Tiêu chuẩn ISO 27001:2013 – Hệ thống Quản lý An toàn Thông tin và các yêu cầu

0
SHARES
416
VIEWS

Tài sản của tổ chức/ doanh nghiệp không chỉ bao gồm có máy móc, nhà xưởng, tiền mà thông tin cũng là tài sản quan trọng nhất là trong thời đại thông tin là vàng như hiện nay. Việc mất thông tin trong bất cứ trường hợp nào; dù ít hay nhiều cũng gây ra thiệt hại cho tổ chức.

tiêu chuẩn ISO 27001:2013

Bộ Tiêu chuẩn ISO 27000 ra đời được coi là hệ thống tiêu chuẩn về hệ thống bảo mật & quản lý an ninh thông tin. Thông tin rất quan trọng của mỗi tổ chức và ISO 27001; đưa ra các phưong pháp đánh giá việc theo dõi; bảo vệ và quản lý hệ thống thông tin, dữ liệu.


ISO 27001 HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Hệ thống quản lý  an toàn thông tin (ISMS)

Theo quan điểm trong hệ thống ISO/IEC 27001: 2013 có nêu ra tài sản của một tổ chức ngoài nhà xưởng máy móc còn có thông tin và các hệ thống, quy trình. Tất cả các tài sản vô hình và hữu hình của công ty đều có giá trị quan trọng do đó cần được bảo vệ thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau. Nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.

Khác với các tài sản khác, thông tin gặp những những rủi ro về ATTT như:

  • Những quy trình vận hành thông tin không được đảm bảo
  • Không quản lý rủi ro việc truy cập hệ thống thông tin của công ty một cách định kì.
  • Nhân viên chưa được đào tạo về việc vận hành, quản lý và bảo mật hệ thống thông tin…

Do đó, ngoài các biện pháp kỹ thuật. Tổ chức/ Doanh nghiệp cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro.

Khái niệm TCVN ISO 27001

Bộ tiêu chuẩn ISO 27001 là hệ thống tiêu chuẩn quốc tế về hệ thống quản lý an ninh thông tin. Việc áp dụng ISO 27001 giúp quản lý an ninh thông tin một cách hiệu quả nhất. Theo bộ tiêu chuẩn có đề cập thì thông tin ở đây bao gồm những dữ liệu được lưu lại dưới dạng điện tử; hoặc dữ liệu đã được in ra – dữ liệu mềm và dữ liệu cứng.

Việc tổ chức/ doanh nghiệp áp dụng ISO 27001 sẽ giúp bạn có thể xác định được loại thông tin và xác định các mối nguy, rủi ro có thể xảy ra. Sau đó thiết lập hệ thống, thiết lập sự kiểm soát cũng như các quy trình để giảm thiểu các rủi ro đó. ISO 27001 phù hợp với mọi quy mô của tổ chức; các công ty – doanh nghiệp và nó được áp dụng ở mọi lĩnh vực kinh tế khác nhau.


Vai trò của Tiêu chuẩn ISO 27001:2013

Có thể nói bộ tiêu chuẩn ISO/IEC 27001: 2013 là tiêu chuẩn quốc tế hàng đầu cho các hệ thống quản lí an ninh thông tin. Nó là bộ tiêu chuẩn cao cấp bài bản đầu tiên và chuẩn chỉnh để các Doanh Nghiệp áp dụng. Nó áp dụng cho các doanh nghiệp tư nhân có thể thiết lập, thực hiện, bảo trì và cải tiến liên tục của một hệ thống quản lí bảo mật thông tin.

Tiêu chuẩn này cung cấp một cách tiếp cận có hệ thống, có cấu trúc
1. Để tăng tính khả dụng của các hệ thống công nghệ thông tin của riêng tổ chức, bao gồm dữ liệu và thông tin hiện có,
2. Để bảo vệ tính toàn vẹn của thông tin hiện có,
3. Để đảm bảo tính bảo mật của dữ liệu hiện có và bảo vệ chúng khỏi bị truy cập trái phép, cũng như
4. Để đảm bảo tính xác thực của thông tin.
5. Các tổ chức thuộc mọi qui mô và ngành công nghiệp có thể cung cấp bằng chứng thông qua chứng nhận của một tổ chức chứng nhận được công nhận.
+ để đảm bảo an toàn thông tin liên tục theo chu trình PDCA.
+ để nhận ra và kiểm soát rủi ro và do đó để đạt được cải tiến liên tục,
+ để bảo vệ dữ liệu bí mật cũng như
+ để đáp ứng các yêu cầu bên ngoài về tính sẵn có, tính toàn vẹn và bảo mật của thông tin, ví dụ như của kế toán viên.

CẤU TRÚC CỦA TIÊU CHUẨN ISO 27001:2013 

Tiêu chuẩn ISO 27001 được chia thành 10 điều khoản. ISO 27001 có cấu trúc rõ ràng xác định các yêu cầu phải đáp ứng khi áp dụng cho hệ thống quản lý an toàn thông tin.

Điều khoản từ 1-3 liên quan đến phạm vi, tài liệu viện dẫn rồi giới thiệu ko phải điều khoản bắt buộc. Từ phần 4 đến phần 10 của tiêu chuẩn ISO 27001; đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc; thiết lập, vận hành, giám sát và nâng cấp Hệ thống quản lý an ninh thông tin của các tổ chức. Bất kỳ vi phạm nào khác biệt so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo:

cấu trúc tiêu chuẩn iso 27001:2013

ĐIỀU KHOẢN

NỘI DUNG

Điều khoản 4 – Phạm vi tổ chức:

Điều khoản này tiêu chuẩn có đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô; lĩnh vực hoạt động và yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý an ninh thông tin phù hợp.

Điều khoản 5 – Lãnh đạo:

Điều khoản này quy định các vấn đề về trách nhiệm; của Ban lãnh đạo mỗi tổ chức trong Hệ thống an ninh thông tin. Bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng, duy trì hệ thống thông tin; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống thông tin.

Điều khoản 6 – Lập kế hoạch:

Doanh nghiệp, tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro; đưa ra các quy trình xử lý. Điều khoản này đưa ra các yêu cầu; về việc thiết lập mục tiêu an toàn thông tin và kế hoạch để đạt được mục tiêu đó.

Điều khoản 7 – Hỗ trợ:

Điều khoản này có yêu cầu đối với việc tổ chức đào tạo nhằm nâng cao nhận thức cho toàn thể cán bộ; nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông tin.

Điều khoản 8 – Vận hành hệ thống:

Doanh nghiệp/tổ chức của bạn cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu. Đồng thời tổ chức/ doanh nghiệp cần định kỳ thực hiện việc đánh giá các rủi ro an toàn thông tin và có kế hoạch xử lý.

Điều khoản 9 – Đánh giá hiệu năng hệ thống:

Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét; đánh giá Hệ thống quản lý an ninh thông tin của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống; đảm bảo đánh giá được toàn bộ hoạt động của hệ thống; đo lường hiệu quả và có kế hoạch khắc phục; nâng cấp hệ thống cho phù hợp.

Điều khoản 10 – Cải tiến hệ thống:

Sau khi xây dựng được hệ thống theo ISO 27001:2013 cần duy trì hệ thống bằng cách thực hiện Kế hoạch – Thực hiện – Kiểm tra – Hành động. Điều khoản 10 trong tiêu chuẩn ISO 27001; cũng đưa ra các yêu cầu đảm bảo Hệ thống quản lý an ninh thông tin không ngừng được cải tiến trong quá trình hoạt động. Điều khoản này bao gồm các quy định trong việc áp dụng các chính sách mới; các hoạt động khắc phục, phòng ngừa điểm yếu đã xảy ra. Và để đảm bảo hiệu quả của Hệ thống quản lý an ninh thông tin.

Mỗi lĩnh vực khác nhau thì việc kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát; và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát được lựa chọn; loại bỏ hoặc bổ sung thêm để phù hợp với lĩnh vực hoạt động của mỗi tổ chức.

QUY TRÌNH TRIỂN KHAI TIÊU CHUẨN ISO 27001:2013

Tiêu chuẩn quốc tế ISO/IEC 27001: 2013 cung cấp mô hình thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và nâng cấp Hệ thống ISMS.

Xây dựng Hệ thống ISMS như thế nào là quyết định chiến lược của một tổ chức. Việc triển khai Hệ thống ISMS cho các công ty, doanh nghiệp, tổ chức sẽ được tiến hành theo các bước dưới đây để đáp ứng các yêu cầu của tiêu chuẩn ISO 27001:

– Bước 1: Khảo sát và lập kế hoạch.
– Bước 2: Xác định phương pháp quản lý rủi ro an toàn thông tin.
– Bước 3: Xây dựng hệ thống đảm bảo an toàn thông tin tại đơn vị.
– Bước 4: Triển khai áp dụng: các biện pháp đã lựa chọn, đáp ứng chính sách, quy định, quy trình xây dựng và yêu cầu của tiêu chuẩn ISO 27001.
– Bước 5: Đánh giá nội bộ: khắc phục các điểm không phù hợp với yêu cầu của tiêu chuẩn.
Sau khi thực hiện xong bước 5. Công ty/doanh nghiệp/tổ chức có thể mời các đơn vị độc lập để đánh giá; và cấp Chứng nhận phù hợp với tiêu chuẩn Hệ thống quản lý an toàn thông tin ISO 27001 đã xây dựng.

LỢI ÍCH TRIỂN KHAI ÁP DỤNG ISO 27001:2013

Hệ thống ISO 27001 về quản lý an ninh thông tin ra đời đã trở nên rất hiệu quả đối với các công ty và tổ chức. Công nghệ luôn luôn thay đổi. Việc tổ chức của bạn có được chứng nhận quốc tế có thể cung cấp về sự thay đổi của công nghệ; và quy định pháp luật để xây dựng kế hoạch sao cho phù hợp nhất.

lợi ích khi áp dụng tiêu chuẩn iso 27001

Một số lợi ích khi áp dụng thành công hệ thống quản lý an ninh thông tin theo ISO 27001:

  • Hệ thống ISO 27001 giúp tổ chức đảm bảo an toàn thông tin nội bộ và cho khách hàng, đối tác. Hoạt động của tổ chức được vận hành thông suốt.
  • Giúp hoạt động của doanh nghiệp luôn được cải tiến và cập nhật định kì.
  • Giúp nhân viên nắm được cách vận hành hệ thống đảm bảo an toàn thông tin trong hoạt động nghiệp vụ thường ngày; Các sự cố an toàn thông tin do người dùng gây ra; sẽ được hạn chế tối đa khi nhân viên được đào tạo; nâng cao nhận thức về an toàn thông tin.
  • Nâng cao uy tín của tổ chức, tăng sức cạnh tranh; tạo lòng tin với đối tác, khách hàng; thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế.

> TÀI LIỆU TIÊU CHUẨN ISO 27001:2013 – HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

Hy vọng những kiến thức trên đây mà diendaniso.com cung cấp đã giúp bạn hiểu hơn về Hệ thống Quản Lý An Toàn Thông Tin ISO 27001:2013!

BÀI VIẾT LIÊN QUAN

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *