Xây dựng hệ thống an toàn thông tin dựa trên tiêu chuẩn ISO/IEC 270001:2005 - Hệ thống quản lý an toàn thông tin (ISMS)

1. Xây dựng hệ thống an toàn thông tin dựa trên tiêu chuẩn ISO/IEC 270001:2005 -
Hệ thống quản lý an toàn thông tin (ISMS)
ISO 27001 là tiêu chuẩn về Hệ thống quản lý an toàn thông tin 1
(ISMS- Information
Security Management System) do Tổ chức tiêu chuẩn hóa quốc tế ISO phát triển và ban
hành. Tiêu chuẩn này đề ra các yêu cầu trong việc xây dựng, áp dụng, điều hành, kiểm
tra, giám sát và phát triển Hệ thống quản lý an ninh thông tin một cách toàn diện, khoa
học.
Mục đích của ISO 27001:2005 là cung cấp cơ sở chung cho việc phát triển các chuẩn về
an toàn thông tin cho tổ chức và thực tiễn quản lý an toàn thông tin một cách hiệu quả,
đồng thời cung cấp sự tin cậy trong các mối quan hệ của tổ chức.
Ngày 20/4/2010, Công ty TNHH Bureau Veritas Việt Nam (tiền thân là tổ chức BVQI -
Bureau Veritas Quality International) phối hợp với Công ty Cổ phần phát triển nguồn nhân
lực Thái Sơn và Công ty Cổ phần IT Focus Việt nam tổ chức khóa đào tạo nâng cao nhận
thức về tiêu chuẩn ISO/IEC 270001:2005 - Hệ thống quản lý an toàn thông tin (ISMS) tại Hà
Nội. Tham dự khóa học là các cán bộ quản lý nhà nước của các bộ ban ngành và các doanh
nghiệp, đặt biệt là các doanh nghiệp trong lĩnh vực CNTT, ngân hàng, các đơn vị sản xuất đã
đạt được các tiêu chuẩn về hệ thống quản lý v.v…
Lịch sử phát triển của ISO 27001:2005
ISO 27001:2005 ban đầu được phát triển trên chuẩn BS7799 của Viện các chuẩn Anh Quốc
(British Standards Institution BSI). BS7799 bắt đầu phát triển từ những năm1990 nhằm đáp
ứng các yêu cầu cho doanh nghiệp, chính phủ và công nghiệp về việc thiết lập cấu trúc an
ninh thông tin chung. Năm 1995, chuẩn theo BS7799 đã được chính thức công nhận.
Tháng 5 năm 1999 phiên bản chính thứ 2 của chuẩn BS7799 được phát hành với nhiều cải
tiến chặt chẽ. Trong thời gian này Tổ chức thế giới về chuẩn (ISO) đã bắt đầu quan tâm đến
chuẩn này. Tháng 12 năm 2000, ISO đã tiếp quản phần đầu của BS7799, đổi tên thành ISO
17799 và như vậy chuẩn an ninh thông tin này bao gồm ISO 17799 (mô tả Qui tắc thực tế cho
hệ thống quản lý an ninh thông tin) và BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông
tin. Trong tháng 9 năm 2002, soát xét phần 2 của chuẩn BS7799 được thực hiện để tạo sự nhất
quán với các chuẩn quản lý khác như ISO 9001:2000 và ISO 14001:1996 cũng như với các
nguyên tắc chính của Tổ chức Hợp tác và phát triển kinh tế (OECD).
Ngày 15 Tháng 10 năm 2005 ISO phát triển ISO 17799 và BS7799 thành ISO 27001:2005 và
chú trọng vào công tác đánh giá và chứng nhận. ISO 27001 thay thế một cách trực tiếp cho
BS7799-2:2002, nó định nghĩa hệ thống ISMS và hướng đến cung cấp một mô hình cho việc
thiết lập, thi hành, điều hành, kiểm soát, xem xét, duy trì và cải tiến ISMS.
ISO 27001:2005 nằm trong bộ tiêu chuẩn ISO 27000 bao gồm nhiều tiêu chuẩn được ban
hành như: ISO 27001:2005 - Hệ thống quản lý an toàn thông tin, ISO 27001:2005 – Quy tắc
thực hành, ISO 27003:2010 - Hướng dẫn áp dụng ISMS, 27004:2009 – Đo lường, ISO
27005:2008 - Quản lý rủi ro, v.v…
1
“Hệ thống an toàn thông tin (ISMS) là một phần của hệ thống quản lý tổng thể, dựa trên cách tiếp cận theo rủi
ro của kinh doanh, để thiết lập, thực hiện, điều hành, giám sát, xem xét, duy trì và cải tiến việc bảo mật thông
tin”
Ghi chú: hệ thống quản lý bao gồm: cấu trúc của tổ chức, chính sách, các hoạt động hoạch định, trách nhiệm,
việc thực hành, thủ tục, quy trình và nguồn lực” (ISO 27001:2005 cl 3.7)

2. Tiêu chuẩn ISO 27001:2005 - Hệ thống quản lý an toàn thông tin có quan hệ chặt chẽ với các
tiêu chuẩn về hệ thống quản lý khác như: ISO 9001 về đảm bảo chất lượng sản phẩm và thỏa
mãn khách hàng, ISO 14001 về bảo vệ môi trường sống cho cộng đồng, OHSAS 18001 về
đảm bảo sức khỏe, an toàn cho người lao động, ISO 22000 về đảm bảo an toàn vệ sinh thực
phẩm, v.v…
Nội dung chính của ISO 27001:2005
ISO 27001:2005 đề ra các yêu cầu để thiết lập, triển khai, vận hành, theo dõi, kiểm tra, bảo trì
và cải tiến hệ thống quản lý ATTT, bao gồm 39 mục tiêu kiểm soát và 132 biện pháp kiểm
soát ATTT nhằm giảm rủi ro cho tổ chức và cung cấp mô hình quản lý hệ thống an toàn thông
tin toàn vẹn. Các biện pháp kiểm soát được chia thành 11 nhóm:
1. Chính sách ISMS
2. Cơ cấu tổ chức ISMS
3. Quản lý tài sản
4. Bảo mật tài nguyên và con người
5. Bảo mật vật chất và môi trường
6. Quản lý vận hành và trao đổi thông tin
7. Kiểm soát truy cập
8. Thu nạp, duy trì và phát triển các hệ thống thông tin
9. Xử lý sự cố ISMS
10. Duy trì liên tục hoạt động kinh doanh
11. Tính tuân thủ pháp luật.
ISO 27001:2005 – Bảo mật thông tin cho nội bộ doanh nghiệp
Việc bảo mật thông tin trong nội bộ một doanh nghiệp nếu thực hiện không tốt sẽ rất nguy
hiểm. Bởi nhân viên trong các doanh nghiệp, tổ chức chính là những người có điều kiện tiếp
xúc với hệ thống thông tin của đơn vị dễ dàng hơn người ngoài. Do đó, nguy cơ gây mất an
ninh đối với hệ thống từ những thành viên trong nội bộ lớn hơn so với bên ngoài.
Nếu muốn đánh cắp thông tin của một công ty, người ở bên ngoài phải tìm các lỗ hổng an
ninh của hệ thống, tấn công rồi sau đó mới có thể lấy được dữ liệu nhưng đây không phải là
việc dễ dàng. Trong khi đó, những thông tin nội bộ lại rất dễ bị lộ ra bên ngoài bởi chính các
nhân viên trong doanh nghiệp, tổ chức, có thể chỉ vì thói quen lưu trữ dữ liệu tùy tiện, như lưu
trên các USB, CD-Room mà không tuân thủ các quy định, biện pháp về an toàn, an ninh
thông tin. Hầu hết các doanh nghiệp mới chỉ chú ý tới bảo mật tránh các cuộc tấn công từ bên
ngoài, do vậy mới chỉ chú ý đến đầu tư các thiết bị bảo mật như: tường lửa, thiết bị ngăn
chặn tấn công hay phần mềm diệt virus, v.v…. Trong khi đó, điều quan trọng nhất là họ phải
biết được hệ thống công nghệ thông tincủa mình có những điểm yếu và lỗ hổng nào, để từ đó
đưa ra biện pháp thích hợp nhằm khắc phục.
Các biện pháp khắc phục đôi khi không phải là đầu tư cho thiết bị, công nghệ mà đơn giản chỉ
là giải pháp về mặt quản lý. Chẳng hạn, ban lãnh đạo doanh nghiệp có thể đưa ra một quy
định mới hoặc thay đổi quy trình công việc là có thể giải quyết được vấn đề.
Ngoài ra, để các giải pháp có thể được ứng dụng một cách khoa học và có hiệu quả, doanh
nghiệp nên tuân thủ theo hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO 27001:2005.
Nguyên tắc của ISO 27001:2005 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin có thể

3. xảy ra trong doanh nghiệp để từ đó đánh giá và đưa ra các biện pháp để khắc phục, hạn chế
đến mức tối thiểu các rủi ro này.
Việc áp dụng tiêu chuẩn ISO là hoàn toàn tự nguyện và có thể áp dụng linh hoạt, do vậy các
doanh nghiệp, tổ chức lớn có lượng thông tin quan trọng nhiều nên triển khai ISO 27001:2005
một cách toàn diện. Những đơn vị nhỏ, không có điều kiện về vật chất và tài chính, vẫn có thể
áp dụng một phần của hệ thống tiêu chuẩn này, hoặc có thể áp dụng nguyên tắc của nó cho hệ
thống hạ tầng mạng nội bộ hoặc những vấn đề quan trọng như quy định sử dụng máy tính của
từng nhân viên.
Theo thống kê, Hiện nay trên thế giới có gần 6000 doanh nghiệp và tổ chức đạt được chứng
chỉ ISO 27001:2005, trong đó có một số tại Việt Nam như First Consulting Group Vietnam
(FCGV), FPT Information System, FPT Software, Luvina, … Bên cạnh đó có nhiều doanh
nghiệp, tổ chức khác đang trong quá trình xây dựng và áp dụng hệ thống tiêu chuẩn này. Điều
này chứng tỏ ngày càng có nhiều doanh nghiệp nhận thấy vai trò quan trọng của việc áp dụng
hệ thống quản lý bảo mật thông tin theo ISO 27001 trong nội bộ của mình.
Hình: Công ty Hệ thống Thông tin FPT vượt qua kỳ tái đánh giá chứng chỉ ISO 27001:2005
Một số quy định bảo mật dành cho nhân viên FIS
• Đọc và hiểu chính sách bảo mật thông tin của công ty; đeo thẻ nhân viên trong suốt
thời gian ở trụ sở;
• không để tài liệu lên bàn khi không ngồi ở bàn làm việc, khóa máy tính khi đi ra
ngoài;
• cất toàn bộ tài liệu từ mức trung bình trở lên vào tủ có khóa;
• không sử dụng phần mềm không có bản quyền trên máy tính;
• khách đến liên hệ công tác chỉ được vào các khu vực công cộng như phòng họp, sảnh
lễ tân (Trường hợp đặc biệt khách cần vào nơi làm việc, cán bộ phải gặp nhân viên lễ
tân để làm thủ tục bảo lãnh cho khách), tài sản của công ty mang ra ngoài phải được
phê duyệt;
• đổi các mật mã (password) truy cập vào hệ thống thông tin của công ty với định kỳ
sáu tháng một lần;
• tham gia đào tạo về phòng cháy chữa cháy…