Dự án hệ thống an toàn thông tin ISMS – ISO 27001:2005 của VietUnion
19/07/2008
Hệ thống an toàn thông tin (ISMS) (theo định nghĩa của Tổng cục tiêu chuẩn đo lường chất lượng Việt Nam, tham khảo tại www.tcvn.gov.vn) quản lý tất cả các mặt của an ninh thông tin bao gồm con người, các qui trình và các hệ thống công nghệ thông tin. Điều cốt lõi để có hệ thống ISMS thành công là dựa trên đánh giá phản hồi để cung cấp sự cải tiến liên tục, và lấy cách tiếp cận có cấu trúc để quản lý tài sản và rủi ro. Mối quan tâm của ISMS nhằm tập trung đảm bảo 3 thuộc tính chính: tính tin cậy (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability).
ISMS là trái tim của ISO/IEC 27001:2005 và là điều kiện tiên quyết cho việc thi hành và lấy chứng chỉ này (tham khảo tại www.dsp.com.vn) . Mục đích của ISO/IEC 27001:2005 là cung cấp cơ sở chung cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ của tổ chức. Chứng chỉ ISO/IEC 27001:2005 đảm bảo với khách hàng và nhà cung cấp rằng thông tin được bảo mật một cách nghiêm túc trong nội bộ doanh nghiệp mà họ đang có quan hệ làm ăn. ISO/IEC 27001:2005 tích hợp với cách tiếp cận dựa trên quy trình của chuẩn hệ thống quản lý ISO như ISO9001:2000 và ISO 14001:2004, trong đó bao gồm cả chu trình Plan-Do-Check-Act (PDCA) và yêu cầu cải tiến liên tục.
Việc tuân theo hoặc đạt được chứng chỉ chuẩn ISO/IEC 27001:2005 không thể chứng minh tổ chức được đảm bảo an toàn 100%. Tuy nhiên, sự thừa nhận chuẩn quốc tế này đem đến những lợi ích chắc chắn sau:
• Sự cam kết ở cấp độ tổ chức: Chứng chỉ như là một cam kết hiệu quả của nỗ lực đưa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự tập trung nghiêm ngặt của chính những người quản lý.
• Sự tuân thủ ở cấp độ pháp luật: chứng minh cho nhà chức trách rằng tổ chức đã tuân theo tất cả các luật và các qui định áp dụng. Điều quan trọng là chuẩn đã bổ sung những chuẩn và luật tồn tại khác.
• Quản lý rủi ro ở cấp độ điều hành: Mang lại những hiểu biết tốt hơn về các hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng. Tương tự, nó đảm bảo nhiều khả năng sẵn sàng phụ thuộc ở cả phần cứng và phần mềm.
• Sự tín nhiệm và tin cậy ở cấp độ thương mại: Các thành viên, cổ đông, và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.
• Tiết kiệm chi phí ở cấp độ tài chính: Tiết kiệm chi phí khắc phục các lỗ hổng an ninh và có khả năng giảm chi phí bảo hiểm.
• Cải tiến nhận thức ở cấp độ con người: Cải tiến nhận thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức
Là doanh nghiệp tiên phong trong lĩnh vực thanh toán điện tử tại Việt Nam, Công ty Dịch Vụ Trực Tuyến Cộng Đồng Việt – VietUnion chắc chắn phải cam kết độ an toàn và bảo mật cao nhất cho dữ liệu của khách hàng. Đối với những nguy cơ từ bên ngoài, VietUnion đã thiết lập nhiều tầng bảo vệ, như nhiều lớp firewall cho nhiều lớp network, hệ thống phát hiện xâm nhập (Instrusion Detection System), hệ thống phát hiện gian lận (Fraud Detection System)… Tuy nhiên vẫn có khả năng xảy ra nguy cơ tấn công từ bên trong công ty, hoặc vô tình có những yếu tố sai sót khi tương tác với thông tin của con người. Vì vậy VietUnion đang triển khai những điểm kiểm tra (check-point) chặt chẽ trong hệ thống quy trình bảo mật thông tin nghiêm ngặt ISO 27001:2005 do công ty TÜV Rheinland Vietnam đánh giá dựa trên tư vấn của công ty ECC INTERNATIONAL (ECCI). Hoàn chỉnh 1 hệ thống bảo mật toàn vẹn bên trong và bên ngoài, cộng với sự giám sát liên tục của ban giám đốc cũng như 1 ý thức liên tục cải tiến của toàn bộ nhân viên, VietUnion sẽ là dịch vụ thanh toán tin cậy của mọi đối tác và khách hàng.
Về công ty TÜV Rheinland Vietnam
TÜV Rheinland Vietnam (http://www.tuv.com) là công ty con của tập đoàn TÜV Rheinland quốc tế với hơn 10.000 nhân viên tại 350 văn phòng tại 60 quốc gia. Được thành lập cách đây 135 năm tại Đức, Hiệp hội giám định kỹ thuật này (TÜV là viết tắt của Technishcher Überwachungs Verein) hiện đang hoạt động trong 36 lĩnh vực kinh doanh thuộc 6 nhóm ngành: dịch vụ công nghiệp, công nghiệp vận tải, sản phẩm, chăm sóc sức khỏe, đào tạo và tư vấn, hệ thống. Thành lập năm 2001 tại Việt Nam, TÜV Rheinland Vietnam đã triển khai thành công nhiều dự án với các khách hàng nổi tiếng như Hyundai Vina Motor, LG Vietnam, Canon, Philips, Pouyen… trong các lĩnh vực như: chứng nhận các hệ thống quản lý (ISO, OHSAS, CMMI, GMP..), đào tạo doanh nghiệp & tư vấn, dịch vụ công nghiệp, công nghiệp vận tải , an toàn chất lượng sản phẩm…
TÜV Rheinland Vietnam đã đánh giá thành công ISO 27001:2005 cho nhiều doanh nghiệp hoạt động trong lĩnh vực ICT như Saigon Bank , GlobalCyberSoft, ISB Corporation Vietnam, GHP FarEast, Quantic, CMC Software, HPT Soft, LacViet Computing Corp, VietSoftware International, Fujinet…
Về công ty ECC INTERNATIONAL (ECCI)
Thành lập từ năm 1998, ECCI (http://www.eccinternational.com) là tập đoàn đa quốc gia hoạt động chủ yếu về tư vấn/đào tạo quản lý và quy trình cho doanh nghiệp tại Singapore, Malaysia, Philippines, Trung quốc, Việt Nam và Ấn Độ. Là đối tác của viện Carnegie Mellon SEI nổi tiếng, ECCI cũng tham gia chính vào Tổ chức ASSIST (Asia Society for Social Improvement and Sustainable Transformation) và Diễn đàn Chất lượng Châu Á (Asian Quality Forum).
Ngoài những khách hàng là tập đoàn quốc tế lớn như Coca Cola, Honda, IBM, Toshiba, Nissan.., tại Việt Nam, cùng với TÜV Rheinland Vietnam, ECCI đã tư vấn ISO 27001 và CMMI thành công cho nhiều doanh nghiệp trong lĩnh vực ICT như Saigon Bank, GlobalCyberSoft, ISB Corporation Vietnam, Quantic, CMC Software, HPT Soft…