Tiểu luận Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam

TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Tiểu luận Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam Trang 1 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Lời nói đầu Hiện nay trên thế giới nói chung và Việt Nam nói riêng, mọi hoạt động sản xuất kinh doanh phần lớn sử dụng máy tính và mạng internet để tương tác với nhau. Tốc độ phát triển của CNTT trong những năm gần đây là rất nhanh nhưng kèm theo đó là các nguy cơ và rủi ro về CNTT ngày một gia tăng. Do vậy, việc xây dựng hệ thống quản lý an toàn thông tin (ATTT) là việc tất yếu phải làm đối với tất cả các doanh nghiệp trong thời đại công nghệ số ngày nay. Điều đáng buồn, Việt Nam đang là nước bị tin tặc lộng hành khá phổ biến mặc dù tốc độ phát triển hệ thống thông tin và Internet của Việt Nam chưa được xem là cao trong khu vực. Có rất nhiều các Website quan trọng liên quan đến tài chính, chứng khoán mặc dù đã được các tổ chức về an toàn cảnh báo nhiều lần nhưng tình trạng an toàn vẫn không được cải thiện. Thực tế đó phản ánh sự lơ là trong công tác an toàn thông tin, gián tiếp gây thiệt hại lớn về kinh tế: hệ thống máy tính bị đánh cắp, dữ liệu bị đánh cắp, gây thiệt hại cho doanh nghiệp và khách hàng. Tình hình an toàn mạng thông tin Việt Nam hiện nay còn rất nhiều thách thức, đặc biệt là nguồn nhân lực có trình độ còn thiếu trầm trọng, và sự đầu tư cho lĩnh vực này mới chỉ nhỏ giọt, ít được sự quan tâm và chưa đúng tầm. Về môi trường pháp lý, sự chưa hoàn thiện và thiếu đồng bộ dẫn tới tình trạng không có chế tài đủ mạnh để răn đe các Hacker có hành vi phát tán Virus trên diện rộng và tấn công vào những hệ thống máy tính doanh nghiệp để trục lợi. Trong khi đó, khả năng công nghệ bị đánh giá là thiếu và yếu. Một hạ tầng mạng không đủ mạnh sẽ không thể đương đầu với những thách thức và đe dọa an toàn có mức độ tinh vi và chuyên nghiệp ngày càng cao. Bên cạnh đó, mức đầu tư cho công nghệ thông tin tại Việt Nam vẫn còn ở mức thấp. Trung bình các nước trên thế giới có mức đầu tư cho công nghệ là 8-10%. Còn tại Việt Nam, con số này thấp hơn nhiều. Do mức đầu tư hạn hẹp nên rất ít doanh nghiệp, tổ chức có một bộ phận IT riêng, chủ yếu những công việc này chỉ do một số ít người kiêm nhiệm. Từ đó dẫn tới tình trạng an ninh, an toàn thông tin lỏng lẻo, có nhiều kẽ hở để kẻ xấu lợi dụng. Các vụ tấn công hiện nay được tổ chức bài bản hơn, quy mô hơn, kín đáo hơn và mức độ thiệt hại cũng lớn hơn. Chính vì vậy, nhóm chúng tôi đã quyết định làm đề tài “Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam” để chỉ ra các lợi Trang 2 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN ích khi áp dụng tiêu chuẩn ISO này và những vấn đề cần lưu ý khi xây dựng, triển khai, áp dụng tiêu chuẩn ISO này. Mục lục Phần 1: Giới thiệu hệ thống ISMS ...........................................................................................................5 1.1. Giới thiệu chung:......................................................................................................................5 1.2. Phạm vi áp dụng:......................................................................................................................7 1.3. Thuật ngữ và định nghĩa: .........................................................................................................7 1.4. Hệ thống quản lý an toàn thông tin (ISMS): ............................................................................9 1.5. Trách nhiệm của ban quản lý: ................................................................................................16 1.6. Kiểm tra nội bộ ISMS: ...........................................................................................................17 1.7. Ban quản lý soát xét ISMS:....................................................................................................18 1.8. Nâng cấp ISMS: .....................................................................................................................19 1.9. Triển khai tiêu chuẩn ISO 27001 cho tổ chức: ......................................................................20 1.10. Lợi ích của việc áp dụng ........................................................................................................21 1.11. Thực trạng áp dụng tiêu chuẩn ISO 27001 tại Việt Nam.......................................................22 Phần 2: Phân tích thực trạng tình hình áp dụng tiêu chuẩn ISO 27001:2005 tại Ngân hàng TMCP Ngoại thương Việt Nam (VCB) .............................................................................................................24 2.1. Giới thiệu Ngân hàng TMCP Ngoại thương Việt Nam .........................................................24 2.2. Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại VCB: ..............................................26 2.3. Kết luận ..................................................................................................................................46 Trang 3 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Trang 4 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Phần 1: Giới thiệu hệ thống ISMS 1.1. Giới thiệu chung: 1.1.1. Tiêu chuẩn ISO 27001:2005 là gì? Tiêu chuẩn quốc tế “Information security management system” (ISMS-hệ thống quản lý an toàn thông tin) có mã số ISO/IEC 27001:2005 được biên soạn bởi ủy ban kỹ thuật chung về công nghệ thông tin - ISO/IEC JTC 1 thuộc tiểu ban các kỹ thuật an toàn thông tin - SC 27 thuộc tổ chức ISO. Tiêu chuẩn này được ban hành vào tháng 10 năm 2005 để thay thế tiêu chuẩn cùng tên có mã số BS 7799-2:2002 do tổ chức Britist Standard ban hành năm 2002. Tiêu chuẩn quốc tế này được xây dựng để đưa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp ISMS. Việc chấp nhận triển khai một hệ ISMS sẽ là một quyết định chiến lược của tổ chức. Thiết kế và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các hệ thống hỗ trợ sẽ cần được cập nhật và thay đổi. Đầu tư và triển khai một ISMS cần phải phù hợp với nhu cầu thực tiễn của tổ chức. Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng như các bộ phận bên ngoài liên quan đến tổ chức. 1.1.2. Cách tiếp cận theo quy trình của tiêu chuẩn ISO 27001:2005 Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp ISMS của tổ chức. Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận các đầu vào chuyển hóa thành đầu ra có thể coi như một quy trình. Thông thường đầu ra của một quy trình này là đầu vào của một quy trình tiếp theo.Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếp cận theo quy trình”. Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trong tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng sau: Trang 5 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN  Việc hiểu các yêu cầu an toàn thông tin của tổ chức và các sự cần thiết phải thiết lập chính sách và mục tiêu cho an toàn thông tin.  Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức.  Việc giám sát và soát xét lợi ích và hiệu quả của ISMS.  Việc thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra. Tiêu chuẩn này cũng đưa ra một mô hình để áp dụng cho tất cả các quy trình trong ISMS. Đó là mô hình PDCA (Lập kế hoạch-Thực hiện-Kiểm tra-Hành Động) như sơ đồ bên dưới Hình 1: Áp dụng mô hình PDCA cho các quy trình của hệ thống quản lý an toàn thông tin Trong đó: P (Plan)-thiết lập ISMS: thiết lập các chính sách, mục tiêu, quy trình và thủ tục liên quan đến việc quản lý các rủi ro và nâng cao an toàn thông tin nhằm đem lại các kết quả phù hợp với các chính sách và mục tiêu chung của tổ chức. D (Do)-triển khai và điều hành ISMS: Cài đặt và vận hành các chính sách, biện pháp quản lý, quy trình và thủ tục của hệ thống ISMS. Trang 6 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN C (Check)-giám sát và soát xét ISMS: Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, mục tiêu mà hệ thống ISMS đã đặt ra; kinh nghiệm thực tiễn và báo cáo kết quả cho việc soát xét của ban quản lý. A (Act)-Duy trì và nâng cấp ISMS: Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các kết quả của việc kiểm toán nội bộ ISMS, soát xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS. 1.2. Phạm vi áp dụng: Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác nhau (ví dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận, v.v… ). Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập; triển khai; điều hành; giám sát; soát xét; bảo trì và nâng cấp một ISMS để đảm bảo an toàn thông tin trước những tất cả các rủi ro có thể xảy ra với tổ chức. Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức. ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng v.v… Các yêu cầu của tiêu chuẩn này là mang tính tổng quát nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức khác nhau. 1.3. Thuật ngữ và định nghĩa: 1.3.1. Tài sản: là bất cứ gì có giá trị đối với tổ chức. 1.3.2. Tính sẵn sàng: tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo yêu cầu. 1.3.3. Tính bí mật: tính chất đảm bảo thông tin không sẵn sàng và công khai đối với các cá nhân, thực thể và các tiến trình không được phép. 1.3.4. An toàn thông tin: sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin; ngoài ra còn có thể bao hàm một số tính chất khác như xác thực, kiểm soát, chống chối bỏ và tin cậy. Trang 7 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN 1.3.5. Sự kiện an toàn thông tin: Một sự kiện xác định xảy ra trong một hệ thống, một dịch vụ hay một trạng thái mạng chỉ ra sự vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ hoặc một tình huống bất ngờ liên quan đến an toàn. 1.3.6. Sự cố an toàn thông tin: Một hoặc một chuỗi các sự kiện an toàn thông tin không mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an toàn thông tin. 1.3.7. Hệ thống quản lý an toàn thông tin (ISMS): Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý tổng thể, căn cứ vào việc đánh giá rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp an toàn thông tin. Chú ý: Hệ thống quản lý tổng thể bao gồm cơ cấu, chính sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy trình và tài nguyên của tổ chức. 1.3.8. Tính toàn vẹn: Tính chất đảm bảo sự chính xác và sự toàn vẹn của các tài sản. 1.3.9. Rủi ro tồn đọng: Các rủi ro còn lại sau quá trình xử lý rủi ro. 1.3.10.Sự chấp nhận rủi ro: Quyết định chấp nhận sự tồn tại một rủi ro. 1.3.11.Phân tích rủi ro: Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn gốc và đánh giá rủi ro. 1.3.12.Đánh giá rủi ro: quá trình tổng thể phân tích rủi ro và đánh giá rủi ro. 1.3.13.Đánh giá giá trị rủi ro: Quá trình so sánh rủi ro đã được dự đoán với chỉ tiêu rủi ro đã có nhằm xác định mức độ nghiêm trọng của rủi ro. 1.3.14.Quản lý rủi ro: Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước các rủi ro có thể xảy ra. 1.3.15.Xử lý rủi ro: Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro. 1.3.16.Thông báo áp dụng: Thông báo được biên soạn nhằm mô tả mục tiêu quản lý và biện pháp quản lý thích hợp áp dụng cho hệ thống ISMS của tổ chức. CHÚ Ý: các mục tiêu và biện pháp kiểm soát được xây dựng dựa trên các kết quả và kết luận của đánh giá rủi ro và quy trình xử lý rủi ro, các yêu cầu hay chế tài về pháp lý, các ràng buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức để đảm bảo an toàn thông tin. Trang 8 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN 1.3.17.Tổ chức: Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá nhân, tập thể) nhằm đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên; cùng nhau hành động vì mục tiêu chung. 1.4. Hệ thống quản lý an toàn thông tin (ISMS): 1.4.1. Các yêu cầu chung: Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì và nâng cấp một hệ thống quản lý an toàn thông tin (ISMS) đã được tài liệu hóa trong bối cảnh toàn bộ hoạt động của tổ chức có những rủi ro đang phải đối mặt. 1.4.2. Thiết lập và quản lý ISMS: 1.4.2.1. Thiết lập ISMS: Để thiết lập ISMS, tổ chức cần thực hiện những công việc sau: a. Xác định phạm vi và ranh giới của ISMS theo các khía cạnh: đặc điểm của doanh nghiệp, tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết về bất cứ lý do loại trừ ngoài phạm vi áp dụng. b. Vạch rõ chính sách triển khai ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ. Bao gồm:  Bao gồm khuôn khổ cho các mục tiêu, thiết lập định hướng tổng thể và nguyên tắc hoạt động liên quan đến an ninh thông tin.  Sẽ đưa vào tài khoản kinh doanh và yêu cầu pháp lý hoặc quy định, nghĩa vụ theo hợp đồng.  Gắn với bối cảnh quản lý rủi ro chiến lược của tổ chức, trong đó việc thành lập và duy trì các hệ thống ISMS sẽ diễn ra.  Thiết lập các tiêu chí dựa vào đó rủi ro sẽ được đánh giá.  Được sự chấp thuận của Ban Giám đốc. Chú ý: Để đạt được mục tiêu của tiêu chuẩn này, chính sách triển khai ISMS được xem xét như là một danh mục đầy đủ các chính sách an toàn thông tin. Các chính sách này có thể được mô tả trong cùng một tài liệu. c. Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức Trang 9 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN  Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định.  Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận được. Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể so sánh và tái tạo được. Chú ý: Có nhiều hệ phương pháp đánh giá rủi ro khác nhau. d. Xác định các rủi ro:  Xác định các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý các tài sản này.  Xác định các mối đe doạ có thể xảy ra đối với tài sản.  Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên.  Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng. e. Phân tích và đánh giá các rủi ro:  Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản.  Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện.  Ước lượng các mức độ của rủi ro.  Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập. f. Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro Các hoạt động có thể thực hiện:  Áp dụng các biện pháp quản lý thích hợp. Trang 10 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN  Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức.  Tránh các rủi ro.  Chuyển giao các rủi ro cho các bộ phận khác như bảo hiểm, nhà cung cấp v.v.... g. Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro:  Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn và thực hiện để đáp ứng các yêu cầu được xác định bởi quá trình xử lý rủi ro và đánh giá rủi ro. Sự lựa chọn này sẽ xem xét đến tiêu chuẩn chấp nhận rủi ro cũng như các yêu cầu về pháp lý, quy định và cam kết phải tuân thủ.  Các mục tiêu quản lý và biện pháp quản lý trong phụ lục A (của tiêu chuẩn) có thể được lựa chọn như là một phần thích hợp để bảo đảm các yêu cầu đã xác định.  Các yêu cầu quản lý và biện pháp quản lý trong phụ lục A là chưa thực sự đầy đủ. Tùy trường hợp có thể lựa chọn thêm các mục tiêu quản lý và biện pháp quản lý cần thiết khác. Chú ý: Phụ lục A bao gồm một danh sách bao gồm nhiều mục tiêu quản lý và biện pháp quản lý một cách toàn diện có khả năng thích hợp đối với nhiều tổ chức. Người sử dụng tiêu chuẩn quốc tế này có thể sử dụng phụ lục A như là điểm khởi đầu trong việc lựa chọn biện pháp quản lý để không có các biện pháp quan trọng bị bỏ sót. h. Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất. i. Được ban quản lý cho phép cài đặt và vận hành hệ thống ISMS. j. Chuẩn bị thông báo áp dụng: Thông báo áp dụng ISMS bao gồm:  Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong mục 4.2.1g) và các cơ sở tiến hành lựa chọn;  Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện;  Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như giải trình cho việc này Trang 11 TIÊU CHUẨN ISO 27001 GVHD: TS TẠ THỊ KIỀU AN Chú ý: Thông báo này cung cấp thông tin tóm tắt cho các quyết định liên quan đến việc xử lý rủi ro. Việc giải trình các biện pháp và mục tiêu quản lý trong phụ lục A không được sử dụng nhằm tránh khả năng bỏ sót. 1.4.2.2. Triển khai và điều hành ISMS: Quá trình triển khai và điều hành hệ thống ISMS đòi hỏi thực hiện như sau: a. Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an toàn thông tin. b. Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm. c. Triển khai các biện pháp quản lý được lựa chọn để thỏa mãn các mục tiêu quản lý. d. Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như thế nào trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh được và tái tạo được. e. Triển khai các chương trình đào tạo nâng cao nhận thức. f. Quản lý hoạt động hệ thống ISMS. g. Quản lý các tài nguyên dành cho hệ thống ISMS. h. Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin. 1.4.2.3. Giám sát và soát xét ISMS: Để thực hiện tốt, tổ chức thực hiện các biện pháp sau đây: a. Tiến hành giám sát, đánh giá và biện pháp quản lý an toàn thông tin khác nhằm  Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.  Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin.  Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không.