Những thay đổi chính của Chứng nhận ISO 27001:2022

Bản cập nhật chứng nhận ISO 27001:2022 mới nhất được xuất bản vào ngày 25/10/2022 thay thế cho phiên bản ISO 27001:2013. Dưới đây bài viết này của Viện chất lượng ISSQ sẽ cập nhật những thay đổi chính về điều khoản bắt buộc, Phụ lục A và cách để chuyển đổi sang bản cập nhật tiêu chuẩn ISO 27001:2022 mới.

Chứng nhận ISO 27001:2012 nghĩa là gì?

Công nghệ đã thay đổi cách mọi người làm việc một cách nhanh chóng trong 20 năm qua. Trước đây, chưa tới 7% thế giới sử dụng trực tuyến, khi đó mạng xã hội chưa trở thành một chủ đề nóng.

Ấn bản đầu tiên được chứng nhận bảo mật thông tin chứng nhận ISO 27001 được quốc tế công nhận đã xuất bản vào năm 2005. Vào năm 2013, Tổ chức Tiêu chuẩn Quốc tế mới tiến hành xem xét bộ kiểm soát và ban hành bản sửa đổi thứ 2. Hiện tại thì chứng nhận này đã có bản sửa đổi thứ 3 là tiêu chuẩn ISO 27001 ban hành vào ngày 25/10/2022.

Những thay đổi mới của chứng nhận ISO 27001:2022

+ Điều khoản bắt buộc

Điều 4.4 về hệ thống quản lý bảo mật thông tin với điều khoản này yêu cầu những quy trình và “tương tác của chúng” cần được xác định. Điều khoản này nhắc nhở chúng ta rất nhiều về tiêu chuẩn ISO 9001.

Một vài điều khoản và ghi chú thấy rõ ràng biện pháp kiểm soát của phụ lục A là không đầy đủ. Tổ chức cần sử dụng chúng như là một cơ sở. Nhưng nên xem xét thử môi trường của họ để xác định bất cứ biện pháp kiểm soát hay rủi ro cần thiết nào khác…

Điều 6.2: Về mục tiêu an toàn thông tin – Các mục tiêu cần được thành lập thành văn bản và có sẵn cho các bên liên quan.

Điều 6.3: Lập các kế hoạch thay đổi – Từ giờ trở đi thì tất cả những thay đổi đều yêu cầu được lập kế hoạch bằng văn bản.

Điều 8.1: Lập kế hoạch và kiểm soát được các hoạt động – Tổ chức cần xác định được những tiêu chí cho quá trình hoạt động. Nhưng tiêu chí có thể là một thuật ngữ rộng, từ yêu cầu bảo mật cho tới nhu cầu kinh doanh hoặc các yêu cầu của khách hàng.

Điều 9: Đánh giá về hiệu suất – Các phương pháp đánh giá và giám sát những biện pháp kiểm soát của bạn sẽ tạo ra kết quả có thể so sánh được nhằm cho tổ chức có thể đánh giá được những xu hướng.

Điều 9.2: Đánh giá nội bộ - Việc đánh giá nội bộ phải gồm tất cả yêu cầu của tổ chức, không chỉ chứng nhận ISO 27001. Đây có thể là một nỗ lực rộng lớn hơn để trở nên toàn diện theo Hệ thống quản lý.

Phụ lục A:

Phụ lục A có sự thay đổi lớn nhất. Phiên bản cập nhật của Phụ lục A của tiêu chuẩn ISO 27001 đã được cơ cấu lại và được sửa đổi và hoàn thiện hơn. Nên số lượng những biện pháp đã được giảm xuống từ 114 còn 93 theo phiên bản của tiêu chuẩn ISO 27001. Ngoài ra thì các biện pháp kiểm soát này còn được bảo mật và chia thành 4 phần thay vì 14 như trước đó.

Hơn nữa thì sự thay đổi này thể hiện rõ sự nỗ lực hữu hình làm cho chứng nhận IS0 27001 trở nên ngắn gọn và dễ thực hiện hơn. Sự chồng chéo và lặp lại sẽ được loại bỏ nhằm tạo ra 5 thuộc tính chính sẽ dễ dàng nhóm hơn.

Những thay đổi trong Phụ lục A gồm:

Về tiêu đề:

Tiêu đề Phụ lục đã thay đổi từ “Mục tiêu và biện pháp kiểm soát tham chiếu” trở thành “Các biện pháp kiểm soát bảo mật thông tin tham khảo”. Đồng thời, tiêu chuẩn cũng sử dụng “Mục đích” thay vì “Mục tiêu”.

Thay đổi cơ cấu các biện pháp kiểm soát

Trong phiên bản mới này của ISO/IEC 27001:2022, các biện pháp kiểm soát đã được giảm từ 14 nhóm điều khoản xuống chỉ còn 4 chủ đề:

Kiểm soát tổ chức: 37 kiểm soát.

Kiểm soát con người: 8 biện pháp kiểm soát.

Điều khiển vật lý: 14 điều khiển.

Kiểm soát công nghệ: 34 điều khiển.

Sự ra đời của thuộc tính

Điểm mới của phiên bản này là việc giới thiệu các thuộc tính, được biểu thị bằng hashtag. Các thuộc tính này có thể được sử dụng để nhóm các điều khiển tương tự lại với nhau. Mỗi tổ chức có thể tạo các thuộc tính riêng để đáp ứng nhu cầu của mình vì các thuộc tính này là tùy chọn:

Các loại biện pháp kiểm soát bao gồm: Phòng ngừa, Phát hiện, Khắc phục.

Các thuộc tính bảo mật thông tin bao gồm: Tính bảo mật, tính toàn vẹn, tính sẵn sàng.

Khái niệm an ninh mạng, bao gồm: Xác định, Bảo vệ, Phát hiện, Phản hồi, Phục hồi.

Các khả năng vận hành, bao gồm: Quản trị, Quản lý tài sản, Bảo vệ thông tin, An toàn nguồn nhân lực, Bảo mật vật lý, Bảo mật hệ thống và mạng, Bảo mật ứng dụng, Bảo mật cấu hình, Nhận dạng và truy cập quản lý, Quản lý mối đe dọa và lỗ hổng, Tính liên tục, Bảo mật mối quan hệ nhà cung cấp, Pháp lý và tuân thủ , Quản lý sự kiện bảo mật thông tin, Đảm bảo an toàn thông tin tin tưởng.

Miền bảo mật, bao gồm: Quản trị và Hệ sinh thái, Bảo vệ, Phòng thủ, Khả năng phục hồi.

Điều khiển mới được thêm vào

Đã có 11 biện pháp kiểm soát mới được bổ sung vào Phụ lục A, cụ thể các biện pháp kiểm soát: 5.7, 5.23, 5.30, 7.4, 8.9, 8.10, 8.11, 8.12, 8.16, 8.23, 8.28.

Các biện pháp kiểm soát được tổng hợp

Phiên bản mới của tiêu chuẩn đã hợp nhất 56 biện pháp kiểm soát có nội dung tương tự thành 24 biện pháp kiểm soát mới. Đặc biệt, biện pháp kiểm soát A.18.2.3 của ISO/IEC 27001:2013 được áp dụng cho hai biện pháp kiểm soát 5.36 và 8.8 của ISO/IEC 27001:2022.

Các biện pháp kiểm soát đã được cập nhật

Có 58 biện pháp kiểm soát đã được cập nhật để thống nhất và liên kết chặt chẽ với nhau hơn, trong đó: 24 biện pháp kiểm soát đã được đổi tên và 34 biện pháp kiểm soát còn lại vẫn giữ nguyên tên, chỉ thay đổi. số và thứ tự của chúng.

Trên đây là những thông tin về Những thay đổi chính của Chứng nhận ISO 27001:2022.

Viện Chất lượng ISSQ luôn sẵn sàng đồng hành cùng Công ty trong thời kỳ hội nhập và phát triển.
Vui lòng liên hệ đến hotline: 0981851111  hoặc vienchatluong@issq.org.vn | tcvn@issq.org.vn chúng tôi rất hân hạnh được phục vụ quý khách hàng!.