Các Checklist Tiêu chuẩn ISO/IEC 27017:2015

ISO/IEC 27017:2015 được biết đến như là tiêu chuẩn quốc tế nhằm hướng dẫn các biện pháp kiểm soát an toàn thông tin dành riêng cho môi trường điện toán đám mây. Được xây dựng dựa trên nền tảng của ISO/IEC 27002, tiêu chuẩn này cung cấp các hướng dẫn chi tiết cho cả nhà cung cấp và người sử dụng dịch vụ cloud, nhằm đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu. Bài viết này, SQC Certification xin chia sẻ cho bạn đọc biết về bộ tiêu chuẩn ISO 27017 và các Checklist Tiêu chuẩn ISO/IEC 27017:2015 chi tiết. 

---

Tổng quan về bộ tiêu chuẩn ISO/IEC 27017:2015

ISO/IEC 27017:2015 là một bộ tiêu chuẩn quốc tế cung cấp hướng dẫn thực hành an toàn thông tin dành riêng cho các dịch vụ điện toán đám mây. Tiêu chuẩn này là một phần mở rộng của ISO/IEC 27002 và được xây dựng trên nền tảng của Hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001.

Được phát hành bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC), tiêu chuẩn này nhằm tăng cường bảo mật và giảm thiểu rủi ro an ninh trong môi trường đám mây, bao gồm cả phía nhà cung cấp dịch vụ và khách hàng sử dụng dịch vụ đám mây.

Doanh nghiệp cần chuẩn bị gì khi đánh giá ISO/IEC 17017:2015

Để thực hiện đánh giá chứng nhận ISO/IEC 27017:2015, doanh nghiệp cần có sự chuẩn bị kỹ lưỡng về hệ thống tài liệu, quy trình vận hành, các biện pháp bảo mật trên nền tảng điện toán đám mây và bằng chứng thực hiện. Dưới đây là danh sách những yếu tố quan trọng doanh nghiệp cần chuẩn bị:

1. Hiểu rõ phạm vi áp dụng tiêu chuẩn

Có tiến hành làm rõ các phạm vi dịch vụ, hệ thống hoặc môi trường đám mây sẽ áp dụng trong ISO 17017. Với việc là một nhà cung cấp dịch vụ cloud (CSP) hay khách hàng sử dụng cloud (CSC), hoặc cả hai?

2. Xây dựng hệ thống tài liệu cần thiết

Những tài liệu cần thiết để doanh nghiệp có thể tiến hành áp dụng ISO 27017 thường sẽ bao gồm:

• Chính sách an toàn thông tin trong môi trường cloud
• Thủ tục kiểm soát truy cập, phân quyền trên nền tảng cloud
• Hợp đồng dịch vụ và SLA quy định rõ trách nhiệm giữa nhà cung cấp – khách hàng
• Quy trình xử lý dữ liệu khách hàng, bao gồm lưu trữ, truy cập, chia sẻ, và xóa bỏ
• Quy trình bảo mật hệ thống ảo hóa, quản lý nhiều người dùng (multi-tenancy)
• Chính sách mã hóa và truyền dữ liệu trong và ngoài cloud
• Kế hoạch ứng phó và khắc phục sự cố trên nền tảng cloud

3. Phân định rõ vai trò & trách nhiệm giữa các bên

Tổ chức của bạn cần thiết lập rõ ràng các trách nhiệm an ninh thông tin giữa bên cung cấp dịch vụ cloud và khách hàng (theo yêu cầu ISO 27017). Đồng thời phân công bộ máy nhân sự cụ thể để theo dõi, quản lý cũng như duy trì hệ thống bài bản.

4. Thực hiện đánh giá nội bộ & đánh giá rủi ro

Tổ chức của bạn cần tiến hành thực hiện việc đánh giá tốt các hệ thống rủi ro, an toàn thông tin có liên quan đến Cloud: rò rỉ dữ liệu, truy cập trái phép, mất quyền kiểm soát…vv. Đồng thời cần phải đánh giá nội bộ nhằm kiểm tra tính toàn vẹn và sẵn có của hệ thống trước khi đánh giá bên ngoài.

5. Đào tạo & nâng cao nhận thức

Để giúp tổ chức, doanh nghiệp của bạn tiến hành hiểu ISO 27017 thì tổ chức của bạn cần tiến hành đào tạo nhân sự có liên quan về hệ thống bảo vệ dữ liệu, các chính sách và quy trình bảo mật trong Cloud.  Các vai trò của họ trong hệ thống ISO/IEC 27017.

6. Hồ sơ, bằng chứng thực hiện

Chuẩn bị đầy đủ các bằng chứng sau:

• Nhật ký truy cập cloud, log hệ thống
• Biên bản rà soát yêu cầu khách hàng
• Hợp đồng dịch vụ cloud và phân định SLA
• Báo cáo đánh giá nội bộ, hành động khắc phục
• Biên bản đào tạo nhân viên
• Kế hoạch và kết quả kiểm tra hệ thống bảo mật cloud

---

Các Checklist Tiêu chuẩn ISO/IEC 27017:2015

1: Checklist mở rộng từ ISO/IEC 27002 (áp dụng riêng cho môi trường cloud)

2: Checklist về an ninh bổ sung riêng cho điện toán đám mây (7 điều khiển mới trong ISO/IEC 27017)

• Chia sẻ vai trò và trách nhiệm bảo mật giữa nhà cung cấp – khách hàng cloud được mô tả rõ trong hợp đồng
• Chính sách xử lý nội dung khách hàng trên cloud: kiểm soát, truy cập, sử dụng, xóa dữ liệu
• Quy trình bảo mật cho môi trường ảo hóa và nền tảng đa người dùng (multi-tenant)
• Cấu hình và cài đặt các thành phần cloud đúng chuẩn an toàn bảo mật
• Xóa dữ liệu khỏi đám mây (data sanitization) an toàn khi không còn sử dụng
• Theo dõi và giám sát hoạt động của khách hàng cloud – logging & auditing
• Mã hóa thông tin khi truyền qua mạng và giữa các máy chủ cloud

3: Các tài liệu/hồ sơ nên có để đáp ứng ISO/IEC 27017:2015

• Chính sách an toàn thông tin áp dụng cho cloud
• Quy định về phân quyền, truy cập, xóa, khôi phục dữ liệu cloud
• Thỏa thuận mức dịch vụ (SLA) có quy định bảo mật thông tin cloud
• Hợp đồng trách nhiệm giữa bên cung cấp cloud và khách hàng
• Biên bản đào tạo, đánh giá nhận thức về an toàn thông tin cloud
• Kế hoạch ứng phó sự cố liên quan tới hạ tầng đám mây
• Quy trình kiểm soát thay đổi cấu hình hệ thống cloud

Trên đây là các checklist đơn giản nhưng cần thiết để doanh nghiệp sử dụng trong buổi tự đánh giá nội bộ trước khi chứng nhận ISO 27017 cũng như có thể sử dụng để kiểm tra định kì tuân thủ bảo mật Cloud và soạn thảo hồ sơ chuẩn bị đánh giá bên ngoài.

>>> Tài liệu Tiêu chuân ISO 27017 PDF

---

Checklist đánh giá ISO/IEC 27017:2015 đóng vai trò then chốt trong việc chuẩn bị và kiểm soát toàn bộ quá trình triển khai tiêu chuẩn an toàn thông tin trên nền tảng điện toán đám mây. Việc sử dụng checklist giúp doanh nghiệp rà soát đầy đủ các yêu cầu cần tuân thủ, phát hiện sớm lỗ hổng và thực hiện cải tiến kịp thời. Đây là công cụ hỗ trợ hiệu quả để đảm bảo sự sẵn sàng trước khi đánh giá chứng nhận, đồng thời nâng cao tính minh bạch, trách nhiệm và độ tin cậy trong hoạt động bảo mật thông tin của tổ chức.