CÔNG TY TNHH CHỨNG NHẬN KNA 

"Quality Innovation"

11 câu hỏi thường gặp về chứng nhận ISO 27001

Việc bảo mật thông tin và dữ liệu an toàn trong các Doanh Nghiệp ngày nay được đặt lên hàng đầu. Để có được một cam kết bảo mật chắc chắn với khách hàng của bạn thì Doanh Nghiệp bạn nên được chứng nhận theo ISO 27001:2013. Đây là một minh chức mạnh mẽ nhất cho việc Doanh nghiệp bạn áp dụng Hệ thống quản lý An Ninh Thông Tin vào Doanh Nghiệp nhằm gia tăng uy tín trên thị trường. KNA xin chia sẻ những câu hỏi liên quan đến hệ thống ISO 27001:2013 này cho bạn. 


câu hỏi thường gặp về iso 27001:2013

1: ISO 27001 là gì?

ISO 27001 là một tiêu chuẩn Quốc tế quy định các yêu cầu đối với ISMS (hệ thống quản lý bảo mật thông tin) trong bối cảnh rủi ro của các tổ chức. Nó chỉ định các yêu cầu để thực hiện kiểm soát bảo mật thông tin và chống lại tổ chức nào có thể trở thành được chứng nhận. Nó có thể áp dụng cho bất kỳ loại hình kinh doanh.

2: Những lợi ích của việc tuân thủ / chứng nhận với ISO 27001 là gì?

Hàng ngày diễn ra rất nhiều sự cố về an ninh thông tin khác nhau. Chính vì thế các tổ chức tthoong minh đã triển khai hệ thống ISMS nhằm bỏa vệ thông tin được bảo mật và toàn vẹn. Một hệ thống ISMS sẽ có thể dẫn đến những cải tiến trong quy trình và kiểm soát bảo mật và quản lý rủi ro hiệu quả hơn. Mặc dù có các lựa chọn thay thế, tiêu chuẩn ISO 27001 cung cấp mô hình được chấp nhận rộng rãi nhất cho ISMS.

3: Chúng tôi chỉ có thể tuân thủ ISO 27001 mà không được chứng nhận?

ISMS của bạn có thể được phát triển để tuân thủ các yêu cầu của tiêu chuẩn mà không được chứng nhận. Tuy nhiên, câu hỏi ở đây chính là có gì đảm bảo chắc chắn cho giám đốc, quản lý và các khách hàng của bạn xác minh chúng có thực sự tuân thủ đầy đủ hay không ? Chúng nhận ISO 27001 cung cấp một sự đảm bảo tốt nhất cho tổ chức của bạn về hệ thống thông tin được kiểm soát một cách tốt nhất. 

Có ngày càng nhiều các khách hàng có yêu cầu được sử dụng ISO 27001 này để tham gia đấu thầu. Việc đưa ISMS của bạn vào kiểm toán bên ngoài thường xuyên cũng sẽ giúp khóa trong thực tiễn tốt và dẫn đến cải tiến liên tục.

Việc được chứng nhận sẽ cho phép tổ chức của bạn sử dụng biểu tượng được phê duyệt của cơ quan chứng nhận trong tài liệu tiếp thị để nâng cao uy tín thương hiệu. Do đó cũng làm tăng giá trị thị trường của tổ chức của bạn.

Để có hiệu lực, chứng nhận nên được tìm kiếm từ một tổ chức chứng nhận được công nhận. QCL có thể thực hiện kiểm toán ISO27001 của bạn dưới sự công nhận của đối tác SciQual International với JAS-ANZ, một tổ chức chứng nhận được IAF phê duyệt. Đây là tiêu chuẩn vàng về chứng nhận và chứng chỉ được cấp có giá trị trên toàn cầu.

4: Sự khác biệt giữa ISO 27001 và 27002 là gì?

ISO 27001 là tiêu chuẩn quy định các yêu cầu và dựa vào đó các tổ chức có thể trở thành được chứng nhận. Bạn không thể được chứng nhận ISO 27002 vì đây không phải là tiêu chuẩn chứng nhận. Nó chủ yếu dành cho mục đích hướng dẫn và cung cấp rất nhiều chi tiết hữu ích cho việc triển khai các điều khiển trong ISO 27001.

5: Làm thế nào chúng ta có thể đạt được chứng nhận?

Bước đầu tiên thường được tiến hành phân tích Gap. Đây là quá trình các công ty đánh giá hiệu suất hiện tại của họ với hiệu suất mong muốn. ISMS của bạn sau đó nên được thiết lập, ghi lại, thực hiện và duy trì để giải quyết các khoảng trống được xác định và đáp ứng các yêu cầu áp dụng của các điều khoản ISO 27001, 7 điều khiển và 114 điều khiển nếu có. Để đạt được chứng nhận, ISMS phải được đánh giá thành công bởi một đánh giá viên hoặc nhóm đánh giá viên thuộc một tổ chức chứng nhận. Không được có sự không phù hợp chính (ví dụ: sự vắng mặt hoặc thất bại của một yếu tố hệ thống chính). Một số ít các vấn đề nhỏ thường không ngăn cản chứng nhận.

6: Các giai đoạn khác nhau của chứng nhận là gì?

Có 2 giai đoạn trong việc chứng nhận ISO 27001:2013:

  • Giai đoạn 1 là xác định xem tổ chức có sẵn sàng tiến hành kiểm toán chứng nhận hay không. Điều này thường chỉ mất 1 hoặc 2 ngày.
  • Giai đoạn 2 là kiểm toán chứng nhận chính. Thời hạn của việc này sẽ thay đổi tùy theo mức độ phức tạp của doanh nghiệp của bạn và chúng tôi khuyên về thời lượng trong đề xuất của chúng tôi. Điều này sẽ mất 4 ngày trở lên.

Sau đó, bạn duy trì và cải thiện ISMS của mình theo thời gian. Hệ thống của bạn cũng sẽ chịu sự kiểm tra giám sát của QCL (thường là trên cơ sở hàng năm).

7: Chi phí chứng nhận là gì?

Chi phí sẽ phụ thuộc vào quy mô tổ chức của bạn, rủi ro và các yếu tố khác. 

8: Mục tiêu của ISO 27001 là gì ? 

Mục tiêu của ISO 27001 là một hệ thống quản lý nhất quán và được kiểm soát tập trung để bảo vệ thông tin. Ngoài ra, các mối đe dọa đối với tất cả các quy trình kinh doanh được giảm bằng cách giám sát và kiểm soát hiệu quả các rủi ro bảo mật CNTT.

9: ISMS có nghĩa là gì ?

Một hệ thống quản lý bảo mật thông tin (ISMS) là một phương pháp hệ thống có tính đến cả kỹ thuật và yếu tố con người. Nó sẽ giúp bạn thiết lập liên tục tối ưu hóa và giám sát quá trình trong công ty của bạn. trên cơ sở của nhu cầu bảo vệ theo quy định của bạn. ISO 27001 mô tả các yêu cầu thực hiện một cách chi tiết như cũng như các tài liệu của một ISMS.

10: Khu vực nào sẽ được đánh giá và chứng nhận theo ISO 27001?

  • Hướng dẫn bảo mật thông tin
  • An ninh nhân viên
  • Quản lý tài sản
  • An ninh vật lý và môi trường liên quan
  • Kiểm soát truy cập
  • Mật mã
  • An ninh hoạt động
  • Bảo mật thông tin liên lạc
  • Mua, phát triển và bảo trì của hệ thống
  • Mối quan hệ nhà cung cấp
  • Xử lý sự cố bảo mật thông tin
  • Các khía cạnh bảo mật thông tin của doanh nghiệp quản lý liên tục
  • Tuân thủ

11: Cách các tổ chức có thể đạt được an ninh thông tin ?

Các tổ chức được yêu cầu trang bị mạng lưới của họ theo tiêu chuẩn tối thiểu. Ngoài ra, kỹ thuật và các quy định tổ chức cần phải được đáp ứng để đảm bảo tính sẵn sàng, tính toàn vẹn, tính xác thực và bảo mật của dữ liệu. Các cuộc tấn công của hacker phải được báo cáo ngay lập tức.


Trên đây là danh sách một số câu hỏi mà chúng tôi thường được hỏi nhất về Chứng nhận ISO 27001. Liên hệ với chúng tôi nếu bạn muốn biết thêm chi tiết hoặc có bất kỳ câu hỏi cụ thể.

Chia sẻ

Tin liên quan