Giới thiệu bộ tiêu chuẩn quản lý ATTT ISO/IEC 27000
Các cuộc tấn công mạng toàn cầu đã đạt mức cao nhất mọi thời đại vào quý 4 năm 2022, lên tới 1.168 vụ mỗi tuần, đó là mức tăng 38% tính từ năm 2021. Nếu công ty của bạn đang có các hoạt động xử lý dữ liệu nhạy cảm, bạn cần xây dựng lòng tin với khách hàng bằng cách giữ an toàn cho dữ liệu đó trước các kẻ tội phạm trên không gian mạng. Đó là lúc cần tìm hiểu về bộ tiêu chuẩn ISO 27000. Trong bài viết này, SPS CERT sẽ Giới thiệu bộ tiêu chuẩn quản lý ATTT ISO/IEC 27000.
Table of Contents
GIỚI THIỆU BỘ TIÊU CHUẨN QUẢN LÝ ATTT ISO/IEC 27000
Bộ tiêu chuẩn quản lý ATTT ISO/IEC 27000 là tập hợp các phương pháp hay nhất về cách các tổ chức có thể quản lý bảo mật thông tin bằng cách thiết lập, duy trì và đánh giá Hệ thống quản lý bảo mật thông tin (ISMS – Information Security Management System).
Khuôn khổ quốc tế này được đánh giá cao vì tính nghiêm ngặt và khả năng áp dụng rộng rãi trong các ngành. Bộ tiêu chuẩn quản lý ATTT ISO/IEC 27000 có giá trị đối với bất kỳ tổ chức nào đang tìm cách cải thiện hoạt động quản lý rủi ro bảo mật thông tin của mình và muốn tuân thủ các luật về quyền riêng tư dữ liệu như GDPR (General Data Protection Regulation)
TIÊU CHUẨN QUAN TRỌNG NHẤT TRONG BỘ TIÊU CHUẨN QUẢN LÝ ATTT ISO/IEC 27000 LÀ GÌ?
Trọng tâm trong bộ tiêu chuẩn quản lý ATTT ISO/IEC 27000 là ISO 27001, tiêu chuẩn duy nhất có thể được chứng nhận trong nhóm ISO 27000. Các tiêu chuẩn khác thuộc nhóm nhóm ISO 27000 cung cấp hướng dẫn chi tiết hơn về các khía cạnh khác nhau của bảo mật thông tin. Một số tiêu chuẩn mang tính kỹ thuật, một số liên quan đến quản trị và quản lý rủi ro tổ chức, một số dành riêng cho ngành nghề và những tiêu chuẩn khác hướng đến yêu cầu với các đánh giá viên.
BỘ TIÊU CHUẨN QUẢN LÝ ATTT ISO/IEC 27000 CÓ NHỮNG GÌ?
- ISO/IEC 27000
ISO 27000 cung cấp tổng quan về hệ thống quản lý bảo mật thông tin cũng như các thuật ngữ và định nghĩa thường được sử dụng trong các tiêu chuẩn khác trong nhóm ISO/IEC 27000. Nó cũng giải thích phạm vi, vai trò, chức năng và mối quan hệ của từng tiêu chuẩn với nhau.
- ISO/IEC 27001
ISO 27000 phác thảo các kỹ thuật bảo mật cần thiết để bảo vệ dữ liệu của khách hàng một cách hợp lý. ISO 27001 là nơi những nguyên tắc đó đáp ứng thế giới thực. Các doanh nghiệp thực hiện các yêu cầu được nêu trong các tiêu chuẩn ISO 27000 và xác minh tính hiệu quả của ISMS của họ thông qua đánh giá ISO 27001.
ISO 27001 liệt kê các yêu cầu để xây dựng ISMS tuân thủ, bao gồm:
- Chuẩn bị đầy đủ tài liệu
- Có sự cam kết của lãnh đạo cấp cao
- Có khả năng dự đoán và giảm thiểu rủi ro
- Được cung cấp tất cả các tài nguyên cần thiết để hoạt động
- Thường xuyên xem xét và cập nhật
Phụ lục A của phiên bản mới nhất — ISO/IEC 27001:2022 — liệt kê 93 biện pháp kiểm soát mà một tổ chức có thể sử dụng để đáp ứng các yêu cầu này.
- ISO/IEC 27002
ISO 27002 xây dựng dựa trên các biện pháp kiểm soát được thảo luận trong Phụ lục A của ISO 27001. Trong khi Phụ lục A cung cấp tóm tắt nhanh về từng biện pháp kiểm soát, thì ISO 27002 mô tả đầy đủ tất cả các biện pháp kiểm soát đó.
ISO 27002 rất hữu ích vì công ty được đánh giá theo tiêu chuẩn ISO 27001 chỉ cần giải quyết các biện pháp kiểm soát liên quan đến họ. Ví dụ: nếu bạn không có bất kỳ nhân viên nào làm việc từ xa, thì bạn có thể không cần triển khai các biện pháp kiểm soát đối với việc để máy tính của công ty ở những nơi công cộng.
- ISO/IEC 27003
ISO 27003 cung cấp hướng dẫn chung về xây dựng ISMS. Đây là một nguồn tài nguyên tuyệt vời cho giai đoạn tiền đánh giá khi bạn có thể sử dụng các hướng dẫn của tiêu chuẩn này để tiến hành phân tích lỗ hổng và xác định công ty của bạn cần làm gì để đạt được sự tuân thủ ISO 27001.
- ISO/IEC 27004
ISO 27004 xây dựng trên ISO 27003 bằng cách đề xuất các cách đánh giá và giám sát tính bảo mật của ISMS của bạn. Tiêu chuẩn này giúp các tổ chức xác định biện pháp kiểm soát nào trong ISO 27002 có thể hữu ích cho việc chuẩn bị đánh giá.
- ISO/IEC 27005
ISO 27005 là một quy tắc thực hành dành cho quản lý rủi ro bảo mật thông tin. Vì dự báo, phân tích và giảm thiểu rủi ro là một phần quan trọng của chứng nhận ISO 27001 nên bạn nên nghiên cứu vấn đề này càng chi tiết càng tốt.
Các nội dung chính trong tiêu chuẩn này bao gồm:
- Đánh giá rủi ro
- Lựa chọn giảm thiểu, chấp nhận hoặc loại bỏ rủi ro
- Giám sát ảnh hưởng của rủi ro theo thời gian
- ISO/IEC 27006
ISO 27006 là một bộ tiêu chuẩn bảo mật thông tin xác định liệu một công ty có đủ điều kiện để thực hiện đánh giá ISO 27001 hay không.
- ISO/IEC 27007 và ISO/IEC 27008
Cặp tiêu chuẩn bảo mật thông tin mới này đã được giới thiệu vào năm 2011 và được sửa đổi vào năm 2020. Chúng được xây dựng dựa trên ISO 27006 bằng cách cung cấp các hướng dẫn cho những tổ chức được công nhận để tiến hành đánh giá ISMS.
Nếu bạn đang muốn sở hữu chứng chỉ ISO 27001 cho công ty của mình, bạn nên đọc kỹ tiêu chuẩn này. Chúng sẽ cho bạn biết đánh giá viên của bạn sẽ xem xét điều gì khi họ đánh giá hệ thống ISMS của bạn.
- ISO/IEC 27017 và ISO/IEC 27018
Cặp tiêu chuẩn bảo mật thông tin này xuất hiện lần đầu tiên vào năm 2014, gần thời điểm bắt đầu bùng nổ dịch vụ đám mây. Chúng cung cấp các biện pháp kiểm soát để bảo mật mọi dữ liệu mà tổ chức của bạn lưu trữ trên đám mây.
ISO 27017 và ISO 27018 dành cho dữ liệu trên đám mây, còn ISO 27002 dành cho dữ liệu được quản lý tại chỗ. Bạn có thể thoải mái sử dụng song song cả hai bộ điều khiển — ISO 27002 cho dữ liệu tại chỗ của bạn cũng như ISO 27017 và ISO 27018 cho dữ liệu được lưu trữ trên đám mây.
- ISO/IEC 27033
Quy tắc thực hành trong ISO 27033 chi phối an ninh mạng. ISO 27002 bao gồm một số biện pháp kiểm soát để bảo mật mạng nội bộ của công ty. ISO 27033 được xây dựng dựa trên các biện pháp kiểm soát này và đưa ra những đặc điểm kỹ thuật cũng như hướng dẫn triển khai.
- ISO/IEC 27034
Loạt bài này tập trung vào cấu trúc dữ liệu kiểm soát bảo mật ứng dụng và khung dự đoán đảm bảo của bạn.
- ISO/IEC 27035
Tiêu chuẩn này đề cập đến quản lý sự cố an toàn thông tin, bao gồm cả kế hoạch ứng phó sự cố của tổ chức bạn. Làm thế nào bạn sẽ đảm bảo kinh doanh liên tục nếu vi phạm xảy ra? Mọi công ty nên vạch ra rõ ràng trách nhiệm và kế hoạch ứng phó trong trường hợp xảy ra sự cố bảo mật.
- ISO/IEC 27701
Đây là một trong những tiêu chuẩn ISO mới nhất. ISO 27701 tập trung vào quyền riêng tư. Nó được tạo ra để đáp ứng việc EU tăng cường Quy định chung về Bảo vệ dữ liệu (GDPR) và yêu cầu các tổ chức thực hiện “các biện pháp thích hợp” để bảo mật thông tin cá nhân của người dùng.
ISO 27701 giải thích những biện pháp thích hợp đó có thể là gì. Về bản chất, đó là việc xây dựng một hệ thống quản lý thông tin riêng tư (PIMS) kết hợp với ISMS của bạn.
TIÊU CHUẨN ATTT ISO/IEC 27000 MANG LẠI LỢI ÍCH GÌ CHO DOANH NGHIỆP?
Việc áp dụng các tiêu chuẩn ISO 27000 tạo ra các lợi ích kinh doanh đáng giá như:
- Bảo vệ thông tin có giá trị
Bảo mật thông tin tăng cường tính bảo mật, tính toàn vẹn và/hoặc tính sẵn sàng của nội dung thông tin, cộng với các quy trình liên quan, hệ thống CNTT, mạng, dịch vụ, …
- Giảm tổn thất
Kiểm soát bảo mật mang lại hiệu quả về chi phí, giảm thiểu xác suất và mức độ nghiêm trọng của các sự cố do cố ý (Ví dụ: hack, gian lận, thông tin sai lệch) hoặc vô tình (Ví dụ: thiên tai, lỗi thiết bị, cấu hình sai, tiết lộ ngoài ý muốn).
- Tăng cường đảm bảo và tin cậy
Thể hiện cam kết của tổ chức đối với các thông lệ tốt về bảo mật thông tin, quyền riêng tư, tuân thủ pháp luật, đạo đức, … đối với các bên quan tâm như khách hàng, nhân viên, đối tác, nhà đầu tư và chính quyền.
- Đạt được và duy trì sự tuân thủ
Các luật, quy định và điều khoản hợp đồng khác nhau đặt ra các yêu cầu về bảo mật thông tin, quyền riêng tư, tính chính xác, đầy đủ, kịp thời, v.v.
- Tăng cường khả năng phục hồi
Bảo vệ đầy đủ thông tin, hệ thống CNTT và quy trình quan trọng đối với các hoạt động vận hành quan trọng và mục tiêu kinh doanh giúp giảm khả năng xảy ra các sự cố gây gián đoạn tốn kém, dư luận bất lợi, khách hàng rời bỏ,…
- Củng cố thương hiệu
Ngoài việc đơn thuần tuyên bố bảo vệ thông tin, áp dụng các tiêu chuẩn ISO 27000 giúp nâng cao uy tín của tổ chức.
——————————————————————————————————————————————————————–
Trên đây SPS CERT đã giới thiệu bộ tiêu chuẩn quản lý ATTT ISO/IEC 27000. Nếu doanh nghiệp đang có nhu cầu tìm hiểu và áp dụng tiêu chuẩn ISO 27000, vui lòng liên hệ với SPS CERT theo thông tin dưới đây:
- Số hotline: 0969.555.610 / 0914.791.188
- Địa chỉ: Tầng 12A Ladeco Building, 266 Đội Cấn, Ba Đình, Hà Nội
- Email: sales@sps.org.vn
- Website: https://sps.org.vn/