Các hãng của Anh ôm lấy chuẩn an ninh ISO 27001

UKfirms embrace ISO 27001 security standard

Despite vendorscaremongering, UK firms are doing better than most when it comes toachieving security compliance

Written by MartinCourtney

Computing,27 May 2010

Theo:http://www.computing.co.uk/computing/analysis/2263834/uk-firms-lead-iso27001-security

Bài được đưa lênInternet ngày: 27/05/2010

Lờingười dịch: Ngày nay, nhiều công ty, tổ chức cần đảmbảo an ninh cho thông tin dữ liệu của mình và khách hàng.Có nhiều phương pháp để kiểm tra sự đảm bảo đó,trong đó có việc lấy chứng chỉ ISO 27001 về an ninh. Tuynhiên, không có nghĩa là nếu bạn có được chứng chỉđó rồi, thì mọi lỗ hổng an ninh trong hệ thống và dữliệu của bạn được đảm bảo hoàn toàn. Hơn nữa,nhiều người cho rằng để có được chứng chỉ ISO27001 cần mất khá nhiều tiền, từ hàng chục ngàn tớihàng trăm ngàn bảng Anh.

Các nhà cung cấp vềan ninh đã nhanh chóng cho rằng các tổ chức của Anh đanggây nguy hiểm cho an ninh và tính tuân thủ về công nghệthông tin bằng việc không triển khai các chính sách ngănngừa mất dữ liệu một cách có hiệu quả.

Nhưng các con sốthống kê chỉ ra rằng Anh thực sự đứng trước cả Mỹvà châu Âu trong việc đạt được chứng chỉ ISO 27001.

Họ các chuẩn ISO27001 cung cấp một mô hình được quốc tế thừa nhậnvề triển khai hệ thống quản lý an ninh thông tin có hiệuquả (ISMS) bên trong một tổ chức.

Nó được đề cậptới một cách rộng rãi như là một khung công việc vềan ninh dữ liệu mà các công ty có thể kiểm tra độ tincậy của các nhà cung cấp, các đối tác doanh nghiệp,các khách hàng và các nhà cung cấp khi trao đổi các thôngtin nhạy cảm.

Theo nhà đăng ký quốctế các chứng chỉ ISMS, 444 công ty của Anh đã đạt đượcchứng chỉ ISO 27001 cho tới nay, chỉ đứng sau có NhậtBản và Ấn Độ, và đứng trên Đức (137) và Mỹ (96).

Số lượng các côngty đã đạt được chứng chỉ trên toàn cầu là 6.443,trong đó Nhật Bản chiếm 3.499 trong tổng số.

Vâng mặc dù chỉ sốmạnh mà các tổ chức của Anh có cho tới nay thì nhữngngười tích cực ủng hộ chứng chỉ ISO 27001 vẫn là ởbán cầu Tây, một loạt các khảo sát khẳng định rằngcác công ty của Anh đang đấu tranh để triển khai cácchính sách tuân thủ hỗ trợ chuẩn này.

Nghiên cứu dựa trên270 cuộc phỏng vấn với các nhân viên IT cao cấp đượcxuất ản vào tháng 04 năm nay, được tiến hành bởiQuocirca và được ủy quyền bởi CA, đã kết luận rằngcác phòng IT của Anh đã đang chiến đấu để làm việcvới các vấn đề tuân thủ ISO 27001, ví dụ thế.

Securityvendors have been quick to suggest that UK organisations arejeopardising IT security and compliance by not implementing effectivedata loss prevention policies.

Butstatistics show that the UK is actually way ahead of its US andEuropean rivals in achieving ISO 27001 certification.

TheISO 27001 family of standards provides an internationally recognisedmodel for the implementation of effective information securitymanagement system (ISMS) within an organisation.

Itis widely touted as a data security framework against which companiescan check the trustworthiness of suppliers, business partners,customers and vendors when exchanging sensitive information.

Accordingto the international register of ISMS certificates, 444 UK companieshave achieved ISO 27001 certification so far, lagging only behindJapan and India, and way ahead of Germany (137) and the US (96).

Thenumber of companies to have achieved certification globally is 6,443,though Japan has a staggering 3,499 of that total.

Yetdespite the strong indication that UK organisations are by far themost proactive supporters of ISO 27001 certification in the westernhemisphere, various surveys insist that UK companies are strugglingto implement compliance policies in support of the standard.

Researchbased on 270 interviews with senior IT staff published in April thisyear, conducted by Quocirca and commissioned by CA, concluded that UKIT departments were struggling to deal with ISO 27001 complianceissues, for example.

Vì sao lại không cósự nhất quán này, nếu có, xuất hiện làm cho các côngty nhận được thức được giá trị của chứng chỉ ISO27001 nhiều hơn so với những cơ quan khác tại các quốcgia khác? Liệu các phần mềm an ninh và các nhà cung cấpdịch vụ có nói quá trường hợp trong một vụ thầu đểgiữ cho việc bán hàng của họ cho những người bận rộnvà để cho dòng doanh số của họ được lành mạnh haykhông?

Stuart Bonell là nhà tưvấn tại hãng tư vấn BroadGroup, mà gần đây đã xuấtbản một báo cáo về các vấn đề an ninh dữ liệu cóảnh hưởng tới các nhà cung cấp các trung tâm dữ liệu,mà đã thấy rằng các chứng chỉ ISO 27001 đã thể hiệntiếp cận phổ biến nhất đối với sự quản lý an ninhtrong khu vực này. Ông nghĩ rằng số lượng đăng ký ISMSlà thấp, và nghi ngờ có nhiều công ty hơn với chứngchỉ ISO 27001 so với việc đăng ký.

“Nó đã bắt đầunhư một chuẩn của Anh, mà có thể là môt lý do vì saonó phổ biến hơn ở đây, trong khi thứ tương tự củaMỹ là tuyên bố về các chuẩn kiểm toán (SÁ) 70 dạngchuẩn II - nhiều công ty có trung tâm dữ liệu có cả 2bây giờ”, Bonell nói.

Và nhà phân tích BobTarzey của Quocirca nói rằng có sự khác biệt lớn giữaviệc cam kết với chứng chỉ của ISO và việc đạt đượcthực sự những kiểm tra cần thiết.

“ISO 27001 là mộtthứ dễ dàng để cam kết, nhưng là thứ khó để hoàntất. Nhiều kiểm tra là tùy ý, và thật không đủ đểđảm bảo cho quản lý an ninh thông tin chỉ bằng việcnói bạn đã áp dụng nó”, ông nói.

“Bạn phải nhìn vàochính xác những gì mà tổ chức đã đạt được trongviệc đạt được chứng chỉ này - nó có thể là 2 hãngmà đã cam kết với nó, những một hãng có thể cách xaso với hãng kia”.

ISO này tự nó khôngtriển khai những kiểm tra chứng chỉ, mà chấp nhận cáchãng tư vấn bên thứ 3 triển khai các kiểm tra phù hợptrước khi chứng chỉ được trao.

Sowhy the discrepancy and what, if anything, appears to make UKcompanies recognise the value of ISO 27001 certification more than somany organisations in other countries? Are security software andservice vendors erstating the case in a bid to keep their own salespeople busy and their revenue stream healthy?

StuartBonell is associate consultant at consultancy BroadGroup, whichrecently published a report into the data security issues affectingdatacentre providers, which found that ISO 27001 certificationsrepresented the most popular approach to security management in thissector. He thinks that ISMS register numbers sound low, and suspectsthere are more companies with ISO 27001 certification than are on theregister.

“Itdid start out as a British standard, which could be one reason why itis more popular here, while the US equivalent is the statement onauditing standards (SAS) 70 type II standard – lots of datacentrecompanies have them both now,” Bonell says.

AndQuocirca analyst Bob Tarzey says that there is big difference betweencommitting to ISO certification and actually achieving the necessarycontrols.

“ISO27001 is an easy thing to commit to, but a hard thing to complete.Lots of the controls are optional, and it is just not enough toguarantee information security management just by saying you haveadopted it,” he says.

“Youhave to look at exactly what the organisation has achieved inattaining that certification – it could be two firms who havecommitted to it, but one is much further down the road than theother.”

TheISO does not carry out certification checks itself, but approvesthird party consultancy firms to carry out appropriate checks beforecertification is awarded.

Andrew Kellet, nhà phântích cao cấp tại công ty nghiên cứu Ovum, nói các nhàcung cấp phần mềm sẽ luôn tranh luận rằng sự tuân thủcác chuẩn như ISO 27001 hoặc PCI-DSS cần phải là cao hơn.

“Luôn có một trườnghợp các nhà cung cấp thúc đẩy giới hạn này và nói'Đây là một yêu cầu, đây là nhưng gì bạn phải làm,bạn cần điều này', và sự đòi hỏi không bao giờ làđủ từ viễn cảnh của họ. Cuối ngày, đấy chỉ làcông cụ bán hàng”, ông nói.

Điều đó không nóilên là không có sự tranh luận mạnh mẽ đối với sựtin cậy của ISO 27002 trong những thứ khác, nhưng khôngphải tất cả, các tổ chức của Anh.

Hãng kiểm toán và kếtoán PricewaterhouseCoopers gần đây đã ước định rằng40% các tổ chức lớn đang được yêu cầu thể hiện sựtuân thủ đối với chuẩn này.

“ISO 27001 đượcchấp nhận khá nhiều hiện nay như một chuẩn mức toàncầu cho an ninh bên ngoài chính phủ”, Bonell nói.

“Cơ quan Dịch vụTài chính FSA tham chiếu nó như là thứ phải làm đốivới các cơ quan pháp luật khác, và nếu bạn đã thựchiện xong ISO 27001 thì bạn là tốt trên con đường đạtđược những chuẩn khác cho những điều chỉnh pháp luậtđặc thù”.

Nathan Jamieson là nhânviên an ninh thông tin tại GB Group, một công ty Anh chuyênvề quản lý xác minh, không chỉ đấu tranh với sự giảmạo ID, rửa tiền và đánh bạc dưới tuổi, mà còn trợgiúp xác minh dựa trên việc marketingt và các chiến lượcquản lý quan hệ khách hàng CRM. Các khách hàng của nóbao gồm Ngân hàng Co-operative, nhà vận hành di động O2,nhà bán lẻ về mode Laura Ashley và công ty tiện ích vềnướcSevern Trent.

“ISO 27001 cung cấpmột sự phổ biến chung về ngôn ngữ mà nó có lợi chochúng ta, và khung công việc này là sẵn sàng một cáchcông khai. Chúng ta cần cung cấp một yếu tố tin cậy chocác khách hàng của chúng ta, và ISO 27001 được coi là nhưmột chuẩn de facto”, ông nói.

“Đây là một hànthử biểu có hiệu quả về việc bạn ở đâu, và đãmở ra chắc chắn những cánh cửa trong các phòng củachính phủ và các tổ chức tài chính mà có thể nếukhông đã bị đóng lại đối với chúng ta”.

AndrewKellet, senior analyst at research company Ovum, says softwarevendors will always argue that compliance for standards like ISO27001 or PCI-DSS needs to be higher.

“Thereis always a case of vendors pushing the limit saying ‘This is arequirement, this is what you should be doing, you need this’, andtakeup is never going to be enough f-rom their perspective. At the endof the day, it is a selling tool,” he says.

That’snot to say there isn’t a strong argument for ISO 27001accreditation among some, but not all, UK organisations.

Accountancyand audit company PricewaterhouseCoopers recently estimated that 40per cent of large organisations are being asked to demonstratecompliance with the standard.

“ISO27001 is pretty much now accepted as a worldwide base level standardfor security outside of government,” says Bonell.

“TheFinancial Services Authority (FSA) references it as do otherregulatory bodies, and if you have done ISO 27001 you are well on theway to achieving other standards for specific regulations.”

NathanJamieson is information security officer at the GB Group, a UKcompany that specialises in identity management, not just to combatID fraud, money laundering and under-age gambling, but also to aididentity based marketing and CRM strategies. Its customers includethe Co-operative Bank, mobile operator O2, fashion retailer LauraAshley and utility company Severn Trent water.

“ISO27001 provides a commonality of language that is beneficial to us,and the framework is publicly available. We need to provide anelement of trust for our clients, and considered ISO 27001 as the defacto standard,” he says.

“Itis an effective barometer of whe-re you are, and has certainly openeddoors in government departments and financial organisations thatwould otherwise have been closed to us.”

Trước khi đạt đượcchứng chỉ ISO 27001 đầu tháng này, GB Group đã từng trảiqua 50-70 kiểm toán an ninh thông tin mỗi năm, bao gồm nhữngvụ từ các nhà cung cấp dữ liệu và các khách hàng tiềmnăng và đang tồn tại.

“Bước tự nhiên làvì chúng tôi để cung cấp sự đảm bảo độc lập màluôn chỉ trong 6 tháng [chứng chỉ ISO 27001 có thể truycập được một lần hoặc 2 lần trong năm, tiếp sau bởimột sự kiểm toán toàn thể mỗi 3 tháng một lần]”,Jamieson nói.

Một yếu tố đượcchấp nhận rộng rãi làm cho các tổ chức quay lưng lạivới việc áp dụng khung công việc ISO 27001 là giá thànhvà sự phức tạp của việc triển khai nó.

Những khác biệt nàyphụ thuộc chủ yếu vào việc công ty bắt đầu từ đâu,và phạm vi và độ lớn của các qui trình quản lý anninh độc lập mà chúng cần phải được chứng thực -mọi thứ từ một vài ngàn cho tới vài trăm ngàn bảng.

Bản thân tiêu chuẩnnày có thể được mua với giá 78 bảng tại website củaISO, trong khi chứng chỉ cuối cùng thường có giá nhiềuhơn số giờ mà một nhà tư vấn bên ngoài cần để kiểmtra những thủ tục quản lý an ninh phù hợp ngay tại chỗ,cộng với một chi phí đăng ký nhỏ.

“Có 2 khía cạnh vớinó: làm cho bản thân bạn sẵn sàng, rồi bản thân chứngchỉ. Nếu một tổ chức bắt đầu từ đầu à cầntriển khai tất cả các thủ tục an ninh và những thứliên quan, thì tôi có thể dễ dàng thấy con số hơn 100ngàn bảng”, Bonell nói.

“Nhung điều đókhông có nghĩa là họ không thể tự làm một số việc -có nhiều tư liệu để tự giúp mình, và tự làm mìnhtin tưởng chỉ mất vài ngày về chi phí tư vấn”.

“Sẽ có một sốgiá thành xung quanhy các hệ thống quản lý và điền đầynhững khoảng trống về hạ tầng an ninh của họ bằngnhững công cụ phần mềm theo yêu cầu”, Tarzey nói.

Priorto achieving ISO 27001 certification earlier this month, GB Group hadbeen undergoing 50-70 information security audits a year, includingthose f-rom data suppliers and prospective and existing customers.

“Thenatural step was for us to provide independent assurance that isalways only six months old [ISO 27001 certification can be assessedonce or twice a year, followed by a full audit every three years],”says Jamieson.

Onefactor widely accepted to be holding organisations back f-rom adoptingthe ISO 27001 framework is the cost and complexity of implementingit.

Thisvaries hugely depending on whe-re the company starts f-rom, and thevolume and range of individual security management processes thatneed to be certified – anything f-rom a few thousand to hundreds ofthousands of pounds.

Thestandard itself can be purchased for 130 Swiss francs (£78) at theISO web site, whilethe final certification usually costs as much as the externalconsultancy man hours needed to check appropriate security managementprocedures are in place, plus a small registration fee.

“Thereare two aspects to it: getting yourself ready, then the certificationitself. If an organisation is starting f-rom scratch and needs toimplement all the security procedures and the stuff around it, I caneasily see a figure of £100,000 plus,” says Bonell.

“Butthat does not mean they cannot do some of that themselves – thereis a lot of self-help material out there, and the accreditationitself might only take a few days of consultant fees.”

“Therewill be some costs around management systems and filling in any gapsin their security infrastructure with required software tools,”says Tarzey.

Nhiều công ty là bênthứ 3 bán các dịch vụ chứng chỉ ISO trong khi họ gửiai đó đi theo để triển khai những kiểm tra phù hợp rồiđưa ra chứng chỉ. GB Group chọn Viện Tiêu chuẩn Anh(BSI) như là người kiểm tra của nó, ví dụ thế, nhữngchọn tự mình triển khai tất cả sự chuẩn bị.

“BSI cung cấp chochúng tôi sự tư vấn và ý kiến phản hồi, và kiểm trabản thân hệ thống quản lý, đi theo bởi 12 tuần kiểmtra, rồi 4 ngày tư vấn kiểm toán theo chứng chỉ”,Jamieson nói. “Như một chuyên gia an ninh thông tin, tôithực sự quen với chuẩn này và có một nền tảng kỹthuật tốt, nghĩa là GB Group có một tài nguyên nội bộchuyên dụng để cam kết về thời gian đối với nó”.

Một cơ quan chứngthực ISO khác của Anh, UKICM, ước 6tinhs nó có thể đưara chứng chỉ ít nhất là 1.495 bảng + thuế VAT, bao gồmcả đăng ký và kiểm toán, ví dụ thế.

Con số này không baogồm giá của bất kỳ phần cứng hay phần mềm nào bổsung theo yêu cầu để đạt được chứng chỉ, với giáthành kiểm toán ISO hàng năm từ 485 bảng trở lên.

Trong khi nhiều tổchức có thể vẫn còn thấy đâu là nơi cam kết về thờigian, tiền bạc và tài nguyên cho chứng chỉ ISO 27001 đưara đủ giá trị, thì Kellegt cảnh báo họ rằng họ cóthể sẽ làm chắc chắn mà không cần nó, khi sự khôngtuân thủ có thể làm hỏng uy tín và mất khá nhiều tiềnphạt.

“Tôi có thể khuyếncáo mỗi tổ chức có một chiến lược an ninh phù hợp,với những kiểm tra và sự hiểu biết phù hợp về rủiro có liên quan cho việc không có những kiểm tra này tạichỗ”, ông nói.

Manythird-party companies sell ISO certification services whe-reby theysend somebody along to carry out appropriate checks then issue thecertificate. The GB Group chose the British Standards Institute (BSI)as its auditor, for example, but chose to carry out all thepreparation itself.

“It[the BSI] provided us with advice and feedback, and road-tested themanagement system itself, followed by a 12-week period of bedding in,then a four-day audit resulting in the certification,” saysJamieson. “As an information security professional, I am reallyfamiliar with the standard and have a good technical background,meaning GB Group has a dedicated internal resource to commit time toit.”

AnotherUK ISO certification body, UKICM, estimates it can delivercertification for as little as £1,495 + VAT, including the audit andregistration, for example.

Thatfigure does not include the price of any additional hardware orsoftware required to achieve certification, with annual ISO auditingcosting f-rom £485 upwards.

Whilemany organisations may still not see whe-re committing time, money andresources to ISO 27001 certification delivers sufficient value,Kellet warns them to be certain they can do without it, as failure tocomply could cost them dearly in fines and reputation.

“Iwould advise every organisation to have a properly thought throughsecurity strategy at least, with appropriate controls andunderstanding of the risk involved for not having those controls inplace,” he says.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com