vietnamese english

ISO 27001 | Khái quát và cấu trúc của tiêu chuẩn

AHEAD Hà Nội

  • Phone: CN 1: Số 18/14A Đường Cộng Hòa, Phường 12, Quận Tân Bình/ CN 2: 8E (8/29) Hoàng Hoa Thám, P.7, Q. Bình Thạnh
  • http://iso-ahead.vn/

AHEAD Hồ Chí Minh

  • Phone: (84.236) 2219 374 ; Phone : 0986077845
  • ahead1.danang@gmail.com

AHEAD Đà Nẵng

  • Phone: vanpham.ahead@gmail.com
  • CÔNG TY TƯ VẤN ISO AHEAD | HƠN 15 NĂM KINH NGHIỆM TƯ VẤN HỆ THỐNG QUẢN LÝ CHUYÊN NGHIỆP
        Tiêu chuẩn quốc tế ISO/IEC 27001:2013 cung cấp mô hình thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và nâng cấp Hệ thống ISMS, giúp tổ chức thực hiện việc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT.

Khái quát về Tiêu chuẩn ISO 27001
  • Tiêu chuẩn quốc tế ISO/IEC 27001:2013 cung cấp mô hình thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và nâng cấp Hệ thống ISMS.
  • Xây dựng Hệ thống ISMS như thế nào là quyết định chiến lược của một tổ chức. Thiết kế và triển khai Hệ thống ISMS của tổ chức đó phụ thuộc vào mục tiêu, các yêu cầu về ATTT cần phải đạt được, các quy trình đang vận hành, quy mô và cơ cấu của tổ chức...
  • Hệ thống ISMS cũng đòi hỏi phải luôn được xem xét, cập nhật để phù hợp với những thay đổi của tổ chức và nâng cao mức độ an toàn với Hệ thống lưu trữ, xử lý thông tin. Ngoài ra, tổ chức cũng cần cân nhắc chi phí đầu tư xây dựng và triển khai ISMS phù hợp với nhu cầu đảm bảo ATTT.
  • ISO/IEC 27001 đặc tả các yêu cầu cần thiết cho việc thiết lập, vận hành và giám sát hoạt động của ISMS; đưa ra các nguyên tắc cơ bản cho việc khởi tạo, thực thi, duy trì và cải tiến ISMS. Tiêu chuẩn này đưa ra các quy tắc bảo mật thông tin và đánh giá sự tuân thủ đối với các bộ phận bên trong tổ chức, xây dựng các yêu cầu bảo mật thông tin mà đối tác, khách hàng cần phải tuân thủ khi làm việc với tổ chức.
  • Đây cũng là công cụ để các nhà lãnh đạo thực hiện giám sát, quản lý các Hệ thống thông tin, giảm thiểu rủi ro và tăng cường mức độ an toàn, bảo mật cho các tổ chức.
  • Cấu trúc tiêu chuẩn ISO/IEC 27001:2013
- 07 điều khoản chính (từ phần 4 đến phần 10 của Tiêu chuẩn): đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống ISMS của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn:
  • Điều khoản 4 - Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp.
  • Điều khoản 5 - Lãnh đạo: Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ thống ISMS, bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy trì hệ thống; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống.
  • Điều khoản 6 - Lập kế hoạch: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó.
  • Điều khoản 7 - Hỗ trợ: yêu cầu đối với việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực ATTT và ISMS, số hóa thông tin.
  • Điều khoản 8 - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đã đề ra. Đồng thời cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý.
  • Điều khoản 9 - Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá Hệ thống ISMS của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ chức.
  • Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực hiện - Kiểm tra - Hành  động (P-D-C-A), tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS không ngừng được cải tiến trong quá trình hoạt động. Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục, phòng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của Hệ thống ISMS.
- Phụ lục A - Các mục tiêu và biện pháp kiểm soát: đưa ra 14 lĩnh vực kiểm soát nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện khi xây dựng và duy trì Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm từ chính sách của lãnh đạo tổ chức, tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự, các nguyên tắc căn bản để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT....
Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với lĩnh vực hoạt động của mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.

Kết luận

Hệ thống quản lý ATTT là nhu cầu thiết yếu của một tổ chức, khi cần đảm bảo ATTT một cách toàn diện. Xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001:2013 sẽ giúp hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ. Do tiêu chuẩn ISO 27001 xem xét đảm bảo ATTT trên nhiều khía cạnh, nên việc xây dựng và áp dụng hệ thống đòi hỏi phải có sự quyết tâm của lãnh đạo tổ chức và sự phối hợp đồng bộ các bộ phận của tổ chức trong việc xây dựng và duy trì hệ thống.

Liên hệ tư vấn chứng nhận: Công ty TNHH Tư vấn quản lý và Phát triển doanh nghiệp Á Châu (AHEAD Consulting & Training)

  • Trụ sở chính AHEAD Hà Nội: Số 18 Tam Trinh, Quận Hai Bà Trưng, Thành Phố Hà Nội
  • Email: isoahead@gmail.com /Tel: (84.24) 6321 5109
  • AHEAD Hồ Chí Minh:Số 8/29 Đường Hoàng Hoa Thám, Phường 7, Quận Bình Thạnh, Thành phố Hồ Chí Minh - Tel: (84.28) 2226 8288; Phone : 0931796188; Email: vanpham.ahead@gmail.com 
  • AHEAD Đà Nẵng: Số 32 Tôn Thất Đạm, Phường Xuân Hà, Quận Thanh Khê, Thành phố Đà Nẵng - Tel: (84.236) 2219 374; Phone : 0986 077 845




Bài viết liên quan


Khóa đào tạo chuyên gia đánh giá trưởng
Khóa đào tạo chuyên gia đánh giá trưởng

Khóa đào tạo chuyên gia đánh giá trưởng (Lead Auditor Training Course) do Ahead tổ chức và các chuyên gia của Ahead trực tiếp đào tạo....

Hội thảo An toàn Thông tin Việt Nam 23/11/2012
Hội thảo An toàn Thông tin Việt Nam 23/11/2012

Vấn đề bảo mật an toàn thông tin ở Việt Nam hiện nay ngày càng trở nên đáng báo động bởi hàng loạt thông tin doanh nghiệp đang đứng trước nguy cơ bị tấn công và còn nhiều lỗ hổng lớn...

Khoa vi sinh đầu tiên của Việt Nam đạt tiêu chuẩn quốc tế - ISO 15189:2007
Khoa vi sinh đầu tiên của Việt Nam đạt tiêu chuẩn quốc tế - ISO 15189:2007

Theo số lượng ước tính thực tế, hiện nay có tới 70% các quyết định y khoa được đưa ra dựa trên các kết quả xét nghiệm cận lâm sàng. Kết quả xét nghiệm đạt chất lượng cao và đáng tin cậy giúp bác sỹ đưa ra các quyết định y khoa chính xác để có thể cải thiện sức khỏe bệnh nhân và chất lượng cuộc sống...

Áp dụng ISO 9000 cho các doanh nghiệp nhỏ
Áp dụng ISO 9000 cho các doanh nghiệp nhỏ

Trước đây khoảng 10-15 năm, việc áp dụng một tiêu chuẩn quản lý đòi hỏi nhiều kinh phí và thời gian và vì vậy chỉ có các Tổng Công ty hoặc các Công ty lớn mới đủ tiềm lực để thực hiện. Hiện nay, việc áp dụng và được chứng nhận tiêu chuẩn quốc tế như ISO 9000, ISO 14000, ISO 22000 đã được rất nhiều Doanh nghiệp có quy mô vừa và nhỏ thực hiện. Theo số liệu của Tổ chức Quốc tế về Tiêu chuẩn hoá (ISO), đến nay số chứng chỉ ISO 9000 được cấp trên toàn cầu đã đạt gần con số 1 triệu, nhiều hơn hẳn bất cứ tiêu chuẩn quản lý nào khác. Điều này chứng tỏ ISO 9000 được coi là công cụ quản lý phù hợp nhất cho các doanh nghiệp trong thời ký toàn cầu hoá....

VỚI HƠN 15 NĂM KINH NGHIỆM, CHÚNG TÔI TỰ TIN MANG TỚI KHÁCH HÀNG DỊCH VỤ TỐT NHẤT!

Call now