Tiêu chuẩn ISO 27001 là gì? Hệ thống quản lý an toàn thông tin (ISMS)

ISO 27001 là gì? Tiêu chuẩn ISO 27001 hay ISO/IEC 27001 là một bộ tiêu chuẩn cung cấp những yêu cầu để đảm bảo tính bảo mật, toàn vẹn, sẵn có của dữ liệu thông qua việc xây dựng Hệ thống quản lý an toàn thông tin đạt chuẩn Quốc tế. Trong bài viết này, hãy cùng KNA CERT tìm hiểu chi tiết hơn về Tiêu chuẩn ISO 27001.

ISO 27001 là gì?

1. Tiêu chuẩn ISO/IEC 27001 là gì?

ISO/IEC 27001 là tiêu chuẩn Quốc tế về Hệ thống quản lý an toàn thông tin (ISMS - Information Security Management System). Tiêu chuẩn ISO/IEC 27001 được phát triển bởi được Tổ chức Tiêu chuẩn hóa Quốc tế (ISO - International Organization for Standarlization) và Ủy ban Kỹ thuật Điện Quốc tế (IEC - International Electrotechnical Commission)

Tiêu chuẩn ISO 27001 thiết lập một Hệ thống quản lý an toàn thông tin tiên tiến để đảm bảo tính bảo mật, toàn vẹn, sẵn có của dữ liệu và thông tin.

2. ISO 27001:2022 là gì?

ISO 27001:2022 hay ISO/IEC 27001:2022 là phiên bản mới nhất hiện nay của tiêu chuẩn ISO 27001 về Hệ thống quản lý an toàn thông tin, được ban hành vào ngày 25/10/2022.

Tiêu chuẩn ISO 27001:2022 ra đời thay thế cho phiên bản trước đó là ISO 27001:2013 (được ban hành vào tháng 10/2013).

3. Sự khác biệt chính giữa ISO/IEC 27001:2022 và ISO/IEC 27001:2013

Một số cập nhật mới chính của ISO/IEC 27001:2022 bao gồm thay đổi lớn về Phụ lục A, các cập nhật nhỏ về các điều khoản và thay đổi về tiêu đề của tiêu chuẩn.

a) Thay đổi Tiêu đề

Tiêu chuẩn ISO 27001:2013 có tên gọi đầy đủ là Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu. Khác với ISO/IEC 27001:2013, tên đầy đủ của phiên bản mới là ISO/IEC 27001:2022 là An ninh thông tin, An ninh mạng và Bảo vệ quyền riêng tư.

b) Số lượng biện pháp kiểm soát giảm

Phiên bản sửa đổi của ISO/IEC 27002 được xuất bản vào năm 2022 đã giảm số lượng biện pháp kiểm soát bảo mật thông tin từ 114 biện pháp kiểm soát xuống còn 93 biện pháp kiểm soát, bao gồm 4 phần:

• Kiểm soát tổ chức (Điều 5)
• Kiểm soát con người (Điều 6)
• Kiểm soát vật lý (Điều 7)
• Kiểm soát công nghệ (Điều 8)

c) Có các biện pháp kiểm soát mới

ISO/IEC 27002:2022 đã giới thiệu 11 biện pháp kiểm soát mới, như được nêu sau đây:

• Khoản 5.7 Thông tin về mối đe dọa
• Khoản 5.23 Bảo mật thông tin khi sử dụng dịch vụ đám mây
• Khoản 5.30 Sự sẵn sàng về CNTT để đảm bảo hoạt động kinh doanh liên tục
• Khoản 7.4 Giám sát an ninh vật lý
• Khoản 8.9 Quản lý cấu hình
• Khoản 8.10 Xóa thông tin
• Khoản 8.11 Che dấu dữ liệu
• Khoản 8.12 Ngăn chặn rò rỉ dữ liệu
• Khoản 8.16 Hoạt động giám sát
• Khoản 8.23 Lọc web
• Khoản 8.28 Mã hóa an toàn

d) Tái cấu trúc các phần

Phiên bản cập nhật của ISO/IEC 27002:2022 hiện có 4 phần và 2 phụ lục, thay vì 14 phần như phiên bản trước.

• Kiểm soát tổ chức (Điều 5)
• Kiểm soát con người (Điều 6)
• Kiểm soát vật lý (Điều 7)
• Kiểm soát công nghệ (Điều 8)
• Phụ lục A – Sử dụng thuộc tính
• Phụ lục B – Tương ứng với ISO/IEC 27002:2013

Nhiều người cho rằng dựa trên cấu trúc mới nhất, quá trình phân công trách nhiệm và khả năng áp dụng các biện pháp kiểm soát sẽ dễ dàng hơn.

e) Hợp nhất biện pháp kiểm soát

Mặc dù số lượng biện pháp kiểm soát đã giảm đi nhưng không có biện pháp kiểm soát nào bị loại trừ trong phiên bản mới nhất của tiêu chuẩn ISO 27001, một số biện pháp kiểm soát đã được hợp nhất với nhau.

Ví dụ về các biện pháp kiểm soát được hợp nhất trong ISO/IEC 27002:2022:

• Kiểm soát 5.1.1 Chính sách bảo mật thông tin và 5.1.2 Đánh giá chính sách bảo mật thông tin được hợp nhất thành 5.1 Chính sách bảo mật thông tin.
• Kiểm soát 11.1.2 Kiểm soát đầu vào vật lý và 11.1.6 Khu vực giao hàng và bốc hàng đã được hợp nhất thành 7.2 Đầu vào vật lý.

Đối tượng áp dụng Tiêu chuẩn an toàn thông tin ISO 27001

Tiêu chuẩn ISO 27001 có thể áp dụng cho mọi tổ chức, doanh nghiệp trong mọi ngành nghề, lĩnh vực, không phân biệt quy mô hay vị trí địa lý, tất cả các đơn vị có nhu cầu cung cấp sản phẩm chất lượng, đảm bảo vệ sinh an toàn thực phẩm đều có thể áp dụng tiêu chuẩn ISO 27001 để xây dựng Hệ thống quản lý an toàn thông tin đạt chuẩn Quốc tế.

Nội dung Tiêu chuẩn ISO 27001:2022

1. Phạm vi

2. Tài liệu tham khảo

3. Thuật ngữ và định nghĩa

4. Bối cảnh của tổ chức

4.1 Hiểu tổ chức và bối cảnh của nó

4.2 Hiểu nhu cầu và mong đợi của các bên quan tâm

4.3 Xác định phạm vi của hệ thống quản lý an toàn thông tin

4.4 Hệ thống quản lý an toàn thông tin

5. Lãnh đạo

5.1 Sự lãnh đạo và cam kết

5.2 Chính sách

5.3 Vai trò, trách nhiệm và quyền hạn của tổ chức

6. Lập kế hoạch

6.1 Hành động giải quyết rủi ro và cơ hội

6.1.1 Khái quát

6.1.2 Đánh giá rủi ro an toàn thông tin

6.1.3 Xử lý rủi ro an toàn thông tin

6.2 Mục tiêu an toàn thông tin và lập kế hoạch để đạt được chúng

7. Hỗ trợ

7.1 Tài nguyên

7.2 Năng lực

7.3 Nhận thức

7.4 Giao tiếp

7.5 Thông tin dạng văn bản

7.5.1 Khái quát

7.5.2 Tạo và cập nhật

7.5.3 Kiểm soát thông tin dạng văn bản

8. Vận hành

8.1 Lập kế hoạch và kiểm soát hoạt động

8.2 Đánh giá rủi ro an ninh thông tin

8.3 Xử lý rủi ro an toàn thông tin

9. Đánh giá hiệu suất

9.1 Giám sát, đo lường, phân tích và đánh giá

9.2 Kiểm toán nội bộ

9.2.1 Khái quát

9.2.2 Chương trình đánh giá nội bộ

9.3 Xem xét của lãnh đạo

9.3.1 Khái quát

9.3.2 Đầu vào xem xét của lãnh đạo

9.3.3 Kết quả xem xét của lãnh đạo

10. Cải tiến

10.1 Cải tiến liên tục

10.2 Sự không phù hợp và hành động khắc phục

Phụ lục A (quy định) Tham chiếu các biện pháp kiểm soát an ninh thông tin

Hệ thống quản lý an toàn thông tin (ISMS)

1. Hệ thống ISO 27001 là gì?

Hệ thống ISO 27001 là Hệ thống quản lý an toàn thông tin (ISMS). Hệ thống ISO 27001 tập hợp các yếu tố có liên quan hoặc tương tác lẫn nhau của tổ chức để thiết lập chính sách, mục tiêu và các quá trình nhằm đảm bảo tính bảo mật, toàn vẹn, sẵn có của dữ liệu và thông tin.

Tiêu chuẩn ISO 27001 là tiêu chuẩn được sử dụng phổ biến nhất hiện nay trên thế giới để xây dựng Hệ thống quản lý an toàn thông tin đạt chuẩn Quốc tế.

2. Các bước xây dựng Hệ thống ISMS là gì?

• Bước 1: Khởi động dự án
• Bước 2: Thành lập bộ phận chuyên trách
• Bước 3: Khảo sát thực trạng
• Bước 4: Thu thập dữ liệu về quy trình sản xuất và cung ứng thực phẩm
• Bước 5: Đào tạo nhận thức ISO 27001:2022
• Bước 6: Hoàn thiện hạ tầng, trang bị thiết bị (nếu cần)
• Bước 7: Lập kế hoạch xây dựng Hệ thống ISMS
• Bước 8: Soạn thảo quy trình, tài liệu ISO 27001
• Bước 9: Triển khai thực hiện ISO 27001
• Bước 10: Đào tạo đánh giá nội bộ Hệ thống ISMS
• Bước 11: Đánh giá nội bộ
• Bước 12: Hành động khắc phục
• Bước 13: Xem xét của lãnh đạo
• Bước 14: Đăng ký chứng nhận ISO 27001
• Bước 15: Đánh giá chứng nhận ISO 27001
• Bước 16: Hành động khắc phục
• Bước 16: Hành động khắc phục
• Bước 18: Duy trì chứng nhận ISO 27001
• Bước 19: Tái chứng nhận ISO 27001

Lợi ích khi áp dụng Tiêu chuẩn ISO 27001

Dưới đây là 5 lợi ích quan trọng khi áp dụng ISO 27001:

1. Tăng cường bảo mật thông tin

Áp dụng tiêu chuẩn an toàn thông tin ISO 27001 giúp tăng cường bảo mật dữ liệu của tổ chức. Việc triển khai những biện pháp kiểm soát thông tin phù hợp giúp ngăn chặn các cuộc tấn công và đảm bảo thông tin quan trọng không bị rò rỉ hoặc truy cập trái phép.

2. Giảm thiểu rủi ro an ninh thông tin

Tiêu chuẩn ISO 27001 hướng dẫn tổ chức thực hiện quy trình đánh giá rủi ro và xử lý rủi ro một cách hiệu quả. Điều này giúp giảm thiểu nguy cơ xảy ra sự cố an ninh thông tin và tăng cường khả năng ứng phó khi chẳng may có sự cố xảy ra.

3. Nâng cao hiệu quả hoạt động

Một hệ thống quản lý an ninh thông tin hiệu quả góp phần tăng cường quản lý và kiểm soát quy trình và hoạt động. Điều này cũng giúp khách hàng và đối tác cảm thấy hài lòng và tin tưởng hơn về tổ chức.

4. Đáp ứng yêu cầu của đối tác kinh doanh và khách hàng

Trong thời đại số hóa, việc tuân thủ tiêu chuẩn an toàn thông tin ISO 27001 đã trở thành yêu cầu không thể thiếu của nhiều đối tác kinh doanh và khách hàng. Việc có chứng chỉ ISO 27001 chứng tỏ rằng tổ chức đã đáp ứng các yêu cầu bảo mật thông tin được đặt ra bởi các đối tác và khách hàng.

5. Tăng cường uy tín và danh tiếng của tổ chức

Tiêu chuẩn ISO 27001 là tiêu chuẩn Quốc tế. Việc có chứng chỉ ISO 27001 giúp tăng cường danh tiếng và uy tín của của tổ chức, mở ra các cơ hội kinh doanh và hợp tác phát triển trong tương lai.

Dịch vụ Chứng nhận ISO 27001 do TÜV Austria hợp tác với KNA cung cấp

TÜV Austria hợp tác với KNA cung cấp dịch vụ Chứng nhận ISO 27001 (Hệ thống quản lý an toàn thông tin) theo phiên bản mới nhất cho tất cả các tổ chức, doanh nghiệp trong mọi ngành nghề, lĩnh vực.

* TÜV Austria là tổ chức chứng nhận có 150 năm lịch sử phát triển với hơn 500 dịch vụ đánh giá, kiểm định, giám định, hiệu chuẩn, thử nghiệm toàn cầu... Hiện TÜV Austria có 60 văn phòng tại hơn 30 quốc gia cùng hơn 30.000 nhân viên trên khắp thế giới.

Giấy chứng nhận ISO 27001 (Chứng chỉ ISO 27001) được cấp từ TÜV Austria có đầy đủ giá trị pháp lý, được công nhận Toàn cầu.

KNA CERT cam kết về chất lượng dịch vụ:

• Quy trình làm việc Khoa học – Chuyên nghiệp
• Thủ tục tinh giản – Đảm bảo tiến độ
• Báo phí trọn gói từ A đến Z – Không phát sinh chi phí
• Hỗ trợ 24/7 – Tận tâm – Trách Nhiệm
• Chính sách hậu mãi siêu tốt – Kèm nhiều ưu đãi hấp dẫn

→ Tìm hiểu thêm về Dịch vụ Chứng nhận ISO 27001 của KNA CERT:

Hy vọng bài viết này đã phần nào giúp người đọc hiểu tiêu chuẩn ISO 27001 là gì và nắm được một số thông tin về Hệ thống quản lý an toàn thông tin (ISMS). Nếu Quý Doanh Nghiệp muốn biết chi tiết hơn về các yêu cầu của tiêu chuẩn hoặc quan tâm tới dịch vụ chứng nhận ISO 27001, vui lòng liên hệ với KNA CERT theo số Hotline: 0968.038.122 hoặc Email: salesmanager@knacert.com để được hỗ trợ sớm nhất.