Việc gặp phải các vấn đề về bảo mật thường không phải là vấn đề nếu mà là khi nào. Các tổ chức liên tục phải đối mặt với những rủi ro bảo mật đe dọa nghiêm trọng đến hoạt động của họ. Các sản phẩm có giá trị cao dễ bị đánh cắp, thông tin bí mật dễ bị hack và nhân sự dễ bị thương. Những sự cố bảo mật như vậy không chỉ gây tổn thất về tài chính và kinh doanh mà còn có thể dẫn đến hậu quả pháp lý và thiệt hại về danh tiếng. Đây là lý do tại sao quản lý an ninh đã trở thành một khía cạnh quan trọng đối với các tổ chức. Về vấn đề này, ISO 28000 cung cấp cho các tổ chức một cách tiếp cận toàn diện để quản lý bảo mật.
Quản lý an ninh là gì?
ISO 28000 định nghĩa “hệ thống quản lý an ninh” là một hệ thống gồm các chính sách, quy trình và thực tiễn phối hợp thông qua đó tổ chức quản lý các mục tiêu an ninh của mình . Nói cách khác, quản lý an ninh là việc xác định tài sản của tổ chức bao gồm con người, tòa nhà, máy móc, hệ thống và tài sản thông tin, sau đó là phát triển, lập tài liệu và thực hiện các chính sách và thủ tục bảo vệ những tài sản này. Nó liên quan đến sự an toàn vật lý của các tòa nhà, con người và sản phẩm, cũng như bảo vệ hệ thống thông tin, mạng và viễn thông. Quản lý an ninh được liên kết với nhiều khía cạnh của quản lý kinh doanh. Nó bao gồm nhưng không giới hạn ở những hoạt động tác động đến chuỗi cung ứng. Tuy nhiên, ISO 28000 tập trung vào cấp độ quản lý an ninh của chuỗi cung ứng. Tiêu chuẩn lưu ý rằng chuỗi cung ứng có tính chất năng động và do đó một số tổ chức đang quản lý nhiều chuỗi cung ứng. Do đó, các tổ chức này có thể tìm đến các nhà cung cấp của họ để đáp ứng các yêu cầu tiêu chuẩn quản lý bảo mật liên quan như một điều kiện để được đưa vào chuỗi cung ứng đó.
ISO 28000 là gì?
ISO 28000 quy định các yêu cầu đối với hệ thống quản lý an ninh, bao gồm các khía cạnh liên quan đến tất cả các cấp độ của chuỗi cung ứng. Tiêu chuẩn này thiết lập một hệ thống an ninh nhằm bảo vệ con người, hàng hóa, cơ sở hạ tầng, thiết bị và phương tiện vận chuyển trước các sự cố an ninh và các tình huống có khả năng tàn phá khác. Nó chỉ định các yêu cầu để thiết lập, thực hiện, duy trì, cải tiến và kiểm tra hệ thống quản lý an ninh. ISO 28000 cũng quy định các yêu cầu đối với tổ chức: Đánh giá môi trường bảo mật nơi tổ chức hoạt động, bao gồm cả chuỗi cung ứng (bao gồm cả sự phụ thuộc và phụ thuộc lẫn nhau) Xác định xem các biện pháp bảo mật thích hợp có được áp dụng để quản lý hiệu quả các rủi ro liên quan đến bảo mật hay không quản lý việc tuân thủ các nghĩa vụ theo luật định, quy định và tự nguyện mà tổ chức đăng ký Điều chỉnh các quy trình và biện pháp kiểm soát an ninh, bao gồm các quy trình và biện pháp kiểm soát thượng nguồn và hạ nguồn có liên quan của chuỗi cung ứng để đáp ứng các mục tiêu của tổ chức ISO 28000 có thể áp dụng cho mọi loại hình và quy mô tổ chức (ví dụ: doanh nghiệp thương mại, chính phủ hoặc các cơ quan công quyền và tổ chức phi lợi nhuận khác) có ý định thiết lập, triển khai, duy trì và cải tiến hệ thống quản lý an ninh. Nó cung cấp một cách tiếp cận toàn diện và phổ biến và không mang tính cụ thể của ngành hoặc lĩnh vực. Tiêu chuẩn này có thể được sử dụng trong suốt vòng đời của một tổ chức và có thể áp dụng cho mọi hoạt động, nội bộ hay bên ngoài, ở mọi cấp độ.
Phiên bản mới của ISO 28000 tuân theo cấu trúc hài hòa của ISO, trong đó các yêu cầu đối với SeMS được nêu trong các điều từ 4 đến 10. Điều này cho phép các tổ chức tích hợp SeMS với các hệ thống quản lý khác dựa trên tiêu chuẩn ISO.
Phiên bản mới của ISO 28000 cũng bao gồm các khuyến nghị bổ sung. Trong điều khoản 4, các khuyến nghị về tám nguyên tắc quản lý bảo mật đã được bổ sung để đảm bảo sự phù hợp tốt hơn với ISO 31000 (tiêu chuẩn về quản lý rủi ro). Ngoài ra, điều khoản 8 còn đưa ra các khuyến nghị liên quan đến chiến lược, thủ tục, quy trình và biện pháp xử lý bảo mật cũng như kế hoạch bảo mật nhằm đảm bảo tính nhất quán với ISO 22301 (tiêu chuẩn về quản lý tính liên tục trong kinh doanh).
Rủi ro và Cơ hội trong Hệ thống Quản lý An ninh Khi lập kế hoạch cho hệ thống quản lý bảo mật, ISO 28000 quy định rằng tổ chức phải xác định các rủi ro liên quan đến bảo mật và khai thác các cơ hội. Để làm được điều này đòi hỏi phải có sự đánh giá rủi ro chủ động, có thể bao gồm: Lỗi vật lý hoặc chức năng Hành vi ác ý hoặc tội phạm Yếu tố môi trường, con người và văn hóa Các bối cảnh bên trong hoặc bên ngoài khác, bao gồm các yếu tố nằm ngoài tầm kiểm soát của tổ chức ảnh hưởng đến an ninh của tổ chức Thiết kế, lắp đặt, bảo trì và thay thế các thiết bị an ninh Quản lý thông tin, dữ liệu, kiến thức và truyền thông của tổ chức Thông tin liên quan đến các mối đe dọa và lỗ hổng bảo mật Sự phụ thuộc lẫn nhau giữa các nhà cung cấp Dựa trên lỗ hổng, phân tích mối đe dọa và đánh giá rủi ro, tổ chức nên xác định và lựa chọn chiến lược bảo mật bao gồm một hoặc nhiều thủ tục, quy trình và biện pháp xử lý được nêu trong ISO 28000 .
Tại sao ISO 28000 quan trọng đối với các tổ chức?
Xem xét rằng các sự cố bảo mật có thể xảy ra bất cứ lúc nào, điều cần thiết là các tổ chức phải áp dụng cách tiếp cận chủ động trong quản lý bảo mật. Hệ thống quản lý bảo mật dựa trên ISO 28000 cho phép các tổ chức xác định các tài sản có giá trị của họ, bao gồm tài sản, nhân sự, sản phẩm, dữ liệu và cơ sở hạ tầng, đồng thời triển khai các quy trình và biện pháp kiểm soát bảo mật thích hợp để bảo vệ chúng. Ngoài ra, SeMS hiệu quả cho phép các tổ chức cải thiện sự công nhận, nâng cao danh tiếng, nâng cao lợi nhuận và hiệu quả kinh doanh cũng như giảm chi phí dài hạn.
ISO 28000 yêu cầu lãnh đạo của tổ chức thể hiện cam kết đối với việc quản lý an ninh bằng cách thiết lập chính sách an ninh, đặt ra các mục tiêu an ninh và tích hợp quản lý an ninh vào các quy trình và hoạt động của tổ chức. Điều này cho phép các tổ chức điều chỉnh các nỗ lực bảo mật cho phù hợp với mục đích và mục đích chung của họ, đưa bảo mật vào hoạt động hàng ngày của họ và thúc đẩy văn hóa bảo mật dẫn đến quản lý rủi ro chủ động.
Ngoài ra, ISO 28000 bao gồm các yêu cầu nhằm giải quyết việc đánh giá rủi ro, chiến lược và kiểm soát bảo mật cũng như kế hoạch bảo mật. Bằng cách thiết lập các quy trình đánh giá rủi ro, các tổ chức có thể xác định, phân tích và đánh giá các rủi ro liên quan đến bảo mật một cách hiệu quả. Sau đó, họ có thể thực hiện các biện pháp kiểm soát và chiến lược để ngăn chặn rủi ro liên quan đến bảo mật hoặc giảm thiểu và xử lý những rủi ro không thể ngăn chặn được. Mặt khác, các kế hoạch bảo mật cho phép các tổ chức ứng phó với các sự cố liên quan đến bảo mật nhằm giảm thiểu tác động có thể xảy ra đối với hoạt động và kinh doanh.
ISO 28000 cũng đưa ra các yêu cầu liên quan đến việc giám sát và đo lường SeMS. Việc giám sát cho phép các tổ chức xác định các lỗ hổng và thực hiện các hành động thích hợp để giải quyết chúng, từ đó giảm thiểu rủi ro và mất mát. Ngoài ra, nó cho phép họ đảm bảo tuân thủ các quy định và tiêu chuẩn thay đổi liên quan đến bảo mật, vì việc vi phạm các quy định đó có thể dẫn đến hậu quả pháp lý và thiệt hại về danh tiếng.
Lợi ích của Hệ thống quản lý bảo mật ISO 28000
Hệ thống quản lý bảo mật dựa trên ISO 28000 cho phép các tổ chức đạt được các mục tiêu quản lý bảo mật của mình. Đặc biệt, nó cho phép các tổ chức:
Giám sát và quản lý các rủi ro liên quan đến bảo mật
Đảm bảo an ninh cho môi trường nơi họ hoạt động
Tuân thủ các nghĩa vụ bảo mật theo luật định, quy định và tự nguyện
Xác định và giải quyết các rủi ro và cơ hội liên quan đến quản lý an ninh
Xử lý hiệu quả các vi phạm an ninh
Phục hồi sau sự gián đoạn trong chuỗi cung ứng
Quản lý mối quan hệ với tất cả các bên quan tâm có liên quan trong chuỗi cung ứng Tạo và bảo vệ giá trị
Thể hiện cam kết đảm bảo an toàn cho cá nhân và an ninh hàng hóa và dịch vụ
Điều chỉnh các quy trình và biện pháp kiểm soát bảo mật phù hợp với mục tiêu của tổ chức
Đạt được lợi thế cạnh tranh và cơ hội kinh doanh mới
Tạo thuận lợi cho thương mại và đẩy nhanh việc vận chuyển hàng hóa qua biên giới Đạt được sự tiết kiệm chi phí bằng cách giảm sự cố bảo mật
Chứng minh sự phù hợp với ISO 28000 thông qua đánh giá của bên thứ ba được công nhận
ISO 28000 có thể dễ dàng được tích hợp với các tiêu chuẩn hệ thống quản lý chính khác, như ISO 9001 , ISO 14001 , ISO 22301 , ISO/IEC 27001 , ISO 45001 , v.v., từ đó hỗ trợ việc triển khai và vận hành nhất quán và tích hợp với các hệ thống quản lý liên quan. Đây là một lợi thế cho các tổ chức muốn kết hợp các khía cạnh bảo mật vào các hệ thống quản lý hiện có khác.
LIÊN HỆ #ISC_VIỆT_NAM ĐỂ ĐƯỢC GIẢI ĐÁP MIỄN PHÍ !
Ms. Vân Phạm
#Hotline: 0933 09 6426
#Email: van.pham@iscvietnam.net
Ms Lan Anh
#Hotline: 0824 647 279
#Email: anh.nguyen@iscvietnam.net
#Website: https://iscvietnam.net
#Zalo: https://zalo.me/3014216325814962649
#Likedln:https://www.linkedin.com/in/isc-vi%E1%BB%87t-nam-36a2352a2/
Văn Phòng ISC Việt Nam
➤ Hà Nội: Số 18 Tam Trinh, Quận Hai Bà Trưng, Hà Nội.
➤ Đà Nẵng: 498 Bùi Trang Chước, Cẩm Lệ, Đà Nẵng.
➤ Hồ Chí Minh: 8/29 Hoàng Hoa Thám, Phường 7, Bình Thạnh, Hồ Chí Minh.