Phát triển tiêu chuẩn ISO/IEC 27001: Giải pháp cho bảo mật CNTT hiện nay

Người viết: admin - Ngày viết: Monday, Mar 25, 2019 | 14:38 - Lượt xem: 303

Hiện nay, CNTT cũng như công nghệ Internet of Things (IoT) đã trở thành một phần của cuộc sống. Mặc dù các trợ lí ảo thông minh này đang được phát triển trên thị trường với số lượng lớn thì thực tế chứng minh rằng các sản phẩm thông minh này thường tồn tại nhiều lỗ hổng bảo mật.

Theo các chuyên gia trong lĩnh vực CNTT (tờ Forbes Online) thì ước tính rằng thiệt hại hàng năm tới từ tội phạm mạng có thể tăng lên 2 nghìn tỷ USD trong năm tới. Sự hấp dẫn của tội phạm CNTT đối với tin tặc hình sự là rõ ràng: mạng lưới tương tác phức tạp, hình phạt tương đối thấp và các khoản thanh toán khổng lồ. Chính vì vậy, sự ra đời của tiêu chuẩn ISO/IEC 27001 cho hệ thống quản lí thông tin (ISMS) là vô cùng cần thiết.

Được coi là lá cờ tiên phong trong việc giúp xác định các rủi ro tiềm ẩn đối với dữ liệu cũng như được coi là bộ công cụ và phương pháp hoàn chỉnh để quản lý bảo mật dữ liệu – tiêu chuẩn ISO / IEC 27000 được công bố lần đầu tiên cách đây hơn 20 năm. Được phát triển bởi tiểu ban ISO / IEC JTC 1, ủy ban kỹ thuật chung giữa tổ chức tiêu chuẩn hóa ISO và Ủy ban kỹ thuật điện quốc tế (IEC) với mục tiêu cung cấp một điểm tiêu chuẩn hóa chính thức trong công nghệ thông tin, nó đã được cập nhật và mở rộng liên tục để bao gồm hơn 40 Tiêu chuẩn Quốc tế bao gồm các thuật ngữ, từ vựng đã được chia sẻ trong ISO / IEC 27000, quản lý rủi ro (ISO / IEC 27005), bảo mật điện toán đám mây (ISO / IEC 27017 và ISO / IEC 27018) đến các kỹ thuật pháp y được sử dụng để phân tích bằng chứng kỹ thuật số và điều tra sự cố (ISO / IEC 27042 và ISO / IEC 27043 tương ứng).

Những tiêu chuẩn này không chỉ giúp quản lý an ninh thông tin mà còn giúp xác định và đưa tội phạm ra công lý. Ví dụ, ISO / IEC 27043 cung cấp các hướng dẫn mô tả các quy trình và nguyên tắc áp dụng cho các loại điều tra khác nhau, bao gồm, nhưng không giới hạn, truy cập trái phép, hỏng dữ liệu, sự cố hệ thống hoặc vi phạm bảo mật thông tin của công ty, cũng như mọi kỹ thuật số khác cần thiết trong cuộc điều tra.

Luôn đi đầu trong lĩnh vực phát triển tiêu chuẩn

Để giúp cho hệ thống tiêu chuẩn này luôn đáp ứng được yêu cầu của các doanh nghiệp lớn cũng như các doanh nghiệp vừa và nhỏ,đó là nhờ sự nỗ lực không ngừng nghỉ của tiểu ban ISO / IEC JTC 1, SC 27 về các kỹ thuật bảo mật CNTT. Phần lớn với vào sự đóng góp của những chuyên gia hàng đầu như Giáo sư Edward Humphreys, người chủ trì nhóm làm việc chịu trách nhiệm phát triển tiêu chuẩn ISO/IEC 27001 cho hệ thống quản lí thông tin (ISMS), đây vẫn là một trong những công cụ quản lý rủi ro hiệu quả nhất để chống lại hàng tỷ vụ tấn công xảy ra mỗi năm. Giáo sư Humphreys cho biết ISO / IEC 27001 là một tiêu chuẩn được cải tiến liên tục, có nghĩa là quy trình quản lý rủi ro tích hợp cho phép các doanh nghiệp luôn được cập nhật kịp thời trong cuộc chiến chống tội phạm CNTT.

Theo giáo sư Humphreys, khía cạnh cải tiến liên tục của ISO / IEC 27001 có nghĩa là một tổ chức có thể đánh giá rủi ro của mình, thực hiện các biện pháp kiểm soát để giảm thiểu những rủi ro này, sau đó theo dõi và xem xét các rủi ro và kiểm soát cũng như cải thiện khả năng bảo vệ an toàn CNTT khi cần thiết. Theo cách đó, tiêu chuẩn này luôn luôn sẵn sàng cho các cuộc tấn công an ninh mạng.  Nếu được sử dụng đúng cách, ISMS còn cho phép các tổ chức này ứng phó kịp thời với môi trường rủi ro phát triển mà Internet và không gian mạng hiện diện.

Cơ hội và Thách thức

Giáo sư Humphreys khẳng định rằng ISMS có thể áp dụng cho tất cả các loại hình tổ chức và tất cả các loại hình hoạt động kinh doanh, bao gồm cả các loại hình doanh nghiệp vừa và nhỏ. Nhiều doanh nghiệp vừa và nhỏ là một phần của chuỗi cung ứng, do đó, điều cần thiết là họ phải kiểm soát và quản lý, bảo mật thông tin và rủi ro không gian mạng của họ để bảo vệ chính công ty, tổ chức cũng như các khách hàng của họ. Giáo sư Humphreys giải thích rằng nghĩa vụ của một doanh nghiệp thường được xác định trong thảo thuận cấp dịch vụ (SLA), hợp đồng giữa các đối tác của chuỗi cung ứng chi tiết các nghĩa vụ và yêu cầu dịch vụ và thiết lập trách nhiệm pháp lý, và ISMS là một phần không thể thiếu của các thỏa thuận đó.

Sự phát triển kinh tế và xã hội nhanh chóng đem lại nhiều cơ hội cũng như nhiều thách thức lớn.CNTT mang lại sự tiếp cận toàn cầu với số lượng ngày càng tăng của các cá nhân và cộng đồng. Tuy nhiên, giáo sư Humphreys cũng lưu ý rằng một cuộc tấn công mạng vào một phần của chuỗi cung ứng có thể phá vỡ cấu trúc toàn bộ chuỗi, và các tác động có thể vượt ra ngoài doanh nghiệp của họ hoặc thậm chí ảnh hưởng lên chính khách hàng trực tiếp của họ.

Thời gian gần đây, tiểu ban SC 27 đã bắt tay vào sự phát triển tiêu chuẩn mới – ISO / IEC 27552 – tiếp tục mở rộng ISO / IEC 27001 để giải quyết các nhu cầu cụ thể về quyền riêng tư. Hiện tại tiêu chuẩn này đang trong giai đoạn dự thảo, tài liệu chỉ định các yêu cầu và cung cấp hướng dẫn để thiết lập, thực hiện , duy trì và liên tục cải thiện quản lý quyền riêng tư trong bối cảnh của tổ chức.Do đó, vai trò của hệ thống tiêu chuẩn ISO / IEC 27000 trong việc bảo mật CNTT là vô cùng thiết yếu, không chỉ đối với nhiều tổ chức, doanh nghiệp mà còn đối với nhiều gia đình hiện nay.

Để biết thêm thông tin chi tiết về bộ Tiêu chuẩn ISO/IEC 27001 , vui lòng liên hệ trực tiếp với Trung tâm Thông tin (ĐT 024 37562608, email: tttt@tcvn.gov.vn).

(Nguồn: Biên dịch theo https://www.iso.org/news/ref2360.html)