ISO/IEC 27001 – TIÊU CHUẨN QUẢN LÝ AN NINH THÔNG TIN

Category: ISO 27001:2013 Post Date:

Tiêu chuẩn ISO 27001 là tiêu chuẩn quốc tế về thông tin hoặc quản lý an ninh. Viết tắt của Information Security Management System – ISMS. Tiêu chuẩn vạch ra phương pháp để thực hiện hệ thống quản lý an ninh thông tin. Tiêu chuẩn là căn cứ để chứng nhận cho hệ thống đó. Nó giúp bạn giải quyết câu hỏi “an ninh thông tin là gì ?. Tiêu chuẩn cho phép bạn bảo đảm các số liệu và dữ liệu mật một cách hiệu quả hơn. Qua đó giảm thiếu đến mức tối đa khả năng bị truy cập bất hợp pháp hoặc không được cho phép.

Với ISO/IEC 27001, bạn có thể chứng minh việc cam kết và tuân thủ về an ninh thông tin. Thông qua cung cấp dịch vụ cho khách hàng, nhà cung cấp và các bên liên quan về việc an ninh quan trọng hơn cách bạn vận hành.

ISMS là công cụ để các nhà lãnh đạo quản lý thực hiện việc giám sát, quản lý hệ thống thông tin. ISMS  tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin. Giúp đáp ứng được mục tiêu của doanh nghiệp, tổ chức.

Tiêu chuẩn ISO 27001 là tiêu chuẩn quốc tế đặc tả cho các hệ thống quản lý ATTT. Nó cung cấp một mô hình thống nhất để thiết lập, vận hành, duy trì và cải tiến hệ thống quản lý ATTT. Việc tuân thủ theo một hệ thống quản lý ISMS chính là quyết định chiến lược của mỗi tổ chức.

CÁC PHIÊN BẢN CỦA ISO/IEC 27001

Tiêu chuẩn BS 7799

Phiên bản đầu tiên của bộ tiêu chuẩn ISO 27000 là tiêu chuẩn BS 7799. BS 7799 được Viện Tiêu chuẩn Anh (Bristish Standards Institution – BSI) phát triển và được xuất bản. BS 7799 là Quy tắc thực tiễn cho việc quản lý ATTT (Code of Practice for Information Security Management) năm 1996. Năm 1998, tiêu chuẩn này có sự thay đổi nội dung “Quy tắc thực tiễn với việc quản lý ATTT” được chuyển thành Phần I. Phần nội dung “Chi tiết kỹ thuật cần có” chuyển thành Phần II.
Phần I của chuẩn BS 7799 là một hướng dẫn thi hành dựa trên đề nghị các kiểm soát ATTT. Nó là cơ sở hình thành tiêu chuẩn quốc tế ISO 17799:2000.

Tiêu chuẩn ISO/IEC 27002:2005. 

Từ năm 2005, tiêu chuẩn ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và đến năm 2007 được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005.
Phần II của chuẩn BS 7799 là một Hướng dẫn kiểm toán dựa trên các yêu cầu. Để được xác nhận chứng chỉ BS 7799. Tổ chức sẽ được kiểm toán dựa trên các điều kiện ở Phần II. Tháng 10/2005, tiêu chuẩn này được thay thế bằng tiêu chuẩn ISO/IEC 27001:2005.

Phiên bản mới nhất – Tiêu chuẩn ISO 27001:2013

Đến năm 2013, các tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới ISO 27001:2013; ISO 27002:2013.
Tiêu chuẩn ISO 27001:2013 có cấu trúc bao gồm 2 phần là “Điều khoản” và “Biện pháp kiểm soát”. Trong phần Điều khoản, từ mục 4 đến mục 10 là các yêu cầu bắt buộc khi tổ chức thực hiện áp dụng và đạt chứng nhận ISO 27001.

MỘT SỐ ĐIỂM KHÁC BIỆT GIỮA ISO 27001:2005 VÀ ISO 27001:2013

Bảng so sánh giữa các “Điều khoản” của phiên bản cũ lên phiên bản tiêu chuẩn:

Việc thay đổi cấu trúc giữa các “Điều khoản” của phiên bản mới so với phiên bản cũ với mục đích là đồng bộ cấu trúc, yêu cầu với các tiêu chuẩn quản lý khác như Hệ thống quản lý chất lượng ISO 9001:2008 và Hệ thống Quản lý rủi ro ISO 31000:2009. Ngoài ra, tiêu chuẩn đã bổ sung thêm mục “Bối cảnh của tổ chức” . Mục này giúp các tổ chức đánh giá được rõ hơn về hiện trạng của mình.

Trong phần Biện pháp kiểm soát. Phụ lục A, bao gồm 14 lĩnh vực với 35 mục tiêu kiểm soát (ứng với 114 biện pháp kiểm soát). Tổ chức sẽ lựa chọn những biện pháp kiểm soát trong số trên phù hợp với mình để áp dụng. 

Bảng so sánh giữa các “Biện pháp kiểm soát” của phiên bản mới và phiên bản cũ:

Sự thay đổi của “Biện pháp kiểm soát” trong phiên bản mới nhằm phù hợp hơn với xu hướng phát triển công nghệ, yêu cầu thực tiễn của các tổ chức và cũng cho thấy được sự quan tâm nhiều hơn đối với các kiểm soát an toàn mã hóa hay các vấn đề ATTT khi làm việc với nhà cung cấp. Đặc biệt, việc thay đổi thứ tự đưa vị trí của mục ATTT nhân sự lên trước mục quản lý tài sản cho thấy con người là một trong những yếu tố quan trọng nhất trong việc xây dựng, vận hành, duy trì và cải tiến hệ thống ISMS.

CẤU TRÚC TIÊU CHUẨN ISO 27001:2013

Cấu trúc tiêu chuẩn ISO 27001 bao gồm 10 phần.

Trong đó, 03 Điều khoản đầu là giới thiệu, phạm vi và thuật ngữ. Các yêu cầu chính nằm ở 07 điều khoản sau (từ phần 4 đến phần 10 của Tiêu chuẩn).

07 điều khoản chính : đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống quản lý An toàn thông tin (ISMS) của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn. Cấu trúc tiêu chuẩn ISO 27001 cụ thể như sau: 

Điều khoản 4 – Phạm vi tổ chức
Điều khoản 5 – Lãnh đạo.
Điều khoản 6 – Lập kế hoạch.
Điều khoản 7 – Hỗ trợ.
Điều khoản 8 – Vận hành hệ thống.
Điều khoản 9 – Đánh giá hiệu năng hệ thống.
Điều khoản 10 – Cải tiến hệ thống.

Phụ lục A – ISO 27001:2013 Các mục tiêu và biện pháp kiểm soát

Phụ lục A đưa ra 14 lĩnh vực kiểm soát. Nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm: chính sách của lãnh đạo tổ chức. Tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự. Các nguyên tắc để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT…

Các lĩnh vực kiểm soát của Phụ lục A. Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được. Và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.


Những lợi ích của ISO/IEC 27001 về quản lý an ninh thông tin là gì ?

  • Xác định rủi ro và thiết lập kiểm soát trong doanh nghiệp để quản lý và loại bỏ rủi ro.
  • Linh động trong việc thực hiện kiểm soát đối với tất cả các khu vực trong doanh nghiệp.
  • Có được niềm tin của khách hàng về việc dữ liệu của họ được bảo mật.
  • Chứng minh sự tuân thủ và có được sự tuân thủ của nhà cung cấp.
  • Đáp ứng điều kiện trong đấu thầu, dự án.

Chứng nhận ISO/IEC 27001 về Quản lý an ninh thông tin

An ninh thông tin là gì ? Nó là bảo đảm tính riêng tư cho những thông tin của bạn với hệ thống được chứng nhận ISO/IEC 27001. Chứng minh hệ thống có thể kiểm soát những rủi ro an ninh thông tin. Tuân thủ theo các tiêu chuẩn cấp thế giới có thể giúp bạn dành được sự tin tưởng của khách hàng và những cơ hội kinh doanh mới.


Làm thế nào để được chứng nhận ISO/IEC 27001

Chúng tôi đã làm cho quá trình chứng nhận ISO 27001 trở nên đơn giản. Chứng nhận ISO 27001. Trước khi đánh giá chứng nhận, doanh nghệp cần tự kiểm tra thông qua những bước sau:


1. Phân tích thiếu sót

Đây là một công việc thông qua đó Doanh nghệp có cái nhìn gần hơn với hệ thống quản lý an toàn của bạn và so sánh nó với những tiêu chuẩn của ISO 27001. Bước này giúp Doanh nghiệp nhận ra những khu vực cần chú ý nhiều hơn trước khi tiến hành đánh giá chính thức nhằm tiết kiệm thời gian và tiền bạc cho doanh nghiệp của bạn.


2. Đánh giá chính thức

Đánh giá chính thức trải qua hai giai đoạn. Đầu tiên, GOODVN sẽ xem lại công tác chuẩn bị cho việc đánh giá của tổ chức của bạn. thông qua việc đánh giá những quy trình cần thiết ISO/IEC 27001 và biện pháp kiểm soát đã được áp dụng. GOODVN sẽ đưa ra những điểm chưa phù hợp trong tài liệu hệ thống nếu có. Doanh nghiệp có thể khắc phục những điểm chưa phù hợp đó.
Nếu tất cả những yêu cầu tài liệu được đáp ứng theo tiêu chuẩn. GOODVN sẽ tiến hành đánh giá việc thực hiện quy trình và việc kiểm soát trong tổ chức của bạn để đảm bảo rằng doanh nghiệp của bạn đang hoạt động một cách hiệu quả như yêu cầu của tiêu chuẩn ISO 27001.

3Chứng nhận và sau khi chứng nhận

Khi doanh nghiệp của bạn đã được đánh giá và đạt yêu cầu. Doanh nghiệp của bạn sẽ nhận được một chứng chỉ ISO/IEC 27001 và có giá trị trong vòng 03 năm. GOODVN sẽ hỗ trợ khách hàng ở những năm tiếp theo. Nhằm đảm bảo hệ thống của bạn duy trì việc tuân thủ và được cải tiến..

Những lời khuyên dành cho việc thực hiện ISO/IEC 27001

  1. Có được sự thống nhất và giúp đỡ của giám đốc cấp cao.
  2. Gắn kết toàn bộ doanh nghiệp qua việc giao tiếp tốt trong nội bộ.
  3. Trả lời các câu hỏi như “an ninh thông tin là gì” và So sánh những hệ thống chất lượng hiện tại với yêu cầu ISO/IEC 27001.
  4. Có được sự phản hồi của khách hàng và nhà cung cấp về việc quản lý môi trường hiện tại.
  5. Thiết lập một đội thực hiện để có kết quả tốt nhất.
  6. Sắp xếp và chia sẻ vai trò, trách nhiệm và quy mô thời gian.
  7. Áp dụng những nguyên tắc cơ bản của việc quản lý môi trường đối với tổ chức của bạn.
  8. Thúc đẩy sự tham gia của nhân viên bằng việc đào tạo và khích lệ.
  9. Chia sẻ những hiểu biết về ISO/IEC 27001 và  đào tạo đánh giá viên nội bộ.
  10. Thường xuyên xem lại hệ thống ISO/IEC 27001 để cải tiến thường xuyên.

Văn phòng chứng nhận GOODVN hỗ trợ khách hàng trong việc áp dụng thực hiện và đạt chứng nhận ISO 27001. Hãy gọi ngay cho chúng tôi để được hỗ trợ tốt nhất!

LIÊN HỆ: 0945.001.005 – 0963.831.555 – 02466.82.0505

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !


Share this post

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *