ISO 27017

Tiêu chuẩn này bao gồm các lĩnh vực như trách nhiệm giữa nhà cung cấp dịch vụ đám mây và khách hàng của họ, chính sách bảo mật, bảo mật nguồn nhân lực, quản lý tài sản, kiểm soát truy cập, mật mã, bảo mật vật lý và môi trường, và tuân thủ trong số những thứ khác. Tiêu chuẩn này nhằm mục đích giúp cả hai bên hiểu và triển khai các biện pháp bảo mật hiệu quả dành riêng cho đám mây. Hướng dẫn này đặc biệt hữu ích trong bối cảnh của họ tiêu chuẩn ISO/IEC 27000 rộng hơn, hỗ trợ việc thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý bảo mật thông tin (ISMS).

Các biện pháp kiểm soát của ISO 27017 là gì?

ISO/IEC 27017, là phần mở rộng của ISO/IEC 27002, giới thiệu các biện pháp kiểm soát bảo mật bổ sung dành riêng cho các dịch vụ đám mây, đồng thời cung cấp hướng dẫn triển khai các biện pháp kiểm soát hiện có trong bối cảnh điện toán đám mây. Sau đây là phân tích các loại biện pháp kiểm soát được đề cập trong ISO/IEC 27017:

1. Vai trò và trách nhiệm chung : Làm rõ trách nhiệm bảo mật giữa nhà cung cấp dịch vụ đám mây và khách hàng dịch vụ đám mây để đảm bảo hiểu rõ ai chịu trách nhiệm về những khía cạnh bảo mật nào.

2. Quản lý tài sản : Cải tiến để kiểm soát cách phân loại và quản lý dữ liệu một cách an toàn trong môi trường đám mây.

3. Bảo mật nguồn nhân lực : Hướng dẫn đảm bảo rằng nhân viên, nhà thầu và người dùng bên thứ ba hiểu rõ trách nhiệm của mình và phù hợp với vai trò mà họ được cân nhắc, đặc biệt là trong môi trường đám mây.

4. Bảo mật vật lý và môi trường : Những thay đổi để đảm bảo bảo mật vật lý cho các trung tâm dữ liệu và các cơ sở khác có thể là một phần cơ sở hạ tầng của nhà cung cấp dịch vụ đám mây nhưng khách hàng không thể kiểm soát trực tiếp.

5. Bảo mật hoạt động : Điều chỉnh tập trung vào các quy trình và trách nhiệm hoạt động để đảm bảo hoạt động chính xác và an toàn của các cơ sở xử lý thông tin.

6. Bảo mật truyền thông : Khuyến nghị về quản lý bảo mật mạng, đặc biệt là trong môi trường nhiều người thuê và bảo mật truyền dữ liệu.

7. Thu thập, phát triển và bảo trì hệ thống : Hướng dẫn bổ sung về việc đảm bảo bảo mật thông tin là một phần không thể thiếu trong vòng đời phát triển hệ thống, đặc biệt là trong bối cảnh hệ thống đám mây.

8. Mối quan hệ với nhà cung cấp : Kiểm soát việc giám sát, xem xét và kiểm toán việc cung cấp dịch vụ của nhà cung cấp.

9. Quản lý sự cố bảo mật thông tin : Các quy trình quản lý vi phạm trong môi trường đám mây rất quan trọng, bao gồm phản hồi nhanh hơn và có cấu trúc hơn.

10. Các khía cạnh bảo mật thông tin của quản lý tính liên tục kinh doanh : Các biện pháp nâng cao để đảm bảo các dịch vụ đám mây có thể duy trì và phục hồi sau sự cố hoặc gián đoạn.

11. Tuân thủ : Hướng dẫn về tuân thủ quy định và hợp đồng, đặc biệt khi dữ liệu có thể được lưu trữ ở nhiều khu vực pháp lý.

Các biện pháp kiểm soát này được thiết kế để triển khai kết hợp với bộ biện pháp kiểm soát rộng hơn trong ISO/IEC 27002, với các điều chỉnh và bổ sung cụ thể để giải quyết các sắc thái của điện toán đám mây. Điều này đảm bảo rằng cả nhà cung cấp dịch vụ đám mây và khách hàng của họ đều có thể có các biện pháp bảo mật mạnh mẽ phù hợp với những thách thức riêng biệt do môi trường đám mây đặt ra.

Lợi ích của ISO 27017 là gì?

Việc áp dụng ISO/IEC 27017 mang lại một số lợi ích cho các tổ chức tham gia vào điện toán đám mây, cho dù họ là nhà cung cấp hay người dùng. Sau đây là một số lợi ích chính:

1. Biện pháp bảo mật nâng cao : ISO 27017 cung cấp hướng dẫn cụ thể về việc áp dụng các biện pháp kiểm soát bảo mật đám mây ngoài lời khuyên chung được đưa ra trong ISO/IEC 27002. Điều này giúp các tổ chức đảm bảo rằng các dịch vụ đám mây của họ được bảo mật theo những cách giải quyết các rủi ro đặc biệt liên quan đến điện toán đám mây.

2. Vai trò và trách nhiệm được làm rõ : Tiêu chuẩn này giúp xác định rõ ràng trách nhiệm bảo mật giữa nhà cung cấp dịch vụ đám mây và khách hàng, giảm sự mơ hồ và đảm bảo rằng tất cả các cơ sở bảo mật đều được bảo vệ. Sự rõ ràng này rất quan trọng đối với quản trị bảo mật hiệu quả và quản lý rủi ro trong môi trường đám mây.

3. Tăng cường lòng tin và uy tín : Bằng cách tuân thủ tiêu chuẩn được công nhận quốc tế, các tổ chức có thể chứng minh cam kết của mình đối với vấn đề bảo mật, từ đó nâng cao danh tiếng và tăng cường lòng tin giữa khách hàng và các bên liên quan.

4. Tư thế tuân thủ tốt hơn : ISO 27017 giúp các tổ chức đáp ứng các yêu cầu về quy định và pháp lý, đặc biệt là các yêu cầu liên quan đến bảo vệ dữ liệu và quyền riêng tư. Điều này ngày càng quan trọng khi luật pháp và quy định về bảo mật dữ liệu và quyền riêng tư trở nên nghiêm ngặt hơn trên toàn cầu.

5. Quản lý rủi ro được cải thiện : Tiêu chuẩn cung cấp các khuôn khổ và hướng dẫn giúp các tổ chức xác định, đánh giá và quản lý rủi ro bảo mật trong các dịch vụ đám mây hiệu quả hơn. Cách tiếp cận chủ động này đối với quản lý rủi ro có thể giúp ngăn ngừa vi phạm bảo mật và sự cố mất dữ liệu.

6. Lợi thế cạnh tranh : Đối với các nhà cung cấp dịch vụ đám mây, việc đạt được chứng chỉ ISO 27017 có thể giúp họ tạo sự khác biệt so với các đối thủ cạnh tranh bằng cách thể hiện các tiêu chuẩn bảo mật cao hơn, đây có thể là yếu tố quyết định đối với khách hàng tiềm năng khi lựa chọn nhà cung cấp dịch vụ đám mây.

7. Quy trình bảo mật hợp lý : Bằng cách áp dụng ISO 27017, các tổ chức có thể tích hợp các hoạt động bảo mật dành riêng cho đám mây vào hệ thống quản lý bảo mật thông tin rộng hơn, mang lại quy trình bảo mật hiệu quả hơn.

8. Kinh doanh quốc tế thuận lợi : Việc tuân thủ tiêu chuẩn quốc tế có thể đơn giản hóa sự phức tạp về mặt pháp lý khi cung cấp dịch vụ xuyên biên giới, vì nó đảm bảo với khách hàng rằng nhà cung cấp tuân thủ các thông lệ bảo mật được công nhận trên toàn cầu.

Nhìn chung, ISO/IEC 27017 giúp các tổ chức đảm bảo rằng các dịch vụ điện toán đám mây của họ an toàn, đáng tin cậy và đáng tin tưởng, điều này rất quan trọng trong môi trường thị trường phức tạp về mặt kỹ thuật số và thường xuyên có quy định như hiện nay.

Làm thế nào để triển khai ISO 27017?

Việc triển khai ISO/IEC 27017 hiệu quả đòi hỏi phải lập kế hoạch, phối hợp và liên kết cẩn thận với các biện pháp bảo mật hiện có, đặc biệt nếu tổ chức của bạn cũng đang tuân thủ các tiêu chuẩn khác như ISO/IEC 27001. Sau đây là cách tiếp cận từng bước để triển khai ISO/IEC 27017:

1. Hiểu và đánh giá các biện pháp kiểm soát hiện có

• Đánh giá cơ sở : Xem xét các biện pháp kiểm soát và thực hành bảo mật hiện tại, đặc biệt là các biện pháp liên quan đến điện toán đám mây, theo hướng dẫn của ISO/IEC 27017. Xác định khoảng cách giữa các biện pháp hiện tại và các yêu cầu của tiêu chuẩn.
• Nhận thức : Đảm bảo rằng tất cả các bên liên quan, bao gồm cả ban quản lý và nhân viên CNTT, đều hiểu được tầm quan trọng của ISO 27017 và sự liên quan của nó đến hoạt động của bạn.

2. Lên kế hoạch thực hiện

• Đặt mục tiêu : Xác định mục tiêu bạn muốn đạt được khi triển khai ISO 27017, chẳng hạn như cải thiện bảo mật đám mây, tăng cường tuân thủ hoặc nâng cao lòng tin của khách hàng.
• Lập kế hoạch dự án : Phát triển kế hoạch dự án bao gồm các nhiệm vụ, mốc thời gian, trách nhiệm và nguồn lực. Cân nhắc tích hợp các biện pháp kiểm soát ISO 27017 vào Hệ thống quản lý bảo mật thông tin (ISMS) hiện có nếu bạn đã tuân thủ ISO/IEC 27001.

3. Xác định vai trò và trách nhiệm

• Làm rõ trách nhiệm : Xác định rõ ràng vai trò và trách nhiệm quản lý bảo mật đám mây, phân biệt giữa nhiệm vụ của nhà cung cấp dịch vụ đám mây và khách hàng dịch vụ đám mây khi áp dụng.
• Sự tham gia : Thu hút cả các bên liên quan nội bộ và các nhà cung cấp dịch vụ đám mây bên ngoài vào quá trình này để đảm bảo sự thống nhất và cam kết.

4. Cập nhật Chính sách và Thủ tục

• Chính sách : Xem xét lại các chính sách bảo mật hiện có hoặc xây dựng chính sách mới bao gồm các cân nhắc cụ thể về đám mây, theo hướng dẫn của ISO/IEC 27017.
• Quy trình : Cập nhật các quy trình vận hành để kết hợp các biện pháp kiểm soát và thực hành cụ thể cho đám mây theo khuyến nghị của ISO/IEC 27017.

5. Thực hiện kiểm soát

• Triển khai kiểm soát : Áp dụng các biện pháp kiểm soát và cải tiến bổ sung được khuyến nghị bởi ISO/IEC 27017 cho các dịch vụ đám mây.
• Tích hợp : Đảm bảo các biện pháp kiểm soát này được tích hợp hiệu quả với khuôn khổ kiểm soát bảo mật rộng hơn, đặc biệt nếu sử dụng môi trường đám mây kết hợp hoặc nhiều môi trường.

6. Đào tạo và nâng cao nhận thức

• Chương trình đào tạo : Tổ chức các buổi đào tạo để giáo dục nhân viên về các rủi ro bảo mật đám mây và các biện pháp kiểm soát cụ thể đã triển khai.
• Nhận thức liên tục : Nuôi dưỡng nhận thức và hiểu biết liên tục về các biện pháp bảo mật đám mây tốt nhất cho toàn thể nhân viên.

7. Giám sát và xem xét

• Giám sát liên tục : Thiết lập quy trình giám sát và đánh giá liên tục các biện pháp kiểm soát bảo mật đám mây để đảm bảo chúng có hiệu quả và tuân thủ ISO/IEC 27017.
• Kiểm toán và Rà soát : Lên lịch kiểm toán thường xuyên để đánh giá việc tuân thủ tiêu chuẩn và xác định cơ hội cải tiến.

8. Chuẩn bị cho chứng nhận

• Kiểm toán nội bộ : Thực hiện kiểm toán nội bộ toàn diện để kiểm tra mức độ sẵn sàng theo các yêu cầu của ISO/IEC 27017.
• Phân tích và khắc phục khoảng cách : Xử lý mọi khoảng cách được xác định trong quá trình kiểm toán nội bộ.
• Kiểm toán chứng nhận : Thuê một tổ chức chứng nhận được công nhận để thực hiện kiểm toán chứng nhận chính thức.

9. Cải tiến liên tục

• Cơ chế phản hồi : Triển khai cơ chế phản hồi để nắm bắt thông tin chi tiết và bài học kinh nghiệm từ quá trình thực hiện.
• Cải tiến theo từng bước : Sử dụng những hiểu biết này để liên tục cải thiện các hoạt động bảo mật đám mây và phù hợp với các tiêu chuẩn và công nghệ đang phát triển.

Bằng cách thực hiện theo các bước này, tổ chức của bạn có thể triển khai hiệu quả ISO/IEC 27017 và tăng cường bảo mật cho các dịch vụ đám mây, nâng cao khả năng tuân thủ và sự tin tưởng của khách hàng và các bên liên quan.