1. Phạm vi
Tiêu chuẩn ISO 27001 bao gồm nhiều khía cạnh khác nhau của quản lý an ninh thông tin, bao gồm việc thiết lập, triển khai, duy trì và cải tiến liên tục ISMS trong bối cảnh của một tổ chức. Tiêu chuẩn này áp dụng cho các tổ chức thuộc mọi loại hình, quy mô và bản chất.
Các yêu cầu nêu trong tiêu chuẩn ISO 27001 được thiết kế để đảm bảo các tổ chức có các biện pháp phù hợp để bảo vệ tài sản thông tin của mình. Các yêu cầu này bao gồm nhiều lĩnh vực.
2. Tài liệu tham khảo chuẩn mực
Bản thân ISO 27001 dựa trên phương pháp quản lý rủi ro và cung cấp khuôn khổ cho các tổ chức để thiết lập, triển khai, duy trì và liên tục cải tiến hệ thống quản lý bảo mật thông tin (ISMS). Các tham chiếu chuẩn mực trong ISO 27001 bao gồm một số tiêu chuẩn ISO/IEC khác cung cấp hướng dẫn về nhiều khía cạnh khác nhau của quản lý bảo mật thông tin. Bao gồm:
- ISO/IEC 27000: Tiêu chuẩn này là tài liệu tham khảo chuẩn mực trong ISO 27001 và đóng vai trò là tổng quan và từ vựng cho các hệ thống quản lý an ninh thông tin. Tiêu chuẩn này định nghĩa các thuật ngữ và khái niệm chính được sử dụng trong toàn bộ họ tài liệu ISO 27000 và phác thảo phạm vi và mục tiêu của từng thành viên trong họ.
- ISO/IEC 27002: Còn được gọi là Bộ quy tắc thực hành về quản lý an ninh thông tin, tiêu chuẩn này cung cấp hướng dẫn về việc lựa chọn và triển khai các biện pháp kiểm soát an ninh. Tiêu chuẩn này cung cấp một bộ toàn diện các biện pháp thực hành tốt nhất cho các tổ chức để bảo vệ tài sản thông tin của họ và quản lý rủi ro an ninh hiệu quả.
- ISO/IEC 27005: Tiêu chuẩn này tập trung vào quản lý rủi ro và cung cấp hướng dẫn về quy trình đánh giá rủi ro và xử lý rủi ro. Tiêu chuẩn này giúp các tổ chức xác định và đánh giá rủi ro bảo mật thông tin, đồng thời xây dựng các kế hoạch xử lý rủi ro phù hợp để giảm thiểu những rủi ro đó.
- ISO/IEC 27006: Tiêu chuẩn này cung cấp hướng dẫn về quy trình chứng nhận cho hệ thống quản lý an ninh thông tin. Tiêu chuẩn này nêu rõ các yêu cầu đối với các tổ chức chứng nhận và kiểm toán viên để đánh giá và chứng nhận sự tuân thủ của tổ chức với ISO 27001.
- ISO/IEC 27007: Các hướng dẫn này được thiết kế riêng để kiểm toán hệ thống quản lý bảo mật thông tin. Chúng cung cấp hướng dẫn về quy trình kiểm toán, bao gồm lập kế hoạch, tiến hành và báo cáo về các cuộc kiểm toán, để đảm bảo ISMS của tổ chức được triển khai và duy trì hiệu quả.
- ISO/IEC 27008: Các hướng dẫn này tập trung vào việc quản lý bảo mật thông tin. Chúng cung cấp hướng dẫn về việc thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý bảo mật thông tin trong một tổ chức.
3. Thuật ngữ và định nghĩa
Phần thuật ngữ và định nghĩa có mục đích cung cấp ngôn ngữ và sự hiểu biết chung cho tất cả các bên liên quan đến việc thực hiện tiêu chuẩn.
Tải xuống miễn phí
Nhận hướng dẫn để đạt được thành công ISO 27001
Mọi thứ bạn cần biết về việc đạt được ISO 27001 lần đầu tiên
4. Bối cảnh của tổ chức
4.1 – Hiểu về Tổ chức và Bối cảnh của nó
Yêu cầu 4.1 của ISO 27001 nhằm đảm bảo các tổ chức có hiểu biết toàn diện về môi trường bên trong và bên ngoài của mình để quản lý hiệu quả các rủi ro bảo mật thông tin.
Điều này bao gồm việc xác định và đánh giá các yếu tố có thể tác động đến khả năng đạt được mục tiêu bảo mật thông tin của tổ chức.
Bằng cách hiểu bối cảnh bên trong và bên ngoài, các tổ chức có thể xác định và đánh giá những rủi ro liên quan đến hệ thống quản lý bảo mật thông tin của họ.
Điều này cho phép họ phát triển một hệ thống hiệu quả và phù hợp giúp giảm thiểu các rủi ro đã xác định và đảm bảo tuân thủ luật pháp và quy định hiện hành.
4.2 – Hiểu được nhu cầu và kỳ vọng của các bên quan tâm
Yêu cầu 4.2 của ISO 27001 dành cho các tổ chức để xác định và hiểu được nhu cầu và kỳ vọng của các bên liên quan. Bao gồm khách hàng, nhà cung cấp, nhân viên, cổ đông và các bên quan tâm khác.
Mục đích là đảm bảo hệ thống quản lý bảo mật thông tin (ISMS) của tổ chức đáp ứng được các yêu cầu của các bên này.
Để đáp ứng yêu cầu này, trước tiên các tổ chức phải xác định các bên liên quan và hiểu được nhu cầu cũng như mong đợi cụ thể của họ.
Điều này bao gồm việc xem xét các yêu cầu pháp lý và quy định, nghĩa vụ hợp đồng và các vấn đề bên ngoài và nội bộ khác có liên quan đến mục đích của tổ chức và ảnh hưởng đến khả năng đạt được kết quả mong muốn của ISMS.
4.3 – Xác định phạm vi của Hệ thống quản lý an ninh thông tin
Yêu cầu 4.3 của ISO 27001 xác định ranh giới và phạm vi của Hệ thống quản lý bảo mật thông tin (ISMS) của tổ chức.
Điều này bao gồm việc xác định và ghi lại các tài sản thông tin, quy trình, thủ tục, con người, hệ thống và mạng lưới nằm trong phạm vi của ISMS.
Phạm vi phải bao gồm tất cả các tài sản thông tin của tổ chức, cả vật lý và kỹ thuật số, cũng như các quy trình và thủ tục được sử dụng để quản lý chúng.
4.4 – Hệ thống quản lý an ninh thông tin
Yêu cầu 4.4 của ISO 27001 nêu ra các yếu tố cần thiết để thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý bảo mật thông tin (ISMS).
ISMS được thiết kế để đảm bảo tính bảo mật của thông tin và dữ liệu, cũng như bảo vệ quyền và tự do của cá nhân.
ISO 27001 cung cấp một bộ yêu cầu toàn diện để thiết lập và duy trì một ISMS hiệu quả nhằm bảo vệ tính bảo mật, toàn vẹn và tính khả dụng của thông tin.
5. Lãnh đạo
5.1 – Lãnh đạo và cam kết
Yêu cầu 5.1 của ISO 27001 giải thích rằng ban quản lý cấp cao của tổ chức phải chứng minh được khả năng lãnh đạo và cam kết đối với hệ thống quản lý bảo mật thông tin (ISMS). Điều này liên quan đến một số trách nhiệm chính.
Ban quản lý phải giám sát và đánh giá ISMS để đảm bảo tính hiệu quả của nó. Điều này bao gồm việc tiến hành kiểm toán nội bộ và thực hiện các hành động khắc phục cần thiết để giải quyết bất kỳ điểm yếu hoặc sự không phù hợp nào được xác định.
5.2 – Chính sách bảo mật thông tin
Yêu cầu 5.2 của ISO 27001 yêu cầu các tổ chức phải có chính sách bảo mật thông tin được ban quản lý cấp cao phê duyệt.
Chính sách này đóng vai trò là hướng dẫn để quản lý bảo mật thông tin của tổ chức và cần xem xét nhiều yếu tố như chiến lược kinh doanh, quy định, luật pháp cũng như các rủi ro và mối đe dọa bảo mật thông tin hiện tại và dự kiến.
Nó phải bao gồm các lĩnh vực như chuyển giao thông tin, cấu hình và xử lý an toàn các thiết bị đầu cuối của người dùng, bảo mật mạng, quản lý sự cố bảo mật thông tin, sao lưu, mật mã và quản lý khóa, phân loại và xử lý thông tin, quản lý lỗ hổng kỹ thuật và phát triển an toàn.
5.3 – Vai trò, trách nhiệm và quyền hạn của tổ chức
Yêu cầu 5.3 của ISO 27001 nêu rõ yêu cầu đối với các tổ chức trong việc xác định và phân bổ vai trò, trách nhiệm và quyền hạn liên quan đến bảo mật thông tin.
Điều này rất quan trọng để đảm bảo mọi cá nhân và nhóm trong tổ chức đều nhận thức được vai trò và trách nhiệm cụ thể của mình liên quan đến bảo mật thông tin.
Tài liệu nhấn mạnh nhu cầu phân định nhiệm vụ, nghĩa là các cá nhân hoặc nhóm khác nhau phải chịu trách nhiệm về các khía cạnh khác nhau của bảo mật thông tin.
Điều này giúp ngăn chặn bất kỳ cá nhân nào có quyền kiểm soát quá mức đối với bảo mật thông tin của tổ chức. Hơn nữa, tài liệu yêu cầu các tổ chức phải đảm bảo rằng nhân viên được đào tạo đầy đủ và có các kỹ năng cần thiết để hoàn thành vai trò và trách nhiệm của mình.
6. Lập kế hoạch
6.1 – Các hành động để giải quyết rủi ro và cơ hội
Yêu cầu 6.1 của ISO 27001 tập trung vào việc đảm bảo các tổ chức xác định, đánh giá, xử lý và giám sát các rủi ro và cơ hội về bảo mật thông tin.
Điều này bao gồm một cách tiếp cận có hệ thống để quản lý rủi ro và thực hiện các hành động thích hợp để giảm thiểu chúng.
Yêu cầu này nhấn mạnh tầm quan trọng của cách tiếp cận chủ động và toàn diện trong việc quản lý rủi ro bảo mật thông tin nhằm bảo vệ dữ liệu cá nhân và đảm bảo tính toàn vẹn và tính khả dụng của hệ thống thông tin.
6.2 – Mục tiêu bảo mật thông tin và kế hoạch đạt được chúng
Yêu cầu 6.2 của ISO 27001 yêu cầu các tổ chức phải thiết lập các mục tiêu bảo mật thông tin và phát triển kế hoạch để đạt được các mục tiêu đó.
Các mục tiêu này phải cụ thể, có thể đo lường được, có thể đạt được, có liên quan và có giới hạn thời gian (SMART) và phải phù hợp với các mục tiêu kinh doanh chung của tổ chức. Kế hoạch phải nêu rõ các bước, nguồn lực và mốc thời gian cần thiết để đạt được các mục tiêu mong muốn.
Việc xem xét thường xuyên các mục tiêu và kế hoạch bảo mật thông tin là cần thiết để đảm bảo tính phù hợp và hiệu quả của chúng. Bất kỳ thay đổi nào trong tổ chức cũng cần được xem xét và đưa vào các kế hoạch khi cần thiết.
Có được sự khởi đầu sớm hơn 81%
Chúng tôi đã làm phần việc khó khăn thay bạn, giúp bạn có 81% thời gian bắt đầu ngay từ khi bạn đăng nhập.
Tất cả những gì bạn phải làm là điền vào chỗ trống.
7. Hỗ trợ
7.1 – Tài nguyên
Yêu cầu 7.1 của ISO 27001 đảm bảo rằng một tổ chức có đủ nguồn lực cần thiết để duy trì tính bảo mật của hệ thống thông tin.
Điều này bao gồm việc xác định và ghi chép lại nhân sự, phần cứng, phần mềm và các nguồn lực khác cần thiết cho bảo mật thông tin.
Tổ chức phải đảm bảo rằng các nguồn lực này luôn sẵn có và có thể truy cập được khi cần.
Như đã mô tả trước đó với Yêu cầu 5.3, ISO 27001 không thực sự yêu cầu ISMS phải có nhân viên toàn thời gian, mà chỉ yêu cầu các vai trò, trách nhiệm và quyền hạn được xác định rõ ràng và sở hữu – với giả định rằng sẽ áp dụng đúng mức nguồn lực khi cần thiết.
7.2 – Năng lực
Yêu cầu 7.2 của ISO/IEC 27001 nêu rõ cách tổ chức sẽ đảm bảo rằng tổ chức có:
- Xác định năng lực của những người thực hiện công việc trên ISMS có thể ảnh hưởng đến hiệu suất của hệ thống.
- Những người được coi là có năng lực dựa trên trình độ giáo dục, đào tạo hoặc kinh nghiệm có liên quan.
- Khi cần thiết, thực hiện hành động để có được năng lực cần thiết và đánh giá hiệu quả của các hành động.
- Giữ lại bằng chứng trên để phục vụ mục đích kiểm toán.
Bằng cách đảm bảo nhân sự có năng lực, các tổ chức có thể quản lý hiệu quả hoạt động bảo mật thông tin và bảo vệ dữ liệu cá nhân.
7.3 – Nhận thức
Yêu cầu 7.3 của ISO 27001 nêu rõ rằng các tổ chức phải đảm bảo rằng tất cả nhân viên đều nhận thức được tầm quan trọng của bảo mật thông tin cũng như vai trò và trách nhiệm của họ trong việc duy trì bảo mật thông tin.
Điều này bao gồm việc cung cấp đào tạo và giáo dục về các chủ đề bảo mật thông tin, đảm bảo nhân viên hiểu các chính sách và quy trình bảo mật của tổ chức cũng như hậu quả của việc không tuân thủ chúng.
ISO 27001 đang tìm kiếm sự xác nhận rằng những người thực hiện công việc này biết về:
- Chính sách bảo mật thông tin.
- Sự đóng góp của họ vào hiệu quả của ISMS bao gồm cả những lợi ích từ việc cải thiện hiệu suất của hệ thống.
- Điều gì xảy ra khi hệ thống quản lý bảo mật thông tin không đáp ứng được các yêu cầu?
Bằng cách đảm bảo nhân sự có năng lực, các tổ chức có thể quản lý hiệu quả hoạt động bảo mật thông tin và bảo vệ dữ liệu cá nhân.
7.4 – Giao tiếp
Yêu cầu 7.4 của ISO 27001 tập trung vào nhu cầu của các tổ chức trong việc thiết lập các hoạt động giao tiếp hiệu quả để đảm bảo các mục tiêu bảo mật thông tin được đáp ứng. Điều này bao gồm giao tiếp với các bên liên quan có liên quan, Ủy viên trong trường hợp vi phạm dữ liệu cá nhân và giữa tất cả các bên liên quan.
Yêu cầu 7.4 của ISO 27001 đang tìm kiếm những điều sau:
- Những điều cần trao đổi về ISMS.
- Khi nào thông báo sẽ được gửi đi.
- Ai sẽ tham gia vào quá trình giao tiếp đó?
- Ai là người thực hiện việc giao tiếp?
- Tất cả những điều đó diễn ra như thế nào tức là những hệ thống và quy trình nào sẽ được sử dụng để chứng minh điều đó xảy ra và có hiệu quả
7.5 – Thông tin được ghi chép
Yêu cầu 7.5 của ISO 27001 đối với ISO 27001 yêu cầu bạn mô tả hệ thống quản lý bảo mật thông tin của mình và sau đó chứng minh cách thức đạt được các kết quả mong muốn cho tổ chức.
Điều vô cùng quan trọng là mọi thứ liên quan đến ISMS đều được ghi chép lại, lưu trữ tốt và dễ tìm nếu tổ chức muốn đạt được chứng nhận ISO 27001 độc lập từ một tổ chức như UKAS.
Các kiểm toán viên được chứng nhận ISO rất tự tin vào việc quản lý và duy trì tốt hệ thống quản lý bảo mật thông tin có cấu trúc chặt chẽ.
8. Hoạt động
8.1 – Lập kế hoạch và kiểm soát hoạt động
Yêu cầu 8.1 của ISO 27001 tập trung vào việc đảm bảo an ninh thông tin của tổ chức bằng cách lập kế hoạch và kiểm soát hoạt động của tổ chức.
Điều này bao gồm việc xác định và đánh giá các rủi ro liên quan đến hoạt động của tổ chức và thực hiện các biện pháp kiểm soát bảo mật phù hợp để giảm thiểu những rủi ro đó.
Tổ chức cũng phải xây dựng và triển khai các chính sách và thủ tục để bảo vệ thông tin của mình khỏi việc truy cập, sử dụng, tiết lộ, sửa đổi hoặc phá hủy trái phép.
Yêu cầu này rất dễ chứng minh bằng chứng nếu tổ chức đã ‘cho thấy hoạt động của mình’. Trong quá trình phát triển hệ thống quản lý bảo mật thông tin để tuân thủ các yêu cầu 6.1, 6.2 và đặc biệt là 7.5, trong đó toàn bộ ISMS được cấu trúc và lập tài liệu tốt, điều này cũng đạt được 8.1 cùng lúc.
8.2 – Đánh giá rủi ro an ninh thông tin
Yêu cầu 8.2 của ISO 27001 yêu cầu các tổ chức thực hiện Đánh giá rủi ro bảo mật thông tin (ISRA) theo các khoảng thời gian đã định hoặc khi xảy ra những thay đổi đáng kể.
Mục đích của yêu cầu này là đảm bảo các tổ chức nhận thức được những rủi ro tiềm ẩn đối với hệ thống quản lý bảo mật thông tin của mình và có thể thực hiện các bước cần thiết để giảm thiểu những rủi ro này.
Quy trình này bao gồm việc xác định, đánh giá và quản lý rủi ro đối với tài sản thông tin của tổ chức. Điều này bao gồm phân tích tài sản thông tin của tổ chức, xác định các mối đe dọa và lỗ hổng liên quan đến các tài sản đó và đánh giá tác động tiềm ẩn của vi phạm bảo mật.
8.3 – Xử lý rủi ro an ninh thông tin
Yêu cầu 8.3 của ISO 27001 nêu rõ yêu cầu đối với các tổ chức trong việc xác định, đánh giá và xử lý rủi ro bảo mật thông tin.
Điều này bao gồm việc xác định và đánh giá các rủi ro liên quan đến việc xử lý dữ liệu cá nhân và triển khai các biện pháp bảo mật phù hợp để giảm thiểu các rủi ro đó. Các biện pháp này có thể bao gồm kiểm soát truy cập, mã hóa và sao lưu dữ liệu.
Các tổ chức phải đảm bảo rằng bất kỳ quy trình, sản phẩm hoặc dịch vụ nào do bên ngoài cung cấp có liên quan đến hệ thống quản lý bảo mật thông tin đều được kiểm soát. Thông tin được ghi chép về kết quả xử lý rủi ro bảo mật thông tin cũng phải được lưu giữ.
9. Đánh giá hiệu suất
9.1 – Giám sát, Đo lường, Phân tích và Đánh giá
Yêu cầu 9.1 của ISO 27001 yêu cầu các tổ chức đánh giá hiệu suất hoạt động của ISMS và xem xét tính hiệu quả của hệ thống quản lý bảo mật thông tin.
Nếu tổ chức đang tìm kiếm chứng nhận ISO 27001, kiểm toán viên độc lập làm việc tại một cơ quan chứng nhận liên kết với UKAS (hoặc một cơ quan được công nhận tương tự trên toàn thế giới về chứng nhận ISO) sẽ xem xét kỹ lưỡng các lĩnh vực sau:
- Những gì nó quyết định theo dõi và đo lường không chỉ là mục tiêu mà còn là các quy trình và biện pháp kiểm soát.
- Làm thế nào để đảm bảo kết quả hợp lệ trong việc đo lường, giám sát, phân tích và đánh giá.
- Khi nào việc đo lường, giám sát, đánh giá và phân tích diễn ra và ai là người thực hiện?
- Cách sử dụng kết quả.
Giống như mọi thứ khác trong tiêu chuẩn ISO/IEC bao gồm ISO 27001, thông tin được ghi chép đều rất quan trọng – do đó, việc mô tả thông tin đó và chứng minh rằng thông tin đó đang diễn ra chính là chìa khóa thành công!
9.2 – Kiểm toán nội bộ
Yêu cầu 9.2 của ISO 27001 nêu rằng một tổ chức phải tiến hành kiểm toán nội bộ theo các khoảng thời gian đã định để cung cấp thông tin về việc hệ thống quản lý bảo mật thông tin có:
- Phù hợp với các yêu cầu riêng của tổ chức đối với hệ thống quản lý bảo mật thông tin; và đáp ứng các yêu cầu của tiêu chuẩn quốc tế ISO 27001.
- Hệ thống ISMS có được triển khai và duy trì hiệu quả hay không.
Yêu cầu này đảm bảo rằng các tổ chức thường xuyên đánh giá và cải thiện hệ thống quản lý bảo mật thông tin của mình để bảo vệ tài sản thông tin và đáp ứng các mục tiêu bảo mật.
9.3 – Đánh giá của Ban quản lý
Yêu cầu 9.3 của ISO 27001 yêu cầu các tổ chức phải tiến hành đánh giá quản lý thường xuyên để đảm bảo tính phù hợp, đầy đủ và hiệu quả liên tục của hệ thống quản lý bảo mật thông tin của họ.
Những đánh giá này phải được tiến hành theo các khoảng thời gian đã định, ít nhất là hàng năm, và phải có sự tham gia của ban quản lý cấp cao hoặc đại diện được chỉ định.
Mục đích của việc đánh giá của ban quản lý là đánh giá các chính sách, quy trình và biện pháp kiểm soát bảo mật thông tin của tổ chức, cũng như các quy trình đánh giá rủi ro và quản lý rủi ro của tổ chức.
Nó cũng bao gồm việc đánh giá mức độ tuân thủ của tổ chức đối với luật pháp và quy định hiện hành.
Trong quá trình đánh giá, tổ chức phải đánh giá hiệu quả của hệ thống quản lý bảo mật thông tin và xác định bất kỳ thay đổi cần thiết nào để đảm bảo tuân thủ tiêu chuẩn ISO 27001. Đánh giá cũng phải xem xét hiệu suất của tổ chức trong việc đáp ứng các mục tiêu bảo mật thông tin của mình.
10. Cải thiện
10.1 – Không phù hợp và Hành động khắc phục
Yêu cầu 10.1 của ISO 27001 nêu rõ rằng các tổ chức phải thiết lập một quy trình để xác định, ghi chép và giải quyết mọi sai lệch so với tiêu chuẩn ISO 27001, được gọi là sự không phù hợp.
Sự không phù hợp có thể bao gồm việc không đáp ứng được các yêu cầu của tiêu chuẩn, thiếu sót trong hệ thống quản lý bảo mật thông tin hoặc bất kỳ vấn đề nào khác có thể dẫn đến vi phạm bảo mật.
Khi phát hiện ra sự không phù hợp, tổ chức phải thực hiện hành động khắc phục để giải quyết. Hành động khắc phục phải phù hợp với mức độ nghiêm trọng của sự không phù hợp và được thiết kế để ngăn ngừa các vấn đề tương tự xảy ra trong tương lai.
Hiệu quả của hành động khắc phục phải được xem xét thường xuyên để đảm bảo tình trạng không phù hợp không tái diễn.
10.2 – Cải tiến liên tục
Yêu cầu 10.2 của ISO 27001 nêu rõ rằng các tổ chức phải liên tục cải thiện hệ thống quản lý bảo mật thông tin (ISMS) của mình.
Điều này có nghĩa là các tổ chức cần thường xuyên xem xét và cập nhật ISMS của mình để đảm bảo tính hiệu quả và phù hợp với các mục tiêu, yêu cầu pháp lý và quy định của tổ chức cũng như tiêu chuẩn ISO 27001.
Quá trình cải tiến liên tục cần được giám sát và xem xét để đảm bảo tính hiệu quả và bất kỳ thay đổi cần thiết nào cũng cần được thực hiện để nâng cao tính phù hợp, đầy đủ và hiệu quả của ISMS.
Chúng tôi sẽ hướng dẫn bạn từng bước trên con đường này
Công cụ tích hợp của chúng tôi sẽ hướng dẫn bạn từ khâu thiết lập đến khi cấp chứng nhận với tỷ lệ thành công 100%.
