KNA 认证有限公司

"Quality Innovation"

ISO 27001:2013 信息安全管理体系

在当今的数字技术时代,信息是组织/企业的重要资产。 这就是为什么现在企业需要注重关心信息的安全性。 ISO 27001的诞生是为了帮助您以最有效的方式控制风险并保护信息。

对于每个客户,KNA会提供附加免费服务:

  • 为1、2、3、4、5、6等一些群组进行免费培训劳动安全

       (劳动安全局向KNA的指导: 点击查看)

  • 在河内河胡志明为3名学生提供免费内部意识和评估的培训 (点击查看)
  • Public和Inhouse深造培训可享受10%的折扣(点击查看)

 

TIÊU CHUẨN ISO 27001:2013

ISO 27001认证也能证明企业在认证保密信息,包括企业的信息以及客户的信息。

若企业需要ISO 27001 : 2013 的咨询,请联系KNA CERT

ISO 27001标准是什么 ?

ISO 27001 是安全管理体系的国际标准, 企业可以采用该标准来评估风险和实施适当控制,以保证信息的完整性和安全性

ISO 27001 2013体系的主要目标是保护企业的信息,以免信息落入陌生人的或永久丢失。

ISO 27001发展历程

ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全

管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定

工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。
1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息

安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认

证方案的根据。BS 7799-1与BS 7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技

术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全

的责任。
2000年12月,BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式

成为国际标准-----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。2002年9月5日,BS

7799-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时BS 7799-2:1999被废止。2004

年9月5日,BS 7799-2:2002正式发布。
2005年,BS 7799-2:2002终于被ISO组织所采纳,改名为ISO 27001

ISO 27001:2013 版本

ISO 27001:2013可以独立使用,单也可以与其他管理体系一起采用。

ISO 27001 :2013 适用于任何需要保护信息的企业

企业可以获得第三方独立认证组织(如KNA CERT)的证书,若其信息安全管理体系符合该标准的要求。ISO 27001:2013证书的有效期为3年,证书到期时,企业应进行延期。获得证书后,认证组织每年会对企业定期检查。

为什么需要ISO 27001:2013认证?

ISO / IEC 27001标准适用于任何希望或被要求改善信息安全管理体系的企业

ISO / IEC 27001:2013没有固定企业的规模和收入, 即使最小的也可以实施。

Việc thực hiện áp dụng ISO/IEC 27001 thể hiện Tổ chức của bạn đã đưa con người, quy trình, công cụ và hệ thống vào một tiêu chuẩn được công nhận. Bảo mật thông tin chậm hơn một chút so với các lĩnh vực từ quan điểm chứng nhận và đánh giá độc lập. Tuy nhiên với tốc độ phát triển của công nghệ thông tin hiện nay các tổ chức tiếp cận với thông nghệ thông tin nhanh hơn đang dần chiếm lợi thế hơn trong cả chuỗi cung ứng của họ. Vì vậy, bạn có thể nhìn vào chứng nhận ISO 27001 thông qua hai vấn đề: 

  • 1 Với tư cách là một khách hàng, bạn muốn tin tưởng rằng các nhà cung cấp có liên quan của bạn được chứng nhận, nhất là để giúp giảm thiểu rủi ro kinh doanh của bạn. Hãy chọn những doanh nghiệp áp dụng những tiêu chuẩn phù hợp và có độ tin cậy cao không chỉ về việc kinh doanh mà còn là độ bảo mật thông tin để tránh những rủi ro trong công việc của bạn.
  • 2 Khách hàng của bạn ngày càng thông minh hơn. Họ thích làm việc với những đối tác trong chuỗi cung ứng được bảo vệ đầy đủ.

YÊU CU BT BUC ĐỐI VI ISO 27001:2013

Tiêu chuẩn ISO 27001 được tạo thành từ hai phần; các yêu cầu chính và các kiểm soát của Phụ lục A.

Mọi người phải đáp ứng các yêu cầu chính bao gồm 4.1 - 10.2. Bao gồm có 18 hoạt động chính thúc đẩy đầu tư rộng hơn vào các điều khiển của Phụ lục A. Ngoài ra còn có một số kiểm soát bắt buộc từ Phụ lục A mà kiểm toán viên cũng sẽ thấy (một số muốn nhiều hơn hoặc ít hơn, vì vậy hãy chắc chắn kiểm tra trước với kiểm toán viên của bạn).

Điều đáng chú ý là không có hai tổ chức nào giống nhau và ISMS của họ cũng vậy . Các điều khiển của Phụ lục A chỉ được yêu cầu khi có rủi ro cần thực hiện. Do đó, dưới đây, chỉ nên được sử dụng như một bộ hướng dẫn.

Dưới đây là tổng quan về bằng chứng tối thiểu bạn cần đưa ra nếu bạn muốn tuân thủ tiêu chuẩn Quản lý bảo mật thông tin ISO / IEC 27001 và có cơ hội được chứng nhận:

  • Tài liệu về các vấn đề bên trong và bên ngoài , các bên quan tâm (khoản 4.1 và 4.2)
  • ISMS 范围(4.3)
  • 信息安全的政策和目标 (5.2 和 6.2)
  • 风险评估与处理方式 ( 6.1.2)
  • 应用的可能性声明 (6.1.3 d)
  • 风险处理计划(6.1.3 e 和 6.2)
  • 文件控制程序 (7.5)
  • 风险评估报告(8.2)
  • 安全的作用和责任的定义(A.7.1.2 和A.13.2.4 )
  • Tồn kho tài sản (khoản A.8.1.1)
  • Sử dụng tài sản được chấp nhận (khoản A.8.1.3)
  • 信息使用的控制政策(điều A.9.1.1)
  • 信息管理的运行流程 ( A.12.1.1)
  • 安全体系的计数原则(A.14.2.5)
  • 供应商的安全管理政策 ( A.15.1)
  • 事故管理(A.16.)
  • 商业的持续性(A.17.1.2)
  • 法规,企业规定 (A.18.1.1)
  • 内部控制程序(9.2)
  • 纠正程序(10.1)

钱婆文件

  • 培训档案 (điều 7.2)
  • 检查和测量的结果(khoản 9.1)
  • 内部审核的计划(khoản 9.2)
  • 管理审核结果(khoản 9.3)
  • 纠正措施的结果 (khoản 10.1)
  • Nhật ký hoạt động, ngoại lệ và sự kiện bảo mật của người dùng (mệnh đề A.12.4.1 và A.12.4.3)

ISO 27001:2013标准的好处?

采用ISO 27001的企业会获得许多好处

对客户:

  • 获得客户的信任。
  • 减少违法的可能性。
  • 减少新供应商的成本。
  • 以最优化保护信息的安全性。

对企业

  • 保护企业的信息,提高其信誉. 
  • 有更多的客户
  • 减少销售费用
  • 与合作伙伴创造良好关系
  • 改善企业的流程,从而减少费用
  • 避免违规的罚款
  • 避免由于数据泄露而引起的民事诉讼
  • 减少事故或违法的处理费用
  • 更好吸引员工

对企业的员工

  • 相信企业的可持续性。
  •  
  • 工作培训(和家庭安全)。
  •  
  • 通过政策和程序要。

 

ISO/IEC 27001:2013认证流程

Đã triển khai Hệ thống quản lý bảo mật thông tin của bạn và thực hiện các đánh giá quản lý đầu tiên về ISMS và bắt đầu thực hiện phương pháp tiếp cận trên thực tế, bạn sẽ tiếp tục được chứng nhận ISO 27001.

QUY TRÌNH CHỨNG NHẬN ISO 27001:2013

ISO 27001:2013标准认证流程

Đây là một quá trình gồm hai giai đoạn để được chứng nhận với tiêu chuẩn được công nhận của Dịch vụ Kiểm định Vương quốc Anh:

Đánh giá giai đoạn 1 - nói một cách đơn giản, đánh giá viên của các tổ chức chứng nhận sẽ xem xét tài liệu Hệ thống quản lý bảo mật thông tin và bạn đã đạt được các yêu cầu, ít nhất là trên lý thuyết ! Đây là phần đánh giá máy tính để bàn về ISMS với kiểm toán viên ở giai đoạn này, bao gồm các lĩnh vực bắt buộc và đảm bảo rằng tinh thần của tiêu chuẩn đang được áp dụng. 

Kết quả của cuộc đánh giá này là một khuyến nghị cho sự sẵn sàng đánh giá giai đoạn 2 (có lẽ với các quan sát để đánh giá lại trong quá trình đánh giá giai đoạn 2) hoặc cần phải giải quyết bất kỳ sự không phù hợp nào được xác định trước khi có thể tiến triển thêm.

Nhiều tổ chức thất bại ở Giai đoạn 1 và vì một lý do rất phổ biến thường được giải quyết dễ dàng bằng giải pháp Hệ thống quản lý an ninh thông tin tốt (trừ khi lãnh đạo của bạn thực sự không tham gia thì ISMS sẽ không giúp được gì!)

Tùy thuộc vào trạng thái đánh giá nội bộ của bạn, bạn có thể được yêu cầu hoàn thành đánh giá nội bộ đầy đủ trước giai đoạn 2, nhưng chúng tôi khuyên bạn nên đồng ý rằng với kiểm toán viên của bạn khi một số người tìm kiếm những điều hơi khác nhau

Đánh giá giai đoạn 2 - Đây là nơi các đánh giá viên sẽ bắt đầu tìm kiếm bằng chứng cho thấy Hệ thống quản lý an ninh thông tin được ghi nhận đang được duy trì và áp dụng trong thực tế. Nhân viên của bạn sẽ được tham gia, phỏng vấn, phạm vi của bạn sẽ được đánh giá xung quanh vị trí, hệ thống, quy trình và quy trình thực tế. Giống như hầu hết các cuộc đánh giá, nó sẽ là một cỡ mẫu và nếu bạn có thể dẫn dắt đánh giá viên với một hệ thống tham gia, họ sẽ rất tự tin từ đó.

Chứng nhận ISO 27001 được thực hiện trong chu kỳ 3 năm, do đó, nó thường hoạt động như sau:

  • Giai đoạn 1 và 2 sau đó trao chứng nhận
  • Đánh giá giám sát lần 1 (thông thường là hàng năm hoặc có thể thường xuyên hơn dựa trên phạm vi, rủi ro và quy mô)
  • Đánh giá giám sát 2
  • Chứng nhận lại năm thứ ba và đánh giá chi tiết hơn

常见问题

  • ISO 27001标准是否适用于全部企业?

是。任何拥有信息资产并采用信息安全管理体系ISMS而受益的企业都会采用ISO 27001

  • ISO 27001是否只涉及信息问题?

ISO 27001将在任何情况下(例如火灾,洪水,黑客入侵,数据丢失,安全漏洞甚至恐怖主义)帮助企业保证业务的连续性。


 •联系信息: KNA 认证有限责任公司
•总部: 河内市,巴婷郡,队艮路266号,LADECO大厦,11层
•分司: 胡志明市,平盛郡,26坊,阮企路102号,4水利大厦,2层
•Tell: 093.2211.786 – 02438.268.222
•Email: salesmanager@knacert.com Website: www.knacert.com.vn

Chia sẻ

Dịch vụ liên quan