Phiên bản mới nhất của tiêu chuẩn ISO/IEC 27001:2022 có một số thay đổi và cập nhật đáng chú ý so với phiên bản trước đó (ISO/IEC 27001:2013). Những thay đổi này tập trung vào việc cải tiến cấu trúc và bổ sung các yêu cầu để phù hợp hơn với bối cảnh an ninh thông tin hiện đại. Dưới đây là các yêu cầu mới và cụ thể chính:
1. Cập nhật về cấu trúc và thuật ngữ
+ Sử dụng cấu trúc chung (HLS - High-Level Structure):
+ Tiêu chuẩn được tổ chức theo cấu trúc chung của các tiêu chuẩn quản lý ISO, giúp dễ tích hợp với các hệ thống quản lý khác như ISO 9001 (quản lý chất lượng) hoặc ISO 45001 (quản lý an toàn sức khỏe nghề nghiệp).
+ Thuật ngữ mới:
+ “Mối đe dọa thông tin” (Information Threat) được bổ sung để nhấn mạnh tầm quan trọng của việc nhận diện và ứng phó với các mối đe dọa an ninh hiện đại.
+ Tăng cường sử dụng các thuật ngữ liên quan đến năng lực tổ chức như “quản lý rủi ro” (Risk Management) và “giám sát” (Monitoring).
2. Cải tiến trong Phụ lục A (Annex A)
Thay đổi về cấu trúc điều khiển (Controls):
+ Số lượng điều khiển giảm từ 114 xuống 93, được tổ chức lại từ 14 điều khoản cũ thành 4 nhóm:
+ Con người (People): 8 điều khiển.
+ Tổ chức (Organizational): 37 điều khiển.
+ Công nghệ (Technological): 34 điều khiển.
+ Vật lý (Physical): 14 điều khiển.
Các điều khiển mới được bổ sung:
a. Threat intelligence (Kiến thức mối đe dọa):
+ Yêu cầu thu thập, phân tích thông tin về các mối đe dọa an ninh mạng để đưa ra biện pháp phòng ngừa kịp thời.
b. Information security for cloud services (An ninh thông tin cho dịch vụ đám mây):
+ Bảo vệ dữ liệu và dịch vụ khi sử dụng các nền tảng đám mây.
c. Configuration management (Quản lý cấu hình):
+ Đảm bảo rằng các thiết bị và hệ thống được cấu hình an toàn và đúng chuẩn.
d. Data masking (Ẩn danh dữ liệu):
+ Che giấu hoặc thay đổi dữ liệu nhạy cảm để bảo vệ nó trong các tình huống không yêu cầu truy cập thông tin gốc.
e. Monitoring activities (Giám sát hoạt động):
+ Theo dõi các hoạt động trong hệ thống để phát hiện và xử lý các sự cố an ninh.
f. Web filtering (Lọc web):
+ Kiểm soát và hạn chế quyền truy cập vào các trang web nguy hiểm hoặc không phù hợp.
g. Secure coding (Lập trình an toàn):
+ Áp dụng các phương pháp lập trình an toàn để giảm thiểu lỗ hổng phần mềm.
3. Yêu cầu mới về quản lý rủi ro
+ Phương pháp tiếp cận rủi ro hiện đại:
+ Khuyến khích tổ chức sử dụng phương pháp quản lý rủi ro linh hoạt hơn, tập trung vào mối đe dọa cụ thể (thay vì chỉ tuân thủ các điều khiển mặc định).
+ Cập nhật kế hoạch ứng phó sự cố (Incident Response Plan):
+ Phải bao gồm các biện pháp phòng ngừa, ứng phó, và khắc phục các mối đe dọa mới như ransomware hoặc tấn công chuỗi cung ứng.
4. Tăng cường yếu tố con người
+ Nâng cao nhận thức an ninh:
+ Tập trung hơn vào việc đào tạo và nâng cao nhận thức cho nhân viên về mối đe dọa thông tin.
+ Vai trò lãnh đạo (Leadership):
+ Lãnh đạo tổ chức phải tham gia sâu hơn vào việc thiết lập, duy trì, và cải tiến hệ thống quản lý an ninh thông tin.
5. Tăng cường tích hợp với hệ thống quản lý khác
+ ISO/IEC 27001:2022 được thiết kế để dễ dàng tích hợp với các hệ thống quản lý khác thông qua cấu trúc HLS. Điều này giúp tổ chức tiết kiệm tài nguyên và giảm sự trùng lặp trong việc tuân thủ nhiều tiêu chuẩn ISO.
6. Nâng cao khả năng giám sát và đo lường
+ Tiêu chuẩn mới nhấn mạnh việc sử dụng các công cụ và công nghệ để giám sát an ninh thông tin theo thời gian thực.
+ Đòi hỏi tổ chức phải có khả năng đo lường hiệu quả của các điều khiển và chính sách an ninh thông tin.
7. Cập nhật các yêu cầu pháp lý và quy định
+ ISO/IEC 27001:2022 nhấn mạnh sự tuân thủ với các quy định pháp lý mới, như GDPR (Châu Âu), HIPAA (Hoa Kỳ), hoặc các luật an ninh mạng địa phương.
📶📶📶 Liên hệ đăng ký ngay dịch vụ đào tạo, tư vấn chứng nhận ISO 27001: 2022
Quý
khách hàng, tổ chức, doanh nghiệp yêu cầu dịch vụ Đào tạo, Tư vấn chứng
nhận Hệ thống quản lý An toàn thông tin ISMS theo tiêu chuẩn ISO 27001:
2022, xin vui lòng nhấn vào“Đăng ký-Báo giá”hoặc trên thanh công cụ phía dưới bên phải màn hình PC để nhận báo giá cho dịch vụ đào tạo, tư vấn chứng nhận ISO 27001: 2022.
🎁🎁🎁 Hỗ trợ thẩm định hệ thống văn bản, hồ sơ ISO khi đăng ký online
📶📶📶 Để biết thêm thông tin chi tiết, xin vui lòng liên hệ:
🌐 Văn phòng VINTECOM Quốc tế tại Hà Nội: 16thFloor -Green Stars City - 234 Phạm Văn Đồng, Quận Bắc Từ Liêm, TP. Hà Nội. Hotline 094-886-5288/ (024) 730-588-58
🌐 Văn phòng VINTECOM Quốc tế tại HCM: D8-09 Rosita Khang Điền, Phú Hữu, Thủ Đức City, TP. HCM. Hotline 0938-083-998/ (028) 7300-7588
Xin cảm ơn!
CÔNG TY TƯ VẤN QUẢN LÝ VINTECOM QUỐC TẾ
Head Office: Số 5 phố Hoàng Sâm, Nghĩa Đô, Cầu giấy, TP. Hà Nội
VĂN PHÒNG VINTECOM HÀ NỘI
Address: 16th Floor - Green Stars City
234 Phạm Văn Đồng, quận Bắc Từ Liêm, TP. Hà Nội
Tel/ Fax : (024) 730.588.58/ (024) 730.333.86
Hotline: 0948 865 288
Skype: kd.vintecom
Email : office-hn@vintecom.com.vn
Web : www.vintecom.com.vn
VĂN PHÒNG VINTECOM TP.HỒ CHÍ MINH
Address : D8-09 Rosita Khang Dien
Nguyen Thi Tu, Phu Huu, Thu Duc city, Ho Chi Minh City.
Contact: Ms. Phạm Thu Hà
Tel: (028) 7300 7588
Hotline: 0938 083 998
Email : office-hcm@vintecom.com.vn
Web : www.vintecom.com.vn