HiPT khởi động dự án ISO 27001

Dự án “Xây dựng hệ thống quản trị bảo mật thông tin đáp ứng tiêu chuẩn 27001:2005” tại HiPT chính thức khởi động vào ngày đầu tiên của tháng 10/2012, chạy trong vòng 06 tháng với mục tiêu cuối tháng 3/2013 sẽ tiến hành đánh giá để được cấp chứng chỉ vào tháng 4/2013.

HiPT Channel đã có cuộc trò chuyện với chị Nguyễn Thu Thủy – Phó Ban Quản lý chất lượng & Kiểm soát nội bộ – về những thông tin của dự án này. Xin mời độc giả cùng theo dõi!

Nguồn ảnh: Internet

PV: Chào chị! Xin chị cho biết đôi điều về ISO/IEC 27001:2005?

Chị ThủyNT03: ISO/IEC 27001:2005 là bộ tiêu chuẩn quốc tế về quản lý an toàn thông tin được biên soạn bởi Tổ chức Tiêu chuẩn hóa Quốc tế (International Organization for Standardization – ISO) và Ủy ban Kỹ thuật điện Quốc tế (International Electrotechnical Commission – IEC) vào năm 2005.

Bộ tiêu chuẩn này đề ra các yêu cầu trong việc xây dựng, áp dụng, điều hành, kiểm tra, giám sát và phát triển hệ thống quản lý an ninh thông tin một cách toàn diện, khoa học.

Đạt được chứng chỉ đồng nghĩa với việc thông tin và dữ liệu của HiPT và của khách hàng sẽ được bảo mật và quản lý một cách có hệ thống theo chuẩn quốc tế, giảm thiểu các rủi ro về mặt thông tin. Theo với đó, HiPT cũng khẳng định mạnh mẽ chất lượng dịch vụ, tạo dựng niềm tin vững chắc với khách hàng/đối tác.

PV: Vậy an ninh thông tin là gì? Vì sao doanh nghiệp cần xây dựng hệ thống quản trị an ninh thông tin?

Chị ThủyNT03: Thông tin là tài sản sống còn của một doanh nghiệp. Việc truy cập trái phép hoặc làm mất mát những thông tin quan trọng có thể gây tác động xấu tới doanh nghiệp, thậm chí không loại trừ việc làm gián đoạn kinh doanh, đánh mất lợi thế chiến lược hoặc tổn hại danh tiếng nặng nề… Vì vậy, việc bảo mật thông tin của doanh nghiệp và những thông tin của khách hàng mà doanh nghiệp đang nắm giữ là nghĩa vụ bắt buộc với tất cả các thành viên của doanh nghiệp đó.

Hệ thống quản lý an ninh thông tin được xây dựng nhằm bảo vệ thông tin trước các nguy cơ bị xâm hại. Dù thông tin được lưu trữ ở bất kỳ dạng nào (bản cứng hay bản mềm) cũng đều đảm bảo được 03 thuộc tính:

Tính bảo mật: Thông tin chỉ có thể được truy cập (đọc) bởi những chủ thể có thẩm quyền.

Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc và chỉ có thể được chỉnh sửa bởi những chủ thể có thẩm quyền.

Tính sẵn sàng: Thông tin phải luôn sẵn sàng để chủ thể có thẩm quyền truy cập và sử dụng khi cần tới.

PV: Một dự án xây dựng hệ thống quản trị bảo mật thông tin đáp ứng tiêu chuẩn 27001:2005 cần phải rất nhiều giai đoạn. Đối với HiPT thì sao, thưa chị?

Chị ThủyNT03: Cũng như các dự án ISO 27001 khác, dự án tại HiPT sẽ trải qua các giai đoạn sau:

Giai đoạn khởi động dự án: Có được sự ủng hộ của lãnh đạo cấp cao; Tiến hành đào tạo nhận thức và nội dung tiêu chuẩn ISO 27001 cho đội dự án và các CBNV cần quan tâm.

Giai đoạn thiết lập ISMS: Nhận dạng phạm vi và giới hạn của cơ cấu quản lý an ninh thông tin là cốt lõi cho dự án; Nghiên cứu để thiết lập yêu cầu của ISMS và sắp xếp các tài liệu an ninh đã tồn tại trong tổ chức.

Giai đoạn đánh giá rủi ro:

– Khảo sát các cấp độ tuân thủ với ISO 27001:2005.

– Định giá và thống kê tài sản để được bảo vệ.

– Nhận dạng và đánh giá các mối đe dọa cũng như những nơi dễ bị tấn công.

– Tính toán liên quan đến giá trị rủi ro.

Giai đoạn xử lý rủi ro: Nhận dạng và đánh giá các khả năng có thể cho việc xử lý rủi ro. Chọn giải pháp để giảm rủi ro đến cấp độ có thể chấp nhận được bằng việc chọn và thi hành các phép kiểm soát.

Giai đoạn đào tạo kỹ năng đánh giá nội bộ ISMS: Đào tạo và thực hiện đánh giá nội bộ, rà soát hệ thống ISMS, khắc phục những điểm chưa phù hợp, chuẩn bị cho việc đánh giá chính thức của tổ chức chứng nhận.

Giai đoạn đánh giá: Quy trình đánh giá chứng nhận thường gồm 2 bước cơ bản

– Đánh giá trên tài liệu để đảm bảo tính đầy đủ của hệ thống văn bản, giấy tờ.

– Đánh giá trên thực tế để đảm bảo việc thực hiện các tài liệu hoàn toàn nghiêm túc.

Giai đoạn kiểm soát và cải tiến liên tục: Cải tiến hiệu quả của hệ thống ISMS, thực hiện các đợt đánh giá giám sát để duy trì chứng chỉ.

PV: Vậy trách nhiệm, nghĩa vụ của mỗi CBNV trong dự án này là gì?

Chị ThủyNT03: Ban QLCL & KSNB sẽ xây dựng các chính sách, quy định, quy trình, hướng dẫn và đặc biệt là triển khai đào tạo nội bộ để những quy định này được tất cả CBNV nắm bắt được.

Khi HiPT áp dụng hệ thống quản trị bảo mật thông tin đáp ứng tiêu chuẩn 27001:2005, CBNV sẽ phải thay đổi nhiều thói quen trong suy nghĩ, trong hành động và việc này không phải có thể diễn ra trong một sớm một chiều. Vì vậy, rất mong nhận được sự ủng hộ, hỗ trợ của tất cả mọi người.

PV: Được biết, việc triển khai dự án cần tới sự hỗ trợ của đối tác tư vấn. Vậy HiPT đã chọn đối tác nào cho dự án này?

Chị ThủyNT03: Trong dự án này, HiPT lựa chọn Công ty TNHH Giải pháp hệ thống ISURE là đơn vị tư vấn. Trong các ngày 02-03/10/2012, đối tác tư vấn đã tiến hành đào tạo nhận thức về ISMS và nội dung tiêu chuẩn cho những CBNV có liên quan trực tiếp tới dự án. Khoảng thời gian cuối tháng 10 và đầu tháng 11/2012 là thời điểm để đối tác khảo sát thực tế tại HiPT, từ đó đánh giá hiện trạng ban đầu để có những định hướng phù hợp và đưa ra kế hoạch giúp HiPT nhanh chóng đạt được chứng chỉ.

Hình ảnh trong khóa đào tạo nhận thức về ISMS tổ chức hồi đầu tháng 10/2012

Quá trình đánh giá để cấp chứng chỉ sẽ được thực hiện bởi một tổ chức có thẩm quyền. Tổ chức này không thể là tổ chức đã tư vấn về ISMS cho chúng ta để tránh trường hợp “vừa đá bóng, vừa thổi còi”. Theo đó, HiPT đã lựa chọn công ty TNHH Hệ thống quản lý BSI Việt Nam là đơn vị đánh giá.

Một số yêu cầu cơ bản khi triển khai hệ thống quản trị bảo mật thông tin đáp ứng tiêu chuẩn 27001:2005

Về mặt hệ thống (do doanh nghiệp thiết lập):

– Thiết lập hệ thống camera tại nơi làm việc;

– Quản lý truy cập từ điện thoại, máy tính bên ngoài vào hệ thống mạng của Công ty;

– Xây dựng tường lửa chống tấn công từ bên ngoài, định kỳ thực hiện việc quét các lỗ hổng bảo mật của hệ thống;

– Quản lý việc gửi – nhận email, tải file lên Internet hoặc chia sẻ qua mạng xã hội, sử dụng thiết bị lưu trữ di động của CBNV để tránh copy dữ liệu hoặc làm lây lan virus vào hệ thống;

– Thiết lập các quy định về việc sao lưu, lưu trữ dữ liệu và phương án khắc phục khi có sự cố xảy ra;

– Quản lý các thiết bị lưu trữ thông tin quan trọng (máy chủ, ổ cứng di động, laptop của các “key-person”) khi cần mang ra ngoài. Thiết lập chế độ khi trường hợp những thiết bị này bị mất cắp, thông tin trong đó không thể rơi vày tay kẻ xấu;

– Quy định sử dụng phần mềm có bản quyền, phần mềm mã nguồn mở với tất cả máy tính của Công ty.

Về mặt con người (yêu cầu CBNV thực hiện):

– Đọc và hiểu chính sách bảo mật thông tin của công ty, thực hiện kiểm tra với nhân viên mới và kiểm tra ngẫu nhiên (theo định kỳ) với nhân viên cũ;

– Xây dựng mật khẩu mạnh (bao gồm chữ, số và các ký tự đặc biệt) cho các tài khoản truy cập vào hệ thống thông tin của Công ty như hòm email, server, trang quản trị website… Định kỳ đổi mật khẩu 6 tháng/lần;

– Bàn làm việc luôn gọn gàng, ngăn nắp, không ăn quà vặt tại bàn làm việc;

– Không để tài liệu trên bàn khi không ngồi ở bàn làm việc, cất toàn bộ tài liệu từ mức bảo mật (Confidential) đến mức bảo mật cao nhất (Top Secret) vào tủ có khóa và cần hủy bằng máy hủy tài liệu khi không sử dụng;

– Chỉ sử dụng email, Internet, chat phục vụ mục đích công việc. Không tự ý cài đặt phần mềm không có bản quyền vào máy tính cá nhân;

– Trên màn hình của máy tính cá nhân không được lưu trữ file thông tin. Thực hiện thao tác khóa máy tính ngay khi rời khỏi bàn làm việc;

– Các tài liệu quan trọng như hợp đồng, báo giá, bảng lương… phải được đặt mật khẩu trước khi gửi cho khách hàng/đối tác. Thông tin về mật khẩu không gửi cùng mail có file tài liệu đính kèm;

– Không tự ý mang tài sản của Công ty (ổ cứng di động, tài liệu quan trọng) ra ngoài, không tự ý cung cấp thông tin quan trọng cho người ngoài khi chưa được sự đồng ý của cấp trên và bộ phận hành chính tổng hợp;

– Khách đến liên hệ công tác chỉ được vào khu vực công cộng như phòng họp, lễ tân… Trường hợp đặc biệt, khách cần vào nơi làm việc, CBNV của Công ty phải gặp lễ tân để làm thủ tục bảo lãnh cho khách;

– Tất cả các máy tính phải được đồng bộ hóa ngày giờ và phải cài phần mềm diệt virus (mà công ty quy định), đặt lịch quét ít nhất 1 lần/tuần;

– Chủ trì buổi họp cần xóa bảng và tập hợp giấy thông tin sau khi kết thúc buổi họp.