Quản lý an toàn thông tin không còn là một chủ đề xa lạ đối với các doanh nghiệp từ rất nhiều năm nay. Mỗi doanh nghiệp đều có những thông tin có thể công bố ra bên ngoài, như thông tin quảng cáo sản phẩm, thông tin tuyển nhân sự, thông tin về mở thêm chi nhánh mới. Bên cạnh đó, có những thông tin cần được bảo vệ chặt chẽ nhằm tránh sự rò rỉ ra bên ngoài như thông tin khách hàng, thông tin về công thức chế biến sản phẩm, quy trình công nghệ, chiến lược kinh doanh.
[ISO 27001 phương thức chuẩn hoá hệ thống quản lý an toàn thông tin] Tài sản thông tin là một trong những tài sản quý giá nhất đối với tất cả doanh nghiệp. Nếu những thông tin này bị tiết lộ một cách bất hợp pháp ra bên ngoài sẽ gây những hậu quả nghiêm trọng như mất lòng tin của khách hàng, quy trình công nghệ và công thức sản phẩm bị đối thủ cạnh tranh nắm được, hoặc chiến lược kinh doanh bị tiết lộ cho đối thủ cạnh tranh để họ đưa ra những chiến lược đối phó kịp thời. Trong nền kinh tế thị trường hiện nay, việc quản lý an toàn thông tin một cách hiệu quả có tầm quan trọng quyết định sự sống còn của các doanh nghiệp. Doanh nghiệp phải quản lý một lượng lớn thông tin được chuyển tải qua nhiều kênh khác nhau như văn bản, internet, email. Đối với hầu hết doanh nghiệp, hệ thống CNTT là bộ não của đơn vị, nên việc đảm bảo an toàn cho hệ thống này đóng vai trò cực kỳ quan trọng trong hệ thống an toàn thông tin chung của doanh nghiệp. Tuy nhiên, một câu hỏi được đặt ra là các doanh nghiệp đã thực sự quan tâm đúng mức và đã thiết lập một hệ thống quản lý an toàn thông tin phù hợp và khoa học hay chưa? Theo nhận định của người viết thì phần lớn doanh nghiệp Việt Nam hiện chưa thực sự có một hệ thống quản lý an toàn thông tin đầy đủ và hiệu quả, việc phân loại và quản lý thông tin vẫn phụ thuộc vào kinh nghiệm chủ quan của một vài cá nhân mà chưa đưa ra những tiêu chí rõ ràng và nhất quán. Hiện nay, trên thế giới đã có nhiều hệ thống chuẩn hoá việc quản lý an toàn thông tin nhằm giúp lãnh đạo doanh nghiệp quản lý an toàn thông tin hiệu quả và nhất quán. Một trong những hệ thống tiêu chuẩn đó là hệ thống ISO 27001. Đây là bộ tiêu chuẩn quốc tế về quản lý an toàn thông tin được biên soạn bởi Tổ chức Chất lượng quốc tế (International Standardization Organization) và Hội đồng Điện tử quốc tế IEC (International Electrotechnical Commission) vào năm 2005, gọi là ISO 27001:2005. Tiêu chuẩn này đã được áp dụng rộng rãi ở nhiều nước trên thế giới và cũng đã được áp dụng thành công ở một số doanh nghiệp ở Việt Nam. Lợi ích của việc ứng dụng ISO 27001 Bảo vệ an toàn thông tin là một nhiệm vụ không thể thiếu của các doanh nghiệp trong môi trường kinh doanh hiện nay. Việc áp dụng một hệ tiêu chuẩn đã được công nhận và ứng dụng ở nhiều nơi trên thế giới như ISO 27001 sẽ đưa đến cho doanh nghiệp những lợi ích sau: Trước tiên, các tài sản thông tin của doanh nghiệp sẽ được bảo vệ. Như đã đề cập ở trên, tài sản thông tin là tài sản quan trọng nhất của doanh nghiệp. Áp dụng hệ thống quản lý an toàn thông tin chuẩn, doanh nghiệp có thể phân loại và có các ưu tiên hợp lý để bảo vệ tài sản thông tin quan trọng của mình. Thứ hai, quy trình quản lý thông tin doanh nghiệp sẽ được tối ưu hoá. Việc chuẩn hoá hệ thống thông tin sẽ tác động đến các quy trình quản lý thông tin, giúp các doanh nghiệp có được những thông lệ tối ưu để quản lý thông tin, điều này giúp họ cải tiến việc sử dụng nguồn lực quản lý thông tin. Thứ ba, việc chuẩn hoá hệ thống thông tin cũng sẽ góp phần nâng cao sự tin tưởng của khách hàng và các đối tác nói chung. Việc bảo quản thông tin khách hàng một cách có hệ thống sẽ tạo sự tin tưởng cho khách hàng khi giao dịch kinh doanh với doanh nghiệp, điều này tạo nên lợi thế lớn trong việc nâng cao vị thế và hình ảnh của doanh nghiệp. Lợi ích cuối cùng không kém phần quan trọng là nâng cao nhận thức về rủi ro thông tin cho nhân viên: tiêu chuẩn hoá hệ thống an toàn thông tin sẽ giúp doanh nghiệp có những biện pháp đào tạo, huấn luyện nhằm nâng cao nhận thức của nhân viên trong việc bảo vệ an toàn thông tin của doanh nghiệp. Một số lưu ý để áp dụng thành công ISO 27001 Trước tiên, nên ưu tiên xây dựng hệ thống quản lý an toàn thông tin gọi tắt là ISMS (Information Security Management System). Doanh nghiệp phải thiết lập, triển khai, thực hiện, giám sát và cải tiến một hệ thống ISMS cho riêng mình như là một khung quản lý đối với những rủi ro kinh doanh liên quan đến thông tin của doanh nghiệp. Việc xây dựng hệ thống quản lý an toàn thông tin bao gồm việc đưa ra chính sách an toàn thông tin, các quy trình, thủ tục quản lý thông tin, phân tích và xác định rủi ro, thiết lập các kiểm soát, quản lý tài nguyên. Nguyễn Vũ Anh Châu hiện nay công tác tại Bộ phận dịch vụ về rủi ro hệ thống công nghệ thông tin (CNTT), Công ty TNHH Ernst&Young Việt Nam. Cô có hơn 7 năm kinh nghiệm trong các lĩnh vực liên quan đến CNTT như tư vấn quản lý CNTT, kiểm toán CNTT, phát triển hệ thống CNTT, tư vấn hệ thống ERP (hệ thống quản lý nguồn lực doanh nghiệp) với các khách hàng trong nhiều lĩnh vực như ngân hàng, bảo hiểm, viễn thông, sản xuất... Nguyễn Vũ Anh Châu được ISACA (Hiệp hội Kiểm toán và quản trị hệ thống CNTT) cấp chứng chỉ kiểm toán CNTT quốc tế. Bên cạnh đó, doanh nghiệp cần đảm bảo việc kiểm soát an toàn thông tin được áp dụng dựa trên 11 nhóm kiểm soát, do tổ chức ISO nghiên cứu và đưa ra. Nó bao gồm tất cả các khía cạnh cần thiết để bảo vệ an toàn thông tin trong một tổ chức. Các doanh nghiệp có thể nghiên cứu và ứng dụng các kiểm soát này trong đơn vị mình sao cho phù hợp. Các nhóm kiểm soát này bao gồm: 1. Nhóm kiểm soát liên quan đến chính sách an toàn thông tin của toàn doanh nghiệp được đưa ra bởi lãnh đạo doanh nghiệp; 2. Nhóm kiểm soát liên quan đến tổ chức an toàn thông tin doanh nghiệp; 3. Nhóm kiểm soát liên quan đến tài sản thông tin; 4. Nhóm kiểm soát an toàn thông tin liên quan đến nhân sự và quản lý nhân sự của doanh nghiệp; 5. Nhóm kiểm soát liên quan đến an toàn vật lý và môi trường, như an ninh thiết bị, kho chứa, văn phòng…; 6. Nhóm kiểm soát liên quan đến quản lý vận hành và truyền thông; 7. Nhóm kiểm soát liên quan đến truy nhập hệ thống của người sử dụng; 8. Nhóm kiểm soát liên qua đến việc triển khai, phát triển và bảo trì hệ thống thông tin; 9. Nhóm kiểm soát liên quan đến quản lý sự cố an toàn thông tin; 10. Nhóm kiểm soát liên quan đến kế hoạch hoạt động kinh doanh liên tục: các kiểm soát này liên quan đến việc thiết lập những dự phòng trong trường hợp xảy ra thảm hoạ làm cho hệ thống thông tin ngưng hoạt động, những quy trình dự phòng này nhằm đảm bảo việc kinh doanh vẫn tiếp tục sau khi có thảm hoạ xảy ra; 11. Tuân thủ theo các quy định: các kiểm soát đảm bảo việc tuân thủ các luật lệ và quy định của Nhà nước hoặc các tổ chức có liên quan. Tài sản thông tin là một trong những tài sản quý giá nhất đối với tất cả các doanh nghiệp với nhiệm vụ quản lý và bảo vệ tài sản thông tin phải được đặt lên hàng đầu. Do đó, các doanh nghiệp nên bắt đầu ứng dụng các chuẩn quốc tế vào đơn vị mình để hạn chế tối đa những rủi ro về an toàn thông tin. Hiện nay, ở Viêt Nam một số doanh nghiệp đã đạt chứng chỉ ISO 27001 như FPT IS và FCG, nhiều công ty cũng đang trong quá trình nghiên cứu và tìm hiểu để ứng dụng tiêu chuẩn này. Khi nghiên cứu và ứng dụng những tiêu chuẩn của ISO 27001, các doanh nghiệp nên tham khảo các nhà tư vấn hoặc chuyên gia có kinh nghiệm, nhằm đảm bảo việc ứng dụng một cách đúng đắn và đạt hiệu quả như mong muốn.
Blogger Comment
Facebook Comment