ISO 27001, còn được gọi là ISO/IEC 27001, là một tiêu chuẩn quốc tế được công nhận rộng rãi, xác định các phương pháp thực tiễn tốt nhất để triển khai và quản lý bảo mật thông tin cho Hệ thống Quản lý an ninh thông tin hay còn gọi là ISMS.
Tiêu chuẩn này dựa trên nguyên tắc quản lý rủi ro đã được công bố bởi ủy ban kỹ thuật chung gồm Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC) vào năm 2005 và đã được sửa đổi từ đó, bao gồm sửa đổi vào năm 2013 và mới nhất là năm 2022. Phiên bản này, được phát hành vào tháng 10, được biết đến với tên ISO 27001:2022.
Hãy cùng Mi2 JSC tìm hiểu bài viết dưới đây để hiểu biết đầy đủ thông tin cần biết về ISO 27001.
ISO 27001 dành cho ai?
Mặc dù tiêu chuẩn này không bắt buộc, nhưng nó được xem là phương pháp tốt nhất cho bất kỳ tổ chức nào mong muốn bảo vệ dữ liệu quan trọng của mình và tuân thủ các luật và quy định bảo vệ dữ liệu đang thay đổi nhanh chóng. Tiêu chuẩn này được chấp nhận rộng rãi; nó được sử dụng trên toàn cầu và chứng nhận được chấp nhận ở 168 quốc gia trên toàn thế giới. Đặc biệt, tiêu chuẩn ISO 27001 thích hợp với các công ty, doanh nghiệp, tổ chức mà việc bảo mật thông tin là rất quan trọng; như các tổ chức hoạt động trong lĩnh vực y tế, tài chính, cộng đồng, công nghệ thông tin và các nhà thầu chính phủ…
Trong lĩnh vực y tế
Các tổ chức chăm sóc sức khỏe như trung tâm y tế, phòng thí nghiệm và công ty bảo hiểm đối mặt với việc xử lý rất nhiều dữ liệu nhạy cảm, từ Thông tin sức khỏe cá nhân (PHI) đến Thông tin nhận dạng cá nhân (PII) đến dữ liệu Ngành thẻ thanh toán (PCI).
Và tất cả phải được giữ riêng tư, ngay cả khi được chia sẻ trên nhiều tổ chức. Ngay cả một vi phạm nhỏ đối với các quy tắc bảo mật nghiêm ngặt của ngành chăm sóc sức khỏe cũng có thể khiến các tổ chức phải mất hàng triệu USD- chưa kể đến việc gây tổn hại đến danh tiếng của họ và mất uy tín trong mắt các đối tác, khách hàng và cơ quan quản lý. Đối với các công ty Nghiên cứu và Phát triển R&D cũng như các Nhà sản xuất thiết bị y tế đang phát triển Sở hữu trí tuệ (IP) có thể được cấp bằng sáng chế, số tiền đặt cược có thể còn cao hơn. Đó là lý do tại sao các tổ chức chăm sóc sức khỏe thuộc mọi loại cần một cách đơn giản, trực quan nhưng mạnh mẽ để xác định và quản lý thông tin nhạy cảm.
Trong lĩnh vực tài chính
Các tổ chức tài chính phải đối mặt với áp lực to lớn để bảo vệ dữ liệu mà họ sở hữu và thu thập. Các tổ chức này phải luôn cảnh giác với khả năng xảy ra việc rò rỉ dữ liệu do kẻ tấn công nguy hiểm hoặc do lỗi của nhân viên gây ra.
Việc bảo vệ và quản lý thích hợp thông tin thẻ thanh toán (PCI), thông tin nhận dạng cá nhân (PII) và tài sản sở hữu trí tuệ (IP) đòi hỏi phải có sự xác định rõ ràng. Bối cảnh dữ liệu phù hợp giúp nhân viên dễ dàng đưa ra quyết định thông minh, có chủ ý hơn về cách xử lý và bảo vệ thông tin.
Sau khi được xác định, bất kỳ người dùng thông tin nào cũng sẽ có hướng dẫn cần thiết để trở thành một phần không thể thiếu trong chiến lược bảo vệ dữ liệu của bạn và giúp đảm bảo tuân thủ các quy định và tiêu chuẩn như ISO 27001 và 27002.
Các công ty nhà thầu chính phủ
Từ lâu việc chú trọng xây dựng hệ thống phục vụ Chính phủ điện tử vẫn luôn là yếu tố được quan tâm. Từ Thông tin nhận dạng cá nhân (PII) của cá nhân đến tài liệu hoạch định chính sách hoặc tư liệu quốc phòng tuyệt mật, việc xử lý thông tin bảo mật là một phần quan trọng trong quản lý thông tin quốc gia. Nhưng việc xác định và quản lý tất cả dữ liệu đó có thể khó khăn – đặc biệt khi dữ liệu đó xuất hiện ở các định dạng phi cấu trúc như email và tài liệu. Đó là lý do chính tại sao, mặc dù có nhiều quy định nghiêm ngặt, nhưng việc vi phạm dữ liệu trong khu vực công vẫn xảy ra phổ biến.
Mục tiêu của ISO 27001 là gì?
Kể từ khi được phát triển lần đầu tiên, mục tiêu của tiêu chuẩn này là cung cấp mô hình cho việc thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và cải tiến hệ thống quản lý bảo mật thông tin.
Mục tiêu chính của bộ tiêu chuẩn ISO 27000 – bao gồm ISO 27002, ISO 27003 và nhiều tiêu chuẩn khác – là giúp các tổ chức bảo vệ tài sản thông tin, cho dù đó là tài sản trí tuệ, hợp đồng, dữ liệu tài chính hay dữ liệu khách hàng hoặc nhân viên, một cách an toàn.
Bộ ba yếu tố CIA
Cụ thể, ISO 27001 đưa ra cách thức hoạt động của ISMS để đảm bảo rằng những gì được gọi là bộ ba yếu tố CIA (Tính bảo mật, Tính chính xác, Tính sẵn sàng) được đáp ứng. Là một khái niệm cơ bản trong lĩnh vực an ninh mạng, theo bộ ba CIA, một hệ thống hiệu quả đảm bảo rằng việc truy cập dữ liệu bị hạn chế chỉ đối với người dùng được ủy quyền (Tính bảo mật), dữ liệu đó hoàn chỉnh, chính xác và hợp lệ trong suốt thời gian tồn tại của nó (Tính chính xác) và người dùng có thể truy cập vào dữ liệu họ cần (Tính sẵn sàng).
Tìm hiểu thêm: Đào tạo nhận thức An toàn thông tin là gì?
ISO 27001 được chia như thế nào?
Tiêu chuẩn chủ yếu bao gồm hai phần: các điều khoản – được chia nhỏ thành các yêu cầu – xem xét các quy trình mà tổ chức nên sử dụng để xây dựng ISMS của họ, cũng như một loạt các biện pháp kiểm soát được nêu trong Phụ lục A
Điều khoản
Là một phần của tiêu chuẩn, có 10 điều khoản chia nhỏ các yêu cầu xung quanh chính sách bảo mật thông tin, vai trò của tổ chức cũng như khả năng lãnh đạo và cam kết, bao gồm:
- Thuật ngữ và định nghĩa
- Tác động của cách tiếp cận quy trình
- Chu trình Lập kế hoạch-Thực hiện-Kiểm tra-Hành động
- Bối cảnh của tổ chức
- Khả năng lãnh đạo
- Lập kế hoạch
- Hỗ trợ
- Vận hành
- Đánh giá hiệu suất
- Cải tiến
Khi so sánh và đối chiếu các phiên bản trước, cần lưu ý rằng một số điều khoản đã được diễn đạt lại hoặc sắp xếp lại trong phiên bản mới nhất của ISO 27001.
Biện pháp kiểm soát
Việc tuân thủ các biện pháp kiểm soát từ Phụ lục A của ISO 27001 có thể giúp các tổ chức ngăn chặn việc truy cập vật lý trái phép, làm hư hỏng và can thiệp vào thông tin của tổ chức và các phương tiện xử lý thông tin. Có 93 điều khiển được chia thành bốn phần trong Phụ lục A, bao gồm:
- Con người (8 biện pháp kiểm soát)
- Tổ chức (37 biện pháp kiểm soát)
- Công nghệ (34 biện pháp kiểm soát)
- Vật lý (14 biện pháp kiểm soát)
Phiên bản mới nhất của ISO 27001 đã bổ sung 11 biện pháp kiểm soát mới, và dưới đây là danh sách những biện pháp kiểm soát:
- Threat intelligence (A.5.7) – Thông tin về mối đe dọa: Điều này liên quan đến việc thu thập và sử dụng thông tin về các mối đe dọa an ninh thông tin để bảo vệ hệ thống.
- Information security for use of cloud services (A.5.23): An ninh thông tin cho việc sử dụng dịch vụ đám mây: Đảm bảo rằng việc sử dụng các dịch vụ đám mây tuân thủ các tiêu chuẩn bảo mật.
- ICT readiness for business continuity (A.5.30): Sẵn sàng ICT cho khả năng liên tục của doanh nghiệp: Đảm bảo rằng hệ thống thông tin và truyền thông (ICT) có khả năng duy trì hoạt động trong tình huống khẩn cấp.
- Physical security monitoring (A.7.4)- Theo dõi an ninh vật lý: Giám sát và kiểm soát các biện pháp bảo vệ an ninh vật lý của tổ chức.
- Configuration management (A.8.9) – Quản lý cấu hình: Đảm bảo rằng cấu hình của hệ thống và phần mềm được quản lý và bảo mật.
- Information deletion (A.8.10) – Xóa thông tin: Quy định về việc loại bỏ thông tin một cách an toàn khi không còn cần thiết.
- Data masking (A.8.11) – Che giấu dữ liệu: Bảo vệ dữ liệu bằng cách che giấu thông tin nhạy cảm.
- Data leakage prevention (A.8.12) – Ngăn chặn rò rỉ dữ liệu: Đối phó với việc rò rỉ dữ liệu bất hợp pháp hoặc không được phép.
- Monitoring activities (A.8.16) – Theo dõi hoạt động: Giám sát các hoạt động hệ thống và mạng để phát hiện và ngăn chặn các hành vi đe dọa.
- Web filtering (A.8.23) – Lọc web: Kiểm soát truy cập vào nội dung web và ngăn chặn truy cập vào các trang web có tiềm ẩn nguy cơ bảo mật.
- Secure coding (A.8.28) – Mã hóa an toàn: Áp dụng các biện pháp an toàn trong việc phát triển mã nguồn để ngăn chặn các lỗ hổng bảo mật tiềm ẩn.
Tìm hiểu thêm: Quản lý rủi ro an ninh mạng
Lợi ích của việc tuân thủ ISO 27001 là gì?
Chứng chỉ ISO 27001 giúp doanh nghiệp vận hành ISMS hiệu quả hơn
Việc chứng nhận các tiêu chuẩn hệ thống quản lý của ISO 27001 có thể giúp các tổ chức:
- Đảm bảo luôn tuân thủ các yêu cầu liên quan đến kinh doanh, pháp lý, hợp đồng và quy định hiện hành.
- Duy trì uy tín thương hiệu của họ và trong một số trường hợp, mang lại lợi thế cạnh tranh so với các tổ chức không có chứng nhận ISO 2700.
- Bảo mật thông tin bằng cách đảm bảo hệ thống của họ tuân theo tam giác CIA.
- Cải thiện tư duy quản trị rủi ro và giúp đánh giá mức độ sẵn sàng về mặt an ninh mạng.
Chúng ta có thể hiểu một cách đơn giản: một tổ chức đã đạt được tuân thủ ISO 27001 có khả năng bảo mật cao hơn so với một tổ chức không tuân thủ. ISO 27001 cũng có điểm tương đồng với Quy định bảo vệ dữ liệu tổng quát (General Data Protection Regulation-GDPR), Quy tắc bảo mật quan trọng của Trung tâm An ninh Mạng (Center for Internet Security’s Critical Security Controls) và Khung công nghệ bảo mật của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (National Institute of Standards and Technology Cybersecurity Framework), do đó, việc tuân thủ ISO 27001 cũng có thể giúp tổ chức tiến xa hơn trong việc đáp ứng các yêu cầu của các khung công việc khác.
Tìm hiểu thêm: Nghị định 13 về Bảo vệ Dữ liệu Cá nhân đã được ban hành
Chứng nhận ISO 27001 hoạt động như thế nào?
Mặc dù có một số nguyên tắc tốt nhất về bảo mật thông tin được đặt ra bởi nhóm tiêu chuẩn ISO 27000, nhưng ISO 27001 là tiêu chuẩn duy nhất có thể được chứng nhận. Để được chứng nhận, các tổ chức cần phải chuẩn bị đầy đủ, thiết lập các quy trình chính xác và sẵn sàng để vượt qua các cuộc kiểm tra hàng năm từ bên ngoài trong suốt chu kỳ chứng nhận. Giai đoạn chuyển tiếp ba năm đối với ISO 27001:2022 bắt đầu vào ngày 31 tháng 10 năm 2022 và kết thúc vào ngày 31 tháng 10 năm 2025.
Các chứng nhận dựa trên ISO 27001:2013 sẽ hết hạn hoặc bị thu hồi vào cuối giai đoạn chuyển đổi. Các tổ chức chứng nhận yêu cầu các tổ chức chứng minh hệ thống quản lý bảo mật thông tin của họ được bảo mật như thế nào, phải sẵn sàng chứng nhận ISO 27001:2022 trước ngày 30 tháng 4 năm 2023, mặc dù hầu hết đều sẵn sàng chứng nhận trước ngày 30 tháng 4 năm 2023. Nếu tổ chức của bạn đã được chứng nhận ISO 27001:2013, bạn sẽ có ba năm để chuyển đổi sang ISO/IEC 27001:2022.