TIÊU CHUẨN ISO 27001 – Hệ thống Quản Lý An toàn thông tin

 GIỚI THIỆU TIÊU CHUẨN ISO 27001  

ISO 27001 là một tiêu chuẩn quốc tế được ban hành bởi Tổ chức tiêu chuẩn hóa quốc tế (ISO). ISO 27001 mô tả cách quản lý bảo mật thông tin trong một công ty. Phiên bản mới nhất của tiêu chuẩn này đã được xuất bản vào năm 2013 – ISO / IEC 27001: 2013. Phiên bản đầu tiên của tiêu chuẩn được xuất bản năm 2005. ISO 27001:2005 được phát triển dựa trên tiêu chuẩn BS 7799-2 của Anh.

ISO 27001 có thể được thực hiện trong bất kỳ loại tổ chức nào. ISO 27001 được viết bởi các chuyên gia giỏi nhất thế giới trong lĩnh vực bảo mật thông tin. ISO 27001 sẽ cung cấp phương pháp để thực hiện quản lý bảo mật thông tin trong một tổ chức. .

ISO 27001 đã trở thành tiêu chuẩn bảo mật thông tin phổ biến nhất trên toàn thế giới. Rất  nhiều công ty trên thế giới đã được chứng nhận.

 CÁCH HOẠT ĐỘNG CỦA TIÊU CHUẨN ISO 27001  

Trọng tâm của ISO 27001 là bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin trong một công ty. Điều này được thực hiện bằng cách tìm hiểu những vấn đề tiềm ẩn có thể xảy ra đối với thông tin (nghĩa là đánh giá rủi ro), và sau đó xác định những gì cần phải làm để ngăn chặn những vấn đề đó xảy ra (nghĩa là giảm thiểu rủi ro hoặc xử lý rủi ro).

ISO 27001 dựa trên việc quản lý rủi ro. Đơn giản là tìm ra rủi ro ở đâu và sau đó xử lý chúng một cách có hệ thống.

Các biện pháp bảo vệ (hoặc kiểm soát) sẽ được thực hiện ở dạng chính sách, quy trình và thực hiện kỹ thuật. Ví dụ: phần mềm và thiết bị… Tuy nhiên, trong hầu hết các trường hợp, các công ty đã có sẵn tất cả phần cứng và phần mềm. Nhưng họ đang sử dụng chúng theo cách không an toàn.

Do đó, việc thực hiện ISO 27001 sẽ là về việc thiết lập các quy tắc tổ chức. Ví dụ: viết tài liệu cần thiết để ngăn chặn vi phạm an ninh. Do việc triển khai như vậy sẽ đòi hỏi nhiều chính sách, thủ tục, con người, tài sản …

ISO 27001 đã mô tả cách kết hợp tất cả các yếu tố này với nhau trong hệ thống quản lý bảo mật thông tin (ISMS).

Vì vậy, quản lý bảo mật thông tin không chỉ là bảo mật CNTT. Ví dụ: tường lửa, chống vi rút, v.v.). Mà còn là quản lý các quy trình, bảo vệ pháp lý, quản lý nguồn nhân lực, bảo vệ vật lý, v.v.

 LỢI ÍCH CỦA TIÊU CHUẨN ISO 27001  

Có 4 lợi mà một công ty có thể đạt được khi thực hiện tiêu chuẩn ISO 27001. Cụ thể là:

Tuân thủ các yêu cầu pháp lý

Hiện này ngày càng có nhiều quy định pháp luật, quy định và yêu cầu hợp đồng liên quan đến bảo mật thông tin. Và họ chấp nhận ISO 27001 là bằng chứng đề đảm bảo việc bảo mật. Tiêu chuẩn này giúp Doanh nghiệp có phương pháp hoàn hảo để tuân thủ tất cả.

Đạt được lợi thế cạnh tranh

Nếu công ty của bạn được chứng nhận và đối thủ cạnh tranh thì không, bạn có thể có lợi thế hơn họ trong mắt những khách hàng nhạy cảm về việc giữ an toàn thông tin của họ.

Chi phí thấp hơn trong việc bảo mật

ISO 27001 giúp ngăn chặn sự cố bảo mật xảy ra. Khi sự cố xảy ra, dù lớn hay nhỏ, doanh nghiệp đều mất chi phí để xử lý. Do đó, bằng cách ngăn chặn chúng, công ty của bạn sẽ tiết kiệm được nhiều tiền hơn. Và nếu áp dụng ISO 27001, doanh nghiệp sẽ bỏ chi phí nhỏ hơn nhiều.

Tổ chức doanh nghiệp tốt hơn

Thông thường, các công ty tăng trưởng nhanh không có thời gian để xây dựng quy trình. Do đó, trách nhiệm của nhân viên thường không rõ ràng. Việc thực hiện ISO 27001 giúp giải quyết các vấn đề như vậy. Bởi vì nó khuyến khích các công ty viết ra các quy trình chính của họ. (ngay cả những quy trình không liên quan đến bảo mật). Giúp nhân viên biết rõ công việc của mình cần làm.

Quản lý an ninh thông tin phù hợp với mọi công ty

Về cơ bản, bảo mật thông tin là một phần của quản lý rủi ro tổng thể trong một công ty. với các lĩnh vực trùng lặp với an ninh mạng, quản lý liên tục kinh doanh và quản lý CNTT. Nó có thể phù hợp với mọi doanh nghiệp.

  CẤU TRÚC CỦA TIÊU CHUẨN ISO 27001  

ISO/IEC 27001 được chia thành 11 phần gồm. 10 Điều khoản và 01 Phụ lục A. Phần 1 đến 3 là phần giới thiệu (và không bắt buộc để thực hiện). Điều khoản 4 đến 10 là các yêu cầu bắt buộc. Nghĩa là tất cả các yêu cầu của ISO phải được thực hiện trong một tổ chức. Nếu Doanh nghiệp đạt được chứng nhận tiêu chuẩn ISO 27001.

Các biện pháp kiểm soát  ở Phụ lục A chỉ được thực hiện nếu được tuyên bố là có thể áp dụng trong “Tuyên bố về khả năng áp dụng”.

Theo Phụ lục SL của Tổ chức Tiêu chuẩn quốc tế về Chỉ thị ISO / IEC. Các tiêu đề của tiêu chuẩn ISO 27001 giống như trong ISO 22301:2012,  ISO 9001: 2015 mới và các tiêu chuẩn quản lý khác, cho phép tích hợp dễ dàng hơn các tiêu chuẩn này .

Mục Giới thiệu

Phần này nêu mục đích của ISO 27001,  lợi ích của ISO 27001. Giới thiệu về khả năng tương thích của nó với các tiêu chuẩn quản lý khác.

Điều khoản 1: Phạm vi

Giải thích rằng tiêu chuẩn này có thể áp dụng cho bất kỳ loại tổ chức nào. Với mọi loại hình, quy mô, phạm vi hoạt động khác nhau.

Điều khoản 2: Tham chiếu tiêu chuẩn 

Đề cập đến ISO / IEC 27000 như là một tiêu chuẩn nơi các thuật ngữ và định nghĩa được đưa ra.

Điều khoản  3: Điều khoản và định nghĩa 

Một lần nữa, đề cập đến ISO / IEC 27000. Các giải thích về từ ngữ, định nghĩa và các nội dung liên quan tới thuật ngữ.

Điều khoản  4: Bối cảnh của tổ chức 

Phần này là một phần của giai đoạn Kế hoạch trong chu trình PDCA . Doanh nghiệp cần xác định các yêu cầu để hiểu các vấn đề bên ngoài và bên trong, các bên quan tâm và các yêu cầu của họ.  Sau đó từ việc phân tích này, Doanh nghiệp xác định phạm vi ISMS.

Điều khoản  5: Lãnh đạo

Phần này là một phần của giai đoạn Kế hoạch trong chu trình PDCA . Doanh nghiệp cần xác định trách nhiệm quản lý của lãnh đạo. Đặt vai trò và cũng như nội dung của chính sách bảo mật thông tin từ lãnh đạo cao nhất.

Điều khoản 6: Lập kế hoạch 

Đây là một phần của giai đoạn Lập kế hoạch trong chu trình PDCA. Doanh nghiệp cần xác định các yêu cầu đánh giá rủi ro, xử lý rủi ro, Tuyên bố về khả năng áp dụng, kế hoạch xử lý rủi ro và đặt ra các mục tiêu bảo mật thông tin.

Điều khoản 7: Hỗ trợ 

Điều khoản quy định Doanh nghiệp cần phải xác định các yêu cầu về tính sẵn có của nguồn lực, năng lực nhận sự, nhận thức, trao đổi thông tin và kiểm soát tài liệu và hồ sơ.

Điều khoản  8: Hoạt động 

Đây là một phần của giai đoạn Do trong chu trình PDCA. Lúc này, doanh nghiệp xác định việc thực hiện đánh giá và xử lý rủi ro. Đồng thời kiểm soát và thực hiện các quy trình cần thiết để đạt được các mục tiêu bảo mật thông tin.

Điều khoản  9: Đánh giá hiệu suất 

Phần này là một phần của giai đoạn Kiểm tra trong chu trình PDCA . Doanh nghiệp cần xác định các yêu cầu để theo dõi, đo lường, phân tích, đánh giá, kiểm toán nội bộ và xem xét quản lý.

Mục 10: Cải tiến

Đây là một phần Action trong chu trình PDCA.  Doanh nghiệp cần xay dựng các yêu cầu cho kiểm soát sự không phù hợp. Thực hiện khắc phục, hành động phòng ngừa và cải tiến liên tục.

Phụ lục A

Phụ lục này cung cấp một danh mục gồm 114  biện pháp bảo vệ được đặt trong 14 phần. (phần A.5 đến A.18).

 

  CÁCH TRIỂN KHAI ÁP DỤNG ISO 27001 CHO DOANH NGHIỆP  

Để triển khai áp dụng ISO 27001 trong công ty của bạn. Thông thường Doanh nghiệp phải thực hiện theo 16 bước sau:

1) Nhận hỗ trợ quản lý cao nhất
2) Sử dụng phương pháp quản lý dự án.
3) Xác định phạm vi ISMS
4) Viết chính sách bảo mật thông tin cấp cao nhất.
5) Xác định phương pháp đánh giá rủi ro.
6) Thực hiện đánh giá rủi ro và xử lý rủi ro.
7) Viết Tuyên bố về Khả năng áp dụng.
8) Viết kế hoạch xử lý rủi ro.

9) Xác định cách đo lường hiệu quả của các biện pháp kiểm soát và ISMS.
10) Thực hiện tất cả các biện pháp và quy trình áp dụng.
11) Thực hiện các chương trình đào tạo và nhận thức.
12) Thực hiện tất cả các hoạt động hàng ngày theo quy định của tài liệu ISMS.
13) Theo dõi và đo lường ISMS.
14) Thực hiện đánh giá nội bộ.
15) Thực hiện xem xét của lãnh đạo
16) Thực hiện các hành động khắc phục.

Để biết chi tiết hơn về các bước này. Doanh nghiệp xem bài viết: “16 Bước thực hiện áp dụng ISO 27001”

  TÀI LIỆU VÀ HỒ SƠ BẮT BUỘC CỦA TIÊU CHUẨN ISO 27001 

1. Tài liệu bắt buộc của ISO 27001

ISO 27001 yêu cầu Doanh nghiệp bắt buộc phải có những tài liệu sau:

  • Phạm vi của ISMS (điều 4.3)
  • Chính sách và mục tiêu bảo mật thông tin (khoản 5.2 và 6.2)
  • Đánh giá rủi ro và phương pháp xử lý rủi ro (điều 6.1.2)
  • Tuyên bố về khả năng áp dụng (điều 6.1.3 d)
  • Kế hoạch xử lý rủi ro (các điều 6.1.3 e và 6.2)
  • Báo cáo đánh giá rủi ro (khoản 8.2)
  • Định nghĩa về vai trò và trách nhiệm bảo mật (các điều A.7.1.2 và A.13.2.4)
  • Tồn kho tài sản (khoản A.8.1.1)
  • Sử dụng tài sản được chấp nhận (điều A.8.1.3)
  • Chính sách kiểm soát truy cập (điều A.9.1.1)
  • Quy trình hoạt động cho quản lý CNTT (điều A.12.1.1)
  • Nguyên tắc kỹ thuật hệ thống an toàn (điều A.14.2.5)
  • Chính sách bảo mật của nhà cung cấp (điều A.15.1.1)
  • Quy trình quản lý sự cố (khoản A.16.1.5)
  • Thủ tục liên tục kinh doanh (khoản A.17.1.2)
  • Các yêu cầu theo luật định, quy định và hợp đồng (khoản A.18.1.1)

2. Các hồ sơ bắt buộc của ISO 27001. Bao gồm:

  • Hồ sơ đào tạo, kỹ năng, kinh nghiệm và trình độ (điều 7.2)
  • Kết quả giám sát và đo lường (khoản 9.1)
  • Chương trình kiểm toán nội bộ (khoản 9.2)
  • Kết quả kiểm toán nội bộ (khoản 9.2)
  • Kết quả rà soát quản lý (khoản 9.3)
  • Kết quả của hành động khắc phục (khoản 10.1)
  • Nhật ký hoạt động, ngoại lệ và sự kiện bảo mật của người dùng (mệnh đề A.12.4.1 và A.12.4.3)

Tất nhiên, một công ty có thể quyết định viết thêm tài liệu bảo mật nếu thấy cần thiết.

Để xem giải thích chi tiết hơn về từng tài liệu này. Doanh nghiệp tham khảo bài viết: “Tài liệu bắt buộc theo yêu cầu của ISO 27001:2013”.

  CÁCH ĐẠT ĐƯỢC CHỨNG NHẬN ISO 27001 

Có 02 loại chứng chỉ ISO 27001 tồn tại:

1. Chứng nhận cho các tổ chức/ doanh nghiệp

Các tổ chức có thể được chứng nhận ISO 27001 bởi các tổ chức chứng nhận độc lập. Chứng nhận ISO 27001 để chứng minh rằng Doanh nghiệp tuân thủ tất cả các điều khoản bắt buộc của tiêu chuẩn;

Để một Doanh nghiệp có được chứng nhận. Doanh nghiệp phải thực hiện áp dụng tiêu chuẩn. Sau đó trải qua cuộc đánh giá chứng nhận được thực hiện bởi tổ chức chứng nhận. 

Việc đánh giá chứng nhận được thực hiện theo các bước sau:

  • Đánh giá giai đoạn 1 (Xem xét tài liệu) – Chuyên gia đánh giá sẽ xem xét tất cả các tài liệu.
  • Đánh giá giai đoạn 2 (Kiểm toán chính) – Chuyên gia đánh giá sẽ thực hiện đánh giá tại thực địa của doanh nghiệp. Nhằm kiểm tra xem tất cả các hoạt động trong công ty có tuân thủ ISO 27001 và với tài liệu ISMS hay không.
  • Đánh giá giám sát – Sau khi giấy chứng nhận được cấp, trong thời hạn 3 năm, các chuyên gia đánh giá sẽ kiểm tra xem công ty có duy trì ISMS hay không.

Doanh nghiệp xem thêm bài viết dưới đây để hiểu rõ hơn về đánh giá chứng nhận.

2. Chứng chỉ cho các cá nhân. 

Các cá nhân có thể tham gia một vài khóa học để lấy chứng chỉ về ISO 27001. Phổ biến nhất là các khóa học:

  • Khóa học Đánh giá chứng nhận ISO 27001 – Hướng dẫn bạn cách thực hiện đánh giá chứng nhận. Nó dành cho chuyên gia đánh giá  và chuyên gia tư vấn.
  • Khóa học dành cho người thực hiện xây dựng áp dụng ISO 27001 Hướng dẫn cách thực hiện tiêu chuẩn. Khóa học dành cho các chuyên viên bảo mật thông tin và cho các chuyên gia tư vấn.
  • Khóa học đánh giá nội bộ ISO 27001 – Giới thiệu những điều cơ bản của tiêu chuẩn và cách thực hiện đánh giá nội bộ. Khóa học dành cho người mới bắt đầu tìm hiểu ISO 27001 và cho đánh giá viên nội bộ.

  SỰ KHÁC NHAU GIỮA TIÊU CHUẨN ISO 27001:2013 VÀ ISO 27001:2005 

ISO 27001 được xuất bản lần đầu tiên vào năm 2005 và được sửa đổi vào năm 2013. Do đó, phiên bản hợp lệ hiện tại là ISO / IEC 27001: 2013.

Những thay đổi quan trọng nhất trong phiên bản 2013 bao gồm:

– Cấu trúc của phần chính của tiêu chuẩn

–  Nội dung về các bên quan tâm, mục tiêu, giám sát và đo lường; 

– Phụ lục A đã giảm số lượng kiểm soát từ 133 xuống còn 114. Tăng số phần từ 11 xuống 14.

– Một số yêu cầu đã bị xóa khỏi phiên bản 2013. Như các hành động phòng ngừa và yêu cầu ghi lại các thủ tục nhất định.

Tuy nhiên, tất cả những thay đổi này thực sự không thay đổi toàn bộ tiêu chuẩn. Cơ bản nó vẫn dựa trên đánh giá và xử lý rủi ro. Các giai đoạn tương tự trong chu trình Hành động-Kiểm tra-Kế hoạch (P-D-C-A) vẫn còn.

Bản sửa đổi mới này của tiêu chuẩn dễ đọc và dễ hiểu hơn và việc tích hợp nó với các tiêu chuẩn quản lý khác như ISO 9001, ISO 22301…
Các công ty đã được chứng nhận ISO / IEC 27001: 2005 đều phải đổi sang phiên bản mới. Vì phiên bản cũ đã hết hạn tự năm 2015.

  SỰ LIÊN QUAN GIỮA TIÊU CHUẨN ISO 27001:2013 VÀ TIÊU CHUẨN KHÁC 

ISO / IEC 27002 

ISO / IEC 27002 cung cấp hướng dẫn triển khai các điều khiển được liệt kê trong ISO 27001. ISO 27001 chỉ định 114 điều khiển có thể được sử dụng để giảm rủi ro bảo mật.  ISO 27002 có thể khá hữu ích vì nó cung cấp chi tiết về cách triển khai các điều khiển này. ISO 27002 trước đây được gọi là ISO / IEC 17799 và xuất hiện từ tiêu chuẩn BS 7799-1 của Anh.

ISO / IEC 27004 

ISO / IEC 27004 cung cấp các hướng dẫn để đo lường bảo mật thông tin. Nó phù hợp với ISO 27001 vì nó giải thích cách xác định liệu ISMS có đạt được mục tiêu hay không.

ISO / IEC 27005 

ISO / IEC 27005 cung cấp các hướng dẫn để quản lý rủi ro bảo mật thông tin. Nó là một bổ sung rất tốt cho ISO 27001. Nó cung cấp chi tiết về cách thực hiện đánh giá rủi ro và xử lý rủi ro. Đây là giai đoạn khó khăn nhất trong quá trình thực hiện. ISO 27005 xuất hiện từ tiêu chuẩn BS 7799-3 của Anh.

ISO 22301 

ISO 22301 xác định các yêu cầu đối với hệ thống quản lý liên tục kinh doanh. Nó rất phù hợp với ISO 27001 vì A.17 của ISO 27001 yêu cầu phải thực hiện liên tục kinh doanh. Tuy nhiên, nó không cung cấp quá nhiều chi tiết để thực hiện.

ISO 9001:2015

ISO 9001 xác định các yêu cầu đối với hệ thống quản lý chất lượng . Mặc dù thoạt nhìn, quản lý chất lượng và quản lý bảo mật thông tin không có nhiều điểm chung. Nhưng thực tế là khoảng 25% các yêu cầu ISO 27001 và ISO 9001 là như nhau. Ví dụ kiểm soát tài liệu, đannhs giá nội bộ, đánh giá quản lý, hành động khắc phục, thiết lập mục tiêu và quản lý năng lực. Điều này có nghĩa là nếu một công ty đã triển khai ISO 9001, công ty sẽ thực hiện công việc ISO 27001 dễ dàng hơn nhiều. 

Để tìm hiểu thêm về triển khai ISO 27001, vui lòng truy cập các bài viết khác của chúng tôi.

LIÊN HỆ: 0984.422225 hoặc 02466.82.05.05

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !


Recommended For You

3 Comments

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *