CẤU TRÚC TIÊU CHUẨN ISO 27001:2013

Category: ISO 27001:2013 Post Date:

CẤU TRÚC TIÊU CHUẨN ISO 27001:2013

Cấu trúc tiêu chuẩn ISO 27001 bao gồm 10 phần. 03 Điều khoản đầu là giới thiệu, phạm vi và thuật ngữ. Các yêu cầu chính nằm ở 07 điều khoản sau (từ phần 4 đến phần 10 của Tiêu chuẩn).

07 điều khoản chính : đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống quản lý An toàn thông tin (ISMS) của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn. Cấu trúc tiêu chuẩn ISO 27001 cụ thể như sau: 

 

Điều khoản 4 – Phạm vi tổ chức

Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp.

Điều khoản 5 – Lãnh đạo

Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ thống ISMS. Bao gồm các yêu cầu về cam kết của lãnh đạo trong việc xây dựng và duy trì hệ thống. Các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống.

Điều khoản 6 – Lập kế hoạch

Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro. Sau đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT. Và kế hoạch để đạt được mục tiêu đó.

Điều khoản 7 – Hỗ trợ

Yêu cầu đối với việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực ATTT và ISMS, số hóa thông tin.

Điều khoản 8 – Vận hành hệ thống

Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đã đề ra. Đồng thời cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý.

Điều khoản 9 – Đánh giá hiệu năng hệ thống

Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá Hệ thống ATTT. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống. Đảm bảo đánh giá được toàn bộ hoạt động của hệ thống. Đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục. Nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ chức.

Điều khoản 10 – Cải tiến hệ thống

Giữ vững nguyên tắc Kế hoạch – Thực hiện – Kiểm tra – Hành  động (P-D-C-A). Tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS không ngừng được cải tiến. Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục, phòng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của Hệ thống ISMS.

Phụ lục A – Các mục tiêu và biện pháp kiểm soát

Phụ lục A đưa ra 14 lĩnh vực kiểm soát. Nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm: chính sách của lãnh đạo tổ chức, tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự, các nguyên tắc căn bản để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT….

Các lĩnh vực kiểm soát của Phụ lục A. Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được. Và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.

Các bước triển khai Hệ thống quản lý An toàn thông tin (ISMS) – ISO 27001:2013:

Các bước dưới đây được triển khai để đáp ứng ác yêu cầu của tiêu chuẩn ISO/ IEC 27001: 2013:

– Bước 1: Khảo sát và lập kế hoạch.
– Bước 2: Xác định phương pháp quản lý rủi ro ATTT.
– Bước 3: Xây dựng hệ thống đảm bảo ATTT tại tổ chức.
– Bước 4: Triển khai áp dụng: các biện pháp đã lựa chọn, đáp ứng chính sách, quy định, quy trình đã xây dựng và yêu cầu của tiêu chuẩn ISO/IEC 27001:2013.
– Bước 5: Đánh giá nội bộ. Khắc phục các điểm không phù hợp với các quy định của tổ chức và yêu cầu của tiêu chuẩn.

Sau khi thực hiện xong bước 5. Tổ chức có thể mời các đơn vị độc lập để đánh giá và cấp Chứng nhận. Chứng minh sự phù hợp với tiêu chuẩn ISO/IEC 2701:2013 cho Hệ thống quản lý ATTT đã xây dựng.

Một số lưu ý của tiêu chuẩn ISO 27001:2013

Hệ thống quản lý ATTT là nhu cầu thiết yếu của tổ chức, đảm bảo ATTT một cách toàn diện. Xây dựng hệ thống ISMS theo tiêu chuẩn ISO/IEC 27001: 2013 sẽ giúp hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ. Do tiêu chuẩn ISO/IEC 27001:2013 xem xét đảm bảo ATTT trên nhiều khía cạnh. Nên việc xây dựng và áp dụng hệ thống đòi hỏi phải có sự quyết tâm của lãnh đạo tổ chức. Và sự phối hợp đồng bộ các bộ phận của tổ chức trong việc xây dựng và duy trì hệ thống.

Những vấn đề khó khăn, cần lưu ý khi tổ chức bắt tay vào xây dựng hệ thống ISMS là:

  • Nhận thức của người dùng trong tổ chức về việc đảm bảo ATTT.  Đánh giá lợi ích mang lại khi áp dụng hệ thống ISMS chưa cao.
  • Trách nhiệm xây dựng, duy trì hệ thống được phân công không phù hợp. Đơn vị được giao không nhận được sự phối hợp, cộng tác của các đơn vị khác trong tổ chức.
  • Việc xây dựng và nâng cấp hệ thống cần sự quan tâm của lãnh đạo và đầu tư nguồn lực thích đáng.

Văn phòng chứng nhận quốc gia GOOD VIỆT NAM hỗ trợ khách hàng trong việc áp dụng thực hiện và đạt chứng nhận ISO 27001. Hãy gọi ngay cho chúng tôi để được hỗ trợ tốt nhất!

LIÊN HỆ: 0945.001.005 – 0963.831.555 – 02466.82.0505

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !

Share this post

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *