Академический Документы
Профессиональный Документы
Культура Документы
THUYẾT MINH
1
HÀ NỘI, 2017
2
MỤC LỤC
1 Tên gọi và ký hiệu quy chuẩn......................................................................4
1.1 Tên tiêu chuẩn.............................................................................................4
1.2 Ký hiệu của QCVN......................................................................................4
2 Đặt vấn đề....................................................................................................4
2.1 Nghiên cứu khảo sát tình hình trong và ngoài nước về việc áp dụng tiêu
chuẩn ISO/IEC 27001................................................................................................4
2.1.1 Tình hình áp dụng tiêu chuẩn ISO27001 tại Việt Nam........................4
2.1.2 Tình hình áp dụng ISO27001 trên thế giới...........................................6
2.2 Nghiên cứu tình hình cập nhật của ISO/IEC 27001 để lựa chọn làm tài liệu
tham chiếu.................................................................................................................6
3 Rà soát và so sánh tiêu chuẩn ISO/IEC 27001:2005 và ISO/IEC
27001:2013..................................................................................................6
3.1 Những lợi ích chính khi cập nhật lên phiên bản mới ISO/IEC 27001:2013. 6
3.2 Những cập nhật mới.....................................................................................6
3.3 Các khái niệm mới đã được giới thiệu (hoặc cập nhật) như sau:..................6
3.4 So sánh giữa ISO/IEC 27001:2005 và ISO/IEC 27001:2013.......................6
3.4.1 So sánh sự khác nhau theo từng Điều khoản........................................6
1. Khoản 0: Giới thiệu.....................................................................................6
2. Điều 1: Phạm vi...........................................................................................6
3. Điều 2: Tài liệu viện dẫn..............................................................................6
4. Điều 3: Thuật ngữ và chữ viết tắt.................................................................6
5. Điều 4: Bối cảnh của tổ chức.......................................................................6
6. Điều 5: Ban lãnh đạo...................................................................................6
7. Điều 6: Lập kế hoạch...................................................................................6
8. Điều 7. Hỗ trợ..............................................................................................6
9. Điều 8. Vận hành.........................................................................................6
10. Điều 9. Đánh giá hiệu năng..........................................................................6
11. Điều 10. Cải tiến..........................................................................................6
3.4.2 So sánh sự khác nhau trong phần Biện pháp kiểm soát........................6
4 Rà soát cập nhật tiêu chuẩn quốc gia theo phiên bản ISO/IEC 27001:2013.
.....................................................................................................................6
4.1 Lý do và mục đích cập nhật tiêu chuẩn........................................................6
3
4.2 Dự thảo tiêu chuẩn.......................................................................................6
1 Phương pháp xây dựng tiêu chuẩn..........................................................................6
2 Cấu trúc tiêu chuẩn.................................................................................................6
3 Đối chiếu tài nội dung tiêu chuẩn và tài liệu tham khảo.........................................6
4
1 Tên gọi và ký hiệu quy chuẩn
1.1 Tên tiêu chuẩn
Tên tiêu chuẩn: “Công nghệ thống tin – Các kỹ thuật an toàn - Hệ thống quản lý
an toàn thông tin - Các yêu cầu".
TCVN XXXX:YYYY/BTTTT
2 Đặt vấn đề
2.1 Nghiên cứu khảo sát tình hình trong và ngoài nước về việc áp dụng tiêu
chuẩn ISO/IEC 27001.
2.1.1 Tình hình áp dụng tiêu chuẩn ISO27001 tại Việt Nam
Nhận thức được tầm quan trọng trong việc áp dụng ISO 27001, đặc biệt
là đối với các nước đang phát triển – nơi trình độ ứng dụng CNTT chưa cao, phải
thường xuyên đối mặt với nhiều nguy cơ bị thất thoát thông tin, các doanh nghiệp Việt
Nam cũng đã có những công ty tham gia thực hiện Hệ thống quản lý bảo mật thông tin
ISO 27001. Tháng 1/2007: Công ty CSC Việt Nam (Computer Sciences Corporation)
đã trở thành đơn vị đầu tiên có được chứng nhận ISO 27001. Đến tháng 7/2013 ở Việt
Nam có 5 đơn vị (CSC Vietnam, FPT IS, FPT Soft, GHP FarEast, ISB Corporation
Vietnam…) đã đạt chứng nhận ISO 27001 và hơn 10 đơn vị (HPT Soft, VietUnion,
Quantic…) đang trong quá trình triển khai ứng dụng tiêu chuẩn này. Đến hết năm
2012, Việt Nam đã có 249 chứng chỉ ISO 27001. Cũng qua số liệu này, chúng ta có thể
thấy số đơn vị đạt chứng nhận ISO 27001 tại Việt Nam khá khiêm tốn so với Nhật Bản
(53290 chứng nhận), Trung Quốc (8294 chứng nhận), Malaixia (759 chứng nhận). Một
trong những nguyên nhân của tình trạng này là chi phí để đạt chứng nhận ISO 27001
khá cao, bao gồm các chi phí về tư vấn, cấp chứng nhận và đặc biệt là chi phí doanh
nghiệp phải bỏ ra để thực hiện các biện pháp kiểm soát rủi ro.
Tuy nhiên, nhận thức được tầm quan trọng của bảo mật thông tin, số lượng các doanh
nghiệp thực hiện và được cấp chứng chỉ về ISO 27001 tại Việt Nam tăng hàng năm.
Năm 2014, Việt Nam được cấp 94 chứng chỉ ISO 27001, nhiều hơn so với năm 2013
và 2012 lần lượt là 55 và 50 chứng chỉ.
5
So sánh với các nước trong khu vực Đông Nam Á đã áp dụng tiêu chuẩn ISO 22000,
tổng số chứng chỉ đã được cấp Việt Nam đứng thứ 5, sau Malaysia, Thái Lan, Philipin,
Singapo. Như vậy, tại khu vực Đông Nam Á, In đô nê xi a chính là quốc gia đi đầu
trong việc áp dụng ISO 27001.
Nhu cầu và mong muốn triển khai và tuân thủ các yêu cầu về các biện pháp kiểm soát
an toàn thông tin và mong muốn có chính nhận ISO/IEC 27001 ngày càng tăng nhanh.
Khi các đơn vị có nhu cầu và mong muốn được triển khai, tuân thủ và cấp chứng nhận
theo ISO/IEC 27001 tăng thì nhu cầu sử dụng, áp dụng các hướng dẫn theo các biện
pháp đảm bảo an toàn thông tin của các thuộc bộ tiêu chuẩn 27000 nói chung và tiêu
chuẩn ISO/IEC 27001 nói riêng ngày càng lớn.
ISO 27001:2013 về quản lý an toàn thông tin là một bước nâng cấp so với tiêu chuẩn
ISO 27001:2005, được các tổ chức ngân hàng, tài chính rất quan tâm bởi đánh giá toàn
diện dựa trên việc quản lý rủi ro đe dọa tài sản thông tin, ước tính được mức độ ảnh
hưởng và triển khai các biện pháp nhằm đảm bảo tính bảo mật, toàn vẹn, sẵn sàng cho
tài sản thông tin của tổ chức, nhà đầu tư, khách hàng… cũng như duy trì tính liên tục
trong các hoạt động kinh doanh.
Các đơn vị đã được cấp chứng chỉ an toàn thông tin theo tiêu chuẩn ISO
27001:2013 tại Việt Nam cho tới thời điểm này.
Công ty Hệ thống Thông tin FPT (FPT IS) là một trong những đơn vị đầu tiên
tại Việt Nam đạt chứng chỉ ISO 27001 và cũng là đơn vị tư vấn, triển khai Hệ thống
ISMS cho nhiều doanh nghiệp, tổ chức. FPT IS đề xuất các tổ chức xây dựng ISMS
theo các bước dưới đây để đáp ứng các yêu cầu của tiêu chuẩn ISO 27001: 2013.
6
Ngày 02/7/2015 - Trung tâm Internet Việt Nam (VNNIC) tổ chức Lễ trao chứng
nhận hệ thống quản lý an toàn bảo mật thông tin theo tiêu chuẩn ISO/IEC 27001:2013
trong hoạt động quản lý vận hành trung tâm dữ liệu IDC và hệ thống DNS quốc gia
”.vn” do Tổ chức D.A.S - tổ chức chứng nhận quốc tế hàng đầu của Vương quốc Anh
công nhận ban hành.
Ngày 7/7/2015, tại trụ sở chính 57 Lý Thường Kiệt, Hà Nội, TPBank đã tổ chức
lễ đón nhận Chứng nhận Hệ thống quản lý An toàn thông tin theo tiêu chuẩn ISO/IEC
27001:2013 từ TUVRheiland - một tổ chức quốc tế uy tín chuyên đánh giá cấp chứng
chỉ ISO cho nhiều tổ chức trong và ngoài nước.
Ngày 20/11/2015, tại Hà Nội, Ngân hàng TMCP Sài Gòn – Hà Nội (SHB ) đã
tổ chức Lễ đón nhận Chứng chỉ Hệ thống quản lý An toàn thông tin (ISMS) theo tiêu
chuẩn ISO/IEC-27001:2013 từ đơn vị kiểm toán độc lập TÜV NORD - một tổ chức
quốc tế uy tín chuyên đánh giá cấp chứng chỉ ISO cho các tổ chức trong và ngoài
nước.
Năm 2013, Tập đoàn Bảo Việt là một trong những đơn vị trong lĩnh vực tài
chính bảo hiểm tiên phong đạt được chứng nhận Hệ thống Quản lý an toàn thông tin
theo tiêu chuẩn ISO/IEC 27001:2005. ISO/IEC 27001 là bộ tiêu chuẩn quốc tế về quản
lý an toàn thông tin được biên soạn bởi tổ chức quốc tế về tiêu chuẩn hóa (ISO -
International organization for standardization) và Hội đồng Điện tử quốc tế (IEC -
International Electrotechnical Commission). Việc triển khai, áp dụng và tuân thủ hệ
thống quản lý an toàn thông tin là điều kiện tiên quyết để thi hành và lấy chứng nhận
toàn diện. Năm 2015, theo yêu cầu của tổ chức công nhận quốc tế, các đơn vị đã đạt
được chứng nhận hệ thống quản lý an toàn thông tin theo tiêu chuẩn quốc tế ISO
27001:2005 cần thực hiện chuyển đổi sang phiên bản tiêu chuẩn mới ISO/IEC
27001:2013. Sau 4 tháng triển khai nâng cấp, Tập đoàn Bảo Việt đã chuyển đổi thành
công lên phiên bản Hệ thống Quản lý an toàn thông tin ISO/IEC 27001:2013.
Tháng 07/2015, công ty CP Tin học Lạc Việt vinh dự được Tổ chức chứng nhận
quốc tế TÜV Rheinland cấp chứng chỉ ISO/IEC 27001: 2013 về hệ thống quản lý an
toàn thông tin (ATTT) của công ty theo tiêu chuẩn quốc tế. Sau thời gian đánh giá tại
trụ sở Lạc Việt số 23 Nguyễn Thị Huỳnh, P.8, Q. Phú Nhuận, TP.HCM, Lạc Việt đã
chuyển đổi thành công phiên bản Hệ thống quản lý ATTT theo tiêu chuẩn ISO/IEC
27001:2013. Đây là giai đoạn tái chứng nhận chứng chỉ ATTT lần 3 của Lạc Việt.
Trước đó, Lạc Việt đã từng được cấp chứng nhận Quản lý chất lượng ISO 9001:2005
lần đầu vào tháng 11/2008, và lần 2 vào tháng 5/2012. Ngoài ra, Lạc Việt còn sở hữu
các chứng chỉ quốc tế khác như: CMMI level 3 và ISO 9001:2008.
7
VIETCOMBANK - NGÂN HÀNG ĐẦU TIÊN CỦA NGÀNH ĐÓN NHẬN
CHỨNG CHỈ ISO/IEC 27001:2013. Ngày 12/12/2014, tại Hà Nội, đã diễn ra “Lễ đón
nhận Chứng chỉ Hệ thống quản lý an toàn thông tin cho hoạt động kinh doanh của
Vietcombank theo tiêu chuẩn ISO/IEC – 27001:2013 với phạm vi áp dụng toàn hệ
thống” do Tổ chức Chứng nhận TÜV Rheinland của CHLB Đức trao cho Ngân hàng
TMCP Ngoại thương Việt Nam (Vietcombank). Buổi Lễ có sự tham dự của Ông Frank
Juettner - Tổng giám đốc TÜV Rheinland và đoàn công tác.
Tháng 01/2016, EVNICT được nhận Giấy chứng nhận Hệ thống quản lý an
toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013.
Tháng 07/2014, SeABank đạt tiêu chuẩn ISO/IEC 27001:2013 về Quản lý an
toàn bảo mật thông tin - Ngân hàng TMCP Đông Nam Á (SeABank) vừa được
đơn vị kiểm toán độc lập TÜV RHEINLAND Cộng hòa Liên bang Đức chứng nhận
đạt yêu cầu về an toàn bảo mật theo tiêu chuẩn quốc tế ISO/IEC 27001:2013 và cấp
chứng chỉ số 0115305017 về Hệ thống Quản lý an toàn bảo mật thông tin (ISMS).
Ngày 19/11/2015, Gimasys nhận chứng chỉ an toàn bảo mật thông tin theo tiêu chuẩn
ISO/IEC 27001:2013
Year 2007 2008 2009 2010 2011 2012 2013 2014 2015
- -
Africa 67% 60% 194% -2% 60% 55% 63%
13% 20%
Central / South
111% 89% 39% 17% 28% 35% 34% 0% 27%
America
North America 42% 89% 52% 2% 32% 27% 29% 14% 78%
Europe 35% 52% 64% 35% 13% 21% 25% 9% 21%
East Asia and Pacific 32% 5% 27% 19% 10% 8% -3% 3% 15%
Central and South
36% 62% 55% 2% 13% 11% 20% 12% 14%
Asia
Middle East 92% 80% 61% 6% 28% 19% 36% 13% 19%
8
Top 10 quốc gia chứng nhận ISO/IEC 27001 – năm 2015
1 Japan 8240
2 United Kingdom 2790
3 India 2490
4 China 2469
5 United States of America 1247
6 Romania 1078
7 Italy 1013
8 Germany 994
9 Taipei, Chinese 939
10 Spain 676
Bảng dưới đây đưa ra cái nhìn tổng quan nhất về tốc độ tăng trưởng việc áp dụng
ISO/IEC 27001 trong các năm từ 2007-2015.
Qua các năm, và qua bảng tổng hợp trên có thể thấy rõ ràng rằng ISO/IEC 27001 là
một trong các tiêu chuẩn có sự tăng trưởng áp dụng mạnh mẽ nhất trong các tiêu chuẩn
hệ thống quản lý trên toàn thế giới. ISO/IEC 27001 là hệ thống quản lý an toàn thông
tin, áp dụng với mọi tổ chức, doanh nghiệp có nhu cầu đảm bảo an toàn cho các tài sản
thông tin để ngăn ngừa thiệt hạt khi tài sản về thông tin bị hư hại, mất mát hay bị xâm
nhập trái phép.
Ba quốc gia có tổng số chứng chỉ ISO/IEC 27001 được cấp nhiều nhất là Nhật Bản,
Ấn Độ và Vương quốc Anh, ba nước có số chứng chỉ được cấp nhiều nhất.
9
2.2 Nghiên cứu tình hình cập nhật của ISO/IEC 27001 để lựa chọn làm tài liệu
tham chiếu
Tiêu chuẩn ISO/IEC 27001:2005, Information technology – Security techniques
– Information security management systems — Requirements, được tổ chức tiêu chuẩn
quốc tế ban hành năm 2005.
Nhóm xây dựng dự thảo TCVN cũng sử dụng tiêu chuẩn quốc tế ISO/IEC 27001:2005
làm tài liệu gốc để xây dựng tiêu chuẩn quốc gia về " Công nghệ thông tin- Hệ thống
quản lý an toàn thông tin – Các yêu cầu " để xây dựng tiêu chuẩn quốc gia ISO/IEC
27001:2009 theo nguyên tắc áp dụng nguyên vẹn, có chỉnh sửa về thể thức trình bày
theo quy định hiện hành về trình bày Tiêu chuẩn quốc gia.
Qua 8 năm áp dụng, đến năm 2013, đã có rất nhiều thay đổi của thế giới an toàn thông
tin về các mối đe dọa, điểm yếu kỹ thuật và rủi ro liên quan đến điện toán đám mây, dữ
liệu lớn và nhất là an ninh mạng. Trong các năm đó, các tổ chức tiêu chuẩn quốc gia
trên toàn thế giới đã tổ chức cuộc họp với các chuyên gia chuyên ngành tìm kiếm các
điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC 27002:2013. Kết quả đã
rất tích cực và sẽ tinh giản quá trình áp dụng bằng cách bổ sung một số mức độ an
ninh trước đây chưa có. Tiêu chuẩn ISO/ IEC 27001: 2013 đã được công bố ngày 01
tháng 10 năm 2013. Có rất nhiều thay đổi đối với cả hai tiêu chuẩn ISO 27001 và các
tiêu chuẩn 27002 sẽ ảnh hưởng gần 18000 tổ chức hiện đã và đang được chứng nhận.
Tiêu chuẩn ISO/ IEC 27001: 2013 là phiên bản tiếp theo ngay sau tiêu chuẩn ISO/IEC
27001:2005, và cho tới thời điểm này đã có 2 phần đính chính (Corrigendum) của năm
2014 và 2015 được bổ sung thêm vào phiên bản 2013. Hai phần đính chính này có
lượng thông tin thay đổi rất ít.
10
3 Rà soát và so sánh tiêu chuẩn ISO/IEC 27001:2005 và ISO/IEC 27001:2013
3.1 Những lợi ích chính khi cập nhật lên phiên bản mới ISO/IEC 27001:2013
ISO đã đưa ra phiên bản mới được cập nhật, dựa trên cả những kinh nghiệm của
người dùng và các tổ chức đã được chứng nhận theo hệ thống quản lý an toàn thông tin
theo tiêu chuẩn ISO/IEC 27001:2005. Phiên bản mới cung cấp một cách tiếp cận hợp
lý linh hoạt hơn nhằm quản lý rủi ro hiệu quả hơn.
Tiêu chuẩn sửa đổi đã thực hiện một số cải thiện cho an toàn thông tin được kiểm soát
tại Phụ lục A để đảm bảo rằng các tiêu chuẩn hiện hành vẫn có khả năng đối phó với
những rủi ro thông tin ngày càng cao như hiện nay, cụ thể là đánh cắp nhận dạng, rủi
ro liên quan đến các thiết bị di động và các lỗ hổng bảo mật trực tuyến khác.
Cuối cùng tiêu chuẩn ISO/IEC 27001 phiên bản mới đã được sửa đổi để phù hợp với
cấu trúc cấp cao mới được sử dụng trong tất cả các tiêu chuẩn hệ thống quản lý và có
thể thực hiện tích hợp với các hệ thống quản lý khác một cách dễ dàng.
Tiêu chuẩn ISO/IEC 27001 mới sẽ giúp các tổ chức muốn thực hiện tích hợp nhiều
hơn một hệ thống quản lý tại một thời điểm. Sự giống nhau trong cấu trúc giữa các tiêu
chuẩn sẽ tiết kiệm kinh phí và thời gian tổ chức như họ có thể áp dụng các chính sách
và thủ tục thích hợp.Ví dụ, một tổ chức có thể muốn tích hợp hệ thống an toàn thông
tin của họ (ISO/IEC 27001) với các hệ thống quản lý khác như Hệ thống quản lý kinh
doanh liên tục (ISO/IEC 22301), Hệ thống quản lý dịch vụ thông tin (ISO/IEC 20.000-
1) hoặc Hệ thống quản lý chất lượng (ISO 9001).
+ Tiêu chuẩn ISO 27001:2005 nội dung chính từ 4-8, phụ lục A bao gồm 11
chương, 39 mục tiêu và 133 kiểm soát. Ngoài ra còn có phụ lục B, C.
+ Tiêu chuẩn ISO/IEC 27001:2013 gia tăng các hạng mục bắt buộc từ 5 mục lên 7
mục và tăng các điểm kiểm soát từ 102 điểm thành 148 điểm. Đó là một sự gia
tăng điểm kiểm soát cần thiết nhằm để tổ chức lưu tâm nhiều hơn đến việc quản
lý an toàn thông tin. Trong thực tế tiêu chuẩn ISO/ IEC 27001: 2005 có mục 4
hệ thống quản lý an ninh sẽ xóa bỏ vì nó gây ra nhầm lẫn cho tổ chức áp dụng.
11
+ Tổng số mục tiêu kiểm soát của tiêu chuẩn ISO/ IEC 27001 sẽ tăng từ 11 mục
tiêu lên 14 mục tiêu. Phần lớn các mục tiêu kiểm soát vẫn được giữ nguyên
nhưng sẽ có thêm một số mục tiêu kiểm soát mới như A5 Định hướng quản lý
an toàn thông tin, A12 An ninh vận hành, A13 An ninh trao đổi thông tin, A15
Mối quan hệ với nhà cung cấp.
Phạm vi ISMS.
+ Tiêu chuẩn ISO 27001:2013 yêu cầu xác định ngữ cảnh (external and internal
issues), yêu cầu của các bên liên quan (interested parties), giao diện và phụ
thuộc (interfaces and dependencies).
+ Tiêu chuẩn ISO 27001:2005 có thể tham chiếu ISO/IEC TR 13335-3, ISO
27005 hoặc các phương pháp khác đáp ứng yêu cầu ISO 27001:2005.
Chủ thể rủi ro: Tiêu chuẩn ISO 27001:2013 có khái niệm mới là chủ thể rủi ro
(risk owner).
Quản lý tài liệu và quản lý hồ sơ được gom lại thành thông tin được lập tài liệu
(documented information)
Hành động phòng ngừa không còn trong 2013
Phụ lục A của tiêu chuẩn ISO/ IEC 27001 nổi tiếng nhất với loạt 11 mục tiêu kiểm
soát thực tế có các điều khoản bắt buộc áp dụng sẽ không còn tồn tại nữa.
+ Phiên bản mới nhất tiêu chuẩn ISO/IEC 27001:2013 gia tăng các hạng mục bắt
buộc từ 5 mục lên 7 mục và tăng các điểm kiểm soát từ 102 điểm thành 148
điểm. Đó là một sự gia tăng điểm kiểm soát cần thiết nhằm để tổ chức lưu tâm
nhiều hơn đến việc quản lý an toàn thông tin. Trong thực tế tiêu chuẩn ISO/ IEC
27001: 2005 có mục 4 hệ thống quản lý an ninh sẽ xóa bỏ vì nó gây ra nhầm lẫn
cho tổ chức áp dụng.
+ Tổng số mục tiêu kiểm soát của tiêu chuẩn ISO/ IEC 27001 sẽ tăng từ 11 mục
tiêu lên 14 mục tiêu. Phần lớn các mục tiêu kiểm soát vẫn được giữ nguyên
nhưng sẽ có thêm một số mục tiêu kiểm soát mới như A5 Định hướng quản lý
an toàn thông tin, A12 An ninh vận hành, A13 An ninh trao đổi thông tin, A15
Mối quan hệ với nhà cung cấp
3.3 Các khái niệm mới đã được giới thiệu (hoặc cập nhật) như sau:
12
cơ hội Sự thay đổi lớn nhất là không có hành động
phòng ngữa nữa, về cơ bản chúng được gộp
lại trong đánh giá và xử lý rủi ro.
Các bên quan tâm Cập nhật Thay thế các bên liên quan.
Có tầm quan trọng rất lớn, trong đó bao
gồm các cổ đông, cơ quan chức năng (gồm
cả các yêu cầu về pháp luật và quy định),
khách hàng, đối tác… được ghi nhận trong
phiên bản mới này. Có một điều đặc biệt là
các bên quan tâm phải được liệt kê, cùng
với tất cả các yêu cầu của họ.
Đây là yếu tố đầu vào quan trong của
ISMS.
Ban lãnh đạo Cập nhật Yêu cầu cụ thể cho người quản lý đứng
đầu.
Các yêu cầu cam kết quản lý tập trung vào
thuật ngữ “lãnh đạo”.
Truyền thông Mới Đưa ra những yêu cầu rõ ràng cho cả truyền
thông nội bộ và truyền thông ở bên ngoài.
Đây là một điều khoản mới, là nơi mà tất cả
các yêu cầu được tập trung lại – những gì
cần phải được thông báo, khi nào, bởi ai,
thông qua đó có nghĩa là gì, …. Sự thành
công của an toàn thông tin phụ thuộc vào
cả hai phía IT và phía doanh nghiệp, sự
hiểu biết tổng thể của họ về mục đích bảo
vệ thông tin.
Các mục tiêu an toàn Các mục tiêu an toàn thông tin trong phiên
thông tin bản mới được thiết lập tại các mức và các
chức năng liên quan.
Các quy tắc (rule) cần được thiết lập mục
tiêu rõ ràng, phải xác định ai sẽ là người
xem xét chúng và khi nào, phải xác định ai
sẽ phân tích và đánh giá những kết quả từ
13
những quy tắc đó.
Các kế hoạch cần phải được phát triển và
phải được mô tả cách thức để đạt được các
mục tiêu.
Đánh giá rủi ro Tài sản, lổ hổng và mối đe dọa không phải
là cơ sở đánh giá rủi ro nữa. Các yếu tố này
chỉ cần khi xác định những rủi ro liên quan
đến tính bảo mật, toàn vẹn và sẵn sàng.
Khái niệm về việc xác định mức độ rủi ro
dựa trên những hậu quả và khả năng vẫn
giữ nguyên.
Các yêu cầu đánh giá rủi ro đã được liên
kết với ISO 31000.
Chủ thể rủi ro Cập nhật Thay thế chủ thể sở hữu tài sản.
Khái niệm về chủ sở hữu tài sản đã không
còn, một thuật ngữ mới được dùng là: “chủ
sở hữu rủi ro”, vì thế mà trách nhiệm được
đưa lên một mức cao hơn.
Kế hoạch xử lý rủi ro Hiệu quả của kế hoạch xử lý rủi ro hiện tại
được coi là quan trọng hơn so với hiệu quả
của biện pháp quản lý rủi ro.
Sự thay đổi lớn nhất là không có hành động
phòng ngữa nữa, về cơ bản chúng được gộp
lại trong đánh giá và xử lý rủi ro.
Hơn nữa, có một sự phân biệt giữa các lần
khắc phục, hành động trực tiếp tới điểm
không phù hợp, trái ngược với hành động
khắc phục để loại bỏ các nguyên nhân gây
ra điểm không phù hợp.
Biện pháp kiểm soát Các biện pháp kiểm soát hiện tại được xác
định trong quá trình xử lý rủi ro, chứ không
phải được lựa chọn từ Phụ Lục A.
Thông tin được lập tài Báo cáo và lập tài liệu các thay thế.
liệu Khái niệm về “các tài liệu” và “các hồ sơ”
được gộp chung lại.
14
Yêu cầu trong tiêu chuẩn cũ đối với tiến
trình xử lý tài liệu (kiểm soát tài liệu, đánh
giá nội bộ, hành động khắc phục, phòng
ngừa) đã không còn. Tuy nhiên các yêu cầu
về tài liệu đầu ra từ các tiến trình vẫn còn
trong tiêu chuẩn mới. Vì vậy, không cần
phải viết ra các tiến trình, nhưng vẫn cần
phải duy trì tất cả các hồ sơ khi quản lý tài
liệu, thực hiện đánh giá nội bộ, và hành
động khắc phục.
Đánh giá hiệu năng Bao gồm các đo lường hiệu quả kế hoạch
xử lý rủi ro và ISMS.
Cải thiện liên tục Sử dụng phương pháp khác ngoài phương
pháp Kế hoạch-Thực hiện-Kiểm tra-Hành
Động (PDCA).
10 Cải tiến
5 Điều 1: Phạm vi
Điều này cũng được rút ngắn gọn hơn nhiều so với phiên bản trước. Đặc biệt không có
tài liệu tham khảo để loại trừ các biện pháp kiểm soát trong Phụ Lục A.
16
này bằng cách vẽ các vấn đề nội bộ và bên ngoài có liên quan đến nhau (tức là những
vấn đề có ảnh hưởng đến khả năng của tổ chức để đạt được các kết quả dự kiến của
ISMS của nó) với các yêu cầu của các bên kiên quan để xác định phạm vi của ISMS.
Lưu ý rằng thuật ngữ “vấn đề” (issue) không chỉ bao gồm các vấn đề, mà sẽ là chủ đề
của hành động phòng ngừa trong các tiêu chuẩn trước đó, nhưng cũng là chủ đề quan
trọng cho ISMS để giải quyết, chẳng hạn như bất ký mục tiêu đảm bảo thị trường và
quản trị mà tổ chức có thể thiết lập cho ISMS. Hướng dẫn chi tiết được đưa ra trong
Mục 5.3 của ISO 31000:2009.
Lưu ý rằng, thuật ngữ “yêu cầu” (requirement) là một “nhu cầu hoặc mong muốn
được nêu lên, thường là ngụ ý hoặc bắt buộc”. Kết hợp với mục 4.2, điều này bản thân
nó có thể được coi như là yêu cầu quản trị, nói đúng ra một ISMS mà không phù hợp
với các kỳ vọng thường được chấp nhận có thể hiện tại bị loại trù không phù hợp với
tiêu chuẩn.
Yêu cầu cuối cùng (Mục 4.4) là việc thiết lập, thực hiện, duy trì và cải thiện liên tục
ISMS theo yêu cầu của tiêu chuẩn.
Khoản 6.1.2: Đánh giá rủi ro an toàn thông tin: Đánh giá rủi ro trong phiên bản mới
được sắp xếp và hướng dẫn theo nguyên tắc của tiêu chuẩn ISO 31000 về quản lý rủi
ro, điều khoản này loại bỏ yêu cầu phân loại các loại tài sản, mối nguy hại, và các lỗ
hổng bảo mật thông tin. Tổ chức có thể tiếp cận các phương pháp đánh giá rủi ro một
cách rộng hơn mà vẫn phù hợp với tiêu chuẩn. Trong tiêu chuẩn ISO/IEC 27001:2013,
17
chỉ tiêu chấp nhận rủi ro được diễn tả dưới các điều khoản (terms) khác với tiêu chuẩn
trước là phải chia các mức chấp nhận rủi ro.
Trong khoản này cũng đưa ra thuật ngữ “chủ sở hữu rủi ro (risk owner)” để thay thế
cho “chủ sở hữu tài sản (asset owner)”. “Chủ sở hữu rủi ro” là khái niệm đã được dùng
trong tiêu chuẩn ISO 31000 được định nghĩa “người hoặc tổ chức có trách nhiệm và
thẩm quyền quản lý rủi ro”. Sau khi tổ chức xác định người sở hữu rủi ro, họ được yêu
cầu phê duyệt kế hoạch xử lý rủi ro và những rủi ro chưa đánh giá được (tại mục 6.1.3
f).
Khoản 6.1.3. Xứ lý rủi ro an toàn thông tin: Xử lý rủi ro trong phiên bản này cũng
tương tự như ISO/IEC 27001:2005. Tuy nhiên, việc xử lý rủi ro liên quan đến việc xác
định các kiểm soát cần thiết hơn là việc lựa chọn các kiểm soát từ Phụ lục A. Tiêu
chuẩn giữ lại Phụ lục A như là một sự kiểm tra chéo qua đó đảm bảo rằng các kiểm
soát cần thiết không bị loại bỏ. Tổ chức vẫn được yêu cầu xây dựng một “thông báo áp
dụng - SOA”. Xây dựng và phê duyệt kế hoạch xử lý rủi ro một phần của khoản này.
Khoản 6.2. Mục tiêu và kế hoạch để đạt được an toàn thông tin trong tổ chức: Trong
khoản này liên quan đến mục tiêu an toàn thông tin trong tổ chức. Thuật ngữ “liên
quan đến các chức năng và mức độ” được sử dụng trong yêu cầu này, “chức năng”
được hiểu là các chức năng của tổ chức, “mức độ” là các mức độ quản lý của ban quản
lý cấp cao nhất (top management). Khoản này đưa ra các thuộc tính để đạt được an
toàn thông tin của tổ chức phải có.
11 Điều 7. Hỗ trợ
Điều khoản này bắt đầu với một yêu cầu tổ chức phải xác định và cung cấp nguồn lực
cần thiết để thiết lập, thực hiện, duy trì và cải tiến liên tục hệ thống an toàn thông tin
(ISMS). Điều khoản này rất quan trọng vì bao gồm các nguồn lực mà một ISMS cần
phải có. Ngoài ra, các yêu cầu về năng lực, nhận thức và truyền thông (với bên trong
và bên ngoài tổ chức) được đưa ra trong Điều 7 cũng tương ứng với phần yêu cầu của
ISO/IEC 27001:2005.
Điểm khác biệt trong Điều này so với phiên bản trước là thuật ngữ “thông tin được lập
tài liệu (documented information)” được sử dụng để thay thế thuật ngữ “tài liệu” và
“hồ sơ” trong phiên bản 2005. Yêu cầu này liên quan đến khởi tạo và cập nhật, kiểm
soát các tài liệu và hồ sơ trong tổ chức, yêu cầu này nhấn mạnh đến mục đích, nội
dung của văn bản nhiều hơn, tổ chức phải tự tài liệu hóa thông tin xuyên suốt tiêu
chuẩn.
18
12 Điều 8. Vận hành
Điều khoản này nói về thực hiện kế hoạch và quá trình được đưa ra tại các điều khoản
trước.
Khoản 8.1. Thực hiện các hoạt động được xác định tại khoản 6.1, mục tiêu an toàn
thông tin đạt được và các quá trình outsource ra bên ngoài.
Khoản 8.2. đề cập đến hiệu suất của việc đánh giá rủi ro an toàn thông tin tại kế hoạch
trong một khoảng thời gian.
Khoản 8.3. đề cập đến việc thực hiện kế hoạch xử lý rủi ro.
20
6.2 Các mục tiêu an toàn thông tin và 5.1 b) đảm bảo rằng các mục tiêu và kế
hoạch định để đạt được chúng hoạch của hệ thống ISMS đã được xây
dựng
7.1 Nguồn lực 4.2.2 g) Quản lý các tài nguyên dành cho
hệ thống ISMS
5.2.1 Cấp phát nguồn lực
7.2 Năng lực 5.2.2 Đào tạo, nhận thức và năng lực
7.3 Nhận thức 4.2.2 e) Triển khai các chương trình đào tạo
nâng cao nhận thức
5.2.2 Đào tạo, nhận thức và năng lực
7.4 Truyền thông 4.2.4 c) Thông báo và thống nhất với các
bên liên quan về các hành động và cải tiến
của hệ thống ISMS
5.1 d) trao đổi với tổ chức về tầm quan
trọng
7.5 Thông tin được lập tài liệu 4.3 Các yêu cầu về hệ thống tài liệu
8.1 Lập kế hoạch và kiểm soát vận hành 4.2.2 f) Quản lý hoạt động của hệ thống
ISMS
8.2 Đánh giá rủi ro an toàn thông tin 4.2.3 d) Soát xét các đánh giá rủi ro
8.3 Xử lý rủi ro an toàn thông tin 4.2.2 b) Triển khai kế hoạch xử lý rủi ro
4.2.2 c) Triển khai các biện pháp quản lý
9.1 Giám sát, đo lường, phân tích và đánh 4.2.2 d) Xác định cách đánh giá hiệu lực
giá của các biện pháp quản lý
4.2.3 b) Thường xuyên soát xét hiệu lực
của hệ thống ISMS
4.2.3 c) Đánh giá hiệu lực của các biện
pháp quản lý
9.2 Đánh giá nội bộ 4.2.3 e) Thực hiện việc kiểm toán nội bộ hệ
thống ISMS
6 Kiểm toán nội bộ hệ thống ISMS
9.3 Soát xét của ban quản lý 4.2.3 f) Thực hiện soát xét của ban quản lý
đối với hệ thống ISMS
7 Soát xét của ban quản lý đối với hệ thống
ISMS
21
10.1 Điểm không phù hợp và hành 4.2.4 Duy trì và cải tiến hệ thống ISMS
động khắc phục 8.2 Hành động khắc phục
10.2 Cải tiến liên tục 4.2.4 Duy trì và cải tiến hệ thống ISMS
8.1 Cải tiến thường xuyên
22
14.1.1 So sánh sự khác nhau trong phần Biện pháp kiểm soát
Trong phần Biện pháp kiểm soát, Phụ lục A, bao gồm 14 lĩnh vực với 35 mục tiêu
kiểm soát (ứng với 114 biện pháp kiểm soát). Các tổ chức sẽ lựa chọn những biện pháp
kiểm soát trong số nêu trên phù hợp với tổ chức mình để áp dụng.
Bảng 4: Bảng so sánh giữa các “Biện pháp kiểm soát” của phiên bản mới và phiên
bản cũ:
Sự thay đổi của “Biện pháp kiểm soát” trong phiên bản mới nhằm phù hợp hơn với xu
hướng phát triển công nghệ, yêu cầu thực tiễn của các tổ chức và cũng cho thấy được
sự quan tâm nhiều hơn đối với các kiểm soát an toàn mã hóa hay các vấn đề ATTT khi
làm việc với nhà cung cấp. Đặc biệt, việc thay đổi thứ tự đưa vị trí của mục ATTT
nhân sự lên trước mục quản lý tài sản cho thấy con người là một trong những yếu tố
quan trọng nhất trong việc xây dựng, vận hành, duy trì và cải tiến hệ thống ISMS.
23
14.1.1.1- Phụ luc A
Tên của Phụ lục A trong phiên bản này được thay đổi thành “bản tham khảo các mục
tiêu kiểm soát và các kiểm soát” như vậy có nghĩa các kiểm soát mang tính chất tham
khảo và không bắt buộc. Phần hướng dẫn của Phụ lục A cũng đơn giản hơn. Phụ lục A
được sử dụng cho khoản 6.1.3. Các thay đổi trong Phụ lục A so với phiên bản trước
bao gồm: 14 điều kiểm soát an ninh thay cho 11 điều; 35 chủng loại (categories) an
ninh chính thay cho 33 chủng loại; 114 kiểm soát thay cho 133 kiểm soát trong đó loại
bỏ một số kiểm soát cũ, thêm một số kiểm soát mới và sửa lại một số kiểm soát cũ.
và duy trì
A.12 Tiếp nhận, phát triển
A.13 Quản lý các sự cố
A.14 Quản lý sự liên tục
A.15 Sự tuân thủ
24
A.7.1 Trước khi tuyển dụng (2)
x
A.7.2 Trong thời gian làm việc (3)
x
A.7.3 Chấm dứt hoặc thay đổi công việc (1)
x
A.8.1 Trách nhiệm đối với tài sản (4)
x
x
A.8.2 Phân loại thông tin (3)
x
A.8.3 Xử lý phương tiện truyền thông (3)
x
A.9.1 Các yêu cầu nhiệp vụ cho việc kiểm soát truy
x
cập (2)
A.9.2 Quản lý truy cập người dùng (6)
x
A.9.3 Trách nhiệm của người sử dụng (1)
x
A.9.4 Quản lý truy cập vào hệ thống và ứng dụng (5)
x
A.10.1 Biện pháp kiểm soát mật mã (2)
x
A.11.1 Khu vực an toàn (6)
x
A.11.2 Thiết bị (9)
x
A.12.1 Các thủ tục và trách nhiệm vận hành (4)
x
A.12.2 Bảo vệ chống lại phần mềm độc hại (1)
x
A.12.3 Sao lưu (1)
A.12.4 Ghi nhật ký và giám sát (4) x
x
A.12.5 Quản lý các phần mềm vận hành (1)
x
A.12.6 Quản lý lỗ hổng kỹ thuật (2)
x
A.12.7 Xem xét việc đánh giá các hệ thống thông tin
x
(1)
A.13.1 Quản lý an toàn mạng (3)
x
x
A.14.1 Các yêu cầu an toàn của hệ thống thông tin (3)
x
(2)
A.16.1 Quản lý các sự cố và sự cải tiến an toàn thông
x
tin (7)
A.17.1 Đảm bảo an toàn thông tin liên tục (3)
x
25
A.17.2 Dự phòng (1)
A.18.1 Sự tuân thủ với các yêu cầu pháp lý và hợp
x
đồng (5)
A.18.2 Soát xét an toàn thông tin (3)
x
15 Rà soát cập nhật tiêu chuẩn quốc gia theo phiên bản ISO/IEC 27001:2013.
Có rất nhiều thay đổi của thế giới an toàn thông tin về các mối đe dọa, điểm yếu kỹ
thuật và rủi ro liên quan đến điện toán đám mây, dữ liệu lớn và nhất là an ninh mạng
trong 8 năm. Trong các năm qua, các tổ chức tiêu chuẩn quốc gia trên toàn thế giới đã
tổ chức cuộc họp với các chuyên gia chuyên ngành tìm kiếm các điểm cải tiến cho tiêu
chuẩn ISO/IEC 27001:2013 và ISO/IEC 27002:2013. Kết quả đã rất tích cực và sẽ tinh
giản quá trình áp dụng bằng cách bổ sung một số mức độ an ninh trước đây chưa có.
Tiêu chuẩn ISO/ IEC 27001: 2013 sẽ được công bố ngày 01 tháng 10 năm 2013. Có rất
nhiều thay đổi đối với cả hai tiêu chuẩn ISO 27001 và các tiêu chuẩn 27002 sẽ ảnh
hưởng gần 18000 tổ chức hiện đã và đang được chứng nhận.
Tuy nhiên, đã có hai ảnh hưởng lớn khác tới việc sửa đổi. Đầu tiên đó là ISO yêu cầu
rằng tất cả các tiêu chuẩn hệ thống quản lý được sửa đổi và làm mới phải phù hợp với
cầu trúc mức cao và văn bản cốt lõi giống nhau bất chấp Phụ lục SL tới Phần 1 của
ISO/IEC.
Sự phù hợp với các yêu cầu này sẽ có xu hướng làm cho tất cả các tiêu quẩn hệ thống
quản lý nhìn giống nhau, với ý định rằng các yêu cầu hệ thống quản lý mà không kỷ
luật cụ thể giống hệt nhau trong tất cả các tiêu chuẩn hệ thống quản lý. Đây là tin tốt
cho các tổ chức vận hành các hệ thống quản lý tích hợp, ví dụ: hệ thống quản lý phù
hợp với nhiều tiêu chuẩn như ISO 9001 (chất lượng), ISO 22301 (tính liên tục trong
nghiệp vụ) cũng như tiêu chuẩn ISO 27001.
Ảnh hưởng thứ hai là quyết định găn kết ISO/IEC 27001 với các nguyên tắc và hướng
dẫn được đưa trong ISO 31000 (quản lý rủi ro). Một lần nữa, đây là một tin tốt cho các
hệ thống quản lý tích hợp như bây giờ là một tổ chức có thể áp dụng các phương pháp
đánh giá rủi ro như nhau trên nhiều.
Do vậy, xây dựng rà soát, cập nhật tiêu chuẩn quốc gia về quản lý an toàn thông tin
theo ISO27001 là cần thiết. Một khi tiêu chuẩn ISO/IEC 27001:2013 đã được công bố
chính thức tổ chức sẽ có một thời gian gia hạn là 12 tháng trước khi tái chứng nhận.
Đến nay, đã khoảng 3 năm từ ngày phiên bản quốc tế được công bố cập nhật, vì vậy,
26
việc phiên bản quốc gia phải cập nhật theo là điều bắt buộc. Tiêu chuẩn cập nhật mới
này phải đảm bảo phù hợp với các tiêu chuẩn cập nhật của quốc tế..
15.2 Dự thảo tiêu chuẩn
3. Đối chiếu tài nội dung tiêu chuẩn và tài liệu tham khảo
So sánh giá trị các tiêu chí giữa những tài liệu tham khảo ở trên để lựa chọn ra giá trị
quy định trong tiêu chuẩn này.
Bảng 1. Bảng đối chiếu tiêu chuẩn viện dẫn
Nội dung tiêu chuẩn Tài liệu viện dẫn Sửa đổi, bổ sung
ISO/IEC 27001:2013
0 Giới thiệu chung 0 Introduction Chấp nhận nguyên vẹn
1 Phạm vi áp dụng 1 Scope Chấp nhận nguyên vẹn
2 Tài liệu viện dẫn 2 Normative references Chấp nhận nguyên vẹn
3 Thuật ngữ và định nghĩa 3 Terms and defiitions Chấp nhận nguyên vẹn
4.1 Hiểu được tổ chức và phạm vi của 4.1 Understanding the organization
Chấp nhận nguyên vẹn
tổ chức and its context
4.2 Hiểu được nhu cầu và mong muốn 4.2 Understanding the needs and
Chấp nhận nguyên vẹn
của các bên liên quan expectations of interested parties
4.3 Xác định phạm vi hệ thống quản lý 4.3 Determining the scope of the
an toàn thông tin information security management Chấp nhận nguyên vẹn
system
4.4 Hệ thống quản lý an toàn thông tin 4.4 Information security
Chấp nhận nguyên vẹn
management system
5.1 Lãnh đạo và cam kết 5.1 Leadership and commitment Chấp nhận nguyên vẹn
5.2 Chính sách 5.2 Policy Chấp nhận nguyên vẹn
5.3 Vai trò, trách nhiệm và quyền hạn 5.3 Organizational roles,
Chấp nhận nguyên vẹn
của tổ chức responsibilities and authorities
6.1 Hoạt động để giải quyết các rủi ro 6.1.1 Actions to address risks and
và cơ hội opportunities – general Chấp nhận nguyên vẹn
6.1.2 Đánh giá rủi ro an toàn thông tin 6.1.2 Information security risk
Chấp nhận nguyên vẹn
assessment
6.1.3 Xử lý rủi ro an toàn thông tin 6.1.3 Information security risk
Chấp nhận nguyên vẹn
treatment
6.2 Lập kế hoạch và mục tiêu để đạt 6.2 Information security objectives
Chấp nhận nguyên vẹn
được an toàn thông tin and planning to achieve them
7.1 Nguồn lực 7.1 Resources Chấp nhận nguyên vẹn
28
7.2 Thẩm quyền 7.2 Competence Chấp nhận nguyên vẹn
7.3 Nhận thức 7.3 Awareness Chấp nhận nguyên vẹn
7.4 Truyền thông 7.4 Communication Chấp nhận nguyên vẹn
7.5 Thông tin dạng tài liệu hóa 7.5 Documented information Chấp nhận nguyên vẹn
8.1 Lập kế hoạch và kiểm soát hoạt 8.1 Operational planning and control
Chấp nhận nguyên vẹn
động
8.2 Đánh giá rủi ro an toàn thông tin 8.2 Information security risk
Chấp nhận nguyên vẹn
assessment
8.3 Xử lý rủi ro an toàn thông tin 8.3 Information security risk
Chấp nhận nguyên vẹn
treatment
9.1 Giám sát, đo lường, phân tích và 9.1 Monitoring, measurement,
Chấp nhận nguyên vẹn
đánh giá analysis and evaluation
9.2 Đánh giá nội bộ 9.2 Internal Audit Chấp nhận nguyên vẹn
9.3 Soát xét của quản lý 9.3 Management review Chấp nhận nguyên vẹn
10.1 Sự không phù hợp và hành động 10.1 Nonconformity and corrective
Chấp nhận nguyên vẹn
khắc phục action
10.2 Cải tiến liên tục 10.2 Continual improvement Chấp nhận nguyên vẹn
29
TÀI LIỆU THAM KHẢO
http://isovietnam.vn/tin-tuc-nghanh/552-tinh-hinh-ap-dung-iso.html
http://isovietnam.vn/tin-tuc-nghanh/401-tinh-hinh-ap-dung-iso.html
http://nscl.vn/hien-trang-ap-dung-tieu-chuan-iso-27001-tai-viet-nam/
30