- Tham gia
- 2/7/20
- Bài viết
- 77
- Thích
- 0
- Điểm
- 6
Tiêu chuẩn về an ninh thông tin - ISO 27001 có gì đặc biệt?
Tiêu chuẩn về an ninh thông tin - ISO 27001 là tiêu chuẩn quốc tế được công nhận rộng rãi trên toàn thế giới. Một hệ thống quản lý an ninh thông tin tốt được xem là nhu cầu thiết yếu của một doanh nghiệp trong bối cảnh phát triển công nghệ như hiện nay. Xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001 này sẽ giúp hoạt động đảm bảo an ninh thông tin của doanh nghiệp được quản lý chặt chẽ và an toàn hơn.
ISO 27001 - Tiêu chuẩn về an ninh thông tin
Thông tin là một vấn đề cực kì quan trọng đối với những hoạt động sản xuất kinh doanh của một doanh nghiệp. Thậm chí nó còn liên quan đến sự sống còn của doanh nghiệp đó. Việc đạt chứng nhận phù hợp với tiêu chuẩn ISO 27001 sẽ giúp doanh nghiệp có thể quản lý và bảo vệ tài nguyên thông tin giá trị của mình.
Tiêu chuẩn về an ninh thông tin - ISO 27001 đặt ra những yêu cầu cho một hệ thống quản lý bảo vệ an ninh thông tin (ISMS). ISO 27001 được thiết kế với mục đích nhằm đảm bảo việc lựa chọn những cách thức kiểm soát an toàn tương ứng và kiểm soát những mối nguy, rủi ro có nguy cơ dẫn đến việc mất an ninh thông tin của doanh nghiệp.
Tiêu chuẩn còn giúp bảo vệ tài sản thông tin của doanh nghiệp và tạo sự tin tưởng cho đối tác các bên liên quan, đặc biệt là khách hàng của doanh nghiệp. Tiêu chuẩn còn đưa ra phương pháp để tiếp cận quá trình cho việc thiết lập, điều hành, thực hiện, xem xét, giám sát, duy trì và cải tiến hệ thống ISMS.
Tiêu chuẩn về an ninh thông tin phù hợp với những tổ chức nào?
Tiêu chuẩn về an ninh thông tin thích hợp với mọi tổ chức, doanh nghiệp không phân biệt quy mô lớn hay nhỏ, loại hình hoạt động hay khu vực kinh doanh,... Tiêu chuẩn này còn đặc biệt thích hợp với những tổ chức mà việc bảo mật thông tin được xem là quan trọng nhất như những tổ chức hoạt động trong các lĩnh vực giáo dục, tài chính, y tế , ngân hàng, cộng đồng hay công nghệ thông tin,...
ISO 27001 cũng đặc biệt rất hiệu quả đối với những tổ chức hoạt động quản lý thông tin cho tổ chức khác, như những công ty, doanh nghiệp có thuê nguồn lực IT ở bên ngoài vào.
Các điều khoản chính của tiêu chuẩn về an ninh thông tin - ISO 27001:2013
Cấu trúc chính tiêu chuẩn về an ninh thông tin ISO 27001:2013 là bao gồm 10 phần:
03 điều khoản đầu chủ yếu là giới thiệu thuật ngữ và phạm vi của tiêu chuẩn này.
07 điều khoản sau bao gồm những yêu cầu chính của tiêu chuẩn về an ninh thông tin (từ phần 04 đến phần 10): Những điều khoản này đưa ra yêu cầu bắt buộc về những công việc của doanh nghiệp cần phải thực hiện trong việc thiết lập, xây dựng, vận hành, duy trì, giám sát, xem xét và nâng cấp cải tiến hệ thống quản lý an ninh thông tin của doanh nghiệp.
Bất kỳ những vi phạm nào của doanh nghiệp so với các quy định nằm trong 07 điều khoản này đều được xem như là không tuân thủ theo tiêu chuẩn về an ninh thông tin. Cấu trúc tiêu chuẩn về an ninh thông tin - ISO 27001:2013 cụ thể như sau:
Điều khoản 04: Phạm vi của doanh nghiệp hay tổ chức.
Điều khoản này đưa ra yêu cầu cụ thể để doanh nghiệp căn cứ dựa trên quy mô, lĩnh vực hoạt động, địa điểm và những yêu cầu khác. Cùng với kỳ vọng của các bên hữu quan để có thể thiết lập được phạm vi của hệ thống quản lý an ninh thông tin cho phù hợp.
Điều khoản 05: Lãnh đạo của doanh nghiệp hay tổ chức.
Trong điều khoản này quy định vấn đề về trách nhiệm và nhiệm vụ của nhà lãnh đạo mỗi doanh nghiệp/tổ chức trong hệ thống quản lý an ninh thông tin. Nó bao gồm những yêu cầu về sự cam kết của nhà lãnh đạo trong việc thiết lập, xây dựng, áp dụng và duy trì hệ thống quản lý. Các yêu cầu này có thể là về việc cung cấp được tài chính, nguồn nhân lực để vận hành hệ thống.
Điều khoản 6: Lập kế hoạch của doanh nghiệp/tổ chức.
Doanh nghiệp hay tổ chức cần định nghĩa được và xây dựng, áp dụng những quy trình đánh giá rủi ro, mối nguy hại. Sau đó, sẽ đưa ra những quy trình để có thể xử lý. Trong điều khoản này cũng có đưa ra những yêu cầu về việc thiết lập được mục tiêu an ninh thông tin. Và cần lập kế hoạch làm sao để có thể đạt được những mục tiêu đó.
Điều khoản 07: Hỗ trợ.
Điều khoản này yêu cầu đối với việc doanh nghiệp/tổ chức sẽ chú trọng việc quảng bá truyền thông, cũng như tham gia đào tạo để nâng cao nhận thức cho toàn thể cán bộ, nhân viên của doanh nghiệp/tổ chức về lĩnh vực an ninh thông tin và hệ thống ISMS.
Điều khoản 08: Vận hành hệ thống của doanh nghiệp/tổ chức.
Điều này yêu cầu doanh nghiệp/tổ chức cần có những kế hoạch cụ thể để có thể vận hành và quản lý hệ thống một cách hiệu quả. Làm sao để đạt được mục tiêu đã đề ra ở trước đó. Đồng thời, cần thực hiện đánh giá, xem xét những rủi ro, mối nguy về hệ thống an ninh thông tin định kỳ và cần có kế hoạch để xử lý.
Điều khoản 09: Đánh giá hiệu năng hệ thống quản lý an ninh thông tin.
Trong điều này nêu rõ các quy định, trách nhiệm của nhà lãnh đạo trong việc xem xét, đánh giá định kỳ và đánh giá hệ thống an ninh. Phần này có đưa ra các yêu cầu đối với mỗi kỳ xem xét hệ thống quản lý. Đảm bảo cho việc đánh giá được toàn bộ các hoạt động của hệ thống quản lý. Đo lường hiệu quả những biện pháp để thực hiện và lên kế hoạch để khắc phục. Nâng cấp hệ thống quản lý sao cho phù hợp nhất với thay đổi trong hoạt động của doanh nghiệp hay tổ chức của mình.
Điều khoản 10: Cải tiến, nâng cấp hệ thống liên tục.
Cần hoạt động và giữ vững theo nguyên tắc là Kế hoạch – Thực hiện – Kiểm tra – Hành động (P-D-C-A). Tiêu chuẩn này đưa ra yêu cầu để có thể đảm bảo được hệ thống quản lý an ninh thông tin không ngừng cải tiến. Bao gồm quy định trong việc thiết lập, xây dựng và áp dụng những chính sách mới. Ngoài ra, còn có hoạt động khắc phục, phòng ngừa điểm yếu đã xảy ra để đảm bảo tính hiệu quả của hệ thống an ninh thông tin.
Tiêu chuẩn về an ninh thông tin - ISO 27001 có thể được sử dụng như một lời khẳng định với khách hàng, đối tác hay các bên hữu quan rằng thông tin của họ đang được bảo mật và an toàn. Với những thông tin về tiêu chuẩn này trong bài viết trên đây. Hi vọng sẽ phần nào hỗ trợ quý khách hàng có những cái nhìn đầy đủ hơn và có thể đưa ra những quyết định phù hợp với doanh nghiệp của mình.
Tiêu chuẩn về an ninh thông tin - ISO 27001 là tiêu chuẩn quốc tế được công nhận rộng rãi trên toàn thế giới. Một hệ thống quản lý an ninh thông tin tốt được xem là nhu cầu thiết yếu của một doanh nghiệp trong bối cảnh phát triển công nghệ như hiện nay. Xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001 này sẽ giúp hoạt động đảm bảo an ninh thông tin của doanh nghiệp được quản lý chặt chẽ và an toàn hơn.
ISO 27001 - Tiêu chuẩn về an ninh thông tin
Thông tin là một vấn đề cực kì quan trọng đối với những hoạt động sản xuất kinh doanh của một doanh nghiệp. Thậm chí nó còn liên quan đến sự sống còn của doanh nghiệp đó. Việc đạt chứng nhận phù hợp với tiêu chuẩn ISO 27001 sẽ giúp doanh nghiệp có thể quản lý và bảo vệ tài nguyên thông tin giá trị của mình.
Tiêu chuẩn về an ninh thông tin - ISO 27001 đặt ra những yêu cầu cho một hệ thống quản lý bảo vệ an ninh thông tin (ISMS). ISO 27001 được thiết kế với mục đích nhằm đảm bảo việc lựa chọn những cách thức kiểm soát an toàn tương ứng và kiểm soát những mối nguy, rủi ro có nguy cơ dẫn đến việc mất an ninh thông tin của doanh nghiệp.
Tiêu chuẩn còn giúp bảo vệ tài sản thông tin của doanh nghiệp và tạo sự tin tưởng cho đối tác các bên liên quan, đặc biệt là khách hàng của doanh nghiệp. Tiêu chuẩn còn đưa ra phương pháp để tiếp cận quá trình cho việc thiết lập, điều hành, thực hiện, xem xét, giám sát, duy trì và cải tiến hệ thống ISMS.
Tiêu chuẩn về an ninh thông tin phù hợp với những tổ chức nào?
Tiêu chuẩn về an ninh thông tin thích hợp với mọi tổ chức, doanh nghiệp không phân biệt quy mô lớn hay nhỏ, loại hình hoạt động hay khu vực kinh doanh,... Tiêu chuẩn này còn đặc biệt thích hợp với những tổ chức mà việc bảo mật thông tin được xem là quan trọng nhất như những tổ chức hoạt động trong các lĩnh vực giáo dục, tài chính, y tế , ngân hàng, cộng đồng hay công nghệ thông tin,...
ISO 27001 cũng đặc biệt rất hiệu quả đối với những tổ chức hoạt động quản lý thông tin cho tổ chức khác, như những công ty, doanh nghiệp có thuê nguồn lực IT ở bên ngoài vào.
Các điều khoản chính của tiêu chuẩn về an ninh thông tin - ISO 27001:2013
Cấu trúc chính tiêu chuẩn về an ninh thông tin ISO 27001:2013 là bao gồm 10 phần:
03 điều khoản đầu chủ yếu là giới thiệu thuật ngữ và phạm vi của tiêu chuẩn này.
07 điều khoản sau bao gồm những yêu cầu chính của tiêu chuẩn về an ninh thông tin (từ phần 04 đến phần 10): Những điều khoản này đưa ra yêu cầu bắt buộc về những công việc của doanh nghiệp cần phải thực hiện trong việc thiết lập, xây dựng, vận hành, duy trì, giám sát, xem xét và nâng cấp cải tiến hệ thống quản lý an ninh thông tin của doanh nghiệp.
Bất kỳ những vi phạm nào của doanh nghiệp so với các quy định nằm trong 07 điều khoản này đều được xem như là không tuân thủ theo tiêu chuẩn về an ninh thông tin. Cấu trúc tiêu chuẩn về an ninh thông tin - ISO 27001:2013 cụ thể như sau:
Điều khoản 04: Phạm vi của doanh nghiệp hay tổ chức.
Điều khoản này đưa ra yêu cầu cụ thể để doanh nghiệp căn cứ dựa trên quy mô, lĩnh vực hoạt động, địa điểm và những yêu cầu khác. Cùng với kỳ vọng của các bên hữu quan để có thể thiết lập được phạm vi của hệ thống quản lý an ninh thông tin cho phù hợp.
Điều khoản 05: Lãnh đạo của doanh nghiệp hay tổ chức.
Trong điều khoản này quy định vấn đề về trách nhiệm và nhiệm vụ của nhà lãnh đạo mỗi doanh nghiệp/tổ chức trong hệ thống quản lý an ninh thông tin. Nó bao gồm những yêu cầu về sự cam kết của nhà lãnh đạo trong việc thiết lập, xây dựng, áp dụng và duy trì hệ thống quản lý. Các yêu cầu này có thể là về việc cung cấp được tài chính, nguồn nhân lực để vận hành hệ thống.
Điều khoản 6: Lập kế hoạch của doanh nghiệp/tổ chức.
Doanh nghiệp hay tổ chức cần định nghĩa được và xây dựng, áp dụng những quy trình đánh giá rủi ro, mối nguy hại. Sau đó, sẽ đưa ra những quy trình để có thể xử lý. Trong điều khoản này cũng có đưa ra những yêu cầu về việc thiết lập được mục tiêu an ninh thông tin. Và cần lập kế hoạch làm sao để có thể đạt được những mục tiêu đó.
Điều khoản 07: Hỗ trợ.
Điều khoản này yêu cầu đối với việc doanh nghiệp/tổ chức sẽ chú trọng việc quảng bá truyền thông, cũng như tham gia đào tạo để nâng cao nhận thức cho toàn thể cán bộ, nhân viên của doanh nghiệp/tổ chức về lĩnh vực an ninh thông tin và hệ thống ISMS.
Điều khoản 08: Vận hành hệ thống của doanh nghiệp/tổ chức.
Điều này yêu cầu doanh nghiệp/tổ chức cần có những kế hoạch cụ thể để có thể vận hành và quản lý hệ thống một cách hiệu quả. Làm sao để đạt được mục tiêu đã đề ra ở trước đó. Đồng thời, cần thực hiện đánh giá, xem xét những rủi ro, mối nguy về hệ thống an ninh thông tin định kỳ và cần có kế hoạch để xử lý.
Điều khoản 09: Đánh giá hiệu năng hệ thống quản lý an ninh thông tin.
Trong điều này nêu rõ các quy định, trách nhiệm của nhà lãnh đạo trong việc xem xét, đánh giá định kỳ và đánh giá hệ thống an ninh. Phần này có đưa ra các yêu cầu đối với mỗi kỳ xem xét hệ thống quản lý. Đảm bảo cho việc đánh giá được toàn bộ các hoạt động của hệ thống quản lý. Đo lường hiệu quả những biện pháp để thực hiện và lên kế hoạch để khắc phục. Nâng cấp hệ thống quản lý sao cho phù hợp nhất với thay đổi trong hoạt động của doanh nghiệp hay tổ chức của mình.
Điều khoản 10: Cải tiến, nâng cấp hệ thống liên tục.
Cần hoạt động và giữ vững theo nguyên tắc là Kế hoạch – Thực hiện – Kiểm tra – Hành động (P-D-C-A). Tiêu chuẩn này đưa ra yêu cầu để có thể đảm bảo được hệ thống quản lý an ninh thông tin không ngừng cải tiến. Bao gồm quy định trong việc thiết lập, xây dựng và áp dụng những chính sách mới. Ngoài ra, còn có hoạt động khắc phục, phòng ngừa điểm yếu đã xảy ra để đảm bảo tính hiệu quả của hệ thống an ninh thông tin.
Tiêu chuẩn về an ninh thông tin - ISO 27001 có thể được sử dụng như một lời khẳng định với khách hàng, đối tác hay các bên hữu quan rằng thông tin của họ đang được bảo mật và an toàn. Với những thông tin về tiêu chuẩn này trong bài viết trên đây. Hi vọng sẽ phần nào hỗ trợ quý khách hàng có những cái nhìn đầy đủ hơn và có thể đưa ra những quyết định phù hợp với doanh nghiệp của mình.