Tải bản đầy đủ (.pdf) (47 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kinh tế - Thương mại

Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại ngân hàng thương mại cổ phần ngoại thương việt nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (642.92 KB, 47 trang )

TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 1




Tiểu luận
Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại
Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam

TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 2


Lời nói đầu
Hiện nay trên thế giới nói chung và Việt Nam nói riêng, mọi hoạt động sản xuất kinh doanh
phần lớn sử dụng máy tính và mạng internet để tương tác với nhau. Tốc độ phát triển của CNTT
trong những năm gần đây là rất nhanh nhưng kèm theo đó là các nguy cơ và rủi ro về CNTT ngày
một gia tăng. Do vậy, việc xây dựng hệ thống quản lý an toàn thông tin (ATTT) là việc tất yếu
phải làm đối với tất cả các doanh nghiệp trong thời đại công nghệ số ngày nay.
Điều đáng buồn, Việt Nam đang là nước bị tin tặc lộng hành khá phổ biến mặc dù tốc độ
phát triển hệ thống thông tin và Internet của Việt Nam chưa được xem là cao trong khu vực. Có
rất nhiều các Website quan trọng liên quan đến tài chính, chứng khoán mặc dù đã được các tổ
chức về an toàn cảnh báo nhiều lần nhưng tình trạng an toàn vẫn không được cải thiện. Thực tế
đó phản ánh sự lơ là trong công tác an toàn thông tin, gián tiếp gây thiệt hại lớn về kinh tế: hệ
thống máy tính bị đánh cắp, dữ liệu bị đánh cắp, gây thiệt hại cho doanh nghiệp và khách hàng.
Tình hình an toàn mạng thông tin Việt Nam hiện nay còn rất nhiều thách thức, đặc biệt là
nguồn nhân lực có trình độ còn thiếu trầm trọng, và sự đầu tư cho lĩnh vực này mới chỉ nhỏ giọt,
ít được sự quan tâm và chưa đúng tầm. Về môi trường pháp lý, sự chưa hoàn thiện và thiếu đồng
bộ dẫn tới tình trạng không có chế tài đủ mạnh để răn đe các Hacker có hành vi phát tán Virus
trên diện rộng và tấn công vào những hệ thống máy tính doanh nghiệp để trục lợi. Trong khi đó,


khả năng công nghệ bị đánh giá là thiếu và yếu. Một hạ tầng mạng không đủ mạnh sẽ không thể
đương đầu với những thách thức và đe dọa an toàn có mức độ tinh vi và chuyên nghiệp ngày càng
cao. Bên cạnh đó, mức đầu tư cho công nghệ thông tin tại Việt Nam vẫn còn ở mức thấp. Trung
bình các nước trên thế giới có mức đầu tư cho công nghệ là 8-10%. Còn tại Việt Nam, con số này
thấp hơn nhiều. Do mức đầu tư hạn hẹp nên rất ít doanh nghiệp, tổ chức có một bộ phận IT riêng,
chủ yếu những công việc này chỉ do một số ít người kiêm nhiệm. Từ đó dẫn tới tình trạng an
ninh, an toàn thông tin lỏng lẻo, có nhiều kẽ hở để kẻ xấu lợi dụng. Các vụ tấn công hiện nay
được tổ chức bài bản hơn, quy mô hơn, kín đáo hơn và mức độ thiệt hại cũng lớn hơn.
Chính vì vậy, nhóm chúng tôi đã quyết định làm đề tài “Phân tích thực trạng áp dụng tiêu
chuẩn ISO 27001 tại Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam” để chỉ ra các lợi
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 3

ích khi áp dụng tiêu chuẩn ISO này và những vấn đề cần lưu ý khi xây dựng, triển khai, áp dụng
tiêu chuẩn ISO này.
Mục lục

Phần 1: Giới thiệu hệ thống ISMS 5
1.1. Giới thiệu chung: 5
1.2. Phạm vi áp dụng: 7
1.3. Thuật ngữ và định nghĩa: 7
1.4. Hệ thống quản lý an toàn thông tin (ISMS): 9
1.5. Trách nhiệm của ban quản lý: 16
1.6. Kiểm tra nội bộ ISMS: 17
1.7. Ban quản lý soát xét ISMS: 18
1.8. Nâng cấp ISMS: 19
1.9. Triển khai tiêu chuẩn ISO 27001 cho tổ chức: 20
1.10. Lợi ích của việc áp dụng 21
1.11. Thực trạng áp dụng tiêu chuẩn ISO 27001 tại Việt Nam 22
Phần 2: Phân tích thực trạng tình hình áp dụng tiêu chuẩn ISO 27001:2005 tại Ngân hàng TMCP

Ngoại thương Việt Nam (VCB) 24
2.1. Giới thiệu Ngân hàng TMCP Ngoại thương Việt Nam 24
2.2. Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại VCB: 26
2.3. Kết luận 46


TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 4


TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 5

Phần 1: Giới thiệu hệ thống ISMS
1.1. Giới thiệu chung:
1.1.1. Tiêu chuẩn ISO 27001:2005 là gì?
Tiêu chuẩn quốc tế “Information security management system” (ISMS-hệ thống quản lý an
toàn thông tin) có mã số ISO/IEC 27001:2005 được biên soạn bởi ủy ban kỹ thuật chung về công
nghệ thông tin - ISO/IEC JTC 1 thuộc tiểu ban các kỹ thuật an toàn thông tin - SC 27 thuộc tổ
chức ISO. Tiêu chuẩn này được ban hành vào tháng 10 năm 2005 để thay thế tiêu chuẩn cùng tên
có mã số BS 7799-2:2002 do tổ chức Britist Standard ban hành năm 2002.
Tiêu chuẩn quốc tế này được xây dựng để đưa ra một mô hình cho việc thiết lập, triển khai,
điều hành, giám sát, soát xét, bảo trì và nâng cấp ISMS. Việc chấp nhận triển khai một hệ ISMS
sẽ là một quyết định chiến lược của tổ chức. Thiết kế và triển khai hệ thống quản lý an toàn thông
tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần
phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các
hệ thống hỗ trợ sẽ cần được cập nhật và thay đổi. Đầu tư và triển khai một ISMS cần phải phù
hợp với nhu cầu thực tiễn của tổ chức.
Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức
cũng như các bộ phận bên ngoài liên quan đến tổ chức.

1.1.2. Cách tiếp cận theo quy trình của tiêu chuẩn ISO 27001:2005
Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi thiết lập, triển
khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp ISMS của tổ chức.
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách hiệu quả.
Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận các đầu vào chuyển hóa
thành đầu ra có thể coi như một quy trình. Thông thường đầu ra của một quy trình này là đầu vào
của một quy trình tiếp theo.Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự
nhận biết tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếp
cận theo quy trình”.
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trong tiêu chuẩn
này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng sau:
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 6

 Việc hiểu các yêu cầu an toàn thông tin của tổ chức và các sự cần thiết phải thiết lập
chính sách và mục tiêu cho an toàn thông tin.
 Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin của tổ
chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức.
 Việc giám sát và soát xét lợi ích và hiệu quả của ISMS.
 Việc thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra.
Tiêu chuẩn này cũng đưa ra một mô hình để áp dụng cho tất cả các quy trình trong ISMS.
Đó là mô hình PDCA (Lập kế hoạch-Thực hiện-Kiểm tra-Hành Động) như sơ đồ bên dưới

Hình 1: Áp dụng mô hình PDCA cho các quy trình của hệ thống quản lý an toàn thông tin
Trong đó:
P (Plan)-thiết lập ISMS: thiết lập các chính sách, mục tiêu, quy trình và thủ tục liên quan
đến việc quản lý các rủi ro và nâng cao an toàn thông tin nhằm đem lại các kết quả phù hợp với
các chính sách và mục tiêu chung của tổ chức.
D (Do)-triển khai và điều hành ISMS: Cài đặt và vận hành các chính sách, biện pháp quản
lý, quy trình và thủ tục của hệ thống ISMS.

TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 7

C (Check)-giám sát và soát xét ISMS: Xác định hiệu quả việc thực hiện quy trình dựa trên
chính sách, mục tiêu mà hệ thống ISMS đã đặt ra; kinh nghiệm thực tiễn và báo cáo kết quả cho
việc soát xét của ban quản lý.
A (Act)-Duy trì và nâng cấp ISMS: Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên
các kết quả của việc kiểm toán nội bộ ISMS, soát xét của ban quản lý hoặc các thông tin liên
quan khác nhằm liên tục hoàn thiện hệ thống ISMS.
1.2. Phạm vi áp dụng:
Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác nhau (ví
dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận, v.v… ). Nội dung tiêu
chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập; triển khai; điều hành; giám sát; soát xét; bảo trì
và nâng cấp một ISMS để đảm bảo an toàn thông tin trước những tất cả các rủi ro có thể xảy ra
với tổ chức. Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn
đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức.
ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để bảo vệ
các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng v.v…
Các yêu cầu của tiêu chuẩn này là mang tính tổng quát nhằm ứng dụng rộng rãi cho nhiều
loại hình tổ chức khác nhau.
1.3. Thuật ngữ và định nghĩa:
1.3.1. Tài sản: là bất cứ gì có giá trị đối với tổ chức.
1.3.2. Tính sẵn sàng: tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử
dụng theo yêu cầu.
1.3.3. Tính bí mật: tính chất đảm bảo thông tin không sẵn sàng và công khai đối với các
cá nhân, thực thể và các tiến trình không được phép.
1.3.4. An toàn thông tin: sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông
tin; ngoài ra còn có thể bao hàm một số tính chất khác như xác thực, kiểm soát,
chống chối bỏ và tin cậy.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN

Trang 8

1.3.5. Sự kiện an toàn thông tin: Một sự kiện xác định xảy ra trong một hệ thống, một
dịch vụ hay một trạng thái mạng chỉ ra sự vi phạm chính sách an toàn thông tin, sự
thất bại của hệ thống bảo vệ hoặc một tình huống bất ngờ liên quan đến an toàn.
1.3.6. Sự cố an toàn thông tin: Một hoặc một chuỗi các sự kiện an toàn thông tin không
mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa
an toàn thông tin.
1.3.7. Hệ thống quản lý an toàn thông tin (ISMS):
Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý tổng thể, căn cứ vào
việc đánh giá rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều
hành, giám sát, soát xét, bảo trì và nâng cấp an toàn thông tin.
Chú ý: Hệ thống quản lý tổng thể bao gồm cơ cấu, chính sách, kế hoạch hoạt động, trách
nhiệm, quy định, thủ tục, quy trình và tài nguyên của tổ chức.
1.3.8. Tính toàn vẹn: Tính chất đảm bảo sự chính xác và sự toàn vẹn của các tài sản.
1.3.9. Rủi ro tồn đọng: Các rủi ro còn lại sau quá trình xử lý rủi ro.
1.3.10.Sự chấp nhận rủi ro: Quyết định chấp nhận sự tồn tại một rủi ro.
1.3.11.Phân tích rủi ro: Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn
gốc và đánh giá rủi ro.
1.3.12.Đánh giá rủi ro: quá trình tổng thể phân tích rủi ro và đánh giá rủi ro.
1.3.13.Đánh giá giá trị rủi ro: Quá trình so sánh rủi ro đã được dự đoán với chỉ tiêu rủi ro
đã có nhằm xác định mức độ nghiêm trọng của rủi ro.
1.3.14.Quản lý rủi ro: Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức
trước các rủi ro có thể xảy ra.
1.3.15.Xử lý rủi ro: Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro.
1.3.16.Thông báo áp dụng:
Thông báo được biên soạn nhằm mô tả mục tiêu quản lý và biện pháp quản lý thích hợp áp
dụng cho hệ thống ISMS của tổ chức.
CHÚ Ý: các mục tiêu và biện pháp kiểm soát được xây dựng dựa trên các kết quả và kết
luận của đánh giá rủi ro và quy trình xử lý rủi ro, các yêu cầu hay chế tài về pháp lý, các ràng

buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức để đảm bảo an toàn thông tin.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 9

1.3.17.Tổ chức:
Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá nhân, tập thể) nhằm
đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên; cùng nhau hành động vì mục tiêu chung.
1.4. Hệ thống quản lý an toàn thông tin (ISMS):
1.4.1. Các yêu cầu chung:
Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì và nâng cấp một hệ thống
quản lý an toàn thông tin (ISMS) đã được tài liệu hóa trong bối cảnh toàn bộ hoạt động của tổ
chức có những rủi ro đang phải đối mặt.
1.4.2. Thiết lập và quản lý ISMS:
1.4.2.1. Thiết lập ISMS:
Để thiết lập ISMS, tổ chức cần thực hiện những công việc sau:
a. Xác định phạm vi và ranh giới của ISMS theo các khía cạnh: đặc điểm của doanh
nghiệp, tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao gồm cả các thông
tin chi tiết về bất cứ lý do loại trừ ngoài phạm vi áp dụng.
b.

Vạch rõ chính sách triển khai ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa
điểm; các tài sản và công nghệ. Bao gồm:
 Bao gồm khuôn khổ cho các mục tiêu, thiết lập định hướng tổng thể và nguyên
tắc hoạt động liên quan đến an ninh thông tin.
 Sẽ đưa vào tài khoản kinh doanh và yêu cầu pháp lý hoặc quy định, nghĩa vụ
theo hợp đồng.
 Gắn với bối cảnh quản lý rủi ro chiến lược của tổ chức, trong đó việc thành lập
và duy trì các hệ thống ISMS sẽ diễn ra.
 Thiết lập các tiêu chí dựa vào đó rủi ro sẽ được đánh giá.
 Được sự chấp thuận của Ban Giám đốc.

Chú ý: Để đạt được mục tiêu của tiêu chuẩn này, chính sách triển khai ISMS được xem xét
như là một danh mục đầy đủ các chính sách an toàn thông tin. Các chính sách này có thể được mô
tả trong cùng một tài liệu.
c. Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 10

 Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, và các
quy định, pháp lý, an toàn bảo mật thông tin đã xác định.
 Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có
thể chấp nhận được.
Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi ro đưa ra các kết
quả có thể so sánh và tái tạo được.
Chú ý: Có nhiều hệ phương pháp đánh giá rủi ro khác nhau.
d. Xác định các rủi ro:
 Xác định các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý các tài
sản này.
 Xác định các mối đe doạ có thể xảy ra đối với tài sản.
 Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên.
 Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo
đảm: bí mật, toàn vẹn và sẵn sàng.
e. Phân tích và đánh giá các rủi ro:
 Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin,
chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các
tài sản.
 Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ
các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài
sản và các biện pháp bảo vệ đang thực hiện.
 Ước lượng các mức độ của rủi ro.
 Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ

tiêu chấp nhận rủi ro đã được thiết lập.
f. Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro
Các hoạt động có thể thực hiện:
 Áp dụng các biện pháp quản lý thích hợp.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 11

 Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu
chuẩn chấp nhận rủi ro của tổ chức.
 Tránh các rủi ro.
 Chuyển giao các rủi ro cho các bộ phận khác như bảo hiểm, nhà cung cấp v.v
g. Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro:
 Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn và thực hiện để đáp
ứng các yêu cầu được xác định bởi quá trình xử lý rủi ro và đánh giá rủi ro. Sự
lựa chọn này sẽ xem xét đến tiêu chuẩn chấp nhận rủi ro cũng như các yêu cầu
về pháp lý, quy định và cam kết phải tuân thủ.
 Các mục tiêu quản lý và biện pháp quản lý trong phụ lục A (của tiêu chuẩn) có
thể được lựa chọn như là một phần thích hợp để bảo đảm các yêu cầu đã xác
định.
 Các yêu cầu quản lý và biện pháp quản lý trong phụ lục A là chưa thực sự đầy
đủ. Tùy trường hợp có thể lựa chọn thêm các mục tiêu quản lý và biện pháp
quản lý cần thiết khác.
Chú ý: Phụ lục A bao gồm một danh sách bao gồm nhiều mục tiêu quản lý và biện pháp
quản lý một cách toàn diện có khả năng thích hợp đối với nhiều tổ chức. Người sử dụng tiêu
chuẩn quốc tế này có thể sử dụng phụ lục A như là điểm khởi đầu trong việc lựa chọn biện pháp
quản lý để không có các biện pháp quan trọng bị bỏ sót.
h. Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.
i. Được ban quản lý cho phép cài đặt và vận hành hệ thống ISMS.
j. Chuẩn bị thông báo áp dụng:
Thông báo áp dụng ISMS bao gồm:

 Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong mục 4.2.1g)
và các cơ sở tiến hành lựa chọn;
 Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện;
 Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như
giải trình cho việc này
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 12

Chú ý: Thông báo này cung cấp thông tin tóm tắt cho các quyết định liên quan đến việc xử
lý rủi ro. Việc giải trình các biện pháp và mục tiêu quản lý trong phụ lục A không được sử dụng
nhằm tránh khả năng bỏ sót.
1.4.2.2. Triển khai và điều hành ISMS:
Quá trình triển khai và điều hành hệ thống ISMS đòi hỏi thực hiện như sau:
a. Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài
nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an toàn thông tin.
b. Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong
đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm.
c. Triển khai các biện pháp quản lý được lựa chọn để thỏa mãn các mục tiêu quản lý.
d. Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm các
biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như thế nào
trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh
được và tái tạo được.
e. Triển khai các chương trình đào tạo nâng cao nhận thức.
f. Quản lý hoạt động hệ thống ISMS.
g. Quản lý các tài nguyên dành cho hệ thống ISMS.
h. Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự
kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin.
1.4.2.3. Giám sát và soát xét ISMS:
Để thực hiện tốt, tổ chức thực hiện các biện pháp sau đây:
a. Tiến hành giám sát, đánh giá và biện pháp quản lý an toàn thông tin khác nhằm

 Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.
 Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin.
 Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người
đã đem lại có đạt mục tiêu đề ra hay không.
 Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an
toàn thông tin bằng các chỉ thị cần thiết.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 13

 Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin.
b. Thường xuyên kiểm tra, đánh giá hiệu quả của hệ thống ISMS (bao gồm việc xem
xét tính phù hợp giữa chính sách, các mục tiêu quản lý và đánh giá của việc thực hiện
các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an
toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các đề xuất, kiến nghị
cũng như các thông tin phản hồi thu thập được.
c. Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu về bảo đảm
ATTT.
d. Soát xét lại các đánh giá rủi ro đã tiến hành đồng thời xem xét các rủi ro được bỏ qua
cũng như mức độ rủi ro có thể chấp nhận được. Trong đó lưu ý các thay đổi trong:
 Tổ chức;
 Công nghệ;
 Mục tiêu và các quá trình nghiệp vụ;
 Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định;
 Tính hiệu quả của các biện pháp quản lý đã thực hiện;
 Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy
định, điều khoản phải tuân thủ, hoàn cảnh xã hội
e. Thực hiện việc kiểm tra nội bộ hệ thống ISMS một cách định kỳ
Chú ý: Kiểm tra nội bộ đôi khi còn được gọi là kiểm tra sơ bộ và được tự thực hiện.
f. Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống ISMS để đánh giá mục tiêu
đặt ra có còn phù hợp cũng như nâng cấp cần thiết cho hệ thống ISMS.

g. Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế
thu được qua các hoạt động giám sát và đánh giá.
h. Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng ảnh hưởng đến tính
hiệu quả hoặc hiệu lực của hệ thống ISMS.
1.4.2.4. Duy trì và nâng cấp ISMS:
Tổ chức cần thường xuyên thực hiện:
a. Triển khai các nâng cấp cho hệ thống ISMS đã xác định.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 14

b. Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp. Chú ý vận dụng
kinh nghiệm đã có cũng như tham khảo từ các tổ chức khác.
c. Thông báo và thống nhất với các thành phần liên quan về các hoạt động và sự nâng
cấp của hệ thống ISMS.
d. Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra.
1.4.3. Các yêu cầu về hệ thống tài liệu
1.4.3.1. Khái quát:
Tài liệu bao gồm tập hợp các hồ sơ xử lý nhằm đảm bảo cho phép: truy lại được các quyết
định xử lý, chính sách và đảm bảo rằng các kết quả ghi nhận là có thể tái tạo lại được.
Điều quan trọng là cần nêu rõ được sự liên quan giữa các biện pháp quản lý đã chọn với kết
quả của các quy trình đánh giá và xử lý rủi ro cũng như với các chính sách và mục tiêu của hệ
thống ISMS đã được đặt ra.
Các tài liệu của hệ thống ISMS bao gồm:
a. Các thông báo về chính sách và mục tiêu của hệ thống ISMS.
b. Phạm vi của hệ thống ISMS.
c. Các thủ tục và biện pháp quản lý hỗ trợ cho hệ thống ISMS.
d. Mô tả hệ phương pháp đánh giá rủi ro.
e. Báo cáo đánh giá rủi ro.
f. Kế hoạch xử lý rủi ro.
g. Các thủ tục dạng văn bản của tổ chức để có thể đảm bảo hiệu quả của kế hoạch, sự

điều hành và quản lý các quy trình bảo đảm an toàn thông tin và mô tả phương thức
đánh giá hiệu quả của các biện pháp quản lý đã áp dụng
h. Các hồ sơ cần thiết được mô tả trong mục 4.3.3 của tiêu chuẩn này.
i. Thông báo áp dụng.
Chú ý 1: Cụm từ “thủ tục dưới dạng văn bản” trong ngữ cảnh của tiêu chuẩn quốc tế này có
nghĩa là các thủ tục đã được thiết lập, biên soạn thành tài liệu, triển khai và bảo trì.
Chú ý 2: Quy mô của tài liệu về hệ thống ISMS giữa các tổ chức là khác nhau và phụ thuộc
vào:
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 15

 Kích thước và loại hình hoạt động của tổ chức.
 Phạm vi và độ phức tạp của các yêu cầu an toàn bảo mật cũng như các hệ thống
đang được tổ chức quản lý.
Chú ý 3: Các hồ sơ và tài liệu có thể được biểu diễn dưới bất kỳ hình thức và phương tiện
nào phù hợp.
1.4.3.2. Biện pháp quản lý tài liệu:
Các tài liệu cần thiết của hệ thống ISMS cần phải được bảo vệ và quản lý thích hợp. Một thủ
tục sẽ được thiết lập để xác định các hoạt động quản lý cần thiết nhằm:
a. Phê duyệt các tài liệu thỏa đáng trước khi được ban hành;
b. Soát xét tài liệu và tiến hành các sửa đổi cần thiết để có thể phê duyệt lại;
c. Đảm bảo nhận biết được các thay đổi và tình trạng sửa đổi hiện hành của tài liệu;
d. Đảm bảo rằng các phiên bản tài liệu thích hợp luôn có sẵn ở nơi cần sử dụng;
e. Đảm bảo rằng các tài liệu phải rõ ràng, dễ đọc và dễ nhận biết;
f. Đảm bảo tài liệu phải sẵn sàng đối với người cần, được chuyển giao, lưu trữ và hủy
bỏ được áp dụng theo các thủ tục phù hợp.
g. Đảm bảo các tài liệu có nguồn gốc bên ngoài được nhận biết;
h. Đảm bảo việc phân phối tài liệu phải được quản lý;
i. Tránh việc vô tình sử dụng phải các tài liệu quá hạn;
j. Áp dụng các biện pháp định danh phù hợp đối với các tài liệu cần lưu trữ.

1.4.3.3. Biện pháp quản lý hồ sơ:
Các hồ sơ sẽ được thiết lập và duy trì để cung cấp các dẫn chứng thể hiện sự phù hợp giữa
yêu cầu và các hoạt động điều hành của hệ thống ISMS. Các hồ sơ sẽ được bảo vệ và quản lý. Hệ
thống ISMS sẽ phải chú ý đến các pháp lý liên quan, các yêu cầu sửa đổi và các ràng buộc đã
thống nhất. Hồ sơ phải dễ đọc, dễ nhận biết và có thể sửa được. Các biện pháp quản lý cần thiết
để định danh, lưu trữ, bảo vệ, sửa chữa, thời gian sử dụng và hủy bỏ của hồ sơ sẽ được biên soạn
và thực hiện. Các hồ sơ sẽ được giữ theo quy trình như đã phác thảo trong mục 4.2 và các sự cố
đáng kể xuất hiện có liên quan đến hệ thống ISMS.
Ví dụ : hồ sơ là một quyển sách ghi chép về các khách tham quan, báo cáo kiểm toán v.v…
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 16

1.5. Trách nhiệm của ban quản lý:
1.5.1. Cam kết của ban quản lý:
Ban quản lý phải cam kết sẽ cung cấp các dẫn chứng để thiết lập, triển khai, điều hành, giám
sát, đánh giá, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin bằng:
a. Thiết lập chính sách cho hệ thống bảo đảm an toàn thông tin
b. Đảm bảo rằng các mục tiêu và kế hoạch của hệ thống an toàn thông tin đã được xây
dựng.
c. Xây dựng vai trò và trách nhiệm của an toàn thông tin
d. Trao đổi với tổ chức về các mục tiêu bảo đảm an toàn thông tin và làm cho phù hợp
với các chính sách an toàn thông tin, các trách nhiệm dưới luật và cần thiết tiếp tục
cải tiến;
e. Thông tin cho toàn bộ tổ chức biết về tầm quan trọng của các mục tiêu an toàn thông
tin cần đạt được, sự tuân thủ chính sách an toàn thông tin, trách nhiệm trước pháp
luật và sự cần thiết phải nâng cấp, cải thiện hệ thống một cách thường xuyên.
f. Cung cấp đầy đủ tài nguyên cho các quá trình thiết lập, triển khai, điều hành, giám
sát, kiểm tra, bảo trì và nâng cấp hệ thống ISMS.
g. Xác định chỉ tiêu cho các rủi ro và mức độ rủi ro có thể chấp nhận được.
h. Đảm bảo việc chỉ đạo quá trình kiểm toán nội bộ hệ thống ISMS.

i. Chỉ đạo việc soát xét sự quản lý của hệ thống ISMS.
1.5.2. Quản lý nguồn lực:
1.5.2.1. Cấp phát nguồn lực:
Tổ chức phải xác định và cung cấp các nguồn lực cần thiết:
a. Thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống
ISMS;
b. Đảm bảo rằng các quy trình bảo đảm an toàn thông tin hỗ trợ cho các yêu cầu nghiệp
vụ;
c. Xác định và áp dụng các yêu cầu pháp lý và quy định cũng như các ràng buộc về an
toàn thông tin phải tuân thủ;
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 17

d. Duy trì đầy đủ an toàn bảo mật bằng cách áp dụng tất cả các biện pháp quản lý đã
được triển khai;
e. Thực hiện soát xét và có các biện pháp xử lý khi cần thiết.
f. Nâng cao năng lực của hệ thống ISMS khi cần thiết.
1.5.2.2. Đào tạo, nhận thức và năng lực
Tổ chức phải đảm bảo những người có trách nhiệm trong hệ thống ISMS phải có đầy đủ
năng lực để thực hiện các nhiệm vụ được giao bằng cách:
a. Xác định các kỹ năng cần thiết để có thể thực hiện hiệu quả công việc được giao.
b. Cung cấp các khóa đào tạo hoặc tuyển chọn người đã có năng lực để có thể thỏa mãn
yêu cầu.
c. Đánh giá mức độ hiệu quả của các hoạt động đã thực hiện
d. Lưu giữ hồ sơ về việc học vấn, quá trình đào tạo, các kỹ năng, kinh nghiệm và trình
độ chuyên môn.
Tổ chức cũng cần đảm bảo rằng tất cả những cá nhân liên quan đều nhận thức được tầm
quan trọng của các hoạt động đảm bảo an toàn thông tin và hiểu cách góp phần thực hiện các mục
tiêu của hệ thống ISMS.
1.6. Kiểm tra nội bộ ISMS:

Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xác định các mục tiêu quản lý,
biện pháp quản lý, quy trình, thủ tục trong hệ thống ISMS:
a. Theo các yêu cầu của tiêu chuẩn này, pháp lý và các quy định liên quan.
b. Theo các yêu cầu trong đảm bảo an toàn thông tin.
c. Phải đảm bảo hiệu quả trong triển khai và duy trì.
d. Hoạt động diễn ra đúng như mong muốn.
Các chương trình kiểm tra sẽ được lên kế hoạch và cần xem xét đến các vấn đề như hiện
trạng, ý nghĩa của các quy trình và phạm vi được kiểm tra. Các chỉ tiêu, phạm vi, tần suất và biện
pháp sẽ được xác định. Sự lựa chọn người tiến hành kiểm tra (kiểm tra viên) và cách hướng dẫn,
chỉ đạo kiểm tra sẽ đảm bảo tính khách quan, công bằng cho quá trình kiểm tra. Kiểm tra viên
không nên tự kiểm tra công việc của mình.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 18

Các trách nhiệm và yêu cầu cho việc lập kế hoạch và hướng dẫn kiểm tra, báo cáo kết quả
và lưu giữ hồ sơ (xem 1.4.3.3) phải được xác định rõ ràng trong một thủ tục dưới dạng văn bản.
Ban quản lý chịu trách nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo các hoạt
động được thực hiện đúng thời hạn nhằm loại bỏ các vi phạm. Các hoạt động tiếp theo sẽ bao
gồm việc thẩm tra các hoạt động đã thực hiện và lập báo cáo về kết quả thẩm tra này.
1.7. Ban quản lý soát xét ISMS:
1.7.1. Khái quát:
Ban quản lý sẽ soát xét hệ thống ISMS của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần
trong năm) để luôn luôn đảm bảo tính chất phù hợp, đầy đủ và hiệu quả. Sự xoát xét này bao gồm
đánh giá các cơ hội cho việc nâng cấp và sự cần thiết phải thay đổi của hệ thống ISMS, bao gồm
các chính sách an toàn thông tin và mục tiêu an toàn thông tin. Các kết quả của việc soát xét sẽ
được lưu giữ và biên soạn thành tài liệu (xem 1.4.3.3).
1.7.2. Đầu vào của việc soát xét:
Đầu vào cho ban quản lý tiến hành việc soát xét hệ thống ISMS bao gồm:
a. Các kết quả kiểm tra và soát xét hệ thống ISMS.
b. Thông tin phản hồi từ các bộ phận có liên quan.

c. Các kỹ thuật, sản phẩm hoặc thủ tục có thể được sử dụng trong tổ chức nhằm nâng
cao hiệu quả và năng lực của hệ thống ISMS.
d. Hiện trạng của các hành động ngăn ngừa và khắc phục, sửa chữa.
e. Các lỗ hổng hoặc nguy cơ mất an toàn thông tin không được đề cập một cách thấu
đáo trong lần đánh giá rủi ro trước.
f. Các kết quả đánh giá năng lực của hệ thống.
g. Các hoạt động tiếp theo lần soát xét trước.
h. Các thay đổi có ảnh hưởng đến hệ thống ISMS
i. Các kiến nghị nhằm cải thiện hệ thống.
1.7.3. Đầu ra của việc soát xét:
Ban quản lý sau khi soát xét hệ thống ISMS sẽ cần đưa ra các quyết định và hoạt động trong việc:
a. Nâng cao năng lực của hệ thống ISMS.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 19

b. Cập nhật kế hoạch đánh giá và xử lý rủi ro.
c. Sửa đổi các thủ tục và biện pháp quản lý có ảnh hưởng cần thiết đến bảo đảm an toàn
thông tin nhằm đối phó lại với các sự kiện có thể gây tác động đến hệ thống ISMS,
bao gồm:
 Các yêu cầu trong hoạt động nghiệp vụ.
 Các yêu cầu an toàn bảo mật.
 Các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp
vụ của tổ chức.
 Các yêu cầu về pháp lý và quy định.
 Các ràng buộc theo các hợp đồng đã ký kết
 Mức độ rủi ro và/hoặc chỉ tiêu chấp nhận rủi ro.
d. Các nhu cầu cần thiết về tài nguyên.
e. Nâng cao phương thức đánh giá mức độ hiệu quả của các biện pháp quản lý.
1.8. Nâng cấp ISMS:
1.8.1. Nâng cấp thường xuyên:

Tổ chức phải thường xuyên nâng cao tính hiệu lực của hệ thống ISMS thông qua việc tận
dụng chính sách đảm bảo an toàn thông tin, các mục tiêu đảm bảo an toàn thông tin, các kết quả
kiểm tra, kết quả phân tích các sự kiện đã xảy ra, các hành động ngăn ngừa và khắc phục cũng
như các kết quả soát xét của ban quản lý.
1.8.2. Hành động khắc phục:
Tổ chức phải thực hiện loại bỏ các nguyên nhân của các vi phạm với yêu cầu của hệ thống
ISMS. Các thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xác định rõ các yêu cầu sau:
a. Xác định các vi phạm.
b. Tìm ra nguyên nhân của các vi phạm trên.
c. Đánh giá các hành động cần thiết nhằm ngăn chặn các vi phạm này xuất hiện trở lại.
d. Quyết định và triển khai các hành động khắc phục cần thiết.
e. Lập hồ sơ các kết quả khi thực hiện các hành động trên.
f. Soát xét lại các hành động khắc phục đã được thực hiện.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 20

1.8.3. Hành động phòng ngừa:
Tổ chức cần xác định các hành động để tránh các nguyên nhân gây ra các vi phạm tiềm ẩn
có thể phát sinh với hệ thống ISMS để có các biện pháp bảo vệ và phòng ngừa. Các hành động
bảo vệ và phòng ngừa cần được thực hiện phù hợp với các tác động mà các vi phạm này có thể
gây ra. Các thủ tục dưới dạng văn bản để bảo vệ, phòng ngừa cần xác định rõ các yêu cầu sau:
a. Xác định các vấn đề vi phạm tiềm ẩn và nguyên nhân gây ra chúng.
b. Đánh giá sự cần thiết của các hành động ngăn chặn các vi phạm này xuất hiện.
c. Xác định và triển khai các hành động trên.
d. Lập hồ sơ về các hành động này (xem 1.4.3.3).
e. Soát xét các hành động đã được thực hiện trên.
Tổ chức cần nhận biết các rủi ro đã thay đổi và xác định các hành động phù hợp đáp ứng lại
các thay đổi này. Mức ưu tiên của các hành động bảo vệ và phòng ngừa sẽ được xác định dựa trên
kết quả của quá trình đánh giá rủi ro.
Chú ý: Hành động nhằm ngăn chặn trước các vi phạm thường hiệu quả và kinh tế hơn là đi

khắc phục sự cố do các vi phạm gây ra.
1.9. Triển khai tiêu chuẩn ISO 27001 cho tổ chức:
Để việc triển khai đạt được kết quả tốt nhất, tổ chức cần phải thực hiện theo các bước sau:
a. Bước 1: Khởi động dự án
Thi hành ISO 27001:2005 dưới các hình thức: ủng hộ cam kết từ lãnh đạo cấp cao, chọn và
đào tạo tất cả các thành viên của nhóm khởi động là một phần trong dự án.
b. Bước 2: Thiết lập ISMS
Nhận dạng phạm vi và giới hạn của cơ cấu quản lý an toàn thông tin là cốt lõi cho dự án.
Nghiên cứu để thiết lập yêu cầu của ISMS và sắp xếp các tài liệu an ninh đã tồn tại trong tổ chức.
c. Bước 3: Đánh giá rủi ro
Đánh giá rủi ro là thao tác cơ bản để triển khai cơ cấu quản lý an ninh thông tin.
 Khảo sát các cấp độ tuân thủ với ISO 27001:2005.
 Định giá tài sản để được bảo vệ và tạo thống kê tài sản.
 Nhận dạng và đánh giá các mối đe dọa và những nơi dễ bị tấn công.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 21

 Tính toán liên quan đến giá trị rủi ro.
d. Bước 4: Xử lý rủi ro
Nhận dạng và đánh giá các khả năng có thể cho việc xử lý rủi ro. Làm cách nào để giảm rủi
ro đến cấp độ có thể chấp nhận được bằng việc chọn và thi hành các kiểm soát.
e. Bước 5: Đào tạo và nhận thức
Nhân viên có thể giới thiệu các liên kết yếu trong chuỗi an ninh. Nghiên cứu cách làm thế
nào để thiết lập chương trình nhận thức an toàn thông tin.
f. Bước 6: Chuẩn bị đánh giá
Nghiên cứu cách xác thực cơ cấu quản lý và để chuẩn bị cho việc đánh giá của chuyên gia
đánh giá nội bộ.
g. Bước 7: Đánh giá
Xem xét các bước thực hiện của chuyên gia đánh giá bên ngoài và đoàn đánh giá chứng
nhận chính thức.

h. Bước 8: Kiểm soát và cải tiến liên tục
Cải tiến hiệu quả của hệ thống ISMS phù hợp với mô hình quản lý của tổ chức được ghi
nhận bởi ISO.
1.10. Lợi ích của việc áp dụng
Việc tuân theo hoặc đạt được chứng chỉ chuẩn ISO 27001:2005 không thể chứng minh tổ
chức được đảm bảo an toàn 100%. Không có điều gì là an ninh hoàn toàn ngoại trừ không làm gì
cả. Tuy nhiên, sự thừa nhận chuẩn quốc tế này đưa ra những lợi ích chắc chắn mà người quản lý
cần phải xem xét:
a. Cấp độ tổ chức: Sự cam kết, chứng chỉ như là một cam kết hiệu quả của nổ lực đưa
an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính
những người quản trị.
b. Cấp độ pháp luật - Tuân thủ: chứng minh cho nhà chức trách rằng tổ chức đã tuân
theo tất cả các luật và các qui định áp dụng. Điều quan trọng là chuẩn đã được bổ
sung nhưng chuẩn và luật lại tồn tại khác nhau.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 22

c. Cấp độ điều hành - Quản lý rủi ro: mang lại những hiểu biết tốt hơn về các hệ thống
thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng. Tương tự, nó đảm
bảo nhiều khả năng sẵn sàng phụ thuộc ở cả phần cứng và phần mềm.
d. Cấp độ thương mại - Sự tín nhiệm và tin cậy: các thành viên, cổ đông, và khách hàng
vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông
tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.
e. Cấp độ tài chính: tiết kiệm chi phí khắc phục các lỗ hỏng an ninh và có khả năng
giảm chi phí bảo hiểm.
f. Cấp độ con người: cải tiến nhận thức của nhân viên về các vấn đề an ninh và trách
nhiệm của họ trong tổ chức.
1.11. Thực trạng áp dụng tiêu chuẩn ISO 27001 tại Việt Nam
Trong lễ khai giảng khóa học về “Chương trình đào tạo an ninh thông tin và tiêu chuẩn
ISO/IEC 27001:2005”, Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng nhấn mạnh vai trò của hệ

thống tiêu chuẩn ISO này đối với các tổ chức, doanh nghiệp. Đó là việc áp dụng ISO 27001 giúp
các tổ chức, doanh nghiệp có được hệ thống quản lý an toàn thông tin toàn diện, giảm thiểu các
rủi ro có thể xảy ra do những sự cố về thông tin và tăng cường khả năng đối phó với các tình
huống khẩn cẩp từ nguy cơ xâm nhập đến nguy cơ vật lý.
Tuy nhiên theo số liệu chính thức của Tổ chức ISO thì tính đến tháng 7 năm 2013 Việt Nam
mới có 14 tổ chức, doanh nghiệp đạt chuẩn ISO/IEC 27001:2005. Còn theo số liệu không chính
thức của các tổ chức tư vấn đánh giá thì con số tổ chức, doanh nghiệp đạt chuẩn đang ở khoảng
40. Ngay cả trong lĩnh vực CNTT thì số lượng đơn vị đạt chuẩn này còn rất ít, chỉ khoảng 1%.
Số lượng tổ chức, doanh nghiệp triển khai ISO 27001 đa phần thuộc các lĩnh vực ngân hàng,
tài chính và các trung tâm dữ liệu (data center). Còn trong lĩnh vực phần mềm thì số lượng rất
khiêm tốn. Nguyên do chính khiến tỉ lệ doanh nghiệp CNTT có các chứng chỉ trên còn khiêm tốn
là do vấn đề kinh phí và nhận thức. Ngoài các chi phí tư vấn, đánh giá, thi lấy chứng chỉ, khoản
kinh phí duy trì hàng năm cho phần mềm bản quyền, thiết bị CNTT thường khiến nhiều doanh
nghiệp hụt hơi. Một vài doanh nghiệp còn chưa nhận thức rõ các yêu cầu của tiêu chuẩn ví dụ
như chỉ lấy chứng chỉ là xong trong khi việc đánh giá phải thực hiện định kỳ hàng năm nên bị
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 23

ISO loại khỏi danh sách đạt chuẩn (theo quy định thì mỗi năm doanh nghiệp phải trải qua 1 lần
đánh giá lại, sau 3 năm hết hạn chứng chỉ thì phải chuẩn bị cho đợt đánh giá cấp chứng chỉ mới).
Tuy nhiên, nếu doanh nghiệp xác định đây là một khoản đầu tư để có được những hợp đồng lớn,
mọi việc sẽ khác.
Nhận thấy việc triển khai ISO/IEC 27001:2005 đang là yêu cầu cấp thiết đối với các tổ chức
và doanh nghiệp, Bộ thông tin và truyền thông (TT&TT) đã triển khai “Chương trình đào tạo về
an ninh thông tin và tiêu chuẩn ISO/IEC 27001:2005 cho các tổ chức, doanh nghiệp”. Ngoài việc
hỗ trợ đào tạo, nâng cao nhận thức, Bộ TT&TT cũng hỗ trợ các tổ chức, doanh nghiệp CNTT
triển khai hệ thống quản lý an toàn thông tin ISO 27001 với mức tối đa 20.000 USD/doanh
nghiệp. Trong đó, phần xây dựng, áp dụng quy trình ISO 27001 sẽ được nhận khoảng 12.000
USD/doanh nghiệp (ưu tiên những đơn vị triển khai ISO 27001 lần đầu) và phần đánh giá, đạt
chứng chỉ cho năm đầu tiên được nhận 8.000 USD/doanh nghiệp (hỗ trợ cho đơn vị làm mới

chứng chỉ hoặc tái chứng nhận).
Một tín hiệu vui là số lượng tổ chức, doanh nghiệp đăng ký tham gia các khóa đào tạo lớn
hơn dự kiến ban đầu của Bộ TT&TT và không ít doanh nghiệp đành phải chờ cơ hội khác. Điều
này cho thấy các tổ chức, doanh nghiệp đã có sự thay đổi tích cực chí ít về tư duy nhận thức đối
với việc triển khai hệ thống quản lý an toàn an ninh thông tin.

TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 24

Phần 2: Phân tích thực trạng tình hình áp dụng tiêu chuẩn ISO
27001:2005 tại Ngân hàng TMCP Ngoại thương Việt Nam (VCB)
2.1. Giới thiệu Ngân hàng TMCP Ngoại thương Việt Nam
2.1.1. Giới thiệu chung:
Ngân hàng Ngoại thương Việt Nam trước đây, nay là Ngân hàng TMCP Ngoại thương Việt
Nam (Vietcombank) được thành lập và chính thức đi vào hoạt động ngày 01/4/1963, với tổ chức
tiền thân là Cục Ngoại hối (trực thuộc Ngân hàng Nhà nước Việt Nam). Là ngân hàng thương
mại nhà nước đầu tiên được Chính phủ lựa chọn thực hiện thí điểm cổ phần hoá, Ngân hàng
Ngoại thương Việt Nam chính thức hoạt động với tư cách là một Ngân hàng TMCP vào ngày
02/06/2008 sau khi thực hiện thành công kế hoạch cổ phần hóa thông qua việc phát hành cổ phiếu
lần đầu ra công chúng. Ngày 30/06/2009, cổ phiếu Vietcombank (mã chứng khoán VCB) chính
thức được niêm yết tại Sở Giao dịch Chứng khoán TPHCM.
Trải qua 50 năm xây dựng và phát triển, Vietcombank đã có những đóng góp quan trọng
cho sự ổn định và phát triển của kinh tế đất nước, phát huy tốt vai trò của một ngân hàng đối
ngoại chủ lực, phục vụ hiệu quả cho phát triển kinh tế trong nước, đồng thời tạo những ảnh
hưởng quan trọng đối với cộng đồng tài chính khu vực và toàn cầu.
Từ một ngân hàng chuyên doanh phục vụ kinh tế đối ngoại, Vietcombank ngày nay đã trở
thành một ngân hàng đa năng hoạt động đa lĩnh vực, cung cấp cho khách hàng đầy đủ các dịch vụ
tài chính hàng đầu trong lĩnh vực thương mại quốc tế; trong các hoạt động truyền thống như kinh
doanh vốn, huy động vốn, tín dụng, tài trợ dự án…cũng như mảng dịch vụ ngân hàng hiện đại:
kinh doanh ngoại tệ và các công vụ phái sinh, dịch vụ thẻ, ngân hàng điện tử…

Sở hữu hạ tầng kỹ thuật ngân hàng hiện đại, Vietcombank có lợi thế rõ nét trong việc ứng
dụng công nghệ tiên tiến vào xử lý tự động các dịch vụ ngân hàng, phát triển các sản phẩm, dịch
vụ điện tử dựa trên nền tảng công nghệ cao. Các dịch vụ: VCB Internet Banking, VCB Money,
SMS Banking, VCB Cyber Bill Payment,…đã, đang và sẽ tiếp tục thu hút đông đảo khách hàng
bằng sự tiện lợi, nhanh chóng, an toàn, hiệu quả, dần tạo thói quen thanh toán không dùng tiền
mặt (qua ngân hàng) cho khách hàng.
TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN
Trang 25

Sau gần nửa thế kỷ hoạt động trên thị trường, Vietcombank hiện có trên 13.560 cán bộ nhân
viên, với gần 400 Chi nhánh/Phòng Giao dịch/Văn phòng đại diện/Đơn vị thành viên trong và
ngoài nước, gồm Hội sở chính tại Hà Nội, 1 Sở Giao dịch, 1 Trung tâm Đào tạo, 78 chi nhánh và
hơn 300 phòng giao dịch trên toàn quốc, 3 công ty con tại Việt Nam, 2 công ty con tại nước
ngoài, 1 văn phòng đại diện tại Singapore, 5 công ty liên doanh, liên kết. Bên cạnh đó,
Vietcombank còn phát triển một hệ thống Autobank với khoảng 1.835 ATM và 32.178 điểm chấp
nhận thanh toán thẻ (POS) trên toàn quốc. Hoạt động ngân hàng còn được hỗ trợ bởi mạng lưới
hơn 1.300 ngân hàng đại lý tại 100 quốc gia và vùng lãnh thổ.
Với bề dày hoạt động và đội ngũ cán bộ có chuyên môn vững vàng, nhạy bén với môi
trường kinh doanh hiện đại, mang tính hội nhập cao…Vietcombank luôn là sự lựa chọn hàng đầu
của các tập đoàn, các doanh nghiệp lớn và của đông đảo khách hàng cá nhân.
Bằng trí tuệ và tâm huyết, các thế hệ cán bộ nhân viên Vietcombank đã, đang và sẽ luôn nỗ
lực để xây dựng Vietcombank xứng đáng với vị thế là ngân hàng hàng đầu tại Việt Nam.
2.1.2. Sứ mạng: Hướng tới một ngân hàng xanh, phát triển bền vững vì cộng đồng.
2.1.3. Tầm nhìn:
Vietcombank sẽ phát triển dựa trên nền tảng công nghệ hiện đại, nguồn nhân lực chất lượng
cao, và quản trị theo chuẩn mực quốc tế; hướng đến một tập đoàn tài chính ngân hàng hoạt động
đa năng, có vị thế hàng đầu tại Việt Nam, có tầm ảnh hưởng và phạm vi hoạt động ở khu vực và
quốc tế, phấn đấu trở thành một trong hai ngân hàng hàng đầu tại Việt Nam có sức ảnh hưởng
trong khu vực và là một trong 300 tập đoàn ngân hàng tài chính lớn nhất thế giới vào năm 2020.
2.1.4. Các tiêu chuẩn ISO được áp dụng tại VCB:

Tính đến hiện tại, VCB có bộ quy trình tiêu chuẩn khá đồ sộ ở tất cả các công việc. Tuy
nhiên chỉ có bộ tiêu chuẩn quản lý an toàn thông tin là đạt chuẩn ISO 27001:2005. Và trong kế
hoạch cũng như định hướng sắp tới, VCB đang nỗ lực để đạt được thêm các tiêu chuẩn ISO trong
quản lý nhằm nâng cao tính chuyên nghiệp và uy tín của VCB trên thị trường và đặc biệt là đối
với khách hàng.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×