• Thứ Ba, 18/12/2007 17:15 (GMT+7)

    An toàn thông tin theo chuẩn ISO 27001

    Ngày 29 và 30 tháng 11, tại TPHCM, công ty TUVRheinland và ECCI (Philippines) đã tổ chức hội thảo "Quản lý bảo mật thông tin" theo tiêu chuẩn ISO 27001. Nhân vật chính của hội thảo là giáo sư Ted Humphreys, người khai sinh chuẩn ISO 27001. Tham gia có các giám đốc công nghệ thông tin (IT), trưởng phòng IT của nhiều ngân hàng, công ty chứng khoán, bảo hiểm...

    Giáo sư Ted Humphreys cho biết: "Sang Việt Nam lần này tôi muốn chia sẻ những kinh nghiệm làm thế nào để xây dựng hệ thống an toàn thông tin tối ưu nhất, đạt tiêu chuẩn quốc tế và đó cũng là cách giúp cho các doanh nghiệp (DN) Việt Nam tự tin trong giai đoạn hội nhập".

    Ông Aru David, chuyên viên tư vấn ISO 27001 của công ty ECCI, tổng kết tình hình an toàn thông tin của Việt Nam là không mấy sáng sủa. Theo trung tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam (VNCERT), năm 2006 số lượng virus xuất xứ từ Việt Nam tăng đột biến. Tháng 6/2006 phát hiện 20 loại virus và đến cuối năm 2006 đã lên đến con số hơn 150, tăng gần 6 lần. Tình hình bảo mật web site của DN cũng không hơn, chiếm 24% biểu đồ thống kê các hình thức tấn công trên Internet; số lượng tấn công từ nước ngoài vào Việt Nam năm 2006 tăng gần 3 lần so với 2005. Và ông Aru cho biết thêm, những đe dọa từ Internet còn tiếp tục tăng trong những năm tới.

    Chuẩn an toàn thông tin ISO 27001

    Theo giáo sư Humphreys: "Tài sản của công ty giờ đây không chỉ là tòa nhà văn phòng, máy móc, thiết bị, những vật hữu hình mà còn có cả con người, thông tin sản phẩm, thông tin chiến lược kinh doanh. Do vậy, bảo mật thông tin không chỉ dừng lại bằng phần mềm chống virus, tường lửa...".

    Giáo sý Ted Humphreys,
    người khai sinh chuẩn ISO
    27001.
    Để hình dung được "tinh thần" của ISO 27001, ông Andreas Gehrman, chuyên gia đánh giá hệ thống bảo mật thông tin của TUVRheinland Nhật Bản, đã đưa ra 2 vấn đề rất cụ thể trong DN, đó là sử dụng USB (lưu trữ tài liệu, dữ liệu) và email (liên lạc trong ngoài DN) không mã hóa nội dung; làm thế nào để bảo vệ thông tin trên 2 phương tiện này. Phía người tham dự có nhiều câu trả lời khác nhau, chẳng hạn về USB, một số đề nghị cấm, một số đề nghị sử dụng loại có mã hóa; trong khi đó hầu hết cho rằng cần thiết lập mã hóa nội dung email trước khi gửi ra ngoài.

    Tuy nhiên, ISO 27001 lại tiếp cận cách khác. Bước đầu tiên không phải chọn lựa giải pháp mà phải phân loại nội dung thông tin trên phương tiện thuộc tài sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó. Giải pháp chỉ là một thành phần trong quy trình quản lý bảo mật thông tin. ISO 27001 là một chuẩn hệ thống quản lý bảo mật thông tin (Information Security Management System - ISMS) ra đời 2005 bởi tổ chức chuẩn hóa quốc tế (International Organization for Standardization - ISO). Và chứng chỉ ISO 27001 là chứng nhận cho công ty nào đã trải qua 2 giai đoạn triển khai và kiểm định lại thực tế toàn bộ hệ thống. Để đạt được chứng chỉ này phải mất khoảng từ 10-12 tháng.

    Mục tiêu của chuẩn này ra đời nhằm tạo một "cương lĩnh" cho các đơn vị ứng dụng có một phương pháp, hướng dẫn rõ ràng và hiệu quả nhất. Ông Nguyễn Khả Nhân, giám đốc IT của công ty bảo hiểm Bảo Minh, cho rằng ISO 27001 là một hệ thống mở, không ràng buộc loại hình tổ chức, và bất kỳ công ty nào cũng có thể thực hiện hoàn toàn theo chỉ dẫn hay tham khảo một phần để tạo ra chính sách bảo vệ thông tin riêng.

    ISO 27001 ở Việt Nam

    Mặc dù thông tin chính thức ở Việt Nam có 2 công ty đạt chứng chỉ ISO 27001 là FPT IS và FGC, nhưng thực tế hiện nay đã có gần 20 DN, công ty đang triển khai chứng nhận này; trong đó, số lượng công ty phần mềm, dịch vụ IT chiếm đại đa số. Hầu hết những công ty này đều là đối tác của các công ty nước ngoài và chuyên gia công phần mềm. Ví dụ, TMA là một trong những DN gia công phần mềm nổi bật ở Việt Nam, mặc dù chưa đạt chứng chỉ ISO 27001 nhưng theo ông Hoàng Xuân Thanh, giám đốc hạ tầng IT của TMA: "TMA cũng đã sẵn sàng cho tiêu chuẩn này, tuy nhiên điều quan trọng là yêu cầu từ phía khách hàng, họ cần chúng tôi sẽ triển khai ngay".

    Đặt vấn đề với giám đốc IT của một số công ty về khả năng ứng dụng tiêu chuẩn ISO 27001 thì gần như tất cả đều trả lời là chưa vì hệ thống này khá lớn, chi phí tư vấn và triển khai không nhỏ. Theo một nguồn tin thì chi phí tư vấn trong khoảng 30.000-50.000 USD, chưa kể chi phí cho giải pháp, đào tạo nhân viên.

    Hiện nay, ngoài những công ty tư vấn độc lập, tổng cục Tiêu Chuẩn Việt Nam đã có ban tư vấn chuẩn ISO 27001 cho DN có nhu cầu. Dự đoán về tương lai của ISO 27001, ông Aree, người đã tư vấn cho nhiều công ty Việt Nam, nhận định chứng nhận này sẽ thu hút mối quan tâm mạnh mẽ như tiêu chuẩn chất lượng ISO 9000 của những năm 90. Ngoài ra ông cũng chia sẻ nhiều kinh nghiệm có được từ thực tế Việt Nam. Trong đó, khó khăn trước mắt khi DN triển khai chuẩn quản lý bảo mật thông tin là chi phí thực hiện, đặc biệt khi trang bị những giải pháp kiểm soát rủi ro. Một thách thức không nhỏ khác là thói quen của người dùng cuối và sự hỗ trợ của cấp cao nhất trong tổ chức có ý nghĩa quyết định thành công của việc triển khai ISO 27001.

    Hải Phạm

    ID: A0712_36