Chứng nhận ISO 27001 và các điểm quan trọng của tiêu chuẩn
Chứng nhận ISO 27001 là gì. Lợi ích và mục đích của tiêu chuẩn.14 Mục tiêu kiểm soát đi kèm 114 biện pháp kiểm soát quan trọng cần thiết lập cho ISMS.
Nội dung bài viết [hide]
I. ISO 27001:2013 là gì
Khái niệm
Hệ thống quản lý An toàn thông tin (Information Security Management Systems): Là tiêu chuẩn hướng dẫn về việc Quản lý thông tin. Tiêu chuẩn đưa ra yêu cầu thiết lập, vận hành, duy trì và cải tiến ISMS nhằm bảo toàn tốt hơn các tài sản thông tin của tổ chức.
Lịch sử phát triển của ISO 27001
Tiêu chuẩn BS 7799 do viện tiêu chuẩn Anh ban hành lần đầu tiên năm 1995.
- Phần đầu tiên được sửa đổi năm 1998, và tổ chức ISO và IEC thông qua năm 2000 với tên gọi ISO/IEC 17799 “Công nghệ thông tin – Quy tắc thực hành để quản lý an toàn thông tin. Cho đến năm 2005 hợp nhất với họ tiêu chuẩn ISO 27000 là ISO/ IEC ISO 27002.
- Phần thứ hai BS 7799 xuất bản năm 1999 “Hệ thống quản lý an ninh thông tin – Đặc điểm kỹ thuật với hướng dẫn sử dụng.”. Và được ISO/IEC thống nhất với tên gọi ISO/IEC 27001:2005 vào tháng 11 năm 2005.
Phiên bản hiện tại ISO/IEC 27001:2013 ban hành năm 2013.
Tại Việt Nam đã ban hành phiên bản mới nhất TCVN ISO 27001:2019.
Cũng như các tiêu chuẩn khác, doanh nghiệp có thể đạt được chứng nhận ISO 27001 bởi một bên thứ 3 có chức năng thực hiện.
II. Lợi ích và mục đích của ISO 27001:2013
Mỗi doanh nghiệp đều có một biện pháp để quản lý An ninh thông tin. Nhưng dường như các biện pháp mang tính ứng phó với một tình huống cụ thể mà không được hệ thống lại một cách thống nhất.
- Ví dụ: Bạn có phần mềm bảo vệ các thông tin (diệt vi rút, tường lửa…) nhưng lại không có biện pháp bảo vệ (tri thức của tổ chức: công thức sản xuất, sở hữu trí tuệ…)
Chính vì vậy chấp nhận áp dụng Hệ thống quản lý An toàn thông tin (ISMS) là quyết định chiến lược của Tổ chức nhằm: Bảo mật thông tin, lưu trữ thông tin được toàn vẹn và sẵn sàng thông qua việc quản lý đầy đủ các rủi ro được nhận diện.
- Xác định bên liên quan và mong đợi của họ về việc bảo mật thông tin của bạn. Xác định rủi ro có thể xảy ra với ISMS.
- Hoạch định các biện pháp xử lý các rủi ro ISMS, đặt ra mục tiêu cụ thể cho các quá trình và hoạt động
- Thực hiện các biện pháp bảo vệ ISMS
- Đo lường các hành động thực hiện
- Cải tiến hệ thống quản lý an toàn thông tin.
Giấy chứng chỉ ISO 27001 nếu được cấp sẽ là bằng chứng:
- Chứng minh sự tuân thủ yêu cầu pháp lý: Thỏa thuận hợp đồng, luật an toàn thông tin…
- Tạo ra lợi thế cạnh tranh so với đối thủ.
- Giảm được chi phí xử lý các sự cố về bảo mật thông tin: ví dụ để lộ thông tin khách hàng, vi phạm quy định pháp luật…
III. Các mục tiêu kiểm soát và biện pháp kiểm soát của ISO 27001
Có 14 Mục tiêu kiểm soát đi kèm 114 biện pháp kiểm soát được đề cập trong phụ lục A của tiêu chuẩn bao gồm:
- A.5: Các Chính sách An toàn thông tin (2 Biện pháp);
- A.6: Tổ chức đảm bảo An toàn thông tin (7 Biện pháp);
- A.7: An ninh nguồn nhân lực (6 Biện pháp);
- A.8: Quản lý tài sản (10 Biện pháp);
- A.9: Quản lý truy cập (14 Biện pháp);
- A.10: Mật mã (2 Biện pháp);
- A.11: Đảm bảo An ninh vật lý và môi trường (15 Biện pháp);
- A.12: An toàn vận hành (14 Biện pháp);
- A.13: An toàn truyền thông (7 Biện pháp);
- A.14: Tiếp nhận, phát triển và duy trì các hệ thống thông tin (13 Biện pháp);
- A.15: Quan hệ với nhà cung cấp (5 Biện pháp);
- A.16: Quản lý các sự cố an toàn thông tin (7 Biện pháp);
- A.17: Các khía cạnh an toàn thông tin của quản lý hoạt động nghiệp vụ liên tục (4 Biện pháp);
- A.18: Sự tuân thủ (8 Biện pháp).
IV. Chứng nhận ISO 27001
Để đạt được Chứng nhận ISO 27001:2013 doanh nghiệp cần trải qua hai giai đoạn:
- Giai đoạn xây dựng các quy trình vận hành theo hướng dẫn tại Tiêu chuẩn ISO 27001:2013: Thời gian thực hiện giai đoạn này phụ thuộc vào quy mô và phạm vi hoạt động của doanh nghiệp.
- Giai đoạn đánh giá Chứng nhận của các Tổ chức Chứng nhận ISO 27001:2013: Thời gian dành cho giai đoạn 2 là không đáng kể so với giai đoạn xây dựng và vận hành.
Xem thêm: Thủ tục chứng nhận ISO 9001 để hiểu rõ hơn.
Kết luận: Hãy bảo vệ những tài sản và tri thức quan trọng của Tổ chức. Bạn có thể áp dụng 1 phần các mục tiêu đi kèm biện pháp kiểm soát hoặc áp dụng toàn bộ các yêu cầu trong tiêu chuẩn ISO 27001:2013 cho nhu cầu đó.
Nhận xét
Đăng nhận xét