Home - ISO 27001 - Khó khăn khi tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam – ISO 27001

Khó khăn khi tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam – ISO 27001

Trong bối cảnh công nghệ được ứng dụng sâu rộng trong toàn bộ lĩnh như vực kinh tế, xã hội, chính trị như hiện nay. Vấn đề về an toàn thông tin lại càng được nhận sự thu hút, sự quan tâm mạnh mẽ. Đối với các doanh nghiệp hay cơ quan nhà nước thì việc đẩy mạnh triển khai và đạt tiêu chuẩn về quản lý an toàn thông tin – ISO 27001. Thế nhưng, việc áp dụng tiêu chuẩn này lại gặp không ít khó khăn. Vậy, những khó khăn khi tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam là gì?

Khó khăn khi tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam – ISO 27001.

Tiêu chuẩn an toàn thông tin – ISO 27001

Tiêu chuẩn an toàn thông tin – ISO 27001 là tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin (ISMS) được ban hành bởi Tổ chức tiêu chuẩn hóa quốc tế. Tiêu chuẩn này được công nhận và áp dụng rộng rãi trên phạm vi toàn cầu. Việt Nam là một trong những quốc gia áp dụng và thực hiện bảo vệ hệ thống an toàn thông tin theo tiêu chuẩn này.

Tiêu chuẩn được thực hiện dựa trên nguyên tắc tiếp cận rủi ro, mối nguy hại trong hoạt động để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến hệ thống an toàn thông tin. Với mục đích là nhằm đảm bảo được tính bảo mật (Confidentiality), tính sẵn sàng (Availability), tính nguyên vẹn (Integrity) đối với tài nguyên thông tin của các loại hình tổ chức như là cơ quan nhà nước, cơ quan chính phủ, tổ chức phi lợi nhuận, doanh nghiệp, tập đoàn,…

Khó khăn khi tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam – ISO 27001.

Tiêu chuẩn này đề ra chu trình hoạt động khép kín đó là PDCA: Lập kế hoạch – Thực hiện – Kiểm tra – Hành động điều chỉnh gồm 4 pha khác nhau đó là:

(1) Thiết lập ISMS.

(2) Thực thi và vận hành ISMS.

(3) Giám sát và rà soát ISMS.

(4) Duy trì và cải thiện ISMS.

Tiêu chuẩn ISO 27001 bao gồm 39 mục tiêu kiểm soát và có 132 biện pháp kiểm soát an toàn thông tin. Các biện pháp kiểm soát được chia thành 11 nhóm khác nhau:

(1) Chính sách ISMS.

(2) Cơ cấu tổ chức ISMS.

(3) Quản lý tài sản.

(4) Bảo mật tài nguyên và con người.

(5) Bảo mật vật chất và môi trường.

(6) Quản lý vận hành và trao đổi thông tin.

(7) Kiểm soát truy cập.

(8) Áp dụng, duy trì và phát triển các hệ thống thông tin.

(9) Xử lý sự cố ISMS.

(10) Duy trì liên tục hoạt động kinh doanh.

(11) Tính tuân thủ pháp luật.

Nguy cơ đáng báo động về việc mất an toàn thông tin tại Việt Nam

Theo một báo cáo tổng hợp về an toàn thông tin của nhiều hãng bảo mật ở nước ngoài như Kaspersky, CheckPoint, McAfee,… Hiện nay, Việt Nam chúng ta đang bị xếp vào nhóm 10 nước trên thế giới thuộc diện mất an toàn thông tin cao với vị trí thứ 5, sau các nước là Trung Quốc, Nga, Mỹ và Ấn Độ về mức độ rủi ro đối với cả người dùng, cũng như những nhà cung cấp dịch vụ internet. Nguy cơ này không chỉ tồn tại ở các cơ quan nhà nước, tổ chức mà còn hiển hiện rất rõ nét trong doanh nghiệp.

Khó khăn khi tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam – ISO 27001.

Theo một thống kê của Hiệp hội An toàn thông tin Việt Nam (VNISA). Đại đa số các cuộc tấn công đều theo kiểu từ chối dịch vụ (DDoS), có đến khoảng 78% website có tên miền là “gov.vn” có thể bị tấn công. Trong năm 2012, khoảng 35% các doanh nghiệp, cơ quan nhà nước bị tấn công theo hình thức là bị hacker gửi mã độc để phá hủy hệ thống dữ liệu, thông tin.

Theo đánh giá chung của các chuyên gia về an toàn thông tin. Trong thời gian gần đây thì hoạt động tin tặc gia tăng liên tục. Tính tự động và mức độ nguy hiểm ngày càng cao, các kiểu tấn công ngày càng đa dạng hơn. Xu hướng tấn công hệ thống thông tin tập trung nhiều vào các doanh nghiệp, cơ quan liên quan đến tài chính, giáo dục, ngân hàng.

Những số liệu nêu trên đã trực tiếp và gián tiếp cho chúng ta thấy rằng, việc đảm bảo an toàn thông tin trong doanh nghiệp hay các cơ quan nhà nước vẫn chưa cao. Khả năng tự bảo vệ mình trước các mã độc, tội phạm thông tin, hacker và các cuộc tấn công rất thấp. Chính vì vậy, việc áp dụng tiêu chuẩn quản lý hệ thống an toàn thông tin là một quyết định mang tính chiến lược, liên quan đến sự sống còn hay sự thành bại của doanh nghiệp và cơ quan đó.

Hiện trạng áp dụng tiêu chuẩn an toàn thông tin ISO 27001 tại Việt Nam

Với mục đích chính của tiêu chuẩn là bảo vệ hệ thống thông tin của các doanh nghiệp cơ quan, không để rơi vào tay của người lạ, kẻ xấu hay bị mất mát thất lạc vĩnh viễn. Do đó, ISO 27001 có thể được áp dụng tại rất nhiều doanh nghiệp, cơ quan với ngành nghề khác nhau.

Nhận thức được tầm quan trọng trong của việc áp dụng tiêu chuẩn quản lý hệ thống an toàn thông tin ISO 27001. Đặc biệt là đối với những nước đang phát triển. Tại Việt Nam hiện nay cũng đã có các doanh nghiệp, cơ quan tham gia thực hiện hệ thống quản lý an toàn thông tin ISO 27001 này.

Theo một thống kê của Tổ chức tiêu chuẩn hóa quốc tế ngoài ngành công nghệ thông tin thì các ngành nghề đã áp dụng ISO 27001 này còn bao gồm: những công ty tài chính, ngân hàng, trường học, công ty khai khoáng, sản xuất thiết bị điện, công ty xây dựng, công ty ngành dệt may, công ty in ấn/nhà xuất bản, sản xuất thủy sản,… Vào tháng 1/2007: Công ty CSC Việt Nam (Computer Sciences Corporation) đã trở thành tổ chức đầu tiên có được chứng nhận tiêu chuẩn đánh giá an toàn thông tin ISO 27001.

Vào đến hết năm 2012, Việt Nam đã có được 249 chứng chỉ ISO 27001. Thế nhưng, số đơn vị đạt chứng chỉ ISO 27001 tại Việt Nam khá ít so với các nước khác như Nhật Bản (đạt 53290 chứng chỉ), Malaisia (đạt 759 chứng chỉ), Trung Quốc (đạt 8294 chứng chỉ).

Khó khăn khi tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam – ISO 27001.

Theo một thống kê khác tại Việt Nam thì vào năm 2014, có 94 chứng chỉ ISO 27001 đã được cấp, nhiều hơn so với năm 2013 và 2012 lần lượt là 55 và 50 chứng chỉ. Điều này cho thấy rằng, không những các nước trên thế giới mà tại Việt Nam cũng đã nhận thức được tầm quan trọng và sự cần thiết của ISO 27001. Bằng chứng là số chứng chỉ của tiêu chuẩn ISO 27001 đã tăng liên tục qua các năm.

Với những lợi ích của tiêu chuẩn này mang lại và với sự nhận thức được tầm quan trọng của việc bảo mật thông tin. Do đó, số lượng doanh nghiệp đang thực hiện và được cấp chứng chỉ về tiêu chuẩn quản lý hệ thống an toàn thông tin tại Việt Nam đã tăng lên hàng năm. Thế nhưng, so với các nước trên thế giới thì số lượng chứng chỉ các doanh nghiệp, cơ quan tại Việt Nam vẫn đang rất ít.

Khó khăn của tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam

Mặc dù lợi ích mang lại cho các doanh nghiệp của tiêu chuẩn này là vô cùng lớn, thế nhưng có một thực tế là tại Việt Nam hiện nay việc áp dụng ISO 27001 chủ yếu là doanh nghiệp lớn, công ty liên doanh hay công ty có vốn nước ngoài. Còn các doanh nghiệp vừa và nhỏ vẫn đang loay hoay với những khó khăn, thách thức khi áp dụng tiêu chuẩn.

Thách thức thứ nhất: Chi phí triển khai ISO 27001.

Chi phí để áp dụng triển khai tiêu chuẩn này bao gồm chi phí như tư vấn, đánh giá cấp chứng nhận và nhiều nhất đó là chi phí thực hiện những biện pháp kiểm soát rủi ro, mối nguy hại. Với tình hình dịch bệnh tràn lan thì nền kinh tế bị bấp bênh và bị ảnh hưởng nặng nề. Chính vì vậy, điều tất yếu mà doanh nghiệp, cơ quan lo ngại đó là phải đầu tư một mức chi phí khá lớn để nâng cấp hệ thống an toàn thông tin, đầu tư chi phí để kiểm soát rủi ro,…

Thách thức thứ hai: Nhận thức của nhân viên.

Tâm lý của công nhân viên các doanh nghiệp, cơ quan luôn có một tâm lý chung đó là không muốn bị bó buộc hay phải làm theo vào bất cứ một quy trình hay hệ thống nào nào, cho dù đó có là một quy trình hay hệ thống hoàn hảo thế nào đi nữa. Cần có sự đồng thuận từ ban lãnh đạo đến cho nhân viên trong việc áp dụng tiêu chuẩn an toàn thông tin. Nếu không có sự quyết tâm thì sẽ không đảm bảo được sự tuân thủ nghiêm túc của toàn bộ nhân viên trong doanh nghiệp cơ quan đó. Chỉ cần 1-2 người trong doanh nghiệp không tuân thủ hệ thống quản lý thì cũng có thể tạo ra “cơ hội” cho người xấu và đánh mất toàn bộ tài nguyên thông tin của cả doanh nghiệp.

Thách thức thứ ba: Về năng lực của nhân viên

Để áp dụng hệ thống ISO 27001 đòi hỏi doanh nghiệp, cơ quan phải thiết lập và xây dựng được một nhóm phụ trách tiêu chuẩn. Trong đó, nhóm phụ trách này sẽ được đào tạo những kiến thức để có thể vận hành hệ thống cũng như đánh giá hệ thống quản lý. Công việc này đòi hỏi những thành viên trong nhóm phải có sự am hiểu, có kiến thức cơ bản về lĩnh vực an toàn thông tin. Để từ đó có thể dự trù được các yếu tố nguy hiểm, yếu tố có hại phát sinh trong quá trình làm việc. Đồng thời, có thể đưa ra được biện pháp để kiểm soát rủi ro, mối nguy hại phù hợp.

Khó khăn khi tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam – ISO 27001.

Cho dù các doanh nghiệp, cơ quan được đầu tư thiết bị tốt đến đâu đi chăng nữa thì việc bị lộ, lọt ra ngoài, mất mát thông tin là hoàn toàn có thể bị xảy ra. Nếu như nó xuất phát từ chính con người trong doanh nghiệp, tổ chức ấy hay từ chính những quy trình trao đổi thông tin trong nội bộ lỏng lẻo gây ra.

Hoặc có thể do những người xấu hoặc những hacker cố tình xâm nhập hệ thống thông tin dẫn đến việc hệ thống bị gián đoạn, nhiễu loạn hay thậm chí ngừng hoạt động gây ảnh hưởng nghiêm trọng đến quá trình vận hành, sản xuất hay kinh doanh của các doanh nghiệp, cơ quan. Do đó, việc áp dụng triển khai tiêu chuẩn về quản lý hệ thống an toàn thông tin tại mỗi cơ quan, doanh nghiệp là một điều vô cùng quan trọng và cần thiết.

Trên đây là thông tin mà ISOCERT muốn chia sẻ đến quý khách hàng về những thách thức, khó khăn khi tiêu chuẩn an toàn thông tin được sử dụng tại Việt Nam – ISO 27001. Nếu quý khách hàng có những thắc mắc nào về tiêu chuẩn này thì vui lòng liên hệ ngay với ISOCERT để được giải đáp và hỗ trợ tốt nhất.

Check Also

Chứng chỉ bảo mật thông tin ISO 27001 và những điều doanh nghiệp cần biết

Với sự phát triển của công nghệ thông tin, kèm theo đó là những rủi …

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *