• Thứ Ba, 01/02/2011 10:18 (GMT+7)

    ISO 27000 Nâng tầm bảo mật hệ thống

    Minh Chí
    Bộ tiêu chuẩn ISO 27000 đã ra mắt tại Việt Nam cách đây khoảng 4-5 năm nhưng gần đây các doanh nghiệp (DN) mới chú ý nhiều đến tiêu chuẩn này.

    Thiên về DN CNTT

    Các DN thuộc ngành phần mềm, ngân hàng, thương mại điện tử, dịch vụ trực tuyến... đang quan tâm đến việc xây dựng tiêu chuẩn bảo mật ISO 27000. Hệ thống thông tin của các DN này đòi hỏi tính toàn vẹn – bảo mật – liên tục ở mức cao; do đó cần đến một cơ chế quản lý bảo mật chặt chẽ.

    Cách đây khoảng 3-4 năm, có khá nhiều công ty gia công phần mềm ở Việt Nam triển khai bộ tiêu chuẩn ISO 27000. Vào thời điểm đó (2007 – 2008), tổ chức Phát triển và Đầu tư Đức (DEG) có chương trình hỗ trợ triển khai các chứng nhận CMMI, ISO 9001, ISO 27001 cho DN CNTT ở các nước đang phát triển. Việt Nam là một trong số các quốc gia nhận được sự hỗ trợ này.

    Đó là lý do hiện có nhiều DN phần mềm tại Việt Nam đạt chứng nhận ISO 27001. Hai công ty phần mềm có chứng nhận ISO 27001 đầu tiên ở Việt Nam là FPT và CSC Việt Nam (công ty FCG Việt Nam trước đây). Sau đó là một loạt các DN như HPT, Lạc Việt, CMC Software, Global Cybersoft, Fujinet…

    Trong năm 2010 hiện có công ty Tinh Vân (dịch vụ trực tuyến) đã nhận được chứng nhận ISO 27001 do tổ chức DAS Việt Nam cấp. Dịch vụ thương mại điện tử “Ví điện tử Payooo” (công ty VietUnion) cũng chuẩn bị nhận chứng nhận này từ tổ chức TUV Rheinland vào cuối năm nay

    Chứng nhận bằng vàng

    Theo ý kiến của một số tư vấn viên về ISO 27001, chi phí triển khai tiêu chuẩn ISO 27001 cho đến lúc chứng nhận vào khoảng 25.000 – 200.000 USD (488 triệu - 3,9 tỷ đồng). Đương nhiên, chi phí này còn tuỳ thuộc vào quy mô DN, phạm vi triển khai tiêu chuẩn ISO 27001. Đối với một ngân hàng thương mại với quy mô hàng trăm chi nhánh thì chỉ riêng chi phí tư vấn ISO 27001 có thể lên đến hàng tỷ đồng.

    Đối với các DN có hoạt động kinh doanh trên thị trường quốc tế thì việc sở hữu các chứng nhận CMMI, ISO 27001… là một điều cần thiết. Khi các đối tác nước ngoài làm ăn với DN Việt Nam, họ quan tâm đến các tiêu chuẩn quốc tế như ISO 9001, ISO 27001… Vì họ muốn có được sự đảm bảo về hệ thống thông tin của DN Việt Nam.

    Các DN có thể khoanh vùng các bộ phận cần triển khai ISO 27001 để tiết kiệm chi phí tư vấn. Các bộ phận nào cần áp dụng tiêu chuẩn này trước sẽ tiến hành triển khai ngay; sau đó sẽ mở rộng ra các bộ phận khác.

    Theo ông Phó Đức Giang, Trưởng phòng Vận hành - Bảo mật (ISMS Manager) của công ty VietUnion: “Để triển khai tiêu chuẩn ISO 27001, cần có sự ủng hộ ở mức cao của lãnh đạo DN”. Ngay từ đầu, công ty VietUnion đã muốn có được chứng nhận ISO 27001. Trước khi ra mắt dịch vụ “Ví điện tử Payoo”, công ty đã bắt đầu thực hiện các bước trong quy trình ISO 27001.
     

    Ông Đặng Hoàng Minh, Giám đốc CNTT của công ty Global Cybersoft nhận xét: “Các DN có thể khoanh vùng các bộ phận cần triển khai ISO 27001 để tiết kiệm chi phí tư vấn. Các bộ phận nào cần áp dụng tiêu chuẩn này trước sẽ tiến hành triển khai ngay; sau đó sẽ mở rộng ra các bộ phận khác”.

    Dừng lại ở mức sẳn sàng


    Hiện nay, có khá nhiều DN trong ngành CNTT cho biết họ đang triển khai các bước trong tiêu chuẩn ISO 27001. Trên thực tế, việc triển khai trong nội bộ DN chỉ là hình thức; còn áp dụng thực tế lại hoàn toàn khác. Có nhiều quy định trong công ty (theo ISO 27001) sẽ được đưa ra nhưng nó có thực sự được áp dụng hay không?

    Một vài DN lớn thì cho rằng họ sẵn sàng cho tiêu chuẩn ISO 27001; nếu các đối tác nước ngoài yêu cầu thì họ sẽ áp dụng ngay. Thực tế, có không ít DN trước khi triển khai ISO 27001 đã làm được khoảng 30 – 40% các bước trong quy trình triển khai tiêu chuẩn này.

    Các DN có quy mô kinh doanh lớn vẫn còn ngại ngần trong việc triển khai ISO 27001. Họ sợ tốn chi phí quá nhiều cho việc tư vấn, bổ sung nhân sự cho ban ISO… Giám đốc CNTT ở một số công ty lớn vẫn do dự khi đứng trước số tiền phải trả cho đơn vị tư vấn lên đến 30.000 - 50.000 USD (gần 600 triệu - 1 tỉ đồng). 
     
    Tuy nhiên, trong thời kỳ kinh tế Việt Nam đang từng bước hội nhập với quốc tế, các DN lớn phải sở hữu các chứng nhận có giá trị quốc tế. Các chứng nhận ISO 9001, ISO 27001…sẽ xác nhận độ tin cậy của hệ thống thông tin của các DN, nhờ nó các DN Việt Nam tự tin hơn khi thương lượng với các đối tác nước ngoài.
     

    Ông Đặng Hoàng Minh, Giám đốc CNTT của công ty Global Cybersoft: “Việt Nam hiện có hơn 20 DN đã có chứng nhận ISO 27001: 2005. Các DN này chủ yếu là các công ty phần mềm, thương mại điện tử… Trong tương lai, các công ty tài chính – ngân hàng, chứng khoán… sẽ phải triển khai tiêu chuẩn này nhằm tăng cường độ an toàn của hệ thống, tăng lợi thế cạnh tranh, gia tăng hình ảnh công ty…”.

    Ông Phó Đức Giang, Trưởng phòng Vận hành - Bảo mật (ISMS Manager) của công ty VietUnion: VietUnion mất khoảng 15 tháng để hoàn chỉnh các bước triển khai bộ tiêu chuẩn ISO 27000. Hệ thống ISMS (Information Security Management System) của VietUnion vừa hoàn thành khâu kiểm định đánh giá để có được chứng nhận ISO 27001:2005 trong tháng 9/2010. Dự kiến, vào cuối năm nay, VietUnion sẽ có chứng nhận ISO 27001 do tổ chức TUV Rheinland cấp; hiện thời công ty đã có chứng nhận tạm thời.

     

    ID: B1011_68