Cấu trúc của chứng nhận ISO 27001:2013

Chứng nhận 27001:2013 – Hệ thống quản lý ATTT đây là nhu cầu cần thiết của tổ chức để đảm bảo ATTT trở nên toàn diện. Khi xây dựng hệ thống ISMS dựa theo tiêu chuẩn ISO 27001:2013 sẽ đảm bảo ATTT tổ chức quản lý chặt chẽ hơn. Do chứng nhận 27001 đảm bảo ATTT dựa trên nhiều khía cạnh, vì vậy việc xây dựng và áp dụng hệ thống cần đòi hỏi sự quyết tâm của lãnh đạo tổ chức và bên cạnh đó là sự phối hợp đồng bộ của bộ phận tổ chức trong xây dựng và duy trì hệ thống

Vấn đề bảo mật thông của doanh nghiệp

Bảo mật thông tin đang là vấn đề và trở thành mối quan tâm cho tất cả doanh nghiệp khi mà tội phạm họ đang tìm cách để đánh cắp thông tin như các thông tin về thẻ tín dụng, chi tiết tài chính, chi tiết cá nhân hoặc là bất cứ thông tin nào khác mà chúng có thể bán hay giao dịch. Tội phạm đang trở nên tinh vi hơn bên cạnh đó họ sử dụng các phương pháp khác nhau để tấn công mạng máy tính của công ty. Khi vi phạm dữ liệu thì đều cho thấy được những sai lầm dẫn tới việc lộ hàng triệu bản ghi dữ liệu cá nhân.

Tháng 4 năm 2019, nhóm UpGuard Cyber Risk đã tiết lộ về hai bộ dữ liệu ứng dụng Facebook của bên thứ 3 đã đưa lên Internet công cộng, tác động đến 533 triệu người dùng của Facebook.

Vào năm 2004 thì Yahoo đã tiết lộ về một vụ vi phạm tháng 8 năm 2013 của một nhóm tin tặc đã xâm nhập vào 1 tỷ tài khoản. Đối với trường hợp này những câu hỏi và câu trả lời sẽ bị xâm phạm, gia tăng nguy cơ việc đánh cắp danh tính.

Chuỗi bán lẻ Target ở Hoa Kỳ vụ việc chấn động làm cho triệu chi tiết thẻ tín dụng của khách hàng đã bị tội phạm đánh cắp và trong đó có một ngân hàng ở Hoa Kỳ mất hơn 45 triệu đô la Mỹ trong vòng 24 giờ.

Trên đây là những ví dụ điển hình, các vụ rò rỉ thông tin trên toàn cầu làm ảnh hưởng không nhỏ đến những tổ chức, doanh nghiệp, gây ra những vụ thiệt hại nặng nề. Vậy nên, bảo mật thông tin đã đặt ra thách thức thực tế và thường xuyên cho tổ chức, doanh nghiệp.  Quan trọng nhất là doanh nghiệp cần nhận ra được mối đe doạ và đưa ra được các giải pháp phù hợp nhất từ đó giảm khả năng xảy ra các rủi ro tiềm ẩn.

 

Cấu trúc của chứng nhận ISO 27001:2013

+ Gồm có 7 điều khoản chính (từ phần 4 đến phần 10 của chứng nhận): Đưa ra những yêu cầu bắt buộc đối với công việc cần tiến hành thực hiện trong việc thiết lập, vận hành, giám sát, duy trì và nâng cấp được Hệ thống ISMS của tổ chức. Bất cứ vi phạm nào của tổ chức nằm trong quy định của 07 điều khoản này thì đều sẽ được coi là không tuân theo tiêu chuẩn.

Điều khoản 4: Đối với phạm vi tổ chức – Sẽ đưa ra những yêu cầu cụ thể để tổ chức căn cứ vào quy mô, lĩnh vực hoạt động , những yêu cầu, kỳ vọng của các bên liên quan thiết lập cho phạm vi Hệ thống quản lý ATTT sao cho phù hợp.

 

Điều khoản 5: Lãnh đạo – Quy định về những vấn đề về trách nhiệm của ban lãnh đạo tổ chức của hệ thống ISMS, gồm có các yêu cầu về sự cam kết, sự quyết tâm của ban lãnh đạo trong việc xây dựng, duy trì cho hệ thống, yêu cầu về việc cung cấp tài chính, nguồn lực để hệ thống được vận hành tốt.

Điều khoản 6: Lập kế hoạch – Tổ chức sẽ định nghĩa, áp dụng những quy trình đánh giá được rủi ro, từ đó sẽ đưa ra những quy trình để xử lý nó. Điều khoản này cũng sẽ đưa ra các yêu cầu về thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó.

Điều khoản 7: Là hỗ trợ - Yêu cầu về tổ chức, đào tạo, truyền thông, nâng cao nhận thức cho toàn thể nhân viên, cán bộ của tổ chức đối với lĩnh vực ATTT và ISMS, số hoá thông tin.

Điều khoản 8: Vận hành hệ thống – Kế hoạch tổ chức cần vận hành và quản lý nhằm đạt được những mục tiêu đã đề ra. Bên cạnh đó, cần định kỳ thực hiện được những đánh giá rủi ro về ATTT và có kế hoạch để xử lý.

Điều khoản 9: Đánh giá về hiệu năng hệ thống – Quy định những trách nhiệm của Ban lãnh đạo trong quá trình định kỳ xem xét và đánh giá hệ thống ISMS của tổ chức. Phần này sẽ yêu cầu đối với mỗi kỳ xem xét của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và đề ra kế hoạch khắc phục. Nâng cấp cho hệ thống phù hợp với các thay đổi trong hoạt động của tổ chức.

Điều khoản 10: Cải tiến hệ thống: Là giữ vững nguyên tắc kế hoạch – Thực hiện – Kiểm tra – Hành động (P – D – C – A), chứng nhận cũng đưa ra được những yêu cầu đảm bảo cho Hệ thống ISMS không ngừng cải tiến trong quá trình hoạt động. Trong đó, sẽ gồm quy định trong việc áp dụng được các chính sách mới, hoạt động khắc phục, phòng ngừa những điểm yếu sẽ xảy ra, tiềm tàng nhằm đảm bảo hiệu quả cho hệ thống ISMS.

Phụ lục A: Là những mục tiêu và các biện pháp kiểm soát gồm 14 lĩnh vực kiểm soát để cụ thể hóa vấn đề mà tổ chức cần xem xét, thực hiện để xây dựng và duy trì cho Hệ thống ISMS.

Những lĩnh vực đưa ra xem xét gồm: Chính sách của lãnh đạo tổ chức, nhân sự, nguyên tắc đảm bảo ATTT trong vận hành, duy trì được hệ thống CNTT…

Mỗi lịch vực kiểm soát sẽ có những mục tiêu kiểm soát cần đạt được.

Trên đây là những chia sẻ của Viện chất lượng ISSQ về Cấu trúc của chứng nhận ISO 27001:2013

Hy vọng qua bài viết sẽ cung cấp được các thông tin hữu ích cho bạn và doanh nghiệp của bạn.

 

Viện Chất lượng ISSQ luôn sẵn sàng đồng hành cùng Quý cơ quan, doanh nghiệp trong thời kỳ hội nhập và phát triển.
Vui lòng liên hệ đến hotline: 0981851111  hoặc vienchatluong@issq.org.vn | tcvn@issq.org.vn chúng tôi rất hân hạnh được phục vụ quý khách hàng!.