vietnamese english

ISO 27001 | Khái quát và cấu trúc của tiêu chuẩn

        Tiêu chuẩn quốc tế ISO/IEC 27001:2013 cung cấp mô hình thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và nâng cấp Hệ thống ISMS, giúp tổ chức thực hiện việc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT.

Khái quát về Tiêu chuẩn ISO 27001
  • Tiêu chuẩn quốc tế ISO/IEC 27001:2013 cung cấp mô hình thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và nâng cấp Hệ thống ISMS.
  • Xây dựng Hệ thống ISMS như thế nào là quyết định chiến lược của một tổ chức. Thiết kế và triển khai Hệ thống ISMS của tổ chức đó phụ thuộc vào mục tiêu, các yêu cầu về ATTT cần phải đạt được, các quy trình đang vận hành, quy mô và cơ cấu của tổ chức...
  • Hệ thống ISMS cũng đòi hỏi phải luôn được xem xét, cập nhật để phù hợp với những thay đổi của tổ chức và nâng cao mức độ an toàn với Hệ thống lưu trữ, xử lý thông tin. Ngoài ra, tổ chức cũng cần cân nhắc chi phí đầu tư xây dựng và triển khai ISMS phù hợp với nhu cầu đảm bảo ATTT.
  • ISO/IEC 27001 đặc tả các yêu cầu cần thiết cho việc thiết lập, vận hành và giám sát hoạt động của ISMS; đưa ra các nguyên tắc cơ bản cho việc khởi tạo, thực thi, duy trì và cải tiến ISMS. Tiêu chuẩn này đưa ra các quy tắc bảo mật thông tin và đánh giá sự tuân thủ đối với các bộ phận bên trong tổ chức, xây dựng các yêu cầu bảo mật thông tin mà đối tác, khách hàng cần phải tuân thủ khi làm việc với tổ chức.
  • Đây cũng là công cụ để các nhà lãnh đạo thực hiện giám sát, quản lý các Hệ thống thông tin, giảm thiểu rủi ro và tăng cường mức độ an toàn, bảo mật cho các tổ chức.
  • Cấu trúc tiêu chuẩn ISO/IEC 27001:2013
- 07 điều khoản chính (từ phần 4 đến phần 10 của Tiêu chuẩn): đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống ISMS của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn:
  • Điều khoản 4 - Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp.
  • Điều khoản 5 - Lãnh đạo: Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ thống ISMS, bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy trì hệ thống; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống.
  • Điều khoản 6 - Lập kế hoạch: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó.
  • Điều khoản 7 - Hỗ trợ: yêu cầu đối với việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực ATTT và ISMS, số hóa thông tin.
  • Điều khoản 8 - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đã đề ra. Đồng thời cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý.
  • Điều khoản 9 - Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá Hệ thống ISMS của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ chức.
  • Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực hiện - Kiểm tra - Hành  động (P-D-C-A), tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS không ngừng được cải tiến trong quá trình hoạt động. Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục, phòng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của Hệ thống ISMS.
- Phụ lục A - Các mục tiêu và biện pháp kiểm soát: đưa ra 14 lĩnh vực kiểm soát nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện khi xây dựng và duy trì Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm từ chính sách của lãnh đạo tổ chức, tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự, các nguyên tắc căn bản để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT....
Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với lĩnh vực hoạt động của mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.

Kết luận

Hệ thống quản lý ATTT là nhu cầu thiết yếu của một tổ chức, khi cần đảm bảo ATTT một cách toàn diện. Xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001:2013 sẽ giúp hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ. Do tiêu chuẩn ISO 27001 xem xét đảm bảo ATTT trên nhiều khía cạnh, nên việc xây dựng và áp dụng hệ thống đòi hỏi phải có sự quyết tâm của lãnh đạo tổ chức và sự phối hợp đồng bộ các bộ phận của tổ chức trong việc xây dựng và duy trì hệ thống.

Liên hệ tư vấn chứng nhận: Công ty TNHH Tư vấn quản lý và Phát triển doanh nghiệp Á Châu (AHEAD Consulting & Training)
  • Trụ sở chính AHEAD Hà Nội: Số 18 Tam Trinh, Quận Hai Bà Trưng, Thành Phố Hà Nội
  • Email: info.isoahead@gmail.com /Tel: (84.24) 3200 9295
  • AHEAD Hồ Chí Minh: Số 18/14A Đường Cộng Hòa, Phường 12, Quận Tân Bình, Thành phố Hồ Chí Minh - Tel: (84.28) 62 922 144
  • AHEAD Đà Nẵng: Số 32 Tôn Thất Đạm, Phường Xuân Hà, Quận Thanh Khê, Thành phố Đà Nẵng - Tel: (84.236) 2219 374




Bài viết liên quan


Hồng Phú nhận chứng chỉ ISO 22000:2005 & HACCP
Hồng Phú nhận chứng chỉ ISO 22000:2005 & HACCP

Ngày 23/3, Công ty cổ phần Thực phẩm Hồng Phú đón nhận chứng chỉ “Hệ thống quản lý chất lượng an toàn vệ sinh thực phẩm theo tiêu chuẩn quốc tế ISO 22000:2005 HACCP”....

Bộ Khoa học và Công nghệ công bố mô hình khung hệ thống ISO 9001:2015
Bộ Khoa học và Công nghệ công bố mô hình khung hệ thống ISO 9001:2015

Bộ Khoa học và Công nghệ vừa công bố mô hình khung hệ thống quản lý chất lượng theo tiêu chuẩn quốc gia TCVN ISO 9001:2015 cho các tổ chức thuộc hệ......

Đào tạo ISO 14001 tại công ty WineFood
Đào tạo ISO 14001 tại công ty WineFood

Công Ty TNHH Rượu Thực Phẩm (Wine Food Co., Ltd.) được thành lập tại TP. Hồ Chí Minh Việt Nam vào năm 1994. ...

 Công nghiệp dược và việc kiểm soát chất lượng dược phẩm, bao bì dược phẩm
Công nghiệp dược và việc kiểm soát chất lượng dược phẩm, bao bì dược phẩm

Ngành công nghiệp dược Việt Nam được coi là một ngành non trẻ nhưng cho đến thời điểm này đã có những bước tiến nhất định, có sự đóng góp tích cực của các doanh nghiệp trong và ngoài nước, đặc biệt sự nỗ lực của các doanh nghiệp dược phẩm thuộc khu vực kinh tế tư nhân của Việt Nam rất đáng ghi nhận, hiện đáp ứng gần 50% nhu cầu thuốc trong nước....

VỚI HƠN 15 NĂM KINH NGHIỆM, CHÚNG TÔI TỰ TIN MANG TỚI KHÁCH HÀNG DỊCH VỤ TỐT NHẤT!

Call now