Tư vấn ISO 27001: 2022 - Hệ thống quản lý An toàn thông tin ISMS - Những thay đổi và cập nhật đáng chú ý so với phiên bản trước đó (ISO/IEC 27001:2013)
Phiên bản mới nhất của tiêu chuẩn ISO/IEC 27001:2022 có một số thay đổi và cập nhật đáng chú ý so với phiên bản trước đó (ISO/IEC 27001:2013). Những thay đổi này tập trung vào việc cải tiến cấu trúc và bổ sung các yêu cầu để phù hợp hơn với bối cảnh an ninh thông tin hiện đại. Dưới đây là các yêu cầu mới và cụ thể chính:
1. Cập nhật về cấu trúc và thuật ngữ
+ Sử dụng cấu trúc chung (HLS - High-Level Structure):
+ Tiêu chuẩn được tổ chức theo cấu trúc chung của các tiêu chuẩn quản lý ISO, giúp dễ tích hợp với các hệ thống quản lý khác như ISO 9001 (quản lý chất lượng) hoặc ISO 45001 (quản lý an toàn sức khỏe nghề nghiệp).
+ Thuật ngữ mới:
+ “Mối đe dọa thông tin” (Information Threat) được bổ sung để nhấn mạnh tầm quan trọng của việc nhận diện và ứng phó với các mối đe dọa an ninh hiện đại.
+ Tăng cường sử dụng các thuật ngữ liên quan đến năng lực tổ chức như “quản lý rủi ro” (Risk Management) và “giám sát” (Monitoring).
2. Cải tiến trong Phụ lục A (Annex A)
Thay đổi về cấu trúc điều khiển (Controls):
+ Số lượng điều khiển giảm từ 114 xuống 93, được tổ chức lại từ 14 điều khoản cũ thành 4 nhóm:
+ Con người (People): 8 điều khiển.
+ Tổ chức (Organizational): 37 điều khiển.
+ Công nghệ (Technological): 34 điều khiển.
+ Vật lý (Physical): 14 điều khiển.
Các điều khiển mới được bổ sung:
a. Threat intelligence (Kiến thức mối đe dọa):
+ Yêu cầu thu thập, phân tích thông tin về các mối đe dọa an ninh mạng để đưa ra biện pháp phòng ngừa kịp thời.
b. Information security for cloud services (An ninh thông tin cho dịch vụ đám mây):
+ Bảo vệ dữ liệu và dịch vụ khi sử dụng các nền tảng đám mây.
c. Configuration management (Quản lý cấu hình):
+ Đảm bảo rằng các thiết bị và hệ thống được cấu hình an toàn và đúng chuẩn.
d. Data masking (Ẩn danh dữ liệu):
+ Che giấu hoặc thay đổi dữ liệu nhạy cảm để bảo vệ nó trong các tình huống không yêu cầu truy cập thông tin gốc.
e. Monitoring activities (Giám sát hoạt động):
+ Theo dõi các hoạt động trong hệ thống để phát hiện và xử lý các sự cố an ninh.
f. Web filtering (Lọc web):
+ Kiểm soát và hạn chế quyền truy cập vào các trang web nguy hiểm hoặc không phù hợp.
g. Secure coding (Lập trình an toàn):
+ Áp dụng các phương pháp lập trình an toàn để giảm thiểu lỗ hổng phần mềm.
3. Yêu cầu mới về quản lý rủi ro
+ Phương pháp tiếp cận rủi ro hiện đại:
+ Khuyến khích tổ chức sử dụng phương pháp quản lý rủi ro linh hoạt hơn, tập trung vào mối đe dọa cụ thể (thay vì chỉ tuân thủ các điều khiển mặc định).
+ Cập nhật kế hoạch ứng phó sự cố (Incident Response Plan):
+ Phải bao gồm các biện pháp phòng ngừa, ứng phó, và khắc phục các mối đe dọa mới như ransomware hoặc tấn công chuỗi cung ứng.
4. Tăng cường yếu tố con người
+ Nâng cao nhận thức an ninh:
+ Tập trung hơn vào việc đào tạo và nâng cao nhận thức cho nhân viên về mối đe dọa thông tin.
+ Vai trò lãnh đạo (Leadership):
+ Lãnh đạo tổ chức phải tham gia sâu hơn vào việc thiết lập, duy trì, và cải tiến hệ thống quản lý an ninh thông tin.
5. Tăng cường tích hợp với hệ thống quản lý khác
+ ISO/IEC 27001:2022 được thiết kế để dễ dàng tích hợp với các hệ thống quản lý khác thông qua cấu trúc HLS. Điều này giúp tổ chức tiết kiệm tài nguyên và giảm sự trùng lặp trong việc tuân thủ nhiều tiêu chuẩn ISO.
6. Nâng cao khả năng giám sát và đo lường
+ Tiêu chuẩn mới nhấn mạnh việc sử dụng các công cụ và công nghệ để giám sát an ninh thông tin theo thời gian thực.
+ Đòi hỏi tổ chức phải có khả năng đo lường hiệu quả của các điều khiển và chính sách an ninh thông tin.
7. Cập nhật các yêu cầu pháp lý và quy định
+ ISO/IEC 27001:2022 nhấn mạnh sự tuân thủ với các quy định pháp lý mới, như GDPR (Châu Âu), HIPAA (Hoa Kỳ), hoặc các luật an ninh mạng địa phương.
Lợi ích của việc ứng dụng ISO 27001: 2022
Bảo vệ an toàn thông tin là một nhiệm vụ không thể thiếu của các doanh nghiệp trong môi trường kinh doanh hiện nay. Việc áp dụng một hệ tiêu chuẩn đã được công nhận và ứng dụng ở nhiều nơi trên thế giới như ISO 27001 sẽ đưa đến cho doanh nghiệp những lợi ích sau:
Trước tiên, các tài sản thông tin của doanh nghiệp sẽ được bảo vệ. Như đã đề cập ở trên, tài sản thông tin là tài sản quan trọng nhất của doanh nghiệp. Áp dụng hệ thống quản lý an toàn thông tin chuẩn, doanh nghiệp có thể phân loại và có các ưu tiên hợp lý để bảo vệ tài sản thông tin quan trọng của mình.
Thứ hai, quy trình quản lý thông tin doanh nghiệp sẽ được tối ưu hoá. Việc chuẩn hoá hệ thống thông tin sẽ tác động đến các quy trình quản lý thông tin, giúp các doanh nghiệp có được những thông lệ tối ưu để quản lý thông tin, điều này giúp họ cải tiến việc sử dụng nguồn lực quản lý thông tin.
Thứ ba, việc chuẩn hoá hệ thống thông tin cũng sẽ góp phần nâng cao sự tin tưởng của khách hàng và các đối tác nói chung. Việc bảo quản thông tin khách hàng một cách có hệ thống sẽ tạo sự tin tưởng cho khách hàng khi giao dịch kinh doanh với doanh nghiệp, điều này tạo nên lợi thế lớn trong việc nâng cao vị thế và hình ảnh của doanh nghiệp.
Lợi ích cuối cùng không kém phần quan trọng là nâng cao nhận thức về rủi ro thông tin cho nhân viên: tiêu chuẩn hoá hệ thống an toàn thông tin sẽ giúp doanh nghiệp có những biện pháp đào tạo, huấn luyện nhằm nâng cao nhận thức của nhân viên trong việc bảo vệ an toàn thông tin của doanh nghiệp.
Một số lưu ý để áp dụng thành công ISO 27001:2022
Trước tiên, nên ưu tiên xây dựng hệ thống quản lý an toàn thông tin gọi tắt là ISMS (Information Security Management System). Doanh nghiệp phải thiết lập, triển khai, thực hiện, giám sát và cải tiến một hệ thống ISMS cho riêng mình như là một khung quản lý đối với những rủi ro kinh doanh liên quan đến thông tin của doanh nghiệp. Việc xây dựng hệ thống quản lý an toàn thông tin bao gồm việc đưa ra chính sách an toàn thông tin, các quy trình, thủ tục quản lý thông tin, phân tích và xác định rủi ro, thiết lập các kiểm soát, quản lý tài nguyên.
📶📶📶 Liên hệ đăng ký ngay dịch vụ đào tạo, tư vấn chứng nhận ISO 27001: 2022
Quý
khách hàng, tổ chức, doanh nghiệp yêu cầu dịch vụ Đào tạo, Tư vấn chứng
nhận Hệ thống quản lý An toàn thông tin ISMS theo tiêu chuẩn ISO 27001:
2022, xin vui lòng nhấn vào“Đăng ký-Báo giá”hoặc trên thanh công cụ phía dưới bên phải màn hình PC để nhận báo giá cho dịch vụ đào tạo, tư vấn chứng nhận ISO 27001: 2022.
🎁🎁🎁 Hỗ trợ thẩm định hệ thống văn bản, hồ sơ ISO khi đăng ký online
📶📶📶 Để biết thêm thông tin chi tiết, xin vui lòng liên hệ:
🌐 Văn phòng VINTECOM Quốc tế tại Hà Nội: 16thFloor -Green Stars City - 234 Phạm Văn Đồng, Quận Bắc Từ Liêm, TP. Hà Nội. Hotline 094-886-5288/ (024) 730-588-58
🌐 Văn phòng VINTECOM Quốc tế tại HCM: D8-09 Rosita Khang Điền, Phú Hữu, Thủ Đức City, TP. HCM. Hotline 0938-083-998/ (028) 7300-7588
Xin cảm ơn!

CÔNG TY TƯ VẤN QUẢN LÝ VINTECOM QUỐC TẾ
Head Office: Số 5 phố Hoàng Sâm, Nghĩa Đô, Cầu giấy, TP. Hà Nội
VĂN PHÒNG VINTECOM HÀ NỘI
Address: 16th Floor - Green Stars City
234 Phạm Văn Đồng, quận Bắc Từ Liêm, TP. Hà Nội
Tel/ Fax : (024) 730.588.58/ (024) 730.333.86
Hotline: 0948 865 288
Skype: kd.vintecom
Email : office-hn@vintecom.com.vn
Web : www.vintecom.com.vn
VĂN PHÒNG VINTECOM TP.HỒ CHÍ MINH
Address : D8-09 Rosita Khang Dien
Nguyen Thi Tu, Phu Huu, Thu Duc city, Ho Chi Minh City.
Contact: Ms. Phạm Thu Hà
Tel: (028) 7300 7588
Hotline: 0938 083 998
Email : office-hcm@vintecom.com.vn
Web : www.vintecom.com.vn