Home - ISO 27001 - Tiêu chuẩn về an toàn thông tin ISO 27001

Tiêu chuẩn về an toàn thông tin ISO 27001

Thông tin luôn được xem là một tài sản rất quan trọng đối với mọi tổ chức. Thế nhưng, trong môi trường cạnh tranh mạnh mẽ như hiện nay, thông tin ngày càng bị đe dọa bởi nhiều nguồn khác nhau như bên ngoài, bên trong, tình cờ hay là có chủ đích. Để hỗ trợ các doanh nghiệp giải quyết được vấn đề này Tổ chức tiêu chuẩn hóa quốc tế đã ban hành tiêu chuẩn về an toàn thông tin ISO 27001. Tiêu chuẩn vạch ra những phương pháp để thực hiện đánh giá độc lập hệ thống quản lý an ninh thông tin và chứng nhận cho hệ thống đó.

Tiêu chuẩn về an toàn thông tin ISO 27001.

Giới thiệu sơ qua tiêu chuẩn về an toàn thông tin ISO 27001

ISO 27001 là tiêu chuẩn quốc tế về thông tin hoặc về quản lý an ninh thông tin. Nó được viết tắt của cụm từ Information Security Management System – ISMS. Tiêu chuẩn này vạch ra những phương pháp nhằm để thực hiện hệ thống quản lý an ninh thông tin. Tiêu chuẩn này còn là căn cứ để chứng nhận cho hệ thống đó. Nó giúp doanh nghiệp có thể giải quyết câu hỏi làm sao để có thể đảm bảo được an ninh thông tin tại doanh nghiệp của mình. Tiêu chuẩn còn cho phép doanh nghiệp có thể bảo đảm các dữ liệu mật và số liệu một cách hiệu quả hơn. Qua đó, có thể giảm thiểu đến mức tối đa khả năng bị kẻ xấu truy cập bất hợp pháp hoặc không có sự cho phép của doanh nghiệp.

Tiêu chuẩn về an toàn thông tin ISO 27001.

ISMS là công cụ để những người lãnh đạo, người quản lý thực hiện việc giám sát, quản lý hệ thống thông tin. ISMS còn tăng cường mức độ an toàn, bảo mật, giảm thiểu mối nguy hại, rủi ro cho hệ thống thông tin. Giúp đáp ứng được mục tiêu của doanh nghiệp đó.

Tiêu chuẩn ISO 27001 còn là một tiêu chuẩn đặc tả cho hệ thống quản lý an ninh thông tin trên thế giới. Nó cung cấp một mô hình thống nhất để có thể hỗ trợ doanh nghiệp thiết lập, xây dựng, vận hành, duy trì và cải tiến hệ thống quản lý an ninh thông tin. Việc tuân thủ theo một hệ thống quản lý ISMS chính là một quyết định chiến lược của mỗi tổ chức.

Các phiên bản của tiêu chuẩn về an toàn thông tin ISO 27001

Tiêu chuẩn đầu tiên là tiêu chuẩn BS 7799

Phiên bản đầu tiên được ra mắt của bộ tiêu chuẩn ISO 27000 là tiêu chuẩn BS 7799. BS 7799 được Viện Tiêu chuẩn Anh (British Standards Institution – BSI) ban hành và xuất bản. BS 7799 là Quy tắc thực tiễn cho việc quản lý an ninh thông tin (Code of Practice for Information Security Management) vào năm 1996. Vào năm 1998, tiêu chuẩn này có sự thay đổi về nội dung là Quy tắc thực tiễn với việc quản lý an ninh thông tin đã được chuyển thành Phần I. Phần nội dung Chi tiết kỹ thuật cần có đã chuyển thành Phần II.

Phần I của tiêu chuẩn BS 7799 là hướng dẫn thi hành dựa trên các đề nghị kiểm soát an ninh thông tin. Nó được xem là cơ sở để hình thành tiêu chuẩn quốc tế ISO 17799:2000.

Tiêu chuẩn về an toàn thông tin ISO 27001.

Tiêu chuẩn ISO/IEC 27002:2005. 

Vào năm 2005, ISO 17799:2000 được Tổ chức tiêu chuẩn hóa quốc tế thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005. Cho đến năm 2007 đã được đổi tên thành tiêu chuẩn quốc tế ISO/IEC 27002:2005.

Phần II của tiêu chuẩn BS 7799 là hướng dẫn kiểm toán dựa trên những yêu cầu. Để được chứng nhận và cấp chứng chỉ BS7799. Tổ chức sẽ được đánh giá dựa trên những điều kiện ở Phần II. Vào tháng 10/2005, tiêu chuẩn này đã được thay thế bằng tiêu chuẩn quốc tế ISO/IEC 27001:2005.

Tiêu chuẩn ISO 27001:2013 – Phiên bản mới nhất hiện nay

Vào năm 2013, các tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới hơn đó là ISO 27001:2013 và ISO 27002:2013.

Tiêu chuẩn quốc tế ISO 27001:2013 dùng để đánh giá và cấp chứng nhận. Nó có cấu trúc bao gồm 02 phần đó là: Điều khoản và Biện pháp kiểm soát. Trong phần Điều khoản này, từ mục 04 đến mục 10 là những yêu cầu bắt buộc phải thực hiện khi tổ chức, doanh nghiệp muốn thực hiện áp dụng và đạt được chứng nhận ISO 27001.

Một số điểm khác nhau giữa 02 tiêu chuẩn ISO 27001:2005 và ISO 27001:2013

1. Về phần Điều khoản:

Việc thay đổi cấu trúc giữa những Điều khoản của phiên bản mới ISO 27001:2013 so với phiên bản cũ 27001:2005. Nhằm mục đích là đồng bộ cấu trúc, yêu cầu với những tiêu chuẩn trong hệ thống quản lý khác như Hệ thống quản lý chất lượng ISO 9001:2015 hay Hệ thống Quản lý rủi ro ISO 31000:2009. 

Tiêu chuẩn ISO 27001:2013 đã bổ sung thêm mục Bối cảnh của tổ chức. Mục này giúp các doanh nghiệp, tổ chức có thể đánh giá được và rõ ràng hơn về hiện trạng của mình.

Trong phần Biện pháp kiểm soát. Phụ lục A, bao gồm 14 lĩnh vực với 35 mục tiêu kiểm soát (ứng với 114 biện pháp kiểm soát khác nhau). Tổ chức, doanh nghiệp sẽ tiến hành lựa chọn những biện pháp kiểm soát trong số đó phù hợp với mình để có thể xây dựng và áp dụng. 

Tiêu chuẩn về an toàn thông tin ISO 27001.

2. Về phần Biện pháp kiểm soát:

Sự thay đổi của Biện pháp kiểm soát trong phiên bản mới ISO 27001:2013 nhằm phù hợp hơn với xu hướng phát triển công nghệ hiện nay. Hay yêu cầu thực tiễn của tổ chức doanh nghiệp và cũng cho thấy được sự quan tâm nhiều hơn đối với kiểm soát an toàn mã hóa cũng như các vấn đề an ninh thông tin khi làm việc với các nhà cung cấp, đối tác hay khách hàng.

Đặc biệt, việc thay đổi thứ tự đưa vị trí của mục an ninh thông tin nhân sự lên trên trước mục quản lý tài sản trong ISO 27001:2013. Cho thấy rằng, con người là một trong những yếu tố quan trọng nhất trong công việc thiết lập, xây dựng, vận hành, duy trì và cải tiến hệ thống quản lý thông tin hơn bất cứ yếu tố nào hết.

Cấu trúc chính của tiêu chuẩn về an toàn thông tin ISO 27001:2013

Cấu trúc chính của tiêu chuẩn này bao gồm 10 phần:

Trong đó, có 03 Điều khoản đầu là giới thiệu về tiêu chuẩn, phạm vi và thuật ngữ. Những yêu cầu chính nằm ở 07 điều khoản sau (từ phần 04 đến phần 10 của tiêu chuẩn). 07 điều khoản chính này đưa ra những yêu cầu bắt buộc về công việc cần thực hiện trong việc thiết lập, xây dựng, vận hành, duy trì, đánh giá, giám sát và nâng cấp hệ thống quản lý an ninh thông tin (ISMS) của doanh nghiệp. Bất kỳ vi phạm nào của doanh nghiệp so với quy định nằm trong 07 điều khoản này thì đều được coi là không tuân thủ theo yêu cầu tiêu chuẩn. Cấu trúc tiêu chuẩn cụ thể như sau:

Tiêu chuẩn về an toàn thông tin ISO 27001.

Điều khoản 04 – Phạm vi tổ chức

Điều khoản 05 – Lãnh đạo.

Điều khoản 06 – Lập kế hoạch.

Điều khoản 07 – Hỗ trợ.

Điều khoản 08 – Vận hành hệ thống.

Điều khoản 09 – Đánh giá hiệu năng hệ thống.

Điều khoản 10 – Cải tiến hệ thống.

Phụ lục A của tiêu chuẩn ISO 27001:2013: Các mục tiêu và biện pháp kiểm soát

Trong Phụ lục này cung cấp danh mục gồm 114 biện pháp bảo vệ khác nhau được đặt trong 14 phần (phần A.5 đến A.18). Nhằm cụ thể hóa những vấn đề mà doanh nghiệp cần xem xét, thực hiện hệ thống ISMS.

Lĩnh vực đưa ra xem xét bao gồm đó là: Chính sách của lãnh đạo của doanh nghiệp. Tới việc đảm bảo an ninh thông tin trong việc quản lý tài sản, quản lý nhân sự. Các nguyên tắc để đảm bảo an ninh thông tin trong việc thiết lập, vận hành, phát triển, duy trì hệ thống công nghệ thông tin,…

Tiêu chuẩn về an toàn thông tin ISO 27001.

Các lĩnh vực kiểm soát của Phụ lục A này. Mỗi một lĩnh vực kiểm soát lại được cụ thể hóa với mục tiêu kiểm soát cần phải đạt được. Và biện pháp cụ thể để có thể đạt được mục tiêu đó. Những biện pháp kiểm soát này đều có thể được lựa chọn, bổ sung thêm hoặc loại bỏ để phù hợp với mỗi doanh nghiệp. Tuy nhiên, những biện pháp kiểm soát này nếu loại bỏ thì nó chỉ được chấp nhận khi doanh nghiệp đó đưa ra lý giải phù hợp.

Trên đây là những thông tin về tiêu chuẩn về an toàn thông tin ISO 27001  ISOCERT muốn chia sẻ cho quý khách hàng. Hi vọng với những thông tin này, quý khách hàng sẽ có thêm những kiến thức hữu ích về tiêu chuẩn và có thể đưa ra những quyết định phù hợp với doanh nghiệp của mình!

Check Also

Chứng chỉ bảo mật thông tin ISO 27001 và những điều doanh nghiệp cần biết

Với sự phát triển của công nghệ thông tin, kèm theo đó là những rủi …

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *