ISMS (ISO 27001) là gì? Những điều cần biết về ISMS (ISO 27001)

 

“Hệ thống thông tin” là một phần thiết yếu trong hoạt động của doanh nghiệp. Tuy nhiên, các tổ chức và doanh nghiệp ngày nay đã phải chịu đựng những rủi ro lớn để đổi lấy sự tiện lợi từ hệ thống thông tin. Bởi vậy, an toàn thông tin là một trong những mối quan tâm hàng đầu với tổ chức, doanh nghiệp trong thời kỳ chuyển đổi số. Trong bài viết này, 3AC sẽ chia sẻ những điều cần biết về hệ thống quản lý an toàn thông tin ISMS (ISO 27001).

 

 

1. ISMS là gì?

ISMS là từ viết tắt của cụm từ Information Security Management System – hệ thống quản lý an toàn thông tin.
Đây là hệ thống giúp doanh nghiệp thực hiện các biện pháp an toàn thông tin và giảm thiểu rủi ro (sự cố) do rò rỉ thông tin.

 

2. ISO 27001 là gì?

ISO 27001 là tiêu chuẩn ISO dành cho hệ thống quản lý an toàn thông tin (ISMS) để bảo vệ và sử dụng hiệu quả thông tin trong tổ chức.

Đây là một tiêu chuẩn được áp dụng bởi nhiều tổ chức trong ngành thông tin và truyền thông, chẳng hạn như phát triển hệ thống và CNTT.
Bên cạnh đó, ISO 27001 còn cung cấp “khuôn khổ cho tổ chức để quản lý tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin và sử dụng thông tin một cách hiệu quả”.

Có thể bạn đã từng nhìn thấy ký hiệu “ISO/IEC 27001:2013”, ký hiệu này có cùng ý nghĩa với ISO 27001, được xuất bản dưới sự hợp tác của Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC) được sửa đổi vào năm 2013. Nó đề cập đến các tiêu chuẩn bảo mật thông tin đã được thiết lập.

 

3. ISMS và ISO 27001 là một?

ISMS là viết tắt của Information Security Management System, vì vậy nó là một “hệ thống”.
Mặt khác, ISO 27001 là một “tiêu chuẩn” cho các hệ thống quản lý bảo mật thông tin.

Do đó, nói đúng ra, nó không có nghĩa giống nhau.

Tuy nhiên, nhiều người gọi “ISO27001” là “ISMS” và nó được sử dụng với ý nghĩa gần như nhau.

 

4. Tam giác bảo mật CIA là gì?

Mục đích của ISMS (ISO 27001) là đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin trong một tổ chức, hay còn được gọi là tam giác bảo mật CIA.

① Tính bí mật (Confidentiality): Ngăn chặn rò rỉ thông tin.
② Tính toàn vẹn (Integrity): Ngăn chặn thông tin bị làm sai lệch.
③ Tính sẵn sàng (Availability): Cung cấp thông tin khi cần.

Như vậy, tam giác CIA là viết tắt của Confidentiality, Integrity và Availability.

Cụ thể:

① Tính bí mật

Là trạng thái thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép trong tổ chức.
Nói cách khác, nó ngăn chặn những người không được cấp phép truy cập thông tin.
Tính bí mật yêu cầu phải thiết lập ID và mật khẩu để chỉ những người được ủy quyền truy cập thông tin mới được truy cập thông tin, đồng thời cài đặt tường lửa ngăn chặn truy cập trái phép vào công ty để đảm bảo tính bảo mật.

② Tính toàn vẹn

Đảm bảo thông tin không bị xóa hoặc làm sai lệch.
Ví dụ, hệ thống chữ ký điện tử trên tài liệu và hệ thống ngăn chặn giả mạo cơ sở dữ liệu trên các trang web giúp đảm bảo tính toàn vẹn.

③ Tính sẵn sàng

Tính sẵn sàng là trạng thái hệ thống và thông tin có thể được sử dụng bất cứ khi nào.
Trong trường hợp xảy ra sự cố, sao lưu dữ liệu là bước đầu tiên để có thể phục hồi nhanh chóng.
Ngoài ra, xây dựng BCP (Lập kế hoạch đảm bảo kinh doanh liên tục) và thực hiện các biện pháp đảm bảo hệ thống thông tin có thể sử dụng liên tục ngay cả khi xảy ra thảm họa như động đất cũng là một biện pháp đảm bảo tính sẵn sàng.

 

5. Ưu điểm và nhược điểm của chứng nhận ISMS (ISO 27001)

ISMS (ISO 27001) có những ưu điểm và nhược điểm như dưới đây:

 

(1) Ưu điểm

① Có được sự tin tưởng từ khách hàng và đối tác

Được chứng nhận bởi bên thứ ba là Tổ chức chứng nhận sẽ giúp doanh nghiệp lấy được lòng tin của khách hàng và đối tác kinh doanh dễ dàng hơn và trong một số trường hợp, doanh nghiệp có thể mở rộng hoạt động kinh doanh của mình.

② Quy trình và quy định xử lý thông tin được xác định rõ ràng hơn

Chứng nhận hay tái chứng nhận ISMS (ISO 27001) là cơ hội để doanh nghiệp đánh giá sự đầy đủ và sự phù hợp của các quy định về an toàn thông tin.

③ Vai trò và trách nhiệm được phân công rõ ràng hơn

Chứng nhận ISMS (ISO 27001) là cơ hội để xem xét lại vai trò và trách nhiệm đã được phân công bằng “một cách nào đó” cho đến nay.

 

(2) Nhược điểm

① Khối lượng công việc tăng

Để được tổ chức chứng nhận đánh giá, doanh nghiệp cần phải có hệ thống hồ sơ xác nhận việc thực hiện ISMS (ISO 27001).

② Có thêm nhiều quy định và thủ tục cần tuân thủ

Đây là phần khó nhất trong việc xây dựng ISMS (ISO 27001).
Để đảm bảo an toàn thông tin, nhân viên của bạn sẽ mất thêm nhiều thời gian và công sức hơn, và công việc có thể trở nên nhàm chán,…
Nếu hệ thống doanh nghiệp bạn xây dựng làm cho việc thực hiện công việc hàng ngày trở nên khó khăn, thì đó là sự đảo ngược đáng tiếc, nó chẳng khác nào việc “đặt xe trước ngựa”, vì vậy việc xác định các quy tắc và thủ tục phù hợp với tình hình thực tế là vô cùng quan trọng.

③ Phát sinh chi phí đánh giá

Để được cấp chứng chỉ ISMS (ISO 27001) doanh nghiệp cần chi trả chi phí đánh giá cho Tổ chức chứng nhận, và để duy trì chứng nhận Tổ chức chứng nhận sẽ đánh giá giám sát định kỳ hàng năm cho nên sẽ phát sinh thêm chi phí đánh giá hàng năm.

 

6. Quy trình chứng nhận ISMS (ISO 27001)

Thời gian từ lúc bắt đầu triển khai xây dựng cho đến khi hoàn tất chứng nhận có thể kéo dài từ 6 tháng đến 1 năm.

Dưới đây là quy trình chứng nhận ISMS (ISO 27001) :

Lập kế hoạch
↓
Xây dựng hệ thống quản lý an toàn thông tin
↓
Vận hành (thực hiện) ISO 27001
↓
Đánh giá (Đánh giá giai đoạn 1→Đánh giá giai đoạn 2→Hội đồng xét duyệt)
↓
Hoàn tất chứng nhận

 

7. Chi phí để được cấp chứng chỉ ISMS (ISO 27001)

Trường hợp doanh nghiệp tự thực hiện bằng chính nguồn lực sẵn có của mình thì chỉ phát sinh chi phí đánh giá (chi phí chứng nhận) (có thể có thêm chi phí nhân công cho nhân viên ISO).

Trường hợp doanh nghiệp thuê đơn vị tư vấn thì đó sẽ là chi phí đánh giá + chi phí tư vấn.

Chi phí đánh giá sẽ thay đổi tùy mỗi Tổ chức chứng nhận. Chi phí này cũng sẽ thay đổi tùy số lượng nhân viên, số cơ sở kinh doanh, ngành nghề, v.v.. Vì vậy, bạn nên xin báo giá của 1 vài tổ chức chứng nhận để tìm cho mình 1 tổ chức phù hợp nhất nhé.

Ngoài ra, tôi cũng thường xuyên được hỏi về các trang thiết bị cần thiết để đạt được chứng nhận ISMS (ISO 27001), nhưng thực tế không có trang thiết bị nào thực sự cần thiết cho việc chứng nhận ISMS (ISO 27001).
ISMS (ISO 27001) không yêu cầu phải có các máy chủ cao cấp hoặc các thiết bị kiểm soát truy cập phiên bản mới nhất.

 

8. Đánh giá ISMS (ISO 27001)

Để được cấp chứng nhận ISMS (ISO 27001), doanh nghiệp phải trải qua 2 giai đoạn đánh giá và phải đạt yêu cầu đánh giá.

Đánh giá giai đoạn 1 kiểm tra tài liệu và hồ sơ; đánh giá giai đoạn 2 xem xét toàn bộ việc thực hiện thực tế từ lập kế hoạch đến cải tiến theo chu trình PDCA.

 

9. Thời hạn hiệu lực của ISMS (ISO 27001)

Thời hạn hiệu lực của ISMS (ISO 27001) là 3 năm. Sau khi đạt được chứng nhận mà doanh nghiệp không thực hiện duy trì và cải tiến hệ thống thì chứng nhận sẽ bị mất hiệu lực.
Và để duy trì ISMS (ISO 27001), doanh nghiệp sẽ phải trải qua các cuộc đánh giá định kỳ hàng năm. Đó là đánh giá giám sát và đánh giá tái chứng nhận.

 

10. Duy trì ISMS (ISO 27001) sau chứng nhận

Sau khi được cấp chứng chỉ ISMS (ISO 27001) có thể bạn sẽ có cảm giác mãn nguyện và muốn nghỉ ngơi. Song, chứng chỉ ISMS (ISO 27001) không phải là đích đến cuối cùng trên hành trình thực hiện hệ thống quản lý an toàn thông tin!
Doanh nghiệp phải thực hiện duy trì các công việc định kỳ, vận hành theo các yêu cầu và chuẩn bị cho đợt đánh giá tiếp theo.

Bên cạnh đó, nội dung tiêu chuẩn ISO 27001 sẽ thay đổi theo thời đại, cho nên bạn cũng cần phải cập nhật những thông tin mới nhất về ISO 27001.
Việc sửa đổi tiêu chuẩn sẽ diễn ra 5~10 năm 1 lần. Bạn cần nắm được nội dung thay đổi trước và sau khi tiêu chuẩn được sửa đổi, đồng thời tiến hành xem xét và sửa đổi các quy định và cách thức thực hiện của hệ thống quản lý của công ty mình nếu cần.

 

11. Cách tra cứu doanh nghiệp đã có chứng chỉ ISMS (ISO 27001)

Tiếp theo, 3AC sẽ giới thiệu cách tra cứu để biết liệu một công ty đã có chứng chỉ ISMS (ISO 27001) hay chưa.

Nhiều công ty đã có chứng chỉ ISMS (ISO 27001) sẽ in logo và dấu chứng nhận ISMS (ISO 27001) trên danh thiếp hoặc hồ sơ công ty, vì vậy bạn có thể xác nhận thông qua danh thiếp hoặc hồ sơ công ty.

Ngoài ra, bạn cũng có thể kiểm tra trang web của công ty đó.
Thông thường các công ty đã có chứng chỉ ISMS (ISO 27001) sẽ đăng nội dung liên quan về việc được cấp chứng chỉ tại Trang chủ, trang Giới thiệu hoặc Chính sách an toàn và bảo mật.

Như bạn có thể thấy, có sự khác biệt giữa số lượng công ty đăng ký chứng nhận và số lượng công ty tiết lộ thông tin. Nói cách khác, chỉ vì công ty đó không công khai thông tin không có nghĩa là công ty đó chưa được cấp chứng chỉ ISMS (ISO 27001). Tất cả những cách trên chỉ mang tính chất tham khảo.