-
Bối cảnh của môi trường kỹ thuật số toàn cầu đang trải qua những biến đổi đáng kể. Công nghiệp 4.0 và các phương thức kinh doanh mới ngày càng trở nên phổ biến, đồng thời các hoạt động kinh doanh cốt lõi ngày càng phụ thuộc vào dịch vụ đám mây và kỹ thuật số.
Để đáp ứng đối với những thay đổi này, các tiêu chuẩn về Quản lý An toàn Thông tin ISO/IEC 27001 và các biện pháp kiểm soát theo tiêu chuẩn ISO/IEC 27001 đang được cập nhật, nhằm phản ánh sự phát triển và thách thức trong lĩnh vực An toàn Thông tin
Chứng nhận ISO 27001 là gì?
ISO 27001 là tiêu chuẩn quốc tế cung cấp các yêu cầu cho Hệ thống quản lý an toàn thông tin (ISMS - Information security management system) để cung cấp bảo mật liên tục, tính toàn vẹn và tính sẵn có của thông tin cũng như tuân thủ pháp luật.
Việc có Chứng nhận ISO 27001 trở nên quan trọng để đảm bảo bảo vệ những tài sản quan trọng nhất của tổ chức, như thông tin về nhân viên và khách hàng, hình ảnh thương hiệu và thông tin cá nhân khác. Tiêu chuẩn ISO 27001 đưa ra một phương pháp tiếp cận dựa trên quy trình để triển khai, thực hiện, vận hành và duy trì Hệ thống quản lý An toàn Thông tin (ISMS) của tổ chức.
Quá trình Chứng nhận ISO 27001 là một hoạt động kiểm tra, đánh giá và cấp chứng chỉ được thực hiện bởi các tổ chức chứng nhận ISO 27001 có thẩm quyền (CBs). Mục tiêu của quá trình này là đánh giá sự tuân thủ và phù hợp của Hệ thống quản lý An toàn Thông tin của doanh nghiệp.
ĐỐI TƯỢNG CỦA CHỨNG NHẬN ISO 27001:2022 LÀ GÌ?
Phiên bản mới nhất của Tiêu chuẩn ISO 27001 về của Hệ thống quản lý An toàn thông tin (Information Security Management System – ISMS) là ISO 27001:2022 (được ban hành vào ngày 25/10/2022). Ở phiên bản này, tiêu chuẩn đã có tên tiêu đề mới là “Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư – Hệ thống quản lý an toàn thông tin – Các yêu cầu“.
Về bản chất, tiêu chuẩn Quốc tế ISO 27001 mang tính tự nguyện. Không có bất cứ điều khoản nào trong tiêu chuẩn bắt buộc các tổ chức phải áp dụng hay xây dựng Hệ thống quản lý an toàn thông tin. Tuy nhiên, trên thực tế, có một số đối tượng bắt buộc phải áp dụng tiêu chuẩn này. Ví dụ, một số doanh nghiệp có thể phải tiến hành chứng nhận ISO 27001:2022 do yêu cầu từ phía Khách hàng / Đối tác.
Ngoài ra, các tổ chức có thể tự nguyện áp dụng tiêu chuẩn ISO 27001 vì họ nhận thấy rằng việc quản lý an toàn thông tin là yếu tố then chốt đối với hoạt động kinh doanh của mình.
Như vậy, ISO 27001 áp dụng được cho mọi loại hình tổ chức bao gồm các doanh nghiệp sản xuất, dịch vụ, thương mại hay cơ quan chính phủ,…
Vì sao cần chứng nhận ISO 27001?
Áp dụng ISO 27001 là minh chứng cho việc tuân thủ các yêu cầu pháp lý và yêu cầu từ khách hàng như GDPR (General Data Protection Regulation - Quy định chung về bảo mật dữ liệu) đồng thời bảo vệ khỏi các mối đe dọa an ninh tiềm ẩn bao gồm:
➢ Tội phạm mạng
➢ Vi phạm dữ liệu cá nhân
➢ Phá hoại / khủng bố
➢ Thiệt hại/ hỏa hoạn
➢ Sử dụng sai
➢ Trộm cắp
➢ Virus tấn công
Hệ thống ISO 27001 tập hợp các yếu tố có liên quan hoặc tương tác lẫn nhau của tổ chức để thiết lập chính sách, mục tiêu và các quá trình nhằm đảm bảo tính bảo mật, toàn vẹn, sẵn có của dữ liệu và thông tin. Tiêu chuẩn ISO 27001 là tiêu chuẩn được sử dụng phổ biến nhất hiện nay trên thế giới để xây dựng Hệ thống quản lý an toàn thông tin đạt chuẩn Quốc tế.
14 bước xây dựng Hệ thống ISMS phù hợp ISO 27001
➢ Bước 1: Khởi động dự án & Thành lập bộ phận chuyên trách
➢ Bước 2: Khảo sát thực trạng và Thu thập dữ liệu
➢ Bước 3: Đào tạo nhận thức ISO 27001:2022
➢ Bước 4: Hoàn thiện hạ tầng, trang bị thiết bị (nếu cần)
➢ Bước 5: Lập kế hoạch xây dựng Hệ thống ISMS
➢ Bước 6: Soạn thảo quy trình, tài liệu ISO 27001
➢ Bước 7: Triển khai thực hiện ISO 27001
➢ Bước 8: Đào tạo đánh giá nội bộ Hệ thống ISMS
➢ Bước 9: Đánh giá nội bộ
➢ Bước 10: Hành động khắc phục & Xem xét của lãnh đạo
➢ Bước 11: Đăng ký và đánh giá chứng nhận ISO 27001
➢ Bước 12: Hành động khắc phục sau đánh giá
➢ Bước 13: Được cấp chứng nhận
➢ Bước 14: Duy trì chứng nhận
ISO/IEC 27001:2022 có những thay đổi gì so với ISO/IEC 27001:2013
Phần chính của ISO 27001, tức là, từ 4 đến 10, không thay đổi. Chỉ các biện pháp kiểm soát an ninh thông tin được liệt kê trong ISO 27001 Phụ lục A sẽ được cập nhật – phù hợp với ISO 27002:2022. Số biện pháp kiểm soát sẽ giảm từ 114 xuống 93, tuy nhiên không có biện pháp kiểm soát nào bị loại bỏ mà nhiều biện pháp đã được hợp nhất lại.
Các biện pháp kiềm soát sẽ được soi xét theo nhiều chiều khác nhau, chia làm:
➢ 3 Loại (Phòng ngừa; Phát hiện; Khắc phục);
➢ 3 Thuộc tính (CIA);
➢ 5 Khái niệm ANTT;
➢ Hơn 10 Năng lực vận hành;
➢ 4 Miền an ninh và được đặt trong 4 chủ đề (themes) thay vì 14 chủ đề trước đó.
Có 11 biện pháp kiểm soát mới trong Annex A:
➢ Thông tin tình báo về các mối đe dọa
➢ An toàn thông tin khi sử dụng các dịch vụ đám mây
➢ Sẵn sàng về CNTT - truyền thông cho hoạt động kinh doanh liên tục
➢ Giám sát an ninh vật lý
➢ Quản lý cấu hình
➢ Xóa thông tin
➢ Che dấu dữ liệu
➢ Ngăn chặn rò rỉ dữ liệu
➢ Các hoạt động giám sát
➢ Lọc web
➢ Lập trình an toàn
Vì sao chọn AHEAD tư vấn chứng nhận
➢ AHEAD cam kết hỗ trợ nhiệt tình, cung cấp dịch vụ chuyên nghiệp, đồng hành tới khi khách hàng đạt chứng chỉ
➢ AHEAD bảo hành dịch vụ một năm sau khi sử dụng dịch vụ
➢ AHEAD cung cấp chương trình đào tạo được cá nhân hóa phù hợp với từng khách hàng
➢ AHEAD có mạng lưới đối tác chứng nhận uy tín trên toàn cầu, cung cấp dịch vụ trọn gói cho khách hàng.
Liên hệ AHEAD giải đáp miễn phí
Ms. Tuyết Anh - 03 999 07801
0919442077
Văn Phòng AHEAD
➢ Hà Nội: Số 18 Tam Trinh, Quận Hai Bà Trưng, Hà Nội.
➢ Đà Nẵng: 498 Bùi Trang Chước, Cẩm Lệ, Đà Nẵng.
➢ Hồ Chí Minh: 8/29 Hoàng Hoa Thám, Phường 7, Bình Thạnh, Hồ Chí Minh.
Bình luận: