Thông tin là tài sản rất quan trọng của mọi tổ chức. Thông tin có thể tồn tại dưới nhiều hình dạng khác nhau như: có thể in ra giấy, lưu trữ thành file, chuyển qua email hoặc các phương tiện điện tử khác, chiếu thành film, hoặc được nói ra trong các cuộc họp… Trong môi trường cạnh tranh ngày nay, thông tin ngày càng bị đe dọa bởi nhiều nguồn khác nhau như nội bộ, bên ngoài, tình cờ hoặc có chủ ý… với sự phát triển và ứng dụng công nghệ ngày nay trong liên lạc, lưu trữ, chuyển đổi thông tin chúng ta lại phải nhận nhiều hơn về số lượng cũng như chủng loại các mối nguy khác nhau ngoài các mối nguy truyền thống.
Tiêu chuẩn về quản lý an toàn thông tin ISO 27001 (Information Security Management System) ngày nay trở thành một tiêu chuẩn được quan tâm hàng đầu hiện nay. Các tổ chức rất quan tâm đến việc áp dụng ISO 27001 trong việc quản lý để đảm bảo các tính chất bảo mật, toàn vẹn, sẵn sàng cho tài sản thông tin của tổ chức cũng như của nhà đầu tư, khách hàng, nhà cung cấp… Tài sản thông tin theo khuyến nghị của ISO 27001 cần được quản lý bao gồm:
- Thông tin: cơ sở dữ liệu, tài liệu hệ thống, file hướng dẫn sử dụng
- Phần mềm: ứng dụng, công cụ quản lý, công cụ phát triển
- Phần cứng: máy tính, thiết bị mạng, thiết bị lưu trữ
- Dịch vụ: dịch vụ internet, điện
- Con người: nhân viên, đối tác
- Hình ảnh công ty
Việt Nam trước đây các hệ thống quản lý thông tin được xây dựng và áp dụng dựa vào kiến thức và kinh nghiệm của người quản lý hệ thống IT nhưng hiện nay việc quản lý được áp dụng theo tiêu chuẩn ISO 27001 đang bắt đầu được triển khai với sự hướng dẫn của tư vấn ISO 27001 mà đi đầu là các công ty IT, các ngân hàng, các công ty tài chính…
Tiêu chuẩn ISO 27001 đưa ra các yêu cầu bắt buộc mà tổ chức phải thực hiện để đảm bảo an toàn thông tin cho tổ chức, tiêu chuẩn ISO 27002/ISO 17799 là tiêu chuẩn hướng dẫn thực hiện các biện pháp kiểm soát theo tiêu chuẩn ISO 27001. Hiện nay Việt Nam đã có tiêu chuẩn quôc gia TCVN ISO/IEC 27001 và TCVN ISO/IEC 27002 tương đương với tiêu chuẩn ISO 27001 và ISO 27002.
Tên tiêu chuẩn: Hệ Thống Quản Lý An Toàn Thông Tin-Các yêu cầu
Information Security Management Systems(ISMS)-Requirements
Mục tiêu: Đặt ra các yêu cầu mà hệ thống quản lý an toàn thông tin phải đạt được. Nó giúp định nghĩa, quản lý, và hạn chế các rủi ro về thông tin.Tiêu chuẩn được thiết kế để đáp ứng việc lựa chọn các giải pháp được đầy đủ và tương xứng với các loại, dạng thông tin. Tạo sự hài lòng cho tổ chức cũng như các đối tượng liên quan, bao gồm cả khách hàng.
- Tính toán các mục tiêu và yêu cầu về thông tin
- Đảm bảo các rủi ro được quản lý với chi phí hiệu quả
- Tuân thủ các quy định và pháp luật
- Là phần khung cho việc triển khai và quản lý để đạt được các mục tiêu về thông tin của tổ chức.
- Giúp xác định, phân loại các tiến trình quản lý thông tin đang có của tổ chức
- Được sử dụng để xác định, phân tích các tình trạng quản lý thông tin
- Được đánh giá viên sử dụng để đánh giá mức độ phù hợp của tổ chức so với tiêu chuẩn.
Tiêu chuẩn ISO 27002, ISO 17799 là gì ?
Tên tiêu chuẩn: Mã Thực Hành Quản Lý An Toàn Thông Tin
Code of Practice for Information Security Management
Tiêu chuẩn ISO 27002 được đổi tên từ ISO 17799
Mục tiêu: Cung cấp các hướng dẫn thực hiện cụ thể theo 11 chương như sau:
- Chính sách an toàn
- Tổ chức đảm bảo an toàn thông tin
- Quản lý tài sản
- Đảm bảo an toàn nguồn nhân lực
- Đảm bảo an toàn vật lý và môi trường
- Quản lý truyền thông và điều hành
- Quản lý truy cập
- Tiếp nhận, phát triển và duy trì các hệ thống thông tin
- Quản lý các sự cố an toàn thông tin
- Quản lý sự liên tục của hoạt động nghiệp vụ
- Sự tuân thủ
Tô Hoàng Nam – Vinastar Consulting Founder
cung cấp dịch vụ tư vấn, đào tạo và đánh giá nhằm hỗ trợ các doanh nghiệp áp dụng hệ thống quản lý dựa trên các tiêu chuẩn như ISO 27001 – ISMS, ISO 20000/ ITIL – ITSMS, BS 25999/ ISO 22301 – BCMS, 38500 – IT Governance…với các chuyên gia Việt Nam và Quốc tế nhiều kinh nghiệm, Vinastar Consulting mang đến những giải pháp thông minh giúp giải quyết các vấn đề và cải thiện hệ thống quản lý của doanh nghiệp.
