Áp dụng tiêu chuẩn ISO/IEC 27000 trong lĩnh vực an toàn thông tin

Tổng quan về tiêu chuẩn ISO/IEC 27002

ISO/IEC 27002 là một tiêu chuẩn quốc tế thuộc bộ tiêu chuẩn ISO/IEC 27000 về lĩnh vực ATTT. Tiêu chuẩn này có nguồn gốc xuất phát từ một tài liệu có tên “PD 0003 A Code of Practice for Information Security Management” được Viện Tiêu chuẩn Anh Quốc (British Standards Institute - BSI) xuất bản. Đến năm 1995, Viện Tiêu chuẩn Anh Quốc đã thông qua tài liệu này và ban hành thành tiêu chuẩn BS 7799-1 “IT - Security techniques - Code of practice for information security management”. Tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc tế mã hiệu ISO/IEC 17799:2000 và phát triển vào tháng 6/2005 thành tiêu chuẩn ISO/IEC 17799:2005. Đến tháng 11/2005, tiêu chuẩn này được sửa đổi thành ISO/IEC 27002: 2005 “Công nghệ thông tin (CNTT) - Các kỹ thuật an ninh - Quy tắc thực hành quản lý ATTT” (Information technology - Security techniques - Code of practice for infomation security management).

Nội dung ISO/IEC 17799:2005 được phát triển thành tiêu chuẩn ISO 27002:2005 bao gồm 134 biện pháp cho an ninh thông tin và được nhóm thành 39 phân loại, thuộc 11 điều khoản như sau:

      - Chính sách an ninh thông tin (Information security policy): chỉ thị và hướng dẫn về an ninh thông tin;

      - Tổ chức an ninh thông tin (Organization of information security): tổ chức biện pháp an ninh và qui trình quản lý;

      - Quản lý tài sản (Asset management): trách nhiệm và phân loại giá trị thông tin;

      - An ninh nguồn nhân lực (Human resource security) : bảo đảm an toàn thông tin;

      - An ninh vật lý và môi trường (Physical and environmental security);

      - Quản lý vận hành và trao đổi thông tin (Communications and operations management);

      - Kiểm soát truy cập (Access control);

      - Tiếp nhận, phát triển và duy trì các hệ thống thông tin (Information systems acquisition, development and maintenance);

      - Quản lý sự cố mất an ninh thông tin (Information security incident management);

      - Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity management);

      - Tuân thủ các quy định (Compliance).

Đến tháng 9.2013, tiêu chuẩn ISO/IEC 27002 được cập nhật lên phiên bản mới ISO/IEC 27002:2013. Phiên bản cập nhật năm 2013 này có nhiều thay đổi so với phiên bản năm 2005 để cập nhật các yêu cầu về ATTT đáp ứng với sự phát triển và bùng nổ của ngành CNTT sau gần một thập kỷ. Tiêu chuẩn ISO/IEC 27002:2013 giữ lại một số phần nội dung chính về đề mục và biện pháp kiểm soát theo phiên bản ISO/IEC 27002:2005, ngoài ra cũng thay đổi bổ sung các biện pháp kiểm soát mới và cập nhật lại các biện pháp kiểm soát cho phù hợp. Nội dung tiêu chuẩn ISO/IEC 27002:2013 bao gồm 114 biện pháp kiểm soát nhóm lại trong 35 phân loại, thuộc 14 điều khoản (nhóm mục tiêu) như sau: Chính sách ATTT; Tổ chức đảm bảo ATTT; Đảm bảo ATTT từ nguồn lực; Quản lý tài sản; Quản lý truy cập; Mật mã hóa; Đảm bảo an toàn vật lý và môi trường; An toàn vận hành; An toàn truyền thông; Tiếp nhận, phát triển và duy trì các hệ thống thông tin; Quan hệ với nhà cung cấp; Quản lý sự cố ATTT; Các khía cạnh ATTT trong quản lý sự liên tục của hoạt động nghiệp vụ; Sự tuân thủ.

Mối quan hệ giữa tiêu chuẩn ISO/IEC 27000  và các tiêu chuẩn khác

Tiêu chuẩn ISO/IEC 27002 có mối quan hệ khăng khít với tiêu chuẩn ISO/IEC 27001, do tiêu chuẩn ISO/IEC 27001 có tiền thân là tiêu chuẩn BS 7799-2 (phần 2 của bộ tiêu chuẩn BS 7799) được Viện Tiêu chuẩn Anh Quốc ban hành còn tiêu chuẩn ISO/IEC 27002 có tiền thân là tiêu chuẩn BS 7799-1 (phần 1 của bộ tiêu chuẩn BS 7799). Tiêu chuẩn ISO/ IEC 27001 (phiên bản năm 2005 và hiện nay phiên bản mới nhất ban hành năm 2013) quy định các yêu cầu đối với một hệ thống quản lý ATTT, có thể được cấp chứng nhận, với phần Phụ lục đưa ra các biện pháp kiểm soát cần thực hiện. Các biện pháp kiểm soát này chính là các biện pháp kiểm soát đưa ra trong tiêu chuẩn ISO/IEC 27002. Vì vậy, các tổ chức muốn cấp chứng nhận tiêu chuẩn ISO/IEC 27001 cần phải đáp ứng các nội dung về quy tắc thực hành quản lý ATTT đưa ra trong tiêu chuẩn ISO/IEC 27002.

Hình 1: Lịch sử hình thành và mối quan hệ giữa tiêu chuẩn ISO/IEC 27000 và ISO/IEC 27001, ISO/IEC 27002

Hình 2 : Mối quan hệ giữa các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000

Tình hình áp dụng tiêu chuẩn ISO/IEC 27002 trên thế giới

Tiêu chuẩn ISO/IEC 27002 là bộ quy tắc thực hành quản lý ATTT, đưa ra các biện pháp kiểm soát phù hợp với các tổ chức thuộc nhiều lĩnh vực khác nhau. Vì vậy, tiêu chuẩn ISO/IEC từ phiên bản năm 2005 được rất nhiều nước trên thế giới áp dụng theo hình thức dịch sang bản ngữ và chấp thuận nguyên vẹn. Tính đến thời điểm phiên bản mới năm 2013 được ban hành, đã có gần 18000 tổ chức trên thế giới được cấp chứng nhận/chứng chỉ ISO/IEC 27001:2005, trong đó đáp ứng các yêu cầu về quy tắc thực hành ATTT theo tiêu chuẩn ISO/IEC 27002:2005. Sau khi phiên bản mới ISO/IEC 27001:2013 và ISO/IEC 27002:2013 được ban hành, nhiều nước cũng đã và đang cập nhật tiêu chuẩn quốc gia của mình lên phiên bản mới tương ứng với tiêu chuẩn quốc tế.

Tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC 27002:2013 ban hành giúp các tổ chức cải thiện hiệu quả khi triển khai và quản lý hệ thống ISMS của mình. Các tổ chức đã có chứng chỉ/ chứng nhận theo phiên bản ISO/IEC 27001:2005 được cho phép thời gian gia hạn 2 năm để đáp ứng các yêu cầu theo phiên bản ISO/IEC 27001:2013.

Danh sách một số nước đã cập nhật tiêu chuẩn phiên bản ISO/IEC 27002:2013 như Bảng 1:

Bảng 1: Danh sách một số nước đã cập nhật tiêu chuẩn quốc gia phù hợp với phiên bản tiêu chuẩn quốc tế ISO/IEC 27002:2013

Tình hình áp dụng tiêu chuẩn ISO/IEC 27002 tại Việt Nam

Tại Việt Nam, phiên bản ISO/IEC 27002:2005 đã được chuyển đổi thành TCVN ISO/IEC 27002:2011 dưới dạng chấp thuận nguyên vẹn tiêu chuẩn ISO/IEC 27002:2005.

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2011 là cơ sơ để các tổ chức trong nước tham khảo và tuân theo các quy tắc thực hành quản lý ATTT. Tiêu chuẩn này là một phần bổ trợ cho tiêu chuẩn TCVN ISO/IEC 27001:2009 để các tổ chức trong nước đáp ứng các yêu cầu, quy tắc thực hành quản lý ATTT. Vì vậy, các tổ chức khi được cấp chứng nhận ISO/IEC 27001 sẽ dựa vào các hướng dẫn chi tiết trong ISO/IEC 27002 để triển khai hệ thống ATTT của mình theo các tình huống và bối cảnh cụ thể.

Kể từ khi phiên bản ISO/IEC 27001 và ISO/IEC 27002 ban hành đầu tiên năm 2005, có rất nhiều thay đổi của thế giới an ninh thông tin về các mối đe dọa, điểm yếu kỹ thuật và rủi ro liên quan đến điện toán đám mây, dữ liệu lớn và nhất là an ninh mạng đã hơn 8 năm. Tổ chức tiêu chuẩn quốc tế đã tổ chức cuộc họp với các chuyên gia chuyên ngành tìm kiếm các điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC 27002:2013. Kết quả rất tích cực và đã tinh giản các biện pháp kiểm soát cũng như áp dụng bổ sung một số biện pháp an toàn trước đây chưa có.

Hình 3 : Số lượng chứng chỉ ISO 27001 tại Việt Nam qua các năm

Nhận thức được tầm quan trọng trong việc áp dụng ISO 27001, đặc biệt là đối với các nước đang phát triển - nơi trình độ ứng dụng CNTT chưa cao, phải thường xuyên đối mặt với nhiều nguy cơ bị thất thoát thông tin, các doanh nghiệp Việt Nam cũng đã có những công ty tham gia thực hiện Hệ thống quản lý bảo mật thông tin ISO 27001.

Tháng 1/2007: Công ty CSC Việt Nam (Computer Sciences Corporation) đã trở thành đơn vị đầu tiên có được chứng nhận ISO 27001. Đến tháng 7/2013 ở Việt Nam có 5 đơn vị (CSC Vietnam, FPT IS, FPT Soft, GHP FarEast, ISB Corporation Vietnam…) đã đạt chứng nhận ISO 27001 và hơn 10 đơn vị (HPT Soft, VietUnion, Quantic…) đang trong quá trình triển khai ứng dụng tiêu chuẩn này. Đến hết năm 2012, Việt Nam đã có 249 chứng chỉ ISO 27001. Cũng qua số liệu này, chúng ta có thể thấy số đơn vị đạt chứng nhận ISO 27001 tại Việt Nam khá khiêm tốn so với Nhật Bản (53290 chứng nhận), Trung Quốc (8294 chứng nhận), Malaysia (759 chứng nhận). Một trong những nguyên nhân của tình trạng này là chi phí để đạt chứng nhận ISO 27001 khá cao, bao gồm các chi phí về tư vấn, cấp chứng nhận và đặc biệt là chi phí doanh nghiệp phải bỏ ra để thực hiện các biện pháp kiểm soát rủi ro.

Số lượng các doanh nghiệp thực hiện và được cấp chứng chỉ về ISO 27001 tại Việt Nam tăng hàng năm. Năm 2014, Việt Nam được cấp 94 chứng chỉ ISO 27001, nhiều hơn so với năm 2013 và 2012 lần lượt là 55 và 50 chứng chỉ.

Bộ Thông tin và Truyền thông cũng tổ chức các hội thảo và các khóa đào tạo hướng dẫn doanh nghiệp hiểu rõ về các biện pháp kiểm soát chi tiết đưa ra trong tiêu chuẩn ISO/IEC 27002 (các biện pháp kiểm soát này được nêu tổng thể tại Phụ lục của tiêu chuẩn ISO/IEC 27001). Các biện pháp kiểm soát này được đưa ra dưới hình thức các tình huống, kịch bản về ATTT khác nhau để các tổ chức cũng như người tham gia hiểu được và áp dụng đúng đắn trong trường hợp của mình.

Kết luận

Tiêu chuẩn ISO/IEC 27002 được ban hành như một bản hướng dẫn chi tiết thực hiện các biện pháp kiểm soát cho quy trình quản lý hệ thống ATTT đưa ra trong tiêu chuẩn ISO/IEC 27002 từ việc khởi đầu, thiết lập, quản lý và duy trì ATTT trong tổ chức. Phiên bản ISO/IEC 27001:2013 và ISO/IEC 27002:2013 ban hành để cập nhật các nội dung để phù hợp với tình hình ATTT hiện nay trên thế giới. Các tổ chức trên thế giới và tại Việt Nam cũng đã nhận thức được tâm quan trọng của ATTT, bằng chứng là số chứng chỉ ATTT 27001 và số tổ chức chuyển đổi cập nhật lên phiên bản mới năm 2013 liên tục tăng qua các năm. Việc rà soát lại tiêu chuẩn Việt Nam TCVN ISO/IEC 27002 đã ban hành và cập nhật phiên bản mới nhất là cấn thiết để tạo điều kiện thuận lợi cho các doanh nghiệp trong nước áp dụng.

Tài liệu tham khảo

[1]. Nghiên cứu rà soát cập nhật tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 “CNTT – Hệ thống quản lý ATTT – Các yêu cầu”, đề tài cấp Bộ TT&TT, mã số 35-16-KHKT-TC.

[2]. Nghiên cứu rà soát và cập nhật tiêu chuẩn TCVN ISO/IEC 27002:2009 “CNTT - Các kỹ thuật an toàn - Quy tắc thực hành quản lý ATTT”, đề tài cấp Bộ TT&TT, Mã số: 36-16-KHKT-TC.