ISO 27001:2013 là phiên bản mới nhất hiện nay của bộ tiêu chuẩn về Hệ thống quản lý an toàn thông tin. ISO 27001:2013 được ban hành thay thế cho phiên bản trước đó là ISO 27001:2005.
TỔ CHỨC NÀO THUỘC PHẠM VI CỦA TIÊU CHUẨN ISO 27001:2013?
ISO 27001 đưa ra các yêu cầu nhằm xây dựng một hệ thống kiểm soát an toàn thông tin trong quá trình hoạt động áp dụng cho mọi loại hình doanh nghiệp và tổ chức. Cụ thể gồm:
- Trang trại, nông trại, ngư trường
- Đơn vị sản xuất và chế biến thực phẩm
- Nhà hàng, khách sạn, cửa hàng bán thực phẩm
- Đơn vị lưu trữ, phân phối, vận chuyển thực phẩm
- Cơ sở dung cấp nguyên liệu, phụ gia, thiết bị chế biến thực phẩm
- Đơn vị dọn đẹp, vệ sinh, chế biến thực phẩm
\>> Xem thêm: Download ISO 27001:2013 PDF miễn phí bản chuẩn
CÁC NGUYÊN TẮC CỦA TIÊU CHUẨN ISO/IEC 27001:2013
Tiêu chuẩn ISO/IEC 27001:2013 tuân thủ các nguyên tắc và hướng dẫn chung quy định tại tiêu chuẩn ISO 31000 – Quản lý rủi ro. Các nguyên tắc cụ thể như sau:
Được tích hợp
Quản lý rủi ro là một phần không thể tách rời của tất cả các hoạt động tổ chức.
Có cấu trúc và toàn diện
Một cách tiếp cận toàn diện và có cấu trúc để quản lý rủi ro mang lại kết quả nhất quán và có thể so sánh được.
Được tùy chỉnh
Khuôn khổ và quá trình quản lý rủi ro được tùy chỉnh và thích hợp với bối cảnh nội bộ và bên ngoài của tổ chức có liên quan đến các mục tiêu của tổ chức.
Sự tham gia
Sự tham gia thích hợp và kịp thời của các bên liên quan cho phép xem xét tri thức, quan điểm và cảm nhận của họ. Điều này dẫn đến việc nâng cao nhận thức và việc quản lý rủi ro có đầy đủ thông tin.
Tính động
Rủi ro có thể hình thành, thay đổi hoặc biến mất do bối cảnh nội bộ, bên ngoài của tổ chức thay đổi. Quản lý rủi ro dự đoán, phát hiện, ghi nhận và ứng phó một cách kịp thời, thích hợp với những thay đổi và sự kiện đó.
Thông tin sẵn có tốt nhất
Đầu vào cho quản lý rủi ro dựa trên thông tin trong quá khứ, hiện tại, cũng như dự báo trong tương lai. Quản lý rủi ro tính đến một cách rõ ràng mọi hạn chế và sự không chắc chắn gắn liền với những thông tin và dự báo đó. Thông tin cần kịp thời, rõ ràng và có sẵn cho các bên liên quan.
Yếu tố con người và văn hóa
Hành vi của con người và văn hóa ảnh hưởng đáng kể đến tất cả các khía cạnh của quản lý rủi ro tại mỗi cấp và giai đoạn.
Cải tiến liên tục
Trong tiêu chuẩn ISO 27001:2013 việc quản lý rủi ro được cải tiến liên tục thông qua học hỏi và kinh nghiệm.
CẤU TRÚC ĐIỀU KHOẢN ISO/IEC 27001:2013 THEO TCVN ISO 27001
Phạm vi áp dụng
- #### Tài liệu viện dẫn
- #### Thuật ngữ và định nghĩa
- #### Bối cảnh của tổ chức
- Hiểu tổ chức và bối cảnh của tổ chức
- Hiểu được nhu cầu và mong đợi của các bên liên quan
- Xác định phạm vi của hệ thống quản lý an toàn thông tin
- Hệ thống quản lý an toàn thông tin
- #### Sự lãnh đạo
- Sự lãnh đạo và cam kết
- Chính sách
- Vai trò, trách nhiệm và quyền hạn của tổ chức
- #### Hoạch định
- Hành động giải quyết rủi ro và cơ hội [Đánh giá rủi ro an toàn thông tin; Xử lý rủi ro an toàn thông tin]
- Các mục tiêu an toàn thông tin và hoạch định để thực hiện mục tiêu
- #### Hỗ trợ
- Nguồn lực
- Năng lực
- Nhận thức
- Trao đổi thông tin
- Tạo lập và cập nhật, kiểm soát thông tin dạng văn bản
- #### Vận hành
- Hoạch định và kiểm soát vận hành
- Đánh giá rủi ro an toàn thông tin
- Xử lý rủi ro an toàn thông tin
- #### Đánh giá hiệu năng
- Theo dõi, đo lường, phân tích và đánh giá sự tuân thủ
- Đánh giá nội bộ
- Soát xét của lãnh đạo
- #### Cải tiến
- Sự không phù hợp và hành động khắc phục
- Cải tiến liên tục
LỢI ÍCH KHI ÁP DỤNG TIÊU CHUẨN ISO 27001:2013 LÀ GÌ?
Hiện nay các doanh nghiệp đang có mong muốn đạt được chứng chỉ ISO 27001 nhất là các doanh nghiệp làm công nghệ thông tin. Chứng chỉ ISO 27001 mang lại rất nhiều lợi ích cho hoạt động của các doanh nghiệp dù lớn hay bé. Sau đây là những lợi ích cơ bản không thể bỏ qua:
- Thiết lập thành công hệ thống ISMS đạt chuẩn
- Kiểm soát và hạn chế các rủi ro gây mất an toàn thông tin
- Đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng của dữ liệu
- Tiết kiệm chi phí xử lý sự cố phát sinh liên quan tới an toàn thông tin
- Nâng cao chất lượng và giá trị dịch vụ
- Được khách hàng và đối tác tin tưởng lựa chọn
- Thúc đẩy tăng trưởng
- Mở rộng cơ hội kinh doanh và tiếp cận các thị trường khó tính
MỘT SỐ LƯU Ý CỦA TIÊU CHUẨN ISO 27001:2013
Kể từ ngày đạt được chứng nhận, giấy chứng nhận ISO 27001:2013 có hiệu lực 03 năm. Trong 3 năm sẽ có 02 lần giám sát thường niên. Vì vậy, doanh nghiệp lưu ý nên duy trì hệ thống và cải tiến hệ thống quản lý an toàn thông tin liên tục để không bị thu hồi giấy chứng nhận.
Tiêu chuẩn ISO 27001 có cùng cấu trúc cấp cao [HLS] nên có khả năng tương thích và áp dụng đồng thời với các hệ thống quản lý khác như ISO 14001, ISO 9001.
Để việc xây dựng và áp dụng ISO/IEC 27001 đạt hiệu quả cao nhất đòi hỏi sự quyết tâm của ban lãnh đạo doanh nghiệp cũng như sự phối hợp nhịp nhàng giữa các bộ phận trong tổ chức để xây dựng và duy trì hệ thống
QUY TRÌNH CHỨNG NHẬN TIÊU CHUẨN ISO 27001
SPS Cert xin chia sẻ đến bạn quy trình triển khai xây dựng Hệ thống quản lý An Ninh Thông Tin theo ISO 27001. Thông thường sẽ bao gồm các bước như sau:
Bước 1: Đăng ký chứng nhận ISO/IEC 27001 với tổ chức chứng nhận uy tín.
Doanh nghiệp cần cung cấp đầy đủ thông tin về quy mô, phạm vi sản xuất, lĩnh vực kinh doanh và số lượng nhân viên cùng quy trình sản xuất nếu có. Doanh Nghiệp tiến hành gửi đến tổ chức chứng nhận. Tổ chức chứng nhận sẽ tiếp nhận hồ sơ xin đăng kí đánh giá chứng nhận và họp để lên kế hoạch đánh giá chứng nhận cho doanh nghiệp của bạn theo đúng phạm vi đã được gửi trước đó.
Bước 2: Ký hợp đồng và đánh giá sơ bộ [nếu cần].
Tổ chức chứng nhận sẽ tiến hành đánh giá mức độ hoặc hoàn thiện việc triển khai của doanh nghiệp. Sau khi có kết quả đánh giá sơ bộ, tổ chức chứng nhận sẽ xây dựng một danh sách các hạng mục cần tiến hành trước khi đánh giá chứng nhận. Giai đoạn này được chia làm 2 giai đoạn như sau:
Giai đoạn 1: Tổ chức chứng nhận tiến hành kiểm tra rà soát các thủ tục, hồ sơ và tài liệu của doanh nghiệp bằng việc đến gặp trực tiếp để đánh giá hồ sơ tài liệu của doanh nghiệp.
Giai đoạn 2: Tổ chức đánh giá sẽ tiến hành đánh giá toàn bộ hệ thống quản lý an ninh thông tin cũng như tiến hành lấy mẫu đại diện của quá trình quản lý an ninh thông tin. Tại giai đoạn 2 này tổ chức sẽ xác định xem hệ thống quản lý an ninh thông tin có được thực hiện đầy đủ và có hiệu lực tại doanh nghiệp hay không.
Bước 4: Kiểm tra khắc phục và thẩm xét hồ sơ
Trong quá trình đánh giá chứng nhận nếu như có bất kì sự không phù hợp nào phát sinh sẽ được tổ chức chứng nhận ghi lại và thông báo cho doanh nghiệp. Doanh nghiệp của bạn sẽ có khoảng 90 ngày để tiến hành khắc phục.
Bước 5: Cấp giấy chứng nhận
Sau khi doanh nghiệp đã khắc phục hết các điểm không phù hợp thì tổ chức chứng nhận sẽ tiến hành rà soát lại các vấn đề đã được khắc phục. Sau đó sẽ cấp giấy chứng nhận ISO 27001 có hiệu lực trong vòng 3 năm.
Bước 6: Giám sát thường niên
Trên đây là các bước triển khai ISO 27001. Trong thời gian hiệu lực 03 năm, sẽ có 02 lần giám sát thường niên.
\>> Xem thêm: Download tiêu chuẩn ISO 27001:2013 PDF miễn phí bản chuẩn
—————————————————————————————————————————————–
Mọi thắc mắc liên quan tới Tiêu chuẩn ISO 27001:2013 hoặc dịch vụ , Quý Doanh nghiệp vui lòng liên hệ với SPS theo thông tin dưới đây: