ISO 27001:2013 – Hệ thống quản lý An toàn thông tin

Tùy thuộc vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có các phương thức tiếp cận khác nhau để xây dựng Hệ thống quản lý An toàn thông tin (ATTT) phù hợp. Hệ thống quản lý ATTT theo tiêu chuẩn quốc tế – ISO 27001: 2013 đề cập khá đầy đủ các yêu cầu đảm bảo ATTT của một tổ chức.

1. Hệ thống quản lý  an toàn thông tin (ISMS)

Theo ISO/IEC 27001: 2013, thông tin và các hệ thống, quy trình đều là tài sản của tổ chức. Tất cả các tài sản đều có giá trị quan trọng trong hoạt động của tổ chức. Chúng cần được bảo vệ thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau. Nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.

Bên cạnh những rủi ro về ATTT do bị tấn công phá hoại có chủ đích. Tổ chức cũng có thể gặp phải những rủi ro đối với thông tin nếu:

  • Nếu các quy trình quản lý, vận hành không đảm bảo.
  • Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ.
  • Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ….

Do đó, ngoài các biện pháp kỹ thuật. Tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro.

ISO 27001 sẽ giúp tổ chức kiểm soát và định hướng cho các hoạt động đảm bảo ATTT. Hệ thống vận hành tốt sẽ giúp đảm bảo ATTT tại tổ chức được duy trì liên tục. Chúng được xem xét đánh giá định kỳ và cải tiến để đối phó với các rủi ro phát sinh. Các hoạt động đảm bảo ATTT trong tổ chức sẽ mang tính hệ thống. Giảm sự phụ thuộc vào nhân viên và luôn được xem xét, đánh giá để nâng cao hiệu quả.

LỢI ÍCH TRIỂN KHAI ÁP DỤNG ISO 27001:2013

ISO 27001: 2013 có thể áp dụng cho mọi tổ chức có nhu cầu bảo vệ thông tin. Việc triển khai Hệ thống ISMS theo ISO 27001 sẽ giúp tổ chức đạt được các lợi ích sau:

  • Đảm bảo ATTT của tổ chức, đối tác và khách hàng. Giúp cho hoạt động của tổ chức luôn thông suốt và an toàn.
  • Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày.
  • Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến. Các biện pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ.
  • Đảm bảo hoạt động của tổ chức không bị gián đoạn bởi các sự cố liên quan đến ATTT.
  • Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác. Thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế.

CẤU TRÚC CỦA TIÊU CHUẨN ISO 27001: 2013

Tiêu chuẩn quốc tế ISO/IEC 27001: 2013 cung cấp mô hình thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và nâng cấp Hệ thống ISMS.

Xây dựng Hệ thống ISMS như thế nào là quyết định chiến lược của một tổ chức. Thiết kế và triển khai Hệ thống ISMS của tổ chức phụ thuộc vào mục tiêu, yêu cầu về ATTT. Phụ thuộc vào các quy trình đang vận hành, quy mô và cơ cấu của tổ chức… ISMS phải luôn được xem xét, cập nhật để phù hợp với những thay đổi của tổ chức. Nhằm nâng cao mức độ an toàn với Hệ thống lưu trữ, xử lý thông tin. Ngoài ra, tổ chức cũng cần cân nhắc chi phí đầu tư xây dựng và triển khai ISMS phù hợp với nhu cầu đảm bảo ATTT.

ISO/IEC 27001 đưa các yêu cầu cho việc thiết lập, vận hành và giám sát hoạt động của ISMS. ISO đưa ra các nguyên tắc cơ bản cho việc khởi tạo, thực thi, duy trì và cải tiến ISMS. Tiêu chuẩn này đưa ra các quy tắc bảo mật thông tin và đánh giá sự tuân thủ đối với các bộ phận bên trong tổ chức, xây dựng các yêu cầu bảo mật thông tin mà đối tác, khách hàng cần phải tuân thủ khi làm việc với tổ chức. 

Đây cũng là công cụ để các nhà lãnh đạo thực hiện giám sát, quản lý các Hệ thống thông tin. Giảm thiểu rủi ro và tăng cường mức độ an toàn, bảo mật cho các tổ chức.

TỔ CHỨC CHỨNG NHẬN ISO | GOODVN

Văn phòng chứng nhận Quốc gia – GOOD Việt Nam là Tổ chức chứng nhận được cấp phép và chỉ định bởi Bộ Khoa học Công nghệ. GOODVN được phép đánh giá và cấp chứng nhận tiêu chuẩn ISO.

Quy trình đánh giá chứng nhận của GOODVN tuân thủ quy định của pháp luât và quy tắc của Tổ chức tiêu chuẩn thế giới ISO.

Chứng chỉ ISO do GOODVN trực tiếp cấp có giá trị toàn quốc toàn quốc thông qua logo và dấu hiệu chứng nhận.

Chứng chỉ hiện đại ứng dụng công nghệ 4.0

Với phương châm hoạt động “Đánh giá một lần -> Cấp một chứng chỉ -> Được chấp nhận ở mọi nơi” và theo xu hướng công nghệ 4.0. GOODVN là tổ chức chứng nhận ở Việt Nam thiết lập Hệ thống truy xuất chứng chỉ thông qua mã QR codeNhằm đảm bảo mọi khách hàng và đối tác của khách hàng ở mọi nơi đều có thể truy xuất được giá trị hiệu lực của chứng chỉ thông qua phần mềm quét mã QR code trên điện thoại thông minh tới hệ thống tra cứu khách hàng trên Website của Tổ chức chứng nhận. Việc này giúp công khai, minh bạch giá trị của chứng chỉ và có thể check thông tin ở mọi nơi, mọi lúc.

Hãy gọi ngay cho chúng tôi để được tư vấn và hỗ trợ tốt nhất: 

LIÊN HỆ: 0945.001.005 – 0963.831.555 – 02466.82.0505

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !


cau-truc-tieu-chuan-iso-27001

CẤU TRÚC TIÊU CHUẨN ISO 27001:2013

CẤU TRÚC TIÊU CHUẨN ISO 27001:2013

Cấu trúc tiêu chuẩn ISO 27001 bao gồm 10 phần. 03 Điều khoản đầu là giới thiệu, phạm vi và thuật ngữ. Các yêu cầu chính nằm ở 07 điều khoản sau (từ phần 4 đến phần 10 của Tiêu chuẩn).

07 điều khoản chính : đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống quản lý An toàn thông tin (ISMS) của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn. Cấu trúc tiêu chuẩn ISO 27001 cụ thể như sau: 

 

Điều khoản 4 – Phạm vi tổ chức

Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp.

Điều khoản 5 – Lãnh đạo

Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ thống ISMS. Bao gồm các yêu cầu về cam kết của lãnh đạo trong việc xây dựng và duy trì hệ thống. Các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống.

Điều khoản 6 – Lập kế hoạch

Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro. Sau đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT. Và kế hoạch để đạt được mục tiêu đó.

Điều khoản 7 – Hỗ trợ

Yêu cầu đối với việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực ATTT và ISMS, số hóa thông tin.

Điều khoản 8 – Vận hành hệ thống

Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đã đề ra. Đồng thời cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý.

Điều khoản 9 – Đánh giá hiệu năng hệ thống

Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá Hệ thống ATTT. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống. Đảm bảo đánh giá được toàn bộ hoạt động của hệ thống. Đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục. Nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ chức.

Điều khoản 10 – Cải tiến hệ thống

Giữ vững nguyên tắc Kế hoạch – Thực hiện – Kiểm tra – Hành  động (P-D-C-A). Tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS không ngừng được cải tiến. Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục, phòng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của Hệ thống ISMS.

Phụ lục A – Các mục tiêu và biện pháp kiểm soát

Phụ lục A đưa ra 14 lĩnh vực kiểm soát. Nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm: chính sách của lãnh đạo tổ chức, tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự, các nguyên tắc căn bản để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT….

Các lĩnh vực kiểm soát của Phụ lục A. Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được. Và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.

Các bước triển khai Hệ thống quản lý An toàn thông tin (ISMS) – ISO 27001:2013:

Các bước dưới đây được triển khai để đáp ứng ác yêu cầu của tiêu chuẩn ISO/ IEC 27001: 2013:

– Bước 1: Khảo sát và lập kế hoạch.
– Bước 2: Xác định phương pháp quản lý rủi ro ATTT.
– Bước 3: Xây dựng hệ thống đảm bảo ATTT tại tổ chức.
– Bước 4: Triển khai áp dụng: các biện pháp đã lựa chọn, đáp ứng chính sách, quy định, quy trình đã xây dựng và yêu cầu của tiêu chuẩn ISO/IEC 27001:2013.
– Bước 5: Đánh giá nội bộ. Khắc phục các điểm không phù hợp với các quy định của tổ chức và yêu cầu của tiêu chuẩn.

Sau khi thực hiện xong bước 5. Tổ chức có thể mời các đơn vị độc lập để đánh giá và cấp Chứng nhận. Chứng minh sự phù hợp với tiêu chuẩn ISO/IEC 2701:2013 cho Hệ thống quản lý ATTT đã xây dựng.

Một số lưu ý của tiêu chuẩn ISO 27001:2013

Hệ thống quản lý ATTT là nhu cầu thiết yếu của tổ chức, đảm bảo ATTT một cách toàn diện. Xây dựng hệ thống ISMS theo tiêu chuẩn ISO/IEC 27001: 2013 sẽ giúp hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ. Do tiêu chuẩn ISO/IEC 27001:2013 xem xét đảm bảo ATTT trên nhiều khía cạnh. Nên việc xây dựng và áp dụng hệ thống đòi hỏi phải có sự quyết tâm của lãnh đạo tổ chức. Và sự phối hợp đồng bộ các bộ phận của tổ chức trong việc xây dựng và duy trì hệ thống.

Những vấn đề khó khăn, cần lưu ý khi tổ chức bắt tay vào xây dựng hệ thống ISMS là:

  • Nhận thức của người dùng trong tổ chức về việc đảm bảo ATTT.  Đánh giá lợi ích mang lại khi áp dụng hệ thống ISMS chưa cao.
  • Trách nhiệm xây dựng, duy trì hệ thống được phân công không phù hợp. Đơn vị được giao không nhận được sự phối hợp, cộng tác của các đơn vị khác trong tổ chức.
  • Việc xây dựng và nâng cấp hệ thống cần sự quan tâm của lãnh đạo và đầu tư nguồn lực thích đáng.

Văn phòng chứng nhận quốc gia GOOD VIỆT NAM hỗ trợ khách hàng trong việc áp dụng thực hiện và đạt chứng nhận ISO 27001. Hãy gọi ngay cho chúng tôi để được hỗ trợ tốt nhất!

LIÊN HỆ: 0945.001.005 – 0963.831.555 – 02466.82.0505

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !

Read more...
xay-dung-he-thong-iso-27001

XÂY DỰNG HỆ THỐNG ISMS ĐẠT CHỨNG CHỈ ISO 27001

Chứng chỉ ISO 27001 là bằng chứng cho việc doanh nghiệp đã xây dựng được Hệ thống quản lý an toàn thông tin đạt tiêu chuẩn. Vậy xây dựng hệ thống Quản lý an toàn thông tin thế nào là đạt tiêu chuẩn ? Chúng tôi muốn Doanh nghiệp cần nắm được những vấn đề cơ bản về tiêu chuẩn. Cách xây dựng hệ thống tốt để đạt được chứng chỉ ISO 27001.

GIỚI THIỆU VỀ ISO 27001

ISO/IEC 2700 là một tiêu chuẩn về hệ thống quản lý bảo mật thông tin. ISO/IEC 2700 do tổ chức Quốc tế về Tiêu chuẩn hoá (ISO) ban hành.

ISO/IEC 27001 đặt ra các yêu cầu cho một hệ thống quản lý bảo mật an toàn thông tin (ISMS). ISO/IEC 27001 được thiết kế nhằm đảm bảo việc lựa chọn cách thức kiểm soát tương ứng và đầy đủ.

ISO/IEC 27001 giúp bảo vệ tài sản thông tin và tạo sự tin tưởng cho các bên liên quan. Đặc biệt là các khách hàng của bạn. Tiêu chuẩn đưa ra một phương pháp tiếp cận quá trình cho việc thiết lập, thực hiện, điều hành, giám sát, xem xét, duy trì và cải tiến ISMS của bạn.

Tiêu chuẩn ISO/IEC 27001 thích hợp với mọi tổ chức không phân biệt quy mô, loại hình, khu vực. Tiêu chuẩn này đặc biệt thích hợp với các tổ chức mà việc bảo mật thông tin là quan trọng. Đặc biệt là trong lĩnh vực tài chính, y tế , cộng đồng và công nghệ thông tin.

ISO/IEC 27001 cũng hiệu quả đối với các tổ chức quản lý thông tin cho các tổ chức khác. Như các công ty thuê nguồn lực IT ở bên ngoài tổ chức. Tiêu chuẩn này có thể được sử dụng như một lời khẳng định với khách hàng rằng thông tin của họ đang được bảo mật.

XÂY DỰNG HỆ THỐNG ISMS ĐẠT CHỨNG CHỈ ISO 27001

Information Security Management System, hay ISMS là một bộ qui định (như chính sách, qui trình, hướng dẫn, biểu mẫu…). ISMS được thực hiện trong một tổ chức (doanh nghiệp, trường học) để đảm bảo hệ thống thông tin của tổ chức được an ninh, an toàn một cách phù hợp với mục tiêu kinh doanh của tổ chức. 

CHỨNG CHỈ ISO 27001Lý do chính để tồn tại của doanh nghiệp là kinh doanh để phát triển tài sản (asset). Vì vậy, có thể nói, tài sản là nền tảng của doanh nghiệp. Điều phức tạp là tài sản hiện nay rất phong phú và tồn tại dưới nhiều dạng khác nhau. Người ta có thể phân ra 6 loại hình thức tồn tại của tài sản khác nhau là:

– Thông tin số.
– Giấy tờ tài liệu.
– Phần mềm.
– Phần cứng/vật lý.
– Con người.
– Các dịch vụ bổ sung.

Với việc phân loại tài sản thành 6 loại. Chúng ta có thể dễ dàng hơn trong việc khởi đầu công tác xây dựng ISMS là liệt kê và định giá tất cả các tài sản của doanh nghiệp.

Liệt kê tài sản

Đây là một công việc không quá khó. Chúng ta có thể căn cứ vào danh sách trang thiết bị phần cứng, phần mềm. Danh sách các loại văn bản phát sinh trong quá trình hoạt động của tổ chức. Danh sách con người, danh sách các dịch vụ mà tổ chức có sử dụng. Ví dụ: các hợp đồng trên máy tính và trên giấy, danh sách khách hàng, các brochure, danh sách nhân viên cơ quan…

Sau khi có danh sách đầy đủ các tài sản. Chúng ta có thể hạn chế phạm vi việc triển khai hệ thống ISMS bằng cách loại ra các tài sản mà chúng ta nghĩ rằng chưa cần thiết lập hệ thống bảo vệ (ít ra là trong giai đoạn này). Ví dụ ta chưa xét đến việc bảo vệ hệ thống điện lạnh, hệ thống bàn ghế nội thất … Tập hợp tài sản còn lại sẽ là xuất phát điểm của tất cả các bước tiếp theo của ISMS.

VÍ DỤ VỀ LIỆT KÊ TÀI SẢN

Định giá tài sản

Với danh sách các tài sản cần xem xét bảo vệ. Chúng ta phải tiến hành đánh giá giá trị của chúng. Đây là việc không khó nếu ta xét giá trị tài sản bằng với chi phí để ta có nó. Tuy nhiên, nó trở nên nan giải hơn nhiều nếu chúng ta xét đến giá trị của tài sản thông qua chi phí, thiệt hại nếu chúng ta mất hoặc bị lộ nó. Ví dụ như sơ đồ kết nối mạng chẳng hạn.

Chúng ta mất một chi phí vừa phải đxây dựng sơ đồ. Nhưng nếu chúng ta lộ sơ đồ mạng ra thì ta sẽ có hậu quả gì ? Thiệt hại là bao nhiêu tiền ? Bị xâm nhập qua đó chúng ta sẽ mất uy tín, mất khách hàng thì sẽ thiệt hại bao nhiêu ? Nếu chúng ta suy luận quá thì bản sơ đồ mạng có khi có giá hơn cả 1 căn nhà. Còn nếu chúng ta xét đơn giản là một thiết kế với 5 ngày công thì lại quá đơn giản, để đâu cũng được.

Cái khó của đánh giá giá trị tài sản là sao cho vừa phải. Đây chính là khó khăn đầu tiên cần vượt qua để xây dựng ISMS. Chuyển giá trị từ định lượng (bao nhiêu tiền) qua định tính (rất đắt/đắt/rẻ…) là một phương án có thể làm đơn giản hóa khâu định giá này. Chuyên gia tư vấn có thể giúp chúng ta có được một đánh giá vừa phải và được chấp nhận ở đa số các tổ chức khác để chúng ta tham chiếu.

Xác định các hiểm nguy (threat)

Bước tiếp theo là xác định các threat (theo tiếng Anh). Ý tưởng ở đây là phải liệt kê ra các hiểm nguy, đe dọa có thể đối với khối tài sản mà chúng ta đã liệt kê ở trên. Chúng ta cần liệt kê hết, kể cả những đe dọa rất xa vời như ngày tận thế. Đến những hiểm nguy cụ thể hơn như mất mật khẩu, mất máy tính xách tay. Vì tính chất liệt kê hết những mối đe dọa mà chưa tính đến liệu nó có thể xảy ra trên thực tế hay chỉ do chúng ta tưởng tượng ra, cho nên tôi chọn cách dịch từ threat là hiểm nguy hay đe dọa.

Tính toán các nguy cơ (risk)

Như vậy chúng ta đã có 2 thứ trong tay. Đó là danh sách tài sản cùng giá trị của chúngtập hợp các hiểm nguy. Giờ chúng ta sẽ liệt kê dạng “vét cạn” mỗi hiểm nguy với mỗi tài sản. Với mỗi cặp (tài sản, hiểm nguy) chúng ta cần đưa ra đánh giá khả năng nó xảy ra trên thực tế thế nào. Nói theo thuật ngữ khoa học là tính xác suất của hiểm nguy. Nó biểu thị dưới dạng liệu nó xảy ra bao nhiêu lần trong tháng, trong năm.

Đây là một đánh giá khó khăn và rất kỹ thuật. Ví dụ, chúng ta có 10 nhân viên, mỗi người có 2 mật khẩu. Vậy khả năng lộ mật khẩu là bao nhiêu trong tháng, trong năm ? Tổ chức có thể bị lộ trung bình 1 mật khẩu trong 1 tháng hay không? Danh sách khách hàng của chúng ta liệu có bị lộ 1 lần trong 1 năm không ? Nếu chúng ta làm được những đánh giá này thì thật tuyệt vời vì chúng ta có thể lượng hóa tất cả những nguy cơ do mất an ninh gây ra.

Trên thực tế, việc này không đơn giản nên người ta có thể chấp nhận đánh giá dạng định tính, không chính xác nhưng dễ làm hơn. Ví dụ như việc mất mật khẩu xảy ra với nguy cơ “cao”, lộ bảng lương cán bộ công nhân viên xảy ra với khả năng “thấp”.

BẢNG MA TRẬN ĐÁNH GIÁ RỦI RO

Tính toán thiệt hại

Nếu chúng ta làm tốt các bước trên thì bước đánh giá thiệt hại khi mất an ninh chỉ còn là bài toán số học. Chúng ta có thể lấy tích của giá trị tài sản với khả năng mất chúng. Kết quả để lượng giá được khả năng mất tiền trong một năm nếu chúng ta cứ tiếp tục duy trì hoạt động của tổ chức như hiện nay. Với những nguy cơ lớn và giá trị tài sản mất cao. Thiệt hại nhiều khi có thể khiến công ty phải đóng cửa. Ở phần này, ta không có công thức sẵn sàng để sử dụng. Chúng ta cần phải đề xuất cách thức tính phù hợp với nhu cầu của tổ chức. Ví dụ một cách tính khác là:

Thiệt hại = xác suất xảy ra sự cố + hậu quả của sự cố + giá trị tài sản bị mất.

Trong đó các thành phần của công thức đều được định tính hóa cho đơn giản. Như “hậu quả sự cố” bằng điểm 3/2/1 ứng với mức cao/vừa/thấp.

Với các kết quả tính toán các thiệt hại có thể xảy ra, chúng ta đứng trước câu hỏi: Vậy giờ chúng ta cần làm gì?

Biện pháp giảm thiểu nguy cơ (risk)

Đứng trước nguy cơ cùng lượng giá thiệt hại, chúng ta có thể có mấy lựa chọn:

Chấp nhận. Không làm gì thêm cả và chấp nhận thiệt hại nếu nguy cơ trở thành hiện thực.

Giảm thiểu. Cần có các biện pháp để giảm thiểu khả năng xảy ra nguy cơ xuống mức độ có thể chấp nhận được. Đây là lựa chọn phổ biến nhất khi chúng ta bắt tay vào xây dựng ISMS.

Chuyển tiếp nguy cơ. Tìm cách để chia sẻ nguy cơ này với đối tác khác. Hình thức phổ biến nhất là mua bảo hiểm. Tổ chức bảo hiểm sẽ cùng chia sẻ thiệt hại cho ta nếu nguy cơ xảy ra thật.

Các giải pháp để giảm thiểu nguy cơ

Giải pháp đảm bảo an tinh thông tin ISO 27001

Nếu chúng ta chọn phương án giảm thiểu thì chúng ta có ngay một câu hỏi tiếp theo là giảm thiểu bằng biện pháp nào. Đây là công đoạn mà các nhà kỹ thuật phải vào cuộc. Để bảo vệ một tài sản thông tin hoặc liên quan tới thông tin. Chúng ta có mấy biện pháp thông thường như sau:

– Xây dựng hệ thống bảo vệ bằng các trang thiết bị chuyên dụng như tường lửa, phát hiện xâm nhập…
– Tăng thêm nhân viên về số lượng và/hoặc chất lượng.
– Đào tạo huấn luyện nhân viên.
– Xây dựng các qui trình, hướng dẫn, biểu mẫu để mọi người phải tuân thủ.
– Xác định trách nhiệm cá nhân thật rõ ràng. Quy định rõ ai chịu trách nhiệm tới đâu với từng tài sản, từng nguy cơ nếu xảy ra là một công tác bắt buộc và được nhấn mạnh trong công cuộc xây dựng hệ thống ISMS.
– Xây dựng hệ thống dự phòng để nếu xảy ra cả những nguy cơ lớn nhất thì chúng ta cũng không bị “đóng cửa”.

Để thực hiện khâu này doanh nghiệp nền làm theo ISO 27002. Đây chính là tập hợp các best practices. Tạm dịch là ứng xử tốt nhất, để giảm thiểu các nguy cơ về an ninh thông tin. Đây là tập hợp các giải pháp, các lời khuyên đã được đúc kết, trải nghiệm ở nhiều nơi trên thực tế để nâng cao mức độ an ninh an toàn của một hệ thống CNTT. Vì vậy, chúng ta có thể tham khảo, xem xét lựa chọn các giải pháp từ ISO 27002 để áp dụng cho tổ chức của mình.

Đánh giá chi phí cho giải pháp và đưa ra quyết định

Đề ra các biện pháp giảm thiểu nguy cơ là một công việc rất kỹ thuật. Vì vậy, chi phí để thực hiện nó là điều mà các nhà kỹ thuật rất ít quan tâm, hoặc không có khả năng đánh giá. Chúng ta đừng quên là các biện pháp trên là để bảo vệ tài sản. Và tài sản có giá trị nhất định (thường là hữu hạn) của nó.

Chúng ta không thể đầu tư 10 đồng để bảo vệ tài sản trị giá 5 đồng. Nếu các bạn trả lời “có thể” thì tôi nghĩ chúng ta nên quay lại phần định giá giá trị tài sản. Có lẽ nó còn quan trọng hơn điều chúng ta nghĩ hoặc chúng ta còn đánh giá thiếu điều gì chăng?

Ở bước này, chúng ta sẽ phải làm một bài toán kinh tế thuần túy là đầu tư bao nhiêu để giảm thiểu thiệt hại xuống bao nhiêu. Trả lời câu hỏi “kế họach này có đúng trên phương diện kinh tế không? Sau khi đã giảm thiểu nguy cơ và giá trị có thể bị mất, nguy cơ và thiệt hại còn lại có chấp nhận được hay không đối với tổ chức?”.

Với mỗi câu trả lời “không”, chúng ta lại phải rà soát lại tất cả những công đoạn đã thực hiện ở trên, xem xét lại các phương án, giải pháp để giảm thiểu nguy cơ cùng chi phí của nó. Cho đến khi tất cả các câu trả lời là “có” thì chúng ta đã hòan thành một kế họach xây dựng hệ thống ISMS.

Triển khai ISMS

Sau khi bản kế hoạch xây dựng hệ thống ISMS. Bao gồm danh sách tài sản cùng giá trị của nó. Các nguy cơ cùng thiệt hại có thể. Các phương án, biện pháp để giảm thiểu nguy cơ và thiệt hại xuống mức chấp nhận được đối với tổ chức. Công tác tiếp theo là nên đưa ra bản kế họach ra thực tế.

Các hoạt động cụ thể của công tác triển khai này là:

– Thiết kế lại, đầu tư bổ sung các thành phần kỹ thuật.
– Xây dựng các qui định, qui trình, hướng dẫn và, đặc biệt là triển khai đào tạo.
– Hướng dẫn để những qui định này được nắm bắt bởi mọi nhân viên, cán bộ của tổ chức.

Đây chính là yếu tố quyết định. Quyết định đến mức nếu lãnh đạo không quan tâm đủ, không dành đủ thời gian cho xây dựng ISMS thì giải pháp tốt nhất là đừng làm ISMS cho đến khi suy nghĩ của lãnh đạo thay đổi.

Nếu chúng ta đi đến đây, tôi nghĩ là chúng ta đã có được hệ thống ISMS. Hệ thống này tốt hay xấu, hòan thiện hay không, chúng ta khó mà khẳng định. Cũng như khó mà làm cho đối tác, khách hàng của chúng ta tin tưởng vào hệ thống ISMS này. Đây là lúc các tổ chức đánh giá chứng chỉ (Certification Body) vào cuộc. Họ sẽ kiểm tra đánh giá và cấp một chứng nhận là hệ thống này “đạt chuẩn”. Nếu nó thỏa mãn các yêu cầu của tiêu chuẩn ISO 27001. Vậy thì tổ chức đánh giá họ sẽ làm thế nào ?

QUY TRÌNH ĐÁNH GIÁ VÀ CẤP CHỨNG CHỈ ISO 27001

Quá trình đánh giá để cấp chứng chỉ sẽ được thực hiện bởi một tổ chức chứng nhận. Tổ chức này không thể là tổ chức đã tư vấn về ISMS cho chúng ta. Tránh trường hợp “vừa đá bóng, vừa thổi còi”.

Qui trình đánh giá thường gồm 2 giai đoạn cơ bản là: Quy trình cấp chứng chỉ ISO 27001

Đánh giá trên tài liệu

Để đảm bảo tính đầy đủ của hệ thống văn bản giấy tờ. Nói một cách khác là kiểm tra “đã viết hết nhưng gì định làm” chưa ?

Đánh giá trên thực tế

Để đảm bảo những điều chúng ta định làm là được thực hiện trên thực tế. Nói một cách khác là kiểm tra “làm đúng những gì đã viết” chưa ?

Chúng tôi không đi sâu vào quá trình chứng nhận tại bài viết này. Nên chỉ đề cập tới một ý trong phương pháp mà tổ chức chứng nận thực hiện. Đó là SoA

Quá trình kiểm tra – Statement of Applicability (SoA)

Với quá trình kiểm tra, Statement of Applicability (SoA), hay điều khoản thực hiện, đóng một vai trò quan trọng. Trong ISO 27001, các SoA được phát biểu dưới dạng các “Control objectives and controls”. Hiện nay ISO 27001 có 133 SoA.

Việc kiểm tra để cấp chứng chỉ tốt nhất được thực hiện qua các điều khoản SoA. Ví dụ của một SoA là “Ownership of assets”. Nó có yêu cầu là “All information and assets associated with information processing facilities shall be owned by a designated part of the organization”. Tạm dịch là yêu cầu phải có tính sở hữu đối với tài sản. Cụ thể là tất cả các tài sản đều phải có người/tổ chức sở hữu. Nói khác là không được có tài sản mà không biết ai là người sở hữu, chịu trách nhiệm.

Với điều khoản kiểm tra này, có thể nói là người đánh giá rất dễ dàng xác định chúng ta có thỏa mãn yêu cầu hay không. Với bộ 133 điều khoản kiểm tra người đánh giá có thể yên tâm rằng tất cả các vấn đề liên quan tới bảo đảm an ninh thông tin đều được rà soát. Người đánh giá không bị “cuốn” theo logic của người xây dựng hệ thống ISMS thông qua lộ trình xuất phát từ tài sản. Nếu hoạt động của chúng ta không liên quan tới một điều khoản kiểm tra (control) nào đó, chúng ta có thể bỏ nó ra khỏi phạm vi đánh giá với điều kiện phải giải thích rõ tại sao chúng ta loại bỏ.

TỔ CHỨC CHỨNG NHẬN ISO | GOODVN

GOODVN hỗ trợ khách hàng trong việc áp dụng thực hiện và đạt chứng nhận ISO 27001. Hãy gọi ngay cho chúng tôi để được hỗ trợ tốt nhất!

Văn phòng chứng nhận Quốc gia – GOOD Việt Nam là Tổ chức chứng nhận được cấp phép và chỉ định bởi Bộ Khoa học Công nghệ. GOODVN được phép đánh giá và cấp chứng nhận tiêu chuẩn ISO.

Quy trình đánh giá chứng nhận của GOODVN tuân thủ quy định của pháp luât và quy tắc của Tổ chức tiêu chuẩn thế giới ISO.

Chứng chỉ ISO do GOODVN trực tiếp cấp có giá trị toàn quốc toàn quốc thông qua logo và dấu hiệu chứng nhận.

Chứng chỉ hiện đại ứng dụng công nghệ 4.0

Với phương châm hoạt động “Đánh giá một lần -> Cấp một chứng chỉ -> Được chấp nhận ở mọi nơi” và theo xu hướng công nghệ 4.0. GOODVN là tổ chức chứng nhận ở Việt Nam thiết lập Hệ thống truy xuất chứng chỉ thông qua mã QR codeNhằm đảm bảo mọi khách hàng và đối tác của khách hàng ở mọi nơi đều có thể truy xuất được giá trị hiệu lực của chứng chỉ thông qua phần mềm quét mã QR code trên điện thoại thông minh tới hệ thống tra cứu khách hàng trên Website của Tổ chức chứng nhận. Việc này giúp công khai, minh bạch giá trị của chứng chỉ và có thể check thông tin ở mọi nơi, mọi lúc.

Hãy gọi ngay cho chúng tôi để được tư vấn và hỗ trợ tốt nhất: 

LIÊN HỆ: 0945.001.005 – 0963.831.555 – 02466.82.0505

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !

Read more...
visitor-analytics_security-management_ISO27001

ISO/IEC 27001 – TIÊU CHUẨN QUẢN LÝ AN NINH THÔNG TIN

Tiêu chuẩn ISO 27001 là tiêu chuẩn quốc tế về thông tin hoặc quản lý an ninh. Viết tắt của Information Security Management System – ISMS. Tiêu chuẩn vạch ra phương pháp để thực hiện hệ thống quản lý an ninh thông tin. Tiêu chuẩn là căn cứ để chứng nhận cho hệ thống đó. Nó giúp bạn giải quyết câu hỏi “an ninh thông tin là gì ?. Tiêu chuẩn cho phép bạn bảo đảm các số liệu và dữ liệu mật một cách hiệu quả hơn. Qua đó giảm thiếu đến mức tối đa khả năng bị truy cập bất hợp pháp hoặc không được cho phép.

Với ISO/IEC 27001, bạn có thể chứng minh việc cam kết và tuân thủ về an ninh thông tin. Thông qua cung cấp dịch vụ cho khách hàng, nhà cung cấp và các bên liên quan về việc an ninh quan trọng hơn cách bạn vận hành.

ISMS là công cụ để các nhà lãnh đạo quản lý thực hiện việc giám sát, quản lý hệ thống thông tin. ISMS  tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin. Giúp đáp ứng được mục tiêu của doanh nghiệp, tổ chức.

Tiêu chuẩn ISO 27001 là tiêu chuẩn quốc tế đặc tả cho các hệ thống quản lý ATTT. Nó cung cấp một mô hình thống nhất để thiết lập, vận hành, duy trì và cải tiến hệ thống quản lý ATTT. Việc tuân thủ theo một hệ thống quản lý ISMS chính là quyết định chiến lược của mỗi tổ chức.

CÁC PHIÊN BẢN CỦA ISO/IEC 27001

Tiêu chuẩn BS 7799

Phiên bản đầu tiên của bộ tiêu chuẩn ISO 27000 là tiêu chuẩn BS 7799. BS 7799 được Viện Tiêu chuẩn Anh (Bristish Standards Institution – BSI) phát triển và được xuất bản. BS 7799 là Quy tắc thực tiễn cho việc quản lý ATTT (Code of Practice for Information Security Management) năm 1996. Năm 1998, tiêu chuẩn này có sự thay đổi nội dung “Quy tắc thực tiễn với việc quản lý ATTT” được chuyển thành Phần I. Phần nội dung “Chi tiết kỹ thuật cần có” chuyển thành Phần II.
Phần I của chuẩn BS 7799 là một hướng dẫn thi hành dựa trên đề nghị các kiểm soát ATTT. Nó là cơ sở hình thành tiêu chuẩn quốc tế ISO 17799:2000.

Tiêu chuẩn ISO/IEC 27002:2005. 

Từ năm 2005, tiêu chuẩn ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và đến năm 2007 được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005.
Phần II của chuẩn BS 7799 là một Hướng dẫn kiểm toán dựa trên các yêu cầu. Để được xác nhận chứng chỉ BS 7799. Tổ chức sẽ được kiểm toán dựa trên các điều kiện ở Phần II. Tháng 10/2005, tiêu chuẩn này được thay thế bằng tiêu chuẩn ISO/IEC 27001:2005.

Phiên bản mới nhất – Tiêu chuẩn ISO 27001:2013

Đến năm 2013, các tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới ISO 27001:2013; ISO 27002:2013.
Tiêu chuẩn ISO 27001:2013 có cấu trúc bao gồm 2 phần là “Điều khoản” và “Biện pháp kiểm soát”. Trong phần Điều khoản, từ mục 4 đến mục 10 là các yêu cầu bắt buộc khi tổ chức thực hiện áp dụng và đạt chứng nhận ISO 27001.

MỘT SỐ ĐIỂM KHÁC BIỆT GIỮA ISO 27001:2005 VÀ ISO 27001:2013

Bảng so sánh giữa các “Điều khoản” của phiên bản cũ lên phiên bản tiêu chuẩn:

Việc thay đổi cấu trúc giữa các “Điều khoản” của phiên bản mới so với phiên bản cũ với mục đích là đồng bộ cấu trúc, yêu cầu với các tiêu chuẩn quản lý khác như Hệ thống quản lý chất lượng ISO 9001:2008 và Hệ thống Quản lý rủi ro ISO 31000:2009. Ngoài ra, tiêu chuẩn đã bổ sung thêm mục “Bối cảnh của tổ chức” . Mục này giúp các tổ chức đánh giá được rõ hơn về hiện trạng của mình.

Trong phần Biện pháp kiểm soát. Phụ lục A, bao gồm 14 lĩnh vực với 35 mục tiêu kiểm soát (ứng với 114 biện pháp kiểm soát). Tổ chức sẽ lựa chọn những biện pháp kiểm soát trong số trên phù hợp với mình để áp dụng. 

Bảng so sánh giữa các “Biện pháp kiểm soát” của phiên bản mới và phiên bản cũ:

Sự thay đổi của “Biện pháp kiểm soát” trong phiên bản mới nhằm phù hợp hơn với xu hướng phát triển công nghệ, yêu cầu thực tiễn của các tổ chức và cũng cho thấy được sự quan tâm nhiều hơn đối với các kiểm soát an toàn mã hóa hay các vấn đề ATTT khi làm việc với nhà cung cấp. Đặc biệt, việc thay đổi thứ tự đưa vị trí của mục ATTT nhân sự lên trước mục quản lý tài sản cho thấy con người là một trong những yếu tố quan trọng nhất trong việc xây dựng, vận hành, duy trì và cải tiến hệ thống ISMS.

CẤU TRÚC TIÊU CHUẨN ISO 27001:2013

Cấu trúc tiêu chuẩn ISO 27001 bao gồm 10 phần.

Trong đó, 03 Điều khoản đầu là giới thiệu, phạm vi và thuật ngữ. Các yêu cầu chính nằm ở 07 điều khoản sau (từ phần 4 đến phần 10 của Tiêu chuẩn).

07 điều khoản chính : đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống quản lý An toàn thông tin (ISMS) của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn. Cấu trúc tiêu chuẩn ISO 27001 cụ thể như sau: 

Điều khoản 4 – Phạm vi tổ chức
Điều khoản 5 – Lãnh đạo.
Điều khoản 6 – Lập kế hoạch.
Điều khoản 7 – Hỗ trợ.
Điều khoản 8 – Vận hành hệ thống.
Điều khoản 9 – Đánh giá hiệu năng hệ thống.
Điều khoản 10 – Cải tiến hệ thống.

Phụ lục A – ISO 27001:2013 Các mục tiêu và biện pháp kiểm soát

Phụ lục A đưa ra 14 lĩnh vực kiểm soát. Nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm: chính sách của lãnh đạo tổ chức. Tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự. Các nguyên tắc để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT…

Các lĩnh vực kiểm soát của Phụ lục A. Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được. Và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.


Những lợi ích của ISO/IEC 27001 về quản lý an ninh thông tin là gì ?

  • Xác định rủi ro và thiết lập kiểm soát trong doanh nghiệp để quản lý và loại bỏ rủi ro.
  • Linh động trong việc thực hiện kiểm soát đối với tất cả các khu vực trong doanh nghiệp.
  • Có được niềm tin của khách hàng về việc dữ liệu của họ được bảo mật.
  • Chứng minh sự tuân thủ và có được sự tuân thủ của nhà cung cấp.
  • Đáp ứng điều kiện trong đấu thầu, dự án.

Chứng nhận ISO/IEC 27001 về Quản lý an ninh thông tin

An ninh thông tin là gì ? Nó là bảo đảm tính riêng tư cho những thông tin của bạn với hệ thống được chứng nhận ISO/IEC 27001. Chứng minh hệ thống có thể kiểm soát những rủi ro an ninh thông tin. Tuân thủ theo các tiêu chuẩn cấp thế giới có thể giúp bạn dành được sự tin tưởng của khách hàng và những cơ hội kinh doanh mới.


Làm thế nào để được chứng nhận ISO/IEC 27001

Chúng tôi đã làm cho quá trình chứng nhận ISO 27001 trở nên đơn giản. Chứng nhận ISO 27001. Trước khi đánh giá chứng nhận, doanh nghệp cần tự kiểm tra thông qua những bước sau:


1. Phân tích thiếu sót

Đây là một công việc thông qua đó Doanh nghệp có cái nhìn gần hơn với hệ thống quản lý an toàn của bạn và so sánh nó với những tiêu chuẩn của ISO 27001. Bước này giúp Doanh nghiệp nhận ra những khu vực cần chú ý nhiều hơn trước khi tiến hành đánh giá chính thức nhằm tiết kiệm thời gian và tiền bạc cho doanh nghiệp của bạn.


2. Đánh giá chính thức

Đánh giá chính thức trải qua hai giai đoạn. Đầu tiên, GOODVN sẽ xem lại công tác chuẩn bị cho việc đánh giá của tổ chức của bạn. thông qua việc đánh giá những quy trình cần thiết ISO/IEC 27001 và biện pháp kiểm soát đã được áp dụng. GOODVN sẽ đưa ra những điểm chưa phù hợp trong tài liệu hệ thống nếu có. Doanh nghiệp có thể khắc phục những điểm chưa phù hợp đó.
Nếu tất cả những yêu cầu tài liệu được đáp ứng theo tiêu chuẩn. GOODVN sẽ tiến hành đánh giá việc thực hiện quy trình và việc kiểm soát trong tổ chức của bạn để đảm bảo rằng doanh nghiệp của bạn đang hoạt động một cách hiệu quả như yêu cầu của tiêu chuẩn ISO 27001.

3Chứng nhận và sau khi chứng nhận

Khi doanh nghiệp của bạn đã được đánh giá và đạt yêu cầu. Doanh nghiệp của bạn sẽ nhận được một chứng chỉ ISO/IEC 27001 và có giá trị trong vòng 03 năm. GOODVN sẽ hỗ trợ khách hàng ở những năm tiếp theo. Nhằm đảm bảo hệ thống của bạn duy trì việc tuân thủ và được cải tiến..

Những lời khuyên dành cho việc thực hiện ISO/IEC 27001

  1. Có được sự thống nhất và giúp đỡ của giám đốc cấp cao.
  2. Gắn kết toàn bộ doanh nghiệp qua việc giao tiếp tốt trong nội bộ.
  3. Trả lời các câu hỏi như “an ninh thông tin là gì” và So sánh những hệ thống chất lượng hiện tại với yêu cầu ISO/IEC 27001.
  4. Có được sự phản hồi của khách hàng và nhà cung cấp về việc quản lý môi trường hiện tại.
  5. Thiết lập một đội thực hiện để có kết quả tốt nhất.
  6. Sắp xếp và chia sẻ vai trò, trách nhiệm và quy mô thời gian.
  7. Áp dụng những nguyên tắc cơ bản của việc quản lý môi trường đối với tổ chức của bạn.
  8. Thúc đẩy sự tham gia của nhân viên bằng việc đào tạo và khích lệ.
  9. Chia sẻ những hiểu biết về ISO/IEC 27001 và  đào tạo đánh giá viên nội bộ.
  10. Thường xuyên xem lại hệ thống ISO/IEC 27001 để cải tiến thường xuyên.

Văn phòng chứng nhận GOODVN hỗ trợ khách hàng trong việc áp dụng thực hiện và đạt chứng nhận ISO 27001. Hãy gọi ngay cho chúng tôi để được hỗ trợ tốt nhất!

LIÊN HỆ: 0945.001.005 – 0963.831.555 – 02466.82.0505

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !


Read more...
tu-van-va-chung-nhan-iso-27001-2013

QUY TRÌNH ĐẠT CHỨNG NHẬN ISO 27001:2013

Chứng nhận ISO 27001:2013

Chứng nhận ISO 27001 về Hệ thống quản lý an toàn thông tin là bằng chứng cho Doanh nghiệp về việc áp dụng ISO 270001. ISO 27001:2013 là một tiêu chuẩn có yêu cầu khá khắt khe. Để đạt được chứng nhận ISO 27001; Doanh nghiệp sẽ phải mất khá nhiều thời gian và công sức.

Vậy làm thế nào để đạt được chứng nhận ? Chúng tôi xin hướng dẫn doanh nghiệp áp dụng, xây dựng hệ thống để đạt được chứng nhận ISO 27001.

TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001:2013

Tùy thuộc vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có các phương thức tiếp cận khác nhau để xây dựng Hệ thống quản lý An toàn thông tin (ATTT) phù hợp. ISO 27001: 2013 đề cập khá đầy đủ các yêu cầu đảm bảo ATTT của một tổ chức.

Theo tiêu chuẩn ISO/IEC 27001: 2013. Thông tin và các hệ thống, quy trình, cán bộ liên quan đều là tài sản của tổ chức. Tất cả các tài sản đều có giá trị trong tổ chức và cần được bảo vệ thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau. Tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.

Bên cạnh những rủi ro về ATTT do bị tấn công phá hoại có chủ đích. Tổ chức cũng có thể gặp phải những rủi ro đối với thông tin. Nếu các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ…. Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro. 

LỢI ÍCH CỦA TIÊU CHUẨN ISO 27001

ISMS sẽ giúp tổ chức thực hiện việc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT. Việc Hệ thống vận hành tốt sẽ giúp công tác đảm bảo ATTT tại tổ chức được duy trì liên tục, được xem xét đánh giá định kỳ và không ngừng cải tiến để đối phó với các rủi ro mới phát sinh. Các hoạt động đảm bảo ATTT trong tổ chức sẽ mang tính hệ thống, giảm sự phụ thuộc vào cán bộ thực thi và luôn được xem xét, đánh giá để nâng cao hiệu quả.

ĐỐI TƯỢNG ÁP DỤNG ISO 27001

Tiêu chuẩn ISO 27001 áp dụng cho tất cả các tổ chức, không phân biệt quy mô, địa điểm. Đây là tiêu chuẩn mang tính chất tự nguyện, tập trung vào việc thiết lập, duy trì và cải tiến hệ thống quản lý bảo mật thông tin.

TỔ CHỨC CHỨNG NHẬN ISO | GOODVN

Văn phòng chứng nhận Quốc gia – GOOD Việt Nam là Tổ chức chứng nhận được cấp phép và chỉ định bởi Bộ Khoa học Công nghệ. GOODVN được phép đánh giá và cấp chứng nhận tiêu chuẩn ISO.

Quy trình đánh giá chứng nhận của GOODVN tuân thủ quy định của pháp luât và quy tắc của Tổ chức tiêu chuẩn thế giới ISO.

Chứng chỉ ISO do GOODVN trực tiếp cấp có giá trị toàn quốc toàn quốc thông qua logo và dấu hiệu chứng nhận.

Chứng chỉ hiện đại ứng dụng công nghệ 4.0

Với phương châm hoạt động “Đánh giá một lần -> Cấp một chứng chỉ -> Được chấp nhận ở mọi nơi” và theo xu hướng công nghệ 4.0. GOODVN là tổ chức chứng nhận ở Việt Nam thiết lập Hệ thống truy xuất chứng chỉ thông qua mã QR codeNhằm đảm bảo mọi khách hàng và đối tác của khách hàng ở mọi nơi đều có thể truy xuất được giá trị hiệu lực của chứng chỉ thông qua phần mềm quét mã QR code trên điện thoại thông minh tới hệ thống tra cứu khách hàng trên Website của Tổ chức chứng nhận. Việc này giúp công khai, minh bạch giá trị của chứng chỉ và có thể check thông tin ở mọi nơi, mọi lúc.

QUY TRÌNH ÁP DỤNG ISO 27001:2013 VÀO DOANH NGHIỆP

Tại mỗi doanh nghiệp, việc xây dựng, triển khai ISMS có những giải pháp khác nhau. Nó phụ thuộc vào quy mô, đặc trưng của tổ chức cũng như yêu cầu của tổ chức đó. Tuy nhiên, khi triển khai Hệ thống quản lý an toàn thông tin theo ISO 27001. Mỗi tổ chức cần phải thực hiện các bước cơ bản sau để đạt được chứng nhận ISO 27001:

Bước 1: Khảo sát hiện trạng của tổ chức

Áp dụng đạt chứng nhận ISO 27001
Khảo sát nhằm nắm bắt được thực trạng quản lý ATTT tại tổ chức đó. Đồng thời nắm bắt yêu cầu, mong muốn của Lãnh đạo cho việc quản lý ATTT.

Bước 2: Lập kế hoạch xây dựng ISMS

Trên cơ sở kết quả khảo sát hiện trạng của Doanh nghiệp. GOODVN sẽ đề xuất kế hoạch để xây dựng ISMS cho phù hợp với thực tế của tổ chức.

Bước 3: Xây dựng hệ thống tài liệu và triển khai áp dụng

Xây dựng các chính sách, quy định, quy trình về ATTT và ban hành các văn bản này. Sau khi ban hành, sẽ thực hiện áp dụng các yêu cầu, điều khoản của chính sách, quy định vào hệ thống CNTT với phạm vi đã được đưa ra trong văn bản ban hành.

Bước 4: Thực hiện đánh giá nội bộ trong tổ chức

Việc này giúp phát hiện các điểm không phù hợp với yêu cầu của tiêu chuẩn, chính sách, quy định. Từ đó, các tổ chức đưa ra kế hoạch khắc phục các điểm không phù hợp. Đồng thời, giai đoạn này cũng chuẩn bị cho việc đánh giá độc lập của một tổ chức đánh giá cấp chứng nhận chuyên nghiệp.

Bước 5: Đánh giá chứng nhậnÁp dụng đạt chứng nhận ISO 27001

Tổ chức đánh giá độc lập sẽ thực hiện đánh giá hệ thống ISO 27001 của đơn vị. Việc đánh giá xem Doanh nghiệp có đáp ứng các yêu cầu bắt buộc của tiêu chuẩn hay không. GOODVN sẽ tiến hành cấp Chứng nhận Hệ thống quản lý ATTT nếu đơn vị này đáp ứng điều kiện.
Việc tuân thủ và đạt được chứng chỉ ISO/IEC 27001: 2013 được xem như là sự thừa nhận của việc đáp ứng chuẩn quốc tế này. Đồng thời mang lại những lợi ích chắc chắn ở những cấp độ khác nhau, cụ thể:

Cấp độ tổ chức:

Sự cam kết: Chứng chỉ như là một cam kết hiệu quả của nỗ lực đưa an ninh an toàn hệ thống công nghệ thông tin của Doanh nghiệp đạt tiêu chuẩn quốc tế.

Cấp độ pháp luật:

Tuân thủ: Chứng minh cho cơ quan pháp luật có liên quan biết rằng Doanh nghiệp đã tuân theo tất cả các luật và các qui định áp dụng phù hợp với các chuẩn quốc tế.

Cấp độ điều hành:

Quản lý rủi ro: Mang lại những hiểu biết tốt hơn về các hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng cũng như đảm bảo khả năng sẵn sàng của hệ thống.

Cấp độ thương mại:

Sự tín nhiệm và tin cậy: Các thành viên, cổ đông và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của Doanh nghiệp trong việc bảo vệ thông tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.

Cấp độ tài chính:

Tiết kiệm chi phí khắc phục các lỗ hổng an ninh.

Cấp độ con người:

Cải tiến nhận thức của nhân viên về an ninh và trách nhiệm của họ trong tổ chức.

QUY TRÌNH CHỨNG NHẬN ISO 27001 | GOODVN

Quy trình chứng nhận ISO 27001 của GOODVN thực hiện qua các bước sau. Các bước thực hiện như vậy đảm bảo việc chứng nhận mang tính khách quan, đúng theo yêu cầu của tiêu chuẩn.

Bước 1: Trao đổi thông tin khách hàng

Mục đích trao đổi thông tin giữa tổ chức chứng nhận và khách hàng nhằm đảm bảo rằng các thông tin được trao đổi trước đó giữa 02 bên thống nhất, đảm bảo việc đánh giá chứng nhận đúng theo yêu cầu của Tiêu chuẩn và của khách hàng. Các thông tin cần trao đổi bao gồm:

– Các yêu cầu cơ bản của việc chứng nhận.
– Các bước của thủ tục chứng nhận.
– Tiêu chuẩn ứng dụng.
– Các chi phí dự tính.
– Chương trình kế hoạch làm việc

Bước 2: Đánh giá sơ bộQuy trình chứng nhận ISO 27001

Doanh nghiệp gửi tới cơ quan chứng nhận: Các tài liệu, hồ sơ liên quan đến việc áp dụng ISO 27001.

Tổ chức chứng nhận phân công chuyên gia trong lĩnh vực tương ứng đánh giá tình trạng thực tế về hồ sơ ISO 27001 nhằm phát hiện ra những điểm yếu của văn bản tài liệu và việc áp dụng hệ thống ISO 27001 tại thực địa.

Sau khi kiểm tra và đánh giá sơ bộ. Các chuyên gia phải chỉ ra được những vấn đề về hồ sơ tài liệu và thực tế áp dụng ISO 27001 cần chấn chỉnh để doanh nghiệp sửa chữa kịp thời. Bước đánh giá sơ bộ này rất có lợi cho doanh nghiệp. Vì nó đóng vai trò hướng dẫn khuôn mẫu cho bước tiến hành đánh giá chính thức.

Bước 3 : Đánh giá chính thức. Kiểm tra, thẩm định tại thực địa

– Đoàn đánh giá sẽ đến kiểm tra và thẩm định tại thực địa, xem xét sự phù hợp của các hồ sơ với thực tế, kiến nghị sửa chữa các điểm không phù hợp.
– Trong khi kiểm tra chứng nhận tại thực địa, sẽ xác định hiệu quả của hệ thống ISO 27001.
– Vai trò của doanh nghiệp trong quá trình kiểm tra là trình bày các ứng dụng thực tế của các thủ tục chương trình ISO 27001.
– Kết thúc kiểm tra tại thực địa, đoàn đánh giá sẽ tổ chức một buổi họp kết thúc. Doanh nghiệp sẽ có cơ hội đưa ra ý kiến về những gì kiểm tra tìm thấy đã nêu ra.

Bước 4: Cấp chứng nhận ISO 27001

Doanh nghiệp được cấp chứng nhận ISO 27001 nếu toàn bộ hồ sơ tài liệu đều phù hợp với thực tế. Và toàn bộ các điểm không phù hợp đã được khắc phục sửa chữa thỏa đáng. Đồng thời được trưởng đoàn đánh giá xác nhận.

Lưu ý: Giấy chứng nhận ISO 27001 sẽ có giá trị trong vòng 3 năm, và mỗi năm phải thực hiện đánh giá định kỳ 1 lần

LỢI ÍCH KHI ÁP DỤNG ISO 27001

– Bảo vệ tính toàn vẹn của thông tin, không để rơi vào tay người lạ hay bị thất lạc thông tin.
– Phát hiện sớm các rủi ro mà hệ thống thông tin phải đối mặt. Từ đó có các biện pháp phù hợp và kịp thời.
– Nâng cao sự tin cậy từ đối tác, khách hàng.
– Giảm thiểu thời gian gián đoạn nếu có sự cố an ninh xảy ra.
– Mang lại cho đội ngũ nhân viên một phong cách làm việc mới. Hiện đại, năng động và có tính kỷ luật cao.
– Tăng cường khả năng cạnh tranh, nâng cao hình ảnh thương hiệu của đơn vị.

TẠI SAO KHÁCH HÀNG NÊN CHỌN GOODVN :

GOODVN là một tổ chức chứng nhận độc lập, được công nhận về năng lực và chỉ định của Bộ Khoa học Công nghệ.
– Được sử dụng logo chứng nhận GOODVN sau khi được cấp chứng nhận. Giúp doanh nghiệp nâng cao hình ảnh với người tiêu dùng.
– Khi đến với GOODVN hình ảnh, thương hiệu và mức độ uy tín của tổ chức, doanh nghiệp sẽ được nâng lên một tầm cao mới, khả năng chiến thắng của doanh nghiệp trong cạnh tranh thị trường.
– Trình độ kiến thức chuyên sâu, đội ngũ chuyên gia trong và ngoài nước mang đến cho doanh nghiệp sự phát triển bền vững.
– Mở rộng cơ hội xuất khẩu hàng hóa sang thị trường Châu Âu và các nước khác trên thế giới cho doanh nghiệp.

GOODVN hỗ trợ khách hàng trong việc áp dụng thực hiện và đạt chứng nhận ISO 27001. Hãy gọi ngay cho chúng tôi để được hỗ trợ tốt nhất!

 LIÊN HỆ: 0945.001.005 – 0985.422.225 – 02466.82.0505

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !


Read more...