Các phiên bản của ISO 27001 cho các doanh nghiệp cần tìm hiểu

 

ISO 27001 là tiêu chuẩn quốc tế về quản lý thông tin hoặc bảo mật. Viết tắt của Hệ thống quản lý bảo mật thông tin - ISMS. Tiêu chuẩn đưa ra phương pháp triển khai hệ thống quản lý an toàn thông tin. Tiêu chuẩn là cơ sở để chứng nhận hệ thống đó. Nó giúp bạn giải quyết câu hỏi “bảo mật thông tin là gì ?. Các tiêu chuẩn cho phép bạn bảo mật dữ liệu và dữ liệu bí mật hiệu quả hơn. Từ đó giảm thiểu khả năng bị truy cập bất hợp pháp hoặc trái phép.

Với ISO / IEC 27001, bạn có thể chứng minh cam kết và tuân thủ bảo mật thông tin. Bằng cách cung cấp dịch vụ cho khách hàng, nhà cung cấp và các bên liên quan, bảo mật quan trọng hơn cách bạn vận hành. ISMS là công cụ để lãnh đạo quản lý giám sát và quản lý hệ thống thông tin. ISMS nâng cao tính an toàn, bảo mật và giảm thiểu rủi ro cho hệ thống thông tin. Giúp đáp ứng các mục tiêu của doanh nghiệp và tổ chức.


Chứng nhận ISO 27001 là tiêu chuẩn quốc tế quy định các hệ thống quản lý an toàn thông tin. Nó cung cấp một mô hình thống nhất để thiết lập, vận hành, duy trì và cải tiến một hệ thống quản lý an toàn thông tin. Tuân thủ ISMS là một quyết định chiến lược đối với mỗi tổ chức.

CÁC PHIÊN BẢN CỦA ISO / IEC 27001

Tiêu chuẩn BS 7799

Phiên bản đầu tiên của loạt tiêu chuẩn ISO 27000 là tiêu chuẩn BS 7799. BS 7799 được phát triển và xuất bản bởi Viện Tiêu chuẩn Anh (BSI). BS 7799 là Quy phạm Thực hành Quản lý An toàn Thông tin (Code of Practice for Information Security Management) năm 1996. Năm 1998, tiêu chuẩn này có sự thay đổi về nội dung "Quy phạm Thực hành Quản lý An toàn Thông tin" được đổi thành Phần I. The nội dung “Thông số kỹ thuật bắt buộc” được thay đổi thành Phần II.

Phần I của BS 7799 là hướng dẫn triển khai dựa trên khuyến nghị về các biện pháp kiểm soát an toàn thông tin. Nó là cơ sở của tiêu chuẩn quốc tế ISO 17799: 2000.

Tiêu chuẩn ISO / IEC 27002: 2005.

Từ năm 2005, tiêu chuẩn ISO 17799: 2000 chính thức được ISO / IEC thay thế bằng tiêu chuẩn quốc tế ISO / IEC 17799: 2005 và đến năm 2007 được đổi tên thành ISO / IEC 27002: 2005.

Phần II của BS 7799 là Hướng dẫn Kiểm toán Dựa trên Yêu cầu. Để được chứng nhận là BS 7799. Tổ chức sẽ được đánh giá dựa trên các điều kiện trong Phần II. Vào tháng 10 năm 2005, tiêu chuẩn này đã được thay thế bởi tiêu chuẩn ISO / IEC 27001: 2005.

Phiên bản mới nhất - Tiêu chuẩn ISO 27001: 2013

Đến năm 2013, các tiêu chuẩn này được nâng cấp từ phiên bản ISO 27001: 2005 và ISO 27002: 2005 lên phiên bản mới ISO 27001: 2013; ISO 27002: 2013.

Tiêu chuẩn ISO 27001: 2013 có cấu trúc bao gồm hai phần, “Điều khoản” và “Biện pháp kiểm soát”. Trong phần Điều khoản, các mục từ 4 đến 10 là các yêu cầu bắt buộc khi một tổ chức áp dụng và đạt được chứng chỉ ISO 27001.

Các doanh nghiệp nên tham gia các khóa học đào tạo để có thể hiểu sâu và áp dụng tiêu chuẩn phù hợp cho doanh nghiệp mình. Hiện nay có các lớp khóa học đào tạo iso 22000, iso 9001, iso 14001,… được các doanh nghiệp tham gia khá đông.

Một số sự khác biệt giữa ISO 27001: 2005 và ISO 27001: 2013

Bảng so sánh giữa “Điều khoản” của phiên bản cũ với phiên bản tiêu chuẩn:

Việc thay đổi cấu trúc giữa các “Điều khoản” của phiên bản mới so với phiên bản cũ nhằm mục đích đồng bộ hóa cấu trúc và yêu cầu với các tiêu chuẩn quản lý khác như Hệ thống quản lý chất lượng ISO 9001: 2008 và Hệ thống quản lý rủi ro ISO 31000: 2009. Ngoài ra, tiêu chuẩn đã thêm phần “Bối cảnh tổ chức”. Phần này giúp các tổ chức đánh giá tốt hơn tình trạng hiện tại của họ.

Trong phần Điều khiển. Phụ lục A, bao gồm 14 lĩnh vực với 35 mục tiêu kiểm soát (tương ứng với 114 biện pháp kiểm soát). Tổ chức sẽ lựa chọn các biện pháp kiểm soát trong số các biện pháp trên phù hợp để áp dụng.

Bảng so sánh giữa "Điều khiển" của phiên bản mới và cũ:

 Việc thay đổi “Biện pháp kiểm soát” trong phiên bản mới nhằm phù hợp hơn với xu hướng phát triển công nghệ, yêu cầu thực tế của các tổ chức và cũng thể hiện sự quan tâm hơn đến kiểm soát an ninh. các vấn đề về mã hóa hoặc bảo mật khi làm việc với nhà cung cấp. Đặc biệt, việc thay đổi thứ tự đưa vị trí của bộ phận An toàn thông tin nhân sự lên trước bộ phận quản lý tài sản cho thấy con người là một trong những yếu tố quan trọng nhất trong việc xây dựng, vận hành, duy trì và cải tiến hệ thống. Hệ thống ISMS.

Lợi ích của ISO / IEC 27001 đối với quản lý an toàn thông tin đó là: Xác định rủi ro và thiết lập các kiểm soát trong doanh nghiệp để quản lý và loại bỏ rủi ro. Linh hoạt để thực hiện quyền kiểm soát đối với tất cả các lĩnh vực của doanh nghiệp. Đạt được niềm tin của khách hàng rằng dữ liệu của họ được bảo mật. Chứng minh sự tuân thủ và có được sự tuân thủ của nhà cung cấp. Đáp ứng các điều kiện trong đấu thầu và dự án.

Xem thêm: https://g.page/chung-nhan-iso-22000-knacert

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Tiêu chuẩn ISO 9001- Điều kiện để được cấp chứng nhận

Hình ảnh
  Hiện nay, chứng chỉ ISO 9001 đã không còn quá xa lạ và ngày càng được nhiều doanh nghiệp chú trọng đầu tư. Chứng nhận này giúp các doanh nghiệp vận hành hệ thống quản lý chất lượng một cách hiệu quả và mang lại lợi ích thiết thực. Vậy ISO 9001 là gì? Ai có thể áp dụng chứng nhận ISO 9001? Nội dung và yêu cầu của tiêu chuẩn chứng nhận ISO 9001 là gì? KNA sẽ giúp bạn làm rõ những thắc mắc trên. Tiêu chuẩn ISO 9001 là gì? Chứng nhận ISO 9001 là tiêu chuẩn quốc tế do Tổ chức tiêu chuẩn hóa quốc tế ISO xây dựng và công bố lần đầu tiên vào năm 1987. Tên đầy đủ của tiêu chuẩn này là chứng nhận ISO 9001 - Hệ thống quản lý chất lượng - Các yêu cầu Chứng nhận ISO 9001 đưa ra các yêu cầu cơ bản được sử dụng làm khuôn khổ cho Hệ thống quản lý chất lượng nhằm đạt được các mục tiêu mong muốn. Đây là tiêu chuẩn duy nhất trong bộ tiêu chuẩn ISO 9000 được sử dụng để đánh giá chứng nhận Hệ thống Quản lý Chất lượng (QMS) và cũng là tiêu chuẩn được sử dụng rộng rãi nhất trên thế giới. Hiện...
Đọc thêm

Thiết lập và duy trì hệ thống quản lý năng lượng theo tiêu chuẩn ISO 50001

Hình ảnh
 Tiêu chuẩn ISO 50001 quy định các yêu cầu để thiết lập, thực hiện, duy trì và cải tiến hệ thống quản lý năng lượng (EnMS). Kết quả mong muốn là cho phép tổ chức tuân theo một cách tiếp cận có hệ thống để đạt được sự cải tiến liên tục về hiệu suất năng lượng và EnMS. Tiêu chuẩn này: a) áp dụng cho bất kỳ tổ chức nào, bất kể loại hình, quy mô, mức độ phức tạp, vị trí địa lý, văn hóa tổ chức hoặc các sản phẩm và dịch vụ mà tổ chức đó cung cấp; b) áp dụng cho các hoạt động ảnh hưởng đến hiệu suất năng lượng do tổ chức quản lý và kiểm soát; c) áp dụng bất kể số lượng, lượng sử dụng hoặc loại năng lượng tiêu thụ; d) yêu cầu bằng chứng về việc cải tiến liên tục hiệu suất năng lượng, nhưng không nêu rõ mức độ cải thiện hiệu suất năng lượng cần đạt được; e) có thể được sử dụng độc lập hoặc tùy chỉnh hoặc tích hợp với các hệ thống quản lý khác. Phụ lục A cung cấp hướng dẫn về việc sử dụng tiêu chuẩn này. Phụ lục B cung cấp sự so sánh của phiên bản này với phiên bản trước. Dưới...
Đọc thêm

Tại sao ISO 13485: 2016 được áp dụng?

Hình ảnh
  ISO 13485 là tiêu chuẩn hệ thống quản lý an toàn cho các sản phẩm y tế nằm trong bộ tiêu chuẩn ISO 13485 do tổ chức ISO ban hành. ISO 13485 quy định các yêu cầu đối với hệ thống quản lý chất lượng áp dụng cho các tổ chức sản xuất và cung cấp thiết bị y tế và các dịch vụ liên quan để đảm bảo khả năng cung cấp sản phẩm đáp ứng yêu cầu của khách hàng. khách hàng. hàng hóa và các quy định. Tiêu chuẩn ISO 13485 được xây dựng trên nền tảng của chuỗi tiêu chuẩn ISO 9001. ISO 13485 nhấn mạnh sự hài hòa giữa các yêu cầu của hệ thống quản lý chất lượng với các yêu cầu quy định đối với ngành thiết bị y tế. ISO 13458 đã được chấp nhận và áp dụng rộng rãi cho các nhà máy sản xuất thiết bị y tế trên toàn thế giới và là yêu cầu bắt buộc phải có trong giai đoạn hiện nay nếu một tổ chức sản xuất thiết bị y tế muốn sản xuất sản phẩm. Sản phẩm của nó được công nhận trên toàn thế giới. Các tổ chức là bệnh viện, cơ sở y tế có thể xây dựng hệ thống quản lý theo tiêu chuẩn ISO 13485 một cách độc l...
Đọc thêm