5. Các chuẩn trong thương mại điện tử
5.2 Chuẩn bảo mật hệ thống thông tin ISO 27001
Tổ chức Tiêu chuẩn hoá quốc tế (ISO) đã ban hành ISO 27001 vào tháng 10 năm 2005. Về cơ bản, ISO 27001 - Hệ thống quản lý an ninh thông tin - phần bổ sung của tiêu chuẩn ISO/IEC 17799 “mã thực hành”; ISO/IEC 17799 lần đầu tiên được ban hành dưới tiêu chuẩn BS 7799-1. Hai tiêu chuẩn này hòa hợp và liên quan mật thiết với nhau.
Tiêu chuẩn ISO 27001 đưa ra các yêu cầu cho việc xây dựng, áp dụng, điều hành, kiểm tra, giám sát và phát triển hệ thống an ninh thông tin một cách tòan diện và khoa học.
ISO/IEC 17799 nêu cụ thể số lượng kiểm soát an ninh đơn lẻ, được lựa chọn và áp dụng như một phần của hệ thống an ninh thông tin.
ISO 27001 qui định những yêu cầu đối với hệ thống an ninh thông tin, khác biệt với ISO/IEC 17799 là được điều chỉnh một số điều cần thiết phù hợp với nhu cầu của doanh nghiệp, là cơ sở để xem xét đánh giá cấp chứng chỉ của tổ chức bên thứ ba.
ISO 17021: 2006, đánh giá sự phù hợp – các yêu cầu đối với cơ quan cung cấp đánh giá và chứng nhận hệ thống quản lý, không những đưa ra các chuẩn mực tương ứng đối với các cơ quan chứng nhận hệ thống quản lý chất lượng và môi trường, mà còn liên quan đến tiêu chuẩn về an tòan thực phẩm (ISO 22000), an toàn chuỗi cung ứng (ISO/PAS 28000: 2005) cũng như liên quan đến bất cứ tiêu chuẩn nào sẽ được xây dựng trong tương lai.
ISO 27001 được xây dựng hòa hợp , tương thích với các hệ thống quản lý khác như : ISO 9001: 2000 và ISO 14001: 2004 và đã có ảnh hưởng trên phạm vi toàn cầu.
Sinh viên thực hiện: Lê Sỹ Đức - Khóa K50 - Lớp CNPM 50 5.2.1 Khái niệm về ISO 27001:2005
ISO 27001 là tiêu chuẩn về hệ thống quản lý an ninh thông tin (ISMS– Information Security Management System) do Tổ chức tiêu chuẩn hoá quốc tế (ISO) phát triển và ban hành . Tiêu chuẩn cung cấp một mô hình để thiết lập, áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến Hệ thống ISMS và có thể áp dụng cho hầu hết mọi loại hình tổ chức như : các tổ chức kinh doanh – thương mại, Chính phủ, tổ chức phi lợi nhuận.
5.2.2 Lợi ích của việc áp dụng ISO 27001:2005
- Chứng tỏ cam kết đảm bảo về an ninh thông tin ở mọi cấp độ trong tổ chức - Đảm bảo tính sẵn sàn tin cậy của phần cứng và các cơ sở dữ liệu
- Bảo mật thông tin, tạo niềm tin cho đối tác và khách hàng - Giảm thiếu rủi ro gặp phải
- Nhanh chóng khắc phục các sự cố xẩy ra - Giảm giá thành và các chi phí bảo hiểm
- Nâng cao nhận thức và trách nhiệm của tất cả các nhân viên về an ninh thông tin.
5.2.3 Cấu trúc của bộ tiêu chuẩn ISO 27000
- Bộ tiêu chuẩn ISO 27001 : 2005 bao gồm : - ISO 27000 – Các nguyên tắc và từ vựng
- ISO 27001 – Các yêu cầu của hệ thống quản lý an ninh thông tin - ISO 27002 – (ISO/IEC 17799 – Mã thực hành)
- ISO 27003 - Hướng dẫn áp dụng Hệ thống quản lý an ninh thông tin - ISO 27004 – Đo lường Hệ thống quản lý an ninh thông tin
- ISO 27005 - Quản lý rủi ro Hệ thống quản lý an ninh thông tin - ISO 27006 – 27010 sẽ lần lượt xây dựng, ban hành
- ISO 17021 – Đánh giá sự phù hợp
5.2.4 Các yêu cầu của tiêu chuẩn quốc tế ISO 27001:2005
- Hệ thống quản lý an ninh thông tin - Trách nhiệm lãnh đạo
Sinh viên thực hiện: Lê Sỹ Đức - Khóa K50 - Lớp CNPM 51
- Đánh giá nội bộ Hệ thống ISMS
- Xem xét của lãnh đao về Hệ thống ISMS - Cải tiến Hệ thống ISMS
Kèm theo phụ lục quan trọng về kiểm soát các mục tiêu gồm 11 nhóm yếu tố sau :
- Chính sách an ninh - Tổ chức an ninh - Quản lý tài sản
- An ninh nguồn nhân lực - An ninh môi trường và vật lý - Quản lý hoạt động và truyền thông - Kiểm soát truy cập
- Thu nạp, phát triển và duy trì Hệ thống ISMS - Quản lý sự cố an ninh thông tin
- Quản lý tính liên tục trong kinh doanh - Sự tuân thủ
5.2.5 Các bước chủ yếu xây dựng và áp dụng ISO 27001:2005
- Cam kết thực hiện dự án của lãnh đạo - Thành lập Ban chỉ đạo ANTT
- Khảo sát đánh giá thực trạng Hệ thống hiện hành - Đào tạo nhận thức về ISO 27001
- Đào tạo viết tài liệu
- Đưa ra chính sách mục tiêu và phạm vi an ninh thông tin - Phân tích, đánh giá rủi ro trong phạm vi của Hệ thống ISMS - Lựa chọn mục tiêu, biện pháp kiểm soát phù hợp để thực thi - Áp dụng thử
- Đào tạo chuyên gia đánh giá nội bộ - Tiến hành đánh giá nội bộ
Sinh viên thực hiện: Lê Sỹ Đức - Khóa K50 - Lớp CNPM 52
- Hoàn chỉnh hệ thống tài liệu - Tiến hành đánh giá thử
- Khắc phục, phòng ngừa sự không phù hợp - Đánh giá chứng nhận
- Duy trì, cải tiến Hệ thống sau chứng nhận