: (024) 36 419 788  |   : hoaqmthcm@gmail.com

Phát triển tiêu chuẩn ISO/IEC 27001: Giải pháp cho bảo mật CNTT hiện nay

Chúng ta đang sống trong một thời đại mới, thời đại phát triển rực rỡ của CNTT.CNTT đã ở một bước phát triển cao đó là số hóa tất cả các dữ liệu thông tin, luân chuyển mạnh mẽ và kết nối tất cả chúng ta lại với nhau. Mọi loại thông tin, số liệu âm thanh, hình ảnh có thể được đưa về dạng kỹ thuật số để bất kỳ máy tính nào cũng có thể lưu trữ, xử lý và chuyển tiếp cho nhiều người. Những công cụ và sự kết nối của thời đại kỹ thuật số cho phép chúng ta dễ dàng thu thập, chia sẻ thông tin và hành động trên cơ sở những thông tin này theo phương thức hoàn toàn mới, kéo theo hàng loạt sự thay đổi về các quan niệm, các tập tục, các thói quen truyền thống, và thậm chí cả cách nhìn các giá trị trong cuộc sống. CNTT đến với từng người dân, từng người quản lý, nhà khoa học, người nông dân, bà nội trợ, học sinh tiểu học….Không có lĩnh vực nào, không có nơi nào không có mặt của CNTT. Vì vậy CNTT cũng như công nghệ Internet of Thinhs(IOT) đã trở thành một phần của cuộc sống. Mặc dù các trợ lí ảo thông minh này đang được phát triển trên thị trường với số lượng lớn thì thực tế chứng minh rằng các sản phẩm thông minh này thường tồn tại nhiều lỗ hổng bảo mật.

       Theo khảo sát thực tế của các chuyên gia nghiên cứu lĩnh vực CNTT (tờ Forbes Online)  Ước tính rằng thiệt hại hàng năm do tội phạm mạng mang tới có thế tăng lên 2 nghìn tỷ USD  trong năm tới.Sự hấp dẫn của tội phạm CNTT đối với tin tặc hình sự là rõ ràng: mạng lưới tương tác phức tạp, hình phạt tương đối thấp và các khoản thanh toán khổng lồ. Chính vì vậy, sự ra đời của tiêu chuẩn ISO/IEC 27001 cho hệ thống quản lí thông tin (ISMS) là vô cùng cần thiết.

       Đây được coi là bước tiến mới trong việc giúp xác định các rủi ro tiềm ẩn đối với dữ liệu cũng như được coi là bộ công cụ và phương pháp hoàn chỉnh để quản lý bảo mật dữ liệu – tiêu chuẩn ISO / IEC 27000 được công bố lần đầu tiên cách đây hơn 20 năm. Được phát triển bởi tiểu ban ISO / IEC JTC 1, ủy ban kỹ thuật chung giữa tổ chức tiêu chuẩn hóa ISO và Ủy ban kỹ thuật điện quốc tế (IEC) với mục tiêu cung cấp một điểm tiêu chuẩn hóa chính thức trong công nghệ thông tin, nó đã được cập nhật và mở rộng liên tục để bao gồm hơn 40 Tiêu chuẩn Quốc tế bao gồm các thuật ngữ, từ vựng đã được chia sẻ trong ISO / IEC 27000, quản lý rủi ro (ISO / IEC 27005), bảo mật điện toán đám mây (ISO / IEC 27017 và ISO / IEC 27018) đến các kỹ thuật pháp y được sử dụng để phân tích bằng chứng kỹ thuật số và điều tra sự cố (ISO / IEC 27042 và ISO / IEC 27043 tương ứng).

        Những tiêu chuẩn này không chỉ giúp quản lý an ninh thông tin mà còn giúp xác định và đưa tội phạm ra công lý. Ví dụ, ISO / IEC 27043 cung cấp các hướng dẫn mô tả các quy trình và nguyên tắc áp dụng cho các loại điều tra khác nhau, bao gồm, nhưng không giới hạn, truy cập trái phép, hỏng dữ liệu, sự cố hệ thống hoặc vi phạm bảo mật thông tin của công ty, cũng như mọi kỹ thuật số khác cần thiết trong cuộc điều tra.

Là lĩnh vực đi đầu trong phát triển tiêu chuẩn

        Để giúp cho hệ thống tiêu chuẩn này luôn đáp ứng được yêu cầu của các doanh nghiệp lớn cũng như các doanh nghiệp vừa và nhỏ,đó là nhờ sự nỗ lực không ngừng nghỉ của tiểu ban ISO / IEC JTC 1, SC 27 về các kỹ thuật bảo mật CNTT. Phần lớn với vào sự đóng góp của những chuyên gia hàng đầu như Giáo sư Edward Humphreys, người chủ trì nhóm làm việc chịu trách nhiệm phát triển tiêu chuẩn ISO/IEC 27001 cho hệ thống quản lí thông tin (ISMS), đây vẫn là một trong những công cụ quản lý rủi ro hiệu quả nhất để chống lại hàng tỷ vụ tấn công xảy ra mỗi năm. Giáo sư Humphreys cho biết ISO / IEC 27001 là một tiêu chuẩn được cải tiến liên tục, có nghĩa là quy trình quản lý rủi ro tích hợp cho phép các doanh nghiệp luôn được cập nhật kịp thời trong cuộc chiến chống tội phạm CNTT.

        Theo giáo sư Humphreys, khía cạnh cải tiến liên tục của ISO / IEC 27001 có nghĩa là một tổ chức có thể đánh giá rủi ro của mình, thực hiện các biện pháp kiểm soát để giảm thiểu những rủi ro này, sau đó theo dõi và xem xét các rủi ro và kiểm soát cũng như cải thiện khả năng bảo vệ an toàn CNTT khi cần thiết. Theo cách đó, tiêu chuẩn này luôn luôn sẵn sàng cho các cuộc tấn công an ninh mạng.  Nếu được sử dụng đúng cách, ISMS còn cho phép các tổ chức này ứng phó kịp thời với môi trường rủi ro phát triển mà Internet và không gian mạng hiện diện.

Cơ hội và Thách thức

        Giáo sư Humphreys khẳng định rằng ISMS có thể áp dụng cho tất cả các loại hình tổ chức và tất cả các loại hình hoạt động kinh doanh, bao gồm cả các loại hình doanh nghiệp vừa và nhỏ. Nhiều doanh nghiệp vừa và nhỏ là một phần của chuỗi cung ứng, do đó, điều cần thiết là họ phải kiểm soát và quản lý, bảo mật thông tin và rủi ro không gian mạng của họ để bảo vệ chính công ty, tổ chức cũng như các khách hàng của họ. Giáo sư Humphreys giải thích rằng nghĩa vụ của một doanh nghiệp thường được xác định trong thảo thuận cấp dịch vụ (SLA), hợp đồng giữa các đối tác của chuỗi cung ứng chi tiết các nghĩa vụ và yêu cầu dịch vụ và thiết lập trách nhiệm pháp lý, và ISMS là một phần không thể thiếu của các thỏa thuận đó.

        Sự phát triển kinh tế và xã hội nhanh chóng đem lại nhiều cơ hội cũng như nhiều thách thức lớn.CNTT mang lại sự tiếp cận toàn cầu với số lượng ngày càng tăng của các cá nhân và cộng đồng. Tuy nhiên, giáo sư Humphreys cũng lưu ý rằng một cuộc tấn công mạng vào một phần của chuỗi cung ứng có thể phá vỡ cấu trúc toàn bộ chuỗi, và các tác động có thể vượt ra ngoài doanh nghiệp của họ hoặc thậm chí ảnh hưởng lên chính khách hàng trực tiếp của họ.

        Thời gian gần đây, tiểu ban SC 27 đã bắt tay vào sự phát triển tiêu chuẩn mới – ISO / IEC 27552 – tiếp tục mở rộng ISO / IEC 27001 để giải quyết các nhu cầu cụ thể về quyền riêng tư. Hiện tại tiêu chuẩn này đang trong giai đoạn dự thảo, tài liệu chỉ định các yêu cầu và cung cấp hướng dẫn để thiết lập, thực hiện , duy trì và liên tục cải thiện quản lý quyền riêng tư trong bối cảnh của tổ chức.Do đó, vai trò của hệ thống tiêu chuẩn ISO / IEC 27000 trong việc bảo mật CNTT là vô cùng thiết yếu, không chỉ đối với nhiều tổ chức, doanh nghiệp mà còn đối với nhiều gia đình hiện nay.

 

"Trich nguồn: TCTCĐLCL"


Các bài viết khác

KHÁCH HÀNG