Nhờ có hệ thống ISO/IEC 27001 đưa ra các yêu cầu đối với các tổ chức đang tìm kiếm cách thiết lập, thực hiện và duy trì cũng như cải tiến một cách liên tục hệ thống Quản lý an toàn thông tin. Chứng nhận ISO 27001 trở thành kim chỉ nam cho việc đảm bảo tính an toàn của thông tin trong tổ chức của bạn giúp gia tăng hơn nữa giá trị cho các dịch vụ của tổ chức của bạn.
Nội dung
ISO 27001 – HỆ THỐNG AN TOÀN THÔNG TIN
ISO 27001 là bộ tiêu chuẩn quốc tế được ban hành bởi Tổ chức tiêu chuẩn hóa quốc tế (ISO).
Hệ thống tiêu chuẩn ISO 27001 được xây dựng với những yêu cầu giúp tổ chức xây dựng hệ thống quản lý bảo mật thông tin trong một công ty. ISO 27001 đã trở thành tiêu chuẩn bảo mật thông tin phổ biến nhất trên toàn thế giới. Rất nhiều công ty trên thế giới đã được chứng nhận.
Bộ tiêu chuẩn ISO 27001 được tạo ra bởi các chuyên gia giỏi nhất trong thế giới trong lĩnh vực bảo mật thông tin. ISO 27001 sẽ cung cấp phương pháp để thực hiện quản lý bảo mật thông tin trong một tổ chức. .
Một tổ chức/ doanh nghiệp đạt được chứng nhận ISO 27001:2013 được coi như một minh chứng tổ chức có xây dựng một hệ thống nhằm đảm bảo an toàn và bảo mật thông tin trong quản lý hoạt động kinh doanh của mình. Ngày một nhiều giấy chứng nhận ISO 27001 đã được trao trên toàn thế giới trong đó có Việt Nam.
TẦM QUAN TRỌNG CỦA HỆ THỐNG BẢO MẬT THÔNG TIN
Theo tài liệu ISO 17799 định nghĩa về an toàn thông tin (Information Security) như sau: “Thông tin là một tài sản quí giá cũng như các loại tài sản khác của các tổ chức cũng như các doanh nghiệp và cần phải được bảo vệ trước vô số các mối đe doạ từ bên ngoài cũng như bên trong nội bộ để bảo đảm cho hệ thống hoạt động liên tục, giảm thiểu các rủi ro và đạt được hiệu suất làm việc cao nhất cũng như hiệu quả trong đầu tư”
Hiện nay thông tin là một dạng tài sản quan trọng của tổ chức/ doanh nghiệp và việc bảo mật thông tin cũng được coi như một trong những chiến lược quan trọng không kém trong việc vận hành kinh doanh của tổ chức/doanh nghiệp. Việc để lộ thông tin, rủi ro bị ăn cắp dữ liệu cũng là rủi ro lớn trong thời đại công nghệ thông tin hiện nay.
ISO / IEC 27001 hỗ trợ bạn hiểu các phương pháp tiếp cận thực tế liên quan đến việc triển khai Hệ thống quản lý an toàn thông tin nhằm duy trì tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin bằng cách áp dụng quy trình quản lý rủi ro. Do đó, việc triển khai hệ thống quản lý an toàn thông tin tuân thủ tất cả các yêu cầu của ISO / IEC 27001 cho phép các tổ chức của bạn đánh giá và xử lý các rủi ro an toàn thông tin mà họ phải đối mặt.
LỊCH SỬ RA ĐỜI CỦA HỆ THỐNG ISO 27001
Hệ thống ISO 27001 ra đời như hiện nay đã trải qua sự sửa đổi và bổ sung với các phiên bản trước đó. Hệ thống quản lý an toàn thông tin từ thời điểm ban đầu được phát triển dựa theo tiêu chuẩn BS 7799-2 của Anh.
Tiêu chuẩn BS 7799
Phiên bản đầu tiên của bộ tiêu chuẩn ISO 27000 là tiêu chuẩn BS 7799. BS 7799 được Viện Tiêu chuẩn Anh (Bristish Standards Institution – BSI) phát triển và được xuất bản. BS 7799 là Quy tắc thực tiễn cho việc quản lý ATTT (Code of Practice for Information Security Management) năm 1996. Năm 1998, tiêu chuẩn này có sự thay đổi nội dung “Quy tắc thực tiễn với việc quản lý ATTT” được chuyển thành Phần I. Phần nội dung “Chi tiết kỹ thuật cần có” chuyển thành Phần II.
Phần I của chuẩn BS 7799 là một hướng dẫn thi hành dựa trên đề nghị các kiểm soát ATTT. Nó là cơ sở hình thành tiêu chuẩn quốc tế ISO 17799:2000.
Tiêu chuẩn ISO/IEC 27002:2005.
Từ năm 2005, tiêu chuẩn ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và đến năm 2007 được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005.
Phần II của chuẩn BS 7799 là một Hướng dẫn kiểm toán dựa trên các yêu cầu. Để được xác nhận chứng chỉ BS 7799. Tổ chức sẽ được kiểm toán dựa trên các điều kiện ở Phần II. Tháng 10/2005, tiêu chuẩn này được thay thế bằng tiêu chuẩn ISO/IEC 27001:2005.
Phiên bản mới nhất – Tiêu chuẩn ISO 27001:2013
Đến năm 2013, các tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới ISO 27001:2013; ISO 27002:2013.
Tiêu chuẩn ISO 27001:2013 có cấu trúc bao gồm 2 phần là “Điều khoản” và “Biện pháp kiểm soát”. Trong phần Điều khoản, từ mục 4 đến mục 10 là các yêu cầu bắt buộc khi tổ chức thực hiện áp dụng và đạt chứng nhận ISO 27001.
>>> xem thêm: Quá trình hình thành các tiêu chuẩn an toàn thông tin
CÁCH HOẠT ĐỘNG CỦA TIÊU CHUẨN ISO 27001
Cách hoạt động của tiêu chuẩn ISO 27001 chính là bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin trong một công ty.
Hệ thống ISO 27001 thực hiện quá trình tìm hiểu vấn đề tiềm ẩn có thể xảy ra đối với thông tin sau đó có thể xác định những gì cần phải làm để giúp ngăn chặn những vấn đề có thể xảy ra nhằm giảm thiểu rủi ro hoặc xử lý rủi ro. Có thể hiệu đơn giản là hệ thống ISO 27001 tìm ra những rủi ro ở đâu và sau đó xử lý chúng một cách có hệ thống.
Các biện pháp bảo vệ (hoặc kiểm soát) sẽ được thực hiện ở dạng chính sách, quy trình và thực hiện kỹ thuật. Ví dụ: phần mềm và thiết bị… Tuy nhiên, trong hầu hết các trường hợp, các công ty đã có sẵn tất cả phần cứng và phần mềm. Nhưng họ đang sử dụng chúng theo cách không an toàn.
LỢI ÍCH CỦA VIỆC CHỨNG NHẬN ISO 27001
Khi doanh nghiệp đạt được giấy chứng nhận ISO 27001 có thể được hiểu là tổ chức đó có hệ thống đảm bảo thông tin hiệu quả. Từ đó tổ chức sẽ được những lợi ích sau đây:
Tổ chức tuân thủ các yêu cầu pháp lý
Việc bảo mật thông tin hiện nay đã được đưa vào nhiều quy định pháp luật và yêu cầu hợp đồng liên quan. Họ dựa vào việc tổ chức đó có giấy chứng nhận ISO 27001 để làm bằng chứng cho việc bảo mật. iso 27001 giúp Doanh nghiệp có phương pháp hoàn hảo để tuân thủ tất cả.
Đạt được lợi thế cạnh tranh
Nếu công ty của bạn được chứng nhận và đối thủ cạnh tranh thì không, bạn có thể có lợi thế hơn họ trong mắt những khách hàng nhạy cảm về việc giữ an toàn thông tin của họ.
Chi phí thấp hơn trong việc bảo mật
Nhờ có Hệ thống bảo mật thông tin được xây dựng bài bản và được chứng nhận ISO 27001:2013Khi sự cố xảy ra, dù lớn hay nhỏ, doanh nghiệp đều mất chi phí để xử lý. Do đó, bằng cách ngăn chặn chúng, công ty của bạn sẽ tiết kiệm được nhiều tiền hơn. Và nếu áp dụng ISO 27001, doanh nghiệp sẽ bỏ chi phí nhỏ hơn nhiều.
Hoạt động của tổ chức được tốt hơn
Việc xây dựng hệ thống ISO 27001 có thể giúp hoạt động của tổ chức được tốt hơn nhờ có quy trình hoạt động được phân rõ trách nhiệm của từng bộ phận. Hệ thống đó khuyến khích các công ty viết ra các quy trình chính của họ giúp nhân viên biết rõ công việc của mình cần làm.
Quản lý an ninh thông tin phù hợp với mọi công ty
Về cơ bản, bảo mật thông tin là một phần của quản lý rủi ro tổng thể trong một công ty. với các lĩnh vực trùng lặp với an ninh mạng, quản lý liên tục kinh doanh và quản lý CNTT. Nó có thể phù hợp với mọi doanh nghiệp.
GIẤY CHỨNG NHẬN ISO 27001:20013
Giấy chứng nhận ISO 27001:2013 là bằng chứng chứng minh Doanh nghiệp đã có hệ thống quản lý an toàn thông tin đạt yêu cầu
Sau khi Tổ chức chứng nhận thực hiện đánh giá và xác nhận hệ thống của Doanh nghiệp phù hợp. Tổ chức đó sẽ được tổ chức chứng nhận cấp 01 giấy chứng nhận có các nội dung sau:
1./ Tên của Tổ chức cấp chứng nhận
2./ Thông tin doanh nghiệp được cấp giấy chứng nhận.
3./ Tiêu chuẩn chứng nhận.
4./ Phạm vi chứng nhận (lĩnh vực của doanh nghiệp).
5./ Mã số chứng nhận; Ngày cấp chứng nhận; Ngày hết hạn.
6./ Dấu chứng nhận./
7./ Các thông tin khác cần thiết
Giấy chứng nhận ISO 27001 sẽ có Hiệu lực trong vòng 03 năm. Thời hạn giám sát 12/tháng.
QUY TRÌNH CHỨNG NHẬN ISO 27001
Tổ chức/ doanh nghiệp của bạn được cấp chứng nhận ISO 27001 thì điều đầu tiên là tổ chức và doanh nghiệp của bạn cần phải làm chính là xác định rõ được những lợi ích của một hệ thống an ninh thông tin được thiết lập. Việc thứ 2 chinh là chọn lựa được một tổ chức uy tín có năng lực để xây dựng lập kế hoạch và áp dụng hệ thống an ninh thông tin với những yêu cầu đạt tiêu chuẩn ISO 27001 có vai trò quan trọng. Cần xem danh sách các chuyên gia tư vấn ISO sẽ tham gia dự án. Đặc biệt là chuyên gia tư vấn chính phụ trách dự án.
Chuyên gia tư vấn chính là người sẽ đồng hành cùng doanh nghiệp trong suốt quá trình xây dựng và áp dụng hệ thống. Họ sẽ phát hiện và điều chỉnh những sai sót để doanh nghiệp được chứng nhận ISO 27001.
Sau khi quá trình vận hành triển khai và đánh giá nội bộ đã hoàn tất. Doanh nghiệp cần phải lựa chọn cho mình một tổ chức để đánh giá cấp chứng chỉ ISO 27001. Lưu ý nên lựa chọn những tổ chức có uy tín, đảm bảo năng lực hoạt động, có giấy đăng ký hoạt động chứng nhận
Bước 1: Đăng ký chứng nhận và thỏa thuận với tổ chức chứng nhận
Bước 2: Xem xét thông tin và lập kế hoạch đánh giá chứng nhận
Bước 3: Đánh giá tài liệu và đánh giá chứng nhận tại hiện trường
Bước 4: Thẩm xét hồ sơ đánh giá và cấp giấy chứng nhận tiêu chuẩn ISO 27001
Sau khi đã có kết quả đánh giá của chuyên gia đánh giá chứng nhận. Tổ chức chứng nhận sẽ thẩm xét hồ sơ và cấp giấy chứng nhận cho doanh nghiệp.
Giấy chứng nhận ISO 27001 có hiệu lực 03 năm và thời hạn giám sát tổi thiểu 12 tháng/lần.
Bước 5: Đánh giá giám sát và chứng nhận lại
- Đánh giá giám sát ISO 27001
- Tổ chức chứng nhận thực hiện đánh giá giám sát định kỳ.
- Số lần đánh giá giám sát thông thường là 2 lần (12 tháng/lần)
- Đánh giá chứng nhận lại ISO 27001
Giấy chứng nhận có hiệu lực trong vòng 03 năm. Hết 03 năm, tổ chức chứng nhận sẽ thực hiện đánh giá chứng nhận lại.
Nếu đánh giá đạt yêu cầu, Tổ chức chứng nhận sẽ cấp lại 01 Giấy chứng nhận mới có hiệu lực 3 năm tiếp theo.
