gì để xây dựng và áp dụng ISO 27001:2005 - Doanh nghiệp phải cải tiến cách quản lý hiện tại theo cách quản lý được mô tả trong tiêu chuẩn ISO 27001:2005. Các hoạt động tiêu chuẩn yêu cầu nếu doanh nghiệp chưa thực hiện sẽ phải bổ sung. - Tùy theo điều kiện hiện tại, một doanh nghiệp sẽ phải cải tiến nhiều hay ít cho phù hợp với các yêu cầu của tiêu chuẩn ISO 27001 :2005. - Các hoạt động dưới đây là các hoạt động cốt lõi của Hệ thống quản lý an ninh thông tin sẽ phải được tiến hành tại Doanh nghiệp: • Xác định yêu cầu của Hệ thống quản lý an ninh thông tin • Xác định ra những quá trình đảm bảo an ninh thông tin. • Đưa ra Chính sách và Mục tiêu an ninh thông tin để định hướng cho từng cá nhân trong Doanh nghiệp • Xác định các trách nhiệm quyền hạn của từng bộ phận, cá nhân liên quan đến an ninh thông tin • Lập ra các quy trình triển khai để đảm bảo các quá trình được thực hiện theo một phương pháp thống nhất trong Doanh nghiệp. • Đào tạo và hướng dẫn các quy trình đến toàn bộ cán bộ công nhân viên • Thực hiện đánh giá nội bộ để kiểm tra mức độ tuân thủ các quy trình và hướng dẫn. • Thực hiện các biện pháp khắc phục phòng ngừa mỗi khi có sự không phù hợp được phát hiện. 2. Công ty tư vấn làm gì để giúp Doanh nghiệp áp dụng ISO 27001 ? - Khảo sát hoạt động của Doanh nghiệp trước khi áp dụng để xác định ra những việc cần cải tiến cho phù hợp với yêu cầu của ISO 27001: 2005 bao gồm các yêu cầu về cải tiến hạ tầng thông tin nếu có. - Đào tạo các kiến thức về ISO 27001: 2005 cho cán bộ công nhân viên của Doanh nghiệp. - Hướng dẫn Doanh nghiệp soạn thảo các quy trình liên quan tới hệ thống . - Hướng dẫn Doanh nghiệp áp dụng các quy trình đã ban hành - Đào tạo các kiến thức về đánh giá nội bộ cho đội ngũ đánh giá viên của Doanh nghiệp. - Chuyển giao các kỹ năng đánh giá hệ thống quản lý an toàn thông tin cho các đánh giá viên của doanh nghiệp thông qua đánh giá thực tế. - Tư vấn cho doanh nghiệp lựa chọn tổ chức chứng nhận phù hợp. 3. Các yêu cầu của tiêu chuẩn quốc tế ISO 27001:2005 - Hệ thống quản lý an ninh thông tin - Trách nhiệm lãnh đạo - Đánh giá nội bộ Hệ thống ISMS - Xem xét của lãnh đao về Hệ thống ISMS - Cải tiến Hệ thống ISMS Kèm theo phụ lục quan trọng về kiểm soát các mục tiêu gồm các nhóm yếu tố sau : - Chính sách an ninh - Tổ chức an ninh - Quản lý tài sản - An ninh nguồn nhân lực - An ninh môi trường và vật lý - Quản lý hoạt động và truyền thông - Kiểm soát truy cập - Thu nạp, phát triển và duy trì Hệ thống ISMS - Quản lý sự cố an ninh thông tin - Quản lý tính liên tục trong kinh doanh - Sự tuân thủ 4. Lợi ích của việc áp dụng và chứng nhận ISO 27001:2005 - Chứng tỏ cam kết đảm bảo về an ninh thông tin ở mọi cấp độ trong tổ chức - Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu - Bảo mật thông tin, tạo niềm tin cho đối tác và khách hàng - Giảm thiếu nguy cơ rủi ro - Nhanh chóng khắc phục các sự cố nếu xảy ra - Giảm giá thành và các chi phí bảo hiểm - Nâng cao nhận thức và trách nhiệm của tất cả các nhân viên về an ninh thông tin. Ông Đặng Hoàng Minh, Giám đốc CNTT của công ty Global Cybersoft: “Việt Nam hiện có hơn 20 DN đã có chứng nhận ISO 27001: 2005. Các DN này chủ yếu là các công ty phần mềm, thương mại điện tử… Trong tương lai, các công ty tài chính – ngân hàng, chứng khoán… sẽ phải triển khai tiêu chuẩn này nhằm tăng cường độ an toàn của hệ thống, tăng lợi thế cạnh tranh, gia tăng hình ảnh công ty…”. Ông Phó Đức Giang, Trưởng phòng Vận hành - Bảo mật (ISMS Manager) của công ty VietUnion: VietUnion mất khoảng 15 tháng để hoàn chỉnh các bước triển khai bộ tiêu chuẩn ISO 27000. Hệ thống ISMS (Information Security Management System) của VietUnion vừa hoàn thành khâu kiểm định đánh giá để có được chứng nhận ISO 27001:2005 trong tháng 9/2010. Dự kiến, vào cuối năm nay, VietUnion sẽ có chứng nhận ISO 27001 do tổ chức TUV Rheinland cấp; hiện thời công ty đã có chứng nhận tạm thời. Bộ tiêu chuẩn ISO 27000 đã ra mắt tại Việt Nam cách đây khoảng 4-5 năm nhưng gần đây các doanh nghiệp (DN) mới chú ý nhiều đến tiêu chuẩn này. Thiên về DN CNTT Các DN thuộc ngành phần mềm, ngân hàng, thương mại điện tử, dịch vụ trực tuyến đang quan tâm đến việc xây dựng tiêu chuẩn bảo mật ISO 27000. Hệ thống thông tin của các DN này đòi hỏi tính toàn vẹn – bảo mật – liên tục ở mức cao; do đó cần đến một cơ chế quản lý bảo mật chặt chẽ. Cách đây khoảng 3-4 năm, có khá nhiều công ty gia công phần mềm ở Việt Nam triển khai bộ tiêu chuẩn ISO 27000. Vào thời điểm đó (2007 – 2008), tổ chức Phát triển và Đầu tư Đức (DEG) có chương trình hỗ trợ triển khai các chứng nhận CMMI, ISO 9001, ISO 27001 cho DN CNTT ở các nước đang phát triển. Việt Nam là một trong số các quốc gia nhận được sự hỗ trợ này. Đó là lý do hiện có nhiều DN phần mềm tại Việt Nam đạt chứng nhận ISO 27001. Hai công ty phần mềm có chứng nhận ISO 27001 đầu tiên ở Việt Nam là FPT và CSC Việt Nam (công ty FCG Việt Nam trước đây). Sau đó là một loạt các DN như HPT, Lạc Việt, CMC Software, Global Cybersoft, Fujinet… Trong năm 2010 hiện có công ty Tinh Vân (dịch vụ trực tuyến) đã nhận được chứng nhận ISO 27001 do tổ chức DAS Việt Nam cấp. Dịch vụ thương mại điện tử “Ví điện tử Payooo” (công ty VietUnion) cũng chuẩn bị nhận chứng nhận này từ tổ chức TUV Rheinland vào cuối năm nay Chứng nhận bằng vàng Theo ý kiến của một số tư vấn viên về ISO 27001, chi phí triển khai tiêu chuẩn ISO 27001 cho đến lúc chứng nhận vào khoảng 25.000 – 200.000 USD (488 triệu - 3,9 tỷ đồng). Đương nhiên, chi phí này còn tuỳ thuộc vào quy mô DN, phạm vi triển khai tiêu chuẩn ISO 27001. Đối với một ngân hàng thương mại với quy mô hàng trăm chi nhánh thì chỉ riêng chi phí tư vấn ISO 27001 có thể lên đến hàng tỷ đồng. Đối với các DN có hoạt động kinh doanh trên thị trường quốc tế thì việc sở hữu các chứng nhận CMMI, ISO 27001… là một điều cần thiết. Khi các đối tác nước ngoài làm ăn với DN Việt Nam, họ quan tâm đến các tiêu chuẩn quốc tế như ISO 9001, ISO 27001… Vì họ muốn có được sự đảm bảo về hệ thống thông tin của DN Việt Nam. Theo ông Phó Đức Giang, Trưởng phòng Vận hành - Bảo mật (ISMS Manager) của công ty VietUnion: “Để triển khai tiêu chuẩn ISO 27001, cần có sự ủng hộ ở mức cao của lãnh đạo DN”. Ngay từ đầu, công ty VietUnion đã muốn có được chứng nhận ISO 27001. Trước khi ra mắt dịch vụ “Ví điện tử Payoo”, công ty đã bắt đầu thực hiện các bước trong quy trình ISO 27001. Ông Đặng Hoàng Minh, Giám đốc CNTT của công ty Global Cybersoft nhận xét: “Các DN có thể khoanh vùng các bộ phận cần triển khai ISO 27001 để tiết kiệm chi phí tư vấn. Các bộ phận nào cần áp dụng tiêu chuẩn này trước sẽ tiến hành triển khai ngay; sau đó sẽ mở rộng ra các bộ phận khác”. Dừng lại ở mức sẳn sàng Hiện nay, có khá nhiều DN trong ngành CNTT cho biết họ đang triển khai các bước trong tiêu chuẩn ISO 27001. Trên thực tế, việc triển khai trong nội bộ DN chỉ là hình thức; còn áp dụng thực tế lại hoàn toàn khác. Có nhiều quy định trong công ty (theo ISO 27001) sẽ được đưa ra nhưng nó có thực sự được áp dụng hay không? Một vài DN lớn thì cho rằng họ sẵn sàng cho tiêu chuẩn ISO 27001; nếu các đối tác nước ngoài yêu cầu thì họ sẽ áp dụng ngay. Thực tế, có không ít DN trước khi triển khai ISO 27001 đã làm được khoảng 30 – 40% các bước trong quy trình triển khai tiêu chuẩn này. Các DN có quy mô kinh doanh lớn vẫn còn ngại ngần trong việc triển khai ISO 27001. Họ sợ tốn chi phí quá nhiều cho việc tư vấn, bổ sung nhân sự cho ban ISO… Giám đốc CNTT ở một số công ty lớn vẫn do dự khi đứng trước số tiền phải trả cho đơn vị tư vấn lên đến 30.000 - 50.000 USD (gần 600 triệu - 1 tỉ đồng). Tuy nhiên, trong thời kỳ kinh tế Việt Nam đang từng bước hội nhập với quốc tế, các DN lớn phải sở hữu các chứng nhận có giá trị quốc tế. Các chứng nhận ISO 9001, ISO 27001…sẽ xác nhận Các DN có thể khoanh vùng các bộ phận cần triển khai ISO 27001 để tiết kiệm chi phí tư vấn. Các bộ phận nào cần áp dụng tiêu chuẩn này trước sẽ tiến hành triển khai ngay; sau đó sẽ mở rộng ra các bộ phận khác. độ tin cậy của hệ thống thông tin của các DN, nhờ nó các DN Việt Nam tự tin hơn khi thương lượng với các đối tác nước ngoài. . Việt Nam triển khai bộ tiêu chuẩn ISO 27000. Vào thời điểm đó (2007 – 2008), tổ chức Phát triển và Đầu tư Đức (DEG) có chương trình hỗ trợ triển khai các chứng nhận CMMI, ISO 9001, ISO 27001 cho. ISO 9001, ISO 27001 sẽ xác nhận Các DN có thể khoanh vùng các bộ phận cần triển khai ISO 27001 để tiết kiệm chi phí tư vấn. Các bộ phận nào cần áp dụng tiêu chuẩn này trước sẽ tiến hành triển. trình triển khai tiêu chuẩn này. Các DN có quy mô kinh doanh lớn vẫn còn ngại ngần trong việc triển khai ISO 27001. Họ sợ tốn chi phí quá nhiều cho việc tư vấn, bổ sung nhân sự cho ban ISO Giám