-
ISO/IEC 27001, tiêu chuẩn về hệ thống quản lý bảo mật thông tin được sửa đổi, ban hành cuối tháng 9, 2013. Trong cuộc phỏng vấn, Edward Humphreys - người điều hành nhóm chuyên trách phát triển và duy trì tiêu chuẩn ISO/IEC 27001 đã chỉ ra những thay đổi, cải tiến của phiên bản mới nhất so với những phiên bản trước đây.
Những lợi điểm chính trong phiên bản ISO/IEC 27001:2013?
Chúng tôi đang tiến hành đưa phiên bản mới ra áp dụng, sau khi tính toán kĩ những trải nghiệm của người dùng, đang áp dụng hoặc muốn chứng nhận theo ISO/IEC 27001:2005. Chúng tôi muốn đưa ra một hướng tiếp cận hài hòa và linh hoạt hơn nhờ đó việc quản lý rủi ro sẽ hiệu quả hơn.
Chúng tôi cũng đưa vào một số cải tiến cho phần kiểm soát an toàn liệt kê trong Phụ lục A để đảm bảo rằng tiêu chuẩn luôn gắn với thực tế và giải quyết được những rủi ro hiện tại, như danh tính bị đánh cắp, các rủi ro liên quan đến thiết bị di động và các mối nguy trực tuyến khác.
Cuối cùng phiên bản ISO/IEC 27001 mới được sửa đổi để phù hợp với cấu trúc mới quy định cho tất cả các tiêu chuẩn về hệ thống quản lý, giúp cho việc tích hợp với các hệ thống quản lý khác trở nên dễ dàng hơn...
Việc sửa đổi ISO/IEC 27001 cho phù hợp với cấu trúc mới của các tiêu chuẩn về hệ thống quản lý sẽ đem lại lợi ích gì?
Sửa đổi ISO/IEC 27001 cho phù hợp với cấu trúc mới sẽ có lợi cho tổ chức nào muốn triển khai nhiều hơn một hệ thống quản lý trong một thời điểm. Sự tương đồng trong cấu trúc của các tiêu chuẩn sẽ giúp doanh nghiệp tiết kiệm được tiền và thời gian vì họ có thể xây dựng các chính sách và thủ tục được tích hợp.
Ví dụ, một tổ chức muốn tích hợp hệ thống an toàn thông tin (ISO/IEC 27001) với các hệ thống quản lý khác như quản lý tính liên tục trong kinh doanh (ISO/IEC 22301), quản lý dịch vụ IT (ISO/IEC 20000-1) hay quản lý chất lượng (ISO 9001).
Bước tiếp theo trong lộ trình sửa đổi tiêu chuẩn là gì?
Việc sửa đổi phiên bản 2005 hiện đang trong giai đoạn FDIS (Bản soạn thảo cuối cùng của tiêu chuẩn quốc tế). Quá trình này sẽ sớm hoàn thành trong tháng 9 sau đó sẽ biên soạn để in ấn và sẵn sàng cho ban hành vào tháng 10. Thời điểm này cũng là thời điểm bán phiên bản mới ISO/IEC 27001 và khi đó phiên bản 2005 sẽ không còn hiệu lực.
Công ty tôi đã được chứng nhận ISO 27001:2005. Vậy phiên bản mới này có gì khác biệt không?
Các tổ chức đã được chứng nhận theo phiên bản 2005 cần phải nâng cấp hệ thống quản lý an toàn thông tin của mình để phù hợp với các yêu cầu của phiên bản mới. Khoảng thời gian chuyển đổi sang phiên bản mới chưa được quyết định nhưng thường là khoảng từ 2 đến 3 năm tính từ lúc phiên bản mới được ban hành. Hơn nữa, các tổ chức chứng nhận đã được công nhận nên tận dụng khoảng thời gian này để cập nhật lại các hoạt động của mình cho phù hợp với các yêu cầu của phiên bản mới.
Kết thúc thời gian chuyển đổi, chỉ có các chứng chỉ phù hợp với các yêu cầu của ISO/IEC 27001:2013 mới được coi là có giá trị.
Cần những gì để chuyển từ phiên bản cũ sang phiên bản mới?
Nâng cấp lên phiên bản ISO/IEC 27001 mới không có vấn đề gì nhiều. Khoảng thời gian chuyển đổi được dùng cho các hoạt động cần thiết phân theo giai đoạn và tích hợp vào các hoạt động cải tiến liên tục và các lần đánh giá giám sát.
(Nguồn: www.iso.org)
Bình luận: