ISO 27001 là gì ?
ISO 27001 cung cấp nền tảng cho việc quản lý cũng như các biện pháp kỹ thuật để quản lý các tài sản thông tin một cách hiệu quả. Các tài sản thông tin cần quản lý theo khuyến nghị của tiêu chuẩn bao gồm:
Thông tin: cơ sở dữ liệu, Hợp đồng, tài liệu hệ thống, hướng dẫn sử dụng, tài liệu đào tạo…
Phần mềm: phần mềm ứng dụng, phần mềm quản lý, công cụ phát triển…
Phần cứng: máy tính, thiết bị mạng, thiết bị lưu trữ…
Dịch vụ: dịch vụ internet, điện, máy lạnh…
Con người: nhân viên, đối tác…
Hình ảnh: công ty
Các biện pháp kiểm soát được kết hợp bởi qui trình, con người và kỹ thuật với các tính chất ngăn ngừa, kiểm tra, phục hồi, duy trì và giám sát nhằm đảm bảo hệ thống hoạt động hiệu quả với các mục tiêu xác định.
Cách triển khai ISO 27001
Bước thực hiện quan trọng nhất là dựa vào đánh giá rủi ro (risk assessment) để xác định chính sách, qui trình, hướng dẫn, biện pháp quản lý…
Chi tiết triển khai xin xem phương pháp của Vinastar
Nội dung ISO 27001
ISO 27001 được chia thành hai phần:
– Phần I hệ thống quản lý: được trình bày từ mục 4 đến mục 8 của tiêu chuẩn bao gồm các yêu cầu bắt buộc mà hệ thống quản lý an toàn thông tin phải đáp ứng. Trong các nội dung về hệ thống quản lý phần quản lý rủi ro là quan trọng nhất và đây cũng là điểm khác biệt chính so với các tiêu chuẩn quản lý khác như ISO 9001, ISO 14001, ISO 20000…
– Phần II các biện pháp kiềm soát: được trình bày trong phụ lục A bao gồm 11 chương với 39 mục tiêu kiểm soát và 133 biện pháp kiểm soát giúp tổ chức đạt được được các mục tiêu về an toàn thông tin. Phụ lục A là phụ lục bắt buộc thực hiện, tuy nhiên tổ chức triển khai ISO 27001 có thể bỏ bớt hoặc thêm vào các biện pháp kiểm soát để phù hợp với yêu cầu thực tế của tổ chức.
Leave a Reply