Professional Documents
Culture Documents
Nhóm 3
Hoàng Nguyễn Linh Chi
Ngô Đình Khôi
Lê Hồ Ngọc Trân
Nguyễn Trung Trực
Lê Đình Cẩm Tú
1
2
MỤC LỤC
1.Tổng hợp ý nghĩa bộ 2700x:...............................................................................................................5
1.1 Bộ tiêu chuẩn quản lý ATTT ISO/IEC 2700x là gì?.............................................................5
1.2 Các tiêu chuẩn ISO / IEC 2700x:...........................................................................................5
2.Lợi ích của các chứng chỉ ISO 2700x................................................................................................9
ISO 27001........................................................................................................................................9
ISO 27002........................................................................................................................................9
ISO 27003......................................................................................................................................10
ISO 27004......................................................................................................................................11
ISO 27005......................................................................................................................................11
3.Thực trạng 2700x tại VN: (27001)...................................................................................................14
Tóm tắt thực trạng triển khai ISO 27001 tại Việt Nam:..........................................................14
ABeam :........................................................................................................................................14
Meey Group:................................................................................................................................15
ABBANK:.....................................................................................................................................16
4.Khó khăn tại Việt Nam.....................................................................................................................17
Giải thích thêm về các khó khăn và giải pháp:.............................................................................17
Mở rộng câu trả lời:.........................................................................................................................19
Ví dụ về các doanh nghiệp Việt Nam đã đạt được chứng chỉ ISO 27001:..................................19
Kết luận:...........................................................................................................................................19
Tham khảo thêm:.............................................................................................................................20
3
1.Tổng hợp ý nghĩa bộ 2700x:
4
_ ISO / IEC 27009: 2016 (ISO 27009) Công nghệ thông tin - Kỹ thuật bảo mật
- Áp dụng theo lĩnh vực cụ thể của ISO / IEC 27001 - Yêu cầu.
_ ISO / IEC 27010: 2015 (ISO 27010) Công nghệ thông tin - Kỹ thuật bảo mật
- Quản lý an toàn thông tin cho truyền thông liên ngành và liên tổ chức.
_ ISO / IEC 27011: 2016 (ISO 27011) Công nghệ thông tin - Kỹ thuật bảo mật
- Quy tắc thực hành về Kiểm soát an toàn thông tin dựa trên ISO / IEC 27002
cho các tổ chức viễn thông
_ ISO / IEC 27013: 2015 (ISO 27013) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn triển khai tích hợp ISO / IEC 27001 và ISO / IEC 20000-1.
_ ISO / IEC 27014: 2013 (ISO 27014) Công nghệ thông tin - Kỹ thuật bảo mật
- Quản trị an toàn thông tin.
_ ISO / IEC TR 27016: 2014 (ISO 27016) Công nghệ thông tin - Kỹ thuật bảo
mật - Quản lý an toàn thông tin - Kinh tế tổ chức.
_ ISO / IEC 27017: 2015 (ISO 27017) Công nghệ thông tin - Kỹ thuật bảo mật
- Quy tắc thực hành về kiểm soát an toàn thông tin dựa trên ISO / IEC 27002
cho các dịch vụ đám mây.
_ ISO / IEC 27018: 2014 (ISO27018) Công nghệ thông tin - Kỹ thuật bảo mật -
Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trong các đám
mây công cộng hoạt động như bộ xử lý PII.
_ ISO / IEC 27023: 2015 (ISO 27023) Công nghệ thông tin - Kỹ thuật bảo mật
- Lập bản đồ các phiên bản sửa đổi của ISO / IEC 27001 và ISO / IEC 27002.
_ ISO / IEC 27031: 2011 (ISO 27031) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn về sự sẵn sàng của công nghệ thông tin và truyền thông cho tính
liên tục của doanh nghiệp.
_ ISO / IEC 27032: 2012 (ISO 27032) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn về an ninh mạng.
_ ISO / IEC 27033: Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng -
Phần 1 - 6.
_ ISO / IEC 27034: Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng
dụng - Phần 1-7.
_ ISO / IEC 27035:2016 (ISO 27035): Công nghệ thông tin - Kỹ thuật bảo mật
- Quản lý sự cố an toàn thông tin - Phần 1, 2.
_ ISO / IEC 27036: Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin
cho các mối quan hệ với nhà cung cấp - Phần 1, 2, 3, 4.
_ ISO / IEC 27037: 2012 (ISO 27037) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn xác định, thu thập, thu thập và bảo quản bằng chứng kỹ thuật số.
_ ISO / IEC 27038: 2014 (ISO 27038) Công nghệ thông tin - Kỹ thuật bảo mật
- Đặc tả kỹ thuật số.
5
_ ISO / IEC 27039: 2015 (ISO 27039) Công nghệ thông tin - Kỹ thuật bảo mật
- Lựa chọn, triển khai và vận hành hệ thống (IDPS).
_ ISO / IEC 27040: 2015 (ISO 27040) Công nghệ thông tin - Kỹ thuật bảo mật
- Bảo mật lưu trữ.
_ ISO / IEC 27041: 2015 (ISO 27041) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn đảm bảo tính phù hợp và đầy đủ của các phương pháp điều tra sự
cố.
_ ISO / IEC 27042: 2015 (ISO 27042) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn phân tích và giải thích bằng chứng kỹ thuật số.
_ ISO / IEC 27043: 2015 (ISO 27043) Công nghệ thông tin - Kỹ thuật bảo mật
- Nguyên tắc và quy trình điều tra sự cố.
_ ISO / IEC 27050: Công nghệ thông tin - Kỹ thuật bảo mật - Khám phá điện
tử - Phần 1 - 3.
_ ISO / IEC TR 27103: 2018 (ISO27103) Công nghệ thông tin - Kỹ thuật bảo
mật - An ninh mạng và các tiêu chuẩn ISO và IEC.
_ ISO / IEC 27102: 2019 (ISO27102) Quản lý an toàn thông tin - Hướng dẫn
về bảo hiểm mạng.
_ ISO / IEC PRF TR 27550: 2019 (ISO27550) Công nghệ thông tin - Kỹ thuật
bảo mật - Khám phá điện tử.
ISO 27006 là một bộ tiêu chuẩn bảo mật thông tin xác định liệu một công ty có đủ
điều kiện để thực hiện đánh giá ISO 27001 hay không.
6
Viết tắt:
ISO 27001
1. Giới thiệu:
- Tài liệu ISO 27001 được gọi là “Information technology - Security
techniques - Information security management systems - Requirements”
- ISO/IEC 27001 là tiêu chuẩn của hệ thống quản lý bảo mật thông tin
(ISMS) nổi tiếng trên thế giới và là một phần của bộ tiêu chuẩn an toàn
thông tin ISO 27000. Nó nêu ra những yêu cầu mà ISMS phải đáp ứng.
- Tiêu chuẩn ISO/IEC 27001 sẽ hướng dẫn thiết lập, triển khai, duy trì và
nâng cấp ISMS liên tục. Sau phiên bản năm 2005 là phiên bản được ra
mắt vào tháng 9/2013 và bản này được áp dụng đến hiện tại. Chứng
nhận ISO/IEC 27001 phù hợp với mọi tổ chức, quy mô lớn hoặc nhỏ và
trong bất kỳ lĩnh vực nào.
2. Lợi ích:
- Có khả năng phục hồi khi bị tấn công mạng
- Sẵn sàng trước các mối đe dọa mới
- Tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu
- Các sự hỗ trợ được bảo mật
- Bảo vệ tổ chức toàn diện
- Tối ưu chi phí
ISO 27002
1. Giới thiệu:
- Tài liệu ISO 27002 được gọi là “Information security, Cybersecurity and
privacy protection - Information security controls” trong bản sửa đổi
năm 2022.
7
- ISO/IEC 27002 là tiêu chuẩn quốc tế cung cấp biện pháp để thiết lập,
triển khai hay cải tiến ISMS cho các tổ chức. Bao gồm các hoạt động
kiểm soát truy cập, mã hóa, bảo mật nguồn nhân lực và ứng phó sự cố.
- Năm 2013 ISO 27002 được cập nhật và sử dụng thay cho phiên bản năm
2005. Ở bản 2013, các biện pháp kiểm soát được cập nhật và sửa đổi
phù hợp với tình hình an toàn thông tin hiện nay trên thế giới. Nội dung
tổng có 114 biện pháp kiểm soát nhóm lại trong 35 phân loại, thuộc
14 điều khoản (nhóm mục tiêu) như sau: Chính sách ATTT; Tổ chức
đảm bảo ATTT; Đảm bảo ATTT từ nguồn lực; Quản lý tài sản; Quản lý
truy cập; Mật mã hóa; Đảm bảo an toàn vật lý và môi trường; An toàn
vận hành; An toàn truyền thông; Tiếp nhận, phát triển và duy trì các hệ
thống thông tin; Quan hệ với nhà cung cấp; Quản lý sự cố ATTT; Các
khía cạnh ATTT trong quản lý sự liên tục của hoạt động nghiệp vụ; Sự
tuân thủ.
- ISO 27002:2022 đã giảm từ 114 biện pháp kiểm soát xuống còn 93
biện pháp và được phân loại thành bốn “chủ đề” kiềm soát: Tổ
chức, con người, vật chất, con người.
2. Lợi ích:
- Bảo mật thông tin toàn diện: cung cấp hướng dẫn chi tiết và phương
pháp bảo vệ thông tin ở nhiều khía cạnh.
- Quản lý rủi ro: Tổ chức có thể xác định, đánh giá và quản lý hiệu quả
các cách rủi ro bảo mật.
- Nâng cao lòng tin: Các bên liên liên quan đều được bảo mật thông tin,
dữ liệu nhạy cảm.
- Tuân thủ quy định bảo vệ dữ liệu hợp pháp: Hỗ trợ bảo vệ dữ liệu
theo quy định, hợp đồng.
- Khả năng phục hồi hoạt động: Giảm gián đoạn hoạt động khi gặp sự
cố bảo mật.
- Lợi thế cạnh tranh: Có khả năng bảo mật dữ liệu sẽ tăng tính cạnh
tranh của công ty.
ISO 27003
1. Giới thiệu:
- ISO 27003 được gọi đầy đủ là “Information technology - Security
techniques - Information security management systems - Guidance” vào
phiên bản năm 2017
- ISO/IEC 27003 là tài liệu cơ bản và toàn diện, cung cấp hướng dẫn cho
tất cả các yêu cầu của ISO/IEC 27001, ngoại trừ các khía cạnh liên quan
đến “giám sát, đo lường, phân tích và đánh giá” và quản lý rủi ro ATTT.
8
Ngoài ra, tiêu chuẩn này cũng không bổ sung bất kỳ yêu cầu mới nào
đối với ISMS cũng như các thuật ngữ và định nghĩa liên quan của nó.
Các tổ chức triển khai ISMS không có nghĩa vụ phải tuân theo hướng
dẫn trong tài liệu này.
2. Lợi ích:
- Sắp xếp cách tiếp cận triển khai ISMS theo từng bước phù hợp với tổ
chức.
ISO 27004
1. Giới thiệu:
- Tài liệu ISO 27004 được gọi là “Information technology - Security
techniques - Information security management - Measurement”
- ISO 27004:2009 được xuất bản lần đầu tiên vào năm 2009 như một
phần của bộ tiêu chuẩn ISO 27000, sau đó được sửa đổi vào năm 2016
và được gọi là ISO 27004:2016. Cả hai tiêu chuẩn đều là hướng dẫn chứ
không phải yêu cầu.
- ISO/IEC 27004:2016 đưa ra các hướng dẫn để xác định hiệu suất
của ISO 27001. Tiêu chuẩn này mô tả cách tạo và vận hành các hệ
thống đánh giá cũng như cách phân tích và công bố tác động của một bộ
số liệu bảo mật thông tin.
2. Lợi ích:
- Tăng tính minh bạch
- Cải thiện việc quản lý quy trình và thông tin ISMS
- Cung cấp các biện pháp đo lường khác nhau
- Phù hợp với các thông số kỹ thuật của ISO/IEC 2700:2013, cũng như
các quy tắc, luật pháp và quy định liên quan
ISO 27005
1. Giới thiệu:
- ISO 27005 được gọi là “Information security, cybersecurity and privacy
protection — Guidance on managing information security risks”
- ISO 27005 xuất hiện khi việc quản lý rủi ro trở nên khó khăn hơn trong
tổ chức. Vai trò của ISO 27005 là đề cập đến các quy trình tiến hành
đánh giá rủi ro bảo mật thông tin theo tiêu chuẩn ISO 27001. Để làm
được thì nó tập hợp một loạt các biện pháp thực hành tốt nhất nhằm
ngăn chặn vi phạm dữ liệu trong tổ chức.
9
- Từ thông số kỹ thuật, cung cấp hướng dẫn về việc xác định, đánh giá,
xem xét và xử lý các lỗ hổng bảo mật thông tin. Đảm bảo rằng, các tổ
chức lập kế hoạch, thực hiện, giám sát và quản lý các biện pháp kiểm
soát bảo mật thông tin một cách phù hợp.
- ISO 27005 chỉ đề xuất những phương pháp đánh giá rủi ro hay nhất,
không có lộ trình cụ thể để thực hiện theo từ đầu đến cuối, vì vậy áp
dụng được với mọi ISMS.
2. Lợi ích:
- Ngăn chặn vi phạm dữ liệu
- Giảm thiểu các mối đe dọa về bảo mật thông tin
- Duy trì mức độ rủi ro phù hợp với tổ chức
- Linh hoạt trong việc lựa chọn phương pháp phù hợp
Một số ảnh:
- Nguồn: https://ictvietnam.vn/ap-dung-tieu-chuan-iso-iec-27000-trong-linh-vuc-
an-toan-thong-tin-43854.html
Lịch sử hình thành và mối quan hệ giữa tiêu chuẩn ISO/IEC 27000 và ISO/IEC
27001, ISO/IEC 27002
10
Mối quan hệ giữa các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000
Số lượng chứng chỉ ISO 27001 tại Việt Nam qua các năm
11
3.Thực trạng 2700x tại VN: (27001)
Tóm tắt thực trạng triển khai ISO 27001 tại Việt Nam:
1. Lịch sử:
● 2006: Tiêu chuẩn TCVN 7562: 2005 (tương đương ISO/IEC 17799: 2000)
được ban hành.
● 2007: CSC Việt Nam và FPT-IS là những đơn vị đầu tiên đạt chứng nhận ISO
27001.
● 2007: Giáo sư Ted Humphreys, cha đẻ của ISO 27001, đến Việt Nam tham dự
hội thảo về bảo mật thông tin.
2. Thực trạng:
Một số doanh nghiệp đạt chứng chỉ ISO 27001 gầy đây
ABeam :
https://vnexpress.net/abeam-viet-nam-dat-chung-nhan-iso-27001-4724635.html
Hệ thống Quản lý an toàn thông tin (ISMS) của ABeam Việt Nam đạt tiêu chuẩn
ISO 27001:
● Nâng cao uy tín của ABeam trong việc cam kết bảo mật dữ liệu
● Giúp các doanh nghiệp tự tin bắt tay vào hành trình chuyển đổi số
Về ABeam Consulting:
12
● Công ty tư vấn chuyển đổi số:
○ Trụ sở: Tokyo (Nhật Bản)
○ Hoạt động ở 13 quốc gia và vùng lãnh thổ
○ 29 văn phòng trên toàn thế giới
○ Hơn 7.900 chuyên gia tư vấn
● Tại Việt Nam:
○ Thành lập năm 2018
○ Hơn 110 chuyên gia tư vấn
○ Chuyên tư vấn triển khai SAP, chiến lược và vận hành; chuyển đổi số
○ Thấu hiểu về bức tranh chuyển đổi số tại Việt Nam
○ Đạt nhiều giải thưởng uy tín từ đối tác SAP trên toàn cầu
Kết luận:
Việc đạt chứng nhận ISO 27001 là minh chứng cho cam kết của ABeam Việt Nam
trong việc bảo mật dữ liệu khách hàng. Cùng với đội ngũ chuyên gia giàu kinh
nghiệm, ABeam là đối tác uy tín cho các doanh nghiệp trong hành trình chuyển đổi số.
Meey Group đã đạt được chứng nhận ISO 9001:2015 và ISO/IEC 27001:2013, đây là
những tiêu chuẩn quốc tế về Hệ thống quản lý chất lượng và Hệ thống quản lý an toàn
thông tin.
Đây là một thành tựu quan trọng đối với Meey Group:
● Thể hiện cam kết của doanh nghiệp trong việc nâng cao chất lượng sản phẩm
và dịch vụ, cũng như đảm bảo an toàn thông tin.
● Giúp Meey Group tăng cường uy tín thương hiệu, tạo dựng niềm tin với khách
hàng và đối tác.
● Là nền tảng cho sự phát triển bền vững của Meey Group trong tương lai.
● Phối hợp chặt chẽ với Viện Tiêu chuẩn Anh (BSI) trong 3 giai đoạn: Đào tạo
và chuẩn bị; Triển khai áp dụng và Đánh giá chứng nhận.
● Đầu tư vào việc xây dựng và cải tiến hệ thống quản lý, cũng như đào tạo nhân
viên.
13
● Cam kết thực hiện các đợt đánh giá, giám sát định kỳ để đảm bảo duy trì tính
hiệu lực của chứng nhận.
Với việc đạt được hai tiêu chuẩn ISO quan trọng này, Meey Group khẳng định vị thế
là doanh nghiệp công nghệ tiên phong chuyển đổi số trong lĩnh vực bất động sản.
ABBANK:
1. Mục tiêu:
2. Giải pháp:
● Triển khai hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2022.
● Hợp tác với Misoft - công ty tư vấn an toàn thông tin uy tín.
3. Lợi ích:
● ABBANK là ngân hàng đầu tiên tại Việt Nam đạt chứng nhận ISO
27001:2022.
● Khẳng định cam kết bảo vệ tài sản của khách hàng và dữ liệu của tổ chức.
● Nâng cao uy tín và vị thế của ABBANK trên thị trường.
7. Kết luận:
14
● Việc ABBANK đạt chứng nhận ISO 27001:2022 là minh chứng cho nỗ lực của
ngân hàng trong việc đảm bảo an toàn thông tin và phát triển bền vững.
Các ý chính:
● ABBANK là ngân hàng đầu tiên tại Việt Nam đạt chứng nhận ISO
27001:2022.
● Hệ thống an toàn thông tin của ABBANK được tư vấn bởi Misoft.
● ABBANK cam kết bảo vệ tài sản của khách hàng và dữ liệu của tổ chức.
● ABBANK là ngân hàng bán lẻ uy tín và hiệu quả với mạng lưới giao dịch rộng
khắp.
● Misoft là công ty tư vấn an toàn thông tin uy tín với hơn 20 năm kinh nghiệm.
● BSI là tổ chức uy tín hàng đầu về chứng nhận và đào tạo.
● Ví dụ: Nhiều doanh nghiệp chỉ xem việc bảo mật thông tin là trách nhiệm của
bộ phận IT, mà không nhận thức được rằng đây là trách nhiệm chung của toàn
bộ tổ chức.
● Giải pháp: Tăng cường tuyên truyền, giáo dục về tầm quan trọng của bảo mật
thông tin cho tất cả cán bộ, nhân viên trong doanh nghiệp.
● Ví dụ: Theo báo cáo của Hiệp hội An ninh mạng Việt Nam (VNISA), Việt
Nam thiếu hụt khoảng 1 triệu nhân lực an ninh mạng.
● Giải pháp: Tăng cường đào tạo, bồi dưỡng nghiệp vụ an ninh mạng cho cán
bộ, nhân viên trong doanh nghiệp; khuyến khích các trường đại học, cao đẳng
15
3. Chi phí cao:
● Ví dụ: Chi phí cho việc tư vấn, đào tạo, đánh giá và cấp chứng nhận ISO
27001 có thể lên đến hàng trăm triệu đồng.
● Giải pháp: Hỗ trợ các doanh nghiệp về tài chính, đặc biệt là các doanh nghiệp
vừa và nhỏ, trong việc triển khai và duy trì hệ thống quản lý an toàn thông tin
● Ví dụ: Hệ thống internet tại Việt Nam còn nhiều bất ổn, tốc độ truy cập
internet còn chậm.
● Giải pháp: Đầu tư phát triển hạ tầng công nghệ, đặc biệt là hạ tầng mạng, để
đảm bảo an ninh mạng.
● Ví dụ: Hệ thống pháp luật về bảo mật thông tin của Việt Nam đang được hoàn
thiện, tuy nhiên vẫn còn một số bất cập, ví dụ như quy định về xử lý vi phạm
● Giải pháp: Hoàn thiện hệ thống pháp luật về bảo mật thông tin, tăng cường xử
lý vi phạm các quy định về bảo mật thông tin.
Ngoài những khó khăn trên, việc áp dụng và đạt được các chứng chỉ bảo mật 2700x
tại Việt Nam còn gặp phải một số khó khăn khác như:
16
● Văn hóa doanh nghiệp: Một số doanh nghiệp chưa có văn hóa an ninh mạng,
dẫn đến việc cán bộ, nhân viên không quan tâm đến việc bảo mật thông tin.
● Sự hỗ trợ từ các bên liên quan: Một số doanh nghiệp chưa nhận được sự hỗ
trợ cần thiết từ các bên liên quan như chính phủ, các tổ chức đào tạo và cộng
đồng.
Ví dụ về các doanh nghiệp Việt Nam đã đạt được chứng chỉ ISO 27001:
Kết luận:
Việc áp dụng và đạt được các chứng chỉ bảo mật 2700x là một việc làm cần thiết để
nâng cao hiệu quả bảo mật thông tin cho các tổ chức tại Việt Nam. Tuy nhiên, để thực
hiện được điều này cần có sự phối hợp của các bên liên quan trong việc giải quyết các
17