Cấu trúc của chứng nhận ISO 27001:2013
Cấu trúc của chứng nhận ISO 27001:2013
Chứng nhận 27001:2013 – Hệ thống quản lý ATTT đây là nhu cầu cần thiết của tổ chức để đảm bảo ATTT trở nên toàn diện. Khi xây dựng hệ thống ISMS dựa theo tiêu chuẩn ISO 27001:2013 sẽ đảm bảo ATTT tổ chức quản lý chặt chẽ hơn. Do chứng nhận 27001 đảm bảo ATTT dựa trên nhiều khía cạnh, vì vậy việc xây dựng và áp dụng hệ thống cần đòi hỏi sự quyết tâm của lãnh đạo tổ chức và bên cạnh đó là sự phối hợp đồng bộ của bộ phận tổ chức trong xây dựng và duy trì hệ thống
Vấn đề bảo mật thông của doanh nghiệp
Bảo mật thông tin đang là vấn đề và trở thành mối quan tâm cho tất cả doanh nghiệp khi mà tội phạm họ đang tìm cách để đánh cắp thông tin như các thông tin về thẻ tín dụng, chi tiết tài chính, chi tiết cá nhân hoặc là bất cứ thông tin nào khác mà chúng có thể bán hay giao dịch. Tội phạm đang trở nên tinh vi hơn bên cạnh đó họ sử dụng các phương pháp khác nhau để tấn công mạng máy tính của công ty. Khi vi phạm dữ liệu thì đều cho thấy được những sai lầm dẫn tới việc lộ hàng triệu bản ghi dữ liệu cá nhân.
Tháng 4 năm 2019, nhóm UpGuard Cyber Risk đã tiết lộ về hai bộ dữ liệu ứng dụng Facebook của bên thứ 3 đã đưa lên Internet công cộng, tác động đến 533 triệu người dùng của Facebook.
Vào năm 2004 thì Yahoo đã tiết lộ về một vụ vi phạm tháng 8 năm 2013 của một nhóm tin tặc đã xâm nhập vào 1 tỷ tài khoản. Đối với trường hợp này những câu hỏi và câu trả lời sẽ bị xâm phạm, gia tăng nguy cơ việc đánh cắp danh tính.
Chuỗi bán lẻ Target ở Hoa Kỳ vụ việc chấn động làm cho triệu chi tiết thẻ tín dụng của khách hàng đã bị tội phạm đánh cắp và trong đó có một ngân hàng ở Hoa Kỳ mất hơn 45 triệu đô la Mỹ trong vòng 24 giờ.
Trên đây là những ví dụ điển hình, các vụ rò rỉ thông tin trên toàn cầu làm ảnh hưởng không nhỏ đến những tổ chức, doanh nghiệp, gây ra những vụ thiệt hại nặng nề. Vậy nên, bảo mật thông tin đã đặt ra thách thức thực tế và thường xuyên cho tổ chức, doanh nghiệp. Quan trọng nhất là doanh nghiệp cần nhận ra được mối đe doạ và đưa ra được các giải pháp phù hợp nhất từ đó giảm khả năng xảy ra các rủi ro tiềm ẩn.
Cấu trúc của chứng nhận ISO 27001:2013
+ Gồm có 7 điều khoản chính (từ phần 4 đến phần 10 của chứng nhận): Đưa ra những yêu cầu bắt buộc đối với công việc cần tiến hành thực hiện trong việc thiết lập, vận hành, giám sát, duy trì và nâng cấp được Hệ thống ISMS của tổ chức. Bất cứ vi phạm nào của tổ chức nằm trong quy định của 07 điều khoản này thì đều sẽ được coi là không tuân theo tiêu chuẩn.
Điều khoản 4: Đối với phạm vi tổ chức – Sẽ đưa ra những yêu cầu cụ thể để tổ chức căn cứ vào quy mô, lĩnh vực hoạt động , những yêu cầu, kỳ vọng của các bên liên quan thiết lập cho phạm vi Hệ thống quản lý ATTT sao cho phù hợp.
Điều khoản 5: Lãnh đạo – Quy định về những vấn đề về trách nhiệm của ban lãnh đạo tổ chức của hệ thống ISMS, gồm có các yêu cầu về sự cam kết, sự quyết tâm của ban lãnh đạo trong việc xây dựng, duy trì cho hệ thống, yêu cầu về việc cung cấp tài chính, nguồn lực để hệ thống được vận hành tốt.
Điều khoản 6: Lập kế hoạch – Tổ chức sẽ định nghĩa, áp dụng những quy trình đánh giá được rủi ro, từ đó sẽ đưa ra những quy trình để xử lý nó. Điều khoản này cũng sẽ đưa ra các yêu cầu về thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó.
Điều khoản 7: Là hỗ trợ - Yêu cầu về tổ chức, đào tạo, truyền thông, nâng cao nhận thức cho toàn thể nhân viên, cán bộ của tổ chức đối với lĩnh vực ATTT và ISMS, số hoá thông tin.
Điều khoản 8: Vận hành hệ thống – Kế hoạch tổ chức cần vận hành và quản lý nhằm đạt được những mục tiêu đã đề ra. Bên cạnh đó, cần định kỳ thực hiện được những đánh giá rủi ro về ATTT và có kế hoạch để xử lý.
Điều khoản 9: Đánh giá về hiệu năng hệ thống – Quy định những trách nhiệm của Ban lãnh đạo trong quá trình định kỳ xem xét và đánh giá hệ thống ISMS của tổ chức. Phần này sẽ yêu cầu đối với mỗi kỳ xem xét của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và đề ra kế hoạch khắc phục. Nâng cấp cho hệ thống phù hợp với các thay đổi trong hoạt động của tổ chức.
Điều khoản 10: Cải tiến hệ thống: Là giữ vững nguyên tắc kế hoạch – Thực hiện – Kiểm tra – Hành động (P – D – C – A), chứng nhận cũng đưa ra được những yêu cầu đảm bảo cho Hệ thống ISMS không ngừng cải tiến trong quá trình hoạt động. Trong đó, sẽ gồm quy định trong việc áp dụng được các chính sách mới, hoạt động khắc phục, phòng ngừa những điểm yếu sẽ xảy ra, tiềm tàng nhằm đảm bảo hiệu quả cho hệ thống ISMS.
Phụ lục A: Là những mục tiêu và các biện pháp kiểm soát gồm 14 lĩnh vực kiểm soát để cụ thể hóa vấn đề mà tổ chức cần xem xét, thực hiện để xây dựng và duy trì cho Hệ thống ISMS.
Những lĩnh vực đưa ra xem xét gồm: Chính sách của lãnh đạo tổ chức, nhân sự, nguyên tắc đảm bảo ATTT trong vận hành, duy trì được hệ thống CNTT…
Mỗi lịch vực kiểm soát sẽ có những mục tiêu kiểm soát cần đạt được.
Trên đây là những chia sẻ của Viện chất lượng ISSQ về Cấu trúc của chứng nhận ISO 27001:2013
Hy vọng qua bài viết sẽ cung cấp được các thông tin hữu ích cho bạn và doanh nghiệp của bạn.
Viện Chất lượng ISSQ luôn sẵn sàng đồng hành cùng Quý cơ quan, doanh nghiệp trong thời kỳ hội nhập và phát triển.
Vui lòng liên hệ đến hotline: 0981851111 hoặc vienchatluong@issq.org.vn | tcvn@issq.org.vn chúng tôi rất hân hạnh được phục vụ quý khách hàng!.
Ngày đăng: 24/05/2023
Tin liên quan
- Tiêu chuẩn SA 8000 nâng cao uy tín doanh nghiệp trên thị trường quốc tế
- Đảm bảo an toàn và sức khỏe nghề nghiệp với tiêu chuẩn ISO 45001
- Viện Chất lượng ISSQ thông báo tuyển dụng
- Doanh nghiệp nâng cao uy tín, thúc đẩy phát triển bền vững với tiêu chuẩn ISO 14001
- Cải cách hành chính hiệu quả với hệ thống quản lý chất lượng TCVN ISO 9001:2015
- Bộ Quốc phòng tổ chức lớp bồi dưỡng kiến thức quản lý nhà nước, cải cách hành chính, chuyển đổi số và quản lý chất lượng theo tiêu chuẩn quốc gia ISO 9001:2015
- SA 8000 và ISO 26000 : Tiêu chuẩn về nơi làm việc được chấp nhận toàn cầu
- Doanh nghiệp cần có định hướng chiến lược trong chuyển đổi số
- Sự cần thiết xây dựng bộ tiêu chuẩn quốc gia về hệ thống pin lưu trữ năng lượng
- ISO 29001 – công cụ đắc lực quản lý rủi ro trong ngành công nghiệp dầu mỏ
- Vì sao Doanh nghiệp nên áp dụng tiêu chuẩn ISO 27001- Hệ thống Quản lý An toàn Thông tin
- Tiêu chuẩn ISO 45001 góp phần quản lý hiệu quả sức khỏe và an toàn nghề nghiệp
- Tiêu chuẩn ISO 22301 giúp duy trì hệ thống quản lý kinh doanh liên tục và phát triển
- Doanh nghiệp hưởng lợi nhờ áp dụng tiêu chuẩn FSSC 22000
- Tiêu chuẩn ISO 22000 đưa ra các yêu cầu toàn diện về an toàn thực phẩm
- Nâng cao năng lực kỹ thuật và quản lý phòng thử nghiệm
- Doanh nghiệp miền núi đẩy mạnh áp dụng tiêu chuẩn đo lường chất lượng góp phần thúc đẩy năng suất
- Tiêu chuẩn ISO 45001 góp phần quản lý hiệu quả sức khỏe và an toàn nghề nghiệp
- Tiêu chuẩn chất lượng - 'lá chắn' bảo vệ người tiêu dùng trước vấn nạn hàng giả
- Tiêu chuẩn ISO khẳng định giá trị toàn cầu