Cách thức hoạt động Chứng nhận ISO 27001 - Hệ thống quản lý an toàn thông tin

Nhằm chủ động kiểm soát, phòng ngừa, hạn chế được những hậu quả từ mất an toàn thông tin thì mỗi tổ chức sẽ có các phương pháp tiếp cận và kiểm soát an toàn thông tin ở mức độ khác nhau. Chứng nhận ISO 27001 - Hệ thống quản lý an toàn thông tin ra đời để quản lý, kiểm soát rủi ro về an toàn thông tin, mang lại lợi ích cho doanh nghiệp.

Chứng nhận ISO 27001 - Hệ thống quản lý an toàn thông tin

Theo quan điểm của chứng nhận ISO 27001 – Hệ thống quản lý an toàn thông tin nêu ra rằng tài sản của tổ chức ngoài nhà xưởng, máy móc thì còn có thông tin và những hệ thống, quy trình. Tất cả tài sản hữu hình và vô hình của công ty đều có một giá trị quan trọng và cần được bảo vệ một cách thích hợp. Thông tin sẽ được tồn tại và lưu trữ dưới nhiều hình thức khác nhau. Vậy nên tổ chức cần có nhiều biện pháp bảo vệ sao cho phù hợp từ đó hạn chế được rủi ro.

Khác với những tài sản khác thì thông tin sẽ gặp những rủi ro về ATTT như:

+ Các quy trình vận hành thông tin không được bảo đảm

+ Không quản lý được rủi ro về việc truy cập hệ thống thông tin của doanh nghiệp một cách định kỳ

+ Nhân viên chưa được công ty đào tạo về việc vận hành, bảo mật thông tin và quản lý..

Vậy nên, ngoài những biện pháp về kỹ thuật thì doanh nghiệp cần xây dựng và áp dụng được những chính sách, quy định và quy trình vận hành để phù hợp nhằm giảm thiểu được rủi ro.

Quá trình hình thành và phát triển của chứng nhận ISO 27001

Chứng nhận ISO 27001 là bộ tiêu chuẩn đã được hình thành để hỗ trợ cho tổ chức bảo vệ an toàn cho tài sản thông tin của mình, dựa vào việc quản lý được tính an toàn của những tài sản thông tin ví dụ như thông tin tài chính, thông tin nhân sự, sở hữu trí tuệ hoặc thông tin được tổ chức uỷ thác cho bên thứ ba.

Chứng nhận ISO là tiêu chuẩn quan trọng trong bộ tiêu chuẩn ISO 27001, đưa ra những yêu cầu đối với một hệ thống quản lý an toàn thông tin. Tiền thân của chứng chỉ này là tiêu chuẩn về quản lý an toàn thông tin của BS 7799 - Viện Tiêu chuẩn Anh quốc (British Standards – BSI). Vào tháng 12/2000, chứng chỉ BS 7799 – 1 đã được Tổ chức tiêu chuẩn hóa quốc tế ISO đã chính thức chấp nhận và ban hành dựa trên tiêu chuẩn quốc tế ISO 17799:2000. Vào năm 2005, chứng nhận ISO 17799:2000 đã được sửa đổi ban hành theo phiên bản đầu tiên của chứng nhận ISO 27001:2005: Công nghệ thông tin – Hệ thống quản lý an toàn thông tin – Những yêu cầu.

Vào tháng 10/2013, tiêu chuẩn ISO 27001:2013 – phiên bản thứ hai đã được ban hành để thay thế cho phiên bản ISO 27001:2005, xuất phát dựa theo 2 yếu tố tác động chính.

Thứ nhất, là yêu cầu từ việc áp dụng Phụ lục/Annex SL vào năm 2012 của tiêu chuẩn ISO với việc chuẩn hóa, thống nhất được khái niệm, thuật ngữ và cấu trúc của chứng nhận về hệ thống quản lý của ISO.

Thứ hai, là việc đưa vào áp dụng những nguyên tắc về quản lý rủi ro dựa theo hướng dẫn của chứng nhận ISO 31001:2009 – Quản lý rủi ro – Những nguyên tắc và hướng dẫn.

Vào 4/2019, tình trạng ban hành một vài tiêu chuẩn chính trong bộ tiêu chuẩn ISO 27001, trong đó tiêu chuẩn ISO 27001 là tiêu chuẩn được biêt nhiều nhất, để đưa ra được yêu cầu với một hệ thống quản lý an toàn thông tin (ISMS). Đối với những tiêu chuẩn còn lại là để hỗ trợ việc thiết lập, vận hành, giám sát, cải tiến và duy trì của ISMS.

Cách thức hoạt động của ISO/IEC 27001:2013

Đặc điểm nổi bật của ISO 27001 là tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin trong một tổ chức. Điểm này được thực hiện bằng cách xác định các vấn đề tiềm ẩn có thể xảy ra với thông tin và xác định các biện pháp cần thực hiện để ngăn chặn các vấn đề đó xảy ra.

Tiêu chuẩn ISO/IEC 27001 thường yêu cầu các tổ chức liệt kê tất cả các giải pháp để kiểm soát các vấn đề trong một tài liệu gọi là Tuyên bố về Khả năng áp dụng.

Nguyên tắc cơ bản của ISO/IEC 27001:2013

Tiêu chuẩn ISO 27001 thường được tuân thủ và hướng dẫn chung các quy định dựa trên tiêu chuẩn ISO 31000 về quản lý rủi ro. Các nguyên tắc có thể bao gồm:

Được tích hợp;

Có cấu trúc và toàn diện;

Có thể tùy chỉnh;

Sự tham gia kịp thời của các bên liên quan;

Khả năng đối phó;

Thông tin tốt nhất hiện có;

Yếu tố con người và văn hóa;

Có sự cải tiến liên tục.

Một số khác biệt giữa chứng nhận ISO 27001:2005 và chứng nhận ISO 27001:2013

Bảng so sánh giữa “Điều khoản” của phiên bản cũ với phiên bản tiêu chuẩn:

Việc thay đổi cấu trúc giữa các “Điều khoản” của phiên bản mới so với phiên bản cũ nhằm mục đích đồng bộ cấu trúc, yêu cầu với các chứng nhận quản lý khác ví dụ như Hệ thống quản lý chất lượng ISO 9001:2008 và Hệ thống quản lý rủi ro ISO 31000:2009. Ngoài ra, tiêu chuẩn đã thêm phần “Bối cảnh tổ chức”. Phần này giúp các tổ chức đánh giá tốt hơn tình trạng hiện tại của họ.

Trong phần Điều khiển. Phụ lục A, gồm 14 lĩnh vực trong đó có 35 mục tiêu kiểm soát (tương ứng với 114 biện pháp kiểm soát). Tổ chức sẽ lựa chọn các biện pháp kiểm soát phù hợp để áp dụng trong số các biện pháp trên.

Bảng so sánh giữa “Điều khiển” của phiên bản mới và cũ:

Sự thay đổi của “Các biện pháp kiểm soát” trong phiên bản mới nhằm phù hợp hơn với xu hướng phát triển công nghệ, yêu cầu thực tế của các tổ chức và cũng thể hiện sự quan tâm nhiều hơn đến các biện pháp kiểm soát an ninh. các vấn đề về mã hóa hoặc bảo mật khi làm việc với nhà cung cấp. Đặc biệt, việc thay đổi thứ tự đưa vị trí của phần Nhân sự An toàn thông tin lên trước phần Quản lý tài sản cho thấy con người là một trong những yếu tố quan trọng nhất trong việc xây dựng, vận hành, bảo trì và cải tiến hệ thống ISMS.

Trên đây là những chia sẻ của Viện chất lượng ISSQ về Cách thức hoạt động Chứng nhận ISO 27001 - Hệ thống quản lý an toàn thông tin

Hy vọng qua bài viết sẽ cung cấp được các thông tin hữu ích cho bạn và doanh nghiệp của bạn.

 

  • Viện Chất lượng ISSQ luôn sẵn sàng đồng hành cùng Công ty trong thời kỳ hội nhập và phát triển.Vui lòng liên hệ đến hotline: 0981851111  hoặc vienchatluong@issq.org.vn | tcvn@issq.org.vn chúng tôi rất hân hạnh được phục vụ quý khách hàng!.

    Ngày đăng: 22/06/2023

 

Tin liên quan