Tiêu chuẩn ISO/IEC 27017: Kiểm soát bảo mật thông tin cho dịch vụ đám mây

Lưu trữ đám mây là mô hình điện toán cho phép người dùng lưu trữ dữ liệu và tệp trên internet thông qua nhà cung cấp dịch vụ điện toán đám mây. Khi các doanh nghiệp chuyển đổi sang điện toán đám mây, vấn đề an ninh sẽ là một hoạt động vô cùng quan trọng để bảo mật được thông tin lưu trữ. ISO/IEC 27017 là một tiêu chuẩn mới, nhằm bảo mật hoạt động điện toán đám mây giữa người dùng và nhà cung cấp dịch vụ để giảm thiểu rủi ro về các vấn đề bảo mật. Vậy nội dung tiêu chuẩn ISO/IEC 27017 là gì và có gì đặc biệt GOOD Việt Nam sẽ giải đáp tại nội dung dưới đây.

Định nghĩa về điện toán đám mây 

Điện toán đám mây liên quan đến việc truy cập các tài nguyên CNTT qua Internet theo mô hình thanh toán theo mức sử dụng (pay-as-you-go). Thay vì phải mua và quản lý các trung tâm dữ liệu và máy chủ vật lý, người dùng có thể sử dụng các dịch vụ công nghệ như năng lượng điện toán, lưu trữ và cơ sở dữ liệu khi cần từ nhà cung cấp dịch vụ đám mây như VNG Cloud. 

Điện toán đám mây hoạt động như thế nào? 

Các mô hình dịch vụ của điện toán đám mây hoạt động dựa trên nguyên tắc chia sẻ tài nguyên điện toán, phần mềm và thông tin theo yêu cầu thông qua Internet. Các công ty hoặc cá nhân trả tiền để truy cập vào kho tài nguyên ảo, bao gồm các dịch vụ điện toán, lưu trữ và mạng, được đặt trên các máy chủ từ xa do nhà cung cấp dịch vụ đám mây sở hữu và quản lý.

Một lợi ích nổi bật của điện toán đám mây là mô hình thanh toán theo mức sử dụng, cho phép doanh nghiệp mở rộng quy mô nhanh chóng và hiệu quả mà không cần mua cũng như duy trì các trung tâm dữ liệu và máy chủ vật lý.

Nói một cách đơn giản, điện toán đám mây sử dụng mạng, thường là Internet, để kết nối người dùng với một nền tảng đám mây, nơi họ yêu cầu và truy cập các dịch vụ điện toán được thuê. Máy chủ trung tâm hỗ trợ giao tiếp giữa các thiết bị của người dùng và máy chủ để thuận tiện trao đổi dữ liệu, với các tính năng bảo mật và quyền riêng tư đảm bảo an toàn thông tin.

Tại sao ISO 27017 lại quan trọng đối với bảo mật đám mây?

Điện toán đám mây đưa ra những rủi ro và thách thức mới về mặt bảo mật dữ liệu, quyền riêng tư và tuân thủ. ISO 27017 cung cấp một khuôn khổ chuyên biệt để giải quyết những mối quan tâm này bằng cách cung cấp các biện pháp kiểm soát bảo mật dành riêng cho đám mây.

Nó giúp các tổ chức xác định và triển khai các biện pháp thích hợp để bảo vệ dữ liệu và tài sản của họ khi sử dụng các dịch vụ đám mây. ISO 27017 cũng hỗ trợ thiết lập lòng tin và tính minh bạch giữa các nhà cung cấp dịch vụ đám mây (CSP) và khách hàng của họ. 

Định nghĩa tiêu chuẩn ISO/IEC 27017 là gì?

ISO/IEC 27017 là tiêu chuẩn bảo mật được phát triển cho các nhà cung cấp dịch vụ đám mây và người dùng để tạo ra môi trường đám mây an toàn và giảm thiểu rủi ro về các vấn đề bảo mật. Tiêu chuẩn này do ISO ( Tổ chức tiêu chuẩn hóa Quốc tế) và IEC (Ủy ban Kỹ thuật điện quốc tế) công bố. T

Tiêu chuẩn này cũng là một phần của tiêu chuẩn ISO/IEC 27001 (tiêu chuẩn về bảo mật thông tin). Ngoài ra nội dung tiêu chuẩn ISO 27017 được xây dựng từ ISO/IEC 27002 bao gồm các biện pháp kiểm soát bảo mật cho đám mây mà không được nhắc tới đầy đủ trong ISO 27002.

Nội dung và phạm vi của tiêu chuẩn ISO 27017

 

ISO/IEC 27017 là tiêu chuẩn quốc tế cung cấp hướng dẫn về quản lý an toàn thông tin trong môi trường điện toán đám mây. Đây là phần mở rộng của ISO/IEC 27002, không chỉ làm rõ các nguyên tắc bảo mật chung mà còn bổ sung các điều khoản chuyên biệt cho dịch vụ đám mây. Mục tiêu của tiêu chuẩn là giúp cả nhà cung cấp và khách hàng hiểu rõ trách nhiệm của mình và phối hợp hiệu quả để bảo vệ dữ liệu trong suốt quá trình sử dụng dịch vụ.

Tiêu chuẩn này nhấn mạnh đến việc phân chia trách nhiệm giữa nhà cung cấp dịch vụ và người dùng. Ai chịu trách nhiệm về điều gì khi có sự cố xảy ra là một trong những điểm quan trọng cần được xác định rõ. Việc kiểm soát truy cập và quản lý danh tính trong môi trường đám mây cũng được hướng dẫn chi tiết để ngăn chặn truy cập trái phép hoặc sai mục đích.

Ngoài ra, ISO/IEC 27017 còn đề cập đến việc xử lý tài sản thông tin khi chấm dứt hợp đồng, chẳng hạn như cách xóa hoặc hoàn trả dữ liệu cho khách hàng. Việc đảm bảo môi trường ảo của từng khách hàng được cách ly an toàn nhằm tránh rò rỉ dữ liệu giữa các bên cũng là một nội dung quan trọng.

Tiêu chuẩn này cũng đưa ra khuyến nghị về cách thiết lập máy ảo một cách an toàn, kiểm soát các hoạt động vận hành trong hệ thống, và giám sát hành vi của người dùng khi truy cập nền tảng đám mây. Cuối cùng, nó đề cập đến việc căn chỉnh kiến trúc mạng ảo và hạ tầng đám mây để đảm bảo tính nhất quán và an toàn trong toàn bộ hệ thống.

Các yêu cầu chính của tiêu chuẩn ISO 27017

 

Việc áp dụng các khuyến nghị trong ISO/IEC 27017 giúp tổ chức xây dựng một hệ thống quản lý bảo mật cho dịch vụ đám mây một cách hiệu quả. Thông qua đó, doanh nghiệp có thể bảo vệ tài nguyên thông tin, tăng cường độ tin cậy của hệ thống và đáp ứng các yêu cầu pháp lý, quy định hiện hành về an toàn dữ liệu.

Tiêu chuẩn này đưa ra những nguyên tắc bảo mật được thiết kế riêng cho môi trường điện toán đám mây, bao gồm nhiều khía cạnh mà tổ chức cần quan tâm khi triển khai. Một trong những điểm đáng chú ý là việc xác định rõ vai trò và nghĩa vụ giữa bên cung cấp dịch vụ và khách hàng, nhằm tránh mâu thuẫn hoặc lỗ hổng trách nhiệm trong quá trình vận hành hệ thống.

Ngoài ra, ISO/IEC 27017 cũng đề cập đến việc tổ chức cần tiến hành phân loại dữ liệu dựa trên mức độ quan trọng, từ đó lựa chọn các biện pháp bảo vệ phù hợp. Việc sử dụng mã hóa cũng được nhấn mạnh như một trong những phương thức hiệu quả nhất để đảm bảo an toàn cho dữ liệu trong quá trình lưu trữ và truyền tải, đồng thời đi kèm với các hướng dẫn liên quan đến quản lý khóa mã hóa.

Một yếu tố then chốt khác trong tiêu chuẩn là quản lý danh tính và quyền truy cập. Điều này đảm bảo rằng chỉ những người có thẩm quyền mới có thể truy cập vào hệ thống hoặc dữ liệu quan trọng, từ đó giảm thiểu rủi ro rò rỉ thông tin.

Bên cạnh đó, ISO/IEC 27017 cũng khuyến khích tổ chức thiết lập các thỏa thuận rõ ràng trong hợp đồng dịch vụ với bên cung cấp, bao gồm các điều khoản liên quan đến an toàn thông tin và trách nhiệm pháp lý trong trường hợp xảy ra sự cố.

Lợi ích chính của việc áp dụng ISO 27017

Doanh nghiệp đang thực hiện hoạt động chuyển đổi sang lưu trữ đám mây lựa chọn áp dụng tiêu chuẩn ISO 27017 sẽ có rất nhiều lợi ích:

Bảo mật đám mây nâng cao

ISO 27017 cung cấp một bộ kiểm soát bảo mật toàn diện được thiết kế riêng cho môi trường đám mây, giúp các tổ chức giảm thiểu rủi ro liên quan đến điện toán đám mây. Nó đảm bảo rằng các biện pháp bảo vệ đầy đủ được áp dụng để bảo vệ dữ liệu và hệ thống khỏi truy cập trái phép, vi phạm và các sự cố bảo mật khác.

Vai trò và trách nhiệm rõ ràng

ISO 27017 xác định vai trò và trách nhiệm của cả nhà cung cấp dịch vụ đám mây (CSP) và khách hàng đám mây. Sự rõ ràng này giúp thiết lập trách nhiệm giải trình và đảm bảo rằng cả hai bên đều hiểu nghĩa vụ tương ứng của mình trong việc duy trì môi trường đám mây an toàn.

Tuân thủ các yêu cầu theo quy định

Bằng cách áp dụng ISO 27017, các tổ chức có thể điều chỉnh các hoạt động bảo mật đám mây của mình theo các thông lệ tốt nhất quốc tế và các yêu cầu theo quy định. Nó giúp chứng minh sự thẩm định và có thể hỗ trợ các nỗ lực tuân thủ với các khuôn khổ như Quy định bảo vệ dữ liệu chung (GDPR), HIPAA hoặc các tiêu chuẩn cụ thể của ngành.

Tăng cường lòng tin và sự tự tin của khách hàng 

ISO 27017 cung cấp ngôn ngữ và khuôn khổ chung cho các tổ chức để truyền đạt các hoạt động bảo mật đám mây của họ tới khách hàng. Việc chứng minh sự tuân thủ ISO 27017 có thể tăng cường lòng tin và sự tự tin của khách hàng vào tính bảo mật của các dịch vụ đám mây được cung cấp.

Hiệu quả về chi phí và tài nguyên

ISO 27017 cung cấp cho các tổ chức một phương pháp tiếp cận có cấu trúc đối với bảo mật đám mây, cho phép họ phân bổ tài nguyên của mình một cách hiệu quả. Bằng cách xác định và triển khai các biện pháp kiểm soát phù hợp, các tổ chức có thể tránh được các sự cố bảo mật tiềm ẩn, vi phạm dữ liệu và tổn thất tài chính liên quan.

Cải tiến liên tục

ISO 27017 thúc đẩy văn hóa cải tiến liên tục bằng cách nhấn mạnh việc giám sát, đánh giá và tăng cường kiểm soát bảo mật đám mây thường xuyên. Nó giúp các tổ chức duy trì tính chủ động và thích ứng với các mối đe dọa đang phát triển và những tiến bộ công nghệ trong bối cảnh đám mây.

Bằng cách hiểu được những nguyên tắc cơ bản của ISO 27017, nhận ra tầm quan trọng của tiêu chuẩn này trong bảo mật đám mây và nắm bắt những lợi ích của nó, các tổ chức có thể củng cố thế trận bảo mật đám mây và thiết lập nền tảng vững chắc cho các hoạt động đám mây an toàn. 

Doanh nghiệp triển khai tiêu chuẩn ISO 27017 như thế nào?

Bằng cách thực hiện theo các bước này và triển khai ISO 27017 trong tổ chức của bạn, bạn có thể củng cố thế trận bảo mật đám mây, giảm thiểu rủi ro và đảm bảo tính bảo mật, toàn vẹn và khả dụng của dữ liệu và hệ thống của bạn trên đám mây.