Mình đã có bài giới thiệu qua PCI-DSS và ISO 27001 Đây là hai chuẩn security được áp dụng rộng rải trên thế giới và cả VN hiện nay: http://mysunitsecurity.blogspot.com/2012/02/about-pci-dss.html , và ISO 27001 http://mysunitsecurity.blogspot.com/2011/03/quy-trinh-xay-dung-he-thong-quan-ly.html . Bản thân mình cũng đã có kinh nghiệm triển khai hai chuẩn này nên mình đưa ra số điểm về hai chuẩn này để các bạn hiểu thêm về nó. Một câu hỏi đặt ra đối với mọi tổ chức là điểm giống và khác nhau giữa 2 chuẩn này là gì?liệu triển khai chuẩn này có ảnh gì đến chuẩn kia. Mình sẽ làm bài so sánh để các bạn hiểu thêm về hai chuẩn này:
PCI-DSS đưa ra 12 yêu cầu bảo mật rất cụ thể và hướng tổ chức phải xử lý các rủi ro để đáp ứng 12 yêu cầu trên.Đối với ISO lại khác đưa ra 133 yêu cầu kiểm soát và chúng ta xử lý rủi ro bằng cách chuyển, chấp nhận và xử lý rủi ro, ISO hướng tới chính sách, quy trình nhằm quản lý vận hành hệ thống tổ chức đảm bảo tính liên tục, đúng ra sản phẩm của nó là tập chính sách, quy trình và rất mềm dẻo khi triển khai có thể tùy thuộc đặc thù của từng tổ chức mà có thể chuyển, chấp nhận hoặc xử lý rủi ro. Đến đây các bạn hiểu được liệu cơ quan triển khai hai chuẩn này thì có bị Conflict nhau? điều này hoàn toàn không mà nếu tổ chức bạn triển khai một chuẩn nào đó trước thì việc triển khai chuẩn còn lại sẽ dễ dàng hơn nhiều. Vì số công việc GAP sẽ giảm đi rất nhiều, nếu chúng ta triển khai ISO 27001 trước thì sau triển khai PCI _DSS chúng ta giảm mức công việc đi 50% công việc đó là quá trình làm GAP, chích sách, các quy trình, các kiểm soát rủi ro... sẽ không phải làm khi triển khai PCI-DSS. và không conlict nhau mà ISO mềm dẻo theo yêu cầu của PCI-DSS
Có câu ví dí dỏm của chuyên gia Mark Edward Stirling Bernard
Information Security Management Program Expert nói "Bạn có thể xem như ISO 27001 là ông nội còn PCI-DSS là cháu của ông nội ISO" . thật đúng.
PCI-DSS đưa ra 12 yêu cầu bảo mật rất cụ thể và hướng tổ chức phải xử lý các rủi ro để đáp ứng 12 yêu cầu trên.Đối với ISO lại khác đưa ra 133 yêu cầu kiểm soát và chúng ta xử lý rủi ro bằng cách chuyển, chấp nhận và xử lý rủi ro, ISO hướng tới chính sách, quy trình nhằm quản lý vận hành hệ thống tổ chức đảm bảo tính liên tục, đúng ra sản phẩm của nó là tập chính sách, quy trình và rất mềm dẻo khi triển khai có thể tùy thuộc đặc thù của từng tổ chức mà có thể chuyển, chấp nhận hoặc xử lý rủi ro. Đến đây các bạn hiểu được liệu cơ quan triển khai hai chuẩn này thì có bị Conflict nhau? điều này hoàn toàn không mà nếu tổ chức bạn triển khai một chuẩn nào đó trước thì việc triển khai chuẩn còn lại sẽ dễ dàng hơn nhiều. Vì số công việc GAP sẽ giảm đi rất nhiều, nếu chúng ta triển khai ISO 27001 trước thì sau triển khai PCI _DSS chúng ta giảm mức công việc đi 50% công việc đó là quá trình làm GAP, chích sách, các quy trình, các kiểm soát rủi ro... sẽ không phải làm khi triển khai PCI-DSS. và không conlict nhau mà ISO mềm dẻo theo yêu cầu của PCI-DSS
Có câu ví dí dỏm của chuyên gia Mark Edward Stirling Bernard
Information Security Management Program Expert nói "Bạn có thể xem như ISO 27001 là ông nội còn PCI-DSS là cháu của ông nội ISO" . thật đúng.
Khác
nhau
|
PCI
DSS
|
IS27001
|
Tiền
thân
|
Bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán , được hợp thành từ 5 chương trình khác nhau của các “đại gia” thẻ tín dụng quốc tế: 12/2004 | Xuất phát từ phần 1 của Tiêu chuẩn Anh BS 77999 là tiêu chuẩn ISO/IEC 17799:2000 mà hiện nay tồn tại dưới phiên bản được sửa đổi ISO/IEC 17799:2005 |
| Không phải là chuẩn quốc tế, mà là quy chuẩn khi muốn tham gia các tổ chức thẻ (Nếu không triển khai , khi xảy ra sự cố bảo mật Ngân hàng có thể bị mức phạt) | ISO là tiêu chuẩn tự nguyện của tổ chức | |
| PCI là sự pha trộn của Mục tiêu kiểm soát và điều khiển và chức năng ở một mức độ khác nhau cho hầu hết các phần | ISO là tập trung vào việc thiết lập các mục tiêu kiểm soát, và là hướng nhiều hơn đối với các cấp quản lý | |
| Là một hệ thống quản lý dựa trên một phương pháp tiếp cận rủi ro hệ thống kinh doanh, thành lập, thực hiện, vận hành, theo dõi, xem xét, duy trì, và cải thiện an ninh thông tin | ||
| Thực hiện kiểm xoá |
Bắt
buộc
|
Cơ sở dựa trên đánh giá rủi ro |
Phạm
vi của tiêu chuẩn ISO bảo mật rộng hơn so với DSS
PCI
PCI-DSS
chỉ áp cho cơ quan tổ chức xử lý, truyền tải và lưu trữdữ liệu chủ thẻ.
|
ISO 27000 series có thể áp dụng cho bất kỳ tổ chức muốn thực hiện một khuôn khổ an ninh để bảo vệ dữ liệu cá nhân hoặc kinh doanh nhạy cảm | |
| Với PCI DSS, những rủi ro có phần dễ dàng hơn để dự đoán ngành công nghiệp thanh toán đã thực sự ghi nhận những rủi ro xung quanh xử lý, truyền tải và lưu trữ các khoản thanh toán giao dịch và dữ liệu liên quan | ISO 27001 có cấu trúc gồm chính sách, thủ tục, hướng dẫn thực hiện công việc được hướng dẫn trong. ISO 27002 bao gồm các kiểm soát an ninh thực tế cần làm theo | |
| PCI DSS
có một cấu trúc bao gồm 12 yêu cầu, chính sách, thủ
tục và kiểm soát. Nó không thực sự cung cấp tài
liệu hướng dẫn bảo mật định dạng. |
||
| ISO đòi
hỏi một cách tiếp cận dựa trên
đánh giá rủi ro. ISO 27001 linh hoạt hơn về phạm vi, kiểm soát, tuân thủ và thực thi |
Với PCI DSS phần xác định rủi ro dễ dàng hơn vì tính cụ thể của nó đó chính là những rủi ro xung quanh xử lý, truyền tải và
lưu trữ các tài khoản thẻ thanh toán. |
|