ĐẠI HỌC UEH

TRƯỜNG CÔNG NGHỆ VÀ THIẾT KẾ

KHOA CÔNG NGHỆ THÔNG TIN KINH DOANH
BỘ MÔN CÔNG NGHỆ THÔNG TIN

MÔN: BẢO MẬT THƯƠNG MẠI ĐIỆN TỬ

ĐỀ TÀI: GIỚI THIỆU VỀ ISO 2700X
GVHD: Tiến sĩ Nguyễn Mạnh Tuấn

Nhóm 3
Hoàng Nguyễn Linh Chi
Ngô Đình Khôi
Lê Hồ Ngọc Trân
Nguyễn Trung Trực
Lê Đình Cẩm Tú

Thành phố Hồ Chí Minh, tháng 4/2024

1
2
 MỤC LỤC
1.Tổng hợp ý nghĩa bộ 2700x:...............................................................................................................5
1.1 Bộ tiêu chuẩn quản lý ATTT ISO/IEC 2700x là gì?.............................................................5
1.2 Các tiêu chuẩn ISO / IEC 2700x:...........................................................................................5
2.Lợi ích của các chứng chỉ ISO 2700x................................................................................................9
ISO 27001........................................................................................................................................9
ISO 27002........................................................................................................................................9
ISO 27003......................................................................................................................................10
ISO 27004......................................................................................................................................11
ISO 27005......................................................................................................................................11
3.Thực trạng 2700x tại VN: (27001)...................................................................................................14
Tóm tắt thực trạng triển khai ISO 27001 tại Việt Nam:..........................................................14
ABeam :........................................................................................................................................14
Meey Group:................................................................................................................................15
ABBANK:.....................................................................................................................................16
4.Khó khăn tại Việt Nam.....................................................................................................................17
Giải thích thêm về các khó khăn và giải pháp:.............................................................................17
Mở rộng câu trả lời:.........................................................................................................................19
Ví dụ về các doanh nghiệp Việt Nam đã đạt được chứng chỉ ISO 27001:..................................19
Kết luận:...........................................................................................................................................19
Tham khảo thêm:.............................................................................................................................20

3
1.Tổng hợp ý nghĩa bộ 2700x:

1.1 Bộ tiêu chuẩn quản lý ATTT ISO/IEC 2700x là gì?

Bộ tiêu chuẩn quản lý ATTT ISO/IEC 2700x là tổng hợp các phương pháp hay
nhất mà các công ty, tổ chức có thể quản lý bảo mật an toàn thông tin bằng
cách thiết lập, duy tri, đánh giá hệ thống quản lý bảo mật thông tin.

1.2 Các tiêu chuẩn ISO / IEC 2700x:

_ ISO / IEC 27000:Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý
an toàn thông tin - Tổng quan và từ vựng.
_ ISO / IEC 27001
ISO / IEC 27001:Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an
toàn thông tin - Các yêu cầu - Phiên bản mới nhất của tiêu chuẩn ISO 27001.
ISO 27001 là tiêu chuẩn trung tâm trong bộ ISO 27000, bao gồm các yêu cầu
triển khai đối với ISMS. Đây cũng là tiêu chuẩn duy nhất trong bộ tiêu chuẩn
ISO 27000 mà các tổ chức có thể được đánh giá và chứng nhận.
_ ISO / IEC 27002:2013: Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc
thực hành về kiểm soát an toàn thông tin
Đây là một tiêu chuẩn bổ sung cung cấp tổng quan về các biện pháp kiểm soát
an toàn thông tin mà các tổ chức có thể lựa chọn để thực hiện. Các biện pháp
kiểm soát đã được nêu trong Phụ lục A của ISO 27001 , nhưng về cơ bản đây
chỉ là bản tóm tắt nhanh, ISO 27002 bao gồm một cái nhìn tổng quan toàn diện
hơn, giải thích cách thức hoạt động của từng kiểm soát, mục tiêu của nó và
cách tổ chức có thể thực hiện nó.
_ ISO / IEC 27003: 2017 (ISO 27003) Công nghệ thông tin - Kỹ thuật bảo mật
- Hệ thống quản lý an toàn thông tin - Hướng dẫn
_ ISO / IEC 27004: 2016 (ISO 27004) Công nghệ thông tin - Kỹ thuật bảo mật
- Quản lý an toàn thông tin - Giám sát, đo lường, phân tích và đánh giá.
_ ISO / IEC 27005: 2018 (ISO 27005) Công nghệ thông tin - Kỹ thuật bảo mật
- Quản lý rủi ro an toàn thông tin.
_ ISO / IEC 27006: 2015 (ISO 27006) Công nghệ thông tin - Kỹ thuật bảo mật
- Yêu cầu đối với cơ quan cung cấp dịch vụ đánh giá và chứng nhận hệ thống
quản lý an toàn thông tin.
_ ISO / IEC 27007: 2017 (ISO 27007) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin.
_ ISO / IEC TR 27008: 2011 (ISO 27008) Công nghệ thông tin - Kỹ thuật bảo
mật - Hướng dẫn cho đánh giá viên về các biện pháp kiểm soát an toàn thông
tin.

4
_ ISO / IEC 27009: 2016 (ISO 27009) Công nghệ thông tin - Kỹ thuật bảo mật
- Áp dụng theo lĩnh vực cụ thể của ISO / IEC 27001 - Yêu cầu.
_ ISO / IEC 27010: 2015 (ISO 27010) Công nghệ thông tin - Kỹ thuật bảo mật
- Quản lý an toàn thông tin cho truyền thông liên ngành và liên tổ chức.
_ ISO / IEC 27011: 2016 (ISO 27011) Công nghệ thông tin - Kỹ thuật bảo mật
- Quy tắc thực hành về Kiểm soát an toàn thông tin dựa trên ISO / IEC 27002
cho các tổ chức viễn thông
_ ISO / IEC 27013: 2015 (ISO 27013) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn triển khai tích hợp ISO / IEC 27001 và ISO / IEC 20000-1.
_ ISO / IEC 27014: 2013 (ISO 27014) Công nghệ thông tin - Kỹ thuật bảo mật
- Quản trị an toàn thông tin.
_ ISO / IEC TR 27016: 2014 (ISO 27016) Công nghệ thông tin - Kỹ thuật bảo
mật - Quản lý an toàn thông tin - Kinh tế tổ chức.
_ ISO / IEC 27017: 2015 (ISO 27017) Công nghệ thông tin - Kỹ thuật bảo mật
- Quy tắc thực hành về kiểm soát an toàn thông tin dựa trên ISO / IEC 27002
cho các dịch vụ đám mây.
_ ISO / IEC 27018: 2014 (ISO27018) Công nghệ thông tin - Kỹ thuật bảo mật -
Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trong các đám
mây công cộng hoạt động như bộ xử lý PII.
_ ISO / IEC 27023: 2015 (ISO 27023) Công nghệ thông tin - Kỹ thuật bảo mật
- Lập bản đồ các phiên bản sửa đổi của ISO / IEC 27001 và ISO / IEC 27002.
_ ISO / IEC 27031: 2011 (ISO 27031) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn về sự sẵn sàng của công nghệ thông tin và truyền thông cho tính
liên tục của doanh nghiệp.
_ ISO / IEC 27032: 2012 (ISO 27032) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn về an ninh mạng.
_ ISO / IEC 27033: Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng -
Phần 1 - 6.
_ ISO / IEC 27034: Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng
dụng - Phần 1-7.
_ ISO / IEC 27035:2016 (ISO 27035): Công nghệ thông tin - Kỹ thuật bảo mật
- Quản lý sự cố an toàn thông tin - Phần 1, 2.

_ ISO / IEC 27036: Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin
cho các mối quan hệ với nhà cung cấp - Phần 1, 2, 3, 4.
_ ISO / IEC 27037: 2012 (ISO 27037) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn xác định, thu thập, thu thập và bảo quản bằng chứng kỹ thuật số.
_ ISO / IEC 27038: 2014 (ISO 27038) Công nghệ thông tin - Kỹ thuật bảo mật
- Đặc tả kỹ thuật số.

5
 _ ISO / IEC 27039: 2015 (ISO 27039) Công nghệ thông tin - Kỹ thuật bảo mật
- Lựa chọn, triển khai và vận hành hệ thống (IDPS).
_ ISO / IEC 27040: 2015 (ISO 27040) Công nghệ thông tin - Kỹ thuật bảo mật
- Bảo mật lưu trữ.
_ ISO / IEC 27041: 2015 (ISO 27041) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn đảm bảo tính phù hợp và đầy đủ của các phương pháp điều tra sự
cố.
_ ISO / IEC 27042: 2015 (ISO 27042) Công nghệ thông tin - Kỹ thuật bảo mật
- Hướng dẫn phân tích và giải thích bằng chứng kỹ thuật số.
_ ISO / IEC 27043: 2015 (ISO 27043) Công nghệ thông tin - Kỹ thuật bảo mật
- Nguyên tắc và quy trình điều tra sự cố.
_ ISO / IEC 27050: Công nghệ thông tin - Kỹ thuật bảo mật - Khám phá điện
tử - Phần 1 - 3.
_ ISO / IEC TR 27103: 2018 (ISO27103) Công nghệ thông tin - Kỹ thuật bảo
mật - An ninh mạng và các tiêu chuẩn ISO và IEC.
_ ISO / IEC 27102: 2019 (ISO27102) Quản lý an toàn thông tin - Hướng dẫn
về bảo hiểm mạng.
_ ISO / IEC PRF TR 27550: 2019 (ISO27550) Công nghệ thông tin - Kỹ thuật
bảo mật - Khám phá điện tử.

->Tầm quan trọng:

_ Tăng sự tin cậy của doanh nghiệp đối với khách hàng
_ Tạo dựng hệ thống tốt trong tổ chức, xác định các thông tin quan trọng, các
rủi ro có thể xảy ra để kịp thời xử lý và giảm thiểu.
_ Quản lý và bảo đảm tài sản an toàn
_ Tạo vị thế cạnh tranh trên thị trường
_ Bảo mật thông tin và nâng cao nhận thức của nhân viên trong an toàn và trách
nghiệm bảo mật thông tin của họ đối với tổ chức.

->Do tổ chức nào cấp?

ISO 27000 là bộ tiêu chuẩn an toàn đồng nhất do Tổ chức Tiêu chuẩn hóa
Quốc tế (ISO) phối hợp với Ủy ban Kỹ thuật điện quốc tế (IEC) xây dựng

ISO 27006 là một bộ tiêu chuẩn bảo mật thông tin xác định liệu một công ty có đủ
điều kiện để thực hiện đánh giá ISO 27001 hay không.

6
 Viết tắt:

- ISMS (information security management system): Hệ thống quản

lý bảo mật thông tin
- ATTT: An toàn thông tin

2.Lợi ích khi đạt các chứng chỉ ISO 2700x

ISO 27001
1. Giới thiệu:
- Tài liệu ISO 27001 được gọi là “Information technology - Security
techniques - Information security management systems - Requirements”
- ISO/IEC 27001 là tiêu chuẩn của hệ thống quản lý bảo mật thông tin
(ISMS) nổi tiếng trên thế giới và là một phần của bộ tiêu chuẩn an toàn
thông tin ISO 27000. Nó nêu ra những yêu cầu mà ISMS phải đáp ứng.
- Tiêu chuẩn ISO/IEC 27001 sẽ hướng dẫn thiết lập, triển khai, duy trì và
nâng cấp ISMS liên tục. Sau phiên bản năm 2005 là phiên bản được ra
mắt vào tháng 9/2013 và bản này được áp dụng đến hiện tại. Chứng
nhận ISO/IEC 27001 phù hợp với mọi tổ chức, quy mô lớn hoặc nhỏ và
trong bất kỳ lĩnh vực nào.
2. Lợi ích:
- Có khả năng phục hồi khi bị tấn công mạng
- Sẵn sàng trước các mối đe dọa mới
- Tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu
- Các sự hỗ trợ được bảo mật
- Bảo vệ tổ chức toàn diện
- Tối ưu chi phí

ISO 27002
1. Giới thiệu:
- Tài liệu ISO 27002 được gọi là “Information security, Cybersecurity and
privacy protection - Information security controls” trong bản sửa đổi
năm 2022.

7
 - ISO/IEC 27002 là tiêu chuẩn quốc tế cung cấp biện pháp để thiết lập,
triển khai hay cải tiến ISMS cho các tổ chức. Bao gồm các hoạt động
kiểm soát truy cập, mã hóa, bảo mật nguồn nhân lực và ứng phó sự cố.
- Năm 2013 ISO 27002 được cập nhật và sử dụng thay cho phiên bản năm
2005. Ở bản 2013, các biện pháp kiểm soát được cập nhật và sửa đổi
phù hợp với tình hình an toàn thông tin hiện nay trên thế giới. Nội dung
tổng có 114 biện pháp kiểm soát nhóm lại trong 35 phân loại, thuộc
14 điều khoản (nhóm mục tiêu) như sau: Chính sách ATTT; Tổ chức
đảm bảo ATTT; Đảm bảo ATTT từ nguồn lực; Quản lý tài sản; Quản lý
truy cập; Mật mã hóa; Đảm bảo an toàn vật lý và môi trường; An toàn
vận hành; An toàn truyền thông; Tiếp nhận, phát triển và duy trì các hệ
thống thông tin; Quan hệ với nhà cung cấp; Quản lý sự cố ATTT; Các
khía cạnh ATTT trong quản lý sự liên tục của hoạt động nghiệp vụ; Sự
tuân thủ.
- ISO 27002:2022 đã giảm từ 114 biện pháp kiểm soát xuống còn 93
biện pháp và được phân loại thành bốn “chủ đề” kiềm soát: Tổ
chức, con người, vật chất, con người.
2. Lợi ích:
- Bảo mật thông tin toàn diện: cung cấp hướng dẫn chi tiết và phương
pháp bảo vệ thông tin ở nhiều khía cạnh.
- Quản lý rủi ro: Tổ chức có thể xác định, đánh giá và quản lý hiệu quả
các cách rủi ro bảo mật.
- Nâng cao lòng tin: Các bên liên liên quan đều được bảo mật thông tin,
dữ liệu nhạy cảm.
- Tuân thủ quy định bảo vệ dữ liệu hợp pháp: Hỗ trợ bảo vệ dữ liệu
theo quy định, hợp đồng.
- Khả năng phục hồi hoạt động: Giảm gián đoạn hoạt động khi gặp sự
cố bảo mật.
- Lợi thế cạnh tranh: Có khả năng bảo mật dữ liệu sẽ tăng tính cạnh
tranh của công ty.

ISO 27003
1. Giới thiệu:
- ISO 27003 được gọi đầy đủ là “Information technology - Security
techniques - Information security management systems - Guidance” vào
phiên bản năm 2017
- ISO/IEC 27003 là tài liệu cơ bản và toàn diện, cung cấp hướng dẫn cho
tất cả các yêu cầu của ISO/IEC 27001, ngoại trừ các khía cạnh liên quan
đến “giám sát, đo lường, phân tích và đánh giá” và quản lý rủi ro ATTT.

8
 Ngoài ra, tiêu chuẩn này cũng không bổ sung bất kỳ yêu cầu mới nào
đối với ISMS cũng như các thuật ngữ và định nghĩa liên quan của nó.
Các tổ chức triển khai ISMS không có nghĩa vụ phải tuân theo hướng
dẫn trong tài liệu này.
2. Lợi ích:
- Sắp xếp cách tiếp cận triển khai ISMS theo từng bước phù hợp với tổ
chức.

ISO 27004
1. Giới thiệu:
- Tài liệu ISO 27004 được gọi là “Information technology - Security
techniques - Information security management - Measurement”
- ISO 27004:2009 được xuất bản lần đầu tiên vào năm 2009 như một
phần của bộ tiêu chuẩn ISO 27000, sau đó được sửa đổi vào năm 2016
và được gọi là ISO 27004:2016. Cả hai tiêu chuẩn đều là hướng dẫn chứ
không phải yêu cầu.
- ISO/IEC 27004:2016 đưa ra các hướng dẫn để xác định hiệu suất
của ISO 27001. Tiêu chuẩn này mô tả cách tạo và vận hành các hệ
thống đánh giá cũng như cách phân tích và công bố tác động của một bộ
số liệu bảo mật thông tin.
2. Lợi ích:
- Tăng tính minh bạch
- Cải thiện việc quản lý quy trình và thông tin ISMS
- Cung cấp các biện pháp đo lường khác nhau
- Phù hợp với các thông số kỹ thuật của ISO/IEC 2700:2013, cũng như
các quy tắc, luật pháp và quy định liên quan

ISO 27005
1. Giới thiệu:
- ISO 27005 được gọi là “Information security, cybersecurity and privacy
protection — Guidance on managing information security risks”
- ISO 27005 xuất hiện khi việc quản lý rủi ro trở nên khó khăn hơn trong
tổ chức. Vai trò của ISO 27005 là đề cập đến các quy trình tiến hành
đánh giá rủi ro bảo mật thông tin theo tiêu chuẩn ISO 27001. Để làm
được thì nó tập hợp một loạt các biện pháp thực hành tốt nhất nhằm
ngăn chặn vi phạm dữ liệu trong tổ chức.

9
 - Từ thông số kỹ thuật, cung cấp hướng dẫn về việc xác định, đánh giá,
xem xét và xử lý các lỗ hổng bảo mật thông tin. Đảm bảo rằng, các tổ
chức lập kế hoạch, thực hiện, giám sát và quản lý các biện pháp kiểm
soát bảo mật thông tin một cách phù hợp.
- ISO 27005 chỉ đề xuất những phương pháp đánh giá rủi ro hay nhất,
không có lộ trình cụ thể để thực hiện theo từ đầu đến cuối, vì vậy áp
dụng được với mọi ISMS.
2. Lợi ích:
- Ngăn chặn vi phạm dữ liệu
- Giảm thiểu các mối đe dọa về bảo mật thông tin
- Duy trì mức độ rủi ro phù hợp với tổ chức
- Linh hoạt trong việc lựa chọn phương pháp phù hợp

Một số ảnh:
- Nguồn: https://ictvietnam.vn/ap-dung-tieu-chuan-iso-iec-27000-trong-linh-vuc-
an-toan-thong-tin-43854.html

Lịch sử hình thành và mối quan hệ giữa tiêu chuẩn ISO/IEC 27000 và ISO/IEC
27001, ISO/IEC 27002

10
Mối quan hệ giữa các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000

Số lượng chứng chỉ ISO 27001 tại Việt Nam qua các năm

11
3.Thực trạng 2700x tại VN: (27001)

Tóm tắt thực trạng triển khai ISO 27001 tại Việt Nam:

1. Lịch sử:

● 2006: Tiêu chuẩn TCVN 7562: 2005 (tương đương ISO/IEC 17799: 2000)
được ban hành.
● 2007: CSC Việt Nam và FPT-IS là những đơn vị đầu tiên đạt chứng nhận ISO
27001.
● 2007: Giáo sư Ted Humphreys, cha đẻ của ISO 27001, đến Việt Nam tham dự
hội thảo về bảo mật thông tin.

2. Thực trạng:

Một số doanh nghiệp đạt chứng chỉ ISO 27001 gầy đây

ABeam :

https://vnexpress.net/abeam-viet-nam-dat-chung-nhan-iso-27001-4724635.html

Hệ thống Quản lý an toàn thông tin (ISMS) của ABeam Việt Nam đạt tiêu chuẩn
ISO 27001:

● Chứng nhận: Cấp bởi British Standards Institution (BSI)

● Mục đích: Bảo vệ dữ liệu khách hàng trong suốt quá trình chuyển đổi số
● Quy trình:
○ Quản lý rủi ro
○ Kiểm soát truy cập
○ Ứng phó sự cố
○ Cải tiến liên tục

Lợi ích của việc đạt chứng nhận ISO 27001:

● Nâng cao uy tín của ABeam trong việc cam kết bảo mật dữ liệu
● Giúp các doanh nghiệp tự tin bắt tay vào hành trình chuyển đổi số

Về ABeam Consulting:

12
 ● Công ty tư vấn chuyển đổi số:
○ Trụ sở: Tokyo (Nhật Bản)
○ Hoạt động ở 13 quốc gia và vùng lãnh thổ
○ 29 văn phòng trên toàn thế giới
○ Hơn 7.900 chuyên gia tư vấn
● Tại Việt Nam:
○ Thành lập năm 2018
○ Hơn 110 chuyên gia tư vấn
○ Chuyên tư vấn triển khai SAP, chiến lược và vận hành; chuyển đổi số
○ Thấu hiểu về bức tranh chuyển đổi số tại Việt Nam
○ Đạt nhiều giải thưởng uy tín từ đối tác SAP trên toàn cầu

Kết luận:

Việc đạt chứng nhận ISO 27001 là minh chứng cho cam kết của ABeam Việt Nam
trong việc bảo mật dữ liệu khách hàng. Cùng với đội ngũ chuyên gia giàu kinh
nghiệm, ABeam là đối tác uy tín cho các doanh nghiệp trong hành trình chuyển đổi số.

Meey Group đã đạt được chứng nhận ISO 9001:2015 và ISO/IEC 27001:2013, đây là
những tiêu chuẩn quốc tế về Hệ thống quản lý chất lượng và Hệ thống quản lý an toàn
thông tin.

Đây là một thành tựu quan trọng đối với Meey Group:

● Thể hiện cam kết của doanh nghiệp trong việc nâng cao chất lượng sản phẩm
và dịch vụ, cũng như đảm bảo an toàn thông tin.
● Giúp Meey Group tăng cường uy tín thương hiệu, tạo dựng niềm tin với khách
hàng và đối tác.
● Là nền tảng cho sự phát triển bền vững của Meey Group trong tương lai.

Để đạt được thành quả này, Meey Group đã:

● Phối hợp chặt chẽ với Viện Tiêu chuẩn Anh (BSI) trong 3 giai đoạn: Đào tạo
và chuẩn bị; Triển khai áp dụng và Đánh giá chứng nhận.
● Đầu tư vào việc xây dựng và cải tiến hệ thống quản lý, cũng như đào tạo nhân
viên.

13
 ● Cam kết thực hiện các đợt đánh giá, giám sát định kỳ để đảm bảo duy trì tính
hiệu lực của chứng nhận.

Với việc đạt được hai tiêu chuẩn ISO quan trọng này, Meey Group khẳng định vị thế
là doanh nghiệp công nghệ tiên phong chuyển đổi số trong lĩnh vực bất động sản.

ABBANK:

1. Mục tiêu:

● ABBANK đạt chứng nhận ISO 27001:2022 về an toàn thông tin.

● Nâng cao chất lượng hạ tầng công nghệ và quản lý.
● Đảm bảo an toàn dữ liệu của ngân hàng và giao dịch của khách hàng.
● Phát triển bền vững trong tương lai.

2. Giải pháp:

● Triển khai hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2022.
● Hợp tác với Misoft - công ty tư vấn an toàn thông tin uy tín.

3. Lợi ích:

● ABBANK là ngân hàng đầu tiên tại Việt Nam đạt chứng nhận ISO
27001:2022.
● Khẳng định cam kết bảo vệ tài sản của khách hàng và dữ liệu của tổ chức.
● Nâng cao uy tín và vị thế của ABBANK trên thị trường.

4. Thông tin về ABBANK:

● Ngân hàng TMCP An Bình (ABBANK)

● Thành lập năm 1993.
● Ngân hàng bán lẻ thân thiện, uy tín và hiệu quả.
● Mạng lưới giao dịch rộng khắp với 165 điểm tại 34 tỉnh/thành.
● Phục vụ hơn 1 triệu khách hàng.

7. Kết luận:

14
 ● Việc ABBANK đạt chứng nhận ISO 27001:2022 là minh chứng cho nỗ lực của
ngân hàng trong việc đảm bảo an toàn thông tin và phát triển bền vững.

Các ý chính:

● ABBANK là ngân hàng đầu tiên tại Việt Nam đạt chứng nhận ISO
27001:2022.
● Hệ thống an toàn thông tin của ABBANK được tư vấn bởi Misoft.
● ABBANK cam kết bảo vệ tài sản của khách hàng và dữ liệu của tổ chức.
● ABBANK là ngân hàng bán lẻ uy tín và hiệu quả với mạng lưới giao dịch rộng
khắp.
● Misoft là công ty tư vấn an toàn thông tin uy tín với hơn 20 năm kinh nghiệm.
● BSI là tổ chức uy tín hàng đầu về chứng nhận và đào tạo.

4.Khó khăn tại Việt Nam

Giải thích thêm về các khó khăn và giải pháp:

1. Nhận thức chưa cao:

● Ví dụ: Nhiều doanh nghiệp chỉ xem việc bảo mật thông tin là trách nhiệm của
bộ phận IT, mà không nhận thức được rằng đây là trách nhiệm chung của toàn

bộ tổ chức.

● Giải pháp: Tăng cường tuyên truyền, giáo dục về tầm quan trọng của bảo mật
thông tin cho tất cả cán bộ, nhân viên trong doanh nghiệp.

2. Thiếu hụt nguồn nhân lực:

● Ví dụ: Theo báo cáo của Hiệp hội An ninh mạng Việt Nam (VNISA), Việt
Nam thiếu hụt khoảng 1 triệu nhân lực an ninh mạng.

● Giải pháp: Tăng cường đào tạo, bồi dưỡng nghiệp vụ an ninh mạng cho cán
bộ, nhân viên trong doanh nghiệp; khuyến khích các trường đại học, cao đẳng

đào tạo chuyên ngành an ninh mạng.

15
3. Chi phí cao:

● Ví dụ: Chi phí cho việc tư vấn, đào tạo, đánh giá và cấp chứng nhận ISO
27001 có thể lên đến hàng trăm triệu đồng.

● Giải pháp: Hỗ trợ các doanh nghiệp về tài chính, đặc biệt là các doanh nghiệp
vừa và nhỏ, trong việc triển khai và duy trì hệ thống quản lý an toàn thông tin

theo tiêu chuẩn ISO 27001.

4. Hạ tầng công nghệ chưa phát triển:

● Ví dụ: Hệ thống internet tại Việt Nam còn nhiều bất ổn, tốc độ truy cập
internet còn chậm.

● Giải pháp: Đầu tư phát triển hạ tầng công nghệ, đặc biệt là hạ tầng mạng, để
đảm bảo an ninh mạng.

5. Quy trình pháp lý chưa hoàn thiện:

● Ví dụ: Hệ thống pháp luật về bảo mật thông tin của Việt Nam đang được hoàn
thiện, tuy nhiên vẫn còn một số bất cập, ví dụ như quy định về xử lý vi phạm

còn chưa hiệu quả.

● Giải pháp: Hoàn thiện hệ thống pháp luật về bảo mật thông tin, tăng cường xử
lý vi phạm các quy định về bảo mật thông tin.

Mở rộng câu trả lời:

Ngoài những khó khăn trên, việc áp dụng và đạt được các chứng chỉ bảo mật 2700x

tại Việt Nam còn gặp phải một số khó khăn khác như:

16
 ● Văn hóa doanh nghiệp: Một số doanh nghiệp chưa có văn hóa an ninh mạng,
dẫn đến việc cán bộ, nhân viên không quan tâm đến việc bảo mật thông tin.

● Sự hỗ trợ từ các bên liên quan: Một số doanh nghiệp chưa nhận được sự hỗ
trợ cần thiết từ các bên liên quan như chính phủ, các tổ chức đào tạo và cộng

đồng.

Ví dụ về các doanh nghiệp Việt Nam đã đạt được chứng chỉ ISO 27001:

● Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank)

● Tập đoàn Điện lực Việt Nam (EVN)

● Tập đoàn Viễn thông Quân đội (Viettel)

● Công ty Cổ phần FPT Telecom

● Công ty Cổ phần Sữa Việt Nam (Vinamilk)

Kết luận:

Việc áp dụng và đạt được các chứng chỉ bảo mật 2700x là một việc làm cần thiết để

nâng cao hiệu quả bảo mật thông tin cho các tổ chức tại Việt Nam. Tuy nhiên, để thực

hiện được điều này cần có sự phối hợp của các bên liên quan trong việc giải quyết các

khó khăn còn tồn tại.

17