Tiêu chuẩn ISO/IEC 27017: Kiểm soát bảo mật thông tin cho dịch vụ đám mây

Lưu trữ đám mây là mô hình điện toán cho phép người dùng lưu trữ dữ liệu và tệp trên internet thông qua nhà cung cấp dịch vụ điện toán đám mây. Khi các doanh nghiệp chuyển đổi sang điện toán đám mây, vấn đề an ninh sẽ là một hoạt động vô cùng quan trọng để bảo mật được thông tin lưu trữ. ISO/IEC 27017 là một tiêu chuẩn mới, nhằm bảo mật hoạt động điện toán đám mây giữa người dùng và nhà cung cấp dịch vụ để giảm thiểu rủi ro về các vấn đề bảo mật. Vậy nội dung tiêu chuẩn ISO/IEC 27017 là gì và có gì đặc biệt GOOD Việt Nam sẽ giải đáp tại nội dung dưới đây.

Định nghĩa về điện toán đám mây 

Điện toán đám mây liên quan đến việc truy cập các tài nguyên CNTT qua Internet theo mô hình thanh toán theo mức sử dụng (pay-as-you-go). Thay vì phải mua và quản lý các trung tâm dữ liệu và máy chủ vật lý, người dùng có thể sử dụng các dịch vụ công nghệ như năng lượng điện toán, lưu trữ và cơ sở dữ liệu khi cần từ nhà cung cấp dịch vụ đám mây như VNG Cloud. 

Điện toán đám mây hoạt động như thế nào? 

Các mô hình dịch vụ của điện toán đám mây hoạt động dựa trên nguyên tắc chia sẻ tài nguyên điện toán, phần mềm và thông tin theo yêu cầu thông qua Internet. Các công ty hoặc cá nhân trả tiền để truy cập vào kho tài nguyên ảo, bao gồm các dịch vụ điện toán, lưu trữ và mạng, được đặt trên các máy chủ từ xa do nhà cung cấp dịch vụ đám mây sở hữu và quản lý.

Một lợi ích nổi bật của điện toán đám mây là mô hình thanh toán theo mức sử dụng, cho phép doanh nghiệp mở rộng quy mô nhanh chóng và hiệu quả mà không cần mua cũng như duy trì các trung tâm dữ liệu và máy chủ vật lý.

Nói một cách đơn giản, điện toán đám mây sử dụng mạng, thường là Internet, để kết nối người dùng với một nền tảng đám mây, nơi họ yêu cầu và truy cập các dịch vụ điện toán được thuê. Máy chủ trung tâm hỗ trợ giao tiếp giữa các thiết bị của người dùng và máy chủ để thuận tiện trao đổi dữ liệu, với các tính năng bảo mật và quyền riêng tư đảm bảo an toàn thông tin.

Tại sao ISO 27017 lại quan trọng đối với bảo mật đám mây?

Điện toán đám mây đưa ra những rủi ro và thách thức mới về mặt bảo mật dữ liệu, quyền riêng tư và tuân thủ. ISO 27017 cung cấp một khuôn khổ chuyên biệt để giải quyết những mối quan tâm này bằng cách cung cấp các biện pháp kiểm soát bảo mật dành riêng cho đám mây.

Nó giúp các tổ chức xác định và triển khai các biện pháp thích hợp để bảo vệ dữ liệu và tài sản của họ khi sử dụng các dịch vụ đám mây. ISO 27017 cũng hỗ trợ thiết lập lòng tin và tính minh bạch giữa các nhà cung cấp dịch vụ đám mây (CSP) và khách hàng của họ. 

Định nghĩa tiêu chuẩn ISO/IEC 27017 là gì?

ISO/IEC 27017 là tiêu chuẩn bảo mật được phát triển cho các nhà cung cấp dịch vụ đám mây và người dùng để tạo ra môi trường đám mây an toàn và giảm thiểu rủi ro về các vấn đề bảo mật. Tiêu chuẩn này do ISO ( Tổ chức tiêu chuẩn hóa Quốc tế) và IEC (Ủy ban Kỹ thuật điện quốc tế) công bố. T

iêu chuẩn này cũng là một phần của tiêu chuẩn ISO/IEC 27000 (tiêu chuẩn về bảo mật thông tin). Ngoài ra nội dung tiêu chuẩn ISO 27017 được xây dựng từ ISO/IEC 27002 bao gồm các biện pháp kiểm soát bảo mật cho đám mây mà không được nhắc tới đầy đủ trong ISO 27002.

Phạm vi chính của tiêu chuẩn ISO 27017 

ISO/IEC 27017 cung cấp hướng dẫn về các biện pháp kiểm soát bảo mật thông tin áp dụng cho việc sử dụng dịch vụ đám mây bằng cách cung cấp hướng dẫn triển khai bổ sung cho 37 biện pháp kiểm soát được chỉ định trong ISO/IEC 27002 và 7 biện pháp kiểm soát bổ sung liên quan đến dịch vụ đám mây nhằm giải quyết các vấn đề sau:

• Ai chịu trách nhiệm về việc gì giữa nhà cung cấp dịch vụ đám mây và khách hàng sử dụng dịch vụ đám mây?
• Quản lý danh tính và truy cập (IAM) cho các dịch vụ đám mây
• Việc loại bỏ hoặc trả lại tài sản khi kết thúc hợp đồng.
• Bảo vệ và tách biệt môi trường ảo của khách hàng.
• Cấu hình máy ảo.
• Các hoạt động và thủ tục hành chính liên quan đến môi trường đám mây.
• Giám sát hoạt động của khách hàng trên nền tảng đám mây.
• Căn chỉnh môi trường mạng ảo và đám mây.

Nội dung của tiêu chuẩn ISO 27017 là gì?

Tên chính thức của tiêu chuẩn là “Công nghệ thông tin — Kỹ thuật bảo mật — Bộ quy tắc thực hành cho các biện pháp kiểm soát bảo mật thông tin dựa trên ISO/IEC 27002 dành cho dịch vụ đám mây”. ISO/IEC 27017:2015 có mười tám phần, cùng với một phụ lục dài, bao gồm:

1. Phạm vi
2. Tài liệu tham khảo chuẩn mực
3. Định nghĩa và từ viết tắt
4. Các khái niệm cụ thể về ngành điện toán đám mây
5. Chính sách bảo mật thông tin
6. Tổ chức an ninh thông tin
7. An ninh nguồn nhân lực
8. Quản lý tài sản
9. Kiểm soát truy cập
10. Mật mã học
11. An ninh vật lý và môi trường
12. Bảo mật hoạt động

Các yêu cầu chính của tiêu chuẩn ISO 27017

Bằng cách giải quyết các yêu cầu và biện pháp kiểm soát quan trọng được nêu trong ISO 27017, các tổ chức có thể thiết lập nền tảng vững chắc cho hoạt động đám mây an toàn, bảo vệ dữ liệu và tài sản của mình, đồng thời đảm bảo tuân thủ các quy định và tiêu chuẩn hiện hành. 

• Kiểm soát bảo mật dành riêng cho đám mây: ISO 27017 cung cấp một bộ các biện pháp kiểm soát bảo mật dành riêng cho đám mây mà các tổ chức nên cân nhắc triển khai. Các biện pháp kiểm soát này giải quyết nhiều khía cạnh khác nhau của bảo mật đám mây, bao gồm:
• Trách nhiệm của nhà cung cấp dịch vụ đám mây (CSP) ISO 27017 nhấn mạnh tầm quan trọng của việc làm rõ vai trò trách nhiệm giữa CSP và khách hàng đám mây. Tiêu chuẩn này nhấn mạnh rằng CSP nên thực hiện các biện pháp thích hợp để đảm bảo an ninh cho các dịch vụ đám mây của họ.
• Phân loại và bảo vệ dữ liệu ISO 27017 nhấn mạnh nhu cầu các tổ chức phân loại dữ liệu của mình dựa trên mức độ nhạy cảm và áp dụng các biện pháp bảo vệ phù hợp
• Mã hóa và quản lý khóa ISO 27017 công nhận mã hóa là một biện pháp kiểm soát quan trọng để bảo vệ dữ liệu trên đám mây. ISO 27017 khuyến nghị các biện pháp quản lý khóa mã hóa sau:
• Quản lý danh tính và truy cập (IAM) IAM rất quan trọng trong môi trường đám mây để đảm bảo rằng chỉ những cá nhân được ủy quyền mới có quyền truy cập vào tài nguyên.
• Mối quan hệ với nhà cung cấp và hợp đồng đám mây: ISO 27017 nhấn mạnh tầm quan trọng của các mối quan hệ nhà cung cấp được xác định rõ ràng các hợp đồng đám mây

=> Xem thêm bài viết: Nội dung các yêu cầu của tiêu chuẩn ISO 27017

Lợi ích chính của việc áp dụng ISO 27017

Doanh nghiệp đang thực hiện hoạt động chuyển đổi sang lưu trữ đám mây lựa chọn áp dụng tiêu chuẩn ISO 27017 sẽ có rất nhiều lợi ích:

Bảo mật đám mây nâng cao

ISO 27017 cung cấp một bộ kiểm soát bảo mật toàn diện được thiết kế riêng cho môi trường đám mây, giúp các tổ chức giảm thiểu rủi ro liên quan đến điện toán đám mây. Nó đảm bảo rằng các biện pháp bảo vệ đầy đủ được áp dụng để bảo vệ dữ liệu và hệ thống khỏi truy cập trái phép, vi phạm và các sự cố bảo mật khác.

Vai trò và trách nhiệm rõ ràng

ISO 27017 xác định vai trò và trách nhiệm của cả nhà cung cấp dịch vụ đám mây (CSP) và khách hàng đám mây. Sự rõ ràng này giúp thiết lập trách nhiệm giải trình và đảm bảo rằng cả hai bên đều hiểu nghĩa vụ tương ứng của mình trong việc duy trì môi trường đám mây an toàn.

Tuân thủ các yêu cầu theo quy định

Bằng cách áp dụng ISO 27017, các tổ chức có thể điều chỉnh các hoạt động bảo mật đám mây của mình theo các thông lệ tốt nhất quốc tế và các yêu cầu theo quy định. Nó giúp chứng minh sự thẩm định và có thể hỗ trợ các nỗ lực tuân thủ với các khuôn khổ như Quy định bảo vệ dữ liệu chung (GDPR), HIPAA hoặc các tiêu chuẩn cụ thể của ngành.

Tăng cường lòng tin và sự tự tin của khách hàng 

ISO 27017 cung cấp ngôn ngữ và khuôn khổ chung cho các tổ chức để truyền đạt các hoạt động bảo mật đám mây của họ tới khách hàng. Việc chứng minh sự tuân thủ ISO 27017 có thể tăng cường lòng tin và sự tự tin của khách hàng vào tính bảo mật của các dịch vụ đám mây được cung cấp.

Hiệu quả về chi phí và tài nguyên

ISO 27017 cung cấp cho các tổ chức một phương pháp tiếp cận có cấu trúc đối với bảo mật đám mây, cho phép họ phân bổ tài nguyên của mình một cách hiệu quả. Bằng cách xác định và triển khai các biện pháp kiểm soát phù hợp, các tổ chức có thể tránh được các sự cố bảo mật tiềm ẩn, vi phạm dữ liệu và tổn thất tài chính liên quan.

Cải tiến liên tục

ISO 27017 thúc đẩy văn hóa cải tiến liên tục bằng cách nhấn mạnh việc giám sát, đánh giá và tăng cường kiểm soát bảo mật đám mây thường xuyên. Nó giúp các tổ chức duy trì tính chủ động và thích ứng với các mối đe dọa đang phát triển và những tiến bộ công nghệ trong bối cảnh đám mây.

Bằng cách hiểu được những nguyên tắc cơ bản của ISO 27017, nhận ra tầm quan trọng của tiêu chuẩn này trong bảo mật đám mây và nắm bắt những lợi ích của nó, các tổ chức có thể củng cố thế trận bảo mật đám mây và thiết lập nền tảng vững chắc cho các hoạt động đám mây an toàn. 

Doanh nghiệp triển khai tiêu chuẩn ISO 27017 như thế nào?

Bằng cách thực hiện theo các bước này và triển khai ISO 27017 trong tổ chức của bạn, bạn có thể củng cố thế trận bảo mật đám mây, giảm thiểu rủi ro và đảm bảo tính bảo mật, toàn vẹn và khả dụng của dữ liệu và hệ thống của bạn trên đám mây.