II. BÀI TẬP TÌNH HUỐNG
ĐẢM BẢO AN TỒN CHO HỆ THỚNG THÔNG TIN
6.2.1.4. Tình hình triển khai ISM Sở Việt Nam
Việc triển khai các hệ thống bảo mật thông tin hiện nay đã và đang có nhiều thay đổi so với trước đây. Theo thống kê của VNISA thì các tổ chức, doanh nghiệp Việt Nam đang ngày càng chú trọng đến vấn đề an tồn và bảo mật thơng tin cho các hệ thống thơng tin của tổ chức, vì vậy, việc triển khai các hệ thống đảm bảo an tồn và bảo mật thơng tin hiện nay đều được các tổ chức, doanh nghiệp chú trọng.
Tại mỗi tổ chức, doanh nghiệp, việc xây dựng, triển khai, áp dụng ISMS có những giải pháp khác nhau, phụ thuộc vào quy mô, đặc trưng của tổ chức cũng như yêu cầu của tổ chức đó. Tuy nhiên, khi triển khai Hệ thống quản lý an tồn thơng tin theo ISO 27001, mỗi tổ chức cần phải thực hiện các bước cơ bản sau để đạt được chứng nhận:
Bước 1: Khảo sát hiện trạng của tổ chức nhằm nắm bắt được thực
trạng quản lý ATTT tại tổ chức đó cũng như yêu cầu, mong muốn của Lãnh đạo cho việc quản lý ATTT.
Bước 2: Lập kế hoạch xây dựng ISMS, trên cơ sở kết quả khảo sát
hiện trạng của tổ chức sẽ đề xuất kế hoạch để xây dựng ISMS cho phù hợp với thực tế của tổ chức.
Bước 3: Xây dựng hệ thống tài liệu và triển khai áp dụng. Xây dựng
các chính sách, quy định, quy trình về ATTT và ban hành các văn bản này, sau khi ban hành, sẽ thực hiện áp dụng các yêu cầu, điều khoản của chính sách, quy định vào hệ thống CNTT với phạm vi đã được đưa ra trong văn bản ban hành.
Bước 4: Thực hiện đánh giá nội bộ trong tổ chức. Đánh giá nội bộ
giúp phát hiện các điểm không phù hợp với yêu cầu của tiêu chuẩn, chính sách, quy định, từ đó, các tổ chức đưa ra kế hoạch khắc phục các điểm không phù hợp này, đồng thời, giai đoạn này cũng chuẩn bị cho việc đánh giá độc lập của một tổ chức đánh giá cấp chứng nhận chuyên nghiệp.
Bước 5: Đánh giá chứng nhận. Tổ chức đánh giá độc lập sẽ thực hiện
đầy đủ các yêu cầu bắt buộc của tiêu chuẩn đưa ra hay không và sẽ tiến hành cấp Chứng nhận Hệ thống quản lý ATTT nếu đơn vị này đáp ứng đủ điều kiện.
Theo yêu cầu của các tổ chức công nhận quốc tế, các đơn vị đã đạt chứng nhận Hệ thống quản lý an tồn thơng tin theo tiêu ch̉n quốc tế ISO27001:2005 cần chuyển đổi sang phiên bản tiêu chuẩn mới ISO 27001:2013 vì các chứng chỉ cũ hết hiệu lực từ ngày 01/10/2015. Nội dung thực hiện chuyển đổi bao gồm: Thứ nhất, điều chỉnh và cập nhật hệ thống ISMS tại tổ chức từ phiên bản ISO 27001:2005 sang ISO 27001:2013; Hồn thành cơng việc đánh giá tái chứng nhận và chuyển đổi phiên bản ISO 27001:2013 năm đầu bởi tổ chức chứng nhận độc lập được công nhận; Cuối cùng thực hiện đánh giá duy trì hiệu lực chứng nhận định kỳ hàng năm (02 năm tiếp theo sau khi đạt được chứng nhận).
Sau khi thực hiện xong bước 5, tổ chức có thể mời các đơn vị độc lập để đánh giá và cấp Chứng nhận phù hợp với tiêu chuẩn ISO 2701:2013 cho Hệ thống quản lý ATTT đã xây dựng.
Nhận thức được tầm quan trọng trong việc áp dụng ISO 27001, đặc biệt là đối với các nước đang phát triển - nơi trình độ ứng dụng CNTT chưa cao, phải thường xuyên đối mặt với nhiều nguy cơ bị thất thốt thơng tin, các doanh nghiệp Việt Nam cũng đã có những công ty tham gia thực hiện Hệ thống quản lý bảo mật thông tin ISO 27001.
Tháng 1/2007: Công ty CSC Việt Nam (Computer Sciences Corporation) đã trở thành đơn vị đầu tiên có được chứng nhận ISO 27001. Đến tháng 7/2013 ở Việt Nam có 5 đơn vị (CSC Vietnam, FPT IS, FPT Soft, GHP FarEast, ISB Corporation Vietnam...) đã đạt chứng nhận ISO 27001 và hơn 10 đơn vị (HPT Soft, VietUnion, Quantic...) đang trong quá trình triển khai ứng dụng tiêu chuẩn này. Đến hết năm 2012, Việt Nam đã có 249 chứng chỉ ISO 27001, cũng qua số liệu này, có thể thấy số đơn vị đạt chứng nhận ISO 27001 tại Việt Nam khá khiêm tốn so với Nhật Bản (53290 chứng nhận), Trung Quốc (8294 chứng nhận), Malaixia (759 chứng nhận). Một trong những nguyên nhân của tình trạng này là chi phí
để đạt chứng nhận ISO 27001 khá cao, bao gồm các chi phí về tư vấn, cấp chứng nhận và đặc biệt là chi phí doanh nghiệp phải bỏ ra để thực hiện các biện pháp kiểm soát rủi ro. So sánh với các nước trong khu vực Đông Nam Á đã áp dụng tiêu chuẩn ISO 22000, tổng số chứng chỉ đã được cấp Việt Nam đứng thứ 5, sau Malaysia, Thái Lan, Philipin, Singapo. Như vậy, tại khu vực Đông Nam Á, Inđônêxia chính là quốc gia đi đầu trong việc áp dụng ISO 27001.
Các đơn vị đã được cấp chứng chỉ an tồn thơng tin theo tiêu ch̉n ISO 27001:2013 tại Việt Nam cho tới thời điểm này:
Công ty Hệ thống Thông tin FPT (FPT IS) là một trong những đơn vị đầu tiên tại Việt Nam đạt chứng chỉ ISO 27001 và cũng là đơn vị tư vấn, triển khai Hệ thống ISMS cho nhiều doanh nghiệp, tổ chức. FPT IS đề xuất các tổ chức xây dựng ISMS theo các bước dưới đây để đáp ứng các yêu cầu của tiêu chuẩn ISO 27001: 2013.
Ngày 02/7/2015 - Trung tâm Internet Việt Nam (VNNIC) nhận Chứng nhận Hệ thống quản lý an tồn bảo mật thơng tin theo tiêu chuẩn ISO/IEC 27001:2013 trong hoạt động quản lý vận hành trung tâm dữ liệu IDC và hệ thống DNS quốc gia “.vn” do Tổ chức D.A.S ban hành.
Ngày 7/7/2015, TPBank nhận Chứng nhận Hệ thống quản lý An tồn thơng tin theo tiêu ch̉n ISO/IEC 27001:2013 từ TUVRheiland.
Ngày 20/11/2015, Ngân hàng TMCP Sài Gòn - Hà Nội (SHB) nhận Chứng chỉ Hệ thống quản lý An tồn thơng tin (ISMS) theo tiêu chuẩn ISO/IEC-27001:2013 từ đơn vị kiểm toán độc lập TÜV NORD.
Năm 2013, Tập đoàn Bảo Việt đạt được chứng nhận Hệ thống Quản lý an tồn thơng tin theo tiêu ch̉n ISO/IEC 27001:2005. Năm 2015, tập đoàn Bảo Việt đã chuyển đổi thành công lên phiên bản Hệ thống Quản lý an tồn thơng tin ISO/IEC 27001:2013.
Tháng 07/2015, công ty CP Tin học Lạc Việt được Tổ chức chứng nhận quốc tế TÜV Rheinland cấp chứng chỉ ISO/IEC 27001: 2013 về hệ
thống quản lý an tồn thơng tin (ATTT) của công ty theo tiêu chuẩn quốc tế.
Vietcombank là ngân hàng đầu tiên của ngành đón nhận chứng chỉ ISO/IEC 27001:2013 do Tổ chức Chứng nhận TÜV Rheinland của CHLB Đức ban hành.
Tháng 01/2016, EVNICT được nhận Giấy chứng nhận Hệ thống quản lý an tồn thơng tin theo tiêu ch̉n ISO/IEC 27001:2013.
Tháng 07/2014, SeABank đạt tiêu chuẩn ISO/IEC 27001:2013 về Quản lý an tồn bảo mật thơng tin do TÜV RHEINLAND Cộng hòa Liên bang Đức chứng nhận.
Ngày 19/11/2015, Gimasys nhận chứng chỉ an tồn bảo mật thơng tin theo tiêu chuẩn ISO/IEC 27001:2013.