TopManTopMan, đào tạo quản lý, tư vấn quản lý, tư vấn iso

Một trong các biện pháp phòng ngừa được nhắc đến trong thời gian qua chính là triển khai áp dụng Hệ thống Quản lý An toàn Thông tin (ISMS: Information Security Management System) theo các nguyên tắc của bộ tiêu chuẩn quốc tế ISO 27000. Có thể nói rằng, ISO 27000 là một phần của hệ thông quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức.

Cho tới nay, việc áp dụng hệ thống quản lý an toàn thông tin phù hợp ISO 27000 đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới đặc biệt là trong lĩnh vực tài chính ngân hàng. Tại Việt Nam, một số ngân hàng cũng đang triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định.

Xét về lịch sự hình thành của bộ tiêu chuẩn, ISO 27000 cũng có nguồn gốc từ Anh quốc. Bắt đầu vào năm 1992, Phòng Thương mại và Công nghiệp Anh (UK Department Trade and Industrial) ban hành ra qui phạm thực hành về hệ thống an toàn thông tin dựa trên các hệ thống đảm bảo an toàn thông tin nội bộ của các công ty dầu khí. Tài liệu này sau đó được Viện tiêu chuẩn hoá Anh chính thức ban hành thành tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995. Năm 2000, tiêu chuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chính thức chấp nhận và ban hành với mã hiệu ISO/IEC 17799:2000 – tiền thân của bộ tiêu chuẩn ISO 27000 ngày nay.

Bộ tiêu chuẩn ISO 27000 đã và sẽ bao gồm những tiêu chuẩn cụ thể sau:

– ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)

– ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an toàn thông tin

– ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

– ISO 27003:2007 đưa ra các hướng dẫn áp dụng

– ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS

– ISO 27005 tiêu chuẩn về quản lý rủi ro an toàn thông tin

– ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông

Theo con số thống kê chưa đầy đủ thì hiện nay số lượng các tổ chức đã áp dụng ISMS và đã được chứng nhận trên toàn thế giới là 2063 trong đó đứng đầu là Nhật Bản với số chứng chỉ được cấp ra là 1190 sau đó là Anh 219, Đài loan 69…

Các lĩnh vực áp dụng đối với ISMS cũng chiếm các tỉ lệ khác nhau. Ví dụ lĩnh vực viễn thông được áp dụng nhiều nhất với 27% tổng số lượng chứng chỉ cấp ra, Lĩnh vực tài chính ngân hàng chiếm 20%, Lĩnh vực công nghệ thông tin chiếm 15%,..

Hy vọng trong thời gian tới tại Việt Nam sẽ có thêm nhiều hơn nữa các tổ chức áp dụng ISMS để có thể giảm thiểu các rủi ro liên quan tới an toàn thông tin, đảm bảo cho sự phát triển bền vững.