- Tham gia
- 24/6/21
- Bài viết
- 142
- Thích
- 0
- Điểm
- 16
Đầu tiên, điều quan trọng cần lưu ý là tên đầy đủ của ISO 27001 là “ISO / IEC 27001 - Công nghệ thông tin - Các kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Các yêu cầu”. Đây là tiêu chuẩn quốc tế ISO 27001 hàng đầu tập trung vào bảo mật thông tin, được xuất bản bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO), hợp tác với Ủy ban Kỹ thuật Điện Quốc tế (IEC). Cả hai đều là các tổ chức quốc tế hàng đầu phát triển các tiêu chuẩn quốc tế.
ISO-27001 là một phần của bộ tiêu chuẩn được phát triển để xử lý bảo mật thông tin: bộ tiêu chuẩn ISO / IEC 27000.
Khung ISO là sự kết hợp của các chính sách và quy trình để các tổ chức sử dụng. ISO 27001 cung cấp một khuôn khổ để giúp các tổ chức, thuộc bất kỳ quy mô nào hoặc bất kỳ ngành nào, bảo vệ thông tin của họ một cách có hệ thống và hiệu quả về chi phí, thông qua việc áp dụng Hệ thống Quản lý An ninh Thông tin (ISMS).
Vậy làm thế nào để bạn thực hiện các kiểm soát ISO 27001?
Kiểm soát kỹ thuật chủ yếu được thực hiện trong hệ thống thông tin, sử dụng các thành phần phần mềm, phần cứng và phần sụn được thêm vào hệ thống. Ví dụ. sao lưu, phần mềm chống vi-rút, v.v.
Các biện pháp kiểm soát của tổ chức được thực hiện bằng cách xác định các quy tắc phải tuân theo và hành vi mong đợi từ người dùng, thiết bị, phần mềm và hệ thống. Ví dụ. Chính sách Kiểm soát Truy cập, Chính sách BYOD, v.v.
Kiểm soát pháp lý được thực hiện bằng cách đảm bảo rằng các quy tắc và hành vi dự kiến tuân theo và thực thi các luật, quy định, hợp đồng và các công cụ pháp lý tương tự khác mà tổ chức phải tuân thủ. Ví dụ. NDA (thỏa thuận không tiết lộ), SLA (thỏa thuận mức dịch vụ), v.v.
Kiểm soát vật lý chủ yếu được thực hiện bằng cách sử dụng thiết bị hoặc dụng cụ có tương tác vật lý với con người và đồ vật. Ví dụ. Camera quan sát, hệ thống báo động, khóa, v.v.
Kiểm soát nguồn nhân lực được thực hiện bằng cách cung cấp kiến thức, giáo dục, kỹ năng hoặc kinh nghiệm cho mọi người để giúp họ thực hiện các hoạt động của họ một cách an toàn. Ví dụ. đào tạo nâng cao nhận thức về an ninh, đào tạo đánh giá viên nội bộ ISO 27001, v.v. Chứng nhận
Được các bên tư vấn ISO 27001 cho các doanh nghiệp nhằm thực hiện nghiêm ngặt việc áp dụng theo tiêu chuẩn này. Việc tuân thủ được chứng nhận với ISO / IEC 27001 bởi một tổ chức chứng nhận được công nhận và tôn trọng là hoàn toàn không bắt buộc nhưng ngày càng được yêu cầu từ các nhà cung cấp và đối tác kinh doanh bởi các tổ chức (hoàn toàn đúng!) Lo ngại về tính bảo mật của thông tin của họ và về rủi ro thông tin trong suốt chuỗi cung ứng / mạng lưới cung ứng.
Chứng nhận ISO 27001 mang lại một số lợi ích trên và ngoài sự tuân thủ đơn thuần, giống như cách mà chứng chỉ ISO 9000-series nói lên nhiều điều không chỉ là “Chúng tôi là một tổ chức chất lượng”. Đánh giá độc lập nhất thiết phải mang lại một số nghiêm ngặt và hình thức cho quá trình thực hiện (ngụ ý các cải tiến đối với bảo mật thông tin và tất cả các lợi ích mang lại thông qua việc giảm thiểu rủi ro) và luôn yêu cầu sự chấp thuận của quản lý cấp cao (ít nhất là một lợi thế trong các điều khoản nhận thức về bảo mật!).
Chứng chỉ có tiềm năng tiếp thị và giá trị thương hiệu, chứng tỏ rằng tổ chức rất coi trọng việc quản lý an ninh thông tin. Việc tuân thủ ISO / IEC 27001 được chứng nhận là một dấu hiệu tích cực nhưng không phải là sự đảm bảo gang tấc về bảo mật thông tin của một tổ chức .
ISO-27001 là một phần của bộ tiêu chuẩn được phát triển để xử lý bảo mật thông tin: bộ tiêu chuẩn ISO / IEC 27000.
Khung ISO là sự kết hợp của các chính sách và quy trình để các tổ chức sử dụng. ISO 27001 cung cấp một khuôn khổ để giúp các tổ chức, thuộc bất kỳ quy mô nào hoặc bất kỳ ngành nào, bảo vệ thông tin của họ một cách có hệ thống và hiệu quả về chi phí, thông qua việc áp dụng Hệ thống Quản lý An ninh Thông tin (ISMS).
Vậy làm thế nào để bạn thực hiện các kiểm soát ISO 27001?
Kiểm soát kỹ thuật chủ yếu được thực hiện trong hệ thống thông tin, sử dụng các thành phần phần mềm, phần cứng và phần sụn được thêm vào hệ thống. Ví dụ. sao lưu, phần mềm chống vi-rút, v.v.
Các biện pháp kiểm soát của tổ chức được thực hiện bằng cách xác định các quy tắc phải tuân theo và hành vi mong đợi từ người dùng, thiết bị, phần mềm và hệ thống. Ví dụ. Chính sách Kiểm soát Truy cập, Chính sách BYOD, v.v.
Kiểm soát pháp lý được thực hiện bằng cách đảm bảo rằng các quy tắc và hành vi dự kiến tuân theo và thực thi các luật, quy định, hợp đồng và các công cụ pháp lý tương tự khác mà tổ chức phải tuân thủ. Ví dụ. NDA (thỏa thuận không tiết lộ), SLA (thỏa thuận mức dịch vụ), v.v.
Kiểm soát vật lý chủ yếu được thực hiện bằng cách sử dụng thiết bị hoặc dụng cụ có tương tác vật lý với con người và đồ vật. Ví dụ. Camera quan sát, hệ thống báo động, khóa, v.v.
Kiểm soát nguồn nhân lực được thực hiện bằng cách cung cấp kiến thức, giáo dục, kỹ năng hoặc kinh nghiệm cho mọi người để giúp họ thực hiện các hoạt động của họ một cách an toàn. Ví dụ. đào tạo nâng cao nhận thức về an ninh, đào tạo đánh giá viên nội bộ ISO 27001, v.v. Chứng nhận
Được các bên tư vấn ISO 27001 cho các doanh nghiệp nhằm thực hiện nghiêm ngặt việc áp dụng theo tiêu chuẩn này. Việc tuân thủ được chứng nhận với ISO / IEC 27001 bởi một tổ chức chứng nhận được công nhận và tôn trọng là hoàn toàn không bắt buộc nhưng ngày càng được yêu cầu từ các nhà cung cấp và đối tác kinh doanh bởi các tổ chức (hoàn toàn đúng!) Lo ngại về tính bảo mật của thông tin của họ và về rủi ro thông tin trong suốt chuỗi cung ứng / mạng lưới cung ứng.
Chứng nhận ISO 27001 mang lại một số lợi ích trên và ngoài sự tuân thủ đơn thuần, giống như cách mà chứng chỉ ISO 9000-series nói lên nhiều điều không chỉ là “Chúng tôi là một tổ chức chất lượng”. Đánh giá độc lập nhất thiết phải mang lại một số nghiêm ngặt và hình thức cho quá trình thực hiện (ngụ ý các cải tiến đối với bảo mật thông tin và tất cả các lợi ích mang lại thông qua việc giảm thiểu rủi ro) và luôn yêu cầu sự chấp thuận của quản lý cấp cao (ít nhất là một lợi thế trong các điều khoản nhận thức về bảo mật!).
Chứng chỉ có tiềm năng tiếp thị và giá trị thương hiệu, chứng tỏ rằng tổ chức rất coi trọng việc quản lý an ninh thông tin. Việc tuân thủ ISO / IEC 27001 được chứng nhận là một dấu hiệu tích cực nhưng không phải là sự đảm bảo gang tấc về bảo mật thông tin của một tổ chức .