Để công ty đạt được tiêu chuẩn về an toàn thông tin, bạn cần đăng ký chứng nhận ISO 27001. Vậy ISO 27001 là gì? Làm thế nào để xây dựng và đạt chứng nhận này? VIETNAM CERT hướng dẫn danh nghiệp theo bài viết sau:
Hệ thống quản lý an toàn thông tin mạng (ISMS)
Theo tiêu chuẩn ISO 27001 : 2013 tin tức và những hệ thống, trình tự, nhân sự liên can đều là tài sản của tổ chức. Tổng cộng các tài sản đều có gái trị mấu chốt trong vận hành của đơn vị và cần được bảo vệ tương xứng. Do tin tức tồn tại và được dự trữ dưới nhiều cách thức sự khác nhau, nên tổ chức cần có các giải pháp bảo vệ thích đáng để hạn chế rủi ro.
Cạnh bên những nguy cơ về an toàn thông tin do bị tấn công phá hoại có chủ đích , tổ chức cũng nhiều khả năng đối mặt những nguy cơ rủi ro về thông tin nếu : các cách kiểm soát, hoạt động không đảm bảo ; việc kiểm soát quyền truy cập chưa được kiểm tra và xét thường kỳ ; Nhân thức của nhân sự trong việc dùng và trao đổi dữ liệu chưa hoàn thiện …. Bởi thế, ngoài những phương án kỹ thuật , tổ chức cần xây dựng và ứng dụng những giải pháp, quy chế, phương pháp hoạt động hợp lệ để hạn chế nguy cơ rủi ro.
Chuỗi quản trị an toàn thông tin ( ISMS ) sẽ giúp tổ chức thực hiện việc kiểm soát và phương châm cho các công việc bảo đảm an toàn thông tin. Việc hệ thống vận hành tốt sẽ giúp công việc bảo đảm an toàn thông tin tại tổ chức được duy trì liên tục, được kiểm tra nhận xét liên tục và tiếp tục thay đổi để ứng phó với các nguy cơ mới nảy sinh. Các công việc cam kết an toàn thông tin trong tổ chức sẽ mang tính hệ thống, giảm thiểu sự lệ thuộc vào nhân sự thực thi và không ngừng được nhìn nhận, đánh giá để tăng cường hiệu quả.
Lợi ích của áp dụng hệ thống quản lý an toàn thông tin theo ISO 27001
Theo tiêu chuẩn ISO 27001 có khả năng dùng được cho mọi hình thức tổ chức có nhu cầu bảo vệ danh tính, thông tin. Việc khai triển hệ thống an toàn thông tin mạng theo ISO 27001 sẽ giúp tổ chức có được các quyền lợi sau :
- Cam kết an toàn thông tin của đơn vị, đối tác và mọi người, hỗ trợ công tác của đơn vị luôn thuận lợi và an toàn.
- Giúp nhân sự chấp hành việc bảo đảm an toàn thông tin trong công tác kỹ năng chuyên môn thường ngày; Các vấn đề an toàn thông tin do khách hàng gây ra sẽ được giảm thiểu nhiều nhất lúc nhân sự được dào tạo, nâng tầm tri thức an toàn thông tin.
- Giúp công tác cam kết an toàn thông tin không ngừng được duy trì và thay đổi. Các giải pháp kỹ thuật và chính sách chấp hành được quan sát, đánh giá, đo lường hữu hiệu và cập nhật thường kỳ.
- Đảm bảo hoạt động kỹ năng chuyên môn của đơn vị không bị gián đoạn bởi các vấn đề có liên quan đến an toàn thông tin.
- Phát huy được tín nhiệm cao của đơn vị, tăng sức cạnh tranh, tạo niềm tin với khách, đối tác , đẩy nhanh tốc độ toàn cầu hóa và tăng cơ hội hợp tác quốc tế.
Cấu trúc tiêu chuẩn ISO 27001 là gì?
– 07 khoản mục chính ( từ phần 4 đến phần 10 của tiêu chuẩn ) : đưa ra đề nghị bắt buộc về những công việc cần làm trong lĩnh vực xây dựng, hoạt động, giữ vững, canh chừng và chỉnh trang chuỗi ISMS của các đơn vị. Bất cứ sai phạm nào của đơn vị đối chiếu với các quy tắc nằm trong 07 khoản mục này đều được xem là bất tuân theo tiêu chí:
- Điều khoản 4 – Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý an toàn thông tin phù hợp.
- Điều khoản 5 – Lãnh đạo: Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ thống ISMS, bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy trì hệ thống; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống.
- Điều khoản 6 – Lập kế hoạch: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu an toàn thông tin và kế hoạch để đạt được mục tiêu đó.
- Điều khoản 7 – Hỗ trợ: yêu cầu đối với việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông tin.
- Điều khoản 8 – Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đã đề ra. Đồng thời cần định kỳ thực hiện đánh giá rủi ro an toàn thông tin và có kế hoạch xử lý.
- Điều khoản 9 – Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá Hệ thống ISMS của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ chức.
- Điều khoản 10 – Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch – Thực hiện – Kiểm tra – Hành động (P-D-C-A), tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS không ngừng được cải tiến trong quá trình hoạt động. Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục, phòng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của Hệ thống ISMS.
– Phụ lục A – Các mục tiêu và biện pháp kiểm soát: đưa ra 14 lĩnh vực kiểm soát nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện khi xây dựng và duy trì Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm từ chính sách của lãnh đạo tổ chức, tới việc đảm bảo an toàn thông tin trong quản lý tài sản, nhân sự, các nguyên tắc căn bản để đảm bảo an toàn thông tin trong việc vận hành, phát triển, duy trì các hệ thống CNTT….
Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các chỉ tiêu kiểm soát cần có được và các phương án rõ ràng để có thể đạt được mục đích đó. Các phương án kiểm soát này có khả năng được chọn lọc, loại bỏ hoặc bổ sung thêm để hợp với ngành nghề hoạt động của mỗi tổ chức. Nhưng thật ra, các loại bỏ chỉ được đồng ý lúc tổ chức đưa ra những giải thích hợp lệ.
Triển khai hệ thống quản lý an toàn thông tin theo ISO 27001 ở Việt Nam
Công ty Hệ thống Thông tin FPT (FPT IS) là một trong nhiều đơn vị đầu tiên tại đất nước chúng ta đạt giấy chứng chỉ ISO 27001 và đồng thời là công ty tư vấn, khai triển hệ thống quản lý an toàn thông tin cho nhiều công ty, tổ chức. FPT IS đề xuất những cơ quan tạo nên ISMS theo các bước sau đây để đáp ứng các yêu cầu của tiêu chuẩn iso 27001 : 2013 :
– Bước 1 : Khảo sát và lên kế hoạch
– Bước 2 : Xác định giải pháp quản trị rủi ro an toàn thông tin
– Bước 3 : Tạo nên hệ thống cam kết an toàn thông tin tại đơn vị
– Bước 4 : Tiến hành sử dụng các phương án đã quyết định, chấp thuận phương án, quy chế, quy trình đã xây dựng và yêu cầu của tiêu chuẩn ISO 27001.
– Bước 5 : Nhận xét nội bộ : cải thiện các điểm không phù hợp với các quy chế của đơn vị và yêu cầu của tiêu chuẩn.
Kể từ lúc hoàn thành bước 5 , tổ chức có thể mời những cơ quan độc lập như VIETNAM CERT để nhận xét và cấp chứng nhận phù hợp với tiêu chí ISO 27001 : 2013 cho chuỗi kiểm soát an toàn thông tin đã xây dựng.
Kết luận
Trên đây là toàn bộ những thông tin để trả lời cho câu hỏi “Hệ thống quản lý an toàn thông tin theo ISO 27001 là gì?”. Mong rằng, qua bài viết này, có thể giúp cho doanh nghiệp của bạn ngày càng phát triển hơn.
Ngoài ra, công ty TNHH Kiểm định và Chứng nhận Việt Nam là một trong những công ty chứng nhận uy tín tại Việt Nam. Nhờ có đội ngũ tư vấn dày dặn kinh nghiệm, giá cả hợp lý cùng với 3 chi nhánh trải dài từ Bắc vào Nam giúp các doanh nghiệp dễ dàng đến và trao đổi. Thế nên, nếu bạn vẫn còn thắc mắc “ISO 27001 là gì?” thì hãy liên hệ với chúng tôi để được giải đáp.
TRUNG TÂM KIỂM ĐỊNH VÀ CHỨNG NHẬN VIỆT NAM
Trụ sở: 51 đường số 2, Khu đô thị Vạn Phúc, P.Hiệp Bình Phước, Tp. Thủ Đức, Tp. Hồ Chí Minh
CN1: Lô 8 khu đô thị mới Định Công, P. Định Công, Quận Hoàng Mai, Hà Nội
CN2: Tổ dân phố Tây Trinh, P.Kỳ Trinh, Thị xã Kỳ Anh, Hà Tĩnh
Hotline: 0886.11.12.18 hoặc 0945.46.40.47
Email: info@vietnamcert.vn
Web: www.vietnamcert.vn
THAM KHẢO THÊM:
Chứng nhận hợp chuẩn là gì? Quy trình và lợi ích của chứng nhận
