Áp dụng Hệ thống quản lý bảo mật thông tin ISO/IEC 27001: Đảm bảo an toàn trên môi trường số
Những thay đổi trong thói quen sử dụng Internet kể từ khi đại dịch COVID-19 bùng nổ đã tạo ra sự gia tăng đáng kể về sự phụ thuộc vào Internet và sự đổi mới, phát triển về công nghệ. Ở Hàn Quốc, báo cáo của các nhà khai thác mạng cho thấy lượng truy cập Internet tăng 13%, đạt 45-60% công suất của họ trong thời gian đỉnh dịch. Tại Mỹ, nhà cung cấp dịch vụ Internet (ISPs) đã được Ủy ban Truyền thông Liên bang chấp thuận, đạt được thỏa thuận với nhà cung cấp vệ tinh để mượn phổ tần không dây chưa sử dụng để tăng công suất và giảm nghẽn mạng trong nhiều tháng khi hầu hết người dân bị cô lập khi đại dịch bắt đầu từ năm 2020 (1);
Theo thống kê của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong 4 tháng đầu năm 2020, tổng cộng 1.056 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam dẫn đến sự cố (553 cuộc tấn công lừa đảo (Phishing), 280 cuộc tấn công thay đổi giao diện (Deface), 223 cuộc tấn công cài mã độc (Malware). Hơn 73.000 camera IP trên thế giới, trong đó có gần 1.000 camera tại Việt Nam đang bị theo dõi.
Ảnh minh họa.
Khi sự phụ thuộc vào công nghệ kỹ thuật số tăng cao đồng nghĩa với tỷ lệ tội phạm mạng tăng với tốc độ chóng mặt. Tội phạm mạng đang tận dụng các cơ hội để khai thác những điểm yếu chống lại con người và các tổ chức thông qua công nghệ. Theo báo cáo Triển vọng An ninh mạng toàn cầu của Diễn đàn Kinh tế Thế giới, các cuộc tấn công mạng đã tăng 125% trên toàn cầu vào năm 2021, các bằng chứng cho thấy con số này sẽ tiếp tục gia tăng trong những năm sắp tới. An ninh mạng kém khiến chính chúng ta trở thành mục tiêu.
An toàn thông tin mạng được định nghĩa trong Luật An toàn thông tin mạng ban hành ngày 19/11/2015 là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
Trong thời đại công nghệ thông tin phát triển như hiện nay, thông tin là tài sản quý giá của mỗi cá nhân và mỗi tổ chức. Ngày 10/8/2022, Chính phủ đã ban hành Chiến lược An toàn, An ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030, trong đó đã đưa ra nhiệm vụ, giải pháp như sau:
– Tăng cường vai trò lãnh đạo của Đảng, quản lý của Nhà nước.
– Hoàn thiện hàng lang pháp lý.
– Bảo vệ chủ quyền quốc gia trên không gian mạng.
– Bảo vệ hạ tầng số, nền tảng số, dữ liệu số, cơ sở hạ tầng không gian mạng quốc gia.
– Bảo vệ hệ thống thông tin của các cơ quan Đảng, Nhà nước.
– Bảo vệ hệ thống thông tin của các lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin.
– Tạo lập niềm tin số, xây dựng môi trường mạng trung thực, văn minh, lành mạnh và phòng, chống vi phạm pháp luật trên không gian mạng.
– Làm chủ, tự chủ công nghệ, sản phẩm, dịch vụ đủ khả năng chủ động ứng phó với các thách thức từ không gian mạng.
– Đào tạo và phát triển nguồn nhân lực.
– Tuyên truyền, phổ biến, nâng cao nhận thức và kỹ năng an toàn, an ninh mạng.
– Nâng cao uy tín quốc gia và hợp tác quốc tế.
– Đầu tư nguồn lực và đảm bảo kinh phí.
Ngày 29/6/2021, tại Chương trình nghị sự về an toàn thông tin mạng toàn cầu tại Geneva (Thụy Sỹ), Liên minh Viễn thông Quốc tế (ITU) công bố Việt Nam đạt tổng điểm 94,59/100 với sự cải thiện ở 5 trụ cột đánh giá. Việt Nam vươn lên vị trí thứ 25/194 toàn cầu, thứ 7 trong khu vực Châu Á – Thái Bình Dương và thứ 4 khu vực ASEAN.
Thành tích này đã ghi nhận những nỗ lực lớn và thể hiện rõ quyết tâm của Việt Nam trong một chặng đường dài, tuy nhiên, đây cũng là thách thức để duy trì thứ hạng trong nhóm 25 nước dẫn đầu về an toàn, an ninh mạng, hiện thực hóa mục tiêu trở thành cường quốc về an ninh mạng. Để từng bước thực hiện được mục tiêu này, việc áp dụng ISO 27001 – Hệ thống quản lý bảo mật thông tin rất đáng được lưu tâm.
ISO 27001 giúp các tổ chức sớm nhận thức được rủi ro, chủ động giải quyết các điểm yếu về an toàn thông tin.
Bộ tiêu chuẩn ISO 27001 ra đời từ năm 1992, do Phòng Thương mại và Công nghiệp Anh ban hành. Ban đầu, đó là bộ quy phạm thực hành về hệ thống an toàn thông tin dựa trên các hệ thống đảm bảo an toàn thông tin của cơ quan dầu khí. Năm 1995, Viện Tiêu chuẩn hóa Anh đã ban hành tài liệu này với mã hiệu BS 7799-1. Đến năm 2000, Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) đã chính thức chấp nhận và ban hành tiêu chuẩn này dưới mã hiệu ISO/IEC 17799:2000, đây là tiền thân của bộ tiêu chuẩn ISO 27001 ngày nay.
Tên đầy đủ phiên bản mới nhất của ISO 27001 là ISO/IEC 27001:2022 Bảo mật thông tin, an ninh mạng và bảo vệ riêng tư – Hệ thống quản lý an toàn thông tin – Các yêu cầu”. Đây là tiêu chuẩn quốc tế hàng đầu về quản lý bảo mật thông tin, được xuất bản bởi Tổ chức Tiêu chuẩn hóa quốc tế (ISO) hợp tác với Ủy ban Kỹ thuật Điện quốc tế (IEC).
ISO/IEC 27001 có thể được áp dụng với mọi loại hình tổ chức, bao gồm doanh nghiệp sản xuất, dịch vụ, thương mại, cơ quan chính phủ, các tổ chức phi chính phủ… ISO/IEC 27001 giúp các tổ chức sớm nhận thức được rủi ro và chủ động xác định, giải quyết các điểm yếu. Việc triển khai và áp dụng ISO/IEC 27001 thúc đẩy cách tiếp cận toàn diện về bảo mật thông tin: kiểm tra con người, chính sách và công nghệ.
Việc sử dụng các quy trình chuẩn của ISO/IEC 27001 sẽ đem lại lợi ích như sau: i) Bảo mật thông tin dưới mọi hình thức, bao gồm dữ liệu trên giấy, trên nền tảng đám mây và kỹ thuật số; ii) Tăng khả năng phục hồi trước các cuộc tấn công mạng; iii) Cung cấp khuôn khổ được quản lý tập trung để bảo mật tất cả thông tin ở một nơi; iv) Đảm bảo tổ chức được bảo vệ tối đa, chống lại các rủi ro về công nghệ và các mối đe dọa khác; v) Ứng phó với mối đe dọa an ninh mạng; vi) Giảm chi phí và thời gian khi phát sinh sự cố; vii) Bảo vệ tính toàn vẹn, bảo mật và sẵn có của dữ liệu; viii) Tăng khả năng tin tưởng của khách hàng với các tổ chức, doanh nghiệp; ix) Liên tục cải tiến và cập nhật để phù hợp với sự thay đổi của môi trường kinh doanh (2).
Đến nay, việc áp dụng tiêu chuẩn ISO/IEC 27001 đã phổ biến ở hầu hết quốc gia trên thế giới. Tại Úc, Ấn Độ, Ý, Luxembourg, Mexico, Na Uy, Ba Lan…, việc áp dụng bảo mật thông tin trong các khu vực công và tư nhân là tự nguyện. Trái lại, một số quốc gia khác quy định việc sử dụng tiêu chuẩn này là bắt buộc.
Đức là quốc gia yêu cầu áp dụng tiêu chuẩn này trong lĩnh vực truyền thông và đa phương tiện và lĩnh vực năng lượng. Vương Quốc Anh khuyến nghị các quy định trong lĩnh vực năng lượng theo ISO/IEC 27001 thông qua Cơ quan thị trường Điện và Khí đốt (3). Liên minh châu Âu, Ấn Độ, Thụy Điển cũng đặt ISO/IEC 27001 là tiêu chuẩn bảo mật thông tin phải được sử dụng trong lĩnh vực tài chính (4, 5, 6). Luxembourg thiết lập ISO/IEC 27001 như một tiêu chuẩn phải sử dụng trong lĩnh vực số hóa và lưu trữ điện tử (6).
Tại Việt Nam, một số doanh nghiệp lớn đã có chứng nhận ISO/IEC 27001 như CSC Việt Nam, FPT-IS, FPT Soft, ISB Corporation Vietnam…, đây chủ yếu là các tổ chức có vốn đầu tư hoặc đối tác là khách hàng nước ngoài. Tuy nhiên, số lượng các tổ chức áp dụng tiêu chuẩn này còn ít. Nguyên nhân chủ yếu là do: i) Chi phí áp dụng ISO/IEC 27001 tốn kém hơn nhiều so với việc áp dụng ISO/IEC 9001; ii) Nhận thức về bảo mật thông tin và an ninh mạng còn chưa cao; iii) Chi phí để được cấp chứng chỉ ISO/IEC 27001 cao.
Hiện nay, theo thống kê, có 08 tổ chức đã đăng ký hoạt động chứng nhận hệ thông quản lý phù hợp tiêu chuẩn ISO/IEC 27001 tại Tổng cục Tiêu chuẩn Đo lường Chất lượng, trong đó có một số tổ chức chứng nhận đã được công nhận (ví dụ: Trung tâm Chứng nhận phù hợp (QUACERT) được công nhận bởi tổ chức chứng nhận JAS-ANZ; Công ty TNHH TUV NORD Việt Nam được công nhận bởi tổ chức chứng nhận DAkkS (Đức)).
Các tổ chức chứng nhận được công nhận sẽ là nền tảng hỗ trợ hoạt động thừa nhận lẫn nhau kết quả đánh giá sự phù hợp giữa các nước trong khu vực và quốc tế, tạo môi trường thuận lợi cho hội nhập quốc tế, nâng cao năng lực cạnh tranh và phát huy tối đa lợi ích mà ISO/IEC 27001 đem lại cho các tổ chức, doanh nghiệp.
Theo xu hướng chung của xã hội, ISO/IEC 27001 dự đoán sẽ được áp dụng rộng rãi trong nhiều lĩnh vực tại nhiều tổ chức, doanh nghiệp ở Việt Nam. Yêu cầu bảo mật thông tin trên không gian mạng, dự đoán và ứng phó các mối rủi ro về công nghệ… đòi hỏi các tổ chức, doanh nghiệp phải áp dụng ISO/IEC 27001 để tăng cường sức cạnh tranh và nâng cao sự tin tưởng của khách hàng. Đồng thời, việc các tổ chức đánh giá sự phù hợp triển khai xây dựng hệ thống tài liệu, chứng nhận các tổ chức, doanh nghiệp ISO/IEC 27001 cũng sẽ góp phần phát triển kinh tế và hội nhập với thông lệ chung của hoạt động đánh giá sự phù hợp trong khu vực và trên thế giới.
Thanh Hương – Vụ Đánh giá Hợp chuẩn và Hợp quy
TÀI LIỆU THAM KHẢO:
(1) OECD Policy Responses to Coronavirus (COVID-19) Keeping the Internet up and running in times of crisis
(2) https://www.iso.org/contents/news/2022/10/new-iso-iec-27001.html
(3) Office of Gas and Electricity Markets (OFGEM), “Industry codes and standards establish rules that govern market operation and the terms for connection and access to energy networks,” Gas and Electricity Markets Authority (GEMA), 2021. https://www.ofgem.gov.uk/energy-policy-and-regulation/industry-codes-and-standards (accessed Aug. 27, 2021)
(4) Th European Commission, Commission Delegated Regulation (EU) No 907/2014, vol. 2014, no. 907. 2014, pp. 18–58
(5) Reserve Bank of India, “Working Group on Information Security , Electronic Banking, Technology Risk Management and Cyber Frauds Report and Recommendations Reserve Bank of India,” 2011
(6) The Use of ISO/IEC 27001 Family of Standards in Regulatory Requirements in Some Countries, December 2021