Bảo mật đám mây với ISO 27001:2022

Tại sao Bảo mật đám mây lại quan trọng?

Từ đám mây riêng tư đến đám mây công cộng, cho dù là IaaS, PaaS hay SaaS: cấu trúc đám mây và dịch vụ đám mây quyết định phần lớn bối cảnh CNTT-TT ngày nay của các công ty, tổ chức hoặc chính quyền. Điện toán đám mây từ lâu đã trở thành hiện thực và đang thay đổi căn bản cách thức cung cấp và sử dụng các dịch vụ CNTT.

Tuy nhiên, những rủi ro an ninh liên quan đến việc sử dụng ngày càng nhiều nó rất phức tạp và không chỉ giới hạn ở tội phạm có tổ chức. Quản lý quyền truy cập và nhận dạng không đầy đủ, cấu hình sai và việc nhân viên vô tình tiết lộ dữ liệu đám mây cũng là một trong những mối đe dọa lớn nhất.

Điều này được khẳng định trong báo cáo thường niên năm 2022 của Liên minh Bảo mật đám mây (Cloud Security Alliance - CSA ). Ngoài ra, việc thiếu bảo mật có thể ảnh hưởng đến tính sẵn có của dịch vụ và gây nguy hiểm cho việc tuân thủ các quy định và tiêu chuẩn khác nhau yêu cầu bảo vệ dữ liệu cá nhân và khách hàng.

Tất cả những mối đe dọa này đã thúc đẩy Tổ chức Tiêu chuẩn hóa Quốc tế (ISO - International Organization for Standardization)  và Ủy ban kỹ thuật điện quốc tế IEC (International Electrotechnical Commission) liệt kê bảo mật thông tin cho việc sử dụng dịch vụ đám mây như một nội dung riêng biệt trong tiêu chuẩn mới ISO/IEC 27001:2022.

Cải thiện tính bảo mật và tuân thủ thông tin

Biện pháp phòng ngừa mới này nhằm đảm bảo tính bảo mật thông tin khi sử dụng dịch vụ đám mây. Theo yêu cầu bảo mật riêng của từng tổ chức, nó hỗ trợ việc xác định quy trình một cách hệ thống cho việc thu nhận, sử dụng và quản lý và thoát khỏi dịch vụ đám mây. 

Với sự đa dạng của các dịch vụ được cung cấp, Biện pháp kiểm soát 5.23 mới trong Phụ lục A yêu cầu tuân thủ "cách tiếp cận theo từng chủ đề cụ thể".

Điều này nhằm khuyến khích các công ty xây dựng các chính sách dịch vụ đám mây phù hợp với từng chức năng kinh doanh riêng lẻ. So với chính sách chung áp dụng toàn diện cho việc sử dụng an toàn các dịch vụ đám mây, các yêu cầu tuân thủ có thể được đáp ứng theo cách chi tiết hơn nhiều.

Bảo mật đám mây thông qua Biện pháp kiểm soát 5.23 mới.

Bảo mật thông tin cho việc sử dụng các dịch vụ đám mây theo dạng riêng việt là một biện pháp mới được đưa ra trong Phụ lục A của ISO 27001:2022 mới. Ở phiên bản trước, dịch vụ đám mây thường được đề cập trong lĩnh vực quan hệ nhà cung cấp.

Do việc sử dụng ngày càng tăng và sự phát triển vượt bậc trong lĩnh vực đám mây, việc bảo mật các dịch vụ đám mấy một cách có hệ thống bằng biện pháp bảo mật thông tin độc lập là điều hợp lý. Tuy nhiên, biện pháp kiểm soát A.5.23 cần được phối hợp chặt chẽ với các biện pháp A.5.21 và A.5.22, liên quan đến an ninh thông tin trong chuỗi cung ứng CNTT-TT và quản lý dịch vụ của nhà cung cấp.

Thực hiện Biện pháp kiểm soát 5.23

Liên quan đến bảo mật thông tin, các công ty phải xác định một số khía cạnh để thực hiện Biện pháp kiểm soát 5.23 . Những biện pháp này bao gồm tất cả các yêu cầu liên quan, tiêu chí lựa chọn và lĩnh vực ứng dụng liên quan đến việc sử dụng dịch vụ đám mây. Mô tả chi tiết về vai trò và trách nhiệm liên quan xác định cách sử dụng và quản lý các dịch vụ này trong tổ chức.

Về mặt bên ngoài, điều này phải được thỏa thuận với nhà cung cấp dịch vụ:

• Những biện pháp bảo mật thông tin nào mà nhà cung cấp dịch vụ quản lý?
• Những biện pháp nào là trách nhiệm của chính công ty?

Việc làm rõ cách thức các biện pháp bảo mật do nhà cung cấp cung cấp có thể được cung cấp, tối ưu hóa việc sử dụng và kiểm tra độ bảo mật cũng rất quan trọng. Đặc biệt khi sử dụng nhiều dịch vụ đám mây từ các nhà cung cấp khác nhau, các quy trình được xác định rõ ràng sẽ hỗ trợ việc xử lý các biện pháp kiểm soát, giao diện và thay đổi đối với các dịch vụ.

Tuy nhiên, do ngày nay các công ty phải đối mặt với nhiều rủi ro bảo mật nên không bao giờ có thể loại trừ hoàn toàn các sự cố bảo mật. Trong những trường hợp như vậy, quy trình quản lý sự cố dành riêng cho dịch vụ sẽ giúp giải quyết các thách thức theo cách tốt nhất có thể.

Để quản lý những rủi ro như vậy, các dịch vụ đám mây phải được giám sát, xem xét và đánh giá bằng cách sử dụng phương pháp tiếp cận được xác định một cách có hệ thống theo tiêu chuẩn ISO 27001 sửa đổi. Ngoài ra, tiêu chuẩn này yêu cầu xác định các quy trình để thay đổi hoặc ngừng sử dụng dịch vụ. Các chiến lược này cũng cần bao gồm các phương án thoát rõ ràng cho các dịch vụ đám mây.

Tầm quan trọng của các khía cạnh bảo mật hợp đồng

Việc thiết kế theo hợp đồng các dịch vụ đám mây là điều thiết yếu đối với các công ty khách hàng nhằm thiết lập các thông số khung quan trọng và cung cấp sự bảo vệ về mặt pháp lý. Tuy nhiên, các thỏa thuận dịch vụ đám mây thường được xác định trước và không thể thương lượng. Với suy nghĩ này, các công ty nên đặc biệt chú ý đến các thỏa thuận này và xem xét kỹ lưỡng chúng. Bằng cách này, họ đảm bảo rằng các yêu cầu hoạt động thiết yếu cho  mục tiêu bảo vệ an ninh thông tin "bảo mật, toàn vẹn, sẵn sàng" và xử lý thông tin được đáp ứng.

Để đảm bảo điều này, dịch vụ đám mây phải cung cấp các giải pháp dựa trên các giải pháp dựa trên các tiêu chuẩn được công nhận trong ngành cho kiến trúc và cơ sở hạ tầng. Nó phải có các biện pháp kiểm soát truy cập đáp ứng các yêu cầu bảo mật và bao gồm các giải pháp giám sát và bảo vệ khỏi phần mềm độc hại. Cần quy định trong hợp đồng rằng việc xử lý và lưu trữ thông tin nhạy cảm chỉ được phép ở những địa điểm được ủy quyền hoặc trong phạm vi quyền hạn cụ thể. Điều này rất quan trọng đối với cơ sở hạ tầng thiết yếu, ví dụ.

Nhà cung cấp dịch vụ phải cung cấp hỗ trợ chuyên biệt trong trường hợp xảy ra sự cố bảo mật trong môi trường dịch vụ đám mây và cung cấp hỗ trợ chung trong việc thu thập bằng chứng kỹ thuật số. Các yêu cầu về bảo mật cũng phải được đáp ứng khi dịch vụ được chuyển cho các nhà cung cấp dịch vụ bên ngoài.

Nếu một công ty muốn ngừng cung cấp dịch vụ, nhà cung cấp phải duy trì cam kết hỗ trợ và cung cấp dịch vụ trong một khoảng thời gian hợp lý. Do đó, họ cũng phải cung cấp bản sao lưu dữ liệu và thông tin cấu hình, đồng thời quản lý chúng một cách an toàn nếu cần. Thông tin như tệp cấu hình, mã nguồn và dữ liệu nhạy cảm thuộc sở hữu của tổ chức phải được cung cấp theo yêu cầu hoặc được hoàn trả lại khi chấm dứt dịch vụ.

Khách hàng dịch vụ đám mây nên cân nhắc, phù hợp với các yêu cầu bảo mật của chính mình, liệu thỏa thuận có nên bao gồm nghĩa vụ thông báo nếu nhà cung cấp đám mây thực hiện những thay đổi đáng kể hay không. Bao gồm các:

• Những thay đổi về cơ sở hạ tầng kỹ thuật ảnh hưởng đến việc cung cấp dịch vụ
• Xử lý hoặc lưu trữ thông tin trong khu vực pháp lý hoặc địa lý mới

Sử dụng hoặc thay đổi nhà cung cấp dịch vụ đám mây ngang hàng hoặc nhà thầu phụ khác

Bảo mật đám mây thông qua Biện pháp kiểm soát 5.23 mới - Kết luận

Theo một nghiên cứu được thực hiện bởi Statista vào năm 2022, 84% tổng số công ty Đức sử dụng dịch vụ đám mây. Ngoài ra, 13% các công ty khác đang trong giai đoạn ra quyết định hoặc lập kế hoạch để sử dụng. Điều này có nghĩa là việc bảo vệ thông tin cá nhân và dữ liệu bí mật ngày càng trở nên quan trọng.

Với biện pháp bảo mật mới này, ISO và IEC đang thu hẹp khoảng cách quan trọng trong việc bảo vệ các kiến trúc CNTT-TT hiện đại và dữ liệu nhạy cảm của các công ty, tổ chức và cơ quan chức năng. Điều đó có nghĩa là tiêu chuẩn bảo mật thông tin ISO 27001, với tư cách là tiêu chuẩn toàn cầu, giờ đây cũng góp phần đảm bảo tính bảo mật đám mây một cách nhất quán và có hệ thống.

Bất kể công ty của bạn hoạt động trong môi trường đám mây công cộng, đám mây riêng tư hay đám mây lai, các giải pháp bảo mật thông tin và các phương pháp hay nhất đều rất cần thiết. Đây là cách duy nhất để đảm bảo tính liên tục và tuân thủ trong kinh doanh. Đặc biệt trong thời điểm thiếu hụt kỹ năng và mạng lưới công ty phi tập trung, bảo mật dữ liệu trên đám mây sẽ tiếp tục trở nên quan trọng hơn trong những năm tới.

Biện pháp kiểm soát 5.23 mới từ Phụ lục A cung cấp cho người dùng dịch vụ đám mây một khuôn khổ. Họ có thể sử dụng nó để kiểm tra các biện pháp bảo mật thông tin hiện có của mình và điều chỉnh chúng nếu cần thiết.

Bên cạnh các yêu cầu cơ bản về tổ chức, biện pháp kiểm soát mới này cũng nhấn mạnh tầm quan trọng của việc hợp tác chặt chẽ với nhà cung cấp dịch vụ điện toán đám mây để duy trì sự trao đổi thông tin hai chiều liên tục. Điều này thúc đẩy các cơ chế hai chiều để giám sát các tính năng dịch vụ được xác định và xác định, báo cáo các vi phạm các nghĩa vụ đã thỏa thuận

Bản cập nhật mới có ý nghĩa gì đối với chứng nhận của bạn?

Tiêu chuẩn ISO/IEC 27001:2022 mới được xuất bản bằng tiếng Anh vào ngày 25 tháng 10 năm 2022. Điều này dẫn đến các thời hạn và thời gian chuyển đổi sau đây cho người dùng

Chuyển đổi tất cả các chứng chỉ hiện có sang phiên bản mới:

• Thời gian chuyển đổi 3 năm được áp dụng từ ngày 31 tháng 10 năm 2022.
• Các chứng chỉ được cấp theo ISO/IEC 27001:2013 hoặc DIN EN ISO/IEC 27001:2017 chỉ có hiệu lực đến ngày 31 tháng 10 năm 2025, sau đó các tiêu chuẩn cũ coi như bị bãi bỏ.

Ngày cuối cùng cấp chứng nhận lần đầu và chứng nhận lại theo tiêu chuẩn ISO 27001 “cũ”:

• Ngày 30/4/2024 - từ ngày 1/5/2024, DQS sẽ chỉ thực hiện đánh giá lần đầu và tái chứng nhận theo phiên bản mới 2022.

DQS Group : Kiến thức chuyên sâu về đánh giá

Như các thời hạn cho thấy, các công ty chỉ còn một khoảng thời gian giới hạn để điều chỉnh hệ thống quản lý bảo mật thông tin của mình cho phù hợp với các yêu cầu mới và được chứng nhận. Không nên đánh giá thấp thời gian và nỗ lực của toàn bộ quá trình thay đổi.

Với gần 40 năm kinh nghiệm, chúng tôi, các chuyên gia đánh giá và chứng nhận  rất vui được hỗ trợ bạn đánh giá tình trạng hiện tại của mình, chẳng hạn như là một phần của đánh giá delta. Hãy hỏi các đánh giá viên có kinh nghiệm của DQS về những thay đổi chính và mức độ liên quan của chúng đối với tổ chức của bạn. Đồng hành cùng nhau, chúng ta sẽ thảo luận về tiềm năng cải thiện của bạn và hỗ trợ bạn cho đến khi bạn nhận được chứng chỉ mới.

Chuyên môn và Sự tín nhiệm

Các văn bản và tài liệu quảng cáo được viết độc quyền bởi các chuyên gia tiêu chuẩn hoặc đánh giá viên lâu năm của chúng tôi. Nếu bạn có bất kỳ câu hỏi nào về nội dung văn bản hoặc dịch vụ của chúng tôi dành cho tác giả, chúng tôi rất vui lòng được lắng nghe từ bạn.