Tin tức

Back

Xây dựng hệ thống quản lý an toàn thông tin theo TCVN ISO/IEC 27001 tại Công ty CP Netplus

NETPLUS là công ty tiên phong về phát triển hệ thống SMS điều hành, quản lý học tập của học sinh. Qua một thời gian phát triển dựa trên dịch vụ chính là SMS như SMS học tập, marketing, cảnh báo, công ty đã phát triển mạnh sang các dịch vụ mạng khác như phát triển website, giải pháp IoT, thiết kế phần mềm. 

Đối tác, khách hàng của NetPlus bao gồm hệ thống các trường THCS, trường Mầm non, trường đại học, cao đẳng, trung tâm đào tạo, Vietnam Airlines, Trung tâm khí tượng thuỷ văn và nhà cung cấp mạng di động, viễn thông, v.v. Năm 2014, NETPLUS bắt đầu tiếp cận và xây dựng hệ thống quản lý an toàn thông tin theo tiêu chuẩn TCVN ISO/IEC 27001 với sự hướng dẫn của Viện Năng suất Việt Nam trong khuôn khổ Chương trình quốc gia hỗ trợ doanh nghiệp nâng cao năng suất và chất lượng.

  1. Hiện trạng và lý do triển khai xây dựng, áp dụng ISMS

Lãnh đạo công ty có sự quan tâm đặc biệt đến vấn đề đảm bảo an toàn thông tin trong quá trình cung cấp dịch vụ tin nhắn SMS để đảm bảo đáp ứng các yêu cầu của khách hàng và yêu cầu của pháp luật liên quan đến loại dịch vụ này nhưng do chưa có phương pháp tiếp cận bài bản, có tính hệ thống nên tiềm ẩn nguy cơ, rủi ro cao liên quan đến tài sản thông tin của khách hàng và của chính công ty. Ví dụ, thời gian bị gián đoạn kinh doanh có nguyên nhân liên quan đến các rủi ro, các mối đe dọa và điểm yếu trong hệ thống (như hacker tấn công hệ thống máy chủ để cung cấp dịch vụ SMS, mất điện nguồn duy trì hệ thống máy chủ…) trong những năm trước là chưa đáp ứng yêu cầu của khách hàng về tính liên tục kinh doanh và an toàn thông tin (tính bằng ngày), khách hàng có những phàn nàn, khiếu nại.

Đối chiếu với các yêu cầu của tiêu chuẩn, mức độ đáp ứng của công ty tại thời điểm bắt đầu khởi động xây dựng ISMS được thể hiện trong hình dưới đây.

Kết quả đánh giá thực trạng so với yêu cầu tiêu chuẩn trước khi áp dụng ISMS

Xét về tổng thể, nhiều tổ chức, doanh nghiệp đặc biệt là trong các lĩnh vực có nguy cơ bị tấn công cao như ngân hàng, tài chính, dầu khí, phát triển phần mềm… đã có sự đầu tư nhất định về các con người, thiết bị, công nghệ, giải pháp công nghệ thông tin nhằm phòng tránh và xử lý rủi ro, sự cố an toàn thông tin để tự bảo vệ các tài sản thông tin của mình và của khách hàng. Tuy nhiên, đối với nhiều doanh nghiệp ở quy mô nhỏ và vừa thì điều này vẫn còn sơ sài hoặc hoàn toàn chưa quan tâm. Điều này dẫn đến sự chủ quan, thiếu ý thức, lỏng lẻo trong việc chủ động phòng tránh rủi ro trong quá trình sử dụng các tài sản thông tin của tổ chức, tạo ra các lỗ hổng để tin tặc khai thác, tấn công hệ thống thông tin và chỉ khi sự cố ATTT xảy ra thì mới thực hiện những biện pháp thụ động để xử lý các sự cố.

Dịch vụ tin nhắn SMS do Công ty CP NETPLUS đã được lựa chọn đưa vào trong phạm vi áp dụng thử nghiệm hệ thống quản lý an toàn thông tin theo TCVN ISO/IEC 27001:2009 do vấn đề đảm bảo an toàn thông tin của loại hình dịch vụ này có tầm tác động khá rộng đến nhiều khách hàng sử dụng dịch vụ. Nếu các thuộc tính bao gồm Tính bảo mật (Confidential), Tính toàn vẹn (Integrity) và Tính sẵn có (Availability) (ký hiệu là C-I-A) của các tài sản thông tin kể cả của NETPLUS lẫn của khách hàng thì có thể dẫn tới các tác động xã hội nhất định. Đặc biệt, nếu dịch vụ tin nhắn SMS bị lạm dụng hoặc khai thác không đúng thẩm quyền thì ngoài yếu tố thiệt hại về kinh tế, tài chính, uy tín…, còn có thể có tác động xấu về mặt chính trị, trật tự - xã hội.

  1. Quá trình triển khai dự án xây dựng và áp dụng hệ thống ATTT

- Mục tiêu dự án: Xây dựng được mô hình thử nghiệm áp dụng tiêu chuẩn Hệ thống quản lý an toàn thông tin theo ISO/IEC 27001:2005 làm căn cứ quản lý một cách chủ động, có tính hệ thống, khoa học, chặt chẽ đối với các rủi ro có thể gây tổn thất đến các tài sản thông tin của doanh nghiệp, ảnh hưởng trực tiếp hoặc gián tiếp đến thông tin, tài sản của khách hàng sử dụng dịch vụ của doanh nghiệp. Việc thực hiện tốt tiêu chuẩn này cũng sẽ giúp doanh nghiệp đáp ứng tốt, đầy đủ các yêu cầu của pháp luật liên quan đến đảm bảo an toàn thông tin.

- Phạm vi áp dụng và thời gian triển khai dự án: áp dụng cho lĩnh vực kinh doanh chính của Công ty, đó là “Quá trình cung cấp dịch vụ giá trị gia tăng trên mạng (tin nhắn SMS)”.

- Các kết quả, hiệu quả đạt được

Công ty đã thiết lập được hệ thống quản lý ATTT đáp ứng yêu cầu ISO/IEC 27001 và mục tiêu an toàn thông tin, đồng thời thực hiện theo dõi, đo lường kết quả thực hiện mục tiêu đã đề ra và cải thiện đáng kể về mức độ đáp ứng 118 các yêu cầu của tiêu chuẩn TCVN ISO/IEC 27001 sau khi áp dụng hệ thống. Hệ thống giúp Công ty kiểm soát được rủi ro và thỏa mãn khách hàng tốt hơn.

Kết quả đánh giá sau khi áp dụng ISMS so với yêu cầu tiêu chuẩn

Nhận thức của lãnh đạo và CBNV công ty đối với yêu cầu bảo vệ Tính bảo mật, Tính toàn vẹn và Tính sẵn có của các tài sản thông tin của doanh nghiệp và của khách hàng sử dụng dịch vụ tin nhắn SMS đã được cải thiện rất rõ, từ đó làm nền tảng cho việc công bố và thực thi các cam kết của lãnh đạo doanh nghiệp, nhằm huy động các nguồn lực cần thiết để thực hiện các quá trình quản lý, các biện pháp kiểm soát về an toàn thông tin được xác định trong hệ thống.

Kết quả kinh doanh của Công ty và chất lượng quá trình cung cấp dịch vụ được cải thiện; đảm bảo tính liên tục của quá trình kinh doanh; phòng ngừa và giảm thiểu các rủi ro mất an toàn thông tin, tạo được lòng tin cho khách hàng và đối tác; duy trì sự tuân thủ theo các yêu cầu của pháp luật về đảm bảo an toàn thông tin được áp dụng đối với doanh nghiệp.

  1. Những thuận lợi, khó khăn, bài học kinh nghiệm:

- Xác định phạm vi áp dụng phù hợp: Đối với doanh nghiệp nhỏ hay lớn, cần lưu ý xác định qui mô phù hợp với nguồn lực sẵn có, tất nhiên phải đảm bảo các quá trình kinh doanh chính được đưa vào phạm vi áp dụng hệ thống.

- Sự cam kết của lãnh đạo doanh nghiệp là yếu tố quyết định đến hiệu lực, hiệu quả kiểm soát ATTT của hệ thống ISMS: Sự cam kết của lãnh đạo thể hiện thông qua việc trực tiếp tham gia vào quá trình triển khai (kể cả tham dự các khóa đào tạo), đảm bảo nguồn lực, thời gian, nhân lực dành cho thiết lập và triển khai áp dụng

- Hiệu quả hoạt động của Ban điều hành triển khai ISO/IEC 27001: Để đảm bảo hiệu quả, tất cả thành viên Ban chỉ đạo bắt buộc phải tham dự tất cả các khóa đạo tạo theo kế hoạch thực hiện để sau này có đủ khả năng tự thực hiện đào tạo nội bộ cho các nhân viên (đào tạo lại, đào tạo nhân viên mới…). Ban chỉ đạo, trong đó có cán bộ nòng cốt có am hiểu về lĩnh vực CNTT sẽ tạo thuận lợi cho quá trình triển khai;

- Vấn đề đảm bảo thực thi quyền sở hữu trí tuệ (Intellectual property rights – IPR): Việc thiết lập, thực hiện các thủ tục thích hợp để đảm bảo tuân thủ theo các yêu cầu của pháp luật, chế định và các ràng buộc hợp đồng liên quan đến việc sử dụng các tài liệu, sản phẩm phần mềm có yêu cầu IPR được xem là một biện pháp kiểm soát theo yêu cầu tiêu chuẩn mà tổ chức thực hiện ISMS phải áp dụng. Ở Việt Nam, không phải doanh nghiệp nào cũng đáp ứng đầy đủ yêu cầu này, đặc biệt là các doanh nghiệp có quy mô vừa, nhỏ hoặc rất nhỏ khi trang bị, khai thác các phần mềm hệ điều hành cho máy tính, các phần mềm ứng dụng, v.v có yêu cầu bản quyền hợp pháp. Việc vượt qua được thách thức này để đáp ứng đầy đủ yêu cầu ISO/IEC 27001 sẽ đòi hỏi sự nỗ lực của nhiều bên liên quan, gồm cơ quan quản lý nhà nước về IPR trong việc đảm bảo pháp luật về sở hữu trí tuệ được thực thi, của chính doanh nghiệp thực hiện ISMS để nhận thức được trách nhiệm và lợi ích khi khai thác các phần mềm hợp pháp, và cả áp lực từ phía khách hàng, đối tác kinh doanh của doanh nghiệp.

Xây dựng thành công hệ thống quản lý an toàn thông tin đã đem lại những thay đổi tích cực cho Công ty. Do đó, việc duy trì áp dụng, cải tiến liên tục hệ thống quản lý ATTT đã được thiết lập, vận hành trong thời gian tiếp theo đòi hỏi sự cam kết của Lãnh đạo cũng như sự tham gia của toàn bộ cán bộ trong Công ty thông qua các hoạt động như: Thường xuyên xem xét, cập nhật duy trì hiệu lực, hiệu quả của hệ thống, đặc biệt là cập nhật về các văn bản pháp luật, phương pháp đánh giá rủi ro ATTT, cập nhật các rủi ro về ATTT; Chú trọng hoạt động đào tạo cho nhân viên về các kiến thức, kỹ năng cần thiết trong việc áp dụng các biện pháp kiểm soát ATTT phù hợp với chính sách ATTT của doanh nghiệp.

Viện Năng suất Việt Nam