ISO 27000

Tiêu chuẩn ISO 27001 là gì?

 
Tiêu chuẩn ISO 27001 ? 
 
 
+  Thông tin là một phần quan trọng của mỗi tổ chức và tiêu chuẩn này đưa ra các phưong pháp đánh giá việc theo dõi, bảo vệ và quản lý hệ thống thông tin và dữ liệu. Việc mất dữ liệu và thông tin trong bất cứ trường hợp nào ít nhất cũng gây ra sự bất tiện cho tổ chức, và trầm trọng hơn có thể khiến tổ chức sụp đổ.

ISO 27001 là tiêu chuẩn về hệ thống quản lý an ninh thông tin (ISMS–Information Security Management System) do Tổ chức  tiêu chuẩn hoá quốc tế (ISO) phát triển và ban hành vào tháng 10 năm 2005. Tiêu chuẩn cung cấp một mô hình để thiết lập, áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến Hệ thống ISMS và có thể áp dụng cho hầu hết mọi loại hình tổ chức như: các tổ chức kinh doanh – thương mại, Chính phủ, tổ chức phi lợi nhuận.

+  ISO/IEC 27001 là tiêu chuẩn về Hệ thống quản lý an ninh thông tin (ISMS – Information Security Management System) do Tổ chức tiêu chuẩn hóa quốc tế (ISO) ban hành vào tháng 10 năm 2005.

+  Hệ thống quản lý an ninh thông tin (ISMS) cho phép một tổ chức thiết lập một mô hình hiệu quả để quản lý an ninh thông tin. ISO/IEC 27001 xác định các yêu cầu toàn diện đối với Hệ thống quản lý an ninh thông tin  có đề cập đến tất cả các khía cạnh kỹ thuật và con người đối với an ninh thông tin trong tất cả các quá trình hoạt động của nó. Các công ty có thể được đánh giá một cách độc lập đối với ISO /IEC 27001 và đạt được chứng nhận để chỉ ra cho khách hàng, đối tác và các cơ quan quản lý của họ thấy rằng các quá trình của họ được an toàn trong việc xử lý thông tin.

+  ISO 27001 qui định những yêu cầu đối với hệ thống an ninh thông tin là cơ sở để xem xét đánh giá cấp chứng chỉ của các tổ chức chứng nhận.
+   ISO 27001 được xây dựng hài hoà, tương thích với các hệ thống quản lý khác như : ISO 9001: 2000 và ISO 14001: 2004 và đã có ảnh hưởng trên phạm vi toàn cầu.​ 

Đối tượng áp dụng: 

+  ISO/IEC 27001 phù hợp cho bất kỳ tổ chức nảo có quy mô lớn hay nhỏ ở bất kỳ lĩnh vực nào hoặc nơi nào trên thế giới.

+  Tiêu chuẩn này đặc biệt phù  hợp tại những nơi mà việc bảo vệ thông tin là thiết yếu như trong lĩnh vực tài chính, y tế, công cộng và công ngệ thông tin.

+  ISO/IEC 27001 cũng đem lại hiệu quả cao cho các tổ chức quản lý thông tin cho các đơn vị khác như các công ty gia công phần mềm.  Những công ty này có thể áp dụng ISO/IEC 27001 để đảm bảo với khách hàng rằng thông tin của họ đang được bảo vệ.

Lợi ích khi áp dụng ISO 27001 

+  Chứng minh sự bảo đảm độc lập của việc kiểm soát nội bộ và đáp ứng các yêu cầu về kinh doanh và quản trị doanh nghiệp.

+   Độc lập chứng minh rawnfgc ác quy định và luật có thẻ áp dụng đều đã được xem xét.

+  Tạo lợi thế canh tranh với việc đáp ứng cái yêu cầu thông qua hợp đồng và chứng minh với khách hàng rằng việc bảo mật an toàn thông tin của họ là tối quan trọng.

+  Độc lập xác minh rằng rủi ro của rổ chức được nhận diện, đánh giá và ứng phó một cách đúng đắn, với việc chuẩn hóa các quá trình, thủ tục và tài liệu bảo mật thông tin.

+  Chứng minh cam kết của lãnh đạo cao nhất về việc bảo mật, an toàn thông tin trong toàn bộ các hoạt động.

+  Quá trình đánh giá thường xuyên giúp giám sát liên tục và cải tiến hiệu suất của hệ thống quản lý an ninh thông tin.

+   Thể hiện rõ cam kết đảm bảo về an ninh thông tin ở mọi cấp độ trong tổ chức
+   Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu
+   Bảo mật thông tin, tạo niềm tin cho đối tác và khách hàng
+   Giảm thiếu nguy cơ rủi ro
+   Nhanh chóng khắc phục các sự cố nếu xảy ra
+   Giảm giá thành và các chi phí bảo hiểm
+   Nâng cao nhận thức và trách nhiệm của tất cả các nhân viên về an ninh thông tin

Một số hoạt động tại doanh nghiệp khi tiến hành xây dựng Hệ thống quản lý an ninh thông tin

  +  Xác định yêu cầu của Hệ thống quản lý an ninh thông tin
  +  Xác định ra những quá trình đảm bảo an ninh thông tin.
  +  Xác định Chính sách và Mục tiêu an ninh thông tin để định hướng cho từng cá nhân trong Doanh nghiệp
  +  Xác định trách nhiệm quyền hạn của từng bộ phận, cá nhân liên quan đến an ninh thông tin
  +  Lập ra các quy trình triển khai để đảm bảo các quá trình được thực hiện theo một phương pháp thống nhất trong Doanh nghiệp.
  +  Đào tạo và hướng dẫn các quy trình đến toàn bộ cán bộ công nhân viên
  +  Thực hiện đánh giá nội bộ để kiểm tra mức độ tuân thủ các quy trình và hướng dẫn.
  +  Thực hiện các biện pháp khắc phục phòng ngừa mỗi khi có sự không phù hợp được phát hiện.

Đánh giá liên tục giành lợi thế cạnh tranh

+  Nếu tổ chức bạn đạt được chứng nhận ISO 27001, khách hàng của bạn tin tưởng khi biết rằng những mối rủi ro về an ninh đều được đánh giá và giảm thiểu và tổ chức của bạn cũng có sẵn những hệ thống để bảo vệ và khôi phục thông tin nhanh chóng trong trường hợp mất dữ liệu.

+  Một quá trình cải tiến liên tục sẽ đem lại cho tổ chức của bạn những công cụ quản lý cần thiết để giám sát và cải tiến vấn đề an ninh của những thông tin giá trị của tổ chức bạn.

 Quy trình ISO 27001