XÂY DỰNG HỆ THỐNG ISMS ĐẠT CHỨNG CHỈ ISO 27001

Category: ISO 27001:2013 Post Date:

Chứng chỉ ISO 27001 là bằng chứng cho việc doanh nghiệp đã xây dựng được Hệ thống quản lý an toàn thông tin đạt tiêu chuẩn. Vậy xây dựng hệ thống Quản lý an toàn thông tin thế nào là đạt tiêu chuẩn ? Chúng tôi muốn Doanh nghiệp cần nắm được những vấn đề cơ bản về tiêu chuẩn. Cách xây dựng hệ thống tốt để đạt được chứng chỉ ISO 27001.

GIỚI THIỆU VỀ ISO 27001

ISO/IEC 2700 là một tiêu chuẩn về hệ thống quản lý bảo mật thông tin. ISO/IEC 2700 do tổ chức Quốc tế về Tiêu chuẩn hoá (ISO) ban hành.

ISO/IEC 27001 đặt ra các yêu cầu cho một hệ thống quản lý bảo mật an toàn thông tin (ISMS). ISO/IEC 27001 được thiết kế nhằm đảm bảo việc lựa chọn cách thức kiểm soát tương ứng và đầy đủ.

ISO/IEC 27001 giúp bảo vệ tài sản thông tin và tạo sự tin tưởng cho các bên liên quan. Đặc biệt là các khách hàng của bạn. Tiêu chuẩn đưa ra một phương pháp tiếp cận quá trình cho việc thiết lập, thực hiện, điều hành, giám sát, xem xét, duy trì và cải tiến ISMS của bạn.

Tiêu chuẩn ISO/IEC 27001 thích hợp với mọi tổ chức không phân biệt quy mô, loại hình, khu vực. Tiêu chuẩn này đặc biệt thích hợp với các tổ chức mà việc bảo mật thông tin là quan trọng. Đặc biệt là trong lĩnh vực tài chính, y tế , cộng đồng và công nghệ thông tin.

ISO/IEC 27001 cũng hiệu quả đối với các tổ chức quản lý thông tin cho các tổ chức khác. Như các công ty thuê nguồn lực IT ở bên ngoài tổ chức. Tiêu chuẩn này có thể được sử dụng như một lời khẳng định với khách hàng rằng thông tin của họ đang được bảo mật.

XÂY DỰNG HỆ THỐNG ISMS ĐẠT CHỨNG CHỈ ISO 27001

Information Security Management System, hay ISMS là một bộ qui định (như chính sách, qui trình, hướng dẫn, biểu mẫu…). ISMS được thực hiện trong một tổ chức (doanh nghiệp, trường học) để đảm bảo hệ thống thông tin của tổ chức được an ninh, an toàn một cách phù hợp với mục tiêu kinh doanh của tổ chức. 

CHỨNG CHỈ ISO 27001Lý do chính để tồn tại của doanh nghiệp là kinh doanh để phát triển tài sản (asset). Vì vậy, có thể nói, tài sản là nền tảng của doanh nghiệp. Điều phức tạp là tài sản hiện nay rất phong phú và tồn tại dưới nhiều dạng khác nhau. Người ta có thể phân ra 6 loại hình thức tồn tại của tài sản khác nhau là:

– Thông tin số.
– Giấy tờ tài liệu.
– Phần mềm.
– Phần cứng/vật lý.
– Con người.
– Các dịch vụ bổ sung.

Với việc phân loại tài sản thành 6 loại. Chúng ta có thể dễ dàng hơn trong việc khởi đầu công tác xây dựng ISMS là liệt kê và định giá tất cả các tài sản của doanh nghiệp.

Liệt kê tài sản

Đây là một công việc không quá khó. Chúng ta có thể căn cứ vào danh sách trang thiết bị phần cứng, phần mềm. Danh sách các loại văn bản phát sinh trong quá trình hoạt động của tổ chức. Danh sách con người, danh sách các dịch vụ mà tổ chức có sử dụng. Ví dụ: các hợp đồng trên máy tính và trên giấy, danh sách khách hàng, các brochure, danh sách nhân viên cơ quan…

Sau khi có danh sách đầy đủ các tài sản. Chúng ta có thể hạn chế phạm vi việc triển khai hệ thống ISMS bằng cách loại ra các tài sản mà chúng ta nghĩ rằng chưa cần thiết lập hệ thống bảo vệ (ít ra là trong giai đoạn này). Ví dụ ta chưa xét đến việc bảo vệ hệ thống điện lạnh, hệ thống bàn ghế nội thất … Tập hợp tài sản còn lại sẽ là xuất phát điểm của tất cả các bước tiếp theo của ISMS.

VÍ DỤ VỀ LIỆT KÊ TÀI SẢN

Định giá tài sản

Với danh sách các tài sản cần xem xét bảo vệ. Chúng ta phải tiến hành đánh giá giá trị của chúng. Đây là việc không khó nếu ta xét giá trị tài sản bằng với chi phí để ta có nó. Tuy nhiên, nó trở nên nan giải hơn nhiều nếu chúng ta xét đến giá trị của tài sản thông qua chi phí, thiệt hại nếu chúng ta mất hoặc bị lộ nó. Ví dụ như sơ đồ kết nối mạng chẳng hạn.

Chúng ta mất một chi phí vừa phải đxây dựng sơ đồ. Nhưng nếu chúng ta lộ sơ đồ mạng ra thì ta sẽ có hậu quả gì ? Thiệt hại là bao nhiêu tiền ? Bị xâm nhập qua đó chúng ta sẽ mất uy tín, mất khách hàng thì sẽ thiệt hại bao nhiêu ? Nếu chúng ta suy luận quá thì bản sơ đồ mạng có khi có giá hơn cả 1 căn nhà. Còn nếu chúng ta xét đơn giản là một thiết kế với 5 ngày công thì lại quá đơn giản, để đâu cũng được.

Cái khó của đánh giá giá trị tài sản là sao cho vừa phải. Đây chính là khó khăn đầu tiên cần vượt qua để xây dựng ISMS. Chuyển giá trị từ định lượng (bao nhiêu tiền) qua định tính (rất đắt/đắt/rẻ…) là một phương án có thể làm đơn giản hóa khâu định giá này. Chuyên gia tư vấn có thể giúp chúng ta có được một đánh giá vừa phải và được chấp nhận ở đa số các tổ chức khác để chúng ta tham chiếu.

Xác định các hiểm nguy (threat)

Bước tiếp theo là xác định các threat (theo tiếng Anh). Ý tưởng ở đây là phải liệt kê ra các hiểm nguy, đe dọa có thể đối với khối tài sản mà chúng ta đã liệt kê ở trên. Chúng ta cần liệt kê hết, kể cả những đe dọa rất xa vời như ngày tận thế. Đến những hiểm nguy cụ thể hơn như mất mật khẩu, mất máy tính xách tay. Vì tính chất liệt kê hết những mối đe dọa mà chưa tính đến liệu nó có thể xảy ra trên thực tế hay chỉ do chúng ta tưởng tượng ra, cho nên tôi chọn cách dịch từ threat là hiểm nguy hay đe dọa.

Tính toán các nguy cơ (risk)

Như vậy chúng ta đã có 2 thứ trong tay. Đó là danh sách tài sản cùng giá trị của chúngtập hợp các hiểm nguy. Giờ chúng ta sẽ liệt kê dạng “vét cạn” mỗi hiểm nguy với mỗi tài sản. Với mỗi cặp (tài sản, hiểm nguy) chúng ta cần đưa ra đánh giá khả năng nó xảy ra trên thực tế thế nào. Nói theo thuật ngữ khoa học là tính xác suất của hiểm nguy. Nó biểu thị dưới dạng liệu nó xảy ra bao nhiêu lần trong tháng, trong năm.

Đây là một đánh giá khó khăn và rất kỹ thuật. Ví dụ, chúng ta có 10 nhân viên, mỗi người có 2 mật khẩu. Vậy khả năng lộ mật khẩu là bao nhiêu trong tháng, trong năm ? Tổ chức có thể bị lộ trung bình 1 mật khẩu trong 1 tháng hay không? Danh sách khách hàng của chúng ta liệu có bị lộ 1 lần trong 1 năm không ? Nếu chúng ta làm được những đánh giá này thì thật tuyệt vời vì chúng ta có thể lượng hóa tất cả những nguy cơ do mất an ninh gây ra.

Trên thực tế, việc này không đơn giản nên người ta có thể chấp nhận đánh giá dạng định tính, không chính xác nhưng dễ làm hơn. Ví dụ như việc mất mật khẩu xảy ra với nguy cơ “cao”, lộ bảng lương cán bộ công nhân viên xảy ra với khả năng “thấp”.

BẢNG MA TRẬN ĐÁNH GIÁ RỦI RO

Tính toán thiệt hại

Nếu chúng ta làm tốt các bước trên thì bước đánh giá thiệt hại khi mất an ninh chỉ còn là bài toán số học. Chúng ta có thể lấy tích của giá trị tài sản với khả năng mất chúng. Kết quả để lượng giá được khả năng mất tiền trong một năm nếu chúng ta cứ tiếp tục duy trì hoạt động của tổ chức như hiện nay. Với những nguy cơ lớn và giá trị tài sản mất cao. Thiệt hại nhiều khi có thể khiến công ty phải đóng cửa. Ở phần này, ta không có công thức sẵn sàng để sử dụng. Chúng ta cần phải đề xuất cách thức tính phù hợp với nhu cầu của tổ chức. Ví dụ một cách tính khác là:

Thiệt hại = xác suất xảy ra sự cố + hậu quả của sự cố + giá trị tài sản bị mất.

Trong đó các thành phần của công thức đều được định tính hóa cho đơn giản. Như “hậu quả sự cố” bằng điểm 3/2/1 ứng với mức cao/vừa/thấp.

Với các kết quả tính toán các thiệt hại có thể xảy ra, chúng ta đứng trước câu hỏi: Vậy giờ chúng ta cần làm gì?

Biện pháp giảm thiểu nguy cơ (risk)

Đứng trước nguy cơ cùng lượng giá thiệt hại, chúng ta có thể có mấy lựa chọn:

Chấp nhận. Không làm gì thêm cả và chấp nhận thiệt hại nếu nguy cơ trở thành hiện thực.

Giảm thiểu. Cần có các biện pháp để giảm thiểu khả năng xảy ra nguy cơ xuống mức độ có thể chấp nhận được. Đây là lựa chọn phổ biến nhất khi chúng ta bắt tay vào xây dựng ISMS.

Chuyển tiếp nguy cơ. Tìm cách để chia sẻ nguy cơ này với đối tác khác. Hình thức phổ biến nhất là mua bảo hiểm. Tổ chức bảo hiểm sẽ cùng chia sẻ thiệt hại cho ta nếu nguy cơ xảy ra thật.

Các giải pháp để giảm thiểu nguy cơ

Giải pháp đảm bảo an tinh thông tin ISO 27001

Nếu chúng ta chọn phương án giảm thiểu thì chúng ta có ngay một câu hỏi tiếp theo là giảm thiểu bằng biện pháp nào. Đây là công đoạn mà các nhà kỹ thuật phải vào cuộc. Để bảo vệ một tài sản thông tin hoặc liên quan tới thông tin. Chúng ta có mấy biện pháp thông thường như sau:

– Xây dựng hệ thống bảo vệ bằng các trang thiết bị chuyên dụng như tường lửa, phát hiện xâm nhập…
– Tăng thêm nhân viên về số lượng và/hoặc chất lượng.
– Đào tạo huấn luyện nhân viên.
– Xây dựng các qui trình, hướng dẫn, biểu mẫu để mọi người phải tuân thủ.
– Xác định trách nhiệm cá nhân thật rõ ràng. Quy định rõ ai chịu trách nhiệm tới đâu với từng tài sản, từng nguy cơ nếu xảy ra là một công tác bắt buộc và được nhấn mạnh trong công cuộc xây dựng hệ thống ISMS.
– Xây dựng hệ thống dự phòng để nếu xảy ra cả những nguy cơ lớn nhất thì chúng ta cũng không bị “đóng cửa”.

Để thực hiện khâu này doanh nghiệp nền làm theo ISO 27002. Đây chính là tập hợp các best practices. Tạm dịch là ứng xử tốt nhất, để giảm thiểu các nguy cơ về an ninh thông tin. Đây là tập hợp các giải pháp, các lời khuyên đã được đúc kết, trải nghiệm ở nhiều nơi trên thực tế để nâng cao mức độ an ninh an toàn của một hệ thống CNTT. Vì vậy, chúng ta có thể tham khảo, xem xét lựa chọn các giải pháp từ ISO 27002 để áp dụng cho tổ chức của mình.

Đánh giá chi phí cho giải pháp và đưa ra quyết định

Đề ra các biện pháp giảm thiểu nguy cơ là một công việc rất kỹ thuật. Vì vậy, chi phí để thực hiện nó là điều mà các nhà kỹ thuật rất ít quan tâm, hoặc không có khả năng đánh giá. Chúng ta đừng quên là các biện pháp trên là để bảo vệ tài sản. Và tài sản có giá trị nhất định (thường là hữu hạn) của nó.

Chúng ta không thể đầu tư 10 đồng để bảo vệ tài sản trị giá 5 đồng. Nếu các bạn trả lời “có thể” thì tôi nghĩ chúng ta nên quay lại phần định giá giá trị tài sản. Có lẽ nó còn quan trọng hơn điều chúng ta nghĩ hoặc chúng ta còn đánh giá thiếu điều gì chăng?

Ở bước này, chúng ta sẽ phải làm một bài toán kinh tế thuần túy là đầu tư bao nhiêu để giảm thiểu thiệt hại xuống bao nhiêu. Trả lời câu hỏi “kế họach này có đúng trên phương diện kinh tế không? Sau khi đã giảm thiểu nguy cơ và giá trị có thể bị mất, nguy cơ và thiệt hại còn lại có chấp nhận được hay không đối với tổ chức?”.

Với mỗi câu trả lời “không”, chúng ta lại phải rà soát lại tất cả những công đoạn đã thực hiện ở trên, xem xét lại các phương án, giải pháp để giảm thiểu nguy cơ cùng chi phí của nó. Cho đến khi tất cả các câu trả lời là “có” thì chúng ta đã hòan thành một kế họach xây dựng hệ thống ISMS.

Triển khai ISMS

Sau khi bản kế hoạch xây dựng hệ thống ISMS. Bao gồm danh sách tài sản cùng giá trị của nó. Các nguy cơ cùng thiệt hại có thể. Các phương án, biện pháp để giảm thiểu nguy cơ và thiệt hại xuống mức chấp nhận được đối với tổ chức. Công tác tiếp theo là nên đưa ra bản kế họach ra thực tế.

Các hoạt động cụ thể của công tác triển khai này là:

– Thiết kế lại, đầu tư bổ sung các thành phần kỹ thuật.
– Xây dựng các qui định, qui trình, hướng dẫn và, đặc biệt là triển khai đào tạo.
– Hướng dẫn để những qui định này được nắm bắt bởi mọi nhân viên, cán bộ của tổ chức.

Đây chính là yếu tố quyết định. Quyết định đến mức nếu lãnh đạo không quan tâm đủ, không dành đủ thời gian cho xây dựng ISMS thì giải pháp tốt nhất là đừng làm ISMS cho đến khi suy nghĩ của lãnh đạo thay đổi.

Nếu chúng ta đi đến đây, tôi nghĩ là chúng ta đã có được hệ thống ISMS. Hệ thống này tốt hay xấu, hòan thiện hay không, chúng ta khó mà khẳng định. Cũng như khó mà làm cho đối tác, khách hàng của chúng ta tin tưởng vào hệ thống ISMS này. Đây là lúc các tổ chức đánh giá chứng chỉ (Certification Body) vào cuộc. Họ sẽ kiểm tra đánh giá và cấp một chứng nhận là hệ thống này “đạt chuẩn”. Nếu nó thỏa mãn các yêu cầu của tiêu chuẩn ISO 27001. Vậy thì tổ chức đánh giá họ sẽ làm thế nào ?

QUY TRÌNH ĐÁNH GIÁ VÀ CẤP CHỨNG CHỈ ISO 27001

Quá trình đánh giá để cấp chứng chỉ sẽ được thực hiện bởi một tổ chức chứng nhận. Tổ chức này không thể là tổ chức đã tư vấn về ISMS cho chúng ta. Tránh trường hợp “vừa đá bóng, vừa thổi còi”.

Qui trình đánh giá thường gồm 2 giai đoạn cơ bản là: Quy trình cấp chứng chỉ ISO 27001

Đánh giá trên tài liệu

Để đảm bảo tính đầy đủ của hệ thống văn bản giấy tờ. Nói một cách khác là kiểm tra “đã viết hết nhưng gì định làm” chưa ?

Đánh giá trên thực tế

Để đảm bảo những điều chúng ta định làm là được thực hiện trên thực tế. Nói một cách khác là kiểm tra “làm đúng những gì đã viết” chưa ?

Chúng tôi không đi sâu vào quá trình chứng nhận tại bài viết này. Nên chỉ đề cập tới một ý trong phương pháp mà tổ chức chứng nận thực hiện. Đó là SoA

Quá trình kiểm tra – Statement of Applicability (SoA)

Với quá trình kiểm tra, Statement of Applicability (SoA), hay điều khoản thực hiện, đóng một vai trò quan trọng. Trong ISO 27001, các SoA được phát biểu dưới dạng các “Control objectives and controls”. Hiện nay ISO 27001 có 133 SoA.

Việc kiểm tra để cấp chứng chỉ tốt nhất được thực hiện qua các điều khoản SoA. Ví dụ của một SoA là “Ownership of assets”. Nó có yêu cầu là “All information and assets associated with information processing facilities shall be owned by a designated part of the organization”. Tạm dịch là yêu cầu phải có tính sở hữu đối với tài sản. Cụ thể là tất cả các tài sản đều phải có người/tổ chức sở hữu. Nói khác là không được có tài sản mà không biết ai là người sở hữu, chịu trách nhiệm.

Với điều khoản kiểm tra này, có thể nói là người đánh giá rất dễ dàng xác định chúng ta có thỏa mãn yêu cầu hay không. Với bộ 133 điều khoản kiểm tra người đánh giá có thể yên tâm rằng tất cả các vấn đề liên quan tới bảo đảm an ninh thông tin đều được rà soát. Người đánh giá không bị “cuốn” theo logic của người xây dựng hệ thống ISMS thông qua lộ trình xuất phát từ tài sản. Nếu hoạt động của chúng ta không liên quan tới một điều khoản kiểm tra (control) nào đó, chúng ta có thể bỏ nó ra khỏi phạm vi đánh giá với điều kiện phải giải thích rõ tại sao chúng ta loại bỏ.

TỔ CHỨC CHỨNG NHẬN ISO | GOODVN

GOODVN hỗ trợ khách hàng trong việc áp dụng thực hiện và đạt chứng nhận ISO 27001. Hãy gọi ngay cho chúng tôi để được hỗ trợ tốt nhất!

Văn phòng chứng nhận Quốc gia – GOOD Việt Nam là Tổ chức chứng nhận được cấp phép và chỉ định bởi Bộ Khoa học Công nghệ. GOODVN được phép đánh giá và cấp chứng nhận tiêu chuẩn ISO.

Quy trình đánh giá chứng nhận của GOODVN tuân thủ quy định của pháp luât và quy tắc của Tổ chức tiêu chuẩn thế giới ISO.

Chứng chỉ ISO do GOODVN trực tiếp cấp có giá trị toàn quốc toàn quốc thông qua logo và dấu hiệu chứng nhận.

Chứng chỉ hiện đại ứng dụng công nghệ 4.0

Với phương châm hoạt động “Đánh giá một lần -> Cấp một chứng chỉ -> Được chấp nhận ở mọi nơi” và theo xu hướng công nghệ 4.0. GOODVN là tổ chức chứng nhận ở Việt Nam thiết lập Hệ thống truy xuất chứng chỉ thông qua mã QR codeNhằm đảm bảo mọi khách hàng và đối tác của khách hàng ở mọi nơi đều có thể truy xuất được giá trị hiệu lực của chứng chỉ thông qua phần mềm quét mã QR code trên điện thoại thông minh tới hệ thống tra cứu khách hàng trên Website của Tổ chức chứng nhận. Việc này giúp công khai, minh bạch giá trị của chứng chỉ và có thể check thông tin ở mọi nơi, mọi lúc.

Hãy gọi ngay cho chúng tôi để được tư vấn và hỗ trợ tốt nhất: 

LIÊN HỆ: 0945.001.005 – 0963.831.555 – 02466.82.0505

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !

Share this post

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *