Tư vấn ISO/ IEC 27001: 2013 - Giới thiệu Hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO/ IEC 27001: 2013

Tư vấn ISO/ IEC 27001: 2013- Hệ thống quản lý An ninh thông tin 


1.  ISO 27001 là gì?

Tiêu chuẩn quốc tế Hệ thống quản lý an ninh thông tin ISO/IEC 27001:2005 tiêu đề “Công nghệ thông tin – Các phương pháp bảo mật – Hệ thống quản lý an ninh thông tin – Các yêu cầu” (“Information Technology – Security techniques – Information security management system – Requirements”) do Tổ chức tiêu chuẩn hoá quốc tế (ISO) phát triển và được ban hành tháng 10/2005, được xây dựng dựa trên nội dung tiêu chuẩn Anh BS 7799-2:2002 do Viện Tiêu chuẩn Anh ban hành năm 2002.

Hệ thống quản lý an ninh thông tin Tiêu chuẩn ISO/ IEC 27001: 2005 quy định các yêu cầu đối với một hệ thống quản lý an ninh thông tin ISMS và tương tự như ISO 9001 là một tiêu chuẩn về hệ thống quản quản lý có thể được cấp giấy chứng nhận.

 

Tiêu chuẩn ISO/ IEC 27001: 2005 có thể áp dụng cho mọi lĩnh vực, không phân biệt quy mô, phạm vi áp dụng để hướng tới một Hệ thống Quản lý An ninh Thông tin ISMS(Information security management system) một cách hiệu quả,  đảm bảo an ninh thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng…

- Các yêu cầu của tiêu chuẩn quốc tế ISO 27001:2005: gồm  (Chi tiết, xem phụ lục cuối bài)

o        Hệ thống quản lý an ninh thông tin 

o        Trách nhiệm lãnh đạo 

o        Đánh giá nội bộ Hệ thống ISMS 

o        Xem xét của lãnh đao về Hệ thống ISMS 

o        Cải tiến Hệ thống ISMS

Kèm theo phụ lục của ISO/ IEC 27001: 2005   134 biện pháp kiểm soát chia làm 11 nhóm mục tiêu  kiểm soát sau: ( thể hiện trong ISO/ IEC 27002: 2005, Công nghệ thông tin - Các kỹ thuật an ninh - Quy tắc thực hành quản lý an ninh thông tin)(Information technology – Security techniques – Code of practice for infomation security management).

1.        Chính sách an ninh thông tin (Information security policy): chỉ thị và hướng dẫn về an ninh thông tin

2.        Tổ chức an ninh thông tin (Organization of information security): tổ chức biện pháp an ninh và qui trình quản lý.

3.        Quản lý tài sản (Asset management): trách nhiệm và phân loại giá trị thông tin

4.        An ninh tài nguyên con người (Human resource security) : bảo đảm an ninh

5.       An ninh vật lý và môi trường (Physical and environmental security)

6.       Quản lý vận hành và trao đổi thông tin (Communications and operations management)

7.       Kiểm soát truy cập (Access control)

8.       Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems acquisition, development and maintenance)

9.       Quản lý sự cố mất an ninh thông tin (Information security incident management)

10.    Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity management)

11.    Tuân thủ các quy định pháp luật (Compliance)

2. Đối tượng áp dụng tiêu chuẩn ISO 27001

Áp dụng cho mọi doanh nghiệp, không phân biệt loại hình và quy mô sản xuất kinh doanh, song tập trung vào các tổ chức hoạt động trong lĩnh vực công nghệ thông tin, bưu chính, truyền thông... hoặc các tổ chức có hoạt động sản xuất kinh doanh với yêu cầu khắt khe về tính chính xác, kịp thời và bảo mật về thông tin.

 3 . Mục đích

  • Minh chứng cho các trách nhiệm về bảo vệ thông tin -của khách hàng và thông tin của doanh nghiệp 
  • Một khung hiệu lực để tuân thủ các yêu cầu, kể cả -các quy định về bảo vệ dữ liệu 
  • Các nghĩa vụ hợp đồng hoặc các kỳ vọng xuất phát -từ các mối quan hệ thương mại 
  • Khả năng tiết kiệm chi phí nhờ cải tiến việc kiểm -soát hoạt động và quản lý các thiệt hại 
  • Một lợi thế cạnh tranh trên thị trường nhờ nâng cao hình ảnh và niềm tin từ các bên hữu quan

4.  Giá trị mang lại

Việc tuân theo hoặc đạt được chứng chỉ chuẩn ISO 27001:2005 chứng minh tổ chức được đảm bảo an ninh thông tin, sự thừa nhận chuẩn quốc tế này đưa ra những lợi ích chắc chắn mà người quản lý cần phải xem xét:

-        Chứng tỏ cam kết đảm bảo về an ninh thông tin ở mọi cấp độ trong tổ chức

-        Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu

-        Bảo mật thông tin, tạo niềm tin cho đối tác và khách hàng

-        Giảm thiếu rủi ro gặp phải

-        Nhanh chóng khắc phục các sự cố xẩy ra

-        Giảm giá thành và các chi phí bảo hiểm

-        Nâng cao nhận thức và trách nhiệm của tất cả các nhân viên về an ninh thông tin.

Các lợi ích cụ thể:

1.        Tạo lập ‘’bộ khung pháp lý” của tổ chức với một hệ thống quy trình quy phạm chặt chẽ về việc kiểm soát an ninh thông tin

2.        Cấp độ tổ chức Sự cam kết: Chứng chỉ như là một cam kết hiệu quả của nổ lực đưa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính những người quản trị.

3.        Cấp độ pháp luật Tuân thủ: chứng minh cho nhà chức trách rằng tổ chức đã tuân theo tất cả các luật và các qui định áp dụng. Điều quan trọng là chuẩn đã bổ sung những chuẩn và luật tồn tại khác.

4.        Cấp độ điều hành Quản lý rủi ro: Mang lại những hiểu biết tốt hơn về các hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng. Tương tự, nó đảm bảo nhiều khả năng sẵn sàng phụ thuộc ở cả phần cứng và phần mềm.

5.        Cấp độ thương mại Sự tín nhiệm và tin cậy: Các thành viên, cổ đông, và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.

6.        Cấp độ tài chính Tiết kiệm chi phí khắc phục các lỗ hỏng an ninh và có khả năng giảm chi phí bảo hiểm.

7.        Cấp độ con người Cải tiến nhận thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức.

Phụ lục:

Các yêu cầu của tiêu chuẩn ISO /IEC 27001:2005: “Công nghệ thông tin –Các phương pháp bảo mật- Hệ thống quản lý an ninh thông tin- các yêu cầu”(Information Technology – Security techniques – Information security management system – Requiremens).

 

ISO/IEC 27001:2005

“Information technology – Security techniques – Information security management system”

Nội dung của tiêu chuẩn ISO /IEC 27001:2005

“Công nghệ thông tin –Các phương pháp bảo mật- Hệ thống quản lý an ninh thông tin”

1.   Scope

1.1 General

1.2 Application

1.   Phạm vi

1.1 Tổng quan

1.2 Áp dụng

2. Normative references

2. Tài liệu viện dẫn

3. Terms and definitions

3.Thuật ngữ và định nghĩa

4. Information security management system

4.1 General requirements

4.2 Establishing and managing the ISMS

4.2.1 Establish the ISMS

4.2.2 Implement and operate the ISMS

4.2.3 Monitor and review the ISMS

4.2.4 Maintain and improve the ISMS

4. Hệ thống quản lý an ninh thông tin

4.1 Các yêu cầu chung

4.2 Thiết lập và quản lý hệ thống ISMS

4.2.1 Thiết lập ISMS

4.2.2 Triển khai và điều hành hệ thống ISMS

4.2.3 Giám sát và soát xét hệ thống ISMS

4.2.4 Duy trì và nâng cấp hệ thống ISMS

4.3 Documentation requirements

4.3.1 General

4.3.2 Control of documents

4.3.3 Control of records

4.3 Các yêu cầu về hệ thống tài liệu

4.3.1 Khái quát

4.3.2 Biện pháp quản lý tài liệu

4.3.3 Biện pháp quản lý hồ sơ

5. Management responsibility

5.1 Management commitment

5.2 Resource management

5.2.1 Provision of resources

5.2.2 Training, awareness and competence

5. Trách nhiệm của lãnh đạo

5.1 Cam kết của lãnh đạo

5.2 Quản lý nguồn lực

5.2.1 Cung cấp nguồn lực

5.2.2 Đào tạo, nhận thức và năng lực

8.2.2 Internal ISMS audits

6. Đánh giá nội bộ hệ thống ISMS

7.  Management review of the ISMS

7.1 General

7.2 Review input

7.3 Review output

7.  Xem xét của lãnh đạo đối với hệ thống ISMS

7.1 Khái quát

7.2  Đầu vào của xem xét lãnh đạo

7.3  Đầu ra của xem xét lãnh đạo

8. ISMS improvement

8.1 Continual improvement

8.2 Corective action

8.3 Preventive action

8 Cải tiến hệ thống ISMS

8.1 Cải tiến liên tục

8.2 Hành động khắc phục

8.3 Hành động phòng ngừa

 

*** Liên hệ đăng ký sử dụng dịch vụ đào tạo, tư vấn và chứng nhận

Quý khách hàng, tổ chức, doanh nghiệp yêu cầu dịch vụ Đào tạo, Tư vấn hoặc Chứng nhận Hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO 27001: 2013, xin vui lòng nhấn vào “Đăng ký-Báo giá hoặc trên thanh công cụ phía dưới bên phải màn hình PC để nhận báo giá cho dịch vụ đào tạo, tư vấn, chứng nhận ISO 27001 của chúng tôi.

*** Để biết thêm thông tin chi tiết, xin vui lòng liên hệ:

- Văn phòng VINTECOM Quốc tế tại Hà Nội: 16th Floor - Green Stars City - 234 Phạm Văn Đồng, Quận Bắc Từ Liêm, TP. Hà Nội. Hotline 094-886-5288/ (024) 730-588-58

- Văn phòng VINTECOM Quốc tế tại HCM: Golden City House - 182 Hà Huy Giáp, Quận 12, TP. HCM. Hotline 0938-083-998/ (028) 7300-7588

Xin cảm ơn!


CÔNG TY TƯ VẤN QUẢN LÝ VINTECOM QUỐC TẾ

 

Head Office: Số 5 phố Hoàng Sâm, Nghĩa Đô, Cầu giấy, TP. Hà Nội

 

VĂN PHÒNG VINTECOM HÀ NỘI

Address:  16th Floor - Green Stars City

234 Phạm Văn Đồng, quận Bắc Từ Liêm, TP. Hà Nội

Tel/ Fax :   (024) 730.588.58/ (024) 730.333.86 

Hotline:     0948 865 288

YM:            kdvintecom

Email :       office-hn@vintecom.com.vn

Web :         www.vintecom.com.vn

VĂN PHÒNG VINTECOM TP.HỒ CHÍ MINH

Address : Golden City House 

182 Ha Huy Giap Street, District 12, Ho Chi Minh City.

Contact:   Ms. Phạm Thu Hà

Tel:          (028) 7300 7588 

Hotline:   0938 083 998

Email :    office-hcm@vintecom.com.vn

Web :      www.vintecom.com.vn

 

Other

Tin tức khác

Xin vui lòng lựa chọn các dịch vụ của chúng tôi :