ISO 27002 là gì?
ISO/IEC 27002:2022 là tiêu chuẩn bảo mật thông tin do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện quốc tế (IEC) công bố. ISO 27002 có mối liên hệ chặt chẽ với ISO 27001. Nói chung, tiêu chuẩn này hướng dẫn triển khai ISMS ISO 27001.
ISO/IEC 27002 cung cấp một bộ tham chiếu về các biện pháp kiểm soát bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư, bao gồm hướng dẫn triển khai dựa trên các thông lệ tốt nhất được công nhận trên toàn thế giới.
Mặc dù ISO 27002 không phải là tiêu chuẩn có thể chứng nhận, nhưng việc tuân thủ các hướng dẫn về bảo mật thông tin, bảo mật vật lý, bảo mật mạng và quản lý quyền riêng tư sẽ giúp tổ chức của bạn tiến gần hơn một bước tới việc đáp ứng các yêu cầu chứng nhận ISO 27001.
Tại sao ISO 27002 lại quan trọng?
Nếu tổ chức của bạn thu thập, sử dụng hoặc xử lý dữ liệu, sẽ luôn có những rủi ro và mối đe dọa về bảo mật thông tin cần phải đề phòng.
Để phòng ngừa những rủi ro này, bạn nên có Hệ thống quản lý bảo mật thông tin (ISMS) để đảm bảo tính bảo mật, khả dụng và toàn vẹn của mọi thông tin và tài sản thông tin.
Thách thức chính mà các doanh nghiệp mới tham gia vào lĩnh vực quản lý bảo mật thông tin phải đối mặt là phạm vi rộng lớn của nó. Việc triển khai và duy trì ISMS bao gồm một phạm vi rộng đến mức hầu hết các nhà quản lý không biết phải bắt đầu từ đâu.
Nếu đây là trường hợp của bạn hoặc nếu bạn chỉ muốn duy trì bảo mật thông tin của mình, thì điểm khởi đầu tuyệt vời là triển khai các biện pháp kiểm soát được đề xuất trong ISO/IEC 27002.
Làm cho nó đơn giản hơn với ISOA.vn
Nền tảng ISOA.vn cung cấp hướng dẫn từng bước từ thiết lập ISMS cho đến khi chứng nhận, với tỷ lệ thành công 100%.
Đặt lịch trình demo ngay hôm nay để xem chúng tôi có thể giúp doanh nghiệp của bạn như thế nào.
Lợi ích là gì?
Bằng cách triển khai các biện pháp kiểm soát bảo mật thông tin theo ISO 27002, các tổ chức có thể yên tâm rằng tài sản thông tin của họ được bảo vệ bằng các biện pháp tốt nhất được công nhận và chấp thuận trên toàn thế giới.
Các tổ chức ở mọi quy mô và mức độ bảo mật đều có thể gặt hái được những lợi ích sau khi tuân thủ quy tắc thực hành ISO 27002:
- Nó cung cấp một khuôn khổ làm việc để giải quyết các vấn đề về bảo mật thông tin, bảo mật mạng, bảo mật vật lý và quyền riêng tư thông tin.
- Khách hàng và đối tác kinh doanh sẽ tin tưởng hơn và có cái nhìn tích cực về một tổ chức thực hiện các tiêu chuẩn và biện pháp kiểm soát bảo mật thông tin được khuyến nghị.
- Vì các chính sách và thủ tục được cung cấp phù hợp với các yêu cầu về an ninh được quốc tế công nhận nên việc hợp tác với các đối tác quốc tế trở nên dễ dàng hơn.
- Việc tuân thủ tiêu chuẩn giúp phát triển các hoạt động thực hành tốt nhất của tổ chức, từ đó tăng năng suất chung.
- Nó cung cấp việc triển khai, quản lý, bảo trì và đánh giá các hệ thống quản lý an ninh thông tin.
- Một tổ chức tuân thủ ISO sẽ có lợi thế trong đàm phán hợp đồng và tham gia vào các cơ hội kinh doanh toàn cầu.
- Bằng cách tuân thủ các biện pháp kiểm soát bảo mật thông tin ISO 27002, bạn có thể được hưởng lợi từ mức phí bảo hiểm thấp hơn từ các nhà cung cấp.
Hướng dẫn triển khai để tuân thủ tiêu chuẩn ISO 27001 được tham chiếu rộng rãi trong họ tiêu chuẩn ISO 27000, bao gồm ISO 27701. Các biện pháp kiểm soát bảo mật thông tin ISO 27002 có thể được so sánh với các tiêu chuẩn tương tự, ví dụ như NIST, SOC2, CIS, TISAX® và nhiều tiêu chuẩn khác.
Giải thích về bản sửa đổi ISO 27002:2022
ISO/IEC 27002 đã được sửa đổi để cập nhật các biện pháp kiểm soát bảo mật thông tin nhằm phản ánh sự phát triển và các hoạt động bảo mật thông tin hiện tại trong nhiều lĩnh vực của doanh nghiệp và chính phủ.
Phiên bản sửa đổi ISO 27002 2022 mới đã được công bố vào ngày 15 tháng 2 năm 2022. Nhiều tiêu chuẩn và khuôn khổ bảo mật có liên quan hoặc sử dụng các biện pháp kiểm soát bảo mật thông tin của ISO 27002:2013 nên phiên bản sửa đổi mới này cũng sẽ tác động đến chúng.
Phạm vi ISO 27002:2013
ISO 27002:2013 là/đã từng là bộ quy tắc thực hành cho hệ thống quản lý bảo mật thông tin (ISMS) và đi sâu vào mức độ chi tiết cao hơn nhiều so với Phụ lục A của ISO 27001, bao gồm các kỹ thuật bảo mật, mục tiêu kiểm soát, yêu cầu bảo mật, kiểm soát truy cập, kiểm soát xử lý rủi ro bảo mật thông tin, kiểm soát thông tin cá nhân và độc quyền cũng như kiểm soát bảo mật thông tin chung.
Mục đích chính của ISO 27002:2013 là cung cấp các kỹ thuật bảo mật thông tin toàn diện và các biện pháp kiểm soát quản lý tài sản cho bất kỳ tổ chức nào cần chương trình quản lý bảo mật thông tin mới hoặc muốn cải thiện chính sách và hoạt động bảo mật thông tin hiện có.
Có gì thay đổi trong ISO 27002:2022?
Thay đổi đáng kể đầu tiên đối với tiêu chuẩn là việc chuyển từ “Bộ quy tắc thực hành” sang định vị nó như một bộ các biện pháp kiểm soát bảo mật thông tin có thể hoạt động độc lập.
Tiêu chuẩn sửa đổi cung cấp một cấu trúc đơn giản hơn có thể áp dụng trong toàn bộ tổ chức. Phiên bản sửa đổi của ISO 27002 hiện cũng có thể được sử dụng để quản lý hồ sơ rủi ro rộng hơn. Điều này bao gồm bảo mật thông tin và các khía cạnh kỹ thuật hơn về bảo mật vật lý, quản lý tài sản, bảo mật mạng và các yếu tố bảo mật nguồn nhân lực đi kèm với bảo vệ quyền riêng tư.
ISO 27002:2022 Phạm vi mở rộng
Sự thay đổi đầu tiên ngay lập tức là tên của tiêu chuẩn.
Trước đây, ISO 27002:2013 có tiêu đề “Công nghệ thông tin – Kỹ thuật bảo mật – Bộ quy tắc thực hành kiểm soát bảo mật thông tin”.
Tiêu chuẩn hiện được gọi là “Bảo mật thông tin, An ninh mạng và bảo vệ quyền riêng tư – Kiểm soát bảo mật thông tin” trong bản sửa đổi năm 2022.
Tại sao nó lại thay đổi?
Khi xem xét bối cảnh tuân thủ hiện đại, các quy định, ví dụ GDPR, POPIA và APPS cũng như những khó khăn liên tục trong hoạt động kinh doanh và rủi ro mạng mà các tổ chức phải đối mặt, thì nhu cầu mở rộng phạm vi kiểm soát bảo mật thông tin của ISO 27002 đã trở nên cấp thiết.
Mục tiêu của bản sửa đổi mới nhất (năm 2022) là cải thiện mục đích của tiêu chuẩn bằng cách cung cấp một bộ tham chiếu cho các mục tiêu kiểm soát bảo mật thông tin và mở rộng phạm vi sử dụng trong quản lý rủi ro bảo mật thông tin, quyền riêng tư và an ninh mạng theo từng bối cảnh cụ thể.
Sự khác biệt giữa ISO 27002:2022 và ISO 27002:2013
Nói chung, số lượng các biện pháp kiểm soát bảo mật trong phiên bản mới của ISO 27002:2022 đã giảm từ 114 biện pháp kiểm soát trong 14 điều khoản trong phiên bản năm 2013 xuống còn 93 biện pháp kiểm soát trong phiên bản năm 2022. Các biện pháp kiểm soát bảo mật này hiện được phân loại thành bốn “chủ đề” kiểm soát.
Giải thích về các điều khiển
“Kiểm soát” được định nghĩa là biện pháp sửa đổi hoặc duy trì rủi ro. Ví dụ, chính sách bảo mật thông tin chỉ có thể duy trì rủi ro, trong khi việc tuân thủ chính sách bảo mật thông tin có thể sửa đổi rủi ro. Hơn nữa, một số biện pháp kiểm soát mô tả cùng một biện pháp chung trong các bối cảnh rủi ro khác nhau.
Tải xuống miễn phí
Nhận hướng dẫn để đạt được thành công ISO 27001
Mọi thứ bạn cần biết về việc đạt được ISO 27001 lần đầu tiên
Những thay đổi cụ thể chi tiết
Các bộ điều khiển hiện được tổ chức thành bốn (4) danh mục hoặc chủ đề bảo mật thay vì mười bốn (14) miền điều khiển. (trước đây là A5. đến A.18)
Bốn loại bao gồm:
- Tổ chức
- Mọi người
- Thuộc vật chất
- Công nghệ
- 93 điều khiển trong phiên bản mới của 27002
- 11 điều khiển mới
- Tổng cộng có 24 biện pháp kiểm soát được hợp nhất từ hai, ba hoặc nhiều biện pháp kiểm soát bảo mật hơn từ phiên bản 2013; và 58 biện pháp kiểm soát từ ISO 27002:2013 đã được xem xét và sửa đổi để phù hợp với môi trường an ninh mạng và an ninh thông tin hiện tại.
- Phụ lục A, bao gồm hướng dẫn về việc áp dụng các thuộc tính.
- Phụ lục B, tương ứng với ISO/IEC 27001 2013. Về cơ bản, đây là hai bảng tham chiếu chéo các số kiểm soát/mã định danh để dễ tham chiếu, nêu chi tiết nội dung mới và nội dung đã được hợp nhất.
Các điều khiển mới
- A.5.7 Thông tin tình báo về mối đe dọa
- A.5.23 Bảo mật thông tin khi sử dụng dịch vụ đám mây
- A.5.30 Sẵn sàng CNTT cho tính liên tục kinh doanh
- A.7.4 Giám sát an ninh vật lý
- A.8.9 Quản lý cấu hình
- A.8.10 Xóa thông tin
- A.8.11 Che giấu dữ liệu
- A.8.12 Phòng ngừa rò rỉ dữ liệu
- A.8.16 Hoạt động giám sát
- A.8.23 Lọc web
- A.8.28 Mã hóa an toàn
Kiểm soát đánh giá và cập nhật hướng dẫn
Phần Hướng dẫn cho từng biện pháp kiểm soát đã được xem xét và cập nhật (khi cần thiết) để phản ánh những phát triển và thông lệ hiện tại.
Ngôn ngữ được sử dụng trong toàn bộ các ghi chú hướng dẫn mạnh mẽ hơn so với phiên bản trước; hiện nay có kỳ vọng cao hơn về các biện pháp kiểm soát bắt buộc và các tổ chức có thể chứng minh sự tuân thủ ở mức độ cao hơn. Ngoài ra, mỗi biện pháp kiểm soát hiện được trang bị một tuyên bố ‘Mục đích’ và giới thiệu một bộ “Thuộc tính” (xem 4.2) cho mỗi biện pháp kiểm soát.
Một doanh nghiệp triển khai các biện pháp kiểm soát có thể chọn biện pháp nào áp dụng cho mình dựa trên rủi ro, cũng như thêm biện pháp của riêng mình vào ISMS tuân thủ ISO 27001 (sử dụng theo ngữ cảnh).
Chủ đề & thuộc tính ISO 27002
Thuộc tính là phương tiện phân loại các điều khiển. Chúng cho phép bạn nhanh chóng căn chỉnh lựa chọn điều khiển của mình với ngôn ngữ và tiêu chuẩn chung của ngành.
Các thuộc tính này xác định các điểm chính:
- Loại điều khiển
- Thuộc tính InfoSec
- Các khái niệm về an ninh mạng
- Khả năng hoạt động
- Miền bảo mật
Việc sử dụng các thuộc tính hỗ trợ công việc mà nhiều công ty đã thực hiện trong đánh giá rủi ro và tuyên bố khả năng áp dụng (SOA) của họ. Ví dụ, các khái niệm An ninh mạng tương tự như các biện pháp kiểm soát của NIST và CIS có thể được phân biệt và các khả năng hoạt động liên quan đến các tiêu chuẩn khác có thể được nhận ra.
Mỗi điều khiển hiện có một bảng với một tập hợp các thuộc tính được đề xuất và Phụ lục A của ISO 27002:2022 cung cấp một tập hợp các liên kết được đề xuất.
Thuộc tính bảo mật thông tin
Bảo mật thông tin liên quan đến việc bảo vệ nhiều khía cạnh khác nhau của thông tin, có thể được biểu diễn bằng mô hình CIA. Các khía cạnh này bao gồm tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin. Hiểu được điều này cho phép xây dựng và triển khai các biện pháp kiểm soát bảo mật thông tin hiệu quả. Hiện tại, chúng được định nghĩa là các thuộc tính trên cơ sở kiểm soát.
Mô hình CIA được giải thích
Bảo mật
Tính bảo mật của thông tin có nghĩa là các biện pháp cần được thực hiện để bảo vệ thông tin khỏi sự truy cập trái phép. Một cách để đạt được điều này là áp dụng các mức truy cập khác nhau cho thông tin dựa trên người cần truy cập và mức độ nhạy cảm của thông tin. Một số phương tiện để quản lý tính bảo mật bao gồm mã hóa tệp và khối lượng, danh sách kiểm soát truy cập và quyền tệp.
Chính trực
Tính toàn vẹn dữ liệu là một phần không thể thiếu của bộ ba bảo mật thông tin, nhằm bảo vệ dữ liệu khỏi mọi sửa đổi hoặc xóa trái phép. Điều này cũng bao gồm việc đảm bảo rằng các thay đổi hoặc xóa trái phép được thực hiện đối với dữ liệu có thể được hoàn tác.
Khả dụng
Tính khả dụng nhằm mục đích đảm bảo dữ liệu có thể truy cập được đối với những người cần chúng khi cần. Một số rủi ro về bảo mật thông tin đối với tính khả dụng bao gồm phá hoại, hỏng phần cứng, lỗi mạng và mất điện. Ba thành phần bảo mật thông tin này hoạt động song song với nhau và bạn không thể tập trung vào một trong số chúng mà bỏ qua những thành phần khác.
Chúng tôi sẽ hướng dẫn bạn từng bước trên con đường này
Công cụ tích hợp của chúng tôi sẽ hướng dẫn bạn từ khâu thiết lập đến khi cấp chứng nhận với tỷ lệ thành công 100%.
Các khái niệm về an ninh mạng
Các thuộc tính khái niệm an ninh mạng được giới thiệu trong bản sửa đổi năm 2022 của tiêu chuẩn. Các giá trị thuộc tính này bao gồm Xác định, Bảo vệ, Phát hiện, Phản hồi và Phục hồi. Điều này liên kết ISO 27002 với ISO/IEC TS 27110, Khung an ninh mạng NIST (CSF) và các tiêu chuẩn khác .
- Xác định – Phát triển sự hiểu biết của tổ chức nhằm quản lý rủi ro an ninh mạng đối với hệ thống, tài sản, dữ liệu và năng lực .
- Bảo vệ – Phát triển và triển khai các biện pháp bảo vệ để cung cấp các dịch vụ cơ sở hạ tầng quan trọng.
- Phát hiện – Phát triển và triển khai các hoạt động phù hợp để xác định sự kiện an ninh mạng xảy ra.
- Phản ứng – Tạo ra và đưa vào thực hiện các hoạt động phù hợp để ứng phó với các sự kiện an ninh mạng được phát hiện.
- Phục hồi – Phát triển và triển khai các hoạt động phù hợp để duy trì các kế hoạch phục hồi và khôi phục mọi khả năng hoặc dịch vụ bị suy giảm do sự cố an ninh mạng.
Khả năng hoạt động
Khả năng hoạt động là một thuộc tính để xem xét các biện pháp kiểm soát theo quan điểm của người thực hành về khả năng bảo mật thông tin.
Bao gồm:
quản lý tài sản quản trị, bảo vệ thông tin, bảo mật nguồn nhân lực, bảo mật vật lý, bảo mật hệ thống và mạng, bảo mật ứng dụng, cấu hình an toàn, quản lý danh tính và quyền truy cập, quản lý mối đe dọa và lỗ hổng, tính liên tục, bảo mật quan hệ với nhà cung cấp , pháp lý và tuân thủ, quản lý sự kiện bảo mật thông tin và đảm bảo bảo mật thông tin.Miền bảo mật
Miền bảo mật là thuộc tính để xem các biện pháp kiểm soát theo góc nhìn của bốn miền bảo mật thông tin: “Quản trị và Hệ sinh thái” bao gồm “Quản trị và Quản lý Rủi ro Bảo mật Hệ thống Thông tin” và “Quản lý an ninh mạng Hệ sinh thái” (bao gồm các bên liên quan nội bộ và bên ngoài);
- Một biện pháp kiểm soát có thể có nhiều ứng dụng khác nhau (ví dụ: sao lưu giúp bảo vệ chống lại phần mềm độc hại, tấn công, lỗi, tai nạn, sự cố máy móc, hỏa hoạn, v.v. và có thể bao gồm các phó giám đốc và người thay thế có nhiều kỹ năng cho những người quan trọng và các nhà cung cấp/nguồn dịch vụ thông tin cần thiết thay thế).
- Thông thường, cần có một số biện pháp kiểm soát trong bất kỳ ứng dụng hoặc tình huống nào (ví dụ: có thể giảm thiểu phần mềm độc hại bằng cách sao lưu, nhận thức , phần mềm diệt vi-rút, kiểm soát truy cập mạng cùng với IDS/IPS, v.v. trong khi tránh lây nhiễm là một cách tiếp cận hiệu quả nếu được tăng cường bằng các chính sách và quy trình).
- Các biện pháp kiểm soát mà chúng ta thường sử dụng (ví dụ: sao lưu) không phải là tất cả hoặc không có gì, bao gồm một số yếu tố nhỏ hơn (ví dụ: sao lưu liên quan đến các chiến lược, chính sách và quy trình, phần mềm, thử nghiệm phần cứng, phục hồi sự cố, bảo vệ vật lý, v.v.).
Phụ lục A được giải thích
Bảng Phụ lục A trình bày cách sử dụng các thuộc tính, cung cấp các ví dụ về cách gán thuộc tính cho các điều khiển, do đó tạo ra các chế độ xem khác nhau (theo 4.2).
Cần lưu ý rằng việc lọc hoặc sắp xếp ma trận có thể thực hiện được bằng cách sử dụng một công cụ như bảng tính đơn giản hoặc cơ sở dữ liệu, có thể bao gồm nhiều thông tin hơn như văn bản kiểm soát, hướng dẫn, hướng dẫn triển khai cụ thể của tổ chức hoặc các thuộc tính. ISOA.vn tự động tạo điều kiện cho các liên kết này, giúp toàn bộ quá trình trở nên dễ dàng.
Phụ lục B được giải thích
Các bảng Phụ lục B.1 và B.2 cung cấp các điểm tham chiếu dễ điều hướng, cung cấp khả năng tương thích ngược với ISO/IEC 27002:2013. Điều này giúp các tổ chức sử dụng tiêu chuẩn quản lý cũ cần chuyển sang ISO 27002:2020 dễ dàng chuyển đổi sang ISO 27002:2020 hoặc dễ tham chiếu giữa các tiêu chuẩn sử dụng ISO 27002, ví dụ ISO 27001, ISO 27701 tương tự. Một lần nữa, ISOA.vn tự động ánh xạ các mã định danh kiểm soát cũ sang mới trong nền tảng của chúng tôi, giúp giảm bớt khó khăn trong quá trình chuyển đổi và triển khai.
Các Kiểm Soát Mới
| Mã định danh kiểm soát ISO/IEC 27002:2022 | Mã định danh kiểm soát ISO/IEC 27002:2013 | Tên điều khiển |
|---|---|---|
| 5.7 | Mới | Tình báo đe dọa |
| 5.23 | Mới | Bảo mật thông tin khi sử dụng dịch vụ đám mây |
| 5.30 | Mới | Sự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh |
| 7.4 | Mới | Giám sát an ninh vật lý |
| 8.9 | Mới | Quản lý cấu hình |
| 8.10 | Mới | Xóa thông tin |
| 8.11 | Mới | Che giấu dữ liệu |
| 8.12 | Mới | Phòng chống rò rỉ dữ liệu |
| 8.16 | Mới | Hoạt động giám sát |
| 8.23 | Mới | Lọc web |
| 8.28 | Mới | Mã hóa an toàn |
Kiểm soát tổ chức
Kiểm soát con người
| Mã định danh kiểm soát ISO/IEC 27002:2022 | Mã định danh kiểm soát ISO/IEC 27002:2013 | Tên điều khiển |
|---|---|---|
| 6.1 | 07.1.1 | Kiểm tra |
| 6.2 | 07.1.2 | Điều khoản và điều kiện tuyển dụng |
| 6.3 | 07.2.2 | Nhận thức, giáo dục và đào tạo về an ninh thông tin |
| 6.4 | 07.2.3 | Quy trình kỷ luật |
| 6.5 | 07.3.1 | Trách nhiệm sau khi chấm dứt hoặc thay đổi việc làm |
| 6.6 | 13.2.4 | Thỏa thuận bảo mật hoặc không tiết lộ |
| 6.7 | 06.2.2 | Làm việc từ xa |
| 6.8 | 16.1.2, 16.1.3 | Báo cáo sự kiện bảo mật thông tin |
Kiểm soát vật lý
| Mã định danh kiểm soát ISO/IEC 27002:2022 | Mã định danh kiểm soát ISO/IEC 27002:2013 | Tên điều khiển |
|---|---|---|
| 7.1 | 11.1.1 | Chu vi an ninh vật lý |
| 7.2 | 11.1.2, 11.1.6 | Nhập cảnh vật lý |
| 7.3 | 11.1.3 | Bảo vệ văn phòng, phòng và cơ sở vật chất |
| 7.4 | Mới | Giám sát an ninh vật lý |
| 7.5 | 11.1.4 | Bảo vệ chống lại các mối đe dọa về vật lý và môi trường |
| 7.6 | 11.1.5 | Làm việc ở những khu vực an toàn |
| 7.7 | 11.2.9 | Dọn dẹp bàn làm việc và màn hình sạch sẽ |
| 7.8 | 11.2.1 | Vị trí và bảo vệ thiết bị |
| 7.9 | 11.2.6 | Bảo vệ tài sản ngoài cơ sở |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Phương tiện lưu trữ |
| 7.11 | 11.2.2 | Tiện ích hỗ trợ |
| 7.12 | 11.2.3 | Bảo mật cắp |
| 7.13 | 11.2.4 | Bảo trì thiết bị |
| 7.14 | 11.2.7 | Xử lý an toàn hoặc tái sử dụng thiết bị |
Kiểm soát công nghệ
ISO 27001 so với ISO 27002
Các tổ chức muốn tìm hiểu hệ thống quản lý bảo mật thông tin có thể đã biết đến cả tiêu chuẩn ISO 27001 và 27002.
ISO 27001 là tiêu chuẩn chính trong họ tiêu chuẩn 27000. Các công ty có thể được chứng nhận theo ISO 27001, tuy nhiên, họ không thể chứng nhận theo ISO 27002:2022 vì đây là tiêu chuẩn/quy tắc thực hành hỗ trợ.
Ví dụ, Phụ lục A của ISO 27001 cung cấp danh sách các biện pháp kiểm soát bảo mật nhưng không cho bạn biết cách triển khai chúng mà tham chiếu đến ISO 27002.
Ngược lại, ISO 27002 cung cấp hướng dẫn về việc triển khai các biện pháp kiểm soát được sử dụng trong ISO 27001. Điều tuyệt vời về ISO 27002 là các biện pháp kiểm soát này không bắt buộc; các công ty có thể quyết định có muốn sử dụng chúng hay không, tùy thuộc vào việc chúng có thể áp dụng ngay từ đầu hay không.
Nó ảnh hưởng tới bạn như thế nào?
Sẽ có một khoảng thời gian trước khi các tổ chức bắt buộc phải áp dụng phiên bản sửa đổi của ISO 27001 cho các cuộc kiểm toán chứng nhận của họ (ít nhất một năm sau khi công bố và thường kết hợp với chu kỳ chứng nhận lại tiếp theo) để họ có đủ thời gian giải quyết những thay đổi.
Cuối cùng, những thay đổi này sẽ không ảnh hưởng đáng kể đến hệ thống quản lý bảo mật thông tin (ISMS) của tổ chức và khả năng duy trì sự tuân thủ.
Tuy nhiên, điều này có thể tác động đến khuôn khổ kiểm soát chung của tổ chức, các biện pháp kiểm soát cụ thể và cách tổ chức giám sát việc tuân thủ đang diễn ra.
Khi chuyển đổi sang tiêu chuẩn mới, các tổ chức sẽ cần đánh giá lại cách thức khuôn khổ, biện pháp kiểm soát và chính sách của mình phù hợp với cấu trúc mới và các biện pháp kiểm soát ISO 27001/27002 đã cập nhật.
Bản sửa đổi ISO 27002 2022 sẽ ảnh hưởng đến tổ chức như sau:
- Nếu bạn đã có chứng nhận ISO 27001 2013
- Bạn đang ở giữa chứng chỉ
- Nếu bạn sắp tái chứng nhận
- Nếu bạn đã có chứng nhận ISO 27001:2013
Nếu tổ chức của bạn đã được chứng nhận, bạn không cần phải làm gì ngay bây giờ; tiêu chuẩn ISO 27002 2022 đã sửa đổi sẽ được áp dụng khi gia hạn/tái chứng nhận. Do đó, tất cả các tổ chức được chứng nhận sẽ phải chuẩn bị cho tiêu chuẩn đã sửa đổi khi tái chứng nhận hoặc nếu áp dụng các bộ tiêu chuẩn hoặc kiểm soát mới, ví dụ như ISO 27701 hoặc tương tự.
Có được sự khởi đầu sớm hơn 81%
Chúng tôi đã làm phần việc khó khăn thay bạn, giúp bạn có 81% thời gian bắt đầu ngay từ khi bạn đăng nhập.
Tất cả những gì bạn phải làm là điền vào chỗ trống.
Nó ảnh hưởng đến việc (chứng nhận lại) của bạn như thế nào?
Giả sử một tổ chức hiện đang trong quá trình chứng nhận hoặc tái chứng nhận ISO 27001 2013. Trong trường hợp đó, họ sẽ được yêu cầu xem xét lại Đánh giá rủi ro của mình và xác định các biện pháp kiểm soát mới có thể áp dụng và sửa đổi ‘Tuyên bố về khả năng áp dụng’ của mình bằng cách so sánh các biện pháp kiểm soát Phụ lục A đã sửa đổi.
Vì có các biện pháp kiểm soát mới, biện pháp kiểm soát được hợp nhất và hướng dẫn sửa đổi hoặc bổ sung cho các biện pháp kiểm soát khác nên các tổ chức cần xem xét tiêu chuẩn ISO 27002:2022 đã sửa đổi để biết bất kỳ thay đổi nào trong quá trình triển khai.
Mặc dù phiên bản ISO 27001 sửa đổi năm 2022 vẫn chưa được công bố, Phụ lục B của ISO 27002 sẽ kiểm soát các phiên bản 2013 và 2022 của tiêu chuẩn.
Tuyên bố về khả năng áp dụng (SOA) của bạn vẫn phải tham chiếu đến Phụ lục A của ISO 27001, trong khi các biện pháp kiểm soát phải tham chiếu đến tiêu chuẩn ISO 27002:2022 đã sửa đổi, đây sẽ là một bộ biện pháp kiểm soát thay thế.
Bạn có cần sửa đổi giấy tờ của mình không?
Việc tuân thủ những thay đổi này phải bao gồm:
- Cập nhật quy trình xử lý rủi ro của bạn với các biện pháp kiểm soát được cập nhật
- Bản cập nhật cho Tuyên bố về khả năng áp dụng của bạn
- Cập nhật các chính sách và quy trình hiện tại của bạn với hướng dẫn cho từng biện pháp kiểm soát khi cần thiết
Nó ảnh hưởng đến ISO 27001:2013 của bạn như thế nào
Cho đến khi tiêu chuẩn ISO 27001 2022 mới được công bố, các chương trình chứng nhận ISO hiện tại sẽ tiếp tục, mặc dù việc lập bản đồ theo các biện pháp kiểm soát ISO 27002 2022 mới sẽ được yêu cầu thông qua Phụ lục B1.1 & B1.2, tuy nhiên, các kiểm toán viên có kinh nghiệm về ISO sẽ nhận ra cấu trúc của các biện pháp kiểm soát, do đó sẽ có nhiều việc phải làm hơn. Việc áp dụng ISO 27002:2022 có thể giúp cho quá trình kiểm toán diễn ra suôn sẻ hơn.
Những thay đổi sắp tới đối với ISO 27001
Hầu hết các chuyên gia bảo mật thông tin đều cho rằng những thay đổi trong ISO 27001 sẽ là những thay đổi nhỏ về mặt văn bản với bản cập nhật nhỏ của Phụ lục A để phù hợp với bản sửa đổi ISO 27002 năm 2022.
Phần chính của ISO 27001, bao gồm các điều khoản 4-10, sẽ không thay đổi. Các điều khoản này bao gồm phạm vi và bối cảnh, chính sách bảo mật thông tin, quản lý rủi ro cho các nguồn lực như đào tạo & nhận thức về truyền thông và kiểm soát tài liệu để giám sát và đo lường các hoạt động vận hành của bộ phận kiểm toán nội bộ đến các hành động khắc phục.
Chỉ những biện pháp kiểm soát được liệt kê trong Phụ lục A của ISO 27001 và ISO 27002 mới được cập nhật.
Những thay đổi trong Phụ lục A của ISO 27001:2022 sẽ hoàn toàn phù hợp với những thay đổi trong ISO 27002:2022
Có tiêu chuẩn 27000 nào khác bị ảnh hưởng không?
Các tiêu chuẩn và khuôn khổ hệ thống quản lý liên quan và dựa trên phiên bản ISO/IEC 27002:2013 sẽ có sự thay đổi.
Những thay đổi này sẽ có tác động bổ sung khi chúng được áp dụng theo các tiêu chuẩn liên quan như bảo mật đám mây ISO 27017, quyền riêng tư ISO 27701 và nhiều tiêu chuẩn quốc gia khác đã áp dụng hoặc kết hợp các yêu cầu và hướng dẫn hiện hành.
Điều đó sẽ diễn ra khi các chu kỳ đánh giá và cập nhật cho các tiêu chuẩn đó diễn ra trong vài năm tới và có thể sẽ có tác động hơn nữa đối với các tiêu chuẩn và khuôn khổ địa phương.
Thể hiện thực hành tốt cho ISO 27002
Vật lý và Môi trường
Các khía cạnh vật lý và môi trường của một tổ chức đóng vai trò quan trọng trong việc xác định bảo mật thông tin của tổ chức đó. Các biện pháp kiểm soát và quy trình phù hợp sẽ đảm bảo an toàn vật lý cho thông tin của tổ chức bằng cách hạn chế quyền truy cập của các bên không được phép và bảo vệ họ khỏi các thiệt hại như hỏa hoạn và các thảm họa khác.
Một số kỹ thuật bảo mật thông tin bao gồm:
- Phải thực hiện các biện pháp để giám sát và hạn chế quyền truy cập vật lý vào cơ sở của tổ chức và cơ sở hạ tầng hỗ trợ, chẳng hạn như điều hòa không khí và nguồn điện. Điều này sẽ ngăn ngừa và đảm bảo phát hiện và khắc phục việc truy cập trái phép, phá hoại, phá hoại hình sự và các hành vi can thiệp khác có thể xảy ra.
- Các khu vực nhạy cảm phải được phép tiếp cận một phần và danh sách những cá nhân được ủy quyền phải được Cục An ninh Vật lý hoặc Ban Quản lý xem xét và phê duyệt định kỳ (ít nhất một lần một năm).
- Việc quay phim, chụp ảnh hoặc bất kỳ hình thức ghi hình kỹ thuật số nào khác đều bị cấm ở những khu vực hạn chế, trừ khi được cơ quan có thẩm quyền cho phép.
- Giám sát phải được thiết lập xung quanh cơ sở tại những nơi như lối vào, lối ra và khu vực hạn chế. Những bản ghi này phải được giám sát 24/24 bởi nhân viên được đào tạo và được lưu trữ ít nhất một tháng trong trường hợp cần xem xét lại.
- Nên cung cấp quyền truy cập hạn chế dưới dạng thẻ ra vào để cho phép các nhà cung cấp, thực tập sinh, bên thứ ba, cố vấn và những nhân sự khác được xác thực để ra vào khu vực này trong thời gian có hạn.
- Khách đến thăm tổ chức phải luôn có nhân viên đi kèm, ngoại trừ khi sử dụng các khu vực mở như sảnh lễ tân và nhà vệ sinh.
Nguồn nhân lực
Các biện pháp này nhằm mục đích đảm bảo thông tin của tổ chức được an toàn đối với nhân viên trong tổ chức.
Một số tiêu chuẩn bảo mật thông tin nguồn nhân lực bao gồm:
- Mỗi nhân viên phải được thẩm tra trước khi tuyển dụng để xác minh danh tính, các tài liệu tham khảo chuyên môn và hành vi chung của họ. Những điều này đặc biệt phải nghiêm ngặt nếu họ đảm nhận các vị trí an ninh thông tin đáng tin cậy trong tổ chức.
- Tất cả nhân viên đều phải đồng ý với thỏa thuận ràng buộc về không tiết lộ hoặc bảo mật. Điều này sẽ quyết định mức độ tùy ý mà họ xử lý thông tin cá nhân và thông tin độc quyền mà họ tiếp xúc trong quá trình làm việc.
- Phòng Nhân sự phải thông báo cho phòng Tài chính, Phòng Hành chính và các phòng ban liên quan khác khi một nhân viên được tuyển dụng, đình chỉ công tác, sa thải, chuyển công tác, nghỉ phép dài hạn và bất kỳ trường hợp nào khác có thể yêu cầu thay đổi quyền của họ.
- Sau khi phòng nhân sự thông báo cho các phòng ban khác về sự thay đổi trạng thái của nhân viên, cần phải điều chỉnh các quyền truy cập vật lý và logic có liên quan.
- Người quản lý nhân viên phải theo dõi để đảm bảo tất cả chìa khóa, thẻ ra vào, thiết bị CNTT, thiết bị lưu trữ và mọi tài sản khác của công ty được trả lại trước khi chấm dứt hợp đồng lao động.
Kiểm soát truy cập
Kiểm soát truy cập bao gồm mật khẩu, thẻ chìa khóa hoặc các hạn chế bảo mật khác được thiết kế để hạn chế khả năng truy cập vào thông tin và hệ thống của công ty.
Một số trong số đó bao gồm:
- Việc truy cập vào mạng công ty, hệ thống CNTT, thông tin và ứng dụng phải được kiểm soát dựa trên vai trò của người dùng hoặc theo quy định của chủ sở hữu tài sản thông tin có liên quan hoặc quy trình của tổ chức.
- Phải thiết lập các hạn chế để cảnh báo hệ thống và/hoặc khóa tài khoản người dùng sau một số lần đăng nhập không thành công được xác định trước. Những hạn chế này cần được theo dõi để loại bỏ nguy cơ cố gắng vi phạm.
- Tất cả máy trạm/máy tính của công ty phải có màn hình bảo vệ bằng mật khẩu với thời gian chờ không hoạt động dưới 10 phút.
- Quyền truy cập đặc quyền dành cho những người được giao nhiệm vụ quản trị, cấu hình, quản lý, bảo mật và giám sát hệ thống CNTT cũng phải được cơ quan An ninh thông tin có liên quan xem xét định kỳ.
- Mật khẩu và mật khẩu phải phức tạp và dài với sự kết hợp của số, chữ cái và ký tự đặc biệt để không thể đoán được. Không nên lưu trữ chúng ở bất kỳ định dạng nào có thể viết hoặc đọc được.
- Tổ chức phải vô hiệu hóa mọi quyền ghi vào phương tiện di động như ổ ghi CD/DVD trên tất cả máy tính của công ty trừ khi được phép vì lý do kinh doanh cụ thể.
Các bước tiếp theo
Về các bước tiếp theo, các hoạt động chính cần thực hiện bao gồm:
- Mua tiêu chuẩn đã cập nhật.
- Xem lại tiêu chuẩn ISO 27002 mới và những thay đổi về kiểm soát.
- Tiến hành đánh giá/phân tích rủi ro.
- Để giảm thiểu mọi rủi ro đã xác định, hãy chọn các biện pháp kiểm soát phù hợp nhất và cập nhật các chính sách, tiêu chuẩn ISMS, v.v. của bạn cho phù hợp.
- Cập nhật Tuyên bố về khả năng áp dụng (SoA) của bạn.
Điều này sẽ giúp bạn đi trước một bước trong việc tái chứng nhận hoặc áp dụng các tiêu chuẩn/khung ISO 27000 bổ sung, ví dụ: ISO 27018, 27017, 27032, dự kiến sẽ được cập nhật ngay sau khi sửa đổi ISO 27001:2022.
Có được sự khởi đầu sớm hơn 81%
Chúng tôi đã làm phần việc khó khăn thay bạn, giúp bạn có 81% thời gian bắt đầu ngay từ khi bạn đăng nhập.
Tất cả những gì bạn phải làm là điền vào chỗ trống.
Câu hỏi thường gặp
Ai có thể triển khai ISO 27002
ISO/IEC 27002:2022 được thiết kế cho bất kỳ ai khởi tạo, triển khai hoặc duy trì hệ thống ISMS. Bằng cách áp dụng phiên bản cập nhật này, bạn có thể thiết lập các biện pháp kiểm soát bảo mật mạnh mẽ, phù hợp và phù hợp với môi trường của tổ chức bạn.
Các tổ chức ở mọi quy mô và mức độ trưởng thành về bảo mật đều có thể hưởng lợi từ việc tuân thủ bộ quy tắc thực hành ISO 27002. Tại ISOA.vn, chúng tôi ở đây để giúp bạn triển khai thành công ISO 27002:2022.
Cách bắt đầu với ISO 27002
Bắt đầu hành trình ISO 27002 rất đơn giản. Tại ISOA.vn, chúng tôi đề xuất tám bước sau để triển khai suôn sẻ:
- Hiểu về tiêu chuẩn ISO 27002 : ISO 27002 là tiêu chuẩn quốc tế cung cấp hướng dẫn lựa chọn và triển khai các biện pháp và biện pháp kiểm soát bảo mật thông tin. Áp dụng cho các tổ chức thuộc mọi ngành và quy mô, tiêu chuẩn này giúp phát triển các hướng dẫn quản lý bảo mật thông tin phù hợp với bối cảnh cụ thể của bạn.
- Nghiên cứu các loại kiểm soát : ISO 27002:2022 trình bày bốn loại kiểm soát bảo mật thông tin: tổ chức, con người, vật lý và công nghệ.
- Nhận tiêu chuẩn ISO 27002:2022 : Mua tiêu chuẩn ISO 27002:2022 đầy đủ từ trang web của ISO.
- Hiểu mối quan hệ giữa ISO 27001 và ISO 27002 : ISO 27001 nêu ra các mục tiêu hoặc mục đích cho việc quản lý bảo mật thông tin, trong khi ISO 27002 cung cấp hướng dẫn chi tiết về việc triển khai các biện pháp kiểm soát cần thiết để đáp ứng các mục tiêu đó.
- Được đào tạo và cấp chứng chỉ : Đăng ký khóa đào tạo ISO/IEC 27002 để có được kiến thức cần thiết cho việc lựa chọn, triển khai và quản lý các biện pháp kiểm soát được quy định trong tiêu chuẩn.
- Triển khai các biện pháp kiểm soát : Sử dụng các hướng dẫn được cung cấp trong ISO 27002:2022 để lựa chọn và triển khai các biện pháp kiểm soát phù hợp với bối cảnh cụ thể của tổ chức bạn.
- Luôn cập nhật về các bản sửa đổi và cập nhật : ISO 27002 trải qua các bản sửa đổi để tính đến những thay đổi về công nghệ, yêu cầu pháp lý và các thông lệ tốt nhất. Đảm bảo bạn luôn cập nhật về các phiên bản mới và kết hợp mọi thay đổi có liên quan vào hệ thống quản lý bảo mật thông tin của tổ chức bạn.
- Giám sát và cải tiến : Liên tục giám sát hiệu quả của hệ thống quản lý bảo mật thông tin và thực hiện cải tiến khi cần thiết.
Khám phá cách ISOA.vn có thể hỗ trợ bạn bắt đầu triển khai ISO 27002:2022.
Chứng nhận ISO 27002 có khả thi không
Không thể chứng nhận ISO 27002 vì đây không phải là tiêu chuẩn quản lý và không xác định cách vận hành hệ thống.
Tuy nhiên, ISO 27002:2022 đóng vai trò quan trọng trong việc giúp các tổ chức như của bạn đáp ứng các yêu cầu chứng nhận ISO 27001:2022.
Tại ISOA.vn, chúng tôi cung cấp hướng dẫn triển khai, quản lý và liên tục cải thiện hệ thống quản lý bảo mật thông tin của bạn.
Có bất kỳ yêu cầu ISO 27002 nào không?
Tiêu chuẩn ISO 27002:2022 không có bất kỳ yêu cầu rõ ràng nào đối với các tổ chức.
Tài liệu này chỉ đưa ra những gợi ý mà các tổ chức nên thực hiện theo bản chất rủi ro bảo mật thông tin cụ thể của mình.
Với ISOA.vn, bạn có thể tìm hiểu những rủi ro bảo mật mà tổ chức của bạn cần lưu ý.
Tiêu chuẩn tương đương quốc gia của ISO 27002 là gì?
Có nhiều tiêu chuẩn khác nhau ở nhiều quốc gia tương đương với ISO 27002. Bất chấp sự chậm trễ trong việc xuất bản và dịch thuật tại địa phương khiến các tiêu chuẩn tương đương này ra đời nhiều tháng sau khi tiêu chuẩn ISO/IEC chính được sửa đổi và phát hành, các cơ quan quốc gia vẫn đảm bảo rằng nội dung được dịch chính xác để phản ánh toàn bộ ISO 27002.
Dưới đây là một số tiêu chuẩn quốc gia tương đương với ISO 27002 ở một số quốc gia khác nhau:
- Argentina – IRAM-ISO-IEC 27002:2008
- Úc và New Zealand – AS/NZS ISO/IEC 27002:2006
- Brazil – ISO/IEC NBR 17799/2007 – 27002
- Indonesia – SNI ISO/IEC 27002:2014
- Chile – NCH2777 ISO/IEC 17799/2000
- Trung Quốc – GB/T 22081-2008
- Cộng hòa Séc – ČSN ISO/IEC 27002:2006
- Croatia – HRN ISO/IEC 27002:2013
- Đan Mạch – DS/ISO27002:2014 (DK)
- Estonia – EVS-ISO/IEC 17799:2003, phiên bản 2005 trong bản dịch
- Đức – DIN ISO/IEC 27002:2008
- Nhật Bản – JIS Q 27002
- Lithuania – LST ISO/IEC 27002:2009 (đã áp dụng ISO/IEC 27002:2005, ISO/IEC 17799:2005)
- Mexico – NMX-I-27002-NYCE-2015
- Hà Lan – NEN-ISO/IEC 27002:2013
- Peru – NTP-ISO/IEC 17799:2007
- Ba Lan – PN-ISO/IEC 17799:2007, dựa trên ISO/IEC 17799:2005
- Nga – ГОСТ Р ИСО/МЭК 27002-2012, dựa trên ISO/IEC 27002:2005
- Slovakia – STN ISO/IEC 27002:2006
- Nam Phi – SANS 27002:2014/ISO/IEC 27002:2013[3]
- Tây Ban Nha – UNE 71501
- Thụy Điển – SS-ISO/IEC 27002:2014
- Thổ Nhĩ Kỳ – TS ISO/IEC 27002
- Thái Lan – UNIT/ISO
- Ukraine – СОУ Н НБУ 65,1 СУІБ 2.0:2010
- Vương quốc Anh – BS ISO/IEC 27002:2005
- Uruguay – ĐƠN VỊ/ISO 17799:2005
