ISO 27000

TƯ VẤN ISO/IEC 27000


      1, ISO 27000 LÀ GÌ?

          Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày càng nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạng máy tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn.

Một trong các biện pháp phòng ngừa được nhắc đến trong thời gian qua chính là triển khai áp dụng Hệ thống Quản lý An toàn Thông tin (ISMS: Information Security Management System) theo các nguyên tắc của bộ tiêu chuẩn quốc tế ISO 27000. Có thể nói rằng, ISO 27000 là một phần của hệ thông quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức.

Cho tới nay, việc áp dụng hệ thống quản lý an toàn thông tin phù hợp ISO 27000 đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới đặc biệt là trong lĩnh vực tài chính ngân hàng. Tại Việt Nam, một số ngân hàng cũng đang triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định.

Xét về lịch sự hình thành của bộ tiêu chuẩn, ISO 27000 cũng có nguồn gốc từ Anh quốc. Bắt đầu vào năm 1992, Phòng Thương mại và Công nghiệp Anh (UK Department Trade and Industrial) ban hành ra qui phạm thực hành về hệ thống an toàn thông tin dựa trên các hệ thống đảm bảo an toàn thông tin nội bộ của các công ty dầu khí. Tài liệunày sau đó được Viện tiêu chuẩn hoá Anh chính thức ban hành thành tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995. Năm 2000, tiêu chuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chính thức chấp nhận và ban hành với mã hiệu ISO/IEC 17799:2000 – tiền thân của bộ tiêu chuẩn ISO 27000 ngày nay.

Bộ tiêu chuẩn ISO 27000 đã và sẽ bao gồm những tiêu chuẩn cụ thể sau:

- ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)

ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an toàn thông tin

- ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

- ISO 27003:2007 đưa ra các hướng dẫn áp dụng

- ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS

- ISO 27005 tiêu chuẩn về quản lý rủi ro an toàn thông tin

- ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông

Theo con số thống kê chưa đầy đủ thì hiện nay số lượng các tổ chức đã áp dụng ISMS và đã được chứng nhận trên toàn thế giới là 2063 trong đó đứng đầu là Nhật Bản với số chứng chỉ được cấp ra là 1190 sau đó là Anh 219, Đài loan 69…

Các lĩnh vực áp dụng đối với ISMS cũng chiếm các tỉ lệ khác nhau. Ví dụ lĩnh vực viễn thông được áp dụng nhiều nhất với 27% tổng số lượng chứng chỉ cấp ra, Lĩnh vực tài chính ngân hàng chiếm 20%, Lĩnh vực công nghệ thông tin chiếm 15%,..

Hy vọng trong thời gian tới tại Việt Nam sẽ có thêm nhiều hơn nữa các tổ chức áp dụng ISMS để có thể giảm thiểu các rủi ro liên quan tới an toàn thông tin, đảm bảo cho sự phát triển bền vững.


2, LỢI ÍCH CỦA ISO/IEC 27000


 - Giúp nhận biết, đánh giá được các rủi ro, xây dựng các biện pháp và tạo ý thức và trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ chức.

- Thể hiện trách nhiệm của tổ chức trong việc quản lý hệ thống thông tin, biểu hiện bảo mật thông tin trên mọi mức độ của tổ chức.

- Thể hiện tính tuân thủ luật pháp và quy tắc trong lĩnh vực quản lý thông tin.

- Quản lý rủi ro, dẫn đến hiểu biết tốt hơn về hệ thống an toàn thông tin, điểm yếu của chúng và cách bảo vệ chúng.

- Các đối tác, cổ đông và khách hàng yên tâm khi họ thấy được sự quan trọng trong bảo vệ thông tin của tổ chức.

- Xác định các thông tin quan trọng, các rủi ro có thể để giảm thiểu các rủi ro đó, xác định các mức chi phí bảo hiểm tốt nhất cho các rủi ro.

- Phát triển nhận thức của nhân viên trong an toàn và trách nhiệm của họ đối với tổ chức.

 

Khách hàng tiêu biểu
Công ty TNHH PwC Việt Nam Công ty Cổ phần thông tin tín dụng Việt Nam Đài truyền hình kỹ thuật số VTC
Công ty cổ phần dữ liệu toàn cầu (GDS) Công ty CP GMO Runsystem Trung tâm Công nghệ thông tin- Ngân hàng Đầu tư và Phát triển Việt Nam - BIDV
Xem thêm >>
Ý kiến khách hàng
XuanNTT
Quá trình triển khai tư vấn của TCI rất chuyên nghiệp, rõ ràng ! Chúng tôi tin tưởng vào sự hợp tác bền chặt giữa hai công ty trong tương lai
BaoTN
Công ty TCI  là sự lựa chọn đúng đắn của chúng tôi. Quá trình triển khai rất chuyên nghiệp, rõ ràng !