Với sự phát triển nhanh chóng của thời đại số, bảo mật thông tin đã trở thành vấn đề quan trọng mà các tổ chức không thể bỏ qua. Để ứng phó với các mối đe dọa và thách thức đang ngày càng gia tăng, Tổ chức Tiêu chuẩn hóa Quốc tế đã bổ sung 11 biện pháp kiểm soát mới vào ISO 27001:2022 để tăng cường hơn nữa các biện pháp bảo vệ an ninh thông tin nhằm đảm bảo các tổ chức có thể liên tục giải quyết rủi ro. Sau đây sẽ giới thiệu từng biện pháp mới này và đưa ra các ví dụ thực tế cùng các đề xuất vận hành.
1. Tình báo về mối đe dọa (5.7)
Phiên bản mới của ISO 27001 nhấn mạnh vào việc thu thập và phân tích thông tin tình báo về mối đe dọa an ninh thông tin để cung cấp cho các tổ chức nhận thức chính xác hơn về mối đe dọa và thực hiện các hành động ứng phó thích hợp. Ví dụ, để ứng phó với các lỗ hổng lớn như Log4j hoặc các cuộc tấn công DDoS, các tổ chức nên phát triển các biện pháp bảo vệ tương ứng và tiến hành phân tích sự cố để thu thập thông tin chi tiết về các mối đe dọa trong tương lai. Ngoài ra, các tổ chức nên thiết lập hồ sơ chứng cứ toàn diện để hỗ trợ phân tích và ứng phó hiệu quả với thông tin tình báo về mối đe dọa.
2. Bảo mật thông tin khi sử dụng dịch vụ đám mây (5.23)
Với sự phổ biến của điện toán đám mây, phiên bản mới của ISO 27001 nhấn mạnh vào các yêu cầu về bảo mật thông tin khi sử dụng dịch vụ đám mây. Các tổ chức nên phát triển các quy trình áp dụng cho dịch vụ đám mây dựa trên nhu cầu bảo mật thông tin của họ, bao gồm các quy trình mua, sử dụng, quản lý và thoát khỏi dịch vụ đám mây. Ví dụ, các tổ chức nên làm việc với các nhà cung cấp dịch vụ đám mây để nêu rõ các điều khoản bảo mật thông tin có liên quan nhằm đảm bảo việc sử dụng dịch vụ đám mây không dẫn đến rò rỉ thông tin hoặc gia tăng rủi ro.
3. Chuẩn bị CNTT cho tính liên tục của hoạt động kinh doanh (5.30)
Phiên bản mới của ISO 27001 nhấn mạnh vai trò quan trọng của công nghệ thông tin và truyền thông (ICT) trong việc duy trì hoạt động kinh doanh. Các tổ chức nên lập kế hoạch, triển khai, duy trì và kiểm tra mức độ sẵn sàng của CNTT phù hợp với mục tiêu duy trì hoạt động kinh doanh. Trong trường hợp dịch vụ bị gián đoạn, các tổ chức cần đảm bảo tính khả dụng của thông tin và các tài sản liên quan. Ví dụ, các tổ chức nên đánh giá độ tin cậy của các giải pháp sao lưu ngoài trang web để đảm bảo hoạt động kinh doanh có thể được khôi phục nhanh chóng trong trường hợp dịch vụ bị gián đoạn.
4. Giám sát an ninh vật lý (7.4)
Phiên bản mới của ISO 27001 nhấn mạnh vào việc giám sát an ninh vật lý của cơ sở hoạt động để ngăn chặn sự xâm nhập của các thực thể trái phép. Điều này bao gồm việc giám sát liên tục cơ sở hoạt động để phát hiện và ngăn chặn bất kỳ thực thể trái phép nào xâm nhập. Ví dụ, các tổ chức có thể lắp đặt camera giám sát, máy phát hiện xâm nhập và các thiết bị khác để theo dõi tình trạng an ninh của các địa điểm hoạt động theo thời gian thực.
5. Quản lý cấu hình (8.9)
Phiên bản mới của ISO 27001 nhấn mạnh vào việc quản lý cấu hình bảo mật của phần cứng, phần mềm, dịch vụ và mạng. Các tổ chức phải thiết lập, ghi chép, triển khai, giám sát và xem xét cấu hình để đảm bảo chúng hoạt động bình thường và an toàn. Ví dụ, các tổ chức có thể thiết lập các mẫu cấu hình chuẩn nêu rõ các yêu cầu như quản lý mật khẩu và cấu hình bảo mật, đồng thời đảm bảo các yêu cầu này được triển khai trong suốt vòng đời.
6. Xóa thông tin (8.10)
Phiên bản mới của ISO 27001 nhấn mạnh vào việc quản lý xóa thông tin để ngăn chặn rò rỉ thông tin nhạy cảm không cần thiết. Các tổ chức phải xóa thông tin khi không còn cần thiết theo yêu cầu pháp lý, quy định, giám sát và hợp đồng. Các đề xuất về hoạt động bao gồm thiết lập phương pháp xóa, lưu giữ bằng chứng và ghi lại thời gian xóa.
7. Che giấu dữ liệu (8.11)
Phiên bản mới của ISO 27001 nhấn mạnh đến nhu cầu che giấu dữ liệu để bảo vệ dữ liệu nhạy cảm như thông tin nhận dạng cá nhân (PII). Các tổ chức nên hạn chế việc tiết lộ dữ liệu nhạy cảm dựa trên các chính sách truy cập cụ thể. Ví dụ, có thể thực hiện việc xóa nhận dạng và ẩn danh để bảo vệ thông tin nhạy cảm.
8. Phòng ngừa rò rỉ dữ liệu (8.12)
Phiên bản mới của ISO 27001 tập trung các biện pháp ngăn ngừa rò rỉ dữ liệu để đảm bảo ngăn chặn hiệu quả việc tiết lộ thông tin trái phép. Điều này có thể đạt được thông qua nhiều biện pháp kỹ thuật khác nhau, chẳng hạn như tường lửa, biện pháp bảo mật, bảo mật mạng, v.v., để đảm bảo thông tin không bị truy cập hoặc tiết lộ khi chưa được phép.
9. Hoạt động giám sát (8.16)
Phiên bản mới của ISO 27001 nhấn mạnh vào việc giám sát nhiều hoạt động khác nhau, bao gồm lưu lượng mạng, bất thường của hệ thống, trạng thái đăng nhập, v.v. Các tổ chức nên thiết lập cơ chế giám sát hiệu quả để phát hiện hành vi bất thường và phản hồi nhanh chóng. Ví dụ, các tổ chức có thể sử dụng các công cụ như màn hình và máy dò để giám sát hệ thống thông tin.
10. Bảo vệ an ninh web (8.23)
Phiên bản mới của ISO 27001 nhấn mạnh vào việc quản lý quyền truy cập vào các trang web bên ngoài để giảm thiểu nguy cơ tiếp xúc với nội dung độc hại. Các tổ chức nên đảm bảo việc truy cập vào các trang web bên ngoài được giám sát chặt chẽ để ngăn ngừa thiệt hại do phần mềm độc hại và tránh truy cập vào các tài nguyên mạng trái phép.
11. Mã hóa bảo mật (8.28)
Phiên bản mới của ISO 27001 nhấn mạnh vào các yêu cầu bảo mật khi viết chương trình. Các tổ chức nên phát triển các phương pháp mã hóa an toàn và xem xét các yêu cầu bảo mật, kiểm soát phiên bản, v.v. trong quá trình phát triển. Ngoài ra, đối với các lỗ hổng nguồn mở, các tổ chức nên tiến hành quản lý bảo mật hiệu quả trước, trong và sau quá trình phát triển để đảm bảo tính bảo mật của chương trình.
Tóm lại, 11 biện pháp kiểm soát mới trong phiên bản mới của ISO 27001:2022 sẽ tăng cường hơn nữa khả năng bảo vệ an ninh thông tin của các tổ chức trong môi trường kỹ thuật số. Các tổ chức cần hiểu đầy đủ các biện pháp này và triển khai cũng như quản lý chúng phù hợp dựa trên nhu cầu kinh doanh của mình để đảm bảo an ninh thông tin được bảo vệ toàn diện.
Tóm lại, với sự ra đời của thời đại số, an ninh thông tin trở nên quan trọng hơn bao giờ hết. Phiên bản mới nhất của ISO 27001:2022 giới thiệu 11 biện pháp kiểm soát mới giúp tăng cường hơn nữa khả năng chuẩn bị và ứng phó của các tổ chức trước các mối đe dọa an ninh thông tin đang ngày càng gia tăng. Các biện pháp này bao gồm một số lĩnh vực chính, từ việc thu thập và phân tích thông tin tình báo về mối đe dọa, đến việc sử dụng các dịch vụ đám mây, chuẩn bị tính liên tục của hoạt động kinh doanh, giám sát an ninh vật lý, xóa dữ liệu, che giấu dữ liệu và các khía cạnh khác. Thông qua việc triển khai hiệu quả các biện pháp kiểm soát này, các tổ chức có thể bảo vệ tốt hơn thông tin nhạy cảm, giảm thiểu rủi ro tiềm ẩn, đảm bảo tính bền vững của doanh nghiệp và duy trì sự linh hoạt khi đối mặt với nhiều thách thức bảo mật khác nhau. Do đó, các tổ chức nên chú ý nhiều hơn đến các biện pháp bổ sung này và đưa chúng vào hệ thống quản lý bảo mật thông tin của mình để đảm bảo duy trì khả năng bảo vệ thông tin chặt chẽ trong môi trường kỹ thuật số hiện đại.
Nhà cung cấp giải pháp một cửa