ISO 27001 là gì? Tiêu chuẩn ISO 27001 đặt ra các yêu cầu để bảo đảm tính bí mật, toàn vẹn và sẵn sàng của dữ liệu. Trong thời đại 4.0, việc bảo vệ thông tin trở nên quan trọng hơn bao giờ hết, nhất là khi ngày càng xuất hiện nhiều rủi ro tiềm ẩn từ các mối đe dọa trực tuyến. Hãy cùng KNA CERT tìm hiểu kỹ hơn về Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2022.

TIÊU CHUẨN ISO/IEC 27001 LÀ GÌ?

ISO/IEC 27001 là tiêu chuẩn Quốc tế được đồng xây dựng và phát triển bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO - International Organization for Standarlization) và Ủy ban Kỹ thuật Điện Quốc tế (IEC - International Electrotechnical Commission). Tiêu chuẩn ISO/IEC 27001 (gọi tắt là ISO 27001) đặt ra các yêu cầu về hệ thống quản lý an ninh thông tin (ISMS - Information Security Management System). ISO 27001 cung cấp một khung cơ bản để giúp tổ chức bảo vệ thông tin cá nhân và dữ liệu công ty khỏi các mối đe dọa tiềm ẩn.

QUÁ TRÌNH PHÁT TRIỂN TIÊU CHUẨN ISO 27001

Bắt nguồn từ tiêu chuẩn Anh quốc BS 7799, ISO/IEC 27001 đã trải qua nhiều giai đoạn cập nhật và phát triển để đáp ứng nhu cầu và thách thức của thế giới số hóa.

• Vào tháng 10/2005, ISO 27001:2005 được ban hành, đây là phiên bản phiên bản đầu tiên của tiêu chuẩn về Hệ thống quản lý an toàn thông tin
• Tháng 10/2013, Tổ chức ISO ban hành phiên bản thứ hai của tiêu chuẩn là ISO 27001:2013.
• Ngày 25/10/2022, ISO cho ra mắt phiên bản thứ ba của tiêu chuẩn là ISO 27001:2022. Hiện đây là phiên bản mới nhất của tiêu chuẩn, với nhiều cải tiến và bổ sung so với các phiên bản trước.

ĐIỂM KHÁC BIỆT CỦA ISO/IEC 27001:2022 SO VỚI ISO/IEC 27001:2013

Khác với ISO/IEC 27001:2013, tên đầy đủ của phiên bản mới là ISO/IEC 27001:2022 An ninh thông tin, An ninh mạng và Bảo vệ quyền riêng tư.

Phần có những thay đổi quan trọng nhất là Phụ lục A của ISO/IEC 27001, phù hợp với các bản cập nhật ISO/IEC 27002:2022, được xuất bản vào đầu năm nay.

Phụ lục A của ISO/IEC 27001:2022 bao gồm những thay đổi về cả số lượng biện pháp kiểm soát và danh sách của chúng theo nhóm. Tiêu đề của Phụ lục này cũng đã thay đổi từ Mục tiêu kiểm soát và kiểm soát tham chiếu thành Tham chiếu kiểm soát bảo mật thông tin. Do đó, các mục tiêu tham chiếu của từng nhóm kiểm soát đã có trong phiên bản trước của tiêu chuẩn hiện đã bị loại bỏ.

Số lượng điều khiển của Phụ lục A đã giảm từ 114 xuống 93. Việc giảm số lượng điều khiển chủ yếu đến từ việc hợp nhất nhiều điều khiển trong số chúng. 35 điều khiển vẫn được giữ nguyên, 23 điều khiển đã được đổi tên, 57 điều khiển đã được hợp nhất thành 24 điều khiển và một điều khiển đã được chia thành hai. 93 điều khiển đã được cơ cấu lại thành bốn nhóm hoặc phần điều khiển.

Các nhóm kiểm soát mới của ISO/IEC 27001:2022 là:

• 5 Kiểm soát tổ chức - bao gồm 37 biện pháp kiểm soát
• 6 Điều khiển con người - chứa 8 điều khiển
• 7 Điều khiển vật lý - chứa 14 điều khiển
• 8 Kiểm soát công nghệ - gồm 34 điều khiển

ISO/IEC 27001:2022 cũng đã bổ sung 11 biện pháp kiểm soát mới được đề cập dưới đây vào Phụ lục A:

• Thông tin về mối đe dọa
• Bảo mật thông tin khi sử dụng dịch vụ đám mây
• Sự sẵn sàng về CNTT để đảm bảo tính liên tục của hoạt động kinh doanh
• Giám sát an ninh vật lý
• Quản lý cấu hình
• Xóa thông tin
• Che giấu dữ liệu
• Ngăn chặn rò rỉ dữ liệu
• Hoạt động giám sát
• Lọc web
• Mã hóa an toàn

Đối với các phần khác, các khoản từ 4 đến 10 đã có một số thay đổi nhỏ, đặc biệt là ở các khoản 4.2, 6.2, 6.3 và 8.1 đã bổ sung thêm nội dung mới. Các cập nhật khác bao gồm những thay đổi nhỏ trong thuật ngữ và cơ cấu lại các câu và mệnh đề. Tuy nhiên, tiêu đề và thứ tự của các điều khoản này vẫn giữ nguyên.

CẤU TRÚC TIÊU CHUẨN ISO 27001:2022

Cũng được xây dựng theo cấu trúc bậc cao giống với ISO 9001:2015. Bộ tiêu chuẩn ISO 27001:2022 được cấu trúc với 10 điều khoản tương ứng với 10 yêu cầu mà một tổ chức/ doanh nghiệp cần phải thực hiện. Chúng bao gồm:

1. Phạm vi
2. Tài liệu tham khảo
3. Thuật ngữ và định nghĩa
4. Bối cảnh của tổ chức

4.1 Hiểu tổ chức và bối cảnh của nó

4.2 Hiểu nhu cầu và mong đợi của các bên quan tâm

4.3 Xác định phạm vi của hệ thống quản lý an toàn thông tin

4.4 Hệ thống quản lý an toàn thông tin

5. Lãnh đạo

5.1 Sự lãnh đạo và cam kết

5.2 Chính sách

5.3 Vai trò, trách nhiệm và quyền hạn của tổ chức

6. Lập kế hoạch

6.1 Hành động giải quyết rủi ro và cơ hội

6.1.1 Khái quát

6.1.2 Đánh giá rủi ro an toàn thông tin

6.1.3 Xử lý rủi ro an toàn thông tin

6.2 Mục tiêu an toàn thông tin và lập kế hoạch để đạt được chúng

7. Hỗ trợ

7.1 Tài nguyên

7.2 Năng lực

7.3 Nhận thức

7.4 Giao tiếp

7.5 Thông tin dạng văn bản

7.5.1 Khái quát

7.5.2 Tạo và cập nhật

7.5.3 Kiểm soát thông tin dạng văn bản

8. Vận hành

8.1 Lập kế hoạch và kiểm soát hoạt động

8.2 Đánh giá rủi ro an ninh thông tin

8.3 Xử lý rủi ro an toàn thông tin

9. Đánh giá hiệu suất

9.1 Giám sát, đo lường, phân tích và đánh giá

9.2 Kiểm toán nội bộ

9.2.1 Khái quát

9.2.2 Chương trình đánh giá nội bộ

9.3 Xem xét của lãnh đạo

9.3.1 Khái quát

9.3.2 Đầu vào xem xét của lãnh đạo

9.3.3 Kết quả xem xét của lãnh đạo

10. Cải tiến

10.1 Cải tiến liên tục

10.2 Sự không phù hợp và hành động khắc phục

Phụ lục A (quy định) Tham chiếu các biện pháp kiểm soát an ninh thông tin

LỢI ÍCH KHI ÁP DỤNG TIÊU CHUẨN AN TOÀN THÔNG TIN ISO 27001

1. Tăng cường bảo mật thông tin và giảm rủi ro

• Phát hiện sớm và xử lý mối đe dọa: Khi áp dụng ISO 27001, doanh nghiệp có thể nhanh chóng phát hiện và xử lý các mối đe dọa, tránh rủi ro tiềm ẩn và hậu quả đáng tiếc.
• Quản lý rủi ro toàn diện: ISO/IEC 27001 giúp xác định, đánh giá và quản lý rủi ro một cách hiệu quả thông qua các quy trình và biện pháp kiểm soát cụ thể.

2. Tăng uy tín và tin cậy từ khách hàng và đối tác

• Xây dựng niềm tin: Khách hàng và đối tác sẽ có nhiều niềm tin hơn vào doanh nghiệp khi biết rằng thông tin của họ được bảo vệ bởi một hệ thống quản lý đạt chuẩn Quốc tế.
• Lợi thế cạnh tranh: Doanh nghiệp đạt chứng nhận ISO 27001 sẽ được thị trường đánh giá cao hơn so với những Tổ chức không áp dụng.

3. Hỗ trợ quản lý và kiểm soát tốt hơn việc bảo mật thông tin

• Quy trình rõ ràng: ISO/IEC 27001 đưa ra một khung quy trình chi tiết, giúp doanh nghiệp dễ dàng triển khai và kiểm tra.
• Nâng cao nhận thức: Áp dụng ISO 27001 giúp tổ chức nâng cao nhận thức về an ninh thông tin và khuyến khích các cá nhân đóng góp vào việc bảo vệ thông tin.

4. Đáp ứng yêu cầu pháp lý và quy định

• Tuân thủ luật pháp: Nhiều quốc gia và khu vực ban hành các quy định pháp luật về bảo mật thông tin. ISO/IEC 27001 giúp doanh nghiệp đáp ứng và tránh các hậu quả pháp lý tiềm ẩn.
• Dễ dàng mở rộng thị trường: Tuân thủ tiêu chuẩn này giúp doanh nghiệp dễ dàng tiếp cận và mở rộng thị trường, đặc biệt là vào những thị trường có yêu cầu bảo mật thông tin cao.

5. Tối ưu hóa chi phí

• Giảm thiểu chi phí liên quan đến sự cố bảo mật: Khi rủi ro được quản lý và giảm thiểu, chi phí phát sinh từ sự cố bảo mật sẽ giảm đi đáng kể.
• Tối ưu hóa nguồn lực: Thay vì phân tán nguồn lực vào nhiều biện pháp bảo mật khác nhau, doanh nghiệp có thể tập trung vào những gì thực sự quan trọng và hiệu quả.

>>. Các bước xây dựng hệ thống ISO 27001:2013

HƯỚNG DẪN ÁP DỤNG TIÊU CHUẨN ISO/IEC 27001

1. Tìm hiểu về ISO/IEC 27001 và xác định mục tiêu

• Trước hết, doanh nghiệp cần hiểu rõ về tiêu chuẩn ISO 27001, các yêu cầu của nó và cách nó có thể giúp hỗ trợ mục tiêu kinh doanh.
• Thành lập một đội ngũ chịu trách nhiệm cho việc triển khai và chứng nhận

2. Đánh giá hiện trạng và xác định rủi ro

• Phân tích hệ thống quản lý an toàn thông tin hiện tại và so sánh với yêu cầu của tiêu chuẩn.
• Tiến hành đánh giá rủi ro để xác định các mối đe dọa và sự điểm yếu của hệ thống hiện tại.

3. Lập kế hoạch xây dựng Hệ thống quản lý an ninh thông tin (ISMS) theo ISO 27001

• Xác định các biện pháp kiểm soát và chính sách cần thiết dựa trên kết quả đánh giá rủi ro.
• Phát triển và triển khai chính sách an ninh thông tin, quy trình và hướng dẫn.

4. Triển khai và vận hành ISMS

• Đào tạo và nâng cao nhận thức cho toàn thể nhân viên về chính sách và quy trình mới.
• Giám sát và đánh giá hiệu suất của ISMS để đảm bảo nó hoạt động hiệu quả.

5. Kiểm tra nội bộ và đánh giá

• Thực hiện các kiểm tra nội bộ định kỳ để đảm bảo rằng tất cả các yêu cầu của ISO/IEC 27001 đều được tuân thủ và ISMS hoạt động hiệu quả.
• Đánh giá và xem xét lại các rủi ro, chính sách và biện pháp kiểm soát để cải tiến liên tục.

6. Chứng nhận bên ngoài

• Lựa chọn một tổ chức chứng nhận ISO 27001 uy tín và đăng ký chứng nhận để tiến hành đánh giá xác minh.
• Tổ chức chứng nhận sẽ thực hiện việc kiểm tra độc lập để đảm bảo rằng ISMS của doanh nghiệp tuân thủ tiêu chuẩn ISO/IEC 27001.
• Sau khi thông qua đánh giá, doanh nghiệp sẽ được cấp chứng chỉ ISO 27001 có hiệu lực 03 (ba) năm.
• Đảm bảo duy trì sự tuân thủ và hoàn thành các cuộc đánh giá giám sát định kỳ (12 tháng/lần trong 3 năm) để duy trì chứng nhận.
• Tái đánh giá chứng nhận sau khi chứng chỉ ISO/IEC 27001 hết hiệu lực.

TÜV Austria hợp tác với KNA cung cấp dịch vụ Chứng nhận ISO 27001

TÜV Austria hợp tác với KNA cung cấp dịch vụ Chứng nhận ISO 27001 (Hệ thống quản lý an toàn thông tin) theo phiên bản mới nhất cho tất cả các tổ chức, doanh nghiệp trong mọi ngành nghề, lĩnh vực.

* TÜV Austria là tổ chức chứng nhận có 150 năm lịch sử phát triển với hơn 500 dịch vụ đánh giá, kiểm định, giám định, hiệu chuẩn, thử nghiệm toàn cầu... Hiện TÜV Austria có 60 văn phòng tại hơn 30 quốc gia cùng hơn 30.000 nhân viên trên khắp thế giới.

Giấy chứng nhận ISO 27001 (Chứng chỉ ISO 27001) được cấp từ TÜV Austria có đầy đủ giá trị pháp lý, được công nhận Toàn cầu.

Chia sẻ bạn bộ tài liệu Tiêu chuẩn ISO 27001 PDF

----------------------------------------------------------------------------------------------------

Hy vọng sau khi đọc xong bài viết này, các cá nhân và tổ chức đã phần nào hiểu được ISO 27001 là gì? Để biết thêm thông tin chi tiết về dịch vụ Chứng nhận ISO 27001, Quý Khách Hàng vui lòng liên hệ với KNA CERT

Thông tin liên hệ: Công ty TNHH Chứng Nhận KNA

• Trụ sở chính: Tầng 11, Tòa nhà Ladeco Building, 266 Đội Cấn, Ba Đình, Hà Nội.
  
• Chi Nhánh: Tầng 7, tòa nhà Thủy Lợi 4,  Nguyễn Xí, Phường 26, Quận Bình Thạnh, TPHCM.
  
• Tell: 0911.232.036 – 02438.268.222
  
• Email: salesmanager@knacert.com Website: www.knacert.com.vn