Hệ thống quản lý ATTT theo tiêu chuẩn ISO/IEC 27019:2017 tại Trung tâm Điều độ Hệ thống điện TP.HCM

Ngày đăng : 30/06/2024

Trung tâm Điều độ Hệ thống điện TP.HCM (Trung tâm) là đơn vị trực thuộc Tổng công ty Điện lực TP.HCM, được giao nhiệm vụ chỉ huy, quản lý vận hành toàn bộ hệ thống điện thuộc địa bàn khu vực TP.HCM. Chịu trách nhiệm đảm bảo cung ứng điện an toàn, liên tục, ổn định và kinh tế, đáp ứng nhu cầu phát triển kinh tế - xã hội, quốc phòng - an ninh trên địa bàn TP.HCM.
Trong suốt giai đoạn vừa qua, Trung tâm đã đáp ứng yêu cầu chỉ huy vận hành an toàn, ổn định và tin cậy một lưới điện  ngày càng lớn và hiện đại. Trung tâm đã đảm nhận tốt vai trò tiên phong trong việc ứng dụng có hiệu quả công nghệ SCADA vào vận hành lưới điện với việc tự động hóa lưới điện và trạm không người trực ngày càng được mở rộng.
Đi cùng với khoa học công nghệ ngày càng hiện đại thì các cuộc tấn công mạng cũng ngày càng tinh vi và phức tạp, mức độ ảnh hưởng ngày càng nghiêm trọng và phạm vi ngày càng rộng lớn.
Hiện tại Trung tâm đang quản lý và vận hành hai Trung tâm điều khiển xa bao gồm các hệ thống thông tin trọng yếu như hệ thống SCADA/DMS của Alstom, hệ thống SCADA/DAS Survalent. Hiện Trung tâm được trang bị đầy đủ các giải pháp ATTT theo đúng định hướng của EVN, bao gồm 8 nhóm như sau: 
- Cổng bảo mật một chiều (USG - Unidirectional Security Gateways).
- Cổng bảo mật hai chiều (BSG - Bidirectional Security Gateways).
- Giải pháp tường lửa thế hệ mới cho mạng lõi.
- Giải pháp lưu trữ nhật ký tập trung (Logger).
- Giải pháp quản lý mật khẩu đặc quyền (PIM - Privileged Identity Management).
- Kiểm soát truy cập vật lý.
- Giải pháp xác thực mạng (2FA - Two factor authentication).
- Giải pháp bảo mật cho máy chủ (EPS - EndPoint Security).
Nhận thức được tầm quan trọng của trong việc đảm bảo ATTT cho hệ thống SCDA/DMS/DAS  trong hoàn cảnh diễn biến phức tạp về ATTT, bên cạnh các giải pháp ATTT, Trung tâm đã thiết lập, triển khai thực hiện, duy trì hệ thống tiêu chuẩn kỹ thuật ATTT đối với ngành công nghiệp năng lượng và thường xuyên nâng cao hiệu lực của hệ thống theo các yêu cầu của tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC 27019:2017 được mô tả theo mô hình PDCA (Plan - Do - Check - Action):  
- Plan: Thực hiện thiết lập chính sách, mục tiêu an toàn thông tin, các quy trình, quy định, hướng dẫn thực hiện hệ thống quản lý ATTT, hệ thống tiêu chuẩn kỹ thuật ATTT đối với ngành công nghiệp năng lượng.
- Do: Ban hành và triển khai thực hiện hệ thống quản lý ATTT, hệ thống tiêu chuẩn kỹ thuật ATTT đối với ngành công nghiệp năng lượng.
- Check: Thực hiện kiểm tra, đánh giá quá trình thực hiện.
- Action: Thực hiện hành động khắc phục, cải tiến hệ thống quản lý ATTT, hệ thống tiêu chuẩn kỹ thuật ATTT đối với ngành công nghiệp năng lượng.
 

Việc xây dựng các tiêu chuẩn cho lĩnh vực công nghiệp năng lượng áp dụng ISO/IEC 27001 được xây dựng dựa trên các yêu cầu về cách bổ sung, hiệu chỉnh hoặc giải thích các yêu cầu của ISO/IEC 27001 và cách bổ sung hoặc sửa đổi các hướng dẫn của ISO/IEC 27002 để sử dụng theo lĩnh vực an toàn thông tin cho ngành công nghiệp năng lượng ISO/IEC 27019. Cách thức xây dựng các tiêu chuẩn trong lĩnh vực công nghiệp năng lượng ISO/IEC 27019 cụ thể tuân thủ theo cấu trúc đã được quy định chung theo PHỤ LỤC của tiêu chuẩn về các yêu cầu chung ISO/IEC 27002.
Việc mở rộng các yêu cầu trong ISO 27001 và các biện pháp kiểm soát trong ISO 27002 đối với lĩnh vực công nghiệp năng lượng ISO/IEC 27019:2017 tuân thủ theo hướng:
Các yêu cầu bổ sung, hiệu chỉnh hoặc giải thích theo ISO/IEC 27001:

Các hướng dẫn bổ sung hoặc sửa đổi theo ISO/IEC 27002:
 

Hệ thống tài liệu quản lý ATTT được thiết kế chung theo 04 mức được mô tả trong sơ đồ dưới đây, trong đó các tài liệu thuộc tầng dưới chịu tác động và ảnh hưởng của các tài liệu thuộc tầng trên.
 

Hiện tại, Trung tâm đã ban hành Bộ tài liệu ISO 27019 áp dụng trong Trung tâm bao gồm 18 quy trình kiểm soát và 01 sổ tay an toàn thông tin. Trung tâm đã thực hiện đánh giá chứng nhận ISO 27019:2017 trong tháng 06/2023. Trong năm 2024 và các năm tiếp theo, Trung tâm tiếp tục rà soát và thực hiện việc đánh giá lại hàng năm. 
Hệ thống quản lý ATTT theo tiêu chuẩn ISO/IEC 27019:2017 đã mang lại các lợi ích cho Trung tâm như sau:
- Cung cấp bằng chứng cho người sử dụng, nhà đầu tư, đối tác và các bên liên quan, hệ thống đang được quản lý bảo mật thông tin theo các thông lệ quốc tế tốt nhất.
- Có bộ khung tiêu chuẩn ISO/IEC để thực thi đảm bảo an toàn bảo mật thông tin từ khâu đầu tư mua sắm, nghiệm thu, vận hành, bảo trì và nâng cấp cải tạo và mở rộng.
- Xây dựng các yêu cầu cần thiết để tổ chức nhân sự, trang bị phần cứng, phần mềm bảo mật, và yêu cầu phần mềm SCADA, và các hệ thống phụ trợ liên quan đáp ứng tiêu chuẩn ISO/IEC.
- Hàng năm có các chương trình đào tạo, kịch bản diễn tập sự cố đúng tiêu chuẩn ISO/IEC để đảm bảo hệ thống bảo mật thông tin là tối ưu chi phí.
- Bộ tiêu chuẩn ISO/IEC khi được cấp sẽ là thước đo về khả năng đáp ứng và cần phải tiếp tục xây dựng đề luôn duy trì áp dụng, cải tiến đáp ứng việc thực thi các chính sách ATTT phù hợp với thực tế từng giai đoạn.
EVNHCMC đã đưa vào vận hành hệ thống giám sát ATTT cho mạng OT và IT. Theo đó, hệ thống giám sát ATTT đã tuân thủ theo yêu cầu theo bộ tiêu chuẩn ISO/IEC đã đáp ứng được các yêu cầu đảm bảo ATTT như sau: 
- Bảo vệ tính toàn vẹn của thông tin, không để rơi vào tay người lạ hay bị thất lạc thông tin.
- Phát hiện sớm các rủi ro mà hệ thống thông tin trọng yếu phải đối mặt. Từ đó có các biện pháp phù hợp và kịp thời.
- Nâng cao sự tin cậy trong vận hành.
- Giảm thiểu tối đa thời gian gián đoạn nếu có sự cố an ninh xảy ra.
- Đội ngũ nhân viên một phong cách làm việc mới, hiện đại, năng động, kỷ luật và hiệu quả.
- Nâng cao chất lượng dịch vụ khách hàng, hình ảnh thương hiệu của EVNHCMC.
Việc triển khai Hệ thống quan lý ATTT theo tiêu chuẩn ISO/IEC 27019:2017 tại Trung tâm trong năm 2023 đã góp phần đáng kể trong việc đảm bảo ATTT cho các hệ thống thông tin phục vụ điều hành, vận hành lưới điện của EVNHCMC. Đồng thời thực hiện hoàn chỉnh các mô hình nhằm đảm bảo ATTT theo đúng định hướng của EVN bao gồm “Con người - Qui trình - Công nghệ”.