Tiểu luận Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam

lý và đánh giá của việc thực hiện các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các đề xuất, kiến nghị cũng như các thông tin phản hồi thu thập được. c. Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu về bảo đảm ATTT. d. Soát xét lại các đánh giá rủi ro đã tiến hành đồng thời xem xét các rủi ro được bỏ qua cũng như mức độ rủi ro có thể chấp nhận được. Trong đó lưu ý các thay đổi trong:  Tổ chức;  Công nghệ;  Mục tiêu và các quá trình nghiệp vụ;  Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định;  Tính hiệu quả của các biện pháp quản lý đã thực hiện;  Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội e. Thực hiện việc kiểm tra nội bộ hệ thống ISMS một cách định kỳ Chú ý: Kiểm tra nội bộ đôi khi còn được gọi là kiểm tra sơ bộ và được tự thực hiện. f. Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống ISMS để đánh giá mục tiêu đặt ra có còn phù hợp cũng như nâng cấp cần thiết cho hệ thống ISMS. g. Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế thu được qua các hoạt động giám sát và đánh giá. h. Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng ảnh hưởng đến tính hiệu quả hoặc hiệu lực của hệ thống ISMS. 1.4.2.4. Duy trì và nâng cấp ISMS: Tổ chức cần thường xuyên thực hiện: a. Triển khai các nâng cấp cho hệ thống ISMS đã xác định. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 14 b. Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp. Chú ý vận dụng kinh nghiệm đã có cũng như tham khảo từ các tổ chức khác. c. Thông báo và thống nhất với các thành phần liên quan về các hoạt động và sự nâng cấp của hệ thống ISMS. d. Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra. 1.4.3. Các yêu cầu về hệ thống tài liệu 1.4.3.1. Khái quát: Tài liệu bao gồm tập hợp các hồ sơ xử lý nhằm đảm bảo cho phép: truy lại được các quyết định xử lý, chính sách và đảm bảo rằng các kết quả ghi nhận là có thể tái tạo lại được. Điều quan trọng là cần nêu rõ được sự liên quan giữa các biện pháp quản lý đã chọn với kết quả của các quy trình đánh giá và xử lý rủi ro cũng như với các chính sách và mục tiêu của hệ thống ISMS đã được đặt ra. Các tài liệu của hệ thống ISMS bao gồm: a. Các thông báo về chính sách và mục tiêu của hệ thống ISMS. b. Phạm vi của hệ thống ISMS. c. Các thủ tục và biện pháp quản lý hỗ trợ cho hệ thống ISMS. d. Mô tả hệ phương pháp đánh giá rủi ro. e. Báo cáo đánh giá rủi ro. f. Kế hoạch xử lý rủi ro. g. Các thủ tục dạng văn bản của tổ chức để có thể đảm bảo hiệu quả của kế hoạch, sự điều hành và quản lý các quy trình bảo đảm an toàn thông tin và mô tả phương thức đánh giá hiệu quả của các biện pháp quản lý đã áp dụng h. Các hồ sơ cần thiết được mô tả trong mục 4.3.3 của tiêu chuẩn này. i. Thông báo áp dụng. Chú ý 1: Cụm từ “thủ tục dưới dạng văn bản” trong ngữ cảnh của tiêu chuẩn quốc tế này có nghĩa là các thủ tục đã được thiết lập, biên soạn thành tài liệu, triển khai và bảo trì. Chú ý 2: Quy mô của tài liệu về hệ thống ISMS giữa các tổ chức là khác nhau và phụ thuộc vào: TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 15  Kích thước và loại hình hoạt động của tổ chức.  Phạm vi và độ phức tạp của các yêu cầu an toàn bảo mật cũng như các hệ thống đang được tổ chức quản lý. Chú ý 3: Các hồ sơ và tài liệu có thể được biểu diễn dưới bất kỳ hình thức và phương tiện nào phù hợp. 1.4.3.2. Biện pháp quản lý tài liệu: Các tài liệu cần thiết của hệ thống ISMS cần phải được bảo vệ và quản lý thích hợp. Một thủ tục sẽ được thiết lập để xác định các hoạt động quản lý cần thiết nhằm: a. Phê duyệt các tài liệu thỏa đáng trước khi được ban hành; b. Soát xét tài liệu và tiến hành các sửa đổi cần thiết để có thể phê duyệt lại; c. Đảm bảo nhận biết được các thay đổi và tình trạng sửa đổi hiện hành của tài liệu; d. Đảm bảo rằng các phiên bản tài liệu thích hợp luôn có sẵn ở nơi cần sử dụng; e. Đảm bảo rằng các tài liệu phải rõ ràng, dễ đọc và dễ nhận biết; f. Đảm bảo tài liệu phải sẵn sàng đối với người cần, được chuyển giao, lưu trữ và hủy bỏ được áp dụng theo các thủ tục phù hợp. g. Đảm bảo các tài liệu có nguồn gốc bên ngoài được nhận biết; h. Đảm bảo việc phân phối tài liệu phải được quản lý; i. Tránh việc vô tình sử dụng phải các tài liệu quá hạn; j. Áp dụng các biện pháp định danh phù hợp đối với các tài liệu cần lưu trữ. 1.4.3.3. Biện pháp quản lý hồ sơ: Các hồ sơ sẽ được thiết lập và duy trì để cung cấp các dẫn chứng thể hiện sự phù hợp giữa yêu cầu và các hoạt động điều hành của hệ thống ISMS. Các hồ sơ sẽ được bảo vệ và quản lý. Hệ thống ISMS sẽ phải chú ý đến các pháp lý liên quan, các yêu cầu sửa đổi và các ràng buộc đã thống nhất. Hồ sơ phải dễ đọc, dễ nhận biết và có thể sửa được. Các biện pháp quản lý cần thiết để định danh, lưu trữ, bảo vệ, sửa chữa, thời gian sử dụng và hủy bỏ của hồ sơ sẽ được biên soạn và thực hiện. Các hồ sơ sẽ được giữ theo quy trình như đã phác thảo trong mục 4.2 và các sự cố đáng kể xuất hiện có liên quan đến hệ thống ISMS. Ví dụ : hồ sơ là một quyển sách ghi chép về các khách tham quan, báo cáo kiểm toán v.v… TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 16 1.5. Trách nhiệm của ban quản lý: 1.5.1. Cam kết của ban quản lý: Ban quản lý phải cam kết sẽ cung cấp các dẫn chứng để thiết lập, triển khai, điều hành, giám sát, đánh giá, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin bằng: a. Thiết lập chính sách cho hệ thống bảo đảm an toàn thông tin b. Đảm bảo rằng các mục tiêu và kế hoạch của hệ thống an toàn thông tin đã được xây dựng. c. Xây dựng vai trò và trách nhiệm của an toàn thông tin d. Trao đổi với tổ chức về các mục tiêu bảo đảm an toàn thông tin và làm cho phù hợp với các chính sách an toàn thông tin, các trách nhiệm dưới luật và cần thiết tiếp tục cải tiến; e. Thông tin cho toàn bộ tổ chức biết về tầm quan trọng của các mục tiêu an toàn thông tin cần đạt được, sự tuân thủ chính sách an toàn thông tin, trách nhiệm trước pháp luật và sự cần thiết phải nâng cấp, cải thiện hệ thống một cách thường xuyên. f. Cung cấp đầy đủ tài nguyên cho các quá trình thiết lập, triển khai, điều hành, giám sát, kiểm tra, bảo trì và nâng cấp hệ thống ISMS. g. Xác định chỉ tiêu cho các rủi ro và mức độ rủi ro có thể chấp nhận được. h. Đảm bảo việc chỉ đạo quá trình kiểm toán nội bộ hệ thống ISMS. i. Chỉ đạo việc soát xét sự quản lý của hệ thống ISMS. 1.5.2. Quản lý nguồn lực: 1.5.2.1. Cấp phát nguồn lực: Tổ chức phải xác định và cung cấp các nguồn lực cần thiết: a. Thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống ISMS; b. Đảm bảo rằng các quy trình bảo đảm an toàn thông tin hỗ trợ cho các yêu cầu nghiệp vụ; c. Xác định và áp dụng các yêu cầu pháp lý và quy định cũng như các ràng buộc về an toàn thông tin phải tuân thủ; TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 17 d. Duy trì đầy đủ an toàn bảo mật bằng cách áp dụng tất cả các biện pháp quản lý đã được triển khai; e. Thực hiện soát xét và có các biện pháp xử lý khi cần thiết. f. Nâng cao năng lực của hệ thống ISMS khi cần thiết. 1.5.2.2. Đào tạo, nhận thức và năng lực Tổ chức phải đảm bảo những người có trách nhiệm trong hệ thống ISMS phải có đầy đủ năng lực để thực hiện các nhiệm vụ được giao bằng cách: a. Xác định các kỹ năng cần thiết để có thể thực hiện hiệu quả công việc được giao. b. Cung cấp các khóa đào tạo hoặc tuyển chọn người đã có năng lực để có thể thỏa mãn yêu cầu. c. Đánh giá mức độ hiệu quả của các hoạt động đã thực hiện d. Lưu giữ hồ sơ về việc học vấn, quá trình đào tạo, các kỹ năng, kinh nghiệm và trình độ chuyên môn. Tổ chức cũng cần đảm bảo rằng tất cả những cá nhân liên quan đều nhận thức được tầm quan trọng của các hoạt động đảm bảo an toàn thông tin và hiểu cách góp phần thực hiện các mục tiêu của hệ thống ISMS. 1.6. Kiểm tra nội bộ ISMS: Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xác định các mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục trong hệ thống ISMS: a. Theo các yêu cầu của tiêu chuẩn này, pháp lý và các quy định liên quan. b. Theo các yêu cầu trong đảm bảo an toàn thông tin. c. Phải đảm bảo hiệu quả trong triển khai và duy trì. d. Hoạt động diễn ra đúng như mong muốn. Các chương trình kiểm tra sẽ được lên kế hoạch và cần xem xét đến các vấn đề như hiện trạng, ý nghĩa của các quy trình và phạm vi được kiểm tra. Các chỉ tiêu, phạm vi, tần suất và biện pháp sẽ được xác định. Sự lựa chọn người tiến hành kiểm tra (kiểm tra viên) và cách hướng dẫn, chỉ đạo kiểm tra sẽ đảm bảo tính khách quan, công bằng cho quá trình kiểm tra. Kiểm tra viên không nên tự kiểm tra công việc của mình. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 18 Các trách nhiệm và yêu cầu cho việc lập kế hoạch và hướng dẫn kiểm tra, báo cáo kết quả và lưu giữ hồ sơ (xem 1.4.3.3) phải được xác định rõ ràng trong một thủ tục dưới dạng văn bản. Ban quản lý chịu trách nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo các hoạt động được thực hiện đúng thời hạn nhằm loại bỏ các vi phạm. Các hoạt động tiếp theo sẽ bao gồm việc thẩm tra các hoạt động đã thực hiện và lập báo cáo về kết quả thẩm tra này. 1.7. Ban quản lý soát xét ISMS: 1.7.1. Khái quát: Ban quản lý sẽ soát xét hệ thống ISMS của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần trong năm) để luôn luôn đảm bảo tính chất phù hợp, đầy đủ và hiệu quả. Sự xoát xét này bao gồm đánh giá các cơ hội cho việc nâng cấp và sự cần thiết phải thay đổi của hệ thống ISMS, bao gồm các chính sách an toàn thông tin và mục tiêu an toàn thông tin. Các kết quả của việc soát xét sẽ được lưu giữ và biên soạn thành tài liệu (xem 1.4.3.3). 1.7.2. Đầu vào của việc soát xét: Đầu vào cho ban quản lý tiến hành việc soát xét hệ thống ISMS bao gồm: a. Các kết quả kiểm tra và soát xét hệ thống ISMS. b. Thông tin phản hồi từ các bộ phận có liên quan. c. Các kỹ thuật, sản phẩm hoặc thủ tục có thể được sử dụng trong tổ chức nhằm nâng cao hiệu quả và năng lực của hệ thống ISMS. d. Hiện trạng của các hành động ngăn ngừa và khắc phục, sửa chữa. e. Các lỗ hổng hoặc nguy cơ mất an toàn thông tin không được đề cập một cách thấu đáo trong lần đánh giá rủi ro trước. f. Các kết quả đánh giá năng lực của hệ thống. g. Các hoạt động tiếp theo lần soát xét trước. h. Các thay đổi có ảnh hưởng đến hệ thống ISMS i. Các kiến nghị nhằm cải thiện hệ thống. 1.7.3. Đầu ra của việc soát xét: Ban quản lý sau khi soát xét hệ thống ISMS sẽ cần đưa ra các quyết định và hoạt động trong việc: a. Nâng cao năng lực của hệ thống ISMS. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 19 b. Cập nhật kế hoạch đánh giá và xử lý rủi ro. c. Sửa đổi các thủ tục và biện pháp quản lý có ảnh hưởng cần thiết đến bảo đảm an toàn thông tin nhằm đối phó lại với các sự kiện có thể gây tác động đến hệ thống ISMS, bao gồm:  Các yêu cầu trong hoạt động nghiệp vụ.  Các yêu cầu an toàn bảo mật.  Các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp vụ của tổ chức.  Các yêu cầu về pháp lý và quy định.  Các ràng buộc theo các hợp đồng đã ký kết  Mức độ rủi ro và/hoặc chỉ tiêu chấp nhận rủi ro. d. Các nhu cầu cần thiết về tài nguyên. e. Nâng cao phương thức đánh giá mức độ hiệu quả của các biện pháp quản lý. 1.8. Nâng cấp ISMS: 1.8.1. Nâng cấp thường xuyên: Tổ chức phải thường xuyên nâng cao tính hiệu lực của hệ thống ISMS thông qua việc tận dụng chính sách đảm bảo an toàn thông tin, các mục tiêu đảm bảo an toàn thông tin, các kết quả kiểm tra, kết quả phân tích các sự kiện đã xảy ra, các hành động ngăn ngừa và khắc phục cũng như các kết quả soát xét của ban quản lý. 1.8.2. Hành động khắc phục: Tổ chức phải thực hiện loại bỏ các nguyên nhân của các vi phạm với yêu cầu của hệ thống ISMS. Các thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xác định rõ các yêu cầu sau: a. Xác định các vi phạm. b. Tìm ra nguyên nhân của các vi phạm trên. c. Đánh giá các hành động cần thiết nhằm ngăn chặn các vi phạm này xuất hiện trở lại. d. Quyết định và triển khai các hành động khắc phục cần thiết. e. Lập hồ sơ các kết quả khi thực hiện các hành động trên. f. Soát xét lại các hành động khắc phục đã được thực hiện. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 20 1.8.3. Hành động phòng ngừa: Tổ chức cần xác định các hành động để tránh các nguyên nhân gây ra các vi phạm tiềm ẩn có thể phát sinh với hệ thống ISMS để có các biện pháp bảo vệ và phòng ngừa. Các hành động bảo vệ và phòng ngừa cần được thực hiện phù hợp với các tác động mà các vi phạm này có thể gây ra. Các thủ tục dưới dạng văn bản để bảo vệ, phòng ngừa cần xác định rõ các yêu cầu sau: a. Xác định các vấn đề vi phạm tiềm ẩn và nguyên nhân gây ra chúng. b. Đánh giá sự cần thiết của các hành động ngăn chặn các vi phạm này xuất hiện. c. Xác định và triển khai các hành động trên. d. Lập hồ sơ về các hành động này (xem 1.4.3.3). e. Soát xét các hành động đã được thực hiện trên. Tổ chức cần nhận biết các rủi ro đã thay đổi và xác định các hành động phù hợp đáp ứng lại các thay đổi này. Mức ưu tiên của các hành động bảo vệ và phòng ngừa sẽ được xác định dựa trên kết quả của quá trình đánh giá rủi ro. Chú ý: Hành động nhằm ngăn chặn trước các vi phạm thường hiệu quả và kinh tế hơn là đi khắc phục sự cố do các vi phạm gây ra. 1.9. Triển khai tiêu chuẩn ISO 27001 cho tổ chức: Để việc triển khai đạt được kết quả tốt nhất, tổ chức cần phải thực hiện theo các bước sau: a. Bước 1: Khởi động dự án Thi hành ISO 27001:2005 dưới các hình thức: ủng hộ cam kết từ lãnh đạo cấp cao, chọn và đào tạo tất cả các thành viên của nhóm khởi động là một phần trong dự án. b. Bước 2: Thiết lập ISMS Nhận dạng phạm vi và giới hạn của cơ cấu quản lý an toàn thông tin là cốt lõi cho dự án. Nghiên cứu để thiết lập yêu cầu của ISMS và sắp xếp các tài liệu an ninh đã tồn tại trong tổ chức. c. Bước 3: Đánh giá rủi ro Đánh giá rủi ro là thao tác cơ bản để triển khai cơ cấu quản lý an ninh thông tin.  Khảo sát các cấp độ tuân thủ với ISO 27001:2005.  Định giá tài sản để được bảo vệ và tạo thống kê tài sản.  Nhận dạng và đánh giá các mối đe dọa và những nơi dễ bị tấn công. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 21  Tính toán liên quan đến giá trị rủi ro. d. Bước 4: Xử lý rủi ro Nhận dạng và đánh giá các khả năng có thể cho việc xử lý rủi ro. Làm cách nào để giảm rủi ro đến cấp độ có thể chấp nhận được bằng việc chọn và thi hành các kiểm soát. e. Bước 5: Đào tạo và nhận thức Nhân viên có thể giới thiệu các liên kết yếu trong chuỗi an ninh. Nghiên cứu cách làm thế nào để thiết lập chương trình nhận thức an toàn thông tin. f. Bước 6: Chuẩn bị đánh giá Nghiên cứu cách xác thực cơ cấu quản lý và để chuẩn bị cho việc đánh giá của chuyên gia đánh giá nội bộ. g. Bước 7: Đánh giá Xem xét các bước thực hiện của chuyên gia đánh giá bên ngoài và đoàn đánh giá chứng nhận chính thức. h. Bước 8: Kiểm soát và cải tiến liên tục Cải tiến hiệu quả của hệ thống ISMS phù hợp với mô hình quản lý của tổ chức được ghi nhận bởi ISO. 1.10. Lợi ích của việc áp dụng Việc tuân theo hoặc đạt được chứng chỉ chuẩn ISO 27001:2005 không thể chứng minh tổ chức được đảm bảo an toàn 100%. Không có điều gì là an ninh hoàn toàn ngoại trừ không làm gì cả. Tuy nhiên, sự thừa nhận chuẩn quốc tế này đưa ra những lợi ích chắc chắn mà người quản lý cần phải xem xét: a. Cấp độ tổ chức: Sự cam kết, chứng chỉ như là một cam kết hiệu quả của nổ lực đưa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính những người quản trị. b. Cấp độ pháp luật - Tuân thủ: chứng minh cho nhà chức trách rằng tổ chức đã tuân theo tất cả các luật và các qui định áp dụng. Điều quan trọng là chuẩn đã được bổ sung nhưng chuẩn và luật lại tồn tại khác nhau. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 22 c. Cấp độ điều hành - Quản lý rủi ro: mang lại những hiểu biết tốt hơn về các hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng. Tương tự, nó đảm bảo nhiều khả năng sẵn sàng phụ thuộc ở cả phần cứng và phần mềm. d. Cấp độ thương mại - Sự tín nhiệm và tin cậy: các thành viên, cổ đông, và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường. e. Cấp độ tài chính: tiết kiệm chi phí khắc phục các lỗ hỏng an ninh và có khả năng giảm chi phí bảo hiểm. f. Cấp độ con người: cải tiến nhận thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức. 1.11. Thực trạng áp dụng tiêu chuẩn ISO 27001 tại Việt Nam Trong lễ khai giảng khóa học về “Chương trình đào tạo an ninh thông tin và tiêu chuẩn ISO/IEC 27001:2005”, Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng nhấn mạnh vai trò của hệ thống tiêu chuẩn ISO này đối với các tổ chức, doanh nghiệp. Đó là việc áp dụng ISO 27001 giúp các tổ chức, doanh nghiệp có được hệ thống quản lý an toàn thông tin toàn diện, giảm thiểu các rủi ro có thể xảy ra do những sự cố về thông tin và tăng cường khả năng đối phó với các tình huống khẩn cẩp từ nguy cơ xâm nhập đến nguy cơ vật lý. Tuy nhiên theo số liệu chính thức của Tổ chức ISO thì tính đến tháng 7 năm 2013 Việt Nam mới có 14 tổ chức, doanh nghiệp đạt chuẩn ISO/IEC 27001:2005. Còn theo số liệu không chính thức của các tổ chức tư vấn đánh giá thì con số tổ chức, doanh nghiệp đạt chuẩn đang ở khoảng 40. Ngay cả trong lĩnh vực CNTT thì số lượng đơn vị đạt chuẩn này còn rất ít, chỉ khoảng 1%. Số lượng tổ chức, doanh nghiệp triển khai ISO 27001 đa phần thuộc các lĩnh vực ngân hàng, tài chính và các trung tâm dữ liệu (data center). Còn trong lĩnh vực phần mềm thì số lượng rất khiêm tốn. Nguyên do chính khiến tỉ lệ doanh nghiệp CNTT có các chứng chỉ trên còn khiêm tốn là do vấn đề kinh phí và nhận thức. Ngoài các chi phí tư vấn, đánh giá, thi lấy chứng chỉ, khoản kinh phí duy trì hàng năm cho phần mềm bản quyền, thiết bị CNTT thường khiến nhiều doanh nghiệp hụt hơi. Một vài doanh nghiệp còn chưa nhận thức rõ các yêu cầu của tiêu chuẩn ví dụ như chỉ lấy chứng chỉ là xong trong khi việc đánh giá phải thực hiện định kỳ hàng năm nên bị TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 23 ISO loại khỏi danh sách đạt chuẩn (theo quy định thì mỗi năm doanh nghiệp phải trải qua 1 lần đánh giá lại, sau 3 năm hết hạn chứng chỉ thì phải chuẩn bị cho đợt đánh giá cấp chứng chỉ mới). Tuy nhiên, nếu doanh nghiệp xác định đây là một khoản đầu tư để có được những hợp đồng lớn, mọi việc sẽ khác. Nhận thấy việc triển khai ISO/IEC 27001:2005 đang là yêu cầu cấp thiết đối với các tổ chức và doanh nghiệp, Bộ thông tin và truyền thông (TT&TT) đã triển khai “Chương trình đào tạo về an ninh thông tin và tiêu chuẩn ISO/IEC 27001:2005 cho các tổ chức, doanh nghiệp”. Ngoài việc hỗ trợ đào tạo, nâng cao nhận thức, Bộ TT&TT cũng hỗ trợ các tổ chức, doanh nghiệp CNTT triển khai hệ thống quản lý an toàn thông tin ISO 27001 với mức tối đa 20.000 USD/doanh nghiệp. Trong đó, phần xây dựng, áp dụng quy trình ISO 27001 sẽ được nhận khoảng 12.000 USD/doanh nghiệp (ưu tiên những đơn vị triển khai ISO 27001 lần đầu) và phần đánh giá, đạt chứng chỉ cho năm đầu tiên được nhận 8.000 USD/doanh nghiệp (hỗ trợ cho đơn vị làm mới chứng chỉ hoặc tái chứng nhận). Một tín hiệu vui là số lượng tổ chức, doanh nghiệp đăng ký tham gia các khóa đào tạo lớn hơn dự kiến ban đầu của Bộ TT&TT và không ít doanh nghiệp đành phải chờ cơ hội khác. Điều này cho thấy các tổ chức, doanh nghiệp đã có sự thay đổi tích cực chí ít về tư duy nhận thức đối với việc triển khai hệ thống quản lý an toàn an ninh thông tin. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 24 Phần 2: Phân tích thực trạng tình hình áp dụng tiêu chuẩn ISO 27001:2005 tại Ngân hàng TMCP Ngoại thương Việt Nam (VCB) 2.1. Giới thiệu Ngân hàng TMCP Ngoại thương Việt Nam 2.1.1. Giới thiệu chung: Ngân hàng Ngoại thương Việt Nam trước đây, nay là Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) được thành lập và chính thức đi vào hoạt động ngày 01/4/1963, với tổ chức tiền thân là Cục Ngoại hối (trực thuộc Ngân hàng Nhà nước Việt Nam). Là ngân hàng thương mại nhà nước đầu tiên được Chính phủ lựa chọn thực hiện thí điểm cổ phần hoá, Ngân hàng Ngoại thương Việt Nam chính thức hoạt động với tư cách là một Ngân hàng TMCP vào ngày 02/06/2008 sau khi thực hiện thành công kế hoạch cổ phần hóa thông qua việc phát hành cổ phiếu lần đầu ra công chúng. Ngày 30/06/2009, cổ phiếu Vietcombank (mã chứng khoán VCB) chính thức được niêm yết tại Sở Giao dịch Chứng khoán TPHCM. Trải qua 50 năm xây dựng và phát triển, Vietcombank đã có những đóng góp quan trọng cho sự ổn định và phát triển của kinh tế đất nước, phát huy tốt vai trò của một ngân hàng đối ngoại chủ lực, phục vụ hiệu quả cho phát triển kinh tế trong nước, đồng thời tạo những ảnh hưởng quan trọng đối với cộng đồng tài chính khu vực và toàn cầu. Từ một ngân hàng chuyên doanh phục vụ kinh tế đối ngoại, Vietcombank ngày nay đã trở thành một ngân hàng đa năng hoạt động đa lĩnh vực, cung cấp cho khách hàng đầy đủ các dịch vụ tài chính hàng đầu trong lĩnh vực thương mại quốc tế; trong các hoạt động truyền thống như kinh doanh vốn, huy động vốn, tín dụng, tài trợ dự án…cũng như mảng dịch vụ ngân hàng hiện đại: kinh doanh ngoại tệ và các công vụ phái sinh, dịch vụ thẻ, ngân hàng điện tử… Sở hữu hạ tầng kỹ thuật ngân hàng hiện đại, Vietcombank có lợi thế rõ nét trong việc ứng dụng công nghệ tiên tiến vào xử lý tự động các dịch vụ ngân hàng, phát triển các sản phẩm, dịch vụ điện tử dựa trên nền tảng công nghệ cao. Các dịch vụ: VCB Internet Banking, VCB Money, SMS Banking, VCB Cyber Bill Payment,…đã, đang và sẽ tiếp tục thu hút đông đảo khách hàng bằng sự tiện lợi, nhanh chóng, an toàn, hiệu quả, dần tạo thói quen thanh toán không dùng tiền mặt (qua ngân hàng) cho khách hàng. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 25 Sau gần nửa thế kỷ hoạt động trên thị trường, Vietcombank hiện có trên 13.560 cán bộ nhân viên, với gần 400 Chi nhánh/Phòng Giao dịch/Văn phòng đại diện/Đơn vị thành viên trong và ngoài nước, gồm Hội sở chính tại Hà Nội, 1 Sở Giao dịch, 1 Trung tâm Đào tạo, 78 chi nhánh và hơn 300 phòng giao dịch trên toàn quốc, 3 công ty con tại Việt Nam, 2 công ty con tại nước ngoài, 1 văn phòng đại diện tại Singapore, 5 công ty liên doanh, liên kết. Bên cạnh đó, Vietcombank còn phát triển một hệ thống Autobank với khoảng 1.835 ATM và 32.178 điểm chấp nhận thanh toán thẻ (POS) trên toàn quốc. Hoạt động ngân hàng còn được hỗ trợ bởi mạng lưới hơn 1.300 ngân hàng đại lý tại 100 quốc gia và vùng lãnh thổ. Với bề dày hoạt động và đội ngũ cán bộ có chuyên môn vững vàng, nhạy bén với môi trường kinh doanh hiện đại, mang tính hội nhập cao…Vietcombank luôn là sự lựa chọn hàng đầu của các tập đoàn, các doanh nghiệp lớn và của đông đảo khách hàng cá nhân. Bằng trí tuệ và tâm huyết, các thế hệ cán bộ nhân viên Vietcombank đã, đang và sẽ luôn nỗ lực để xây dựng Vietcombank xứng đáng với vị thế là ngân hàng hàng đầu tại Việt Nam. 2.1.2. Sứ mạng: Hướng tới một ngân hàng xanh, phát triển bền vững vì cộng đồng. 2.1.3. Tầm nhìn: Vietcombank sẽ phát triển dựa trên nền tảng công nghệ hiện đại, nguồn nhân lực chất lượng cao, và quản trị theo chuẩn mực quốc tế; hướng đến một tập đoàn tài chính ngân hàng hoạt động đa năng, có vị thế hàng đầu tại Việt Nam, có tầm ảnh hưởng và phạm vi hoạt động ở khu vực và quốc tế, phấn đấu trở thành một trong hai ngân hàng hàng đầu tại Việt Nam có sức ảnh hưởng trong khu vực và là một trong 300 tập đoàn ngân hàng tài chính lớn nhất thế giới vào năm 2020. 2.1.4. Các tiêu chuẩn ISO được áp dụng tại VCB: Tính đến hiện tại, VCB có bộ quy trình tiêu chuẩn khá đồ sộ ở tất cả các công việc. Tuy nhiên chỉ có bộ tiêu chuẩn quản lý an toàn thông tin là đạt chuẩn ISO 27001:2005. Và trong kế hoạch cũng như định hướng sắp tới, VCB đang nỗ lực để đạt được thêm các tiêu chuẩn ISO trong quản lý nhằm nâng cao tính chuyên nghiệp và uy tín của VCB trên thị trường và đặc biệt là đối với khách hàng. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 26 2.2. Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại VCB: Là một ngân hàng đứng đầu trong lĩnh vực tài chính, VCB nhận thức rõ được các rủi ro và nguy cơ tiềm ẩn từ hệ thống CNTT và luôn xem đây là một khía cạnh quan trọng cần được quan tâm đúng mức. Chính vì vậy vào ngày 27 tháng 08 năm 2013, Tổng Giám đốc Ngân hàng TMCP Ngoại thương Việt Nam đã phê duyệt quyết định “Ban hành tài liệu Tuyên bố áp dụng tiêu chuẩn ISO 27001:2005 đối với hệ thống quản lý an toàn thông tin của Ngân hàng TCMP Ngoại thương Việt Nam”. Văn bản này nêu rõ việc ban hành quyết định, đơn vị chịu trách nhiệm tổ chức thực hiện, hiệu lực thi hành cũng như bảng mô tả các mục tiêu và biện pháp quản lý theo tiêu chuẩn quốc tế ISO/IEC 17799:2005. Ngoài văn bản tuyên bố áp dụng, Ngân hàng còn có một loạt các văn bản quy định chặt chẽ việc thực hiện các công việc có liên quan đến nội dung tiêu chuẩn ISO 27001 bao gồm:  Tài liệu hướng dẫn đánh giá rủi ro tài sản công nghệ thông tin của Ngân hàng TMCP Ngoại thương Việt Nam.  Quy định kiểm soát Tài liệu của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam.  Quy định kiểm soát hồ sơ của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam.  Quy định hành động khắc phục đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam.  Quy định hành động phòng ngừa đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam.  Quy định đo lường hiệu lực của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam.  Quy định rà soát của ban lãnh đạo đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam.  Quy định đánh giá nội bộ đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 27 Nhìn chung, tất cả các văn bản trên đều thực hiện đúng theo các yêu cầu của bộ tiêu chuẩn quốc tế ISO 27001. Tuy nhiên thì vẫn còn một số vấn đề còn tồn đọng sẽ được phân tích sau đây cho từng loại văn bản cụ thể. 2.2.1. Phạm vi áp dụng: áp dụng các quy định và tiêu chuẩn được ban hành kèm theo các văn bản cho toàn bộ các Trung tâm, phòng/ban, các bộ phận nghiệp vụ tại Hội sở chính, Sở giao dịch, các Chi nhánh, Công ty TNHH MTV cho thuê tài chính Ngân hàng Ngoại thương. 2.2.2. Trách nhiệm của các bộ phận liên quan đến Hệ thống quản lý an toàn thông tin tại VCB: 2.2.2.1. Lãnh đạo đơn vị: Chủ trì thực hiện hành động khắc phục, phòng ngừa trên cơ sở yêu cầu thực hiện hành động khắc phục, phòng ngừa do Bộ phận giám sát đưa ra. Ngoài ra, còn chủ trì thực hiện hoạt động rà soát; Cung cấp các nguồn lực đảm bảo cho các Đơn vị việc thực hiện kết luận của cuộc họp rà soát. 2.2.2.2. Tổ ISO:  Quy định kiểm soát Tài liệu: chịu trách nhiệm soạn thảo tài liệu nội bộ theo yêu cầu. Đầu mối thực hiện việc phân loại và phân phối tài liệu nội bộ thuộc hệ thống quản lý ATTT, Lựa chọn và đầu mối thực hiện việc phân phối tài liệu bên ngoài cho các Đơn vị (nếu có).  Quy định đo lường hiệu lực: Xây dựng các tiêu chí đo lường của hệ thống quản lý ATTT; Tổng hợp kết quả đo lường hiệu lực; Lưu hồ sơ về hoạt động đo lường hiệu lực của hệ thống quản lý ATTT.  Quy định rà soát của ban lãnh đạo: Đề xuất bổ sung thành viên từ các Đơn vị để thực hiện chuẩn bị nội dung rà soát (nếu cần thiết); Chuẩn bị nội dung rà soát; Lưu trữ hồ sơ về hoạt động rà soát; Chịu trách nhiệm đôn đốc các đơn vị thực hiện kết luận của cuộc họp rà soát, tổng hợp Báo cáo ban lãnh đạo.  Quy định đánh giá nội bộ: Lập kế hoạch chương trình đánh giá định kỳ hàng năm và đột xuất (nếu cần thiết); Lưu giữ các hồ sơ đánh giá nội bộ. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 28 2.2.2.3. Bộ phận giám sát: Đầu mối đưa ra yêu cầu thực hiện hành động khắc phục, phòng ngừa và theo dõi, đôn đốc, kiểm tra các Đơn vị/bộ phận thực hiện hành động khắc phục, phòng ngừa; Lưu trữ hồ sơ về các hành động khắc phục, phòng ngừa trong phạm vi phụ trách. 2.2.2.4. Các đơn vị/bộ phận:  Quy định kiểm soát Tài liệu: Quản lý các tài liệu thuộc hệ thống quản lý ATTT được cung cấp, Phổ biến, triển khai tài liệu thuộc hệ thống quản lý ATTT tới các Bộ phận có liên quan, Tham gia đóng góp ý kiến trong quá trình xây dựng tài liệu nội bộ (nếu được yêu cầu).  Quy định hành động khắc phục, phòng ngừa: thực hiện các hành động khắc phục, phòng ngừa theo yêu cầu  Quy định đo lường hiệu lực: Thực hiện thu thập và cung cấp số liệu phục vụ cho quá trình đo lường hiệu lực dựa trên các tiêu chí đo lường đã được xây dựng.  Quy định rà soát của ban lãnh đạo: Cử lãnh đạo tham gia họp rà soát theo yêu cầu; Cung cấp các thông tin theo yêu cầu phục vụ cho hoạt động rà soát; Thực hiện các kết luận của cuộc họp rà soát theo phân công.  Quy định đánh giá nội bộ: Chuẩn bị các thông tin, hồ sơ, nhân sự có liên quan cần thiết trong phạm vi đánh giá để cung cấp cho đoàn đánh giá; Phối hợp, hợp tác và trợ giúp đoàn đánh giá để cuộc đánh giá đạt kết quả tốt nhất; Xem xét và thấu hiểu các phát hiện do cán bộ đánh giá trình bày; Thực hiện các hành động khắc phục/hành động phòng ngừa các điểm không phù hợp được phát hiện trong quá trình đánh giá. 2.2.2.5. Trưởng đoàn đánh giá nội bộ:  Chủ trì các hoạt động đánh giá nội bộ (bao gồm các cuộc họp khai mạc và họp kết thúc)  Điều phối giữa các chuyên gia đánh giá và đơn vị được đánh giá để chương trình đánh giá được thực hiện theo đúng kế hoạch  Cùng với đơn vị được đánh giá giải quyết các vấn đề còn chưa thống nhất trong quá trình đánh giá TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 29  Chuẩn bị và hoàn thiện báo cáo đánh giá 2.2.2.6. Các thành viên đoàn đánh giá nội bộ:  Thực hiện đánh giá theo đúng mục đích, phạm vi, kế hoạch đã được phê duyệt  Tuân thủ các tiêu chuẩn, quy định liên quan đến đánh giá  Thông báo ngay về những trở ngại (nếu có) trong quá trình đánh giá  Thu thập đầy đủ bằng chứng và giải thích rõ ràng các kết quả đánh giá cho bên được đánh giá thấu hiểu 2.2.3. Những lưu ý khi đánh giá rủi ro an toàn thông tin tại VCB: 2.2.3.1. Các khái niệm: Theo định nghĩa của ISO, thông tin là một loại tài sản, cũng như các loại tài sản quan trọng khác của một doanh nghiệp, có giá trị cho một tổ chức và do đó, cần có nhu cầu để bào vệ thích hợp. An toàn thông tin là bảo vệ thông tin trước nguy cơ mất an toàn nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của doanh nghiệp, giảm thiểu sự phá hoại doanh nghiệp và gia tăng tới mức tối đa các cơ hội kinh doanh và đầu tư phát triển. Thông tin có thể tồn tại dưới nhiều dạng, thông tin có thể được in hoặc được viết trên giấy, được lưu trữ dưới dạng điện tử, được truyền đi qua bưu điện hoặc dùng thư điện tử, (được trình diễn trên các bộ phim, hoặc được nói trên các cuộc đàm thoại. Nhưng cho dù thông tin tồn tại dưới dạng nào đi chăng nữa, thông tin được đưa ra với 2 mục đích chính là chia sẻ và lưu trữ, nó luôn luôn cần sự bảo vệ nhằm đảm bảo sự an toàn thích hợp. An toàn thông tin được mô tả ở đây là sự duy trì:  Tính bảo mật (Confidentiality): đảm bảo thông tin chỉ được truy cập bởi những truy cập cho phép.  Tính toàn vẹn (Integrity): bảo vệ tính chính xác, đầy đủ của thông tin cũng như các phương pháp xử lý.  Tính sẵn sàng (Availability): đảm bảo những người dùng hợp pháp mới được truy cập các thông tin và tài sản liên quan khi có yêu cầu. An toàn thông tin đạt được bằng cách triển khai tập hợp các kiểm soát phù hợp, đó có thể là các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các chức năng phần mềm. Các TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 30 kiểm soát này được xây dựng dựa trên kết quả của quá trình đánh giá rủi ro về an toàn thông tin. Tổ chức sử dụng đánh giá rủi ro để xác định mức độ của các nguy cơ tiềm năng và rủi ro gắn với hệ thống CNTT. Kết quả của quả trình này giúp xác định ra các kiểm soát thích hợp nhằm giảm thiểu hoặc loại trừ rủi ro trong quá trình xử lý rủi ro. Rủi ro (Risk) là một hàm của khả năng xuất hiện của một nguồn nguy cơ khai thác một điểm yếu tiềm năng, và kết quả tạo ra một ảnh hưởng xấu đến tổ chức. Rủi ro được đo bằng sự kết hợp giữa khả năng xuất hiện của một sự kiện và hậu quả của nó. Đảnh giá rủi ro (Risk Assesstment) là quá trình đầu tiên trong phương pháp quản lý rủi ro, nó bao gồm các hoạt động nhận dạng và đánh giá các ảnh hường của rủi ro, đồng thời khuyến nghị biện pháp xử lý rủi ro. Quá trình đánh giá các rủi ro và lựa chọn các kiểm soát cần được thực hiện nhiều lần nhằm bao quát được toàn bộ các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin cá nhân. Do mức độ quy mô của từng tổ chức không giống nhau, cách thức sử dụng các tài sản CNTT cũng không giống nhau nên chắc chắn các loại rủi ro cũng không thể giống nhau hoặc nếu có thì mức độ cũng không thể giống nhau Mục đích của quá trình đánh giá rủi ro nhằm:  Xác định và nhận biết các rủi ro đối với tài sản CNTT;  Đánh giá mức độ ảnh hường của rủi ro (nếu xảy ra) đối với tài sản CNTT cũng như đối với hoạt động sản xuất kinh doanh;  Xác định mức độ rủi ro chấp nhận được;  Đề xuất các giải pháp xử lý rủi ro. 2.2.3.2. Phân loại tài sản CNTT: Bất kỳ thông tin nào, khi được lưu trữ hoặc xử lý, trên hệ thống CNTT đều cần phải được bảo vệ nhằm chống sự truy cập trái phép, tiết lộ, sửa đổi và tiêu hủy. Các thông tin sẽ có mức độ quan trọng khác nhau, do đó cần phân loại thông tin dựa trên mức độ cần thiết (quan trọng), hoặc xác định giá trị của thông tin trong tổ chức để đưa ra cách thức bảo đảm an toàn cho thông tin a. Phân loại tài sản dựa trên cách thức quản lý: TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 31  Tài sản phần cứng: Các thiết bị thông thường (PC, laptop, các loại máy in, máy fax, các loại máy scanner), Máy chủ (các loại máy chủ Small, Medium, Big), Các thiết bị mạng thông thường (Switch, Router), Các thiết bị bảo mật (Firewall, Proxy, QoS), Các thiết bị lưu trữ (tape, ổ đĩa, CD-ROM3 SAN), Hệ thống mạng cáp nội bộ (bên trong các tòa nhà).  Tài sản phần mềm: phần mềm hệ thống (Antivirus , Office), phần mềm cơ sở dữ liệu (MySQL, Oracle), hệ thống phần mềm nghiệp vụ (HOST, E-banking, VCB-salary,…)  Tài sản văn bản giấy  Tài sản thông tin: dữ liệu trong các cơ sở dữ liệu, các dữ liệu khác: các file dữ liệu (dạng Word, Excel, PDF, file ảnh) tạo ra bởi các bộ phận trên máy tính cá nhân.  Tài sản dịch vụ: dịch vụ đường truyền Internet.  Tài sản hỗ trợ: UPS, máy phát điện, hệ thống PCCC. b. Phân loại theo tính bảo mật:  Thông tin công cộng: Nếu các thông tin này không có sẵn hoặc bị rò rỉ hay công bố ra bên ngoài tổ chức thì cũng không tạo ra ảnh hưởng gì. Đây thường là các thông tin mang tính truyền thông hoặc quảng bá. Ví dụ như tài liệu tiếp thị, quảng cáo, thông cáo báo chí...  Thông tin nội bộ: là những thông tin dùng cho tất cả mọi người/bộ phận trong phạm vi của NHNT. Nếu thông tin bị rò rỉ ra ngoài tổ chức sẽ không gây tổn thất nhiều về mặt tài chính hoặc hình ảnh của NHNT. Tuy nhiên, việc công bố các thông tin này không được khuyến khích.  Thông tin mật: Là những thông tin nếu như bị rò rỉ ra bên ngoài NHNT, sẽ ảnh hưởng đáng kể về mặt tài chính, pháp lý hoặc hình ảnh của NHNT. Việc tiếp cận các thông tin này cần phải được hạn chế và được sự cho phép của người quản lý. Trong trường hợp có nhu cầu cung cấp thông tin cho bên thứ ba cần phải ký các bản cam kết bảo mật thông tin. Ví dụ: thông tin khách hàng, các thông tin về giao dịch. Các thông tin quy định trong Quyết định 215/QĐ-NHNT.PC ngày 22/10/2003 của Tổng Giám đốc Ngân TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 32 hàng Ngoại thương Việt nam (Quy chế quản lý và truy xuất thông tin mật trong hệ thống Ngân hàng Ngoại thương Việt nam) nằm trong nhóm này.  Thông tin tuyệt mật: Là những thông tin mà việc tiết lộ hoặc công bố sẽ ảnh hưởng rất lớn về mặt tài chính, pháp lý hoặc hình ảnh của NHNT. Ví dụ: Các chiến lược, kế hoạch kinh doanh, kế hoạch phát triển sản phẩm có thể được xếp vào nhóm này. 2.2.3.3. Các bước đánh giá rủi ro tài sản CNTT:  Mô tả tài sản CNTT  Xác định các nguy cơ  Xác định các điểm yếu  Xác định các kiểm soát hiện tại  Ước lượng khả năng xuất hiện  Ước lượng mức độ ảnh hưởng của nguy cơ đối với tài sản  Xác định mức độ rủi ro  Đề xuất các kiểm soát và lựa chọn xử lý rủi ro  Xác định mức độ rủi ro còn lại 2.2.3.4. Duy trì, cập nhật danh sách nguy cơ và điểm yếu của hệ thống quản lý ATTT: Để nâng cao chất lượng của đánh giá rủi ro, cần thường xuyên duy trì, cập nhật danh sách này. Công việc này sẽ do Tổ ISO hoặc Phòng Quản lý rủi ro hoạt động thực hiện, với sự giúp đỡ của Trung tâm CNTT và các Bộ phận khác nếu cần a. Xác định nguy cơ Các nguy cơ có thể được xác định từ một trong số các nguồn sau:  Phân tích các kiểm soát trong tiêu chuẩn ISO 27001 và ISO 27002;  Phân tích nguyên nhân gây ra sự cố ATTT xảy ra tại NHNT và các tổ chức khác;  Khuyến cáo về ATTT của cơ quan quản lý nhà nước và các tổ chức khác;  Phát hiện của người sử dụng hệ thống CNTT tại NHNT b. Xác định điểm yếu Tương tự như nguy cơ, các điểm yếu cũng có thể được nhận dạng từ một trong số các nguồn TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 33  Phân tích các kiểm soát trong tiêu chuẩn ISO 27001 và ISO 27002;  Phân tích nguyên nhân của các sự cố ATTT xảy ra tại NHNT và các tổ chức khác;  Khuyến cáo về ATTT của cơ quan quản lý nhà nước và các tổ chức khác;  Phát hiện của người sử dụng hệ thống CNTT tại NHNT. c. Liệt kê các kiểm soát Với mỗi nguy cơ, cần xác định tẩt cả các kiểm soát có thể áp dụng để ngăn ngừa hoặc giảm thiểu tác hại của nguy cơ đó. Các kiểm soát đối với một nguy cơ có thể được xác định từ một trong số các nguồn sau:  Các kiểm soát trong tiêu chuẩn ISO 27001 và ISO 27002;  Thực trạng hệ thống CNTT và quản lý ATTT tại NHNT;  Đề xuất của Trung tâm CNTT và các Bộ phận liên quan (nếu cần). d. Xác định khả năng xuất hiện của nguy cơ Khả năng xuất hiện của một nguy cơ được xác định theo nguyên tắc:  Mức độ kiểm soát càng cao thì khả năng xuất hiện của nguy cơ càng thấp;  Khả năng xuất hiện của nguy cơ được xác định bằng 5 (khả năng xuất hiện lớn nhất) nếu như không có kiểm soát được áp dụng để ngăn ngừa hoặc giảm thiểu tác hại của nguy cơ lên tài sản CNTT;  Khả năng xuất hiện của nguy cơ được xác định bằng 1 (khả năng xuất hiện nhỏ nhất) nếu như toàn bộ các điểm yếu tương ứng với nguy cơ được liệt kê ở Bước 4 đều có kiểm soát tương ứng;  Các giá trị còn lại của khả năng xuất hiện được xác định bằng mức độ kiểm soát nằm giữa hai mức nêu trên. 2.2.4. Các quy trình trong tiêu chuẩn ISO 27001 đang được áp dụng tại VCB TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 34 2.2.4.1. Quy trình kiểm soát Tài liệu của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Ghi chú: hành động bắt đầu là “Soạn tài liệu nội bộ” TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 35 2.2.4.2. Quy trình kiểm soát hồ sơ của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 36 2.2.4.3. Quy trình hành động khắc phục đối với hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Ghi chú: Định kỳ hàng tháng, quý; bộ phận giám sát phải lập báo cáo theo dõi hành động khắc phục và gửi về phòng kiểm tra giám sát của hội sở chính chậm nhất vào ngày 15 của tháng đầu tiên của quý tiếp theo để theo dõi. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 37 2.2.4.4. Quy trình hành động phòng ngừa đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Ghi chú: Định kỳ hàng tháng, quý; bộ phận giám sát phải lập báo cáo theo dõi hành động phòng ngừa và gửi về phòng kiểm tra giám sát của hội sở chính chậm nhất vào ngày 15 của tháng đầu tiên của quý tiếp theo để theo dõi. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 38 2.2.4.5. Quy trình đo lường hiệu lực của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 39 2.2.4.6. Quy trình rà soát của ban lãnh đạo đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 40 2.2.4.7. Quy định đánh giá nội bộ đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 41 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 42 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 43 2.2.5. Đánh giá: 2.2.5.1. Quy trình tài liệu a. Ưu điểm:  Có quy định rõ trách nhiệm của các phòng ban trong việc kiểm soát tài liệu.  Công việc soạn thảo tài liệu được giao cụ thể cho tổ ISO, đồng thời có sự tham gia góp ý kiến từ các bộ phận khác, nhờ vậy tài liệu có thể hoàn thiện hơn.  Các tài liệu được phê duyệt thỏa đáng trước khi được ban hành, thông qua cấp quản lý.  Có quy định đảm bảo việc lưu trữ bản gốc, bản sao, đồng thời việc phân phối tài liệu cũng được quản lý thông qua số bản sao phát hành  Có quy định nhằm đảm bảo nhận biết được các thay đổi và tình trạng sửa đổi hiện hành của tài liệu. Đồng thời tránh được việc vô tình sử dụng tài liệu quá hạn vì đã gắn nhãn hết hiệu lực cho các tài liệu. b. Nhược điểm:  Có quy định nhân viên chỉ được sử dụng bản gốc hoặc bản sao được kiểm soát để phục vụ công việc liên quan, tuy nhiên chưa nêu rõ điều kiện để nhận tài liệu này, tài liệu có luôn sẵn sàng cho bất cứ ai hay cho nhóm đối tượng có điều kiện.  Có nêu rõ việc gắn nhãn nhận biết với các tài liệu quá hạn nhưng chưa nêu rõ việc hủy bỏ các tài liệu như thế nào. 2.2.5.2. Quy trình hồ sơ a. Ưu điểm:  Quy định có tính hệ thống, thông dụng và quốc tế.  Quy định rõ trách nhiệm, công việc của các bộ phận.  Có các loại văn bản theo từng chức năng, luồng công việc trong quy trình.  Có các biện pháp quản lý cần thiết để định danh, lưu trữ, bảo vệ, sửa chữa, thời gian sử dụng và hủy bỏ của hồ sơ sẽ được biên soạn và thực hiện. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 44 b. Nhược điểm:  Không có 2.2.5.3. Quy trình khắc phục a. Ưu điểm:  Quy trình chặt chẽ rõ ràng.  Quy định rõ trách nhiệm, công việc của các bộ phận.  Có các loại văn bản theo từng chức năng, luồng công việc trong quy trình.  Có thực hiện quá trình kiểm tra, giám sát quá trình sửa chữa các lỗi trong hệ thống. b. Nhược điểm:  Chưa đề cập đến việc xây dựng hệ thống tổng hợp ghi nhận các lỗi mới phát sinh và các biện pháp giải quyết tương ứng.  Chưa có các biện pháp chế tài đối với bộ phận khắc phục sự cố lỗi trong trường hợp không đạt yêu cầu. 2.2.5.4. Quy trình phòng ngừa a. Ưu điểm:  Quy trình chặt chẽ rõ ràng,  Quy định rõ trách nhiệm, công việc của các bộ phận tham gia hành động phòng ngừa.  Có các loại văn bản cụ thể theo từng chức năng, luồng công việc trong quy trình.  Có thực hiện quá trình kiểm tra, giám sát và đánh giá hành động phòng ngừa các lỗi trong hệ thống b. Nhược điểm:  Chưa đề cập đến việc xây dựng hệ thống tổng hợp ghi nhận các báo cáo đánh giá hệ thống quản lý ATTT.  Chưa có các biện pháp chế tài, khen thưởng đối với bộ phận tham gia trong hành động phòng ngừa 2.2.5.5. Quy trình đo lường a. Ưu điểm: TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 45  Quy định rõ ràng chặt chẽ trách nhiệm của các phòng ban trong việc đo lường hiệu lực. Cụ thể như tổ ISO có trách nhiệm xây dựng các tiêu chí đo lường hiệu lực, tổng hợp các kết quả đo lường và lưu hồ sơ về hoạt động đo lường.  Xây dựng tiêu chí đo lường dựa vào nhiều yếu tố bao gồm: theo tiêu chuẩn ISO 27001 và theo tình hình thực tế tại đơn vị. Do đó, có thể đưa ra các tiêu chí chính xác phù hợp hơn.  Việc lựa chọn các tiêu chí đo lường diễn ra định kỳ hàng năm. Vì thế có thể cập nhật kịp thời các tiêu chí dựa trên kết quả đánh giá rủi ro Hệ Thống ATTT.  Quy trình đo lường hiệu lực có các chốt kiểm soát nhằm đảm bảo kết quả đo lường hiệu lực theo đúng yêu cầu.  Có đưa ra tài liệu hướng dẫn cụ thể thực hiện tiêu chí đo lường -> thuận tiện trong thu thập và tổng hợp kết quả. b. Nhược điểm:  Quá trình tổng hợp và tính toán kết quả đo lường chỉ quy định là giao cho tổ ISO mà không nêu cách thức và kết quả phải đạt được như thế nào. 2.2.5.6. Quy trình rà soát của ban lãnh đạo a. Ưu điểm:  Việc rà soát hệ thống quản lý an toàn thông tin được quan tâm bởi các cấp lãnh đạo của Ngân hàng dưới sự điều hành trực tiếp của Tổng giám đốc, do đó các khâu trong quy trình được thực hiện nghiêm ngặt và rõ ràng.  Quy trình rà soát được đưa ra rõ ràng, chi tiết, kèm theo các biểu mẫu cụ thể.  Các đề xuất được đưa ra dựa trên sự tham khảo ý kiến từ nhiều nguồn: các đơn vị, khách hàng, các bên liên quan…do đó sẽ có cái nhìn tổng quát hơn b. Nhược điểm:  Việc rà soát định kỳ 1lần/năm là chưa nhiều khi mà công nghệ đi cùng với tội phạm công nghệ đang ngày càng phát triển nhanh. Bên cạnh đó, những lỗ hổng trong hệ thống quản lý an toàn thông tin phải được phát hiện và giải quyết nhanh chóng. Do vậy, việc định kỳ rà soát 1 lần/năm sẽ là không đủ. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 46  Chỉ có tổ ISO theo dõi, đôn đốc việc thực hiện của các đơn vị. Do đó có thể xảy ra trường hợp bỏ sót sai phạm hoặc quá tải. 2.2.5.7. Quy trình đánh giá nội bộ a. Ưu điểm:  Quy định rõ ràng chặt chẽ trách nhiệm của các phòng ban trong việc đánh giá nội bộ.  Nêu rõ các yêu cầu đối với các đối tượng có liên quan đến hoạt động đánh giá nội bộ.  Các nguyên tắc đánh giá có tính khách quan cao, đảm bảo mức độ chính xác của kết quả.  Quy trình đo lường hiệu lực có các chốt kiểm soát nhằm đảm bảo kết quả đầu ra.  Có đưa ra tài liệu hướng dẫn cụ thể cho việc đánh giá -> thuận tiện trong thu thập và tổng hợp kết quả. b. Khuyết điểm:  Việc rà soát đánh giá 1lần/năm là chưa nhiều khi mà công nghệ đi cùng với tội phạm công nghệ đang ngày càng phát triển nhanh.  Vẫn còn thiếu việc đào tạo nhận thức cho nhân viên trong việc duy trì hệ thống an toàn thông tin. 2.3. Kết luận a. Kiến nghị đối với Ngân hàng TMCP Ngoại thương Việt Nam (VCB): Ngoài các ưu nhược điểm nêu trên, VCB cần phải lảm rõ hơn các định nghĩa, chức năng, nhiệm vụ các đơn vị có liên quan khi thực hiện xây dựng, triển khai hệ thống quản lý. Chẳng hạn như bộ phận Trung tâm CNTT đóng vai trò cực kỳ quan trọng nên được tách ra khỏi đơn vị/bộ phận khác. Bên cạnh đó còn thiếu các biện pháp chế tài và khen thưởng cho bộ phận Trung tâm CNTTT. Chẳng hạn như ở quy trình khắc phục, trong trường hợp không đạt yêu cầu khi khắc phục thì chưa thấy VCB có áp dụng chính sách chế tài. Cũng như trong trường hợp phòng ngừa tốt thì cần có chính sách khen thưởng. Và hệ thống VCB đang còn thiếu một hệ thống tổng hợp, ghi nhận lỗi để hệ thống hóa các lỗi phát sinh cũng như để ra các giải pháp giải quyết vấn đề một cách khoa học, nhanh chóng. TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 47 Mặt khác, việc rà soát và đánh giá ở VCB là 1 lần/ năm là chưa phù hợp với tốc độ phát triển và mức độ nguy hiểm của các nguy cơ về ATTT. Tùy theo điều kiện và khả năng thực hiện, VCB nên xem xét và thay đổi thời gian là 1 lần/quý hay 1 lần/6 tháng thì sẽ hợp lý hơn. Cuối cùng, trong các quy trình, bộ phận ISO là bộ phận quản lý trực tiếp các hoạt đồng này mà chưa có sự kêu gọi tinh thần tự giác, cùng hành động của tập thể. Và điều quan trọng nhất là VCB chưa chú trọng đến việc đào tạo nhận thức cho nhân viên, vì đây là yếu tố then chốt và đóng vai trò quyết định trong việc đảm bảo an toàn thông tin. Một số chú ý khi thực hiện chương trình đào tạo ATTT trong doanh nghiệp:  Đánh giá nhu cầu đào tạo của doanh nghiệp dựa trên: quy mô hệ thống CNTT, trình độ của đội ngũ nhân viên nói chung về ATTT, các chính sách về ATTT mà doanh nghiệp đang áp dụng trong các nghiệp vụ của doanh nghiệp, ngân sách đầu tư cho ATTT nói chung và đào tạo ATTT nói riêng.  Phân chia đối tượng đào tạo ATTT một cách phù hợp, mỗi đối tượng tương ứng với các chương trình đào tạo: Cán bộ lãnh đạo quản lý, người dùng cuối, cán bộ CNTT, cán bộ chuyên trách về ATTT. Từ đó có các chương trình đào tạo ATTT phù hợp. b. Hạn chế của đề tài: Bộ tiêu chuẩn ISO 27001 mang tính đặc thù khá cao về ATTT và hệ thống CNTT. Nó thường được Trung tâm CNTT xây dựng và thực hiện việc triển khai, kiểm tra, duy trì. Chính vì vậy đó là một khó khăn lớn cho nhóm khi làm đề tài này. Với mục tiêu nâng cao chất lượng và tính hoàn thiện của hệ thống quản lý ATTT tại VCB theo tiêu chuẩn ISO 27001, nhóm chỉ tập trung vào việc phân tích để tìm ra những thiếu sót và đề xuất các biện pháp khắc phục. Tuy nhiên do kiến thức có hạn và kinh nghiệm thực tế không nhiều nên đề tài này của nhóm không thể tránh khỏi những thiếu sót. Rất mong nhận được sự đóng góp ý kiến của giáo viên hướng dẫn và các bạn trong lớp để nhóm có thể hoàn thiện đề tài này một cách tốt nhất.