ỨNG DỤNG ISO/IEC 27001:2013 VÀ 27019:2017 TRONG CÔNG TÁC VẬN HÀNH, QUẢN LÝ ATTT MẠNG IT & OT TẠI EVNHCMC

Ngày đăng : 29/06/2022

Thông tin và các hệ thống, quy trình, con người liên quan đều là tài sản quí giá của tổ chức. Tất cả các tài sản đều có giá trị trong tổ chức và cần được bảo vệ thích hợp trước các mối đe dọa từ bên ngoài cũng như bên trong nội bộ để đảm bảo cho hệ thống hoạt động liên tục, giảm thiểu các rủi ro và đạt được hiệu suất làm việc cao nhất cũng như hiệu quả trong đầu tư.

Bên cạnh những rủi ro về an toàn thông tin (ATTT) do bị tấn công phá hoại có chủ đích, tổ chức cũng có thể gặp phải những rủi ro đối với thông tin trong trường hợp các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ,... Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro. 
ISO 27000 Series of Standards

Đối với ngành điện là doanh nghiệp đặc thù phải duy trì hệ thống công nghệ thông tin (CNTT) 24/7 và các dữ liệu được lưu trữ rất quan trọng, việc áp dụng tiêu chuẩn ISO/IEC 27001:2013 sẽ giúp ngành điện kiểm soát được các mối nguy tiềm ẩn có thể gây mất ATTT. 
Theo đó, EVNHCMC đã triển khai áp dụng hệ thống quản lý ANTT theo tiêu chuẩn ISO 27001:2013 và đạt chứng nhận tháng 7/2017 nhằm đảm bảo cho các hệ thống thông tin trọng yếu thuộc mạng IT và mạng OT được an toàn, tin cậy đáp ứng cho kế hoạch chuyển đổi số và kế hoạch phát triển lưới điện thông minh trong toàn Tổng công ty. 
Hiện nay, EVNHCM đang triển khai áp dụng ISO/IEC 27019:2017 (Information technology - Security techniques - Information security controls for the energy utility industry) nhằm tăng cường ATTT cho các hệ thống điều khiển lưới điện, hệ thống điều khiển tại các trạm biến áp 110/220 kV; trạm ngắt và các thiết bị đóng cắt 22 kV. Dự kiến áp dụng vào cuối năm 2022.
Việc áp dụng ISO/IEC 27001:2013 và ISO/IEC 27019:2027 giúp tăng cường ATTT cho hoạt động của EVNHCMC, đặc biệt trong các hoạt động sau:
- Công nghệ điều khiển, giám sát và tự động hóa quá trình trung tâm và phân tán cũng như các hệ thống thông tin được sử dụng.
- Bộ điều khiển kỹ thuật số và các thành phần tự động hóa như thiết bị điều khiển và thiết bị hiện trường hoặc Bộ điều khiển logic lập trình (PLC), bao gồm các phần tử cảm biến và cơ cấu chấp hành kỹ thuật số.
- Tất cả các hệ thống thông tin hỗ trợ thêm được sử dụng trong lĩnh vực kiểm soát quá trình, ví dụ cho các nhiệm vụ trực quan hóa dữ liệu bổ sung và cho các mục đích kiểm soát, giám sát, lưu trữ dữ liệu, ghi nhật ký sử học, báo cáo và tài liệu.
- Công nghệ truyền thông được sử dụng trong lĩnh vực điều khiển quá trình, ví dụ như mạng, đo từ xa, các ứng dụng điều khiển từ xa và công nghệ điều khiển từ xa.
- Các thành phần của cơ sở hạ tầng đo đếm nâng cao (AMI), ví dụ như đồng hồ thông minh.
- Hệ thống an toàn và bảo vệ kỹ thuật số, ví dụ như rơ le bảo vệ, PLC an toàn, cơ cấu điều tốc khẩn cấp.
- Hệ thống quản lý năng lượng, ví dụ như hệ thống tài nguyên năng lượng phân tán (DER), cơ sở hạ tầng nạp điện trong các hộ gia đình tư nhân, tòa nhà dân cư hoặc cơ sở lắp đặt của khách hàng công nghiệp.
- Các thành phần phân tán của môi trường lưới điện thông minh, ví dụ như trong lưới năng lượng, trong các hộ gia đình tư nhân, các tòa nhà dân cư hoặc các cơ sở lắp đặt của khách hàng công nghiệp.
- Tất cả phần mềm, chương trình cơ sở và ứng dụng được cài đặt trên các hệ thống nêu trên, ví dụ như ứng dụng DMS (Hệ thống quản lý phân phối) hoặc OMS (Hệ thống quản lý sự cố).
- Bảo trì từ xa cho các hệ thống thông tin.