Bản cập nhật ISO/IEC 27001:2022 mới nhất đã được xuất bản vào ngày 25 tháng 10 năm 2022 vừa qua. Bài viết này sẽ đề cập đến những thay đổi chính trong Điều khoản bắt buộc, Phụ lục A và cách chuyển đổi sang bản cập nhật ISO/IEC 27001:2022 mới.

ISO/IEC 27001:2022 LÀ GÌ?

Công nghệ đã nhanh chóng thay đổi cách mọi người làm việc trong 20 năm qua. Trước đây, chưa đến 7% thế giới sử dụng trực tuyến, mạng xã hội còn chưa trở thành chủ đề nóng và ISO/IEC 27001 thậm chí còn chưa tồn tại.

Ấn bản đầu tiên của tiêu chuẩn bảo mật thông tin ISO/IEC 27001 được quốc tế công nhận đã được xuất bản lần đầu tiên vào năm 2005. Sau đó, mãi đến năm 2013, Tổ chức Tiêu chuẩn Quốc tế (ISO/IEC) mới xem xét bộ kiểm soát và ban hành bản sửa đổi thứ hai. Hiện tại tiêu chuẩn này đã có bản sửa đổi thứ ba là ISO/IEC 27001:2022 được ban hành vào ngày 25/10/2022

NHỮNG THAY ĐỔI MỚI CỦA TIÊU CHUẨN ISO/IEC 27001:2022

1. Điều khoản bắt buộc

Điều 4.4 Hệ thống quản lý bảo mật thông tin – Điều khoản mới này yêu cầu các quy trình và “các tương tác của chúng” phải được xác định. Điều khoản mới này nhắc nhở chúng ta rất nhiều về ISO/IEC 9001.

Một số điều khoản và ghi chú cho thấy rõ ràng rằng các biện pháp kiểm soát của Phụ lục A là không đầy đủ. Tổ chức nên sử dụng chúng như một cơ sở. Tuy nhiên, tất cả các tổ chức nên xem xét môi trường của họ để xác định chính xác bất kỳ biện pháp kiểm soát, rủi ro cần thiết nào khác,…

Điều 6.2 Mục tiêu An toàn thông tin – Các mục tiêu phải được lập thành văn bản và có sẵn cho tất cả các bên liên quan.

Điều 6.3 Lập kế hoạch thay đổi – Từ giờ trở đi, tất cả các thay đổi đều yêu cầu lập kế hoạch bằng văn bản.

Điều 8.1 Lập kế hoạch và kiểm soát hoạt động – Các tổ chức phải xác định tiêu chí cho các quá trình hoạt động. Tuy nhiên, tiêu chí có thể là một thuật ngữ rộng, từ yêu cầu bảo mật đến nhu cầu kinh doanh hoặc yêu cầu của khách hàng.

Điều 9 Đánh giá hiệu suất – Các phương pháp đánh giá và giám sát các biện pháp kiểm soát của bạn sẽ tạo ra các kết quả có thể so sánh được để tổ chức có thể đánh giá các xu hướng.

Điều 9.2 Đánh giá nội bộ – Đánh giá nội bộ phải bao gồm tất cả các yêu cầu của tổ chức, không chỉ ISO/IEC 27001. Đây có thể là một nỗ lực rộng lớn hơn để trở nên toàn diện hơn với tư cách là một Hệ thống quản lý.

2. Phụ lục A

Phụ lục A đã chứng kiến ​​sự thay đổi lớn nhất. Phiên bản cập nhật của Phụ lục A của ISO/IEC 27001 đã được cơ cấu lại và sửa đổi hoàn toàn. Do đó, số lượng các biện pháp kiểm soát đã giảm từ 114 xuống còn 93 trong phiên bản mới của ISO/IEC 27001. Ngoài ra, các biện pháp kiểm soát bảo mật này hiện được chia thành 4 phần thay vì 14 trước đó. 

Hơn nữa, sự thay đổi này thể hiện một nỗ lực hữu hình để làm cho tiêu chuẩn ngắn gọn hơn và dễ thực hiện hơn. Sự chồng chéo và lặp lại đã được loại bỏ để tạo ra năm thuộc tính bảo mật chính giúp chúng dễ dàng nhóm hơn.

Các Phần và Kiểm soát mới của ISO/IEC 27001:2022 là:

• Phần 5: Tổ chức (37 điều khiển)
• Phần 6: Mọi người (8 điều khiển)
• Phần 7: Thể chất (14 điều khiển)
• Phần 8: Công nghệ (34 điều khiển)

Tóm lại, 35 kiểm soát không thay đổi, 23 kiểm soát được đổi tên, 57 kiểm soát được hợp nhất để tạo thành 24 kiểm soát mới và 11 kiểm soát mới khác được thêm vào:  

• Điều 5.23 Bảo mật thông tin sử dụng dịch vụ đám mây
• Điều 5.30 Sự sẵn sàng về CNTT-TT cho hoạt động kinh doanh liên tục
• Điều 5.7 Thông tin tình báo về mối đe dọa
• Điều 7.4 Giám sát an ninh vật lý
• Điều 8.1 Mặt nạ dữ liệu
• Điều 8.9 Quản lý cấu hình
• Điều 8.10 Xóa thông tin
• Điều 8.12 Ngăn ngừa rò rỉ dữ liệu
• Điều 8.16 Hoạt động giám sát
• Điều 8.23 Lọc web
• Điều 8.28 Mã hóa an toàn

THỜI ĐIỂM TỐT NHẤT ĐỂ CHUYỂN ĐỔI TỪ ISO/IEC 27001:2013 SANG ISO/IEC 27001:2022

Các tổ chức sẽ có thời gian gọi là “Thời kỳ chuyển tiếp” để hoàn toàn chuyển sang các yêu cầu mới của tiêu chuẩn. Thời điểm tốt nhất để làm điều đó là trước cuộc đánh giá nội bộ tiếp theo của bạn, bất kể tổ chức của bạn đã được chứng nhận trong nhiều năm hay đang trong quá trình chứng nhận.

Đánh giá nội bộ ISO/IEC 27001 liên quan đến đánh giá chi tiết về ISMS của tổ chức để đảm bảo rằng nó tuân thủ các tiêu chí của tiêu chuẩn. Điều đó sẽ cho phép đánh giá xem tổ chức có triển khai các thay đổi một cách chính xác mà không gây rủi ro cho chứng nhận hay không.

Một quyết định quan trọng khác là phân bổ các hoạt động kiểm toán nội bộ, ít nhất ba tháng trước khi tiến hành đánh giá bên ngoài. Dòng thời gian này sẽ cho phép tổ chức xác định bất kỳ điểm không phù hợp tiềm ẩn nào và khắc phục những điểm không phù hợp đó trước khi chuyên gia đánh giá bên ngoài vào cuộc.

Thời gian cập nhật ISMS và chuyển đổi chứng nhận sang ISO/IEC 27001:2022 chậm nhất ngày 31/10/2025. Sau ngày 31/10/2025, tất cả chứng nhận ISO/IEC 27001:2013 sẽ hết hiệu lực. Chậm nhất là 12 tháng kể từ ngày 31/10/2022, tiêu chuẩn ISO/IEC 27001:2022 sẽ được đánh giá và cấp chứng nhận.

→ Xem thêm Chứng nhận ISO/IEC 27001