Những thay đổi chính của Chứng nhận ISO 27001:2022
Bản cập nhật chứng nhận ISO 27001:2022 mới nhất được xuất bản vào ngày 25/10/2022 thay thế cho phiên bản ISO 27001:2013. Dưới đây bài viết này của Viện chất lượng ISSQ sẽ cập nhật những thay đổi chính về điều khoản bắt buộc, Phụ lục A và cách để chuyển đổi sang bản cập nhật tiêu chuẩn ISO 27001:2022 mới.
Chứng nhận ISO 27001:2012 nghĩa là gì?
Công nghệ đã thay đổi cách mọi người làm việc một cách nhanh chóng trong 20 năm qua. Trước đây, chưa tới 7% thế giới sử dụng trực tuyến, khi đó mạng xã hội chưa trở thành một chủ đề nóng.
Ấn bản đầu tiên được chứng nhận bảo mật thông tin chứng nhận ISO 27001 được quốc tế công nhận đã xuất bản vào năm 2005. Vào năm 2013, Tổ chức Tiêu chuẩn Quốc tế mới tiến hành xem xét bộ kiểm soát và ban hành bản sửa đổi thứ 2. Hiện tại thì chứng nhận này đã có bản sửa đổi thứ 3 là tiêu chuẩn ISO 27001 ban hành vào ngày 25/10/2022.
Những thay đổi mới của chứng nhận ISO 27001:2022
+ Điều khoản bắt buộc
Điều 4.4 về hệ thống quản lý bảo mật thông tin với điều khoản này yêu cầu những quy trình và “tương tác của chúng” cần được xác định. Điều khoản này nhắc nhở chúng ta rất nhiều về tiêu chuẩn ISO 9001.
Một vài điều khoản và ghi chú thấy rõ ràng biện pháp kiểm soát của phụ lục A là không đầy đủ. Tổ chức cần sử dụng chúng như là một cơ sở. Nhưng nên xem xét thử môi trường của họ để xác định bất cứ biện pháp kiểm soát hay rủi ro cần thiết nào khác…
Điều 6.2: Về mục tiêu an toàn thông tin – Các mục tiêu cần được thành lập thành văn bản và có sẵn cho các bên liên quan.
Điều 6.3: Lập các kế hoạch thay đổi – Từ giờ trở đi thì tất cả những thay đổi đều yêu cầu được lập kế hoạch bằng văn bản.
Điều 8.1: Lập kế hoạch và kiểm soát được các hoạt động – Tổ chức cần xác định được những tiêu chí cho quá trình hoạt động. Nhưng tiêu chí có thể là một thuật ngữ rộng, từ yêu cầu bảo mật cho tới nhu cầu kinh doanh hoặc các yêu cầu của khách hàng.
Điều 9: Đánh giá về hiệu suất – Các phương pháp đánh giá và giám sát những biện pháp kiểm soát của bạn sẽ tạo ra kết quả có thể so sánh được nhằm cho tổ chức có thể đánh giá được những xu hướng.
Điều 9.2: Đánh giá nội bộ - Việc đánh giá nội bộ phải gồm tất cả yêu cầu của tổ chức, không chỉ chứng nhận ISO 27001. Đây có thể là một nỗ lực rộng lớn hơn để trở nên toàn diện theo Hệ thống quản lý.
Phụ lục A:
Phụ lục A có sự thay đổi lớn nhất. Phiên bản cập nhật của Phụ lục A của tiêu chuẩn ISO 27001 đã được cơ cấu lại và được sửa đổi và hoàn thiện hơn. Nên số lượng những biện pháp đã được giảm xuống từ 114 còn 93 theo phiên bản của tiêu chuẩn ISO 27001. Ngoài ra thì các biện pháp kiểm soát này còn được bảo mật và chia thành 4 phần thay vì 14 như trước đó.
Hơn nữa thì sự thay đổi này thể hiện rõ sự nỗ lực hữu hình làm cho chứng nhận IS0 27001 trở nên ngắn gọn và dễ thực hiện hơn. Sự chồng chéo và lặp lại sẽ được loại bỏ nhằm tạo ra 5 thuộc tính chính sẽ dễ dàng nhóm hơn.
Những thay đổi trong Phụ lục A gồm:
Về tiêu đề:
Tiêu đề Phụ lục đã thay đổi từ “Mục tiêu và biện pháp kiểm soát tham chiếu” trở thành “Các biện pháp kiểm soát bảo mật thông tin tham khảo”. Đồng thời, tiêu chuẩn cũng sử dụng “Mục đích” thay vì “Mục tiêu”.
Thay đổi cơ cấu các biện pháp kiểm soát
Trong phiên bản mới này của ISO/IEC 27001:2022, các biện pháp kiểm soát đã được giảm từ 14 nhóm điều khoản xuống chỉ còn 4 chủ đề:
Kiểm soát tổ chức: 37 kiểm soát.
Kiểm soát con người: 8 biện pháp kiểm soát.
Điều khiển vật lý: 14 điều khiển.
Kiểm soát công nghệ: 34 điều khiển.
Sự ra đời của thuộc tính
Điểm mới của phiên bản này là việc giới thiệu các thuộc tính, được biểu thị bằng hashtag. Các thuộc tính này có thể được sử dụng để nhóm các điều khiển tương tự lại với nhau. Mỗi tổ chức có thể tạo các thuộc tính riêng để đáp ứng nhu cầu của mình vì các thuộc tính này là tùy chọn:
Các loại biện pháp kiểm soát bao gồm: Phòng ngừa, Phát hiện, Khắc phục.
Các thuộc tính bảo mật thông tin bao gồm: Tính bảo mật, tính toàn vẹn, tính sẵn sàng.
Khái niệm an ninh mạng, bao gồm: Xác định, Bảo vệ, Phát hiện, Phản hồi, Phục hồi.
Các khả năng vận hành, bao gồm: Quản trị, Quản lý tài sản, Bảo vệ thông tin, An toàn nguồn nhân lực, Bảo mật vật lý, Bảo mật hệ thống và mạng, Bảo mật ứng dụng, Bảo mật cấu hình, Nhận dạng và truy cập quản lý, Quản lý mối đe dọa và lỗ hổng, Tính liên tục, Bảo mật mối quan hệ nhà cung cấp, Pháp lý và tuân thủ , Quản lý sự kiện bảo mật thông tin, Đảm bảo an toàn thông tin tin tưởng.
Miền bảo mật, bao gồm: Quản trị và Hệ sinh thái, Bảo vệ, Phòng thủ, Khả năng phục hồi.
Điều khiển mới được thêm vào
Đã có 11 biện pháp kiểm soát mới được bổ sung vào Phụ lục A, cụ thể các biện pháp kiểm soát: 5.7, 5.23, 5.30, 7.4, 8.9, 8.10, 8.11, 8.12, 8.16, 8.23, 8.28.
Các biện pháp kiểm soát được tổng hợp
Phiên bản mới của tiêu chuẩn đã hợp nhất 56 biện pháp kiểm soát có nội dung tương tự thành 24 biện pháp kiểm soát mới. Đặc biệt, biện pháp kiểm soát A.18.2.3 của ISO/IEC 27001:2013 được áp dụng cho hai biện pháp kiểm soát 5.36 và 8.8 của ISO/IEC 27001:2022.
Các biện pháp kiểm soát đã được cập nhật
Có 58 biện pháp kiểm soát đã được cập nhật để thống nhất và liên kết chặt chẽ với nhau hơn, trong đó: 24 biện pháp kiểm soát đã được đổi tên và 34 biện pháp kiểm soát còn lại vẫn giữ nguyên tên, chỉ thay đổi. số và thứ tự của chúng.
Trên đây là những thông tin về Những thay đổi chính của Chứng nhận ISO 27001:2022.
Viện Chất lượng ISSQ luôn sẵn sàng đồng hành cùng Công ty trong thời kỳ hội nhập và phát triển.
Vui lòng liên hệ đến hotline: 0981851111 hoặc vienchatluong@issq.org.vn | tcvn@issq.org.vn chúng tôi rất hân hạnh được phục vụ quý khách hàng!.
Ngày đăng: 25/10/2023
Tin liên quan
- Tích hợp ISO/IEC 27001:2022 và ISO 9001:2015: Giúp doanh nghiệp nâng cao chất lượng, kiểm soát an toàn thông tin
- ISO 14001 giúp doanh nghiệp quản lý toàn diện các vấn đề về môi trường
- TCVN 13866:2023 xác định độ ổn định kích thước của thanh định hình polyvinyl clorua
- Dầu nhờn động cơ đốt trong hợp quy theo QCVN 14:2018/BKHCN
- Khóa đào tạo ISO 9001 - Hệ thống Quản lý Chất lượng.
- Khóa Đào tạo nhận thức chung ISO 14001:2015 - Hệ thống quản lý môi trường
- Lợi ích của chứng nhận ISO 29001:2020 - Hệ thống Quản lý Chất lượng chuyên ngành dầu khí
- Chứng nhận ISO 22000 phù hợp với những doanh nghiệp nào?
- Vai trò của Hệ thống Quản lý Môi trường theo ISO 14001
- Tại sao doanh nghiệp nên áp dụng tiêu chuẩn GMP
- Nhóm sản phẩm chứng nhận phù hợp theo QCVN 16:2023/BXD
- ISO 20000 - Tiêu chuẩn quốc tế về Quản lý Dịch vụ Công nghệ Thông tin
- Những nguyên tắc cơ bản của Tiêu chuẩn HACCP
- Lợi ích khi doanh nghiệp áp dụng ISO 22301
- Vật liệu xây dựng bắt buộc chứng nhận hợp quy theo QCVN 16:2023/BXD
- Tiêu chuẩn ISO 21001 áp dụng đối với các tổ chức giáo dục
- Tiêu chuẩn ISO 9001:2015 Áp dụng đối với các tổ chức, doanh nghiệp
- Quy trình để Chứng nhận ISO 28000
- Chứng nhận ISO 21001:2018 - công cụ quản lý chất lượng hữu ích đối với các tổ chức giáo dục
- Chứng nhận hợp quy thiết bị điện và điện tử QCVN 4:2009/BKHCN