UK firms embrace ISO 27001 security standard
Despite vendor scaremongering, UK firms are doing better than most when it comes to achieving security compliance
Written by Martin Courtney
Computing, 27 May 2010
Theo: http://www.computing.co.uk/computing/analysis/2263834/uk-firms-lead-iso27001-security
Bài được đưa lên Internet ngày: 27/05/2010
Lời người dịch: Ngày nay, nhiều công ty, tổ chức cần đảm bảo an ninh cho thông tin dữ liệu của mình và khách hàng. Có nhiều phương pháp để kiểm tra sự đảm bảo đó, trong đó có việc lấy chứng chỉ ISO 27001 về an ninh. Tuy nhiên, không có nghĩa là nếu bạn có được chứng chỉ đó rồi, thì mọi lỗ hổng an ninh trong hệ thống và dữ liệu của bạn được đảm bảo hoàn toàn. Hơn nữa, nhiều người cho rằng để có được chứng chỉ ISO 27001 cần mất khá nhiều tiền, từ hàng chục ngàn tới hàng trăm ngàn bảng Anh.
Các nhà cung cấp về an ninh đã nhanh chóng cho rằng các tổ chức của Anh đang gây nguy hiểm cho an ninh và tính tuân thủ về công nghệ thông tin bằng việc không triển khai các chính sách ngăn ngừa mất dữ liệu một cách có hiệu quả.
Nhưng các con số thống kê chỉ ra rằng Anh thực sự đứng trước cả Mỹ và châu Âu trong việc đạt được chứng chỉ ISO 27001.
Họ các chuẩn ISO 27001 cung cấp một mô hình được quốc tế thừa nhận về triển khai hệ thống quản lý an ninh thông tin có hiệu quả (ISMS) bên trong một tổ chức.
Nó được đề cập tới một cách rộng rãi như là một khung công việc về an ninh dữ liệu mà các công ty có thể kiểm tra độ tin cậy của các nhà cung cấp, các đối tác doanh nghiệp, các khách hàng và các nhà cung cấp khi trao đổi các thông tin nhạy cảm.
Theo nhà đăng ký quốc tế các chứng chỉ ISMS, 444 công ty của Anh đã đạt được chứng chỉ ISO 27001 cho tới nay, chỉ đứng sau có Nhật Bản và Ấn Độ, và đứng trên Đức (137) và Mỹ (96).
Số lượng các công ty đã đạt được chứng chỉ trên toàn cầu là 6.443, trong đó Nhật Bản chiếm 3.499 trong tổng số.
Vâng mặc dù chỉ số mạnh mà các tổ chức của Anh có cho tới nay thì những người tích cực ủng hộ chứng chỉ ISO 27001 vẫn là ở bán cầu Tây, một loạt các khảo sát khẳng định rằng các công ty của Anh đang đấu tranh để triển khai các chính sách tuân thủ hỗ trợ chuẩn này.
Nghiên cứu dựa trên 270 cuộc phỏng vấn với các nhân viên IT cao cấp được xuất ản vào tháng 04 năm nay, được tiến hành bởi Quocirca và được ủy quyền bởi CA, đã kết luận rằng các phòng IT của Anh đã đang chiến đấu để làm việc với các vấn đề tuân thủ ISO 27001, ví dụ thế.
Security vendors have been quick to suggest that UK organisations are jeopardising IT security and compliance by not implementing effective data loss prevention policies.
But statistics show that the UK is actually way ahead of its US and European rivals in achieving ISO 27001 certification.
The ISO 27001 family of standards provides an internationally recognised model for the implementation of effective information security management system (ISMS) within an organisation.
It is widely touted as a data security framework against which companies can check the trustworthiness of suppliers, business partners, customers and vendors when exchanging sensitive information.
According to the international register of ISMS certificates, 444 UK companies have achieved ISO 27001 certification so far, lagging only behind Japan and India, and way ahead of Germany (137) and the US (96).
The number of companies to have achieved certification globally is 6,443, though Japan has a staggering 3,499 of that total.
Yet despite the strong indication that UK organisations are by far the most proactive supporters of ISO 27001 certification in the western hemisphere, various surveys insist that UK companies are struggling to implement compliance policies in support of the standard.
Research based on 270 interviews with senior IT staff published in April this year, conducted by Quocirca and commissioned by CA, concluded that UK IT departments were struggling to deal with ISO 27001 compliance issues, for example.
Vì sao lại không có sự nhất quán này, nếu có, xuất hiện làm cho các công ty nhận được thức được giá trị của chứng chỉ ISO 27001 nhiều hơn so với những cơ quan khác tại các quốc gia khác? Liệu các phần mềm an ninh và các nhà cung cấp dịch vụ có nói quá trường hợp trong một vụ thầu để giữ cho việc bán hàng của họ cho những người bận rộn và để cho dòng doanh số của họ được lành mạnh hay không?
Stuart Bonell là nhà tư vấn tại hãng tư vấn BroadGroup, mà gần đây đã xuất bản một báo cáo về các vấn đề an ninh dữ liệu có ảnh hưởng tới các nhà cung cấp các trung tâm dữ liệu, mà đã thấy rằng các chứng chỉ ISO 27001 đã thể hiện tiếp cận phổ biến nhất đối với sự quản lý an ninh trong khu vực này. Ông nghĩ rằng số lượng đăng ký ISMS là thấp, và nghi ngờ có nhiều công ty hơn với chứng chỉ ISO 27001 so với việc đăng ký.
“Nó đã bắt đầu như một chuẩn của Anh, mà có thể là môt lý do vì sao nó phổ biến hơn ở đây, trong khi thứ tương tự của Mỹ là tuyên bố về các chuẩn kiểm toán (SÁ) 70 dạng chuẩn II - nhiều công ty có trung tâm dữ liệu có cả 2 bây giờ”, Bonell nói.
Và nhà phân tích Bob Tarzey của Quocirca nói rằng có sự khác biệt lớn giữa việc cam kết với chứng chỉ của ISO và việc đạt được thực sự những kiểm tra cần thiết.
“ISO 27001 là một thứ dễ dàng để cam kết, nhưng là thứ khó để hoàn tất. Nhiều kiểm tra là tùy ý, và thật không đủ để đảm bảo cho quản lý an ninh thông tin chỉ bằng việc nói bạn đã áp dụng nó”, ông nói.
“Bạn phải nhìn vào chính xác những gì mà tổ chức đã đạt được trong việc đạt được chứng chỉ này - nó có thể là 2 hãng mà đã cam kết với nó, những một hãng có thể cách xa so với hãng kia”.
ISO này tự nó không triển khai những kiểm tra chứng chỉ, mà chấp nhận các hãng tư vấn bên thứ 3 triển khai các kiểm tra phù hợp trước khi chứng chỉ được trao.
So why the discrepancy and what, if anything, appears to make UK companies recognise the value of ISO 27001 certification more than so many organisations in other countries? Are security software and service vendors erstating the case in a bid to keep their own sales people busy and their revenue stream healthy?
Stuart Bonell is associate consultant at consultancy BroadGroup, which recently published a report into the data security issues affecting datacentre providers, which found that ISO 27001 certifications represented the most popular approach to security management in this sector. He thinks that ISMS register numbers sound low, and suspects there are more companies with ISO 27001 certification than are on the register.
“It did start out as a British standard, which could be one reason why it is more popular here, while the US equivalent is the statement on auditing standards (SAS) 70 type II standard – lots of datacentre companies have them both now,” Bonell says.
And Quocirca analyst Bob Tarzey says that there is big difference between committing to ISO certification and actually achieving the necessary controls.
“ISO 27001 is an easy thing to commit to, but a hard thing to complete. Lots of the controls are optional, and it is just not enough to guarantee information security management just by saying you have adopted it,” he says.
“You have to look at exactly what the organisation has achieved in attaining that certification – it could be two firms who have committed to it, but one is much further down the road than the other.”
The ISO does not carry out certification checks itself, but approves third party consultancy firms to carry out appropriate checks before certification is awarded.
Andrew Kellet, nhà phân tích cao cấp tại công ty nghiên cứu Ovum, nói các nhà cung cấp phần mềm sẽ luôn tranh luận rằng sự tuân thủ các chuẩn như ISO 27001 hoặc PCI-DSS cần phải là cao hơn.
“Luôn có một trường hợp các nhà cung cấp thúc đẩy giới hạn này và nói 'Đây là một yêu cầu, đây là nhưng gì bạn phải làm, bạn cần điều này', và sự đòi hỏi không bao giờ là đủ từ viễn cảnh của họ. Cuối ngày, đấy chỉ là công cụ bán hàng”, ông nói.
Điều đó không nói lên là không có sự tranh luận mạnh mẽ đối với sự tin cậy của ISO 27002 trong những thứ khác, nhưng không phải tất cả, các tổ chức của Anh.
Hãng kiểm toán và kế toán PricewaterhouseCoopers gần đây đã ước định rằng 40% các tổ chức lớn đang được yêu cầu thể hiện sự tuân thủ đối với chuẩn này.
“ISO 27001 được chấp nhận khá nhiều hiện nay như một chuẩn mức toàn cầu cho an ninh bên ngoài chính phủ”, Bonell nói.
“Cơ quan Dịch vụ Tài chính FSA tham chiếu nó như là thứ phải làm đối với các cơ quan pháp luật khác, và nếu bạn đã thực hiện xong ISO 27001 thì bạn là tốt trên con đường đạt được những chuẩn khác cho những điều chỉnh pháp luật đặc thù”.
Nathan Jamieson là nhân viên an ninh thông tin tại GB Group, một công ty Anh chuyên về quản lý xác minh, không chỉ đấu tranh với sự giả mạo ID, rửa tiền và đánh bạc dưới tuổi, mà còn trợ giúp xác minh dựa trên việc marketingt và các chiến lược quản lý quan hệ khách hàng CRM. Các khách hàng của nó bao gồm Ngân hàng Co-operative, nhà vận hành di động O2, nhà bán lẻ về mode Laura Ashley và công ty tiện ích về nướcSevern Trent.
“ISO 27001 cung cấp một sự phổ biến chung về ngôn ngữ mà nó có lợi cho chúng ta, và khung công việc này là sẵn sàng một cách công khai. Chúng ta cần cung cấp một yếu tố tin cậy cho các khách hàng của chúng ta, và ISO 27001 được coi là như một chuẩn de facto”, ông nói.
“Đây là một hàn thử biểu có hiệu quả về việc bạn ở đâu, và đã mở ra chắc chắn những cánh cửa trong các phòng của chính phủ và các tổ chức tài chính mà có thể nếu không đã bị đóng lại đối với chúng ta”.
Andrew Kellet, senior analyst at research company Ovum, says software vendors will always argue that compliance for standards like ISO 27001 or PCI-DSS needs to be higher.
“There is always a case of vendors pushing the limit saying ‘This is a requirement, this is what you should be doing, you need this’, and takeup is never going to be enough from their perspective. At the end of the day, it is a selling tool,” he says.
That’s not to say there isn’t a strong argument for ISO 27001 accreditation among some, but not all, UK organisations.
Accountancy and audit company PricewaterhouseCoopers recently estimated that 40 per cent of large organisations are being asked to demonstrate compliance with the standard.
“ISO 27001 is pretty much now accepted as a worldwide base level standard for security outside of government,” says Bonell.
“The Financial Services Authority (FSA) references it as do other regulatory bodies, and if you have done ISO 27001 you are well on the way to achieving other standards for specific regulations.”
Nathan Jamieson is information security officer at the GB Group, a UK company that specialises in identity management, not just to combat ID fraud, money laundering and under-age gambling, but also to aid identity based marketing and CRM strategies. Its customers include the Co-operative Bank, mobile operator O2, fashion retailer Laura Ashley and utility company Severn Trent water.
“ISO 27001 provides a commonality of language that is beneficial to us, and the framework is publicly available. We need to provide an element of trust for our clients, and considered ISO 27001 as the de facto standard,” he says.
“It is an effective barometer of where you are, and has certainly opened doors in government departments and financial organisations that would otherwise have been closed to us.”
Trước khi đạt được chứng chỉ ISO 27001 đầu tháng này, GB Group đã từng trải qua 50-70 kiểm toán an ninh thông tin mỗi năm, bao gồm những vụ từ các nhà cung cấp dữ liệu và các khách hàng tiềm năng và đang tồn tại.
“Bước tự nhiên là vì chúng tôi để cung cấp sự đảm bảo độc lập mà luôn chỉ trong 6 tháng [chứng chỉ ISO 27001 có thể truy cập được một lần hoặc 2 lần trong năm, tiếp sau bởi một sự kiểm toán toàn thể mỗi 3 tháng một lần]”, Jamieson nói.
Một yếu tố được chấp nhận rộng rãi làm cho các tổ chức quay lưng lại với việc áp dụng khung công việc ISO 27001 là giá thành và sự phức tạp của việc triển khai nó.
Những khác biệt này phụ thuộc chủ yếu vào việc công ty bắt đầu từ đâu, và phạm vi và độ lớn của các qui trình quản lý an ninh độc lập mà chúng cần phải được chứng thực - mọi thứ từ một vài ngàn cho tới vài trăm ngàn bảng.
Bản thân tiêu chuẩn này có thể được mua với giá 78 bảng tại website của ISO, trong khi chứng chỉ cuối cùng thường có giá nhiều hơn số giờ mà một nhà tư vấn bên ngoài cần để kiểm tra những thủ tục quản lý an ninh phù hợp ngay tại chỗ, cộng với một chi phí đăng ký nhỏ.
“Có 2 khía cạnh với nó: làm cho bản thân bạn sẵn sàng, rồi bản thân chứng chỉ. Nếu một tổ chức bắt đầu từ đầu à cần triển khai tất cả các thủ tục an ninh và những thứ liên quan, thì tôi có thể dễ dàng thấy con số hơn 100 ngàn bảng”, Bonell nói.
“Nhung điều đó không có nghĩa là họ không thể tự làm một số việc - có nhiều tư liệu để tự giúp mình, và tự làm mình tin tưởng chỉ mất vài ngày về chi phí tư vấn”.
“Sẽ có một số giá thành xung quanhy các hệ thống quản lý và điền đầy những khoảng trống về hạ tầng an ninh của họ bằng những công cụ phần mềm theo yêu cầu”, Tarzey nói.
Prior to achieving ISO 27001 certification earlier this month, GB Group had been undergoing 50-70 information security audits a year, including those from data suppliers and prospective and existing customers.
“The natural step was for us to provide independent assurance that is always only six months old [ISO 27001 certification can be assessed once or twice a year, followed by a full audit every three years],” says Jamieson.
One factor widely accepted to be holding organisations back from adopting the ISO 27001 framework is the cost and complexity of implementing it.
This varies hugely depending on where the company starts from, and the volume and range of individual security management processes that need to be certified – anything from a few thousand to hundreds of thousands of pounds.
The standard itself can be purchased for 130 Swiss francs (£78) at the ISO web site, while the final certification usually costs as much as the external consultancy man hours needed to check appropriate security management procedures are in place, plus a small registration fee.
“There are two aspects to it: getting yourself ready, then the certification itself. If an organisation is starting from scratch and needs to implement all the security procedures and the stuff around it, I can easily see a figure of £100,000 plus,” says Bonell.
“But that does not mean they cannot do some of that themselves – there is a lot of self-help material out there, and the accreditation itself might only take a few days of consultant fees.”
“There will be some costs around management systems and filling in any gaps in their security infrastructure with required software tools,” says Tarzey.
Nhiều công ty là bên thứ 3 bán các dịch vụ chứng chỉ ISO trong khi họ gửi ai đó đi theo để triển khai những kiểm tra phù hợp rồi đưa ra chứng chỉ. GB Group chọn Viện Tiêu chuẩn Anh (BSI) như là người kiểm tra của nó, ví dụ thế, những chọn tự mình triển khai tất cả sự chuẩn bị.
“BSI cung cấp cho chúng tôi sự tư vấn và ý kiến phản hồi, và kiểm tra bản thân hệ thống quản lý, đi theo bởi 12 tuần kiểm tra, rồi 4 ngày tư vấn kiểm toán theo chứng chỉ”, Jamieson nói. “Như một chuyên gia an ninh thông tin, tôi thực sự quen với chuẩn này và có một nền tảng kỹ thuật tốt, nghĩa là GB Group có một tài nguyên nội bộ chuyên dụng để cam kết về thời gian đối với nó”.
Một cơ quan chứng thực ISO khác của Anh, UKICM, ước 6tinhs nó có thể đưa ra chứng chỉ ít nhất là 1.495 bảng + thuế VAT, bao gồm cả đăng ký và kiểm toán, ví dụ thế.
Con số này không bao gồm giá của bất kỳ phần cứng hay phần mềm nào bổ sung theo yêu cầu để đạt được chứng chỉ, với giá thành kiểm toán ISO hàng năm từ 485 bảng trở lên.
Trong khi nhiều tổ chức có thể vẫn còn thấy đâu là nơi cam kết về thời gian, tiền bạc và tài nguyên cho chứng chỉ ISO 27001 đưa ra đủ giá trị, thì Kellegt cảnh báo họ rằng họ có thể sẽ làm chắc chắn mà không cần nó, khi sự không tuân thủ có thể làm hỏng uy tín và mất khá nhiều tiền phạt.
“Tôi có thể khuyến cáo mỗi tổ chức có một chiến lược an ninh phù hợp, với những kiểm tra và sự hiểu biết phù hợp về rủi ro có liên quan cho việc không có những kiểm tra này tại chỗ”, ông nói.
Many third-party companies sell ISO certification services whereby they send somebody along to carry out appropriate checks then issue the certificate. The GB Group chose the British Standards Institute (BSI) as its auditor, for example, but chose to carry out all the preparation itself.
“It [the BSI] provided us with advice and feedback, and road-tested the management system itself, followed by a 12-week period of bedding in, then a four-day audit resulting in the certification,” says Jamieson. “As an information security professional, I am really familiar with the standard and have a good technical background, meaning GB Group has a dedicated internal resource to commit time to it.”
Another UK ISO certification body, UKICM, estimates it can deliver certification for as little as £1,495 + VAT, including the audit and registration, for example.
That figure does not include the price of any additional hardware or software required to achieve certification, with annual ISO auditing costing from £485 upwards.
While many organisations may still not see where committing time, money and resources to ISO 27001 certification delivers sufficient value, Kellet warns them to be certain they can do without it, as failure to comply could cost them dearly in fines and reputation.
“I would advise every organisation to have a properly thought through security strategy at least, with appropriate controls and understanding of the risk involved for not having those controls in place,” he says.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.