HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
(Information Security Management System - ISMS)
ThS. Nguyễn Đăng Quang - Khoa Đào tạo Chất lượng cao
Abstract:An information security management system (ISMS) is a set of policies concerned
with information security management or IT related risks. The idioms arose primarily out of
ISO 27001.The governing principle behind an ISMS is that an organization should design,
implement and maintain a coherent set of policies, processes and systems to manage risks to
its information assets, thus ensuring acceptable levels of information security risk.

1. Lịch sử phát triển
ISO 27001:2005 được phát triển dựa trên
bộ tiêu chuẩn BS7799 của Viện tiêu chuẩn
Anh quốc (British Standards Institution
BSI).
Tháng 12 năm 2000, chuẩn An toàn thông
tin quốc tế ISO bao gồm BS 7799 (đặc tả
kỹ thuật cho hệ thống ISMS) và ISO
17799 (mô tả Qui tắc thực tế cho hệ thống
quản lý an toàn thông tin).
Tháng 9 năm 2002, soát xét phần 2 của
chuẩn BS7799 được thực hiện nhằm thống
nhất với các chuẩn quản lý khác như ISO
9001:2000 và ISO 14001:1996 cũng như
với các nguyên tắc chính của Tổ chức Hợp
tác và phát triển kinh tế (OECD).
Tháng 10 năm 2005 ISO phát triển ISO
17799 và BS7799 thành ISO/IEC
27001:2005, tập trung vào công tác đánh
giá và chứng nhận. ISO 27001 thay thế
cho BS7799-2:2002, nó định nghĩa hệ
thống quản lý an toàn thông tin (ISMS),

một số tổ chức ngân hàng, tài chính,công
nghệ thông tin,… cũng bắt đầu quan tâm
triển khai áp dụng hệ thống này và bước
đầu đã có được những kết quả nhất định.
2. Đối tượng áp dụng
Tiêu chuẩn ISO/IEC 27001:2005 có thể
được áp dụng rộng rãi cho nhiều loại hình
tổ chức ( các tổ chức thương mại, cơ quan
nhà nước, các tổ chức phi lợi nhuận… ).
Đặc biệt là các tổ chức mà các hoạt động
phụ thuộc nhiều vào công nghệ thông tin,
máy tính, mạng máy tính, sử
dụng cơ sở
dữ liệu như: ngân hàng, tài chính, viễn
thông,…Một hệ thống ISMS hiệu lực, phù
hợp, đầy đủ sẽ giúp bảo vệ các tài sản
thông tin cũng như đem lại sự tin tưởng
của các bên liên quan như đối tác, khách
hàng… của tổ chức.
ISO/IEC 27001 là một phần của hệ thống
quản lý chung của các tổ chức, doanh
nghiệp do vậy có thể xây dựng độc lậ
p
hoặc kết hợp với các hệ thống quản lý
khác như ISO 9000, ISO 14000
3. Lợi ích
Việc tuân theo hoặc đạt được chứng chỉ
chuẩn ISO 27001:2005 không thể chứng
minh tổ chức được đảm bảo an toàn 100%.
Tuy nhiên, việc thừa nhận chuẩn quốc tế

e. Cấp độ tài chính
Tiết kiệm chi phí khắc phục các lỗ
hỏng an ninh và có khả năng giảm chi
phí bảo hiểm.
f. Cấp độ con ngườ
i
Tăng cường nhận thức của nhân viên
về các vấn đề an ninh và trách nhiệm
của họ trong tổ chức.
4. Hệ thống quản lý an toàn thông tin
(ISMS)
Hệ thống quản lý an toàn thông tin (ISMS)
là trái tim của ISO 27001:2005 và là điều
kiện tiên quyết cho việc thi hành và lấy
chứng chỉ toàn diện. Một hệ thống ISMS
phải quản lý tất cả các mặt của an toàn
thông tin bao gồm con người, các qui trình
và các hệ thống công nghệ thông tin.
Điều
cốt lõi để có hệ thống ISMS thành công là
dựa trên đánh giá phản hồi để cải tiến liên
tục, và lấy cách tiếp cận có cấu trúc để
quản lý tài sản và rủi ro. Hệ thống an toàn
thông tin bao gồm tất cảc các kiểm soát mà
tổ chức đặt trong vị trí thích hợp để đảm
bảo an toàn thông tin, xuyên suốt 10 lĩnh
vực sau:
Chính sách an ninh (Security
Policy)
Cung cấp các chỉ dẫn quản lý và hỗ

được phép, phá h
ủy và can thiệp đến
thông tin doanh nghiệp. Ngăn chặn
các tấn công, đánh cắp thông tin và
qui trình hỗ trợ xử lý thông tin.
Quản lý tác nghiệp và truyền
thông (Communications and
Operations Management)
Nhằm đảm bảo tính bảo mật trong xử
lý thông tin, giảm thiểu rủi ro do lỗi
của hệ thống, bảo vệ sự toàn vẹn của
dữ liệu; duy trì tính toàn vẹn và sẵn
sàng của qui trình xử lý thông tin và
các dịch vụ truyền thông; đảm bảo an
ninh m
ạng và bảo vệ cơ sở hạ tầng
phụ trợ; ngăn chặn phá hủy tài sản và
làm gián đoạn các hoạt động kinh
doanh; ngăn chặn các mất mát, sửa
đổi và lạm dụng thông tin trao đổi
giữa các tổ chức.
Kiểm soát truy cập (Access
Control)
Kiểm soát việc truy xuất thông tin,
đảm bảo và duy trì một cách phù hợp
quyền truy cập đến các hệ thống
thông tin. Ngăn chặn, phát hiện các
truy cậ
p trái phép; bảo vệ các dịch vụ
mạng, đảm bảo an toàn thông tin khi

Thiết lậ
p chính sách an ninh, mục tiêu,
mục đích, các quá trình và thủ tục phù
hợp với việc quản lý rủi ro và cải tiến
an toàn thông tin để phân phối các kết
quả theo các mục tiêu và chính sách
tổng thể của tổ chức.
Do (Thi hành và điều hành ISMS)
Thi hành và điều hành chính sách an
ninh, các dấu hiệu kiểm soát, các quá
trình và các thủ tục.
Check (Kiểm soát và xem xét ISMS)
Đánh giá, tìm kiếm sự phù hợp, đo
lường hiệu năng của quá trình so với
chính sách an ninh, mục tiêu, kinh
nghiệ
m thực tế và báo cáo kết quả cho
lãnh đạo xem xét.
Act (duy trì và cải tiến ISMS)
Đưa ra các hành động khắc phục phòng
ngừa trên cơ sở các kết quả xem xét để
cải tiến liên tục hệ thống ISMS.
6. Các bước triển khai
Về cơ bản, các bước triển khai hệ thống
ISO/IEC 27001 có nhiều điểm tương đồng
với áp dụng ISO 9000 & ISO 14000…
Tuy nhiên, đây là hệ thống quản lý an toàn
thông tin nên có một số
điểm cần chú
trọng khi xây dựng như: xác định đầy đủ

quản lý an toàn thông tin có hiệu lực và
hiệu quả cho đến khi đánh giá chính thức
cần khoảng 9 ~ 18 tháng phụ thuộc vào
quy mô, nhu cầu thực tế, khả nă
ng tập
trung nguồn lực của tổ chức cho quá trình
xây dựng. Tổ chức cũng sẽ thuận lợi hơn
nếu trước đó đã có kinh nghiệm xây dựng,
vận hành một số hệ thống quản lý khác
như ISO 9000, ISO 14000…