GIỚI THIỆU HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN – ISO 27000:2013 - KHÓA ĐÀO TẠO LEAD AUDITOR ISO 27001:2013 ĐƯỢC CÔNG NHẬN BỞI EXEMPLAR GLOBAL

GIỚI THIỆU

HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN – ISO 27000:2013

KHÓA ĐÀO TẠO LEAD AUDITOR ISO 27001:2013

ĐƯỢC CÔNG NHẬN BỞI EXEMPLAR GLOBAL

TỔNG QUAN VỀ ISO 27001:2013

ISO 27001: 2013 là tiêu chuẩn quốc tế cung cấp các yêu cầu cho Hệ thống quản lý an toàn thông tin (ISMS) để đảm bảo tính bảo mật liên tục, tính toàn vẹn và tính sẵn có của thông tin cũng như sự tuân thủ pháp luật.

Việc thiết lập hệ thống ISO 27001 được xem là cần thiết để bảo vệ các tài sản quan trọng nhất của tổ chức như thông tin nhân viên và khách hàng, hình ảnh thương hiệu và thông tin cá nhân khác. Tiêu chuẩn ISO này bao gồm cách tiếp cận dựa trên quy trình để triển khai, thực hiện, vận hành và duy trì ISMS của tổ chức.

BỐI CẢNH HÌNH THÀNH ISO 27001:2013

ISO/IEC 27001 nằm trong bộ tiêu chuẩn quốc tế ISO/IEC 27000 về quản lý an toàn thông tin.

Tháng 12 năm 2000, tiêu chuẩn BS 7799-1 được tổ chức Tiêu chuẩn hóa quốc tế (ISO) và Ủy ban kỹ thuật điện quốc tế (IEC) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000.

Năm 2005, tiêu chuẩn này được ban hành thành tiêu chuẩn ISO/IEC 27001:2005 “Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu”. Tiêu chuẩn ISO/IEC 27001:2005 sau đó được sửa đổi, bổ sung để ban hành lần thứ 2 vào năm 2013 (ISO/IEC 27001:2013).

NỘI DUNG CỦA ISO 27001:2013

ISO 27001:2013 bao gồm 10 điều khoản, trong đó nội dung yêu cầu chủ yếu của Tiêu chuẩn nằm trong 7 điều khoản chính (từ điều khoản 4 đến điều khoản 10).

Theo đó, ISO 27001:2013 đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp hệ thống ISMS của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 7 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn:

Điều khoản 4 - Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý an toàn thông tin (ATTT) phù hợp.

Điều khoản 5 - Lãnh đạo: Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ thống ISMS, bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy trì hệ thống; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống.

Điều khoản 6 - Lập kế hoạch: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó.

Điều khoản 7 - Hỗ trợ: yêu cầu đối với việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực ATTT và ISMS, số hóa thông tin.

Điều khoản 8 - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đã đề ra. Đồng thời cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý.

Điều khoản 9 - Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá Hệ thống ISMS của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ chức.

Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực hiện - Kiểm tra - Hành  động (P-D-C-A), tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS không ngừng được cải tiến trong quá trình hoạt động. Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục, phòng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của Hệ thống ISMS.

- Phụ lục A - Các mục tiêu và biện pháp kiểm soát: đưa ra 14 lĩnh vực kiểm soát nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện khi xây dựng và duy trì Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm từ chính sách của lãnh đạo tổ chức, tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự, các nguyên tắc căn bản để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT....

- Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được và các biện pháp cụ thể để đạt được mục tiêu đó. Các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với lĩnh vực hoạt động của mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.

Ý NGHĨA CỦA TIÊU CHUẨN ISO 27001:2013

Hiện nay, việc áp dụng Hệ thống quản lý an toàn thông tin đã được triển khai rộng khắp ở hầu hết quốc gia trên thế giới. Tại Việt Nam, thời gian qua một số tổ chức ngân hàng, tài chính, công nghệ thông tin cũng bắt đầu quan tâm triển khai áp dụng HTQL an toàn thông tin và bước đầu đã đạt được kết quả nhất định.

ISO 27001 có thể áp dụng đối với mọi loại hình tổ chức (doanh nghiệp sản xuất, dịch vụ, thương mại, cơ quan chính phủ, các tổ chức phi chính phủ…). Tiêu chuẩn này quy định yêu cầu đối với việc thiết lập, thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến hệ thống quản lý an toàn thông tin (ISMS) dưới dạng văn bản trong bối cảnh rủi ro liên quan đến các quá trình kinh doanh/ tác nghiệp tổng thể của chính tổ chức đó.

Tiêu chuẩn cũng quy định cụ thể yêu cầu đối với việc thực hiện các biện pháp kiểm soát an toàn tương thích với nhu cầu của chính tổ chức. Mục đích cuối cùng của hệ thống là nhằm bảo vệ tài sản thông tin và tạo lòng tin cho các bên quan tâm.

NHỮNG LỢI ÍCH KHI ĐẠT ĐƯỢC CHỨNG NHẬN ISO 27001:2013

Lợi ích của việc thực hiện ISMS chủ yếu có được từ việc giảm các rủi ro về ATTT (ví dụ như giảm khả năng xảy ra và/ hoặc tác động gây ra bởi các sự cố ATTT).

Cụ thể, lợi ích này đã được thừa nhận đối với các tổ chức, doanh nghiệp đạt được sự thành công bền vững thông qua việc chấp nhận và áp dụng ISMS theo ISO 27001:2013 bao gồm:

- Tạo khuôn khổ được cấu trúc để hỗ trợ cho việc quy định, thực hiện, vận hành và duy trì hệ thống quản lý ATTT toàn diện, hiệu quả về chi phí, tạo thêm giá trị (cho khách hàng, các bên quan tâm và cho chính tổ chức), nhất quán và đồng bộ nhằm thỏa mãn nhu cầu của tổ chức;

- Hỗ trợ cho lãnh đạo tổ chức trong việc quản lý và vận hành một cách nhất quán, có trách nhiệm đối với hoạt động quản lý về ATTT, dựa trên nền tảng quản lý các rủi ro của tổ chức, kể cả việc giáo dục và đào tạo cho các chủ thể của hệ thống và các quá trình nghiệp vụ trong tổ chức, doanh nghiệp về quản lý ATTT;

- Thúc đẩy việc áp dụng các thực hành tốt về ATTT đã được chấp nhận toàn cầu, tạo cơ hội để tổ chức, doanh nghiệp có thể tiếp cận và chấp nhận áp dụng, cải tiến các biện pháp kiểm soát phù hợp với tình huống/ bối cảnh cụ thể của mình cũng như duy trì các biện pháp kiểm soát này trước những thay đổi từ nội bộ và bên ngoài;

- Tạo lòng tin cho khách hàng, đối tác kinh doanh về hệ thống quản lý ATTT được tuân thủ, phù hợp tiêu chuẩn được thừa nhận quốc tế, nhất là khi các đối tác này yêu cầu chứng nhận sự phù hợp của hệ thống quản lý ATTT theo yêu cầu ISO 27001 bởi một tổ chức chứng nhận được công nhận;

- Thỏa mãn nhu cầu và mong đợi của xã hội về khía cạnh ATTT, kể cả việc đáp ứng, tuân thủ yêu cầu của pháp luật;

- Đạt hiệu quả hơn về quản lý kinh tế khi đầu tư cho quản lý ATTT.

QUY TRÌNH ĐẠT ĐƯỢC CHỨNG NHẬN ISO 27001:2013

Quá trình đánh giá chứng nhận ISO 27000:2013 được thực hiện sau khi doanh nghiệp đã hoàn thành việc áp dụng và vận hành hoạt động Hệ thống quản lý an toàn thông tin nội bộ. 

Quá trình này cần sự phối hợp tham gia của tất cả nhân viên cùng với đánh giá viên (lead auditor) theo các bước cụ thể sau:

  1. Tiếp nhận yêu cầu đánh giá

  2. Báo phí đánh giá chứng nhận

  3. Ký kết hợp đồng và chỉ định chuyên gia đánh giá

  4. Lập kế hoạch đánh giá và thông báo đến doanh nghiệp

  5. Kiểm tra, xem xét hồ sơ

  6. Đánh giá thực địa

  7. Khắc phục những điểm không phù hợp (nếu có)

  8. Hoàn tất báo cáo đánh giá

  9. Tổ chức chứng nhận cấp chứng nhận chính thức

Sau lần đánh giá đầu tiên, doanh nghiệp tiếp tục chứng minh việc duy trì hệ thống bằng hai đợt đánh giá giám sát hàng năm để đảm bảo hiệu lực 3 năm của chứng nhận ISO 27001:2013.

DỊCH VỤ TƯ VẤN CHỨNG NHẬN CHUYÊN NGHIỆP TẠI ISC VIỆT NAM

ISC tự hào là một trong những đơn vị hàng đầu trong lĩnh vực tư vấn đào tạo và cấp chứng chỉ kiểm định các tiêu chuẩn quốc tế.

Được hình thành và phát triển qua hơn 10 năm, đồng hành cùng hơn 2600 doanh nghiệp lớn nhỏ trên khắp Việt Nam và thế giới. Là đối tác nhiều năm phối hợp với các đơn vị tư vấn thực hiện nhiệm vụ của Tổng cục Tiêu chuẩn Đo lường Chất lượng - Bộ Khoa học và Công nghệ; Cùng với đội ngũ chuyên gia nhiều năm kinh nghiệm, chúng tôi sẽ cung cấp cho bạn dịch vụ nhanh chóng, hiệu quả và chuyên nghiệp. Hãy liên hệ trực tiếp với chúng tôi để được tư vấn hỗ trợ.

Chúng tôi sẵn sàng giúp doanh nghiệp của bạn với chuyên môn của chúng tôi. Chúng tôi thấu hiểu hơn ai hết bạn cần bắt đầu một hành trình như thế nào và làm sao để duy trì nó một cách bền vững.

CƠ HỘI TRỞ THÀNH LEAD AUDITOR TIÊU CHUẨN ISO 27001:2013 ĐƯỢC CÔNG NHẬN BỞI EXEMPAR GLOBAL TẠI ISC

Khóa đào tạo Lead Auditor Hệ thống Quản lý An toàn Thông Tin theo Tiêu chuẩn ISO 27001:2013 sẽ giúp bạn rèn luyện và phát triển kỹ năng chuyên môn cần thiết, đồng thời cung cấp sự công nhận quốc tế cho các đánh giá viên để thực hiện đánh giá Hệ Thống Quản Lý An Toàn Thông Tin theo tiêu chuẩn ISO 27001:2013.

Thông qua các bài kiểm tra chuyên sâu về kiến thức và các kỹ năng cá nhân, khóa đào tạo Lead Auditor dành cho Hệ Thống Quản Lý An Toàn Thông Tin này có thể cung cấp bằng chứng chứng minh năng lực của bạn trong việc đánh giá Hệ Thống Quản Lý An Toàn Thông Tin của các công ty, tổ chức, đồng thời đảm bảo rằng các cuộc đánh giá của bạn sẽ được chấp nhận trên toàn cầu.

Trải qua khóa đào tạo này, bạn sẽ có được kiến thức và kỹ năng để lập kế hoạch và quản lý đánh giá một cách hiệu quả Hệ Thống Quản Lý An Toàn Thông Tin, theo đúng quy trình tuân thủ ISO 19011:2018.

Khóa đào tạo Lead Auditor dành cho Tiêu chuẩn ISO 27001:2013 của chúng tôi kéo dài 8 tuần, bao gồm 16 bài học, được chứng nhận bởi Exemplar Global (https://exemplarglobal.org/)

Khóa đào tạo có thể được chia thành những phần chi tiết hơn như sau:

  • Khóa đào tạo 5 ngày dành cho Đánh giá viên trưởng.
  • Khóa đào tạo 2 ngày dành cho Đánh giá viên nội bộ.
  • Khóa đào tạo 1 ngày về Nhận thức đối với Tiêu chuẩn ISO 27001:2013

Sau khi hoàn thành bài kiểm tra cuối khóa đạt yêu cầu, bạn sẽ đủ điều kiện trở thành chuyên gia đánh giá trưởng (Lead Auditor) và được cấp chứng nhận bởi tổ chức được Exemplar Global công nhận.

Bạn mong muốn trở thành một đánh giá viên trưởng chuyên nghiệp. Bạn là nhà quản lý hoặc đánh giá viên Hệ Thống Quản Lý An Toàn Thông Tin (ISMS) trong tổ chức, doanh nghiệp có nhu cầu tìm hiểu áp dụng ISO 27001:2013. Bạn là chuyên gia tư vấn hệ thống ISMS muốn nâng cao kỹ năng để trở thành Lead Auditor. Bạn là chuyên gia kỹ thuật đang chuẩn bị cho quá trình đánh giá chứng nhận ISO 27001:2013.

Hãy đến với khóa học của chúng tôi để nhận chìa khóa dẫn đến thành công.

LIÊN HỆ VỚI #ISC_VIỆT_NAM ĐỂ ĐƯỢC TƯ VẤN TRỰC TIẾP VỀ KHÓA HỌC VÀ CÁC DỊCH VỤ TƯ VẤN CHỨNG NHẬN

Ms. Vân Phạm

#Hotline: 0931796188

#Email: van.pham@iscvietnam.net

#Văn_Phòng_ISC_Việt_Nam

=> Hà Nội: Số 18 Tam Trinh, Quận Hai Bà Trưng, Hà Nội.

=> Đà Nẵng: 498 Bùi Trang Chước, Cẩm Lệ, Đà Nẵng.

=> Hồ Chí Minh: 8/29 Hoàng Hoa Thám, Phường 7, Bình Thạnh, Hồ Chí Minh

 

Sau khi gửi bình luận sẽ cần chờ xét duyệt

Hỗ Trợ Trực Tuyến

Ms. Vân

skype

Điện thoại:0933096426

Thời gian làm việc

Bất cứ khi nào bạn cần, hỗ trợ 24/7, 7 ngày trong tuần

Đối tác và khách hàng của chúng tôi

image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image