Tiêu chuẩn ISO/IEC 27002: 2005

Một phần của tài liệu NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TOÀN THÔNG TIN (Trang 40 - 44)

CHƯƠNG1 : TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THÔNG TIN

2.4. Tiêu chuẩn ISO/IEC 27002: 2005

2.4.1. Giới thiệu chung

ISO/IEC 27002 là tiêu chuẩn quốc tế được đưa ra bởi Viện Tiêu chuẩn Anh quốc (BSI), là một bộ quy định thực thi về quản lý an tồn thơng tin và được coi như là hướng dẫn cơ bản chung, có thể phát triển thành các tiêu chuẩn an tồn thơng tin và quản lý hiệu quả hoạt động của tổ chức.

Tiêu chuẩn này là tên gọi mới của tiêu chuẩn ISO/IEC 17799 để áp dụng cùng với các tiêu chuẩn ISO/IEC 27001 (Information Security Management System) và ISO/IEC 27004 (Information Security Management Metrics) thành bộ tiêu chuẩn ISO/IEC 27000.

ISO/IEC 27002 thiết lập các hướng dẫn và các nguyên tắc chung cho việc khởi xướng, thực hiện, duy trì và cải thiện quản lý an tồn thơng tin trong một tổ chức. ISO/IEC 27002 chứa các biện pháp thi hành tốt nhất cho mục tiêu kiểm soát và biện pháp kiểm sốt trong các lĩnh vực quản lý an tồn thông tin.

Các mục tiêu kiểm soát và biện pháp kiểm soát trong ISO/IEC 27002 được dự định thực hiện để đáp ứng các yêu cầu được xác định bởi một đánh giá rủi ro. ISO/IEC 27002 được coi như là một hướng dẫn thực tế để phát triển các tiêu chuẩn an toàn tổ chức và thực hành quản lý an toàn hiệu quả, giúp xây dựng sự tự tin trong các hoạt động liên tổ chức.

Tiêu chuẩn này được thiết kế cho các tổ chức để sử dụng như một tài liệu tham khảo cho việc lựa chọn các điều khoản trong quá trình thực hiện một hệ thống quản lý an ninh thông tin (ISMS) dựa trên ISO / IEC 27001 hoặc như một tài liệu hướng dẫn cho các tổ chức thực hiện kiểm sốt an ninh thơng tin thường

41

được chấp nhận. Tiêu chuẩn này cũng được thiết kế để sử dụng trong xây dựng hướng dẫn quản lý an ninh thông tin từng ngành và tổ chức cụ thể, có tính đến môi trường rủi ro an ninh thơng tin cụ thể của tổ chức đó.

2.4.2. Tình hình ứng dụng ISO/IEC 27002

2.4.2.1. Tình hình ứng dụng ISO/IEC 27002 trên thế giới

Trên thế giới, tiêu chuẩn quốc tế ISO/IEC 27002 được sử dụng rất rộng rãi với hai phiên bản tiếng Anh và tiếng Pháp. Tuy nhiên một số quốc gia khác đã sử dụng như tài liệu tham khảo quan trọng để tiến hành xây dựng các tiêu chuẩn tương thích cho quốc gia như:

Nhật Bản:

Tiêu chuẩn ISO/IEC 27002: 2005 được Nhật dịch và xây dựng thành tiêu chuẩn quốc gia với tên gọi JIS Q 27002: 2006, xuất bản vào năm 2006.

NewZealand và Autralia:

Tại Australia và NewZealand, tiêu chuẩn AS/NZS ISO/IEC 27002: 2006 xây dựng năm 2006 được xây dựng dựa trên các tiêu chuẩn ISO/IEC 27002 và tiêu chuẩn AS/NZS ISO/IEC 17799: 2001. Về nội dung tiêu chuẩn NZS ISO/IEC 27002 hoàn toàn giống với tiêu chuẩn ISO 27002 tuy nhiên chỉ thay đổi cho phù hợp với các quy định riêng về cách trình bày tiêu chuẩn của các quốc gia này như tiêu đề, tên tiêu chuẩn, trang bìa, một số ký hiệu v.v….

Ngồi ra tại NewZealand, chính phủ đã ban hành tài liệu hướng dẫn “Đảm bảo an tồn thơng tin trong lĩnh vực chính phủ” (Security in government sector) năm 2002. Tài liệu đưa ra các hướng dẫn đảm bảo an tồn thơng tin và bắt buộc áp dụng trong các cơ quan chính phủ. Tài liệu này được xây dựng bởi các thành viên đến từ nhiều bộ ngành khác nhau trong chính phủ và sử dụng tài liệu tham khảo chính là tiêu chuẩn AS/NZS ISO/IEC 17799: 2001. Hơn nữa nội dung tiêu chuẩn cũng được cơ quan tình báo quốc gia và văn phịng an tồn truyền thơng của chính phủ cũng cung cấp thêm một số các quy trình đảm bảo an tồn thơng tin.

Hà Lan:

Tiêu chuẩn NEN-ISO/IEC 17799: 2002 của Hà Lan được xây dựng từ ISO/IEC 17799: 2000, bản dịch từ ISO/IEC 27002 (17799: 2005) đang được thực hiện.

42

Tại một số nước khác cũng đã và đang dịch, xây dựng các tiêu chuẩn quốc gia dựa trên tiêu chuẩn ISO/IEC 27002 như Tiêu chuẩn DS484:2005 của Đan Mạch, UNE71501 của Tây Ban Nha, TS ISO/IEC 27002 của Thổ Nhĩ Kỳ và EVS-ISO/IEC 17799: 2003 của Estonia .

2.4.2.2. Tình hình ứng dụng ISO/IEC 27002 tại Việt Nam

Tiêu chuẩn quốc gia với tên gọi TCVN ISO/IEC 27002: 2011 (Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an tồn thơng tin) xuất bản năm 2011 được xây dựng dựa trên ISO/IEC 27002.

TCVN ISO/IEC 27002: 2011 do Viện khoa học kỹ thuật Bưu điện biên soạn, Bộ thông tin và truyền thông đề nghị, Tổng cục tiêu chuẩn đo lường chất lượng thẩm định, Bộ khoa học và công nghệ cơng bố xuất bản. Tiêu chuẩn này hồn tồn tương đương với ISO/IEC 27002.

Tiêu chuẩn ISO/IEC 27002 ngày càng được phổ biến và áp dụng rộng rãi ở Việt Nam. Các doanh nghiệp lớn như ngân hàng, bảo hiểm, quỹ đầu tư, công ty CNTT… áp dụng ISO/IEC 27002 vào việc đảm bảo an tồn thơng tin của hệ thống. Trong các doanh nghiệp khác kể cả vừa và nhỏ đã nghiên cứu và chọn ra những cấu phần phù hợp trong ISO/IEC 27002 với quy mơ tổ chức của mình. Cịn các cơ quan nhà nước cũng áp dụng ISO/IEC 27002 để có được một hệ thống thơng tin an tồn.

Hơn nữa hiện nay một số công ty tin học – viễn thông, và ngân hàng Việt Nam đang từng bước tham gia mạng lưới cung cấp dịch vụ quốc tế. Nghiên cứu và áp dụng chuẩn ISO/IEC 27002 có thể là một trong những cách tạo thêm lợi thế cạnh tranh (hoặc chí ít cũng để khơng thua kém) các đối thủ quốc tế. Nếu một công ty đa quốc gia muốn đặt trung tâm dịch vụ khách hàng tại Việt Nam, tất nhiên họ sẽ quan tâm đến việc đối tác Việt Nam đảm bảo an ninh, bao gồm cả các kế hoạch dự phòng trong trường hợp khẩn cấp như thế nào. Nếu đối tác Việt Nam mà có hệ thống thơng tin được xây dựng theo chuẩn ISO 27002 thì chắc chắn sẽ ấn tượng.

2.4.3. Phạm vi áp dụng

Tiêu chuẩn ISO/IEC 27002 thiết lập các hướng dẫn và nguyên tắc chung cho hoạt động khởi tạo, triển khai, duy trì và cải tiến cơng tác quản lý an tồn thơng tin trong một tổ chức. Mục tiêu của tiêu chuẩn này là đưa ra hướng dẫn

43

chung nhằm đạt được các mục đích thơng thường đã được chấp nhận về quản lý an tồn thơng tin.

Các mục tiêu và biện pháp quản lý của tiêu chuẩn được xây dựng nhằm đáp ứng các yêu cầu đã được xác định bởi quá trình đánh giá rủi ro. Tiêu chuẩn ISO/IEC 27002 có thể đóng vai trị như một hướng dẫn thực hành trong việc xây dựng các tiêu chuẩn an tồn thơng cho tổ chức và thực hành quản lý an tồn thơng tin hiệu quả và giúp tạo dựng sự tin cậy trong các hoạt động liên tổ chức.

2.4.4. Nội dung của bộ tiêu chuẩn

Nội dung tiêu chuẩn ISO/IEC 27002: 2005 bao gồm 134 biện pháp cho an ninh thông tin và được chia thành 11 nhóm mục tiêu như sau:

• Chính sách an ninh thông tin (Information security policy): Chỉ thị và hướng dẫn về an ninh thông tin cũng như định hướng quản lý và hỗ trợ đảm bảo an tồn thơng tin.

• Tổ chức an ninh thông tin (Organization of information security): Tổ chức biện pháp an ninh và qui trình quản lý.

• Quản lý tài sản (Asset management): Trách nhiệm và phân loại giá trị thông tin cũng như duy trì các biện pháp bảo vệ thích hợp đối với tài sản của tổ chức.

• An ninh tài nguyên con người (Human resource security): Bảo đảm rằng mọi nhân viên, cán bộ của tổ chức hiểu rõ được trách nhiệm của mình cũng như vai trị được giao tránh lạm dụng chức năng, quyền hạn. Đồng thời, nhận thức rõ về các mối nguy liên quan đến ATTT, được trang bị kiến thức để giảm thiểu rủi ro do con người gây ra.

• An ninh vật lý và môi trường (Physical and environmental security): Nhằm ngăn chặn sự truy cập vật lý trái phép gây ảnh hưởng đến thông tin cũng như ngăn ngừa sự mất mát, hư hại, cố tình lợi dụng sơ hở để đánh cắp tài sản gây gián đoạn hoạt động của tổ chức.

• Quản lý vận hành và trao đổi thông tin (Communications and operations management): Bao gồm các biện pháp như quản lý các dịch vụ giao dịch, lập kế hoạch, sao lưu, quản lý an toàn mạng, quản lý các phương tiện, trao đổi thông tin cũng như giám sát nhằm phát hiện kịp thời những hoạt động trái phép. Mục đích là đảm bảo sự điều hành các phương tiện xử lý thông tin đúng đắn và an tồn, đảm bảo tính tồn vẹn của phần mềm hệ thống, đảm bảo an tồn cho thơng

44

tin trên mạng và cơ sở hạ tầng cũng như ngăn ngừa tiết lộ, sửa đổi thông tin, giảm thiểu các rủi ro của hệ thống.

• Kiểm sốt truy cập (Access control): Nhằm quản lý truy cập các thông tin, bao gồm các biện pháp như: quản lý truy cập người dùng, quản lý truy cập mạng, truy cập hệ thống điều hành,...nhằm ngăn chặn người dùng truy cập trái phép, đảm bảo an tồn thơng tin khi sử dụng các phương tiện di động hay làm việc từ xa.

• Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems acquisition, development and maintenance): Mục đích là ngăn chặn các lỗi hoặc mất mát, sửa đổi thông tin nhằm đảm bảo an toàn cho các hệ thống thơng tin, bảo vệ tính bí mật, tồn vẹn của thơng tin cũng như duy trì an tồn an tồn thơng tin và các phần mềm hệ thống, tránh các mối nguy hiểm khác.

• Quản lý sự cố mất an ninh thông tin (Information security incident management): Đảm bảo cách tiếp cận hiệu quả và nhất quán trong việc quản lý các sự cố an tồn thơng tin, đồng thời đưa ra các nhược điểm liên quan đến hệ thống thông tin để trao đổi đưa ra biện pháp khắc phục kịp thời.

• Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity management): Nhằm đảm bảo rằng các hoạt động của một tổ chức không bị gián đoạn, đưa ra các biện pháp đề cập đến các yêu cầu về an tồn thơng tin cần thiết để đảm bảo các hoạt động liên tục, bảo vệ các quy trình hoạt động trọng yếu của tổ chức.

• Tuân thủ các quy định pháp luật (Compliance): Tuân thủ các quy định pháp lý, các chính sách và tiêu chuẩn an tồn sẽ đảm bảo rằng tránh sự vi phạm pháp luật, quy định, theo các hợp đồng đã ký kết.

Trong số 11 vấn đề về an tồn này, có tổng số 39 mục tiêu và hàng trăm biện pháp điều hành an tồn thơng tin tốt nhất được khuyến nghị cho các tổ chức để thỏa mãn các mục tiêu kiểm sốt và bảo vệ quyền sở hữu thơng tin, chống lại các nguy cơ xâm phạm đến tính bí mật, tính tồn vẹn và sẵn sàng của thông tin.

Một phần của tài liệu NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TOÀN THÔNG TIN (Trang 40 - 44)

Tải bản đầy đủ (PDF)

(61 trang)