- Phiên bản mới nhất ISO/IEC 27002 [ISO 17799] và ISO/IEC 27001 [trước đây là BS 7799-2].
- Bộ chính sách đầy đủ về an toàn thông tin phù hợp với ISO 27002.
- Phần giới thiệu về ISO 17799 / ISO 27001 / ISO 27002 dưới dạng PowerPoint
- Công cụ lập kế hoạch khôi phục dữ liệu [ ISO27002 phần 11].
- Sơ đồ chứng nhận.
- Công cụ kiểm tra [bản danh sách các mục cần kiểm tra, v.v...] dùng cho hệ thống mạng lưới hiện đại [phần 12].
- Danh sách đầy đủ các thuật ngữ chuyên môn về máy tính và an toàn thông tin.
- Bảng câu hỏi phân tích tác động đối với kinh doanh.
ISO 27001: Công nghệ thông tin. Kỹ thuật an toàn. Hệ thống quản lý an toàn thông tin. Các yêu cầu_Information technology. Security techniques. Information Security management system. Requirements;
ISO 27002: Công nghệ thông tin. Kỹ thuật an toàn. Qui phạm thực hành về quản lý an toàn thông tin [ISO/IEC 17799:2005]_ Information technology. Security techniques. Code of practice for information security management [ISO/IEC 17799:2005];
Tùy thuộc vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có các phương thức tiếp cận khác nhau để xây dựng Hệ thống quản lý An toàn thông tin [ATTT] phù hợp. Hệ thống quản lý ATTT theo tiêu chuẩn quốc tế – ISO 27001: 2013 đề cập khá đầy đủ các yêu cầu đảm bảo ATTT của một tổ chức.
ISO/IEC 27001 là tiêu chuẩn quốc tế về thông tin hoặc quản lý an ninh. Tiêu chuẩn vạch ra phương pháp để thực hiện đánh giá độc lập hệ thống quản lý an ninh thông tin và chứng nhận cho hệ thống đó. Nó giúp bạn giải quyết câu hỏi “an ninh thông tin là gì?”. Đồng thời tiêu chuẩn cho phép bạn bảo đảm các số liệu tài chính và dữ liệu mật một cách hiệu quả hơn, qua đó giảm thiếu đến mức tối đa khả năng bị truy cập bất hợp pháp hoặc không được cho phép.
ISO 27001 là tiêu chuẩn quốc tế đặc tả cho các hệ thống quản lý ATTT, nó cung cấp một mô hình thống nhất để thiết lập, vận hành, duy trì và cải tiến hệ thống quản lý ATTT. Việc tuân thủ theo một hệ thống quản lý ISMS chính là quyết định chiến lược của mỗi tổ chức.
Phiên bản đầu tiên của bộ tiêu chuẩn ISO 27000 là tiêu chuẩn BS 7799 được Viện Tiêu chuẩn Anh [Bristish Standards Institution – BSI] phát triển và được xuất bản dưới dạng Quy tắc thực tiễn cho việc quản lý ATTT [Code of Practice for Information Security Management] năm 1996. Năm 1998, tiêu chuẩn này có sự thay đổi nội dung “Quy tắc thực tiễn với việc quản lý ATTT” được chuyển thành Phần I, còn phần nội dung “Chi tiết kỹ thuật cần có” chuyển thành Phần II.
Phần I của chuẩn BS 7799 là một hướng dẫn thi hành dựa trên đề nghị các kiểm soát ATTT và là cơ sở hình thành tiêu chuẩn quốc tế ISO 17799:2000. Từ năm 2005, tiêu chuẩn ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và đến năm 2007 được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005.
Phần II của chuẩn BS 7799 là một Hướng dẫn kiểm toán dựa trên các yêu cầu. Để được xác nhận chứng chỉ BS 7799, tổ chức sẽ được kiểm toán dựa trên các điều kiện ở Phần II. Tháng 10/2005, tiêu chuẩn này được thay thế bằng tiêu chuẩn ISO/IEC 27001:2005.
Đến năm 2013, các tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới ISO 27001:2013; ISO 27002:2013.
CẤU TRÚC TIÊU CHUẨN ISO/IEC 27001:2013
– Gồm 07 điều khoản chính [từ phần 4 đến phần 10 của Tiêu chuẩn]: đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống quản lý An toàn thông tin [ISMS] của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn:
Điều khoản 4 – Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp.
Điều khoản 5 – Lãnh đạo: Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ thống ISMS, bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy trì hệ thống; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống.
Điều khoản 6 – Lập kế hoạch: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó.
Điều khoản 7 – Hỗ trợ: yêu cầu đối với việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực ATTT và ISMS, số hóa thông tin.
Điều khoản 8 – Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đã đề ra. Đồng thời cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý.
Điều khoản 9 – Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá Hệ thống ISMS của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ chức.
Điều khoản 10 – Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch – Thực hiện – Kiểm tra – Hành động [P-D-C-A], tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS không ngừng được cải tiến trong quá trình hoạt động. Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục, phòng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của Hệ thống ISMS.
– Phụ lục A – Các mục tiêu và biện pháp kiểm soát: đưa ra 14 lĩnh vực kiểm soát nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện khi xây dựng và duy trì Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm từ chính sách của lãnh đạo tổ chức, tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự, các nguyên tắc căn bản để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT….
Các lĩnh vực kiểm soát của Phụ lục A Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với lĩnh vực hoạt động của mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.
Các bước triển khai Hệ thống quản lý An toàn thông cialis medicament tin [ISMS]:
Các bước dưới đây được triển khai để đáp ứng ác yêu cầu của tiêu chuẩn ISO/ IEC 27001: 2013:
– Bước 1: Khảo sát và lập kế hoạch
– Bước 2: Xác định phương pháp quản lý rủi ro ATTT
– Bước 3: Xây dựng hệ thống đảm bảo ATTT tại tổ chức
– Bước 4: Triển khai áp dụng: các biện pháp đã lựa chọn, đáp ứng chính sách, quy định, quy trình đã xây dựng và yêu cầu của tiêu chuẩn ISO/IEC 27001:2013.
– Bước 5: Đánh giá nội bộ: khắc phục các điểm không phù hợp với các quy định của tổ chức và yêu cầu của tiêu chuẩn.
Sau khi thực hiện xong bước 5, tổ chức có thể mời các đơn vị độc lập để đánh giá và cấp Chứng nhận ISO 2701 cho Hệ thống quản lý ATTT đã xây dựng.
Lưu ý:
Hệ thống quản lý ATTT là nhu cầu thiết yếu của một tổ chức, khi cần đảm bảo ATTT một cách toàn diện. Xây dựng hệ thống ISMS theo tiêu chuẩn ISO/IEC 27001: 2013 sẽ giúp hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ. Do tiêu chuẩn ISO/IEC 27001:2013 xem xét đảm bảo ATTT trên nhiều khía cạnh, nên việc xây dựng và áp dụng hệ thống đòi hỏi phải có sự quyết tâm của lãnh đạo tổ chức và sự phối hợp đồng bộ các bộ phận của tổ chức trong việc xây dựng và duy trì hệ thống.
Những vấn đề khó khăn, cần lưu ý khi tổ chức bắt tay vào xây dựng hệ thống ISMS là:
- Nhận thức của người dùng trong tổ chức về việc đảm bảo ATTT, đánh giá lợi ích mang lại khi áp dụng hệ thống ISMS chưa cao;
- Trách nhiệm xây dựng, duy trì hệ thống được phân công không phù hợp, đơn vị được giao không nhận được sự phối hợp, cộng tác của các đơn vị khác trong tổ chức;
- Việc xây dựng và nâng cấp hệ thống cần sự quan tâm của lãnh đạo và đầu tư nguồn lực thích đáng.