[QA-QC] Tìm hiểu về Tiêu chuẩn bảo mật thông tin - ISO 27001

Owned by
Tuyet Nhung Phung Thi (Unlicensed)
Last updated: Apr 19, 2021
4 min read

Bảo mật thông tin

  • An toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc con người gây ra

    • An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng

  • Các đặc tính cơ bản của An toàn thông tin: tam giác bảo mật CIA

    • Tính bảo mật (Confidentiality): Đặc tính xác định quyền được truy cập đến thông tin nhất định. Đảm bảo các truy cập có hiệu lực và loại bỏ các truy cập trái phép vào khu vực độc quyền => Tính chất đảm bảo rằng thông tin không được cung cấp hoặc tiết lộ đối với cá nhân, thực thể và các quá trình trái phép

    • Tính toàn vẹn (Integrity): Đặc tính không bị sửa đổi. Là đặc tính mô tả chất lượng của thông tin được xác định căn cứ vào độ xác thực khi phản ánh thực tế => Tính chất bảo vệ sự chính xác và sự toàn vẹn của dữ liệu

    • Tính sẵn sàng (Availability): Đảm bảo thông tin có thể truy xuất bởi những người hợp pháp bất cứ khi nào họ muốn.

Các nguy cơ mất an toàn thông tin

  1. Nguy cơ mất ATTT về khía cạnh vật lý: mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, hư hỏng phần cứng

  2. Nguy cơ do bị mất, hỏng, sửa đổi nội dung thông tin: vô tình để lộ hoặc thao tác ko đúng quy trình

  3. Nguy cơ bị tấn công bởi các phần mềm độc hại: virus, worm (sâu máy tính), phần mềm gián điệp (Spyware, Adware…)

  4. Nguy cơ xâm nhập từ lỗ hổng bảo mật: lỗi lập trình, lỗi hoặc sự cố phần mềm của thành phần tạo nên hệ điều hành hoặc trong chương trình cài đặt trên máy tính

  5. Nguy cơ mất ATTT do sử dụng email, mạng xã hội: sử dụng kỹ thuật Phising gửi file đính kèm trong email chứa mã độc, sau đó yêu cầu người dùng click vào đường link /tệp và làm theo hướng dẫn. Hậu quả, nạn nhân có thể bị Hacker bắt chuyển tiền hoặc máy tính của nạn nhân bị lộ lọt dữ liệu, nhiễm mã độc

  6. Nguy cơ mất thông tin do quá trình truyền tin: hacker sử dụng các kỹ thuật tấn công thông tin để phá nội dung, cấu trúc thông tin

=> Hạn chế các rủi ro thì cần có 1 quy trình, 1 hệ thống quản lý thông tin chuẩn hóa để áp dụng vào các sản phẩm; cung cấp 1 khuôn khổ, 1 bộ quy tắc cho việc khởi đầu, thiết lập, quản lý và duy trì an ninh thông tin

Tổng quan về tiêu chuẩn bảo mật thông tin

  1. Định nghĩa

    • ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với việc xây dựng và áp dụng Hệ thống quản lý an toàn thông tin (Information Security Management System – ISMS)

      • ISMS là hệ thống quản lý an toàn thông tin, bao gồm: Nhân lực, Quy trình và hệ thống CNTT liên quan dựa trên quy trình quản lý rủi ro; giúp các tổ chức đảm bảo an toàn cho tài sản kinh doanh dạng thông tin

      • => Việc thực hiện tiêu chuẩn ISO 27001 chủ yếu sẽ là việc thiết lập những quy tắc tổ chức (ví dụ: viết tài liệu, quy trình,…) cần thiết để có thể ngăn chặn những vi phạm an ninh thông tin. Tiêu chuẩn này áp dụng bằng cách tiếp cận dựa trên các quy trình để xây dựng, thiết lập, thực hiện, vận hành, giám sát, duy trì và cải thiện hệ thống an ninh thông tin.

    • Nhằm đảm bảo tính bảo mật (confidentiality), tính nguyên vẹn (integrity) và tính sẵn sàng (availability) đối với tài sản thông tin của các tổ chức/doanh nghiệp.

    • Việc áp dụng một hệ thống quản lý an toàn thông tin sẽ giúp các tổ chức/doanh nghiệp ngăn ngừa, hạn chế các tổn thất trong sản xuất, kinh doanh liên quan tới việc hư hỏng, mất mát các thông tin, dữ liệu quan trọng.

    • Đối tượng áp dụng:

      • Áp dụng rộng rãi cho nhiều loại hình tổ chức ( các tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận… ).

      • Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông…

  2. Đặc điểm

    • ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác như ISO 9001, ISO 14001…

  3. Lợi ích

    • Chứng tỏ sự cam kết đảm bảo sự an toàn về thông tin ở mọi mức độ.

    • Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu.

    • Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng.

    • Giảm giá thành và các chi phí bảo hiểm.

    • Nâng cao nhận thức và trách nhiệm của nhân viên về an ninh thông tin

  4. Tình hình triển khai trong nước

    • Hiện tại, các công ty đã thực hiện triển khai đánh giá cấp chứng chỉ ISO 27001

    • Có thể kể đến 1 số công ty trong lĩnh vực phần mềm như: FPT IS, FSoft, ThaisonSoft, CMC,…; đặc biệt các ngân hàng: Viettin, Sacombank….

  5. Hướng tiếp cận:

    • Quá trình tiếp cận thông qua các nguyên tắc:

      • PLAN: Lập kế hoạch

      • DO: Thực hiện theo kế hoạch

      • CHECK: Kiểm tra kết quả thực hiện

      • ACT: Cải tiến

Tài liệu tham khảo

  1. https://www.isms.online/iso-27001/annex-a-18-compliance/

  2. ISO 27001:2013: Các tài liệu và hồ sơ theo yêu cầu |G-GLOBAL

  3. https://www.isosig.com/wp-content/uploads/2018/01/ISO-27001-tieng-viet.pdf

  4. http://www.vsqi.gov.vn/iso-iec-27001-a46

Chi tiết xem tại: