Cấu trúc của chứng nhận ISO 27001:2013
Cấu trúc của chứng nhận ISO 27001:2013
Chứng nhận 27001:2013 – Hệ thống quản lý ATTT đây là nhu cầu cần thiết của tổ chức để đảm bảo ATTT trở nên toàn diện. Khi xây dựng hệ thống ISMS dựa theo tiêu chuẩn ISO 27001:2013 sẽ đảm bảo ATTT tổ chức quản lý chặt chẽ hơn. Do chứng nhận 27001 đảm bảo ATTT dựa trên nhiều khía cạnh, vì vậy việc xây dựng và áp dụng hệ thống cần đòi hỏi sự quyết tâm của lãnh đạo tổ chức và bên cạnh đó là sự phối hợp đồng bộ của bộ phận tổ chức trong xây dựng và duy trì hệ thống
Vấn đề bảo mật thông của doanh nghiệp
Bảo mật thông tin đang là vấn đề và trở thành mối quan tâm cho tất cả doanh nghiệp khi mà tội phạm họ đang tìm cách để đánh cắp thông tin như các thông tin về thẻ tín dụng, chi tiết tài chính, chi tiết cá nhân hoặc là bất cứ thông tin nào khác mà chúng có thể bán hay giao dịch. Tội phạm đang trở nên tinh vi hơn bên cạnh đó họ sử dụng các phương pháp khác nhau để tấn công mạng máy tính của công ty. Khi vi phạm dữ liệu thì đều cho thấy được những sai lầm dẫn tới việc lộ hàng triệu bản ghi dữ liệu cá nhân.
Tháng 4 năm 2019, nhóm UpGuard Cyber Risk đã tiết lộ về hai bộ dữ liệu ứng dụng Facebook của bên thứ 3 đã đưa lên Internet công cộng, tác động đến 533 triệu người dùng của Facebook.
Vào năm 2004 thì Yahoo đã tiết lộ về một vụ vi phạm tháng 8 năm 2013 của một nhóm tin tặc đã xâm nhập vào 1 tỷ tài khoản. Đối với trường hợp này những câu hỏi và câu trả lời sẽ bị xâm phạm, gia tăng nguy cơ việc đánh cắp danh tính.
Chuỗi bán lẻ Target ở Hoa Kỳ vụ việc chấn động làm cho triệu chi tiết thẻ tín dụng của khách hàng đã bị tội phạm đánh cắp và trong đó có một ngân hàng ở Hoa Kỳ mất hơn 45 triệu đô la Mỹ trong vòng 24 giờ.
Trên đây là những ví dụ điển hình, các vụ rò rỉ thông tin trên toàn cầu làm ảnh hưởng không nhỏ đến những tổ chức, doanh nghiệp, gây ra những vụ thiệt hại nặng nề. Vậy nên, bảo mật thông tin đã đặt ra thách thức thực tế và thường xuyên cho tổ chức, doanh nghiệp. Quan trọng nhất là doanh nghiệp cần nhận ra được mối đe doạ và đưa ra được các giải pháp phù hợp nhất từ đó giảm khả năng xảy ra các rủi ro tiềm ẩn.
Cấu trúc của chứng nhận ISO 27001:2013
+ Gồm có 7 điều khoản chính (từ phần 4 đến phần 10 của chứng nhận): Đưa ra những yêu cầu bắt buộc đối với công việc cần tiến hành thực hiện trong việc thiết lập, vận hành, giám sát, duy trì và nâng cấp được Hệ thống ISMS của tổ chức. Bất cứ vi phạm nào của tổ chức nằm trong quy định của 07 điều khoản này thì đều sẽ được coi là không tuân theo tiêu chuẩn.
Điều khoản 4: Đối với phạm vi tổ chức – Sẽ đưa ra những yêu cầu cụ thể để tổ chức căn cứ vào quy mô, lĩnh vực hoạt động , những yêu cầu, kỳ vọng của các bên liên quan thiết lập cho phạm vi Hệ thống quản lý ATTT sao cho phù hợp.
Điều khoản 5: Lãnh đạo – Quy định về những vấn đề về trách nhiệm của ban lãnh đạo tổ chức của hệ thống ISMS, gồm có các yêu cầu về sự cam kết, sự quyết tâm của ban lãnh đạo trong việc xây dựng, duy trì cho hệ thống, yêu cầu về việc cung cấp tài chính, nguồn lực để hệ thống được vận hành tốt.
Điều khoản 6: Lập kế hoạch – Tổ chức sẽ định nghĩa, áp dụng những quy trình đánh giá được rủi ro, từ đó sẽ đưa ra những quy trình để xử lý nó. Điều khoản này cũng sẽ đưa ra các yêu cầu về thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó.
Điều khoản 7: Là hỗ trợ - Yêu cầu về tổ chức, đào tạo, truyền thông, nâng cao nhận thức cho toàn thể nhân viên, cán bộ của tổ chức đối với lĩnh vực ATTT và ISMS, số hoá thông tin.
Điều khoản 8: Vận hành hệ thống – Kế hoạch tổ chức cần vận hành và quản lý nhằm đạt được những mục tiêu đã đề ra. Bên cạnh đó, cần định kỳ thực hiện được những đánh giá rủi ro về ATTT và có kế hoạch để xử lý.
Điều khoản 9: Đánh giá về hiệu năng hệ thống – Quy định những trách nhiệm của Ban lãnh đạo trong quá trình định kỳ xem xét và đánh giá hệ thống ISMS của tổ chức. Phần này sẽ yêu cầu đối với mỗi kỳ xem xét của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và đề ra kế hoạch khắc phục. Nâng cấp cho hệ thống phù hợp với các thay đổi trong hoạt động của tổ chức.
Điều khoản 10: Cải tiến hệ thống: Là giữ vững nguyên tắc kế hoạch – Thực hiện – Kiểm tra – Hành động (P – D – C – A), chứng nhận cũng đưa ra được những yêu cầu đảm bảo cho Hệ thống ISMS không ngừng cải tiến trong quá trình hoạt động. Trong đó, sẽ gồm quy định trong việc áp dụng được các chính sách mới, hoạt động khắc phục, phòng ngừa những điểm yếu sẽ xảy ra, tiềm tàng nhằm đảm bảo hiệu quả cho hệ thống ISMS.
Phụ lục A: Là những mục tiêu và các biện pháp kiểm soát gồm 14 lĩnh vực kiểm soát để cụ thể hóa vấn đề mà tổ chức cần xem xét, thực hiện để xây dựng và duy trì cho Hệ thống ISMS.
Những lĩnh vực đưa ra xem xét gồm: Chính sách của lãnh đạo tổ chức, nhân sự, nguyên tắc đảm bảo ATTT trong vận hành, duy trì được hệ thống CNTT…
Mỗi lịch vực kiểm soát sẽ có những mục tiêu kiểm soát cần đạt được.
Trên đây là những chia sẻ của Viện chất lượng ISSQ về Cấu trúc của chứng nhận ISO 27001:2013
Hy vọng qua bài viết sẽ cung cấp được các thông tin hữu ích cho bạn và doanh nghiệp của bạn.
Viện Chất lượng ISSQ luôn sẵn sàng đồng hành cùng Quý cơ quan, doanh nghiệp trong thời kỳ hội nhập và phát triển.
Vui lòng liên hệ đến hotline: 0981851111 hoặc vienchatluong@issq.org.vn | tcvn@issq.org.vn chúng tôi rất hân hạnh được phục vụ quý khách hàng!.
Ngày đăng: 24/05/2023
Tin liên quan
- Những điểm chính của phiên bản mới của tiêu chuẩn ISO 29001
- Công ty TNHH Ngọc Liên Vĩnh Phúc chứng nhận ISO 9001:2015; ISO 14001:2015; ISO 45001:2018; TCVN 7490:2005; TCVN 8575:2010; TCVN 7753:2007 tại Viện ISSQ
- Công ty TNHH Đầu tư Phát triển Nội thất Bảo Lâm chứng nhận TCVN 8575:2010 tại Viện ISSQ
- Thang máng cáp cần chứng nhận Quy chuẩn QCVN16:2023/BXD
- Đánh giá chứng nhận ISO 9001:2015 và QCVN 16:2023/BXD đối với Công ty TNHH Sản xuất Vật liệu Xây dựng Minh Cường
- Công ty TNHH In ấn và Quảng cáo Thương mại Tân Đô áp dụng ISO 14001:2015
- Quy định kỹ thuật về chứng nhận QCVN 14:2018/BKHCN
- Công ty Cổ phần Công nghiệp Ô tô – Vinacomin chứng nhận ISO 14001, ISO 45001 và 5S tại Viện ISSQ
- Công ty CP Fintwin Corporation áp dụng ISO 27001:2022
- Tổng quát về chứng nhận ISO 20000 trong lĩnh vực công nghệ thông tin
- Viện ISSQ chứng nhận ISO 9001:2015 đối với Công ty TNHH Công nghệ Khuôn mẫu TVHE
- Công ty Cổ phần MT Thiên Tân chứng nhận ISO 9001, TCVN 9340, TCVN 9113 tại Viện ISSQ
- Lợi ích áp dụng chứng nhận ISO 22301:2019 Hệ thống Quản lý Kinh doanh liên tục.
- Công ty Cổ Phần Gemmy Wood áp dụng ISO 9001:2015
- Chứng nhận ISO 9001 đối với Công ty Cổ phần Chế tạo Biến thế và Kỹ thuật điện Hà Nội
- Chứng nhận Gạch bê tông tự chèn theo TCVN 6476:1999
- Chứng nhận ISO 9001 đối với Trung tâm Dịch vụ Kỹ thuật Tiêu chuẩn Đo lường Chất Lượng Thanh Hóa
- Đánh giá chứng nhận ISO 9001 đối với Công ty Cổ phần Xí nghiệp than Uông Bí
- Chứng nhận ‘Nước lau sàn theo tiêu chuẩn TCVN 12589:2018’
- Công ty Cổ phần Thương mại và Sản xuất Nội thất THE ONE chứng nhận ISO 13485 tại Viện ISSQ