Tiêu chuẩn ISO/IEC 27001:2022 – Hệ thống An toàn Thông tin

TIÊU CHUẨN ISO/IEC 27001 LÀ GÌ?

QUÁ TRÌNH HÌNH THÀNH VÀ PHÁT TRIỂN BỘ TIÊU CHUẨN ISO/IEC 27000

Tiêu chuẩn ISO/IEC 27001 nhằm giúp hỗ trợ các tổ chức bảo vệ An toàn thông tin và các tài sản của mình. Việc này có thể thông qua được việc Quản lý tốt các tài sản thông tin như sở hữu trí tuệ, thông tin khách hàng, tài chính nhân sự, kế hoạch kinh doanh vv

Theo tìm hiểu thì tiền thân của ISO/IEC 27001 là tiêu chuẩn về quản lý an toàn thông tin BS 7799 của Viện Tiêu chuẩn Anh quốc (British Standards Institute – BSI). Tháng 12/2000, tiêu chuẩn BS 7799-1 được Tổ chức Tiêu chuẩn hoá quốc tế (ISO) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000.

Đến năm 2005 thì bộ tiêu chuẩn ISO/IEC 17799: 2000 được sửa đổi cũng như ban hành theo phiên bản đầu tiên của bộ tiêu chuẩn ISO/IEC 27001:2005 và mang tên Hệ thống quản lý an toàn thông tin – Các yêu cầu .

Lần cập nhật thứ 2 ở đây chính thức là phiên bản ISO/IEC 27001:2013. Phiên bản này được ban hành có một số thay đổi như có thêm những yêu cầu áp dụng Phụ lục / Annex SL năm 2012 của ISO đối với việc chuẩn hóa , thống nhất các khái niệm , thuật ngữ và cấu trúc của tiêu chuẩn về hệ thống quản lý của ISO và việc áp dụng các nguyên tắc về quản lý rủi ro theo hướng dẫn của tiêu chuẩn ISO 31000:2009 – Quản lý rủi ro – Các nguyên tắc và hướng dẫn

Đến tháng 4/2019, tình trạng ban hành một số tiêu chuẩn chính trong bộ tiêu chuẩn ISO/IEC 27000 được trình bày trong Bảng 1-2, trong đó tiêu chuẩn ISO/IEC 27001 là tiêu chuẩn được biết đến nhiều nhất, nhằm đưa ra yêu cầu đối với một hệ thống quản lý an toàn thông tin ( ISMS ), các tiêu chuẩn còn lại nhằm mục đích hỗ trợ cho việc thiết lập, vận hành, giám sát, duy trì, cải tiến hiệu lực của một ISMS: Bảng 1-2: Tình trạng ban hành của một số tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 đến 4/2019.

Cho đến nay bộ tiêu chuẩn ISO 27001 phiên bản mới nhất chính là tiêu chuẩn ISO/IEC 27001: 2022 có đưa ra những thay đổi cập nhật theo đúng xu thế phát triển hiện nay.

ĐỐI TƯỢNG ÁP DỤNG BỘ TIÊU CHUẨN ISO/IEC 27001

Bộ tiêu chuẩn ISO/IEC 27001 có thể được áp dụng cho mọi loại hình tổ chức, doanh nghiệp hoạt động sản xuất, dịch vụ, thương mại vv Tiêu chuẩn này có đưa ra các quy định về các yêu cầu để đối với việc thiết lập cũng như thực hiện và vận hành giám sát một Hệ thống Quản lý An toàn Thông tin ISMS dưới dạng văn bản đối với các rủi ro có liên quan đến các quá trình kinh doanh tác nghiệp tổng thể.

ĐIỂM KHÁC BIỆT CỦA ISO/IEC 27001:2022 SO VỚI ISO/IEC 27001:2013

Với việc chuyển lên phiên bản mới nhất là ISO/IEC 27001:2022. Bộ tiêu chuẩn này có đưa ra được những thông tin cập nhật khác so với phiên bản trước đó ISO/IEC 27001:2013.

Những thay đổi quan trọng nhất chính là Phụ lục A của ISO/IEC 27001. Phiên bản này có những thay đổi cả về số lượng biện pháp kiểm soát và danh sách của chúng theo nhóm. Bộ tiêu chuẩn của Phụ lục này cũng đã được thay đổi từ Mục tiêu kiểm soát cũng như tham chiếu trong từng nhóm kiểm soát đã có trong phiên bản trước đó.

Phiên bản mới ở Phụ lục A được cắt giảm xuống 93. Việc giảm số lượng điều khiển chủ yếu đến từ việc hợp nhất nhiều điều khoản trong số đó.

CÁC YÊU CẦU CHÍNH CỦA TIÊU CHUẨN ISO/IEC 27001 

Bộ tiêu chuẩn ISO 27001 này có đưa ra những yêu cầu chính dựa theo 10 điều khoản của ISO/IEC 27001. Dưới đây là list những điều khoản mà chúng tôi chia sẻ cho bạn về bộ tiêu chuẩn ISO/IEC 27001:2022. Từ điều khoản 1 đến 3 có đưa ra các giới thiệu, thuật ngữ có liên quan. Sang điều khoản 4-10 có đưa ra được những thông tin chi tiết cụ thể như sau:

Điều 4- Bối cảnh của tổ chức

Điều khoản 4 này có đư ra các tiêu chuẩn cũng như yêu cầu một cách cụ thể để giúp tổ chức của bạn có thể căn cứ được trên quy mô và lĩnh vực hoạt động và yêu cầu, kỳ vọng của các bên liên quan để có thể thiết lập được một phạm vi Hệ thống Quản lý An ninh Thông tin một cách phù hợp nhất.

4.1 Hiểu về tổ chức và bối cảnh của tổ chức: Tổ chức phải xác định các vấn đề bên ngoài và nội bộ có liên quan đến mục đích của tổ chức và ảnh hưởng đến khả năng của tổ chức để đạt được các kết quả dự kiến của ISMS

4.2 Hiểu nhu cầu và mong đợi của các bên quan tâm

Bên quan tâm được hiểu là cá nhân hay tổ chức có thể có ảnh hưởng, hoặc chịu ảnh hưởng bởi một quyết định hoặc hoạt động của tổ chức đang xét. Bên quan tâm có thể bao gồm những bên từ bên ngoài và từ nội bộ của tổ chức, có thể có những nhu cầu, mong đợi cụ thể đối với ATTT của tổ chức.

4.3 Phạm vi của ISMS

Các hoạt động theo yêu cầu tiêu chuẩn: Tổ chức phải xác định các ranh giới và khả năng áp dụng ISMS để thiết lập phạm vi áp dụng ISMS.

Điều 5: Lãnh đạo

Trong điều khoản 5 này có đưa ra được các vấn đề về trách nhiệm của Ban Lãnh đạo mỗi một tổ chức trong Hệ thống An ninh thông tin.

Điều khoản 5 này có chia ra các điều khoản con về các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng, duy trì một hệ thống Thông tin, các yêu cầu về việc cung cấp được một nguồn lực, tài chính để giúp vận hành một hệ thống thông tin.

5.1 Sự lãnh đạo và cam kết

Lãnh đạo cao nhất ” theo định nghĩa trong ISO / IEC 27000 : 2018 , đó là người hay nhóm người chỉ đạo và kiểm soát một tổ chức về ISMS ở cấp độ cao nhất . Theo đó , lãnh đạo cao nhất có trách nhiệm toàn diện đối với ISMS , chỉ đạo điều hành ISMS theo cách tương tự như điều hành các lĩnh vực khác trong tổ chức,

5.2 Chính sách

Chính sách ATTT phải bao gồm các công bố ngắn gọn ở cấp độ cao về dự định và sự định hướng về ATTT trong một tổ chức, có thể cụ thể theo phạm vi của ISMS hoặc mở rộng hơn .

Tất cả các chính sách khác, các thủ tục, các hoạt động và các mục tiêu liên quan đến ATTT phải nhất quán với Chính sách ATTT.

5.3 Vai trò, trách nhiệm quyền hạn trong tổ chức

Ban lãnh đạo là người cần phải đảm bảo việc xác định, truyền đạt về các vai trò, trách nhiệm cũng như quyền hạn để có ISMS có thể được đáp ứng tốt các yêu cầu của bộ tiêu chuẩn

Lãnh đạo cao nhất nên phê duyệt Vai các vai trò, trách nhiệm, quyền hạn chủ chốt trong ISMS.

Thông tin dạng văn bản về các vai trò, trách nhiệm, quyền hạn về ATTT ở hình thức nào và tới mức độ nào cần thiết là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (mục 7.5.1.b- ISO/IEC 27001).

Điều 6 – Hoạch định

Trong điều khoản 6 này tổ chức, doanh nghiệp của bạn cần phải định nghĩa cũng như áp dụng các quy trình đánh giá những rủi ro. Đồng thời tổ chức cần thiết phải đưa ra được một quy trình xử lý và thiết lập mục tiêu An toàn Thông tin cũng như kế hoạch để đạt được điều đó.

6.1 hành động giải quyết rủi ro và cơ hội

Khi tiến hành hoạch định ISMS, tổ chức phải xác định các rủi ro và cơ hội, có xét đến các vấn đề / bối cảnh (mục 4.1) và các yêu cầu (mục 4.2)

6.2 Mục tiêu ATTT và hoạch định để đạt được mục tiêu

Tổ chức phải thiết lập mục tiêu ATTT và lập kế hoạch để đạt được các mục tiêu đó ở các cấp độ chức năng của mình.

Điều 7- Hỗ trợ

Trong Điều khoản 7 này có đưa ra được các yêu cầu đối với một tổ chức đào tạo nhằm có thể nâng cao được nhận thức cho toàn bộ cán bộ, nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông tin.

7.1 Nguồn lực

Tổ chức phải xác định và cung cấp các nguồn lực để thiết lập, thực hiện, duy trì và cải tiến thường xuyên ISMS.Ngoài ra tổ chức cần xác định năng lực của các nhân sự cần thiết cho kết quả việc thực hiện An toàn Thông tin cũng như đảm bảo những người đó có năng lực.

Những người làm việc dưới sự kiểm soát của tổ chức có nhân thức về Chính sách ATTT, về sự đóng góp của họ vào hiệu lực của ISMS, những lợi ích khi kết quả thực hiện ATTT được cải thiện cũng như hậu quả khi không phù hợp với các yêu cầu của ISMS.

7.5 Thông tin dạng văn bản

Hệ thống thông tin dạng văn bản thuộc ISMS của tổ chức bao gồm những loại thông tin văn bản theo yêu cầu của tiêu chuẩn và theo nhu cầu quản lý tổ chức để đảm bảo tính hiệu lực của ISMS.

Điều 8- Thực hiện (vận hành hệ thống)

Trong điều khoản 8 này thì tổ chức, doanh nghiệp của bạn cần thiết phải có được kế hoạch văn bản và quản lý để đạt được các mục tiêu. Ngoài ra các tổ chức, doanh nghiệp cần phải được định kì đánh giá tốt các hoạt động kiểm soát rủi ro về an toàn thông tin đồng thời có kế hoạch xử lý.

Điều 9- Đánh giá kết quả thực hiện

Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét; đánh giá Hệ thống quản lý an ninh thông tin của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống; đảm bảo đánh giá được toàn bộ hoạt động của hệ thống; đo lường hiệu quả và có kế hoạch khắc phục; nâng cấp hệ thống cho phù hợp.

Điều 10- Cải tiến

Sau khi xây dựng được hệ thống theo ISO 27001 cần duy trì hệ thống bằng cách thực hiện Kế hoạch – Thực hiện – Kiểm tra – Hành động. Điều khoản 10 trong tiêu chuẩn ISO 27001; cũng đưa ra các yêu cầu đảm bảo Hệ thống quản lý an ninh thông tin không ngừng được cải tiến trong quá trình hoạt động. Điều khoản này bao gồm các quy định trong việc áp dụng các chính sách mới; các hoạt động khắc phục, phòng ngừa điểm yếu đã xảy ra. Và để đảm bảo hiệu quả của Hệ thống quản lý an ninh thông tin.