Chứng nhận ISO 27001 về Hệ thống quản lý an toàn thông tin là bằng chứng cho Doanh nghiệp về việc áp dụng ISO 270001. ISO 27001:2013 là một tiêu chuẩn có yêu cầu khá khắt khe. Để đạt được chứng nhận ISO 27001; Doanh nghiệp sẽ phải mất khá nhiều thời gian và công sức.
TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001:2013
Tùy thuộc vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có các phương thức tiếp cận khác nhau để xây dựng Hệ thống quản lý An toàn thông tin (ATTT) phù hợp. ISO 27001: 2013 đề cập khá đầy đủ các yêu cầu đảm bảo ATTT của một tổ chức.
Theo tiêu chuẩn ISO/IEC 27001: 2013. Thông tin và các hệ thống, quy trình, cán bộ liên quan đều là tài sản của tổ chức. Tất cả các tài sản đều có giá trị trong tổ chức và cần được bảo vệ thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau. Tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.
Bên cạnh những rủi ro về ATTT do bị tấn công phá hoại có chủ đích. Tổ chức cũng có thể gặp phải những rủi ro đối với thông tin. Nếu các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ…. Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro.
LỢI ÍCH CỦA TIÊU CHUẨN ISO 27001
ĐỐI TƯỢNG ÁP DỤNG ISO 27001
Tiêu chuẩn ISO 27001 áp dụng cho tất cả các tổ chức, không phân biệt quy mô, địa điểm. Đây là tiêu chuẩn mang tính chất tự nguyện, tập trung vào việc thiết lập, duy trì và cải tiến hệ thống quản lý bảo mật thông tin.
QUY TRÌNH ÁP DỤNG ISO 27001:2013 VÀO DOANH NGHIỆP
Tại mỗi doanh nghiệp, việc xây dựng, triển khai ISMS có những giải pháp khác nhau. Nó phụ thuộc vào quy mô, đặc trưng của tổ chức cũng như yêu cầu của tổ chức đó. Tuy nhiên, khi triển khai Hệ thống quản lý an toàn thông tin theo ISO 27001. Mỗi tổ chức cần phải thực hiện các bước cơ bản sau để đạt được chứng nhận ISO 27001:
Bước 1: Khảo sát hiện trạng của tổ chức
Bước 2: Lập kế hoạch xây dựng ISMS
Bước 3: Xây dựng hệ thống tài liệu và triển khai áp dụng
Bước 4: Thực hiện đánh giá nội bộ trong tổ chức
Bước 5: Đánh giá chứng nhận
Cấp độ tổ chức:
Sự cam kết: Chứng chỉ như là một cam kết hiệu quả của nỗ lực đưa an ninh an toàn hệ thống công nghệ thông tin của Doanh nghiệp đạt tiêu chuẩn quốc tế.
Cấp độ pháp luật:
Tuân thủ: Chứng minh cho cơ quan pháp luật có liên quan biết rằng Doanh nghiệp đã tuân theo tất cả các luật và các qui định áp dụng phù hợp với các chuẩn quốc tế.
Cấp độ điều hành:
Quản lý rủi ro: Mang lại những hiểu biết tốt hơn về các hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng cũng như đảm bảo khả năng sẵn sàng của hệ thống.
Cấp độ thương mại:
Sự tín nhiệm và tin cậy: Các thành viên, cổ đông và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của Doanh nghiệp trong việc bảo vệ thông tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.
Cấp độ tài chính:
Tiết kiệm chi phí khắc phục các lỗ hổng an ninh.
Cấp độ con người:
Cải tiến nhận thức của nhân viên về an ninh và trách nhiệm của họ trong tổ chức.
=======================================================================
Hoặc áp dụng theo tiến trình gồm 12 bước chính - cụ thể như sau:
Các bước xây dựng ISO 27001
1. Cam kết của lãnh đạo cao nhất
2. Xác định phạm vi của Hệ thống quản lý an ninh thông tin
3. Liệt kê các tài sản thông tin của doanh nghiệp
4. Tiến hành một cuộc đánh giá rủi ro về an ninh thông tin
5. Chuẩn bị bản Công bố áp dụng;
6. Chuẩn bị Kế hoạch xử lý rủi ro
7. Xây dựng các chương trình thực hiện Hệ thống quản lý an ninh thông tin. Khởi động chương trình thực hiện Hệ thống quản lý an ninh thông tin
8. Vận hành Hệ thống quản lý an ninh thông tin
9. Xem xét sự phù hợp
10. Thực hiện hành động khắc phục
11. Tiến hành đánh giá nội bộ
12. Đánh giá chứng nhận.
--ST--
0 Nhận xét