CÔNG TY TNHH CHỨNG NHẬN KNA 

"Quality Innovation"

Tiêu chuẩn ISO 27001:2013 - Hệ thống quản lý An toàn thông tin

Thông tin là một loại tài sản quan trọng đối với các tổ chức Doanh Nghiệp trong thời đại công nghệ số hiện nay. Chính vì thế mà việc bảo mật và bảo vệ tài sản thông tin là một việc quan trọng hiện nay mà các Doanh Nghiệp cần quan tâm. ISO 27001 ra đời giúp có thể kiểm soát rủi ro, bảo vệ tài sản thông tin một cách hiệu quả nhất.


Đối với tùy theo từng khách hàng có dịch vụ miễn phí đi kèm của KNA:

  • Miễn phí đào tạo An Toàn Lao Động cho một số nhóm: 1,2,3,4,5,6

(Chỉ định của Cục An Toàn Lao Động cho KNA: Xem tại đây)

  • Miễn phí khóa học tối đa cho 3 học viên về nhận thức và đánh giá nội bộ tại HCM và HN (Xem thêm)
  • Giảm 10% đối với các khóa học Public & Inhouse CSR chuyên sâu (Xem thêm).

Chứng nhận ISO 27001 cũng sẽ chứng minh cho các bên liên quan bên ngoài có ảnh hưởng đến Tổ chức của bạn rằng bạn nghiêm túc bảo mật thông tin và có thể tin cậy với tài sản thông tin có giá trị của khách hàng cũng như của chính Tổ chức của bạn.

TIÊU CHUẨN ISO 27001:2013

Doanh Nghiệp có nhu cầu làm Tư Vấn ISO 27001:2013 liên liên hệ với KNA CERT 

TIÊU CHUẨN ISO 27001 LÀ GÌ ?

Hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001:2013 là một tiêu chuẩn quốc tế đưa ra các yêu cầu liên quan đến Hệ Thống Quản Lý Bảo Mật Thông Tin, cho phép tổ chức doanh nghiệp đánh giá được những rủi ro và thực hiện kiểm soát thích hợp để bảo toàn tính bảo mật, toàn vẹn và sẵn có của tài sản thông tin.

Hệ thống quản lý ATTT theo ISO 27001:2013 với mục đích chính là bảo vệ thông tin của tổ chức doanh nghiệp, không để rơi vào tay người lạ hay bị thất lạc vĩnh viễn.

LỊCH SỬ HÌNH THÀNH ISO 27001

Tổ chức Tiêu chuẩn hóa Quốc tế ISO là nhà phát triển Tiêu chuẩn Quốc tế tự nguyện lớn nhất trên thế giới. Tiền thân của bộ tiêu chuẩn ISO 27001 được viết bởi Bộ Thương mại và Công nghiệp Chính phủ Anh (DTI), và sau đó được Viện Tiêu chuẩn Anh (BSI) xuất bản thành BS 7799 vào năm 1995.


PHIÊN BẢN ISO 27001:2013 

ISO 27001:2013 được thiết kế để sử dụng độc lập, nhưng nó có thể được sắp xếp hoặc tích hợp với các hệ thống quản lý khác.

ISO 27001:2013 áp dụng cho bất kỳ tổ chức nào muốn đảm bảo rằng nó phù hợp với chính sách an toàn an ninh thông tin đã nêu và muốn chứng minh điều này cho người khác, sự phù hợp này được xác nhận bằng phương pháp tự đánh giá và tự khai báo sự phù hợp hoặc bằng chứng nhận hệ thống quản lý an ninh thông tin của một tổ chức bên ngoài.

Ngoài ra, chứng nhận ISO 27001:2013 là một cuộc đánh giá của bên thứ ba được thực hiện bởi một tổ chức chứng nhận như KNA CERT khi xác minh rằng một tổ chức tuân thủ các yêu cầu của ISO 27001:2013, sẽ cấp chứng chỉ ISO 27001:2013. Chứng nhận này sau đó được duy trì thông qua các cuộc kiểm tra giám sát thường xuyên theo lịch trình hàng năm của cơ quan đánh giá, với việc tái chứng nhận được thực hiện trên cơ sở ba năm một lần.


TẠI SAO CẦN CHỨNG NHẬN ISO 27001:2013

Bộ tiêu chuẩn ISO/IEC 27001 có thể áp dụng cho bất kì tổ chức nào muốn hoặc được yêu cầu nhằm chính thức hóa và cải thiện các quy trình kinh doanh xung quanh việc bảo mật tài sản thông tin của tổ chức.

Tiêu chuẩn ISO/IEC 27001:2013 không có quy định về quy mô hoặc doanh thu của Tổ chức. Ngay cả những tổ chức nhỏ nhất cũng có thể thực hiện được.

Việc thực hiện áp dụng ISO/IEC 27001 thể hiện Tổ chức của bạn đã đưa con người, quy trình, công cụ và hệ thống vào một tiêu chuẩn được công nhận. Bảo mật thông tin chậm hơn một chút so với các lĩnh vực từ quan điểm chứng nhận và đánh giá độc lập. Tuy nhiên với tốc độ phát triển của công nghệ thông tin hiện nay các tổ chức tiếp cận với thông nghệ thông tin nhanh hơn đang dần chiếm lợi thế hơn trong cả chuỗi cung ứng của họ. Vì vậy, bạn có thể nhìn vào chứng nhận ISO 27001 thông qua hai vấn đề: 

  • 1 Với tư cách là một khách hàng, bạn muốn tin tưởng rằng các nhà cung cấp có liên quan của bạn được chứng nhận, nhất là để giúp giảm thiểu rủi ro kinh doanh của bạn. Hãy chọn những doanh nghiệp áp dụng những tiêu chuẩn phù hợp và có độ tin cậy cao không chỉ về việc kinh doanh mà còn là độ bảo mật thông tin để tránh những rủi ro trong công việc của bạn.
  • 2 Khách hàng của bạn ngày càng thông minh hơn. Họ thích làm việc với những đối tác trong chuỗi cung ứng được bảo vệ đầy đủ.

>> 3 Lý do tại sao ISO 27001 bảo vệ thông tin cho các Công ty Luật


YÊU CẦU BẮT BUỘC ĐỐI VỚI ISO 27001:2013

Tiêu chuẩn ISO 27001 được tạo thành từ hai phần; các yêu cầu chính và các kiểm soát của Phụ lục A.

Mọi người phải đáp ứng các yêu cầu chính bao gồm 4.1 - 10.2. Bao gồm có 18 hoạt động chính thúc đẩy đầu tư rộng hơn vào các điều khiển của Phụ lục A. Ngoài ra còn có một số kiểm soát bắt buộc từ Phụ lục A mà kiểm toán viên cũng sẽ thấy (một số muốn nhiều hơn hoặc ít hơn, vì vậy hãy chắc chắn kiểm tra trước với kiểm toán viên của bạn).

Điều đáng chú ý là không có hai tổ chức nào giống nhau và ISMS của họ cũng vậy . Các điều khiển của Phụ lục A chỉ được yêu cầu khi có rủi ro cần thực hiện. Do đó, dưới đây, chỉ nên được sử dụng như một bộ hướng dẫn.

Dưới đây là tổng quan về bằng chứng tối thiểu bạn cần đưa ra nếu bạn muốn tuân thủ tiêu chuẩn Quản lý bảo mật thông tin ISO / IEC 27001 và có cơ hội được chứng nhận:

  • Tài liệu về các vấn đề bên trong và bên ngoài , các bên quan tâm (khoản 4.1 và 4.2)
  • Phạm vi của ISMS (điều 4.3)
  • Chính sách và mục tiêu bảo mật thông tin (khoản 5.2 và 6.2)
  • Đánh giá rủi ro và phương pháp xử lý rủi ro (điều 6.1.2)
  • Tuyên bố về khả năng áp dụng (điều 6.1.3 d)
  • Kế hoạch xử lý rủi ro (các điều 6.1.3 e và 6.2)
  • Thủ tục kiểm soát tài liệu (điều 7.5)
  • Kiểm soát để quản lý hồ sơ (điều 7.5)
  • Báo cáo đánh giá rủi ro (khoản 8.2)
  • Định nghĩa về vai trò và trách nhiệm bảo mật (các điều A.7.1.2 và A.13.2.4 )
  • Tồn kho tài sản (khoản A.8.1.1)
  • Sử dụng tài sản được chấp nhận (khoản A.8.1.3)
  • Chính sách kiểm soát truy cập (điều A.9.1.1)
  • Quy trình vận hành quản lý CNTT (điều A.12.1.1)
  • Nguyên tắc kỹ thuật hệ thống an toàn (điều A.14.2.5)
  • Chính sách bảo mật của nhà cung cấp (điều A.15.1)
  • Quản lý sự cố (điều A.16.)
  • Tính liên tục trong kinh doanh (khoản A.17.1.2)
  • Các yêu cầu theo luật định, quy định và hợp đồng (khoản A.18.1.1)
  • Thủ tục kiểm toán nội bộ (khoản 9.2)
  • Thủ tục hành động khắc phục (khoản 10.1)

Hồ sơ bắt buộc

  • Hồ sơ đào tạo, kỹ năng, kinh nghiệm và trình độ (điều 7.2)
  • Kết quả giám sát và đo lường (khoản 9.1)
  • Chương trình đánh giá nội bộ (khoản 9.2)
  • Kết quả kiểm toán nội bộ (khoản 9.2)
  • Kết quả đánh giá quản lý (khoản 9.3)
  • Kết quả của hành động khắc phục (khoản 10.1)
  • Nhật ký hoạt động, ngoại lệ và sự kiện bảo mật của người dùng (mệnh đề A.12.4.1 và A.12.4.3)

TIÊU CHUẨN ISO 27001:2013 MANG LẠI NHỮNG LỢI ÍCH GÌ ?

Đối với tất cả các bên liên quan, mục tiêu chính của ISO 27001 là tạo dựng niềm tin và sự đảm bảo có được từ một hệ thống quản lý bảo mật thông tin được đánh giá bên ngoài. Điều này mang lại nhiều lợi ích như:

Lợi ích cho khách hàng của bạn: 

  • Nhận được sự tin tưởng của khách hàng của bạn trong toàn bộ chuỗi cung ứng của bạn.
  • Giảm thiểu khả năng vi phạm gây tốn chi phí.
  • Giảm chi phí cho các nhà cung cấp mới.
  • Được bảo mật thông tin một cách tối ưu nhất. 

Lợi ích cho Tổ Chức của bạn: 

  • Bảo vệ IP, thương hiệu và uy tín của bạn. 
  • Kiếm được nhiều doanh nghiệp hơn từ khách hàng mới và khách hàng hiện tại
  • Giảm chi phí bán hàng
  • Giúp tạo mối quan hệ bền chặt hơn với nhiều doanh nghiệp cũ.
  • Cải tiến quy trình dẫn đến tiết kiệm chi phí và thời gian
  • Tránh phạt tiền từ việc không tuân thủ quy định (như GDPR)
  • Tránh các vụ kiện dân sự do vi phạm dữ liệu
  • Tránh chi phí cho hành động khắc phục hậu quả do sự cố và / hoặc vi phạm
  • Thu hút nhân viên tốt hơn.

Lợi ích cho nhân viên của bạn: 

  • Tin tưởng vào sự bền vững của tổ chức.
  • Đào tạo cho công việc (và an ninh gia đình).
  • Rõ ràng thông qua các chính sách và thủ tục.
  • Tự hào về tổ chức và vai trò của họ trong việc bảo vệ nó.

QUY TRÌNH CHỨNG NHẬN ISO/IEC 27001:2013

Đã triển khai Hệ thống quản lý bảo mật thông tin của bạn và thực hiện các đánh giá quản lý đầu tiên về ISMS và bắt đầu thực hiện phương pháp tiếp cận trên thực tế, bạn sẽ tiếp tục được chứng nhận ISO 27001.

QUY TRÌNH CHỨNG NHẬN ISO 27001:2013QUY TRÌNH CHỨNG NHẬN TIÊU CHUẨN ISO 27001:2013

Đây là một quá trình gồm hai giai đoạn để được chứng nhận với tiêu chuẩn được công nhận của Dịch vụ Kiểm định Vương quốc Anh:

Đánh giá giai đoạn 1 - nói một cách đơn giản, đánh giá viên của các tổ chức chứng nhận sẽ xem xét tài liệu Hệ thống quản lý bảo mật thông tin và bạn đã đạt được các yêu cầu, ít nhất là trên lý thuyết ! Đây là phần đánh giá máy tính để bàn về ISMS với kiểm toán viên ở giai đoạn này, bao gồm các lĩnh vực bắt buộc và đảm bảo rằng tinh thần của tiêu chuẩn đang được áp dụng. 

Kết quả của cuộc đánh giá này là một khuyến nghị cho sự sẵn sàng đánh giá giai đoạn 2 (có lẽ với các quan sát để đánh giá lại trong quá trình đánh giá giai đoạn 2) hoặc cần phải giải quyết bất kỳ sự không phù hợp nào được xác định trước khi có thể tiến triển thêm.

Nhiều tổ chức thất bại ở Giai đoạn 1 và vì một lý do rất phổ biến thường được giải quyết dễ dàng bằng giải pháp Hệ thống quản lý an ninh thông tin tốt (trừ khi lãnh đạo của bạn thực sự không tham gia thì ISMS sẽ không giúp được gì!)

Tùy thuộc vào trạng thái đánh giá nội bộ của bạn, bạn có thể được yêu cầu hoàn thành đánh giá nội bộ đầy đủ trước giai đoạn 2, nhưng chúng tôi khuyên bạn nên đồng ý rằng với kiểm toán viên của bạn khi một số người tìm kiếm những điều hơi khác nhau

Đánh giá giai đoạn 2 - Đây là nơi các đánh giá viên sẽ bắt đầu tìm kiếm bằng chứng cho thấy Hệ thống quản lý an ninh thông tin được ghi nhận đang được duy trì và áp dụng trong thực tế. Nhân viên của bạn sẽ được tham gia, phỏng vấn, phạm vi của bạn sẽ được đánh giá xung quanh vị trí, hệ thống, quy trình và quy trình thực tế. Giống như hầu hết các cuộc đánh giá, nó sẽ là một cỡ mẫu và nếu bạn có thể dẫn dắt đánh giá viên với một hệ thống tham gia, họ sẽ rất tự tin từ đó.

Chứng nhận ISO 27001 được thực hiện trong chu kỳ 3 năm, do đó, nó thường hoạt động như sau:

  • Giai đoạn 1 và 2 sau đó trao chứng nhận
  • Đánh giá giám sát lần 1 (thông thường là hàng năm hoặc có thể thường xuyên hơn dựa trên phạm vi, rủi ro và quy mô)
  • Đánh giá giám sát 2
  • Chứng nhận lại năm thứ ba và đánh giá chi tiết hơn

CÂU HỎI THƯỜNG GẶP

  • Có phải tiêu chuẩn ISO 27001 áp dụng cho tất cả các ngành công nghiệp?

Đúng, tất cả các tổ chức doanh nghiệp có tài sản thông tin, và có thể hưởng lợi từ việc thực hiện và chứng nhận hệ thống quản lý bảo mật thông tin - ISMS.

  • Có phải ISO 27001 chỉ liên quan đến các vấn đề về công nghệ thông tin?

Không, ISO 27001 bao gồm tất cả các khía cạnh của trao đổi thông tin, từ dữ liệu máy tính đến các cuộc  đàm luận nơi công cộng, bao gồm việc đảm bảo các thông số vật lý và cả việc lựa chọn nhân viên ban đầu.

ISO 27001 sẽ giúp tổ chức doanh nghiệp đảm bảo được tính liên tục trong kinh doanh trong bất kì trường hợp nào, như hỏa hoạn, lũ lụt, hacking , mất dữ liệu, lỗ hổng bảo mật, thậm chí là khủng bố.ISO 27001 là xương sống của những vấn đề này.

>> 11 Câu hỏi thường gặp liên quan đến ISO 27001:2013 


  • Thông tin liên hệ tư vấn ISO 27001:2013: Công ty TNHH Chứng Nhận KNA
  • Trụ sở chính: Tầng 11, Tòa nhà Ladeco, 266 Đội Cấn, Ba Đình, Hà Nội
  • Chi Nhánh: Tầng 2, tòa nhà Thủy Lợi 4, 102 Nguyễn Xí, Phường 26, Quận Bình Thạnh, TPHCM.
  • Tell: 093.2211.786 – 02438.268.222
  • Email: salesmanager@knacert.com  Website: www.knacert.com.vn
Chia sẻ

Dịch vụ liên quan