ISO/IEC 27001 – Tiêu chuẩn quản lý an ninh thông tin
Tiêu chuẩn ISO 27001 là tiêu chuẩn quốc tế về thông tin hoặc quản lý an ninh. Viết tắt của Information Security Management System – ISMS. Tiêu chuẩn vạch ra phương pháp để thực hiện hệ thống quản lý an ninh thông tin. Tiêu chuẩn là căn cứ để chứng nhận cho hệ thống đó. Nó giúp bạn giải quyết câu hỏi “an ninh thông tin là gì ?. Tiêu chuẩn cho phép bạn bảo đảm các số liệu và dữ liệu mật một cách hiệu quả hơn. Qua đó giảm thiếu đến mức tối đa khả năng bị truy cập bất hợp pháp hoặc không được cho phép.
Với ISO/IEC 27001, bạn có thể chứng minh việc cam kết và tuân thủ về an ninh thông tin. Thông qua cung cấp dịch vụ cho khách hàng, nhà cung cấp và các bên liên quan về việc an ninh quan trọng hơn cách bạn vận hành.
ISMS là công cụ để các nhà lãnh đạo quản lý thực hiện việc giám sát, quản lý hệ thống thông tin. ISMS tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin. Giúp đáp ứng được mục tiêu của doanh nghiệp, tổ chức.
Tiêu chuẩn ISO 27001 là tiêu chuẩn quốc tế đặc tả cho các hệ thống quản lý ATTT. Nó cung cấp một mô hình thống nhất để thiết lập, vận hành, duy trì và cải tiến hệ thống quản lý ATTT. Việc tuân thủ theo một hệ thống quản lý ISMS chính là quyết định chiến lược của mỗi tổ chức.
CÁC PHIÊN BẢN CỦA ISO/IEC 27001
Tiêu chuẩn BS 7799
Tiêu chuẩn ISO/IEC 27002:2005.
Phiên bản mới nhất – Tiêu chuẩn ISO 27001:2013
MỘT SỐ ĐIỂM KHÁC BIỆT GIỮA ISO 27001:2005 VÀ ISO 27001:2013
Bảng so sánh giữa các “Điều khoản” của phiên bản cũ lên phiên bản tiêu chuẩn:
Bảng so sánh giữa các “Biện pháp kiểm soát” của phiên bản mới và phiên bản cũ:
CẤU TRÚC TIÊU CHUẨN ISO 27001:2013
Cấu trúc tiêu chuẩn ISO 27001 bao gồm 10 phần.
Trong đó, 03 Điều khoản đầu là giới thiệu, phạm vi và thuật ngữ. Các yêu cầu chính nằm ở 07 điều khoản sau (từ phần 4 đến phần 10 của Tiêu chuẩn).
07 điều khoản chính : đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống quản lý An toàn thông tin (ISMS) của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn. Cấu trúc tiêu chuẩn ISO 27001 cụ thể như sau:
Điều khoản 4 – Phạm vi tổ chức
Điều khoản 5 – Lãnh đạo.
Điều khoản 6 – Lập kế hoạch.
Điều khoản 7 – Hỗ trợ.
Điều khoản 8 – Vận hành hệ thống.
Điều khoản 9 – Đánh giá hiệu năng hệ thống.
Điều khoản 10 – Cải tiến hệ thống.
Phụ lục A – ISO 27001:2013 Các mục tiêu và biện pháp kiểm soát
Phụ lục A đưa ra 14 lĩnh vực kiểm soát. Nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm: chính sách của lãnh đạo tổ chức. Tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự. Các nguyên tắc để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT…
Các lĩnh vực kiểm soát của Phụ lục A. Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được. Và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.
Những lợi ích của ISO/IEC 27001 về quản lý an ninh thông tin là gì ?
- Xác định rủi ro và thiết lập kiểm soát trong doanh nghiệp để quản lý và loại bỏ rủi ro.
- Linh động trong việc thực hiện kiểm soát đối với tất cả các khu vực trong doanh nghiệp.
- Có được niềm tin của khách hàng về việc dữ liệu của họ được bảo mật.
- Chứng minh sự tuân thủ và có được sự tuân thủ của nhà cung cấp.
- Đáp ứng điều kiện trong đấu thầu, dự án.
Chứng nhận ISO/IEC 27001 về Quản lý an ninh thông tin
An ninh thông tin là gì ? Nó là bảo đảm tính riêng tư cho những thông tin của bạn với hệ thống được chứng nhận ISO/IEC 27001. Chứng minh hệ thống có thể kiểm soát những rủi ro an ninh thông tin. Tuân thủ theo các tiêu chuẩn cấp thế giới có thể giúp bạn dành được sự tin tưởng của khách hàng và những cơ hội kinh doanh mới.
Làm thế nào để được chứng nhận ISO/IEC 27001
1. Phân tích thiếu sót
2. Đánh giá chính thức
3. Chứng nhận và sau khi chứng nhận
Những lời khuyên dành cho việc thực hiện ISO/IEC 27001
- Có được sự thống nhất và giúp đỡ của giám đốc cấp cao.
- Gắn kết toàn bộ doanh nghiệp qua việc giao tiếp tốt trong nội bộ.
- Trả lời các câu hỏi như “an ninh thông tin là gì” và So sánh những hệ thống chất lượng hiện tại với yêu cầu ISO/IEC 27001.
- Có được sự phản hồi của khách hàng và nhà cung cấp về việc quản lý môi trường hiện tại.
- Thiết lập một đội thực hiện để có kết quả tốt nhất.
- Sắp xếp và chia sẻ vai trò, trách nhiệm và quy mô thời gian.
- Áp dụng những nguyên tắc cơ bản của việc quản lý môi trường đối với tổ chức của bạn.
- Thúc đẩy sự tham gia của nhân viên bằng việc đào tạo và khích lệ.
- Chia sẻ những hiểu biết về ISO/IEC 27001 và đào tạo đánh giá viên nội bộ.
- Thường xuyên xem lại hệ thống ISO/IEC 27001 để cải tiến thường xuyên.
Thegioibantin.com | Vina-Aspire News