quang cao

GIỚI THIỆU HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN THEO TIÊU CHUẨN ISO/IEC 27001


1. ISO/IEC 27001 là gì?

ISO/IEC 27001 là tiêu chuẩn về Hệ thống quản lý an ninh thông tin (ISMS – Information Security Management System) do Tổ chức tiêu chuẩn hóa quốc tế (ISO) ban hành vào tháng 10 năm 2005.
Hệ thống quản lý an ninh thông tin (ISMS) cho phép một tổ chức thiết lập một mô hình hiệu quả để quản lý an ninh thông tin. ISO/IEC 27001 xác định các yêu cầu toàn diện đối với Hệ thống quản lý an ninh thông tin  có đề cập đến tất cả các khía cạnh kỹ thuật và con người đối với an ninh thông tin trong tất cả các quá trình hoạt động của nó. Các công ty có thể được đánh giá một cách độc lập đối với ISO/IEC 27001 và đạt được chứng nhận để chỉ ra cho khách hàng, đối tác và các cơ quan quản lý của họ thấy rằng các quá trình của họ được an toàn trong việc xử lý thông tin.
 
Mục tiêu của ISO/IEC 27001 là cung cấp một cơ sở chung cho việc phát triển các tiêu chuẩn bảo mật của tổ chức và thực hiện quản lý bảo mật hiệu quả đồng thời cung cấp sự tin tưởng trong giao dịch giữa các tổ chức.
 
2. Lợi ích của ISO/IEC 27001 

- Giúp nhận biết, đánh giá được các rủi ro, xây dựng các biện pháp và tạo ý thức và trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ chức.
- Thể hiện trách nhiệm của tổ chức trong việc quản lý hệ thống thông tin, biểu hiện bảo mật thông tin trên mọi mức độ của tổ chức.
- Thể hiện tính tuân thủ luật pháp và quy tắc trong lĩnh vực quản lý thông tin.
- Quản lý rủi ro, dẫn đến hiểu biết tốt hơn về hệ thống an toàn thông tin, điểm yếu của chúng và cách bảo vệ chúng.
- Các đối tác, cổ đông và khách hàng yên tâm khi họ thấy được sự quan trọng trong bảo vệ thông tin của tổ chức.
- Xác định các thông tin quan trọng, các rủi ro có thể để giảm thiểu các rủi ro đó, xác định các mức chi phí bảo hiểm tốt nhất cho các rủi ro.
- Phát triển nhận thức của nhân viên trong an toàn và trách nhiệm của họ đối với tổ chức.
 
3. Các bước triển khai ISO/IEC 27001 trong doanh nghiệp 

Về cơ bản, các bước triển khai hệ thống ISO/IEC 27001 có nhiều điểm tương đồng với áp dụng ISO 9001 & ISO 14001… Tuy nhiên, đây là hệ thống quản lý an ninh thông tin nên có một số điểm cần chú trọng khi xây dựng như: xác định đầy đủ các tài sản thông tin, nhận biết và đánh giá mối nguy, lựa chọn các biện pháp xử lý mối nguy thích hợp…
Các bước cơ bản cần thực hiện để đạt được chứng nhận hệ thống quản lý an ninh thông tin ISO/IEC 27001:
Cam kết của Lãnh đạo về xây dựng hệ thống quản lý an toàn thông tin cho tổ chức.
2) Phổ biến, đào tạo nhận thức về tiêu chuẩn ISO/IEC 27001 cho cán bộ.
3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001.
4) Xây dựng chính sách, mục tiêu và phạm vi của hệ thống ISMS
5) Phân tích, đánh giá các rủi ro về an toàn thông tin trong phạm vi của hệ thống.
6) Thiết lập các biện pháp kiểm soát rủi ro.
7) Lựa chọn mục tiêu và các biện pháp kiểm soát.
8) Vận hành hệ thống ISMS đã thiết lập.
9) Thực hiện các hoạt động xem xét và cải tiến hiệu lực hệ thống.
10) Đánh giá chứng nhận.
 
4. Đối tượng áp dụng ISO/IEC 27001

Tiêu chuẩn ISO/IEC 27001:2005 có thể được áp dụng rộng rãi cho nhiều loại hình tổ chức ( các tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận…). Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng… của tổ chức.
ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác như ISO 9001, ISO 14001...
 
5. Quy trình chứng nhận ISO/IEC 27001

 
 
chan trang
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây