Hoạt động ngoại khoá | Trung Tâm Đào Tạo Lập Trình Viên Quốc Tế
 
  • CUSC ĐẠT CHỨNG NHẬN ISO 27001:2022 CHO HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
  • Cập nhật vào ngày:
  • Số lần xem: 977
  • Tác giả: Ngọc Xuân - Minh Thụy

ISO/IEC 27001 là tiêu chuẩn quốc tế được phát triển và ban hành bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO). Tiêu chuẩn này đưa ra các yêu cầu, phương pháp để thực hiện đánh giá độc lập hệ thống quản lý an toàn thông tin và chứng nhận cho hệ thống ISMS, áp dụng cho bất kỳ tổ chức có quy mô nhỏ hay lớn và ở bất kỳ lĩnh vực nào hoặc tại điểm nào trên thế giới. Tiêu chuẩn này cần thiết cho những tổ chức mà việc bảo vệ thông tin được xem là vấn đề thiết yếu như y tế, công cộng, tài chính, giáo dục hay công nghệ thông tin,… Đặc biệt ISO 27001 đem lại hiệu quả/lợi ích rất cao cho các tổ chức mà ở đó có quản lý các thông tin cho các đơn vị khác như các đơn vị gia công hay sản xuất phần mềm, bởi vì, việc áp dụng thành công tiêu chuẩn ISO 27001 là một cách hữu hiệu để đảm bảo với khách hàng và đối tác rằng những thông tin của họ đang được bảo vệ an toàn, từ đó tăng sự tin cậy của khách hàng, đối tác lên quá trình cung cấp sản phẩm, dịch vụ của đơn vị.

ISO/IEC 27001 được chính thức ra mắt năm 2005 với tên gọi ISO/IEC 27001:2005, nâng cấp phiên bản năm 2013 thành ISO/IEC 27001:2013, và mới nhất là phiên bản ISO/IEC 27001:2022 được ban hành tháng 10/2022 với tên gọi đầy đủ khi dịch sang tiếng Việt là “An toàn thông tin, An ninh mạng và Bảo vệ quyền riêng tư – Hệ thống Quản lý an toàn thông tin – Các yêu cầu”.

Cấu trúc ISO 27001:2022 bao gồm 2 phần, gồm “Điều khoản” và “Biện pháp kiểm soát” (Phụ lục A).

Trong phần Điều khoản, từ mục 4 đến mục 10 là các yêu cầu bắt buộc khi tổ chức thực hiện áp dụng và đạt chứng nhận ISO 27001:

  • Điều khoản 4 – Phạm vi tổ chức.
  • Điều khoản 5 – Lãnh đạo.
  • Điều khoản 6 – Lập kế hoạch.
  • Điều khoản 7 – Hỗ trợ.
  • Điều khoản 8 – Vận hành hệ thống.
  • Điều khoản 9 – Đánh giá hiệu năng hệ thống.
  • Điều khoản 10 – Cải tiến hệ thống.

Biện pháp kiểm soát (Phụ lục A) bao gồm 93 biện pháp kiểm soát được chia thành 04 nhóm:

  • 37 biện pháp kiểm soát về Tổ chức.
  • 08 biện pháp kiểm soát về Con người.
  • 14 biện pháp kiểm soát về Môi trường vật lý.
  • 34 biện pháp kiểm soát về Công nghệ.

Tổ chức sẽ lựa chọn những biện pháp kiểm soát trong số trên phù hợp với mình để áp dụng, có thể bổ sung thêm những biện pháp khác (nếu cần). Tuy nhiên, việc loại bỏ bất kỳ biện pháp kiểm soát nào chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp. 

Tất nhiên, chúng ta đều hiểu rất rõ ràng rằng: không có gì là an ninh và an toàn tuyệt đối ngoại trừ chúng ta không làm gì cả, và việc áp dụng, tuân thủ hay được cấp chứng nhận phù hợp theo tiêu chuẩn ISO 27001 không có nghĩa là đảm bảo 100% an toàn cho hệ thống thông tin. Bởi chính vì vậy, các tổ chức thường cân nhắc kỹ càng về các lợi ích mà chứng nhận ISO 27001 có thể mang lại, điển hình ở một số khía cạnh sau:

Tại CUSC, nhu cầu xây dựng hệ thống quản lý an toàn thông tin đạt chuẩn 27001 đã được Ban Giám đốc xác định là rất cần thiết cho việc sản xuất, cung cấp dịch vụ, sản phẩm cho khách hàng ở cả 02 mảng hoạt động chính hiện nay là sản xuất phần mềm và đào tạo nhân lực CNTT, đồng thời cũng nhân dịp này để sắp xếp, sàng lọc, chuẩn hóa, thiết lập quy trình, từng bước chuyên nghiệp hóa các hoạt động quản lý an toàn, an ninh thông tin của CUSC.

Năm 2022, Ban Giám đốc chỉ đạo Phòng Quản trị chất lượng nghiên cứu, triển khai kế hoạch xây dựng tài liệu quản lý an toàn thông tin áp dụng cho toàn CUSC,  hướng đến đạt chứng nhận quốc tế ISO 27001 cho mảng hoạt động sản xuất phần mềm, chậm nhất là quý 2/2023.

Tháng 11/2022, sự ra đời của Tổ Quản trị và An ninh mạng là bước chuẩn bị sẵn sàng về nhân lực, song song với việc tổ chức các khóa đào tạo về nhận thức và đánh giá viên nội bộ theo ISO 27001, tiếp theo là ban hành đưa vào áp dụng các tài liệu gồm Sổ tay chất lượng và An toàn thông tin, Quy chế bảo mật, bảo đảm an toàn an ninh thông tin và thực hiện đánh giá nội bộ, xem xét của Lãnh đạo về mức độ phù hợp của hệ thống quản lý an toàn thông tin tại CUSC so với yêu cầu của tiêu chuẩn.

Ngày 29/3/2023 – đúng dịp kỷ niệm ngày thành lập - CUSC đã tổ chức tiếp và làm việc với chuyên gia đến đánh giá chứng nhận hệ thống quản lý an toàn thông tin CUSC theo tiêu chuẩn quốc tế ISO 27001:2022.

 

 

Sau 01 ngày làm việc với Ban Lãnh đạo CUSC và các Viên chức phụ trách liên quan đến hệ thống an toàn thông tin, anh Phạm Thắng Lợi - Giám đốc Công ty TQCSI – xác nhận và chúc mừng hệ thống quản lý an toàn thông tin hiện tại của CUSC (phạm vi chứng nhận là mảng hoạt động sản xuất phần mềm) đã cơ bản đáp ứng được các yêu cầu của tiêu chuẩn quốc tế ISO 27001:2022. Tuy nhiên, CUSC cũng cần lên kế hoạch thực hiện khắc phục đối với một số điểm được ghi nhận qua báo cáo đánh giá, nhằm hoàn thiện và tăng cường hiệu lực, hiệu quả cho hệ thống quản lý an toàn thông tin của đơn vị.     

 

       

 

Ngày 4/5/2023, chứng nhận hệ thống Quản lý an toàn thông tin theo chuẩn quốc tế ISO 27001:2022 đã được gửi về cho CUSC.