- Tham gia
- 2/7/20
- Bài viết
- 77
- Thích
- 0
- Điểm
- 6
Tiêu chuẩn ISO/IEC 27001 lạ nhưng quen
Một doanh nghiệp nếu hoạt động càng lâu thì khối lượng thông tin lưu giữ ngày càng nhiều. Việc lưu giữ thông tin như thế nào cho đúng cách? Làm sao để không gây ra những mất mát? Hoặc làm sao để không bị những người xấu xâm hại đến tài nguyên thông tin?... Đây luôn là nỗi lo lắng chung của tất cả các doanh nghiệp không chỉ riêng tại Việt Nam mà trên toàn thế giới. Do đó, tổ chức tiêu chuẩn hóa quốc tế ISO đã phát triển và ban hành tiêu chuẩn ISO/IEC 27001 để giúp đỡ các doanh nghiệp có một hệ thống quản lý tài nguyên thông tin một cách tốt nhất.
Link đăng ký: https://isocert.org.vn/chung-nhan-iso-iec-27001-2013
Các phiên bản của tiêu chuẩn ISO/IEC 27001
Tiêu chuẩn quốc tế BS 7799
Phiên bản được ra mắt đầu tiên của bộ tiêu chuẩn ISO 27000 này là tiêu chuẩn BS 7799. Tiêu chuẩn BS 7799 được Viện Tiêu chuẩn Anh (BSI - British Standards Institution) xây dựng và phát triển. BS 7799 là những quy tắc thực tiễn cho việc quản lý an ninh thông tin (Code of Practice for Information Security Management) vào năm 1996. Năm 1998, tiêu chuẩn này đã có sự thay đổi nội dung là "Quy tắc thực tiễn với việc quản lý an ninh thông tin" được chuyển thành Phần I. Phần nội dung "Chi tiết kỹ thuật cần có" chuyển thành Phần II.
Phần I của tiêu chuẩn BS 7799 là một hướng dẫn thi hành dựa trên đề nghị các kiểm soát an ninh thông tin. Đây là cơ sở để hình thành tiêu chuẩn quốc tế ISO 17799:2000.
Tiêu chuẩn quốc tế ISO/IEC 27002:2005
Từ 2005, tiêu chuẩn ISO 17799:2000 đã được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn ISO/IEC 17799:2005. Đến năm 2007 đã được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005.
Phần II của chuẩn BS 7799 này là một hướng dẫn đánh giá dựa trên những yêu cầu. Để được xác nhận chứng chỉ BS 7799. Tổ chức sẽ được đánh giá dựa trên những điều kiện ở Phần II. Tháng 10 năm 2005, tiêu chuẩn này được thay thế hoàn toàn bằng tiêu chuẩn quốc tế ISO/IEC 27001:2005.
Tiêu chuẩn ISO/IEC 27001:2013: Phiên bản mới nhất
Đến 2013, những tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới là ISO 27001:2013 và ISO 27002:2013.
Tiêu chuẩn quốc tế ISO 27001:2013 cấu trúc bao gồm 02 phần là “Điều khoản” và “Biện pháp kiểm soát”. Trong phần Điều khoản, từ mục 04 đến mục 10 là những yêu cầu bắt buộc khi tổ chức/doanh nghiệp thực hiện áp dụng và đạt chứng nhận tiêu chuẩn ISO 27001.
Tiêu chuẩn ISO/IEC 27001:2013 có gì nổi bật?
Tiêu chuẩn ISO/IEC 27001 là tiêu chuẩn quốc tế về quản lý an ninh thông tin (Information Security Management System – ISMS). Tiêu chuẩn này vạch ra những phương pháp để doanh nghiệp có thể thực hiện hệ thống quản lý an ninh thông tin. Và cũng là căn cứ để chứng nhận cho hệ thống đó. Nó giúp doanh nghiệp giải quyết những vấn đề về hệ thống thông tin. Đồng thời tiêu chuẩn cho phép doanh nghiệp bảo đảm bảo mật những số liệu và dữ liệu mật hiệu quả hơn. Qua đó, sẽ giảm thiểu đến mức tối đa những khả năng có thể bị truy cập bất hợp pháp hoặc không được sự cho phép.
Với ISO/IEC 27001, doanh nghiệp có thể chứng minh việc tuân thủ và cam kết về an ninh thông tin. Thông qua cung cấp dịch vụ cho đối tác, khách hàng, nhà cung cấp và những bên liên quan về việc an ninh quan trọng hơn cách doanh nghiệp vận hành.
ISMS là công cụ hỗ trợ đắc lực để ban lãnh đạo có thể quản lý việc giám sát, thực hiện, quản lý hệ thống thông tin. ISMS giúp tăng cường mức độ bảo mật, an toàn và giảm thiểu rủi ro cho hệ thống thông tin. Giúp các doanh nghiệp có thể đáp ứng được mục tiêu của họ.
Tiêu chuẩn ISO/IEC 27001 phù hợp với những tổ chức nào?
Tiêu chuẩn ISO/IEC 27001:2013 thích hợp với mọi tổ chức/doanh nghiệp không phân biệt quy mô lớn hay nhỏ, loại hình hoạt động, khu vực hay địa điểm,... Tiêu chuẩn này còn đặc biệt thích hợp với các tổ chức/doanh nghiệp mà việc bảo mật thông tin là rất quan trọng như các tổ chức/doanh nghiệp hoạt động trong các lĩnh vực như y tế, ngân hàng, giáo dục, tài chính, cộng đồng, viễn thông hay công nghệ thông tin,...
Tiêu chuẩn này cũng đặc biệt có hiệu quả cao đối với những tổ chức/doanh nghiệp quản lý nhiều thông tin cho các tổ chức khác như những công ty có thuê nguồn lực IT ở bên ngoài,... Việc áp dụng phù hợp tiêu chuẩn này doanh nghiệp/tổ chức có thể được sử dụng như một lời khẳng định với đối tác, khách hàng rằng những thông tin của họ đang được bảo mật an toàn.
Lợi ích của ISO/IEC 27001 đối với doanh nghiệp
Không phải tự nhiên mà các tổ chức/doanh nghiệp hiện nay lại có xu hướng triển khai và áp dụng tiêu chuẩn ISO/IEC 27001:2013 nhiều đến vậy. Tất cả đều xuất phát từ chính những lợi ích của tiêu chuẩn này mang lại:
Một doanh nghiệp nếu hoạt động càng lâu thì khối lượng thông tin lưu giữ ngày càng nhiều. Việc lưu giữ thông tin như thế nào cho đúng cách? Làm sao để không gây ra những mất mát? Hoặc làm sao để không bị những người xấu xâm hại đến tài nguyên thông tin?... Đây luôn là nỗi lo lắng chung của tất cả các doanh nghiệp không chỉ riêng tại Việt Nam mà trên toàn thế giới. Do đó, tổ chức tiêu chuẩn hóa quốc tế ISO đã phát triển và ban hành tiêu chuẩn ISO/IEC 27001 để giúp đỡ các doanh nghiệp có một hệ thống quản lý tài nguyên thông tin một cách tốt nhất.
Link đăng ký: https://isocert.org.vn/chung-nhan-iso-iec-27001-2013
Các phiên bản của tiêu chuẩn ISO/IEC 27001
Tiêu chuẩn quốc tế BS 7799
Phiên bản được ra mắt đầu tiên của bộ tiêu chuẩn ISO 27000 này là tiêu chuẩn BS 7799. Tiêu chuẩn BS 7799 được Viện Tiêu chuẩn Anh (BSI - British Standards Institution) xây dựng và phát triển. BS 7799 là những quy tắc thực tiễn cho việc quản lý an ninh thông tin (Code of Practice for Information Security Management) vào năm 1996. Năm 1998, tiêu chuẩn này đã có sự thay đổi nội dung là "Quy tắc thực tiễn với việc quản lý an ninh thông tin" được chuyển thành Phần I. Phần nội dung "Chi tiết kỹ thuật cần có" chuyển thành Phần II.
Phần I của tiêu chuẩn BS 7799 là một hướng dẫn thi hành dựa trên đề nghị các kiểm soát an ninh thông tin. Đây là cơ sở để hình thành tiêu chuẩn quốc tế ISO 17799:2000.
Tiêu chuẩn quốc tế ISO/IEC 27002:2005
Từ 2005, tiêu chuẩn ISO 17799:2000 đã được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn ISO/IEC 17799:2005. Đến năm 2007 đã được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005.
Phần II của chuẩn BS 7799 này là một hướng dẫn đánh giá dựa trên những yêu cầu. Để được xác nhận chứng chỉ BS 7799. Tổ chức sẽ được đánh giá dựa trên những điều kiện ở Phần II. Tháng 10 năm 2005, tiêu chuẩn này được thay thế hoàn toàn bằng tiêu chuẩn quốc tế ISO/IEC 27001:2005.
Tiêu chuẩn ISO/IEC 27001:2013: Phiên bản mới nhất
Đến 2013, những tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới là ISO 27001:2013 và ISO 27002:2013.
Tiêu chuẩn quốc tế ISO 27001:2013 cấu trúc bao gồm 02 phần là “Điều khoản” và “Biện pháp kiểm soát”. Trong phần Điều khoản, từ mục 04 đến mục 10 là những yêu cầu bắt buộc khi tổ chức/doanh nghiệp thực hiện áp dụng và đạt chứng nhận tiêu chuẩn ISO 27001.
Tiêu chuẩn ISO/IEC 27001:2013 có gì nổi bật?
Tiêu chuẩn ISO/IEC 27001 là tiêu chuẩn quốc tế về quản lý an ninh thông tin (Information Security Management System – ISMS). Tiêu chuẩn này vạch ra những phương pháp để doanh nghiệp có thể thực hiện hệ thống quản lý an ninh thông tin. Và cũng là căn cứ để chứng nhận cho hệ thống đó. Nó giúp doanh nghiệp giải quyết những vấn đề về hệ thống thông tin. Đồng thời tiêu chuẩn cho phép doanh nghiệp bảo đảm bảo mật những số liệu và dữ liệu mật hiệu quả hơn. Qua đó, sẽ giảm thiểu đến mức tối đa những khả năng có thể bị truy cập bất hợp pháp hoặc không được sự cho phép.
Với ISO/IEC 27001, doanh nghiệp có thể chứng minh việc tuân thủ và cam kết về an ninh thông tin. Thông qua cung cấp dịch vụ cho đối tác, khách hàng, nhà cung cấp và những bên liên quan về việc an ninh quan trọng hơn cách doanh nghiệp vận hành.
ISMS là công cụ hỗ trợ đắc lực để ban lãnh đạo có thể quản lý việc giám sát, thực hiện, quản lý hệ thống thông tin. ISMS giúp tăng cường mức độ bảo mật, an toàn và giảm thiểu rủi ro cho hệ thống thông tin. Giúp các doanh nghiệp có thể đáp ứng được mục tiêu của họ.
Tiêu chuẩn ISO/IEC 27001 phù hợp với những tổ chức nào?
Tiêu chuẩn ISO/IEC 27001:2013 thích hợp với mọi tổ chức/doanh nghiệp không phân biệt quy mô lớn hay nhỏ, loại hình hoạt động, khu vực hay địa điểm,... Tiêu chuẩn này còn đặc biệt thích hợp với các tổ chức/doanh nghiệp mà việc bảo mật thông tin là rất quan trọng như các tổ chức/doanh nghiệp hoạt động trong các lĩnh vực như y tế, ngân hàng, giáo dục, tài chính, cộng đồng, viễn thông hay công nghệ thông tin,...
Tiêu chuẩn này cũng đặc biệt có hiệu quả cao đối với những tổ chức/doanh nghiệp quản lý nhiều thông tin cho các tổ chức khác như những công ty có thuê nguồn lực IT ở bên ngoài,... Việc áp dụng phù hợp tiêu chuẩn này doanh nghiệp/tổ chức có thể được sử dụng như một lời khẳng định với đối tác, khách hàng rằng những thông tin của họ đang được bảo mật an toàn.
Lợi ích của ISO/IEC 27001 đối với doanh nghiệp
Không phải tự nhiên mà các tổ chức/doanh nghiệp hiện nay lại có xu hướng triển khai và áp dụng tiêu chuẩn ISO/IEC 27001:2013 nhiều đến vậy. Tất cả đều xuất phát từ chính những lợi ích của tiêu chuẩn này mang lại:
- Đảm bảo được an toàn thông tin cho chính doanh nghiệp, khách hàng và đối tác góp phần nâng cao uy tín, hình ảnh của doanh nghiệp.
- Công nhân viên được đào tạo những kỹ năng, nâng cao nhận thức, hiểu biết về việc đảm an toàn thông tin, từ đó sẽ giảm thiểu các sự cố gây ra.
- Đảm bảo được các hoạt động kinh doanh, sản xuất của doanh nghiệp sẽ không bị gián đoạn bởi những yếu tố về an toàn thông tin tác động.
- Các hoạt động đảm bảo an toàn thông tin sẽ được duy trì và cải tiến liên tục. Các biện pháp kĩ thuật cùng các chính sách liên quan cũng được xem xét, đánh giá và đo lường hiệu quả.
- Nâng cao thương hiệu của doanh nghiệp nhờ đạt chứng chỉ phù hợp với tiêu chuẩn quốc tế ISO/IEC 27001. Từ đó tạo lòng tin đối với những đối tác, khách hàng và những bên liên quan.
- Cơ hội tham gia các dự án kinh tế hay đấu thầu, thúc đẩy được quá trình hợp tác quốc tế.