Tải bản đầy đủ
2 Tình hình quản lý an toàn thông tin ở Việt Nam

2 Tình hình quản lý an toàn thông tin ở Việt Nam

Tải bản đầy đủ

5 nhóm, phản ánh hiện trạng môi trường và các biện pháp an toàn thông tin tại Việt
Nam bao gồm:
1) Đào tạo, tuyên truyền nâng cao nhận thức về an toàn thông tin;
2) Ban hành các chính sách hỗ trợ an toàn thông tin và đầu tư kinh phí cho
an toàn thông tin;
3) Xây dựng tổ chức, đầu tư nhân lực an toàn thông tin;
4) Thực hiện các biện pháp về kỹ thuật đảm bảo an toàn thông tin;
5) Thực hiện các biện pháp về quản lý đảm bảo an toàn thông tin.

Kết quả khảo sát chỉ số an toàn thông tin tại Việt Nam năm 2013 của VNISA
Kết quả điều tra cho thấy nhận thức về các vấn đề khó khăn trong việc thực thi bảo vệ
an toàn cho hệ thống thông tin, nhận thức về sự cần thiết tăng kinh phí đầu cho an toàn
thông tin của tổ chức trong năm sau là tương đối cao. Nhưng về các biện pháp kĩ thuật
hay biện pháp quản lý thì còn thấp.
3 Kết Luận
Từ đó cho thấy, sự bùng nổ của Internet, của thương mại điện tử bên cạnh việc tạo ra
những cơ hội lớn là những nguy cơ rủi ro cho nền kinh tế và xã hội hiện đại. Mặc dù
nhận thức về an toàn thông tin của các doanh nghiệp tư nhân hay nhà nước đã được
chú trọng. Nhưng tội phạm công nghệ cao ngày một tinh vi, các vấn đề mất an toàn
thông tin, mất an toàn mạng là một nguy cơ hiện hữu và ngày càng trở nên nguy hiểm.

Chúng ta cần phải có những biện pháp quản lý thích hợp nhằm phòng chống hạn chế
tối đa những thiệt hại của việc mất an toàn thông tin mang lại. Phần tiếp theo sẽ trình
bày về tình hình xây dựng các tiêu chuẩn an toàn thông tin trên thế giới và tại Việt
Nam. Sau khi có cái nhìn toàn cảnh về tình hình tiêu chuẩn hóa, cũng như phạm vi của
tiêu chuẩn xây dựng trong toàn bộ dự án nhóm xây dựng tiêu chuẩn sẽ xác định và đưa
ra được hướng xây dựng tiêu chuẩn.

CHƯƠNG 2. NGHIÊN CỨU CÁC TIÊU CHUẨN QUỐC TẾ VÀ QUỐC
GIA VỀ QUẢN LÝ AN TOÀN THÔNG TIN

Trước khi đi vào xây dựng tiêu chuẩn cụ thể ở phần sau, trong phần này sẽ rà soát các
tiêu chuẩn quốc tế và quốc gia về quản lý an toàn thông tin.
1 Các tiêu chuẩn quốc tế
1.1 Bộ tiêu chuẩn ISO/IEC 27000
Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình để thiết lập, thực hiện, điều hành,
theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn thông tin (ISMS). Bộ
tiêu chuẩn ISO/IEC 27000 được soạn thảo bởi ủy ban kỹ thuật chung ISO/IEC JTC 1,
công nghệ thông tin, tiểu ban SC 27, các kỹ thuật an toàn thông tin. ISMS được thiết
kế nhằm đảm bảo rằng sự lựa chọn các phương pháp kiểm soát an toàn thỏa đáng và
phù hợp nhằm bảo vệ các tài sản thông tin và tạo niềm tin cho các bên quan tâm.
Bộ tiêu chuẩn ISO/IEC 27000 giúp nhận biết, đánh giá được cái rủi ro, xây dựng các
biện pháp và tạo ý thức, trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ
chức.
Bộ tiêu chuẩn này có thể áp dụng cho tất cả các loại hinh tổ chức (như các doanh
nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận). Tiêu chuẩn này xác định các
yêu cầu để thiết lập, thực hiện, vận hành, theo dõi xem xét duy trì và cải tiến ISMS
dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc của tổ chức. Xác định
rõ các yêu cầu thực hiện kiểm soát an toàn tùy biến cho phù hợp với từng tổ chức hay
các bộ phận riêng rẽ.
Bộ tiêu chuẩn ISO/IEC 27000 bao gồm các tiêu chuẩn sau :
a)
b)
c)
d)
e)
f)
g)
h)
i)

ISO/IEC 27000 – ISMS Tổng quát và từ vựng;
ISO/IEC 27001 – ISMS yêu cầu;
ISO/IEC 27002 –Chuẩn mực thực hiện ISM;
ISO/IEC 27003 – Hướng dẫn triển khai ISMS;
ISO/IEC 27004 – Đo lường ISM;
ISO/IEC 27005 – Quản lý rủi ro IS;
ISO/IEC 27006 – Yêu cầu về tổ chức đánh giá và chứng nhận ISMS;
ISO/IEC 27011 – Hướng dẫn ISM cho tổ chức viễn thông;
ISO 27799 – ISM trong y tế sử dụng ISO/IEC 27002;

j) ISO/IEC 27007 –Hướng dẫn đánh giá ISMS;
k) ISO/IEC 27008 – Hướng dẫn cho chuyên gia đánh giá về ISMS controls;
l) ISO/IEC 27013 – Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC
27001;
m) ISO/IEC 27014 – Khung quản lý IS;
n) ISO/IEC 27015 – Hướng dẫn ISM cho tài chính và bảo hiểm;
o) ISO/IEC 27031 – Hướng dẫn mức độ sẵn sàng ICT cho BCM;
p) ISO/IEC 27032 – Hướng dẫn cybersecurity;
q) ISO/IEC 27033 – IT network security;
r) ISO/IEC 27034 – Hướng dẫn application security;
s) ISO/IEC 27035 – Quản lý security incident;
t) ISO/IEC 27036 – Hướng dẫn bảo mật sử dụng trong outsourcing;
u) ISO/IEC 27037 – Hướng dẫn xác định, thu thập hoặc thu nhận và bảo quản các
bằng chứng số.
Có một số tiêu chuẩn không được đề cập (ví dụ như ISO 27012 cho egovermment) là
do nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ điều kiện để nâng
cấp lên thành tiêu chuẩn do Ủy ban kỹ thuật của ISO và IEC quyết định.
Dưới đây là bảng quan hệ của các chuẩn 27000 thuộc bộ chuẩn ISMS.