7 nhóm kiểm soát trọng yếu trong ISO/IEC 27017

Bộ tiêu chuẩn ISO/IEC 27017 – hệ thống bảo mật thông tin đám mây là phần mở rộng chuyên sâu của hệ thống tiêu chuẩn ISO/IEC 27001 và cũng dựa trên ISO/IEC 27002 bổ sung thêm các hướng dẫn và kiểm soát đặc thù. Trong số đó có 7 nhóm kiểm soát trọng yếu mà doanh nghiệp cung cấp dịch vụ Cloud (CSP) và khách hàng sử dụng (Cloud Consumer) cần chú ý. Bài viết này, SQC Certification xin chia sẻ cho bạn về 7 nhóm kiểm soát trọng yếu này.

---

Tiêu chuẩn ISO/IEC 27017 là gì?

---

12 nội dung của bộ tiêu chuẩn ISO/IEC 27017

Tên chính thức của tiêu chuẩn là “Công nghệ thông tin – Kỹ thuật bảo mật – Bộ quy tắc thực hành cho các biện pháp kiểm soát bảo mật thông tin dựa trên ISO/IEC 27002 dành cho dịch vụ đám mây”. ISO/IEC 27017:2015 có mười tám phần, cùng với một phụ lục dài, bao gồm:

1. Phạm vi
2. Tài liệu tham khảo chuẩn mực
3. Định nghĩa và từ viết tắt
4. Các khái niệm cụ thể về ngành điện toán đám mây
5. Chính sách bảo mật thông tin
6. Tổ chức an ninh thông tin
7. An ninh nguồn nhân lực
8. Quản lý tài sản
9. Kiểm soát truy cập
10. Mật mã học
11. An ninh vật lý và môi trường
12. Bảo mật hoạt động

---

7 nhóm kiểm soát trọng yếu trong ISO/IEC 27017

Như đã chia sẻ bên trên thì bộ tiêu chuẩn ISO/IEC 27017 được gọi là “phần mở rộng” của ISO/IEC 27002, thêm các hướng dẫn và kiểm soát đặc thù cho môi trường điện toán đám mây. Trong đó có 7 nhóm kiểm soát trọng yếu mà doanh nghiệp cung cấp dịch vụ Cloud (CSP) và khách hàng sử dụng (Cloud Consumer) cần chú ý:

1. Phân chia trách nhiệm giữa CSP và khách hàng

Xác định rõ ai chịu trách nhiệm cho phần nào (ví dụ: bảo mật dữ liệu, cấu hình firewall, quản lý tài khoản). Tổ chức cần tránh ” khoảng trống trách nhiệm” vì đây là một trong những rủi ro lớn nhất của hệ thống Cloud.

2. Xóa dữ liệu khi chấm dứt dịch vụ (Cloud Exit / Data Deletion)

Đảm bảo dữ liệu của khách hàng được xóa hoàn toàn, không còn sót lại trên hệ thống sau khi ngừng dịch vụ. Bên cạnh đó chúng còn có nhiều hướng áp dụng cho sự tuân thủ tiêu chuẩn GDPR hoặc luật bảo vệ dữ liệu cá nhân.

3. Bảo vệ và phân lập môi trường ảo hóa (Virtualization Security)

Bảo mật máy ảo (VM) và hạ tầng multi-tenant (nhiều khách hàng cùng chia sẻ hạ tầng). Ngăn chặn truy cập trái phép giữa các khách hàng trên cùng một hạ tầng Cloud.

4. Quản lý cấu hình dịch vụ đám mây (Cloud Service Configuration Management)

Đảm bảo các dịch vụ Cloud được cấu hình an toàn (tránh để hở cổng, quyền public không cần thiết). Hướng dẫn cho cả khách hàng và CSP về việc kiểm tra, giám sát cấu hình.

5. Giám sát hoạt động của khách hàng (Customer Activity Monitoring)

CSP cần cung cấp khả năng ghi log, báo cáo, cảnh báo hoạt động người dùng. Giúp khách hàng phát hiện truy cập trái phép hoặc hành vi bất thường.

6. Bảo vệ và giám sát các giao diện quản lý đám mây (Cloud Management Interface Security)

Các cổng quản trị (API, Dashboard) phải được bảo vệ mạnh mẽ (MFA, encryption, rate limiting). Đây là “cửa ngõ” quan trọng nhất đối với dịch vụ Cloud.

7. Bảo vệ việc di chuyển và xử lý dữ liệu (Data Relocation & Processing Security)

Quản lý rủi ro khi dữ liệu được chuyển vùng (data residency). Đảm bảo mã hóa, kiểm soát truy cập, và tuân thủ luật pháp địa phương khi dữ liệu di chuyển xuyên biên giới.

Tư vấn ngay

---

Tầm quan trọng của 7 nhóm kiểm soát trọng yếu trong ISO/IEC 27017

1. Phân chia trách nhiệm giữa CSP và khách hàng

Trong môi trường Cloud tồn tại nhiều rủi ro xảy ra do mơ hồ trách nhiệm (ví dụ: ai chịu trách nhiệm backup dữ liệu, ai quản lý firewall?). Việc đưa ra 7 điểm kiểm soát trọng yếu này trong ISO/IEC 27017 chính là việc làm rõ vai trò ngay từ đầu cho đến việc gia tăng niềm tin cũng như giảm tranh chấp.

2. Xóa dữ liệu khi chấm dứt dịch vụ

Có thể thấy hệ thống dữ liệu khách hàng không bị xóa triệt để có nguy cơ rò rỉ và bị khai thác trái phép. Đây còn chính là những yêu cầu của việc tuân thủ luật bảo vệ dữ liệu cá nhân như GDPR, PDPD Việt Nam. Việc này giúp đảm bảo khách hàng an tâm khi rời bỏ dịch vụ mà không lo “dấu vết dữ liệu” bị lợi dụng.

3. Bảo vệ và phân lập môi trường ảo hóa

Hệ thống Cloud thường là môi trường multi-tenant (nhiều khách hàng cùng dùng một hạ tầng). hính vì thế nếu tổ chức tiến hành bảo mật hóa kém hệ thống dữ liệu giữa các khách hàng thì có thể bị truy cập chéo. Việc đưa ra những kiểm soát trọng yếu trong ISO/IEC 27017 có thể giúp ngăn chặn rò rỉ dữ liệu và duy trì niềm tin của khách hàng khi chia sẻ hạ tầng.

4. Quản lý cấu hình dịch vụ đám mây

Sai sót cấu hình (ví dụ: để bucket S3 công khai, API không giới hạn) là nguyên nhân chính gây ra hàng loạt vụ lộ dữ liệu toàn cầu. Việc đưa ra những điểm kiểm soát trọng yếu giúp chuẩn hóa cấu hình an toàn từ đó giảm thiểu lỗi do con người và bảo vệ dữ liệu khách hàng.

5. Giám sát hoạt động của khách hàng

Không giám sát thì sẽ không phát hiện kịp thời xâm nhập trái phép hoặc hành vi bất thường. Việc Ghi log, cảnh báo, phân tích → giúp cả CSP và khách hàng phát hiện, xử lý sự cố nhanh hơn.

6. Bảo vệ việc di chuyển và xử lý dữ liệu

Hệ thống dữ liệu trên Cloud có thể được lưu trữ hoặc xử lý ở nhiều quốc gia khác nhau. Nếu không quản lý, doanh nghiệp có thể vi phạm luật pháp về dữ liệu (như quy định về lưu trữ trong nước). Việc đưa ra những kiểm soát trọng yếu giúp đảm bảo tuân thủ pháp lý, duy trì tính bảo mật và toàn vẹn dữ liệu khi di chuyển.

---

Dịch vụ chứng nhận ISO 27017:2015

---