Áp dụng hệ thống quản lý an toàn thông tin theo TCVN ISO/IEC 27001:2009 tại Công ty CP Netplus

NETPLUS thành lập vào cuối năm 2008 với khởi đầu cung cấp dịch vụ và giải pháp nội dung số trên môi trường mạng. Qua một thời gian phát triển dựa trên dịch vụ chính là SMS, công ty đã phát triển mạnh sang các dịch vụ mạng khác như phát triển website, cung cấp Domain, hosting,...và cung cấp thiết bị cũng như dịch vụ liên quan đến văn phòng và cảnh báo từ xa.
NETPLUS là công ty tiên phong về phát triển hệ thống SMS điều hành, quản lý học tập của học sinh và đang là công ty lớn nhất cung cấp dịch vụ này ở miền Trung và Tây Nguyên, gồm SMS Điều hành, SMS Học tập, SMS Marketing, SMS Cảnh báo… 
Các đối tác, khách hàng của NetPlus bao gồm hệ thống các trường THCS, trường Mầm non, trường đại học, cao đẳng, trung tâm đào tạo tại Đà Nẵng; Vietnam Airlines Miền Trung; Trung tâm khí tượng thuỷ văn Trung Trung bộ và nhà cung cấp mạng di động, viễn thông, v.v.
Năm 2014, khi biết chính sách hỗ trợ doanh nghiệp của Chương trình quốc gia năng suất chất lượng, NETPLUS đã đăng ký tham gia và nhận được hỗ trợ từ Chương trình để triển khai áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn TCVN ISO/IEC 27001:2009. Trong suốt quá trình triển khai dự án, NETPLUS đã được nhóm chuyên gia tư vấn của Viện Năng suất Việt Nam hướng dẫn, đào tạo và đạt được những kết quả hết sức thiết thực.
 
1. Hiện trạng về đảm bảo an toàn thông tin trong quá trình kinh doanh tại NETPUS trước khi triển khai dự án hỗ trợ:
Mặc dù lãnh đạo công ty đã có sự quan tâm đến vấn đề đảm bảo an toàn thông tin trong quá trình cung cấp dịch vụ tin nhắn SMS, vừa để đảm bảo đáp ứng các yêu cầu của khách hàng sử dụng dịch vụ tin nhắn, vừa đáp ứng các yêu cầu của pháp luật liên quan đến loại dịch vụ này nhưng do chưa có phương pháp tiếp cận bài bản, có tính hệ thống, nên công ty vẫn có nguy cơ đối diện với các rủi ro có thể phương hại đến các tài sản thông tin của khách hàng và của chính công ty. Ví dụ: tổng thời gian bị gián đoạn kinh doanh có nguyên nhân liên quan đến các rủi ro, các mối đe dọa và điểm yếu trong hệ thống (như hacker tấn công hệ thống máy chủ để cung cấp dịch vụ SMS, mất điện nguồn duy trì hệ thống máy chủ…) trong những năm trước là chưa đáp ứng yêu cầu của khách hàng về tính liên tục kinh doanh và an toàn thông tin (tính bằng ngày), khách hàng có những phàn nàn, khiếu nại.
Bên cạnh đó, đối chiếu với các yêu cầu của tiêu chuẩn TCVN ISO/IEC 27001:2009, mức độ đáp ứng của công ty tại thời điểm bắt đầu khởi động áp dụng ISO/IEC 27001:2009 là thấp (đáp ứng đầy đủ yêu cầu: 0,85%; đáp ứng một phần: 17,80%, chưa đáp ứng: 81,36% tính trên tổng số 118 hạng mục/ yêu cầu của tiêu chuẩn).
 

Hình 1: Kết quả đánh giá thực trạng mức độ đáp ứng các yêu cầu của
TCVN ISO/IEC 27001:2009
 
2. Quá trình triển khai dự án xây dựng và áp dụng hệ thống an toàn thông tin TCVN ISO/IEC 27001 tại NETPLUS
2.1 Lý do triển khai dự án
Xét về tổng thể, nhiều tổ chức, doanh nghiệp đặc biệt là trong các lĩnh vực có nguy cơ bị tấn công cao như ngân hàng, tài chính, dầu khí, phát triển phần mềm… đã có sự đầu tư nhất định về các con người, thiết bị, công nghệ, giải pháp công nghệ thông tin nhằm phòng tránh và xử lý rủi ro, sự cố an toàn thông tin để tự bảo vệ các tài sản thông tin của mình và của khách hàng. Tuy nhiên, đối với nhiều doanh nghiệp ở quy mô nhỏ và vừa thì điều này vẫn còn sơ sài hoặc hoàn toàn chưa quan tâm. Điều này dẫn đến sự chủ quan, thiếu ý thức, lỏng lẻo trong việc chủ động phòng tránh rủi ro trong quá trình sử dụng các tài sản thông tin của tổ chức, tạo ra các lỗ hổng để tin tặc khai thác, tấn công hệ thống thông tin và chỉ khi sự cố ATTT xảy ra thì mới thực hiện những biện pháp thụ động để xử lý các sự cố.
Dịch vụ tin nhắn SMS do Công ty CP NETPLUS đã được lựa chọn đưa vào trong phạm vi áp dụng thử nghiệm hệ thống quản lý an toàn thông tin theo TCVN ISO/IEC 27001:2009 do vấn đề đảm bảo an toàn thông tin của loại hình dịch vụ này có tầm tác động khá rộng đến nhiều khách hàng sử dụng dịch vụ. Nếu các thuộc tính bao gồm Tính bảo mật (Confidential), Tính toàn vẹn (Integrity) và Tính sẵn có (Availability) (ký hiệu là C-I-A) của các tài sản thông tin kể cả của NETPLUS lẫn của khách hàng thì có thể dẫn tới các tác động xã hội nhất định. Đặc biệt, nếu dịch vụ tin nhắn SMS bị lạm dụng hoặc khai thác không đúng thẩm quyền thì ngoài yếu tố thiệt hại về kinh tế, tài chính, uy tín…, còn có thể có tác động xấu về mặt chính trị, trật tự - xã hội.
2.2 Mục tiêu dự án: 
Xây dựng được mô hình thử nghiệm áp dụng tiêu chuẩn Hệ thống quản lý an toàn thông tin theo ISO/IEC 27001:2005 làm căn cứ quản lý một cách chủ động, có tính hệ thống, khoa học, chặt chẽ đối với các rủi ro có thể gây tổn thất đến các tài sản thông tin của doanh nghiệp, ảnh hưởng trực tiếp hoặc gián tiếp đến thông tin, tài sản của khách hàng sử dụng dịch vụ của doanh nghiệp. Việc thực hiện tốt tiêu chuẩn này cũng sẽ giúp doanh nghiệp đáp ứng tốt, đầy đủ các yêu cầu của pháp luật liên quan đến đảm bảo an toàn thông tin.
2.3 Phạm vi áp dụng và thời gian triển khai dự án:
ISO/IEC 27001:2005 được áp dụng cho lĩnh vực kinh doanh chính của Công ty, đó là “Quá trình cung cấp dịch vụ giá trị gia tăng trên mạng (tin nhắn SMS)”.
Thời gian được xác định triển khai xây dựng và áp dụng hệ thống là từ tháng 4/2014 – 11/2014.
2.4 Phương pháp triển khai:
  • Vận dụng phương pháp tiếp cận P-D-C-A (Hoạch định-Thực hiện-Kiểm tra-Hành động cải tiến/ điều chỉnh) để vạch ra Kế hoạch tổng thể dự án và Kế hoạch chi tiết ở từng bước/ giai đoạn như Kế hoạch xây dựng văn bản, Kế hoạch đánh giá nội bộ..;
  • Khảo sát thực trạng ban đầu để xác định mức độ đáp ứng yêu cầu tiêu chuẩn, từ đó vạch ra kế hoạch cụ thể đáp ứng/ bổ sung những phần còn thiếu hoặc đã có nhưng chưa đáp ứng yêu cầu tiêu chuẩn;
  • Thực hiện các khóa đào tạo cần thiết theo Kế hoạch dự án để đảm bảo cung cấp đủ các nhận thức, kiến thức và các vấn đề thực hành cần thiết cho việc thiết lập, thực hiện, áp dụng, đánh giá, duy trì, cải tiến liên tục hệ thống quản lý ATTT;
  • Triển khai áp dụng hệ thống theo các hạng mục ở từng giai đoạn của Kế hoạch tổng thể dự án;
  • Đánh giá nội bộ, xem xét, cải tiến hệ thống quản lý ATTT.
Các nội dung công việc cụ thể như trong Kế hoạch tổng thể triển khai mô hình thử nghiệm ISO/IEC 27001 kèm theo (Phụ lục 1).
3. Các kết quả, hiệu quả đạt được sau khi triển khai dự án xây dựng và áp dụng hệ thống an toàn thông tin TCVN ISO/IEC 27001 tại NETPLUS
3.1 Kết quả đạt được:
  • Toàn thể lãnh đạo, cán bộ của Công ty đã được đào tạo, hiểu rõ yêu cầu của tiêu chuẩn, phương pháp để xây dựng, duy trì, cải tiến hệ thống quản lý an toàn thông tin theo ISO/IEC 27001:2005. Với sự hướng dẫn của nhóm chuyên gia tư vấn, Công ty đã xây dựng, ban hành hệ thống văn bản của hệ thống quản lý ATTT đáp ứng yêu cầu ISO/IEC 27001:2005 tương ứng với phạm vi áp dụng hệ thống và các quá trình kinh doanh, cơ cấu tổ chức của doanh nghiệp. Công ty cũng đã xây dựng Mục tiêu an toàn thông tin năm 2014 và thực hiện theo dõi, đo lường kết quả thực hiện mục tiêu đã đề ra.
  • Cải thiện đáng kể về mức độ đáp ứng các yêu cầu của tiêu chuẩn TCVN ISO/IEC 27001:2009 khi đối sánh giữa hai thời điểm: Khi hệ thống quản lý ISMS chưa được thiết lập (theo kết quả đánh giá thực trạng ngày 19/4/2014): mức độ đáp ứng yêu cầu tiêu chuẩn là rất thấp (đáp ứng đầy đủ yêu cầu: 0,85% ; đáp ứng một phần: 17,80%, chưa đáp ứng: 81,36% trong tổng số 118 hạng mục/ yêu cầu của tiêu chuẩn). Sau khi hoàn thành các hoạt động đánh giá nội bộ, thực hiện hành động khắc phục, xem xét của lãnh đạo về hệ thống ISMS:  mức độ đáp ứng yêu cầu tiêu chuẩn đã được cải thiện nhiều (đáp ứng đầy đủ yêu cầu: 83,05% ; đáp ứng một phần: 16,95%, chưa đáp ứng: 0% trong tổng số 118 hạng mục/ yêu cầu của tiêu chuẩn) (xem Hình 2).  
Hình 2: Kết quả đánh giá thực trạng mức độ đáp ứng các yêu cầu của 
TCVN ISO/IEC 27001:2009 (sau khi hoàn thành đánh giá nội bộ)
 
Đến tháng 8 năm 2015, hệ thống tiếp tục được duy trì, vận hành, cải tiến và tiếp tục phát huy hiệu quả, giúp Công ty kiểm soát được rủi ro và thỏa mãn khách hàng tốt hơn.
3.2 Hiệu quả dự án:
  • Nhận thức của lãnh đạo và CBNV công ty đối với yêu cầu bảo vệ Tính bảo mật, Tính toàn vẹn và Tính sẵn có của các tài sản thông tin của doanh nghiệp và của khách hàng sử dụng dịch vụ tin nhắn SMS đã được cải thiện rất rõ, từ đó làm nền tảng cho việc công bố và thực thi các cam kết của lãnh đạo doanh nghiệp, nhằm huy động các nguồn lực cần thiết để thực hiện các quá trình quản lý, các biện pháp kiểm soát về an toàn thông tin được xác định trong hệ thống.
  • Công ty được trang bị phương pháp quản lý theo cách thức có hệ thống dựa trên tiêu chuẩn quốc tế ISO nói chung và ISO/IEC 27001 nói riêng để quản lý, điều hành hoạt động cung cấp dịch vụ của công ty theo cách chuyên nghiệp, bài bản dựa trên nguyên lý P-D-C-A, trong đó có việc xác định Chính sách, thiết lập Mục tiêu, quá trình kiểm soát cần thiết để đảm bảo an toàn thông tin dựa trên phương pháp tiếp cận đánh giá rủi ro.
  • Kết quả kinh doanh của Công ty và chất lượng quá trình cung cấp dịch vụ được cải thiện; đảm bảo tính liên tục của quá trình kinh doanh; phòng ngừa và giảm thiểu các rủi ro mất an toàn thông tin, tạo được lòng tin cho khách hàng và đối tác; duy trì sự tuân thủ theo các yêu cầu của pháp luật về đảm bảo an toàn thông tin được áp dụng đối với doanh nghiệp.
3.3 Những thuận lợi, khó khăn, bài học kinh nghiệm:
  • Sự cam kết của lãnh đạo doanh nghiệp qua việc trực tiếp tham gia vào quá trình triển khai (kể cả tham dự các khóa đào tạo), đảm bảo sẵn có các nguồn lực, thời gian, nhân lực thực hiện kế hoạch xây dựng, áp dụng ISO/IEC 27001; hiệu quả hoạt động của Ban ISO/IEC 27001, trong đó có ít nhất một vài cán bộ nòng cốt có am hiểu về lĩnh vực CNTT sẽ tạo thuận lợi cho quá trình triển khai. Để đảm bảo hiệu quả, tất cả thành viên Ban ISO/IEC 27001 bắt buộc phải tham dự tất cả các khóa đạo tạo theo kế hoạch thực hiện ISO/IEC 27001 để sau này có đủ khả năng tự thực hiện đào tạo nội bộ cho các nhân viên (đào tạo lại, đào tạo nhân viên mới…);
  • Quy mô doanh nghiệp nhỏ và quá trình kinh doanh chính được chọn đưa vào phạm vi áp dụng hệ thống không quá phức tạp cũng là một yếu tố thuận lợi để thực hiện xây dựng hệ thống, nhất là giai đoạn đánh giá rủi ro an toàn thông tin. Do vậy, việc xác định mục đích, phạm vi triển khai hệ thống là một trong những điểm xuất phát quan trọng cần chú ý để đảm bảo thực hiện dự án có hiệu quả và phù hợp với nguồn lực sẵn có ở một doanh nghiệp quy mô nhỏ;
  • Kế hoạch triển khai mô hình thử nghiệm theo ISO/IEC 27001 được xây dựng trên cơ sở vận dụng nguyên lý P-D-C-A (Hoạch định - Thực hiện - Kiểm tra - Cải tiến). Tuy nhiên do thời gian hoàn tất một chu trình này là còn hạn chế (trung bình 8 – 10 tháng/ mô hình/ doanh nghiệp), trong đó giai đoạn xây dựng/ thiết lập hệ thống (Hoạch định/ Plan) thực tế cũng đã mất từ 3 – 4 tháng, nên thời gian dành cho các giai đoạn còn lại (Thực hiện - Kiểm tra - Cải tiến) còn hạn chế, vì vậy doanh nghiệp cần tiếp tục chứng minh sự cam kết để tiếp tục duy trì, vận hành, cải tiến thường xuyên hệ thống.  
Vấn đề đảm bảo thực thi quyền sở hữu trí tuệ (Intellectual property rights – IPR): Việc thiết lập, thực hiện các thủ tục thích hợp để đảm bảo tuân thủ theo các yêu cầu của pháp luật, chế định và các ràng buộc hợp đồng liên quan đến việc sử dụng các tài liệu, sản phẩm phần mềm có yêu cầu IPR được xem là một biện pháp kiểm soát theo yêu cầu ISO/IEC 27001:2005 mà tổ chức thực hiện ISMS phải áp dụng (Mục A.15.1 – Tuân thủ các yêu cầu pháp lý, Phụ lục A của ISO/IEC 27001:2005). Ở Việt Nam, không phải doanh nghiệp nào cũng đáp ứng đầy đủ yêu cầu này, đặc biệt là các doanh nghiệp có quy mô vừa, nhỏ hoặc rất nhỏ khi trang bị, khai thác các phần mềm hệ điều hành cho máy tính, các phần mềm ứng dụng …. có yêu cầu bản quyền hợp pháp. Việc vượt qua được thách thức này để đáp ứng đầy đủ yêu cầu ISO/IEC 27001 sẽ đòi hỏi sự nỗ lực của nhiều bên liên quan, gồm cơ quan quản lý nhà nước về IPR trong việc đảm bảo pháp luật về sở hữu trí tuệ được thực thi, của chính doanh nghiệp thực hiện ISMS để nhận thức được trách nhiệm và lợi ích khi khai thác các phần mềm hợp pháp, và cả áp lực từ phía khách hàng, đối tác kinh doanh của doanh nghiệp.
Xây dựng thành công hệ thống quản lý an toàn thông tin đã đem lại những thay đổi tích cực cho Công ty. Do đó, việc duy trì áp dụng, đánh giá, xem xét, cải tiến liên tục hệ thống quản lý ATTT đã được thiết lập, vận hành trong thời gian tiếp theo đòi hỏi sự cam kết của Lãnh đạo cũng như sự tham gia của toàn bộ cán bộ trong Công ty thông qua các hoạt động như: Thường xuyên xem xét, cập nhật hệ thống quản lý để tiếp tục duy trì hiệu lực, hiệu quả của hệ thống, đặc biệt là cập nhật về các văn bản pháp luật về ATTT, cập nhật về phương pháp đánh giá rủi ro ATTT, cập nhật các rủi ro (kết hợp của mối đe dọa và các điểm yếu) về ATTT; Chú trọng hoạt động đào tạo cho nhân viên trong phạm vi triển khai hệ thống để duy trì sự nhận thức về rủi ro ATTT, cũng như cập nhật các kiến thức, kỹ năng cần thiết trong việc áp dụng các biện pháp kiểm soát ATTT phù hợp với chính sách ATTT của doanh nghiệp.

Dương Văn Tuấn – Giám đốc
Đỗ Thị Ngọc Diệp – Thường trực Ban ISO/IEC 27001
 
Giấy phép số 2915/QĐ-BKHCN - Copyright © VNPI - Ghi rõ nguồn khi sử dụng thông tin từ website này. Online: 135 Tổng truy cập: 753.770
Hotline: 0912293223