Tiêu chuẩn ISO/IEC 27001 về hệ thống quản lý an toàn thông tin (ISMS)

ISO/IEC 27001:2022 ra đời như một bộ khung quản trị chuẩn mực, giúp tổ chức không chỉ chủ động phòng ngừa các rủi ro tấn công mạng mà còn là "tấm thẻ thông hành" uy tín để khẳng định năng lực bảo mật tuyệt đối với khách hàng và đối tác toàn cầu. Cùng VNPT Cloud tìm hiểu chi tiết về tiêu chuẩn ISO/IEC 27001.

ISO/IEC 27001 là gì?

ISO/IEC 27001, thường được gọi là ISO 27001, là tiêu chuẩn quốc tế hàng đầu về quản lý an toàn thông tin. Tiêu chuẩn này được xây dựng bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC), nhằm giúp các tổ chức bảo vệ dữ liệu và kiểm soát rủi ro an ninh thông tin một cách bài bản.

Về bản chất, ISO/IEC 27001 bao gồm một tập hợp các yêu cầu dùng để xác định, triển khai, vận hành và cải tiến hệ thống quản lý an toàn thông tin (ISMS) trong một tổ chức. Tiêu chuẩn này cung cấp một khuôn khổ toàn diện giúp các tổ chức quản lý và bảo vệ dữ liệu nhạy cảm cùng các thông tin quan trọng khác, từ đó giảm thiểu nguy cơ rò rỉ dữ liệu, tấn công mạng và các sự cố an ninh khác.

Được ban hành lần đầu vào năm 2005, ISO 27001 đã được sửa đổi vào năm 2013 và gần đây nhất là vào ngày 25 tháng 10 năm 2022. Phiên bản hiện hành của tiêu chuẩn quốc tế này được gọi là ISO 27001:2022.

ISMS (Information Security Management System) là tập hợp các chính sách, quy trình và biện pháp kiểm soát quy định cách một tổ chức quản lý rủi ro an toàn thông tin. Mục tiêu cốt lõi của ISMS là bảo vệ toàn diện ba trụ cột thông tin: tính bảo mật (chống truy cập trái phép), tính toàn vẹn (đảm bảo sự chính xác, đầy đủ) và tính khả dụng (sẵn sàng truy cập khi cần thiết).

ISMS là hệ thống quản lý an toàn thông tin, còn ISO/IEC 27001 là tiêu chuẩn quốc tế quy định các yêu cầu để xây dựng, vận hành, duy trì và cải tiến ISMS.

Các điều khoản của ISO/IEC 27001

ISO/IEC 27001 là một phương pháp tiếp cận đối với an toàn thông tin, tập trung vào rủi ro và bảo vệ dữ liệu. Mối quan tâm cốt lõi của tiêu chuẩn này là xử lý các điểm yếu thông qua nhiều loại biện pháp khác nhau.

Vì vậy, tiêu chuẩn ISO/IEC 27001 được chia thành các phần gọi là điều khoản (clauses) và biện pháp kiểm soát (controls).

Các điều khoản (clauses) dùng để giải thích tiêu chuẩn và cung cấp cái nhìn chi tiết về những yêu cầu khác nhau.

Các điều khoản chung

Các điều khoản từ 0 đến 3 đưa ra định hướng chung, đồng thời giới thiệu về tiêu chuẩn và hệ thống thuật ngữ của tiêu chuẩn.

• Điều khoản 0: Giới thiệu
• Điều khoản 1: Phạm vi áp dụng
• Điều khoản 2: Tài liệu viện dẫn
• Điều khoản 3: Thuật ngữ và định nghĩa

Các điều khoản từ 4 đến 10 mô tả các yêu cầu phục vụ cho việc chứng nhận tiêu chuẩn.

Điều khoản 4: Bối cảnh của tổ chức

Điều khoản này yêu cầu doanh nghiệp xem xét đầy đủ bối cảnh hoạt động như ngành nghề, quy mô và các điều kiện đặc thù để xác định phạm vi ISMS phù hợp, thay vì áp dụng máy móc mọi biện pháp kiểm soát. Đồng thời, tổ chức phải thiết lập, vận hành, duy trì và cải tiến liên tục ISMS, cho thấy ISO/IEC 27001 là một quá trình quản lý lâu dài chứ không phải hoạt động triển khai một lần.

Điều khoản 5: Lãnh đạo

Nêu chi tiết các yêu cầu về năng lực lãnh đạo phù hợp, bao gồm việc bắt buộc sự cam kết của ban lãnh đạo cấp cao, với các vai trò và trách nhiệm được phân định rõ ràng. Điều khoản 5 quy định ban lãnh đạo phải:

• Thiết lập các mục tiêu an toàn bảo mật phù hợp với định hướng chiến lược và mục tiêu của tổ chức;
• Cung cấp các nguồn lực thích hợp cần thiết để hỗ trợ hệ thống ISMS và sự đóng góp của con người vào hệ thống đó; và
• Quy định một chính sách an toàn thông tin ISO 27001 ở cấp cao nhất, được lập thành văn bản và truyền đạt trong toàn bộ tổ chức cũng như tới tất cả các bên liên quan, từ nhân viên, cổ đông đến các cơ quan quản lý nhà nước và các bên khác.

Điều khoản 6: Lập kế hoạch

Khi lập kế hoạch cho môi trường ISMS, các mục tiêu an toàn thông tin phải dựa trên kết quả đánh giá rủi ro và nhất quán với các mục tiêu chung của tổ chức. Tất cả các bên liên quan cần điều chỉnh hoạt động và quy trình làm việc theo các mục tiêu bảo mật này.

Điều khoản 7: Hỗ trợ

Điều khoản hỗ trợ của ISO/IEC 27001 tập trung vào con người và quy trình, là những yếu tố thiết yếu đối với sự thành công của ISMS. Điều khoản này yêu cầu tổ chức phải:

• Nâng cao nhận thức: Nhân viên phải hiểu tầm quan trọng của bảo mật.
• Đào tạo và giáo dục: Cung cấp kỹ năng cần thiết để vận hành ISMS.
• Giao tiếp hiệu quả: Truyền đạt các chính sách đến mọi nhân viên.
• Cung cấp nguồn lực: Đảm bảo đầy đủ về thiết bị, kinh phí và nhân lực.
• Thông tin dạng văn bản: Lưu trữ hồ sơ, quy trình và chính sách một cách bài bản.

Điều khoản 8: Vận hành

Điều khoản vận hành của ISO/IEC 27001 tập trung vào các hoạt động hằng ngày đứng sau việc vận hành ISMS. Điều khoản này yêu cầu tổ chức phải:

• Hoạch định và kiểm soát các quy trình
• Thực hiện đánh giá an toàn thông tin định kỳ
• Triển khai các biện pháp kiểm soát an toàn thông tin

Điều khoản 9: Đánh giá kết quả hoạt động

Điều khoản đánh giá của ISO/IEC 27001 tập trung vào việc theo dõi và cải tiến liên tục ISMS. Điều khoản này yêu cầu tổ chức phải:

• Thực hiện đánh giá nội bộ để xem xét hiệu lực của ISMS
• Rà soát ISMS theo định kỳ đã hoạch định nhằm bảo đảm hệ thống vẫn đáp ứng nhu cầu của tổ chức

Điều khoản 10: Cải tiến

Điều khoản này tập trung vào việc xác định và triển khai các cải tiến đối với ISMS. Điều khoản yêu cầu tổ chức phải:

• Xác định và xử lý các điểm không phù hợp được phát hiện trong quá trình đánh giá nội bộ hoặc các hoạt động đánh giá khác
• Rà soát hiệu lực của các biện pháp kiểm soát an toàn thông tin để nhận diện các cơ hội cải tiến

Biện pháp kiểm soát trong Phụ lục A

Phụ lục A của ISO 27001:2022 liệt kê 93 biện pháp bảo vệ, hay còn gọi là biện pháp kiểm soát, mà các tổ chức có thể sử dụng để giảm thiểu rủi ro và đáp ứng các yêu cầu về an ninh từ các bên quan tâm, như cơ quan quản lý và đối tác. Một phần trong bộ tài liệu bắt buộc theo ISO 27001 là Tuyên bố về khả năng áp dụng (Statement of Applicability), trong đó tổ chức nêu rõ những biện pháp kiểm soát cụ thể trong Phụ lục A sẽ được triển khai bằng cách đánh dấu chúng là “áp dụng”.

ISO 27001:2022 cũng thiết lập 4 nhóm cho 93 biện pháp kiểm soát này:

Phụ lục A.5 - Biện pháp kiểm soát về tổ chức gồm 37 biện pháp, được triển khai bằng cách xác định các quy tắc cần tuân theo, cũng như hành vi được kỳ vọng từ người dùng, thiết bị, phần mềm và hệ thống (ví dụ: Chính sách kiểm soát truy cập).

Phụ lục A.6 - Biện pháp kiểm soát về con người gồm 8 biện pháp, được triển khai thông qua việc chia sẻ kiến thức, đào tạo, kỹ năng và/hoặc kinh nghiệm cho con người, nhằm giúp họ thực hiện công việc của mình theo cách bảo vệ an toàn thông tin (ví dụ: đào tạo ISO 27001).

Phụ lục A.7 - Biện pháp kiểm soát vật lý gồm 14 biện pháp, được triển khai bằng cách bảo vệ và đảm bảo an toàn cho các thiết bị hoặc công cụ có sự tương tác vật lý với con người và đồ vật (ví dụ: camera CCTV hoặc hệ thống báo động).

Phụ lục A.8 - Biện pháp kiểm soát công nghệ gồm 34 biện pháp, tập trung vào công nghệ thông tin và truyền thông, chủ yếu được triển khai trong các hệ thống thông tin có phần mềm, phần cứng và firmware (ví dụ: sao lưu dữ liệu hoặc phần mềm diệt virus).

Lưu ý rằng ISO 27001:2022 có ít hơn 21 biện pháp kiểm soát trong Phụ lục A so với phiên bản trước đó là ISO 27001:2013. Số lượng biện pháp đã được giảm xuống thông qua việc gộp 57 biện pháp, xóa 3 biện pháp, giữ nguyên 35 biện pháp không thay đổi và bổ sung 11 biện pháp mới.

Các biện pháp mới này tập trung vào dịch vụ đám mây, mức độ sẵn sàng cho hoạt động liên tục kinh doanh, tình báo về mối đe dọa, giám sát an ninh vật lý, che giấu dữ liệu, xóa thông tin, ngăn ngừa rò rỉ dữ liệu, giám sát hoạt động, lọc web và lập trình an toàn.

Tại sao ISO/IEC 27001 quan trọng với tổ chức?

Việc thiết lập một Hệ thống quản lý an toàn thông tin (ISMS) bài bản dựa trên sự tuân thủ và chứng nhận ISO 27001 có thể giúp các tổ chức:

• Giảm thiểu lỗ hổng trước mối đe dọa tấn công mạng đang ngày càng gia tăng.
• Phản ứng nhanh chóng và hiệu quả hơn với các rủi ro an ninh thông tin đang thay đổi liên tục.
• Đảm bảo các tài sản như báo cáo tài chính, sở hữu trí tuệ (IP), dữ liệu nhân viên và thông tin do bên thứ ba ủy thác luôn được bảo toàn, bảo mật và sẵn dùng khi cần thiết.
• Cung cấp một khung an ninh thông tin quản lý tập trung, giúp bảo vệ thông tin từ một điểm kiểm soát duy nhất.
• Chuẩn bị sẵn sàng về con người, quy trình và công nghệ trong toàn tổ chức để đối phó với các rủi ro công nghệ và các mối đe dọa khác.
• Bảo mật thông tin dưới mọi hình thức, dù là trên giấy tờ, trên đám mây hay kỹ thuật số.
• Cắt giảm chi phí bằng cách tăng hiệu suất và giảm chi tiêu không cần thiết cho các công nghệ an ninh mạng kém hiệu quả.
• Tuân thủ các yêu cầu về pháp lý và quy định.
• Nâng cao uy tín và sự tin tưởng của khách hàng.

Làm thế nào để đạt chứng nhận ISO/IEC 27001?

Trước khi bắt đầu quy trình chứng nhận, công ty phải triển khai một hệ thống ISMS tuân thủ tiêu chuẩn. Ban lãnh đạo cần xác định rõ phạm vi (scope) của ISMS dành riêng cho mục đích chứng nhận (ví dụ: họ có thể giới hạn phạm vi trong một đơn vị kinh doanh hoặc một địa điểm duy nhất). Chứng nhận được cấp sau đó sẽ chỉ có hiệu lực trong phạm vi đã giới hạn này.

Tiếp theo, hệ thống ISMS phải trải qua một cuộc đánh giá chứng nhận bên ngoài gồm nhiều bước, được thực hiện bởi một tổ chức chứng nhận độc lập có thẩm quyền để xác minh sự tuân thủ.

Quy trình đánh giá bên ngoài gồm ba giai đoạn:

• Giai đoạn 1: Xem xét sơ bộ ISMS. Tổ chức chứng nhận sẽ xác nhận các tài liệu chính đã tồn tại và đầy đủ (ví dụ: Chính sách An toàn Thông tin của tổ chức, Bản công bố áp dụng (SoA) và Kế hoạch xử lý rủi ro (RTP)).
• Giai đoạn 2: Đánh giá tuân thủ chính thức. Tổ chức chứng nhận thực hiện đánh giá chi tiết hơn, kiểm tra độc lập hệ thống ISMS của tổ chức để đảm bảo đáp ứng các yêu cầu của ISO 27001. Việc vượt qua Giai đoạn 2 đồng nghĩa với việc tổ chức sẽ được cấp chứng nhận tuân thủ ISO 27001.
• Giai đoạn 3: Xem xét định kỳ. Sau khi được cấp chứng nhận, tổ chức phải thực hiện các đợt xem xét tiếp theo và đánh giá nội bộ định kỳ để duy trì sự tuân thủ theo thời gian.

Các tổ chức đã có chứng nhận ISO 27001 phải chuyển đổi sang phiên bản 2022 mới nhất trước ngày 31 tháng 10 năm 2025 bằng cách đảm bảo hệ thống ISMS đã được cập nhật và tuân thủ đúng quy định.

Theo báo cáo năm 2022, có hơn 70.000 chứng chỉ ISO 27001 đã được cấp tại 150 quốc gia. Mặc dù đa số các chứng chỉ này tập trung vào lĩnh vực Công nghệ thông tin (IT), nhưng chúng bao quát các tổ chức thuộc mọi thành phần kinh tế.

VNPT Cloud đạt chứng nhận ISO/IEC 27001, khẳng định năng lực bảo mật và vận hành an toàn

Tại VNPT Cloud, chúng tôi xác định an toàn thông tin không chỉ là một yêu cầu kỹ thuật, mà còn là nền tảng để xây dựng niềm tin bền vững với khách hàng. Việc đáp ứng các tiêu chuẩn bảo mật quốc tế như ISO/IEC 27001 và ISO/IEC 27017 là minh chứng rõ nét cho năng lực xây dựng hạ tầng cloud an toàn, ổn định và đáng tin cậy.

• Chuẩn mực an toàn thông tin (ISO/IEC 27001): VNPT Cloud vận hành trên nền tảng ISMS chặt chẽ, kiểm soát toàn diện từ lưu trữ, xử lý dữ liệu đến quản trị hệ thống, qua đó giảm thiểu rủi ro rò rỉ thông tin và truy cập trái phép.
• Bảo mật chuyên biệt cho cloud (ISO/IEC 27017): Là một trong số ít nhà cung cấp tại Việt Nam đạt chứng chỉ này, VNPT Cloud áp dụng các biện pháp bảo mật đặc thù cho môi trường đám mây, giúp khách hàng an tâm triển khai dữ liệu và ứng dụng quan trọng.
• Hạ tầng số vững chắc: Kết hợp cùng hệ thống trung tâm dữ liệu đạt chuẩn quốc tế Uptime Tier III, VNPT Cloud mang đến môi trường vận hành ổn định, an toàn và sẵn sàng cao cho doanh nghiệp.
• Cam kết đồng hành: Với tấm "hộ chiếu bảo mật" này, VNPT Cloud tự tin đồng hành cùng các cơ quan Nhà nước, các Tập đoàn tài chính và doanh nghiệp trong việc bảo vệ tài sản số, tuân thủ tuyệt đối các quy định pháp lý về an ninh mạng tại Việt Nam.

Tóm lại, ISO/IEC 27001 không chỉ là một tiêu chuẩn quốc tế về quản lý an toàn thông tin, mà còn là nền tảng giúp tổ chức xây dựng hệ thống bảo mật bài bản, kiểm soát rủi ro hiệu quả và nâng cao uy tín với khách hàng. Trong bối cảnh dữ liệu ngày càng trở thành tài sản cốt lõi, việc áp dụng tiêu chuẩn này chính là bước đi cần thiết để doanh nghiệp bảo vệ thông tin, duy trì vận hành ổn định và sẵn sàng phát triển bền vững trong môi trường số.