Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001: 2013

Theo ISO / IEC 27001: 2013, thông tin và các hệ thống, quy trình và nhân viên liên quan là tài sản của tổ chức. Tất cả tài sản có giá trị quan trọng trong hoạt động của tổ chức và cần được bảo vệ một cách thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau nên tổ chức phải có các biện pháp bảo vệ thích hợp để hạn chế rủi ro.

Bên cạnh những rủi ro về an toàn thông tin do bị tấn công phá hoại có chủ đích, tổ chức cũng có thể gặp rủi ro về thông tin nếu: Quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và đánh giá định kỳ; Nhận thức của người lao động trong việc sử dụng và trao đổi thông tin chưa đầy đủ…. Vì vậy, bên cạnh các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định và quy trình hoạt động phù hợp để giảm thiểu rủi ro.

Hệ thống quản lý an toàn thông tin (ISMS) sẽ giúp một tổ chức kiểm soát và chỉ đạo các hoạt động của mình để đảm bảo an toàn thông tin. Việc Hệ thống hoạt động tốt sẽ giúp đảm bảo an toàn thông tin tại tổ chức được duy trì liên tục, được xem xét, đánh giá định kỳ và không ngừng cải tiến để đối phó với các rủi ro mới phát sinh. Các hoạt động đảm bảo an toàn thông tin trong tổ chức sẽ mang tính hệ thống, giảm bớt sự phụ thuộc vào các cán bộ thực thi và luôn được xem xét, đánh giá để nâng cao hiệu quả.

Tiêu chuẩn ISO 27001: 2013 có thể được áp dụng cho bất kỳ loại hình tổ chức nào có nhu cầu bảo vệ thông tin. Việc triển khai Hệ thống ISMS ISO 27001 sẽ giúp tổ chức đạt được những lợi ích sau:

- Đảm bảo an toàn thông tin của tổ chức, đối tác và khách hàng, giúp hoạt động của tổ chức luôn thông suốt và an toàn.

- Giúp nhân viên tuân thủ việc đảm bảo an toàn thông tin trong các hoạt động nghiệp vụ hàng ngày; Các sự cố về an toàn thông tin do người sử dụng gây ra sẽ được giảm thiểu khi nhân viên được đào tạo, nâng cao nhận thức về an toàn thông tin.

- Giúp các hoạt động đảm bảo an toàn thông tin luôn được duy trì và nâng cao. Các biện pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường và cập nhật định kỳ.

- Đảm bảo các hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên quan đến an toàn thông tin.

- Nâng cao uy tín của tổ chức, tăng khả năng cạnh tranh, tạo niềm tin với khách hàng và đối tác, thúc đẩy toàn cầu hóa và tăng cơ hội hợp tác quốc tế.

Cấu trúc của ISO 27001: 2013

Tổng quan về tiêu chuẩn

Hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001:2013 cung cấp mô hình thiết lập, triển khai, vận hành, giám sát, rà soát, duy trì và nâng cấp Hệ thống ISMS.

Việc xây dựng ISMS như thế nào là một quyết định chiến lược của một tổ chức. Việc thiết kế và triển khai ISMS của một tổ chức phụ thuộc vào mục tiêu, các yêu cầu về an toàn thông tin cần đạt được, các quy trình hoạt động, quy mô và cấu trúc của tổ chức ... đòi hỏi phải luôn được xem xét, cập nhật để phù hợp với những thay đổi của tổ chức và nâng cao mức độ bảo mật với hệ thống lưu trữ và xử lý thông tin. Ngoài ra, tổ chức cũng cần cân nhắc chi phí đầu tư xây dựng và triển khai ISMS phù hợp với nhu cầu đảm bảo an toàn thông tin.

ISO / IEC 27001 quy định các yêu cầu cần thiết cho việc thiết lập, vận hành và giám sát ISMS; đưa ra các nguyên tắc cơ bản để tạo, triển khai, duy trì và cải tiến ISMS. Tiêu chuẩn này đưa ra các quy tắc bảo mật thông tin và đánh giá sự tuân thủ của các bộ phận trong tổ chức, xây dựng các yêu cầu về bảo mật thông tin mà các đối tác và khách hàng cần tuân thủ khi làm việc. với tổ chức.

Đây cũng là công cụ để lãnh đạo giám sát và quản lý Hệ thống thông tin, giảm thiểu rủi ro và tăng cường an toàn, bảo mật cho tổ chức.

Cấu trúc tiêu chuẩn ISO 27001

- 07 điều khoản chính (từ phần 4 đến phần 10 của Tiêu chuẩn): đưa ra các yêu cầu bắt buộc về các công việc phải thực hiện trong việc thiết lập, vận hành, bảo trì, giám sát và nâng cấp Hệ thống ISMS của công ty. các tổ chức. Bất kỳ vi phạm nào của tổ chức đối với các quy định của 07 điều khoản này đều được coi là không tuân thủ tiêu chuẩn:

Khoản 4 - Phạm vi tổ chức: Đề ra các yêu cầu cụ thể đối với tổ chức dựa trên quy mô, lĩnh vực hoạt động và các yêu cầu, mong đợi của các bên liên quan để thiết lập phạm vi Hệ thống quản lý an toàn thông tin phù hợp.

Điều 5 - Lãnh đạo: Quy định về trách nhiệm của Hội đồng quản trị của từng tổ chức trong ISMS, bao gồm các yêu cầu về cam kết và quyết tâm của Hội đồng quản trị trong việc xây dựng và duy trì hệ thống; yêu cầu về cung cấp nguồn lực và tài chính để vận hành hệ thống.

Khoản 6 - Lập kế hoạch: Tổ chức cần xác định và áp dụng các thủ tục đánh giá rủi ro, từ đó đưa ra các thủ tục xử lý. Điều khoản này cũng đưa ra các yêu cầu đối với việc thiết lập mục tiêu an toàn thông tin và kế hoạch để đạt được mục tiêu đó.

Điều 7 - Hỗ trợ: các yêu cầu về tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông tin.

 

Khoản 8 - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đề ra. Đồng thời phải định kỳ đánh giá rủi ro mất an toàn thông tin và có phương án xử lý.

Khoản 9 - Đánh giá hoạt động của hệ thống: Quy định trách nhiệm của Ban Giám đốc trong việc xem xét và đánh giá định kỳ ISMS của tổ chức. Phần này đưa ra các yêu cầu đối với từng giai đoạn xem xét hệ thống, để đảm bảo rằng hiệu suất tổng thể của hệ thống được đánh giá, đo lường hiệu quả của các biện pháp đã thực hiện và đưa ra kế hoạch sửa chữa và nâng cấp hệ thống. thích ứng với những thay đổi trong hoạt động của tổ chức.

Khoản 10 - Cải tiến hệ thống: Giữ nguyên nguyên tắc Kế hoạch - Thực hiện - Kiểm tra - Hành động (PDCA), tiêu chuẩn cũng đặt ra các yêu cầu để đảm bảo rằng ISMS liên tục được cải tiến trong quá trình hoạt động. cử động. Bao gồm các điều khoản về việc áp dụng các chính sách mới, các hành động khắc phục và phòng ngừa đối với các điểm yếu hiện có và tiềm ẩn để đảm bảo tính hiệu quả của ISMS.