1.ISO/IEC 27001 Quản lý an ninh thông tin là gì ?
ISO/IEC 27001 là tiêu chuẩn quốc tế về thông tin hoặc quản lý an ninh. Tiêu chuẩn vạch ra phương pháp để thực hiện đánh giá độc lập hệ thống quản lý an ninh thông tin và chứng nhận cho hệ thống đó. Nó giúp bạn giải quyết câu hỏi “an ninh thông tin là gì?”. Đồng thời tiêu chuẩn cho phép bạn bảo đảm các số liệu tài chính và dữ liệu mật một cách hiệu quả hơn, qua đó giảm thiếu đến mức tối đa khả năng bị truy cập bất hợp pháp hoặc không được cho phép.
Với ISO/IEC 27001, bạn có thể chứng minh việc cam kết và tuân thủ các thực hành là tốt nhất toàn cầu, thông qua cung cấp dịch vụ cho khách hàng, nhà cung cấp và các bên liên quan về việc an ninh quan trọng hơn cách bạn vận hành.
2.Những lợi ích của ISO/IEC 27001 về quản lý an ninh thông tin là gì ?
- Xác định rủi ro và thiết lập kiểm soát trong doanh nghiệp để quản lý rủi ro và loại bỏ rủi ro.
- Linh động trong việc thực hiện kiểm soát đối với tất cả các khu vực được chọn trong doanh nghiệp của bạn.
- Có được niềm tin của bên hữu quan và khách hàng về việc dữ liệu của họ được bảo mật
- Chứng minh sự tuân thủ và có được sự ưu ái của nhà cung cấp
- Đáp ứng nhiều hơn kỳ vọng đấu thầu bằng việc chứng minh việc tuân thủ
3.ISO/IEC 27001 hoạt động như thế nào?
Trọng tâm của ISO/IEC 27001 là bảo vệ tính bí mật, tính toàn vẹn và tính sẵn có của thông tin trong một công ty. Điều này được thực hiện bằng cách tìm ra những vấn đề tiềm ẫn có thể xảy ra với thông tin (ví dụ: đánh giá rủi ro), và sau đó xác định những gì cần phải làm để ngăn chặn những vấn đề đó xảy ra (tức là giảm thiểu rủi ro hoặc xử lý rủi ro).
Do đó, triết lý chính của ISO/IEC 27001 dựa trên quy trình quản lý rủi ro: tìm ra nơi có rủi ro và sau đó xử lý chúng một cách có hệ thống thông qua việc thực hiện các biện pháp kiểm soát an ninh (hoặc các biện pháp bảo vệ).
4.Các yêu cầu của ISO/IEC 27001:2013
Các yêu cầu từ điều khoản 4 đến điều khoản 10 có thể được tóm tắt như sau:
Điều khoản 4: Bối cảnh của tổ chức
Một điều kiện tiên quyết để triển khai thành công Hệ thống quản lý an toàn thông tin là hiểu được bối cảnh của tổ chức. Các vấn đề bên ngoài và bên trong, cũng như các bên quan tâm, cần được xác định và xem xét. Các yêu cầu có thể bao gồm các vấn đề về quy định, nhưng chúng cũng có thể vượt xa.
Với suy nghĩ này, tổ chức cần xác định phạm vi của ISMS. ISO/IEC 27001 sẽ được áp dụng rộng rãi như thế nào đối với công ty của bạn?…
Điều khoản 5: Lãnh đạo
Các yêu cầu của ISO/IEC 27001 đối với một khả năng lãnh đạo phù hợp là rất đa dạng. Sự cam kết của lãnh đạo cao nhất là bắt buộc đối với một hệ thống quản lý. Các mục tiêu cần được thiết lập theo các mục tiêu chiến lược của một tổ chức. Cung cấp các nguồn lực cần thiết cho ISMS, cũng như hỗ trợ những người đóng góp vào ISMS, là những ví dụ khác về các nghĩa vụ phải đáp ứng Hơn nữa, lãnh đạo cao nhất cần thiết lập một chính sách phù hợp với bảo mật thông tin. Chính sách này phải được lập thành văn bản, cũng như được thông bảo trong tổ chức và cho các bên quan tâm.
Các vai trò và trách nhiệm cũng cần được phân công để đáp ứng các yêu cầu của tiêu chuẩn ISO/IEC 27001 và báo cáo về hiệu suất của ISMS.
Điều khoản 6: Lập kế hoạch
Lập kế hoạch trong môi trường ISMS phải luôn tính đến rủi ro và cơ hội. Đánh giá rủi ro an toàn thông tin cung cấp một nền tảng vững chắc đễ dựa vào. Theo đó, các mục tiêu an toàn thông tin cần được dựa trên việc đánh giá rủi ro. Các mục tiêu này cần phải phù hợp với mục tiêu tổng thể của công ty. Hơn nữa, các mục tiêu cần được thúc đẩy trong công ty. Họ cung cấp các mục tiêu bảo mật để hướng tới cho tất cả mọi người bên trong và phù hợp với công ty. Từ việc đánh giá rủi ro và các mục tiêu an toàn, kế hoạch xử lý rủi ro được đưa ra dựa trên các biện pháp kiểm soát như liệt kê trong Phụ lục A.
Điều khoản 7: Hỗ trợ
Nguồn lực, năng lực của nhân viên, nhận thức và giao tiếp là những vấn đề quan trọng của việc hỗ trợ sự nghiệp. Một yêu cầu khác là tài liệu hóa thông tin theo ISO/IEC 27001. Thông tin cần được lập thành tài liệu, tạo và cập nhật, cũng như được kiểm soát. Một bộ tài liệu phù hợp cần được duy trì để hỗ trợ sự thành công của ISMS.
Điều khoản 8: Vận hành
Các quy trình là bắt buộc để thực hiện bảo mật thông tin. Các quá trình này cần được lập kế hoạch, thực hiện và kiểm soát. Việc đánh giá và xử lý rủi ro – điều cần được lãnh đạo cao nhất quan tâm, như chúng ta đã học trước đó – phải được đưa vào thực hiện.
Điều khoản 9: Đánh giá hiệu suất
Các yêu cầu của tiêu chuẩn ISO/IEC 27001 mong đợi việc giám sát, đo lường, phân tích và đánh giá Hệ thống quản lý an toàn thông tin. Bộ phận không chỉ nên tự kiểm tra công việc của mình, ngoài ra, cần phải tiến hành các cuộc đánh giá nội bộ. Tại các khoảng thời gian đã định, lãnh đạo cao nhất cần xem xét ISMS của tổ chức.
Điều khoản 10: Cải tiến
Cải tiến tiếp theo sau đánh giá. Sự không phù hợp cần được giải quyết bằng cách hành động và loại bỏ các nguyên nhân khi có thể áp dụng. Hơn nữa, một quy trình cải tiến liên tục nên được thực hiện, ngay cả khi chu trình PDCA (Plan-Do-Check-Act) không còn bắt buộc nữa, chu trình PDCA thường được khuyến nghị, vì nó cung cấp một cấu trúc vững chắc và đáp ứng các yêu cầu của ISO/IEC 27001.
