Blog

Triển khai tiêu chuẩn ISO 27017 cho doanh nghiệp

Tiêu chuẩn ISO/IEC 27017 là tiêu chuẩn quốc tế cung cấp các yêu cầu cho việc kiểm soát bảo mật thông tin liên quan tới các dịch vụ đám mây. Tiêu chuẩn này là nội dung mở rộng của tiêu chuẩn ISO/IEC 27017 tập trung vào các rủi ro và thách thức bảo mật có thể phát sinh trong môi trường doanh nghiệp sử dụng điện toán đám mây. Nội dung dưới đây sẽ tập trung vào hoạt động triển khai tiêu chuẩn ISO/IEC 27017 cho doanh nghiệp.

 

Tiêu chuẩn ISO/IEC 27017 là gì: Kiểm soát bảo mật thông tin cho dịch vụ đám mây

Tại sao ISO 27017 lại quan trọng đối với bảo mật đám mây?

Điện toán đám mây đưa ra những rủi ro và thách thức mới về mặt bảo mật dữ liệu, quyền riêng tư và tuân thủ. ISO 27017 cung cấp một khuôn khổ chuyên biệt để giải quyết những mối quan tâm này bằng cách cung cấp các biện pháp kiểm soát bảo mật dành riêng cho đám mây.

Nó giúp các tổ chức xác định và triển khai các biện pháp thích hợp để bảo vệ dữ liệu và tài sản của họ khi sử dụng các dịch vụ đám mây. ISO 27017 cũng hỗ trợ thiết lập lòng tin và tính minh bạch giữa các nhà cung cấp dịch vụ đám mây (CSP) và khách hàng của họ. 

Yêu cầu và nội dung chính của ISO 27017 là gì?

Bằng cách giải quyết các yêu cầu và biện pháp kiểm soát quan trọng được nêu trong ISO 27017, các tổ chức có thể thiết lập nền tảng vững chắc cho hoạt động đám mây an toàn, bảo vệ dữ liệu và tài sản của mình, đồng thời đảm bảo tuân thủ các quy định và tiêu chuẩn hiện hành.

Kiểm soát bảo mật dành riêng cho đám mây

ISO 27017 cung cấp một bộ các biện pháp kiểm soát bảo mật dành riêng cho đám mây mà các tổ chức nên cân nhắc triển khai. Các biện pháp kiểm soát này giải quyết nhiều khía cạnh khác nhau của bảo mật đám mây, bao gồm: 

  • Quản lý cấu hình an toàn cho các dịch vụ và hệ thống đám mây. 
  • Bảo vệ dữ liệu trong quá trình truyền và lưu trữ trên đám mây. 
  • Các biện pháp ngăn chặn truy cập trái phép vào tài nguyên đám mây. 
  • Ghi nhật ký và giám sát các hoạt động trên đám mây để phát hiện sự cố bảo mật. 
  • Phân tách dữ liệu khách hàng trong môi trường đám mây đa thuê bao. 
  • Kiểm soát bảo mật cho công nghệ ảo hóa và trình quản lý siêu máy chủ. 
  • Xử lý dữ liệu và tài sản một cách an toàn khi chấm dứt dịch vụ đám mây. 

Trách nhiệm của nhà cung cấp dịch vụ đám mây (CSP)

ISO 27017 nhấn mạnh tầm quan trọng của việc làm rõ vai trò và trách nhiệm giữa CSP và khách hàng đám mây. Tiêu chuẩn này nhấn mạnh rằng CSP nên thực hiện các biện pháp thích hợp để đảm bảo an ninh cho các dịch vụ đám mây của họ. Những trách nhiệm này bao gồm: 

  • Triển khai và duy trì các biện pháp kiểm soát an ninh vật lý và môi trường mạnh mẽ tại các trung tâm dữ liệu. 
  • Đảm bảo tính khả dụng, toàn vẹn và bảo mật của dữ liệu khách hàng được lưu trữ trên đám mây. 
  • Triển khai cơ chế sao lưu và phục hồi an toàn cho dữ liệu đám mây. 
  • Tiến hành đánh giá và kiểm tra bảo mật thường xuyên các dịch vụ đám mây của họ. 
  • Cung cấp sự minh bạch và thông tin cho khách hàng về các hoạt động bảo mật của họ. 

Phân loại và bảo vệ dữ liệu

ISO 27017 nhấn mạnh nhu cầu các tổ chức phân loại dữ liệu của mình dựa trên mức độ nhạy cảm và áp dụng các biện pháp bảo vệ phù hợp. Điều này bao gồm: 

  • Xác định và phân loại dữ liệu dựa trên mức độ quan trọng và nhạy cảm của nó. 
  • Triển khai các biện pháp kiểm soát truy cập và cơ chế mã hóa dựa trên phân loại dữ liệu. 
  • Áp dụng chính sách lưu giữ và xử lý dữ liệu phù hợp với yêu cầu pháp lý và quy định. 
  • Thường xuyên xem xét và cập nhật các biện pháp phân loại và bảo vệ dữ liệu khi cần thiết. 

Mã hóa và quản lý khóa

ISO 27017 công nhận mã hóa là một biện pháp kiểm soát quan trọng để bảo vệ dữ liệu trên đám mây. ISO 27017 khuyến nghị các biện pháp quản lý khóa và mã hóa sau: 

  • Triển khai mã hóa cho dữ liệu tĩnh, dữ liệu đang truyền và dữ liệu trong bộ lưu trữ sao lưu. 
  • Quản lý đúng cách khóa mã hóa, bao gồm việc tạo, lưu trữ, luân chuyển và hủy khóa. 
  • Đảm bảo tính toàn vẹn và xác thực của các quy trình và thuật toán mã hóa. 
  • Triển khai các biện pháp quản lý khóa an toàn để ngăn chặn truy cập trái phép vào khóa mã hóa. 

Nội dung đoạn văn bản của bạn (8)

Quản lý danh tính và truy cập (IAM)

IAM rất quan trọng trong môi trường đám mây để đảm bảo rằng chỉ những cá nhân được ủy quyền mới có quyền truy cập vào tài nguyên. ISO 27017 nêu bật những cân nhắc về IAM sau: 

  • Triển khai các cơ chế xác thực mạnh mẽ, chẳng hạn như xác thực đa yếu tố. 
  • Xác định quyền kiểm soát truy cập và quyền của người dùng dựa trên vai trò và trách nhiệm. 
  • Thường xuyên xem xét và cập nhật quyền truy cập của người dùng để phù hợp với những thay đổi của tổ chức. 
  • Giám sát và ghi lại hoạt động của người dùng để phát hiện và ứng phó với những nỗ lực truy cập trái phép. 

Quản lý và ứng phó sự cố

ISO 27017 nhấn mạnh tầm quan trọng của việc thiết lập các quy trình quản lý và ứng phó sự cố hiệu quả trong môi trường đám mây. Điều này bao gồm: 

  • Phát triển kế hoạch ứng phó sự cố cụ thể cho các sự cố bảo mật đám mây. 
  • Xác định vai trò và trách nhiệm xử lý sự cố bảo mật trên đám mây. 
  • Thiết lập cơ chế báo cáo, điều tra và ghi chép các sự cố an ninh. 
  • Thực hiện các cuộc diễn tập ứng phó sự cố thường xuyên và rút kinh nghiệm từ các sự cố trước đây. 
  • Thực hiện các biện pháp nhằm ngăn ngừa và giảm thiểu tác động của sự cố bảo mật trên đám mây. 

Mối quan hệ với nhà cung cấp và hợp đồng đám mây

ISO 27017 nhấn mạnh tầm quan trọng của các mối quan hệ nhà cung cấp được xác định rõ ràng và các hợp đồng đám mây. Những cân nhắc chính bao gồm: 

  • Đánh giá và lựa chọn nhà cung cấp dịch vụ đám mây dựa trên khả năng bảo mật của họ. 
  • Đảm bảo rằng các thỏa thuận dịch vụ đám mây bao gồm các yêu cầu và trách nhiệm về bảo mật. 
  • Tiến hành thẩm định cẩn thận về các hoạt động bảo mật của nhà cung cấp dịch vụ đám mây. 
  • Thiết lập cơ chế giám sát và đánh giá hiệu suất bảo mật của CSP. 
  • Xác định quy trình chấm dứt dịch vụ đám mây và đảm bảo truyền dữ liệu an toàn. 

Tuân thủ và đánh giá

ISO 27017 nhấn mạnh nhu cầu các tổ chức phải chứng minh sự tuân thủ các luật, quy định và tiêu chuẩn ngành có liên quan. Tiêu chuẩn này bao gồm các cân nhắc về tuân thủ và đánh giá sau đây: 

  • Thực hiện kiểm tra và đánh giá thường xuyên các biện pháp kiểm soát bảo mật đám mây. 
  • Ghi chép và lưu giữ bằng chứng tuân thủ các yêu cầu của ISO 27017. 
  • Điều chỉnh các hoạt động bảo mật đám mây theo các khuôn khổ pháp lý hiện hành (ví dụ: GDPR, HIPAA). 
  • Thực hiện các quy trình theo dõi những thay đổi trong luật pháp và quy định có liên quan. 
  • Thuê các kiểm toán viên bên ngoài hoặc các tổ chức chứng nhận để xác nhận việc tuân thủ ISO 27017. 
  • Không ngừng cải thiện các nỗ lực tuân thủ thông qua việc giám sát và đánh giá liên tục. 

Triển khai ISO 27017 cho doanh nghiệp của bạn

Bằng cách thực hiện theo các bước này và triển khai ISO 27017 trong tổ chức của bạn, bạn có thể củng cố thế trận bảo mật đám mây, giảm thiểu rủi ro và đảm bảo tính bảo mật, toàn vẹn và khả dụng của dữ liệu và hệ thống của bạn trên đám mây.

Đánh giá rủi ro và yêu cầu bảo mật đám mây

Trước khi triển khai ISO 27017, điều cần thiết là phải tiến hành đánh giá kỹ lưỡng các rủi ro và yêu cầu bảo mật đám mây cụ thể cho tổ chức của bạn. Điều này bao gồm: 

  • Xác định loại dữ liệu và hệ thống sẽ được lưu trữ hoặc xử lý trên đám mây. 
  • Đánh giá các rủi ro và lỗ hổng tiềm ẩn liên quan đến việc áp dụng điện toán đám mây. 
  • Phân tích các yêu cầu pháp lý và quy định có liên quan đến ngành của bạn. 
  • Đánh giá tác động của sự cố bảo mật đối với tổ chức của bạn. 
  • Xác định mức độ kiểm soát an ninh cần thiết dựa trên đánh giá rủi ro. 

Thiết lập khuôn khổ quản lý bảo mật đám mây

Để triển khai hiệu quả ISO 27017, hãy thiết lập khuôn khổ quản lý bảo mật đám mây bao gồm những nội dung sau: 

  • Phân công trách nhiệm và vai trò để quản lý bảo mật đám mây. 
  • Xác định các chính sách, quy trình và hướng dẫn rõ ràng về bảo mật đám mây. 
  • Phát triển cấu trúc quản trị để giám sát các sáng kiến ​​bảo mật đám mây. 
  • Thiết lập cơ chế giao tiếp và phối hợp giữa các bên liên quan. 
  • Tích hợp bảo mật đám mây vào các khuôn khổ quản lý bảo mật thông tin hiện có, chẳng hạn như ISO 27001. 

Phát triển các chính sách và thủ tục cụ thể cho đám mây

Việc phát triển các chính sách và quy trình cụ thể cho đám mây để đảm bảo triển khai ISO 27017 một cách nhất quán và hiệu quả. Hãy cân nhắc những điều sau: 

  • Ban hành chính sách giải quyết vấn đề phân loại dữ liệu, mã hóa, kiểm soát truy cập, ứng phó sự cố và các lĩnh vực liên quan khác dành riêng cho bảo mật đám mây. 
  • Xác định các thủ tục cung cấp, quản lý và hủy cung cấp dịch vụ đám mây. 
  • Thiết lập quy trình ứng phó và phục hồi sự cố phù hợp với môi trường đám mây. 
  • Phác thảo các thủ tục kiểm tra, giám sát và xem xét các biện pháp kiểm soát bảo mật đám mây. 

Chương trình đào tạo và nâng cao nhận thức

Để đảm bảo triển khai thành công ISO 27017, hãy cung cấp các chương trình đào tạo và nâng cao nhận thức cho nhân viên. Hãy cân nhắc những điều sau: 

  • Tiến hành các buổi đào tạo để giáo dục nhân viên về các rủi ro, chính sách và quy trình bảo mật đám mây. 
  • Nâng cao nhận thức về trách nhiệm của họ và tác động của hành động của họ đối với bảo mật đám mây. 
  • Thường xuyên trao đổi thông tin cập nhật và các biện pháp thực hành tốt nhất liên quan đến bảo mật đám mây. 
  • Cung cấp đào tạo chuyên sâu cho nhân viên CNTT chịu trách nhiệm quản lý dịch vụ đám mây. 

Lựa chọn nhà cung cấp và thẩm định

Khi lựa chọn nhà cung cấp dịch vụ đám mây (CSP), hãy cân nhắc khả năng bảo mật của họ và đảm bảo họ tuân thủ các yêu cầu của ISO 27017. Điều này bao gồm: 

  • Đánh giá các biện pháp kiểm soát an ninh và chứng nhận của các CSP tiềm năng. 
  • Đánh giá năng lực ứng phó sự cố và thành tích của họ. 
  • Xem xét chính sách bảo vệ dữ liệu và quyền riêng tư của họ. 
  • Đảm bảo rằng CSP tuân thủ các yêu cầu quy định có liên quan. 
  • Bao gồm các yêu cầu bảo mật cụ thể trong hợp đồng hoặc thỏa thuận mức dịch vụ (SLA). 

Thực hiện các biện pháp kiểm soát kỹ thuật và tổ chức

Việc triển khai các biện pháp kiểm soát kỹ thuật và tổ chức là điều cần thiết để đáp ứng các yêu cầu của ISO 27017. Hãy xem xét những điều sau: 

  • Cấu hình và triển khai các biện pháp kiểm soát bảo mật do CSP cung cấp. 
  • Triển khai cơ chế mã hóa cho dữ liệu đang lưu trữ và đang truyền tải. 
  • Thiết lập các biện pháp kiểm soát quản lý danh tính và truy cập (IAM) mạnh mẽ. 
  • Thường xuyên vá lỗi và cập nhật cơ sở hạ tầng và ứng dụng đám mây. 
  • Triển khai các biện pháp kiểm soát an ninh mạng, phát hiện và ngăn chặn xâm nhập. 

Giám sát và cải tiến liên tục

Việc triển khai ISO 27017 phải bao gồm việc giám sát và cải tiến liên tục để thích ứng với các mối đe dọa đang phát triển và duy trì sự tuân thủ. Hãy xem xét những điều sau: 

  • Triển khai các công cụ và quy trình giám sát để phát hiện các sự cố và bất thường về bảo mật trên đám mây. 
  • Tiến hành kiểm tra và đánh giá định kỳ để đảm bảo tuân thủ ISO 27017. 
  • Xem xét và cập nhật các chính sách và quy trình bảo mật đám mây khi cần thiết. 
  • Rút kinh nghiệm từ các sự cố bảo mật và tiến hành phân tích nguyên nhân gốc rễ. 
  • Kết hợp phản hồi và bài học kinh nghiệm để nâng cao hoạt động bảo mật đám mây. 

Làm thế nào để đạt chứng nhận tiêu chuẩn ISO 27017

 Chứng nhận ISO 27017 không chỉ xác nhận sự nỗ lực cải thiện của doanh nghiệp mà còn tăng cường sự tin tưởng giữa các bên liên quan về khả năng bảo mật đám mây

Capture

Chuẩn bị cho chứng nhận ISO 27017

Chuẩn bị cho chứng nhận ISO 27017 bao gồm một số bước để đảm bảo sự sẵn sàng cho quá trình chứng nhận. Hãy xem xét những điều sau: 

  • Làm quen với các yêu cầu và biện pháp kiểm soát được nêu trong ISO 27017. 
  • Tiến hành đánh giá kỹ lưỡng các hoạt động bảo mật đám mây hiện tại của bạn và so sánh chúng với tiêu chuẩn. 
  • Xác định bất kỳ lỗ hổng hoặc lĩnh vực nào cần cải thiện trong các biện pháp kiểm soát bảo mật đám mây của bạn. 

2

Lựa chọn tổ chức chứng nhận uy tín

Để có được chứng nhận ISO 27017, bạn cần phải hợp tác với một tổ chức chứng nhận được công nhận để thực hiện đánh giá ISO 27017. Hãy cân nhắc những điều sau: 

  • Nghiên cứu và lựa chọn một tổ chức chứng nhận có chuyên môn về bảo mật đám mây và tiêu chuẩn ISO. 
  • Tham gia thảo luận với cơ quan chứng nhận để hiểu rõ quy trình và yêu cầu chứng nhận của họ. 
  • Cung cấp các tài liệu và bằng chứng cần thiết để hỗ trợ quá trình chứng nhận. 

3

Xử lý các hành động không phù hợp và khắc phục

  • Xây dựng kế hoạch hành động khắc phục để giải quyết từng điểm không phù hợp được xác định. 
  • Phân công trách nhiệm thực hiện các hành động khắc phục và thiết lập mốc thời gian. 
  • Theo dõi tiến độ thực hiện các hành động khắc phục và đảm bảo hoàn thành đúng thời hạn. 

4

Duy trì sự tuân thủ và cải tiến liên tục

Việc đạt được chứng nhận ISO 27017 không phải là nỗ lực một lần mà đòi hỏi sự tuân thủ liên tục và cải tiến liên tục. Hãy xem xét những điều sau: 

  • Thường xuyên theo dõi và đánh giá các biện pháp kiểm soát bảo mật đám mây để đảm bảo tính hiệu quả của chúng. 
  • Luôn cập nhật thông tin về những thay đổi trong bối cảnh bảo mật đám mây và các yêu cầu pháp lý có liên quan. 
  • Tiến hành kiểm toán nội bộ định kỳ để duy trì sự tuân thủ theo tiêu chuẩn ISO 2701

Doanh nghiệp đang quan tâm tới tiêu chuẩn ISO/IEC 27017 và bảo mật cho hệ thống  điện toán đám mây của mình vui lòng liên hệ trực tiếp với GOOD Việt Nam để được hỗ trợ giải đáp trong thời thời gian sớm nhất. 

VĂN PHÒNG CHỨNG NHẬN QUỐC GIA – GOOD VIỆT NAM

Trụ sở:       Số 50B Mai Hắc Đế, P. Nguyên Du, Q. Hai Bà Trưng, Hà Nội

Hotline:      0945.001.005 – 024.2231.5555

E-mail:         chungnhanquocgia.com@gmail.com – info@chungnhanquocgia.com

Website:       chungnhanquocgia.com

VĂN PHÒNG HÀ NỘI

VĂN PHÒNG ĐÀ NẴNG

VĂN PHÒNG HỒ CHÍ MINH

Tòa nhà HLT – Số 23 Ngõ 37/2 Dịch vọng, P. Dịch Vọng, Q. Cầu Giấy, Hà Nội

Số 73 Lý Thái Tông, P. Thanh Khê Tây, Q. Thanh Khê, Tp. Đà Nẵng

Tòa nhà PLS, 282 Chu Văn An, Phường 26, Bình Thạnh, TP.HCM
Good Việt Nam Auditor
Latest posts by Good Việt Nam Auditor (see all)
Good Việt Nam Auditor

Chuyên viên biên tập nội dung tại văn phòng chứng nhận quốc gia Good Việt nam

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

G

0945 001 005
chat zalo