Cấu trúc của Tiêu chuẩn ISO 27001

Cầm trên tay 1 bộ tài liệu đồ sộ của ISO 27001 chắc hẳn mỗi người đọc sẽ khó để khái quát được những thông tin chính. Viện ISSQ sẽ gửi đến quý khách hàng thông tin hữu ích về Tiêu chuẩn ISO 27001.

Hiểu về Tiêu chuẩn

ISO 27001 – Hệ thống Quản lý An toàn Thông tin được tổ chức Tiêu chuẩn hóa Quốc tế ISO xuất bản lần đầu tiên vào năm 2005 và được sửa đổi vào năm 2013 với phiên bản hợp lệ hiện tại là ISO/IEC 27001:2013. ISO 27001 là công cụ cần thiết giúp các Công ty hoạt động trong ngành công nghệ thông tin bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin trong đơn vị mình. 

Tiêu chuẩn được thực hiện bằng cách tìm hiểu những vấn đề tiềm ẩn có thể xảy ra đối với thông tin (nghĩa là đánh giá rủi ro) và sau đó xác định những gì cần phải làm để ngăn chặn những vấn đề rủi ro xảy ra. Đến nay, ISO 27001 đã trở thành tiêu chuẩn bảo mật thông tin phổ biến nhất trên toàn thế giới.


Cấu trúc của Tiêu chuẩn

ISO/IEC 27001 được chia thành 11 phần gồm 10 Điều khoản và 01 Phụ lục A. Bắt đầu từ Điều 1 đến Điều 3 là phần giới thiệu, từ Điều 4 đến Điều 10 là các yêu cầu bắt buộc của ISO phải được thực hiện trong một tổ chức đạt được chứng nhận tiêu chuẩn ISO 27001. Ngoài ra, Phụ lục A của bộ tài liệu bao gồm các biện pháp kiểm soát về khả năng áp dụng của tổ chức, doanh nghiệp.

Cụ thể cấu trúc của Tiêu chuẩn ISO 27001:2013 bao gồm:

1. Mục giới thiệu

Mục giới thiệu nêu lên mục đích của ISO 27001, lợi ích của ISO 27001 và giới thiệu về khả năng tương thích của ISO 27001 với các tiêu chuẩn quản lý khác.

Mục giới thiệu bao gồm:

Điều khoản 1: Phạm vi ( đối tượng và phạm vi áp dụng của tiêu chuẩn)

Điều khoản 2: Tham chiếu tiêu chuẩn (các thuật ngữ và định nghĩa mới được đưa ra)

Điều khoản 3: Điều khoản và định nghĩa (giải thích về từ ngữ, định nghĩa và các nội dung liên quan tới thuật ngữ)

2. Các điều khoản bắt buộc (đều là các phần của giai đoạn Kế hoạch trong chu trình PDCA)

Điều khoản 4: Bối cảnh của tổ chức

Doanh nghiệp cần xác định các yêu cầu để hiểu các vấn đề bên ngoài và bên trong, các bên quan tâm và các yêu cầu của họ.  Sau đó từ việc phân tích này, Doanh nghiệp xác định phạm vi của Hệ thống An toàn Thông tin.

Điều khoản 5: Lãnh đạo

Doanh nghiệp cần xác định trách nhiệm quản lý của lãnh đạo, đặt vai trò và cũng như nội dung của chính sách bảo mật thông tin từ lãnh đạo cao nhất.

Điều khoản 6: Lập kế hoạch

Doanh nghiệp cần xác định các yêu cầu đánh giá rủi ro, xử lý rủi ro, tuyên bố về khả năng áp dụng, kế hoạch xử lý rủi ro và đặt ra các mục tiêu bảo mật thông tin.

Điều khoản 7: Hỗ trợ

Điều khoản quy định Doanh nghiệp cần phải xác định các yêu cầu về tính sẵn có của nguồn lực, năng lực nhận sự, nhận thức, trao đổi thông tin và kiểm soát tài liệu và hồ sơ.

Điều khoản 8: Hoạt động

Doanh nghiệp xác định việc thực hiện đánh giá và xử lý rủi ro, đồng thời kiểm soát và thực hiện các quy trình cần thiết để đạt được các mục tiêu bảo mật thông tin.

Điều khoản 9: Đánh giá hiệu suất

Doanh nghiệp cần xác định các yêu cầu để theo dõi, đo lường, phân tích, đánh giá, kiểm toán nội bộ và xem xét quản lý.

Mục 10: Cải tiến

Doanh nghiệp cần xay dựng các yêu cầu cho kiểm soát sự không phù hợp, thực hiện khắc phục, hành động phòng ngừa và cải tiến liên tục.

3. Phụ lục A

Phụ lục này cung cấp một danh mục gồm 114 biện pháp bảo vệ được đặt trong 14 phần (phần A.5 đến A.18).

Viện Chất lượng ISSQ luôn sẵn sàng đồng hành cùng Công ty trong thời kỳ hội nhập và phát triển.

Hãy liên hệ với chúng tôi theo hotline:   0981851111 | 02422661111  hoặc vienchatluong@issq.org.vn | tcvn@issq.org.vn

Ngày đăng: 15/1/2022

 

Tin liên quan