Có thể nói bộ tiêu chuẩn ISO 27001:2013 được đánh giá là một trong những tiêu chuẩn về hệ thống quản lý an toàn thông tin tiên tiến và bài bản nhất hiện nay. Để áp dụng thành công bộ tiêu chuẩn này cần Doanh Nghiệp phải nắm rõ các nội dung cơ bản và đặc biệt là việc xây dựng các Danh mục các tài liệu, hồ sơ theo yêu cầu tiêu chuẩn ISO 27001:2013. Do đó, Doanh nghiệp cần phải nắm được bộ tài liệu ISO 27001:2013 bắt buộc văn bản hóa? Có bao nhiêu tài liệu được yêu cầu trong tiêu chuẩn ISO 27001?

TẠI SAO CẦN XÂY DỰNG BỘ TÀI LIỆU ISO 27001

Tiêu chuẩn ISO 27001:2013 đưa ra yêu cầu về việc tổ chức cần phải duy trì thông tin dạng văn bản. Điều này cho biết để áp dụng một cách có hiệu quả thì việc văn bản hóa các hồ sơ, tài liệu, quy trình là điều cần thiết. Một số văn bản là tài liệu ISO 27001 bắt buộc mà doanh nghiệp phải chuẩn bị. Ngoài ra Doanh nghiệp cần ban hành thêm các tài liệu khác tùy theo tình hình cụ thể thực tế.

DANH SÁCH MỘT SỐ TÀI LIỆU VÀ HỒ SƠ ISO 27001:2013

Theo yêu cầu của tiêu chuẩn, khi xây dựng ISO 27001:2013 phiên bản mới nhất có yêu cầu các Doanh nghiệp phải áp dụng và ban hành các tài liệu sau:

Chính sách an toàn thông tin: Ý đồ và định hướng của tổ chức liên quan đến kết quả hoạt động an toàn thông tin, được lãnh đạo cao nhất của tổ chức công bố một cách chính thức.

Mục tiêu an toàn thông tin: Mục tiêu an toàn thông tin là mục tiêu được tổ chức thiết lập nhất quán với chính sách an toàn thông tin của mình.

Một số quy trình bắt buộc của ISO 27001: Đây là những quy trình cần thiết khi áp dụng ISO 27001:2013

• Quy trình vận hành quản lý công nghệ thông tin
• Quy trình quản lý sự cố
• Quy trình đảm bảo triển khai liên tục

Một số Hồ sơ theo yêu cầu của ISO 27001:

• Phạm vi của Hệ thống quản lý an toàn thông tin
• Chính sách an toàn thông tin
• Mục tiêu an toàn thông tin mà doanh nghiệp hướng đến
• Phương pháp Đánh giá rủi ro và Xử lý rủi ro
• Tuyên bố về khả năng áp dụng
• Kế hoạch xử lý rủi ro
• Báo cáo Đánh giá rủi ro và Xử lý rủi ro
• Định nghĩa vè vai trò và trách nhiệm trong bảo mật
• Quản lý tài sản
• Quản lý sử dụng tài sản
• Chính sách kiểm soát truy cập
• Nguyên tắc an toàn kỹ thuật của hệ thống
• Chính sách bảo mật đối với nhà cung cấp
• Yêu cầu pháp lý và hợp đồng

MỘT SỐ TÀI LIỆU ISO 27001 KHÔNG BẮT BUỘC NHƯNG NÊN CÓ

• Quy trình kiểm soát tài liệu
• Quy trình kiểm soát hồ sơ
• Quy trình đánh giá nội bộ
• Quy trình hành động khắc phục
• Chính sách thiết bị
• Thiết bị di động và chính sách làm việc từ xa
• Chính sách phân loại thông tin
• Chính sách mật khẩu
• Chính sách xử lý và tiêu hủy dữ liệu
• Thủ tục làm việc trong khu vực an toàn
• Chính sách về bảo vệ máy tính và bàn làm việc
• Thay đổi chính sách quản lý
• Chính sách dự phòng
• Chính sách trao đổi thông tin
• Phân tích tác động kinh doanh
• Kế hoạch tập huấn và kiểm tra
• Kế hoạch bảo trì và xem xét
• Chiến lược đảm bảo kinh doanh liên tục
• Hồ sơ đào tạo, năng lực, kinh nghiệm và trình độ nhân sự
• Kết quả giám sát và đo lường
• Kế hoạch đánh giá nội bộ
• Kết quả đánh giá nội bộ
• Kết quả xem xét lãnh đạo
• Kết quả hành động khắc phục
• Nhật ký hoạt động của người dùng và sự cố bảo mật

--------------------------------------------------------------------------------------------------

Trên đây KNA CERT đã chia sẻ cho bạn Bộ tài liệu ISO 27001 đạt chuẩn cần có trong quá trình xây dựng hệ thống quản lý an toàn thông tin theo ISO 27001:2013. Doanh nghiệp có thể áp dụng những tài liệu này trong nội bộ tổ chức để cải thiện hiệu quả hoạt động tốt hơn.

--------------------------------------------------------------------------------------------------

Mọi thắc mắc liên quan tới Bộ tài liệu ISO 27001 vui lòng liên hệ với KNA CERT theo số Hotline: 093.2211.786 hoặc email salesmanager@knacert.com