Hiện nay, vấn đề bảo mật thông tin là điều tối quan trọng trong mỗi doanh nghiệp, đặc biệt là lĩnh vực viễn thông, tài chính ngân hàng. Tuy nhiên, các doanh nghiệp Việt Nam hiện đang lúng túng với các khái niệm ISMS đó? Họ đóng vai trò gì trong hệ thống ISO 27001? KNA Tôi muốn chia sẻ bài viết này với mục đích cung cấp cho bạn thông tin về Hệ thống quản lý an toàn thông tin ISMS.
ISMS là gì?
ISMS là từ viết tắt của hệ thống quản lý bảo mật thông tin. Đây là một hệ thống quản lý an ninh thông tin. ISMS là khái niệm được sử dụng rộng rãi trong các doanh nghiệp, đơn vị công nghệ thông tin ứng dụng hệ thống CNTT vào quản lý sản xuất.
Hệ thống quản lý bảo mật thông tin là gì?
Hệ thống quản lý an toàn thông tin hay hệ thống quản lý an ninh thông tin là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong doanh nghiệp để xây dựng, vận hành, triển khai, rà soát, duy trì và cải thiện an toàn thông tin.
Một số khái niệm trong hệ thống an toàn thông tin mà bạn cần lưu ý:
- Bảo mật thông tin là gì?
Theo định nghĩa trong nhóm Tiêu chuẩn ISO27001 An toàn thông tin liên quan đến các tính năng như tính khả dụng, tính bảo mật và tính toàn vẹn của thông tin. Ngoài ra, an toàn thông tin còn bao gồm các tính chất khác như tính trách nhiệm, tính xác thực, độ tin cậy và tính xác nhận.
Tính bảo mật là một trong những thuộc tính của ISMS có thể truy cập và sử dụng thông tin của các đối tượng được xác thực.
Thuộc tính đầy đủ và chính xác cho tính toàn vẹn của thông tin.
Một trong những đặc điểm của bảo mật thông tin là tính sẵn sàng. Tính khả dụng được hiểu là có thể truy cập và sử dụng được theo nhu cầu của đối tượng được cấp quyền.
Các lĩnh vực của Hệ thống bảo mật thông tin phải có:
Bạn có biết ISMS là gì không? Dưới đây bạn sẽ biết những lĩnh vực mà một Hệ thống An ninh Thông tin phải có:
Chính sách bảo mật cung cấp các hướng dẫn để hỗ trợ và quản lý bảo mật thông tin.
Tổ chức bảo mật trong hệ thống ISMS có vai trò duy trì bảo mật, quản lý bảo mật thông tin trong Doanh nghiệp và các quy trình hỗ trợ thông tin, tài sản thông tin khác do bên thứ ba truy cập.
- Phân loại và kiểm soát tài sản
Việc phân loại và kiểm soát tài sản là rất quan trọng. Hệ thống ISMS phải đảm bảo và duy trì tài sản của Doanh nghiệp ở mức phù hợp.
Hệ thống ISO 27001 liên quan đến an toàn nhân sự. Đây là điều cần làm để giảm nguy cơ trộm cắp, gian lận và lạm dụng hoặc lỗi của con người. Chúng nhằm giúp thông báo cho người dùng về các mối đe dọa bảo mật thông tin có liên quan. Giảm thiểu các bất thường cũng như trục trặc bảo mật và giúp kiểm soát các bất thường phát sinh.
- An ninh môi trường và vật chất
Điều cực kỳ quan trọng là ngăn chặn truy cập vật lý trái phép, can thiệp và phá hủy tài nguyên thông tin của doanh nghiệp. Trường này cũng giúp hạn chế việc phá hoại, thất thoát hoặc tấn công làm mất thông tin doanh nghiệp. Ngăn chặn hành vi đánh cắp thông tin hoặc tấn công từ bên ngoài và xây dựng quy trình hỗ trợ xử lý thông tin.
- Quản lý vận hành và truyền thông
Nó hỗ trợ xử lý thông tin chính xác, đảm bảo các chức năng an toàn, bảo vệ tính toàn vẹn của phần mềm và giảm nguy cơ lỗi hệ thống. Việc duy trì tính sẵn sàng và toàn vẹn của các dịch vụ xử lý thông tin và truyền thông giúp bảo vệ cơ sở hạ tầng hỗ trợ, đảm bảo an toàn thông tin trong hệ thống mạng và ngăn ngừa tình trạng phá hoại tài sản, gián đoạn hoạt động kinh doanh.
Truy cập, dù là vật lý hay trực tuyến, nên được kiểm soát chặt chẽ. Điều này giúp ngăn chặn truy cập trái phép và đảm bảo rằng các quyền truy cập đến từ các hệ thống thông tin được cấp phép tốt hơn, có nguồn lực và được duy trì tốt hơn. Bảo vệ các dịch vụ mạng, đảm bảo an toàn thông tin khi sử dụng điện thoại di động và máy tính.
- Bảo trì và phát triển hệ thống
Điều rất quan trọng là phải luôn đảm bảo và duy trì hoạt động bình thường của hệ thống an toàn thông tin. ISMS đã mô tả quy định, ngăn chặn, lạm dụng dữ liệu người dùng trong hệ thống ứng dụng giúp đảm bảo tính xác thực, độ tin cậy hoặc tính toàn vẹn của thông tin.
- Quản lý kinh doanh liên tục
Bảo vệ các quy trình kinh doanh quan trọng khỏi các mối đe dọa hoặc lỗi và khỏi sự gián đoạn kinh doanh.
Tuân thủ các quy định, pháp luật, nghĩa vụ hợp đồng, tránh vi phạm tất cả các luật dân sự và hình sự. Đảm bảo hệ thống tuân thủ các chính sách và tiêu chuẩn bảo mật. Giảm thiểu các rào cản đối với việc đánh giá hệ thống và tối đa hóa hiệu quả.
Trình tự thiết lập, vận hành, rà soát, bảo trì, nâng cấp ISMS – một số kinh nghiệm
Hiện nay ở Việt Nam việc áp dụng hệ thống ISMS cũng như hệ thống ISO 27001 đang được sử dụng ngày càng nhiều. KNA Tôi xin chia sẻ một số kinh nghiệm thu được trong quá trình triển khai các giai đoạn cấu hình ISMS.
Điều quan trọng là cam kết xây dựng thành công ISMS. Đại diện lãnh đạo An toàn thông tin (Cục trưởng An toàn thông tin) là lãnh đạo cao nhất của Tổ chức. Điều này rất cần thiết cho sự thành công của ISMS và là minh chứng cho khách hàng và các bên liên quan về việc đáp ứng các cam kết của Tổ chức về thiết lập, duy trì, xem xét và cải tiến ISMS.
Xác định phạm vi, giới hạn áp dụng ISMS: Đây là công việc đầu tiên trong quá trình xây dựng ISMS. Tùy theo quy mô, mức độ phức tạp của hoạt động sản xuất kinh doanh, cung cấp dịch vụ mà Tổ chức xác định phạm vi áp dụng, số lượng nơi áp dụng cũng như hướng dẫn triển khai ứng dụng ISMS theo các yêu cầu cơ bản sau:
– Phù hợp với các yêu cầu chế định và pháp luật, yêu cầu của khách hàng về kiểm soát an ninh thông tin.
– Phù hợp với đặc điểm nguồn nhân lực và tiềm lực tài chính.
– Thực hiện các cam kết của Tổ chức với các bên quan tâm.
Xây dựng chính sách ISMS là bước đầu tiên của hệ thống an toàn thông tin trong doanh nghiệp. Chính sách bảo mật thông tin là một tài liệu thể hiện cam kết lâu dài của tổ chức đối với việc triển khai và duy trì ISMS cho các bên liên quan. Các chính sách bảo mật thông tin này được triển khai dần dần thông qua việc thực hiện các mục tiêu kiểm soát của Tổ chức và các hoạt động kiểm soát ISMS.
- Triển khai và triển khai ISMS
Để hệ thống ISMS hoạt động tốt nhất, cần phải quan tâm đúng và đủ đến việc xác định tài sản và giá trị tài sản cũng như phân tích và định lượng rủi ro. Quản lý rủi ro đối với hệ thống tài sản của tổ chức nên là: Liệt kê tất cả các tài sản, xác định giá trị, các rủi ro hiện hữu (rủi ro sở hữu tài sản, lỗ hổng). hiệu quả của các phương pháp kiểm soát, xác định lại các rủi ro còn tồn tại theo các yêu cầu của ISO/IEC 27001:2005 là
Kinh nghiệm của những người áp dụng hiệu quả ISMS cho thấy:
– Tất cả các quy trình kiểm soát ISMS đều tuân theo mô hình PDCA. Hình 2 minh họa quy trình kiểm soát tài sản thông tin đảm bảo tính bí mật, toàn vẹn và sẵn sàng theo mô hình PDCA.
– Sử dụng các công cụ trong bộ tiêu chuẩn ISO/IEC 27000 cũng hiệu quả như áp dụng ISO/IEC 27005:2007 cho quản lý rủi ro, ISO/IEC 27004:2007 cho đo lường ISMS.
Tập trung đầu tư vào hạ tầng kỹ thuật và công nghệ để giảm thiểu rủi ro đe dọa. Ví dụ: xây dựng vành đai an ninh vật lý-môi trườnggiải pháp công nghệ bảo vệ cơ sở dữ liệu (biện pháp kiểm soát truy cập – phần mềm chống truy cập trái phép, chống truy cập từ bên ngoài, phần mềm mã hóa cơ sở dữ liệu, xác thực người dùng, chữ ký điện tử hoặc chứng thực điện tử, kiểm soát thiết bị ngoại vi…).
– Thực hiện hiệu quả các cam kết về chính sách an toàn thông tin.
Các cam kết quản lý và chính sách bảo mật thông tin của tổ chức phải được áp dụng để phát triển 11 mục tiêu kiểm soát và các biện pháp kiểm soát theo yêu cầu trong Phụ lục A của tiêu chuẩn.
Thiết lập hệ thống quy trình, hướng dẫn công việc và lưu trữ hồ sơ theo yêu cầu tiêu chuẩn. Đào tạo nguồn nhân lực để triển khai, vận hành, giám sát, đánh giá, duy trì và cải tiến ISMS. Đây là giai đoạn đòi hỏi thời gian và sự làm việc tập trung của các đơn vị, nó thể hiện trí tuệ của cả tổ chức.
Hy vọng thông qua bài viết ISMS là gì? Tìm hiểu hệ thống quản lý an toàn thông tin Cakhia TV trang web trực tiếp bóng đá miễn phí sẽ giúp ích được quý bạn đọc.
