|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
17-11-2009, 10:42 AM | #1 |
Guest
Trả Lời: n/a
|
Chuẩn bảo mật thông tin ISO 27001!
Chuẩn bảo mật thông tin ISO 27001 Cuối tháng 11, tại TPHCM công TUV đã tổ chức 2 ngày hội thảo tiêu chuẩn quản lý bảo mật thông tin ISO 27001. Nhân vật chính của hội thảo là giáo sư Ted Humphreys, người khai sinh ra ISO27001. Tham gia có các giám đốc công nghệ thông tin (CNTT), trưởng phòng IT của nhiều công ty như Ngân hàng, chứng khoán, bảo hiểm, nhà tư vấn... Giáo sư Ted Humphreys cho biết: “sang Việt Nam lần này tôi muốn chia sẻ những kinh nghiệm làm thế nào để xây dựng hệ thống an toàn thông tin tối ưu nhất, đạt tiêu chuẩn quốc tế và đó cũng là cách giúp cho các DN Việt Nam tự tin trong giai đoạn hội nhập”. Ông Aru David, chuyên viên tư vấn ISO 27001 của công ty ECC International, tổng kết tình hình an toàn thông tin của Việt Nam không mấy sáng sủa. Theo VnCert năm 2006 số lượng virus xuất xứ từ Việt Nam tăng đột biết, 6/2006 có 20 phát hiện và đến cuối năm 2006 đã lên đến con số hơn 150, tằng gần 6 lần. Tình hình bảo mật web site của DN cũng không khác, chiếm 24% biểu đồ thống kế các hình thức tấn công trên internet, số lượng tấn công từ nước ngoài vào Việt Nam tăng gần 3 lần so với 2005. Và theo ông Aru cho biết thêm những đe dọa từ internet còn tiếp tục tăng ở những năm tới. Chuẩn an toàn thông tin ISO 27001 Giáo sư Humphreys đã đưa ra một khái niệm mới về tài sản của một DN. Ông nói: “tài sản của công ty giờ đây không chỉ là tòa nhà văn phòng, máy mọc, thiết bị, những vật hữu hình mà còn có cả con người, thông tin sản phẩm, thông tin chiến lược kinh doanh. Do vậy, để bảo mật thông không chỉ dừng lại bằng phần mềm chống virus, tường lửa như đã từng diễn ra”. Để hình dung được 'tinh thần” của ISO 27001, ông Andreas Gehrman, chuyên gia quản lý thông tin bảo mật của TUV Rheinland Nhật Bản, đã đưa ra 2 vấn đề rất gần trong DN, đó là sử dụng USB và Email không mã hóa nội dung. Đối với thiết bị lưu trữ di động USB nó giúp người dùng lưu trữ tài liệu tham khảo, dữ liệu làm việc cá nhân...và mail là phương tiên liên lạc trong ngoài DN. Ông Gehrman đã đặt ra vấn đề làm thế nào để bảo vệ thông tin trên 2 phương tiên trên. Phía người tham dự có nhiều câu trả lời khác nhau, chẳng hạn USB một số đề nghị cấm, một số đề nghị sử dụng loại có mã hóa; trong khi đó email hầu hết cho rằng cần thiết lập mã hóa nội dung trước khi gửi ra ngoài. Tuy nhiên, ISO 27001 lại tiếp cận cách khác để bảo vệ thông tin trên 2 thiết bị trên. Bước đầu tiên không phải chọn lựa ngay giải pháp mà phải phân loại nội dung thông tin trên phương tiện thuộc tài sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó. Giải pháp chỉ là một thành phần trong quy trình quản lý bảo mật thông tin. Nói một cách khác, ISO 27001 là một chuẩn hệ thống quản lý bảo mật thông tin (Information Security Management System- ISMS) ra đời 2005 bởi tổ chức chuẩn hóa quốc tế (International Organization for Standardization-ISO). Và chứng chỉ ISO 27001 là chứng nhận cho công ty nào đã trãi qua 2 giai đoạn triển khai và kiểm định lại thức tế (audit) toàn bộ hệ thống. Để đạt được chứng chỉ này phải mất khoảng từ 10-12 tháng. Mục tiêu của chuẩn này ra đời nhằm làm một “cương lĩnh” cho các đơn vị ứng dụng có một phương pháp, hướng dẫn rõ ràng và hiệu quả nhất. Theo ông Nguyễn Khả Nhân, giám đốc CNTT công ty bảo hiểm Bảo Minh, cho rằng ISO 27001 là một hệ thống mở, không ràng buộc một số loại hình công ty nào. Và bất kỳ công ty nào cũng có thể thực hiện hoàn toàn theo những chỉ dẫn hay tham khảo một phần để tạo ra một chính sách bảo vệ thông tin cho chính công ty. ISO 27001 ở Việt Nam Mặc dù thông tin chính thức ở Việt Nam có 2 công ty đạt chứng chỉ ISO 27001 là FPT IS và FGC. Nhưng thực tế hiện nay đã có gần 20 DN, công ty đang triển khai chứng nhận này. Trong đó số lượng công ty phần mềm, dịch vụ IT chiếm đại đa số. Hầu hết những công ty này đều là đối tác của các công ty nước ngoài và chuyên gia công phần mềm. Công ty TMA cũng là một trong những DN gia công phần mềm nổi bật ở Việt Nam, mặc dù chưa đạt chứng chỉ ISO 27001 nhưng theo ông Hoàn Xuân Thanh, giám đốc hạ tầng CNTT của TMA, cho biết :”TMA cũng đã sẵn sàng cho tiêu chuẩn này tuy nhiên điều quan trọng là yêu cầu từ phía khác hàng”. quy trình xây dựng chính sách bảo mệt thông tin cho 1 tổ chức Đặt vấn đề với một số giám đốc CNTT của một số công ty về khả năng ứng dụng ngay tiêu chuẩn ISO 27001 vào công ty của mình thì gần như tất cả đều trả lời là chưa. Bởi hệ thống này khá lớn, chi phí tư vấn và triển khai không nhỏ. Theo một nguồn tin thì tiền tư vấn cũng dao động từ 30-50.000 USD, chưa kể chi phí cho giải pháp, chi phí đào tạo cho nhân viên.Hiện nay, ngoài những công ty tư vấn độc lập, Tổng cục tiêu chuẩn Việt Nam đã có phong ban tư vấn chuẩn ISO 27001 cho DN có nhu cầu. Dự đoán về tương lai của chuẩn ISO 27001 ông David, người đã tư vấn cho nhiều công ty Việt Nam, nhận xét về tương lai của chứng nhận này sẽ thu hút mối quan tâm mạnh mẽ như tiếu chuẩn chất lượng ISO 9000 của những năm 90. Ngoài ra ông cũng chia sẻ thêm nhiều kinh nghiệm trong buổi thảo có được từ thực tế Việt Nam rằng khó khăn trước mắt khi DN triển khai chuẩn quản lý bảo mật thông tin là chi phí thực hiện, đặc biệt khi trang bị những giải pháp kiểm soát rủi ro, nhưng thách thức về thói quen của người dùng cuối và sự hỗ trợ của cấp cao nhất trong tổ chức lại quyết định thành công chuẩn ISO 27001. Hải Phạm (NIS.com.vn) |
|
|