Hà Phương (TCT Mạng lưới Viettel) đã đăng lúc 14:29 - 15.04.2024
Trong thời đại các công nghệ mới ra đời với tốc độ chóng mặt, nhiều doanh nghiệp được tổ chức với mô hình trực tuyến và làm việc từ xa, hoạt động ảo nhiều hơn thông qua các ứng dụng đám mây đã mang tới nhiều cơ hội phát triển mới nhưng cũng đồng thời tạo ra thách thức lớn cho an toàn thông tin. Các cuộc tấn công hoặc vi phạm ngày càng gây ra những phiền toái lớn, thậm chí gây ảnh hưởng nghiêm trọng, cản trở sản xuất hoặc dẫn đến ngừng hoạt động hoàn toàn trong thời gian dài cho các doanh nghiệp. Mới đây nhất, PVOIL và VNDirect đã trở thành đối tượng bị nhắm đến và chịu sự tấn công bất hợp pháp theo hình thức mã hóa dữ liệu (ransomware) để tống tiền, gây nhiều thiệt hại lớn.
Trong bối cảnh đó, sau gần 9 năm kể từ phiên bản ISO27001:2013, viện Tiêu chuẩn Anh BSI đã xuất bản tiêu chuẩn ISO27001:2022 vào tháng 10/2022 để đáp ứng sự thay đổi quá nhanh của công nghệ và các yêu cầu tuân thủ đặc biệt của mảng Cloud và bảo vệ quyền riêng tư. Nhận thấy tầm quan trọng của việc đáp ứng các yêu cầu quản lý an toàn thông tin, VTNet ngay lập tức đã lên kế hoạch, dự kiến thời gian triển khai hợp lý cho các hành động theo checklist để đáp ứng tiêu chuẩn mới này của BSI.
ISO 27001: 2013 là tiêu chuẩn quốc tế cung cấp các yêu cầu cho Hệ thống quản lý an toàn thông tin (ISMS) để cung cấp bảo mật liên tục, tính toàn vẹn và tính sẵn có của thông tin cũng như tuân thủ pháp luật. Chứng nhận ISO 27001 cần thiết để bảo vệ các tài sản quan trọng nhất của tổ chức như thông tin nhân viên và khách hàng, hình ảnh thương hiệu và thông tin cá nhân khác. Tiêu chuẩn ISO này bao gồm cách tiếp cận dựa trên quy trình để triển khai, thực hiện, vận hành và duy trì ISMS của tổ chức.
Ngay khi có thông tin về phiên bản mới, VTNet đã triển khai nghiên cứu chuyên sâu về tiêu chuẩn ISO27001:2022, phân tích những điểm khác biệt, bổ sung mới so với phiên ISO 27001:2013 mà đơn vị đạt chuẩn trước đó. Từ đó, đơn vị xây dựng khung đầu việc cần điều chỉnh về thực hiện và bổ sung các điểm kiểm soát vào văn bản quy chế, chính sách, quy trình quy định tương ứng. Trong vòng 1 năm, VTNet đã nghiêm túc đánh giá nội bộ theo khung tiêu chuẩn mới tại các đơn vị trong Tổng Công ty, ghi nhận các điểm tuân thủ, cải tiến trên hệ thống quản lý ISO, đồng thời ký kết hợp đồng, sẵn sàng triển khai các thủ tục cho kỳ đánh giá từ đối tác.
Nhờ sự chuẩn bị kỹ càng, tháng 11/2023, VTNet đã trực tiếp mời tổ chức BSI đến thực hiện kế hoạch đánh giá chứng nhận ISO27001 theo chuẩn mới tại đơn vị mà không cần thông qua tư vấn. Đoàn chuyên gia của BSI đã đánh giá và khẳng định hệ thống quản lý an toàn thông tin của VTNet được hoạch định và duy trì đầy đủ theo yêu cầu của tiêu chuẩn ISO27001:2022 và theo các quy trình, quy định do VTNet ban hành. Đồng thời sau buổi làm việc này, đoàn cũng đã thực hiện kiến nghị với tổ chức BSI về việc cấp giấy chứng nhận cho hệ thống của quản lý an toàn thông tin của VTNet theo phạm vi đăng ký. Tuy nhiên, đoàn chuyên gia cũng chỉ ra 2 điểm không phù hợp nhỏ và 7 điểm khuyến nghị trong quá trình đánh giá để VTNet xem xét điều chỉnh.
Triển khai cấp tốc, tính đến tháng 1/2024, VTNet đã hoàn thành kế hoạch khắc phục triệt để các điểm không phù hợp nhỏ và gửi bằng chứng cho BSI đánh giá. Kết quả, VTNet chính thức trở thành đơn vị đầu tiên trong Tập đoàn sở hữu chứng chỉ ISO 27001:2022 có hiệu lực từ ngày 5/4/2024, khẳng định hệ thống quản lý an toàn thông tin của VTNet luôn được cập nhật và nâng cấp thường xuyên, tiệm cận với tiêu chuẩn thế giới.
Rõ ràng nhất, việc đạt được chứng chỉ ISO27001:2022 đã chứng minh VTNet hoàn toàn có đủ khả năng cung cấp các công nghệ mới, dịch vụ mới như Cloud một cách tốt nhất, tương đương với các nhà cung cấp dịch vụ Cloud hàng đầu thế giới. Chứng chỉ sẽ là một phần tất yếu khi VTNet chuyển mình thành nhà cung cấp dịch vụ - Managed Services Cloud.
Một số khác biệt cơ bản của tiêu chuẩn ISO27001:2022 với ISO27001:2013
- Hợp nhất thành bốn lĩnh vực chính: Tổ chức, Con người, Vật lý và Công nghệ thay vì 14 lĩnh vực trong lần xuất bản trước.
- Các biện pháp kiểm soát được liệt kê đã giảm từ 114 xuống 93.
- Đưa tới khái niệm mới về các thuộc tính được giới thiệu.
- Bổ sung tiêu chuẩn về 11 điểm kiểm soát mới.
Để đáp ứng tiêu chuẩn ISO27001:2022, VTNet đã thực hiện các biện pháp, chính sách để tăng cường bảo mật thông tin, bảo mật dữ liệu, xác định các rủi ro và sớm đưa ra các giải pháp phù hợp để giảm thiểu rủi ro. Quan trọng hơn với VTNet, tiêu chuẩn mới cũng yêu cầu đảm bảo an toàn thông tin một cách toàn diện từ vật lý, hạ tầng, thiết kế, triển khai, trao đổi thông tin và vận hành khai thác để luôn duy trì trạng thái an toàn ở mức cao nhất, ngăn ngừa rò rỉ thông tin không chỉ của riêng VTNet mà còn mang sứ mệnh bảo vệ thông tin quốc gia. Tiêu chuẩn này cũng giúp tổ chức xác định rõ vai trò và trách nhiệm của từng bộ phận trong việc bảo vệ thông tin, tăng cường hiệu quả quản lý và phát hiện sớm các vấn đề bảo mật.
Với các đối tác, VTNet cũng khẳng định sự đồng hành cùng người dân, cùng các tổ chức khi trở thành một đơn vị có sự tín nhiệm lớn và mang lại niềm tin cho khách hàng, giúp khách hàng cảm thấy an tâm hơn khi cung cấp thông tin cho tổ chức.