Bài giảng Kiểm toán và kiểm soát hệ thống thông tin: Chương 4 - Trường ĐH Ngân hàng

Trong bối cảnh chuyển đổi số mạnh mẽ, các tổ chức đối mặt với vô số rủi ro về an toàn thông tin, đặc biệt là các mối đe dọa an ninh mạng ngày càng tinh vi. Việc thiết lập một khuôn khổ quản lý thông tin an toàn vững chắc không chỉ là yêu cầu cấp thiết để bảo vệ tài sản số mà còn đảm bảo hoạt động kinh doanh liên tục và tuân thủ pháp luật. Chương này cung cấp một cái nhìn tổng quan về Hệ thống Quản lý An toàn Thông tin (ISMS), với trọng tâm là tiêu chuẩn quốc tế ISO 27001. Nó sẽ trình bày cấu trúc, các lĩnh vực kiểm soát quan trọng và những cập nhật mới nhất của ISO 27001:2022, nhằm trang bị kiến thức cần thiết để xây dựng và duy trì một hệ thống an toàn thông tin hiệu quả.

Các chuyên gia và sinh viên trong lĩnh vực kiểm toán hệ thống thông tin, an toàn thông tin, quản lý rủi ro, và quản trị công nghệ thông tin, đặc biệt trong các tổ chức tài chính và doanh nghiệp.

Chương này đi sâu vào khái niệm và tầm quan trọng của Hệ thống Quản lý An toàn Thông tin (ISMS) như một công cụ thiết yếu để quản lý hiệu quả các rủi ro an toàn thông tin mà tổ chức phải đối mặt trong môi trường số hóa ngày nay, đặc biệt là trước các mối đe dọa an ninh mạng ngày càng gia tăng. Trọng tâm chính là giới thiệu tiêu chuẩn quốc tế ISO 27001, bao gồm phiên bản 2013 và những cập nhật quan trọng trong phiên bản 2022, cùng với tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019. Cụ thể, tài liệu phác thảo cấu trúc của ISO 27001:2013 theo chu trình PLAN-DO-CHECK-ACT, với các điều khoản từ 4 đến 10 mô tả cách thiết lập, thực hiện, duy trì và cải tiến ISMS. Một phần quan trọng khác là phân tích chi tiết 14 lĩnh vực kiểm soát an toàn thông tin trong Phụ lục A của ISO 27001:2013, bao gồm các khía cạnh như chính sách an ninh, quản lý tài sản, kiểm soát truy cập, an ninh vật lý và quản lý sự cố an ninh thông tin. Các thay đổi trong ISO 27001:2022 cũng được làm rõ, bao gồm việc giảm số lượng kiểm soát từ 114 xuống 93, tái cấu trúc thành 4 phần chính, bổ sung 11 kiểm soát mới và thay đổi tiêu đề để nhấn mạnh vào an ninh mạng và bảo vệ quyền riêng tư. Nguyên tắc cơ bản của an toàn thông tin, Tam giác CIA (Tính bảo mật, Tính toàn vẹn, Tính sẵn sàng), được trình bày như nền tảng cho mọi nỗ lực bảo vệ thông tin. Việc áp dụng ISMS dựa trên ISO 27001 không chỉ giúp tổ chức giảm thiểu rủi ro, nâng cao năng lực kiểm toán hệ thống thông tin mà còn tăng cường sự tin cậy từ các bên liên quan và đảm bảo tuân thủ các quy định pháp luật về bảo vệ dữ liệu.