Thứ Năm, 22/01/2026, 17:00 (GMT+0)

Chứng nhận ISO/IEC 27017 về an toàn thông tin cho dịch vụ Đám Mây

Quay lại Trang chủ Blog

Trên trang này

Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) là một tổ chức độc lập, phi chính phủ, ban hành các tiêu chuẩn trong cả lĩnh vực kỹ thuật và phi kỹ thuật. Bộ tiêu chuẩn ISO/IEC 27000 là kết quả hợp tác giữa ISO và Ủy ban Kỹ thuật Điện Quốc tế (IEC), nhằm xác định các cơ chế hỗ trợ tổ chức bảo vệ an toàn cho tài sản thông tin.

ISO/IEC 27017 là gì?

ISO/IEC 27017:2015 là tiêu chuẩn quốc tế về kiểm soát an toàn thông tin cho dịch vụ điện toán đám mây, được phát triển mở rộng dựa trên ISO/IEC 27001 và ISO/IEC 27002. Tiêu chuẩn này giúp nhà cung cấp dịch vụ đám mây (CSP) triển khai các kiểm soát bảo mật phù hợp, đồng thời giúp khách hàng sử dụng dịch vụ đám mây (CSC) hiểu rõ trách nhiệm của các bên và tăng cường bảo vệ dữ liệu trên môi trường đám mây.

ISO/IEC 27017 và ISO/IEC 27017:2015 là cùng một tiêu chuẩn về kiểm soát an toàn thông tin cho dịch vụ điện toán đám mây. Trong đó, ISO/IEC 27017 là cách gọi rút gọn, còn ISO/IEC 27017:2015 là tên gọi đầy đủ của phiên bản ban hành năm 2015. Vì từ năm 2015 đến nay Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) chưa đưa ra bản cập nhật mới nào, nên khi nhắc đến ISO 27017, người ta mặc định hiểu đó chính là phiên bản 2015.

ISO/IEC 27017 và ISO/IEC 27001

Nhiều doanh nghiệp thường đặt ra câu hỏi: đã có ISO/IEC 27001 thì vì sao vẫn cần ISO/IEC 27017? Đây là băn khoăn dễ hiểu, bởi ISO/IEC 27001 vốn là nền tảng quan trọng để xây dựng Hệ thống quản lý an toàn thông tin (ISMS).

Tuy nhiên, khi triển khai trên môi trường điện toán đám mây, doanh nghiệp cần quan tâm thêm đến những đặc thù bảo mật riêng khi sử dụng mô hình đa thuê (multi-tenancy), trách nhiệm chia sẻ giữa nhà cung cấp và khách hàng, cũng như các vấn đề liên quan đến ảo hóa. Chính vì vậy, ISO/IEC 27017:2015 được xem là tiêu chuẩn bổ trợ quan trọng cho an toàn thông tin trên cloud.

Nếu ISO/IEC 27001 đưa ra khung quản lý tổng thể, thì ISO/IEC 27017 đi sâu hơn vào cách áp dụng các biện pháp kiểm soát bảo mật phù hợp với đặc thù của môi trường cloud, với nội dung hướng dẫn chi tiết hơn cho 37 biện pháp kiểm soát trong ISO/IEC 27002 và bổ sung thêm 7 biện pháp kiểm soát mới dành riêng cho môi trường điện toán đám mây.

7 biện pháp kiểm soát riêng biệt của ISO/IEC 270017 là gì?

ISO/IEC 27017:2015 cung cấp hướng dẫn cho 37 biện pháp kiểm soát dựa trên ISO/IEC 27002, đồng thời cũng bao gồm 7 biện pháp kiểm soát riêng biệt, bao gồm:

Chia sẻ vai trò và trách nhiệm trong môi trường điện toán đám mây.
Loại bỏ và thu hồi tài sản của khách hàng dịch vụ đám mây khi chấm dứt hợp đồng.
Bảo vệ và phân tách môi trường điện toán ảo hóa của khách hàng khỏi dữ liệu của các khách hàng khác.
Tăng cường bảo mật máy ảo (Virtual machine hardening) nhằm đáp ứng các yêu cầu kinh doanh.
An toàn vận hành của quản trị viên.
Cho phép khách hàng giám sát các hoạt động điện toán đám mây của họ.
Đảm bảo sự đồng nhất trong quản lý bảo mật cho cả mạng vật lý và mạng ảo.

Tại sao ISO/IEC 27017 lại quan trọng?

Theo báo cáo năm 2021 của IBM, chi phí trung bình để khắc phục hoàn toàn một vụ vi phạm dữ liệu là 4,24 triệu USD. ISO/IEC 27017 cung cấp một khuôn khổ hướng dẫn việc căn chỉnh quản lý an toàn thông tin cho dịch vụ đám mây cũng như giữa mạng ảo và mạng vật lý.

Khi tổ chức cam kết áp dụng tiêu chuẩn quốc tế này, khả năng xảy ra sự cố vi phạm dữ liệu sẽ được giảm đáng kể, từ đó nâng cao niềm tin của khách hàng.

Khách hàng cần tin tưởng rằng dữ liệu của họ được bảo vệ an toàn trong dịch vụ đám mây. Vì vậy, với vai trò là nhà cung cấp dịch vụ đám mây, doanh nghiệp cần cho khách hàng thấy rằng tổ chức của mình nghiêm túc đối với các mối đe dọa an ninh như vi phạm dữ liệu và đang nỗ lực tối đa để giảm thiểu chúng. Việc đạt chứng nhận ISO 27017 giúp khách hàng yên tâm rằng thông tin của họ trên môi trường đám mây được bảo vệ an toàn.

VNPT Cloud: Khẳng định tiêu chuẩn bảo mật quốc tế với chứng chỉ ISO/IEC 27017

VNPT Cloud đạt chứng chỉ ISO/IEC 27017:2015 không chỉ là một dấu mốc về mặt tiêu chuẩn, mà còn là minh chứng rõ ràng cho năng lực triển khai và vận hành dịch vụ đám mây theo các yêu cầu bảo mật chuyên biệt.

Trong bối cảnh doanh nghiệp ngày càng phụ thuộc vào hạ tầng số, chứng nhận này giúp củng cố niềm tin rằng hệ thống cloud của VNPT được xây dựng trên nền tảng kiểm soát an toàn thông tin bài bản, minh bạch và có đối chiếu độc lập.

Bên cạnh yếu tố tiêu chuẩn, VNPT Cloud còn tạo lợi thế nhờ nền tảng hạ tầng số được đầu tư bài bản. Với hệ thống IDC quy mô lớn, độ ổn định cao trên toàn quốc, trong đó có 08 trung tâm dữ liệu đạt chuẩn Tier III tại Hà Nội và TP.HCM, VNPT Cloud có khả năng cung cấp tài nguyên điện toán đám mây với mức độ sẵn sàng cao, đồng thời hỗ trợ doanh nghiệp linh hoạt quy hoạch và triển khai ứng dụng theo từng nhu cầu cụ thể.

Sự hội tụ giữa hạ tầng mạnh mẽ và quy trình kiểm soát bảo mật chuẩn quốc tế chính là "điểm tựa" để khách hàng tự tin chuyển dịch các hệ thống quan trọng lên mây. Tại VNPT Cloud, an toàn thông tin không chỉ là cam kết trên văn bản, mà được cụ thể hóa bằng các biện pháp kỹ thuật và quản trị thực tế, giúp doanh nghiệp giảm thiểu rủi ro và tập trung hoàn toàn vào các mục tiêu kinh doanh cốt lõi.

Tóm lại, ISO/IEC 27017 không chỉ là một tiêu chuẩn an toàn thông tin trên môi trường đám mây, mà còn là cơ sở quan trọng giúp doanh nghiệp nâng cao năng lực bảo mật, làm rõ trách nhiệm giữa các bên và củng cố niềm tin khi triển khai hệ thống trên cloud. Với việc đạt chứng chỉ ISO/IEC 27017:2015, VNPT Cloud tiếp tục khẳng định năng lực hạ tầng, vận hành và bảo mật theo chuẩn quốc tế, trở thành lựa chọn đáng tin cậy cho các tổ chức đang tìm kiếm một nền tảng điện toán đám mây an toàn, ổn định và sẵn sàng cho tăng trưởng dài hạn.

#Certificate

Chúng tôi có 4 môi trường staging, 2 môi trường production, hàng chục microservice và rất nhiều phiên bản thử nghiệm. Lúc đầu dùng VPS tưởng là đủ, nhưng rồi mỗi lần cập nhật code là một lần lo… không biết lần này ‘tháo’ có làm hỏng cái gì không?

Tại sao doanh nghiệp hiện đại cần Kubernetes?