Rủi ro liên quan đến tài sản thông tin của một tổ chức
cần phải được giải quyết. Đạt được an toàn thông tin đòi hỏi phải quản lý rủi
ro, bao gồm rủi ro từ các mối đe dọa liên quan về vật lý, con người và công
nghệ đối với tất cả các hình thức thông tin trong tổ chức hoặc được sử dụng bởi
tổ chức.
Việc áp dụng một hệ thống ISMS dự kiến sẽ là một quyết
định chiến lược cho một tổ chức và điều cần thiết là quyết định này được tích
hợp nhuần nhuyễn, có mở rộng và cập nhật phù hợp với nhu cầu của tổ chức.
Việc thiết kế và thực hiện hệ thống ISMS của một tổ chức
bị ảnh hưởng bởi nhu cầu và mục tiêu của tổ chức, các yêu cầu an ninh, các quy
trình kinh doanh được áp dụng, quy mô và cấu trúc của tổ chức. Thiết kế và hoạt
động của một hệ thống ISMS cần phản ánh lợi ích và yêu cầu an toàn thông tin
của tất cả các bên liên quan đến tổ chức bao gồm khách hàng, nhà cung cấp, các
đối tác kinh doanh, các cổ đông và các bên thứ ba khác có liên quan.
Trong một thế giới kết nối với nhau, thông tin và các quy
trình liên quan, các hệ thống và mạng lưới là các tài sản kinh doanh quan
trọng. Tổ chức và các hệ thống thông tin cũng như mạng lưới của họ phải đối mặt
với các mối đe dọa an ninh từ một loạt các nguồn khác nhau, bao gồm gian lận
máy tính, hoạt động gián điệp, phá hoại, hỏa hoạn và lũ lụt. Thiệt hại cho hệ
thống thông tin và mạng lưới gây ra bởi mã độc hại, tin tặc máy tính và tấn
công từ chối dịch vụ đã trở nên phổ biến hơn, với nhiều tham vọng hơn và ngày
càng tinh vi hơn.
Hệ thống ISMS quan trọng cho các hoạt động nghiệp vụ cả
khu vực công và tư. Trong bất cứ ngành nào, hệ thống ISMS tạo động lực hỗ trợ
thương mại điện tử và rất cần thiết cho các hoạt động quản lý rủi ro. Việc kết
nối các mạng công cộng và tư nhân, chia sẻ tài sản thông tin càng làm tăng khó
khăn trong việc kiểm soát truy cập thông tin và xử lý thông tin. Ngoài ra, việc
phân tán các thiết bị lưu trữ di động có chứa tài sản thông tin có thể làm giảm
hiệu quả của các biện pháp kiểm soát truyền thống. Khi tổ chức áp dụng hệ thống
tiêu chuẩn ISMS, họ có khả năng thể hiện việc áp dụng một cách nhất quán các
nguyên tắc an toàn thông tin phù hợp tương ứng cho các đối tác kinh doanh và
các bên liên quan khác.
An toàn thông tin thường không phải lúc nào cũng được tính
đến khi thiết kế và phát triển hệ thống thông tin. Mặt khác, an toàn thông tin
thường chỉ được coi như là một giải pháp kỹ thuật. Tuy nhiên, an toàn thông tin
đạt được thông qua các phương tiện kỹ thuật có những hạn chế và có thể không có
hiệu quả nếu không được hỗ trợ bởi quản lý và các thủ tục phù hợp trong khuôn
khổ một hệ thống ISMS. Tích hợp an ninh vào một hệ thống thông tin sau khi đã triển
khai thực tế có thể rất cồng kềnh và tốn kém. Một hệ thống ISMS liên quan đến
việc xác định các biện pháp kiểm soát nào được đưa ra và yêu cầu cần lập kế
hoạch cặn kẽ, chi tiết. Ví dụ, kiểm soát truy cập có thể về mặt kỹ thuật (logic),
vật lý, hành chính (quản lý) hoặc kết hợp giữa chúng, sẽ cung cấp một phương
tiện để đảm bảo quyền truy cập vào tài sản thông tin được hợp pháp và có giới
hạn dựa trên các yêu cầu nghiệp vụ và an toàn thông tin.
Việc áp dụng thành công một hệ thống ISMS là điều quan
trọng để bảo vệ tài sản thông tin cho phép một tổ chức có thể:
a) đảm bảo rằng thông tin của mình được bảo vệ đầy đủ chống
lại các mối đe dọa liên tục;
b) duy trì một bộ khung tổng thể, có cấu trúc để xác định và
đánh giá rủi ro an toàn thông tin, lựa chọn và áp dụng các biện pháp kiểm soát
khả dụng, đo lường và cải thiện hiệu quả của chúng;
c) liên tục cải thiện môi trường kiểm soát;
d) tuân thủ pháp luật và các quy định một cách hiệu quả.
-------------------------
Nguyễn Đăng Quang
Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal. Security and Networking System.
Phone: 0944 65 99 37. Skype: c_services_a
CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp
Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai ISO 27001.
