Trong bài viết dưới đây VCR sẽ chia sẻ với bạn đọc những kiến thức về bộ tài liệu ISO 27001 – Hệ thống quản lý an toàn thông tin.

Nếu tổ chức, doanh nghiệp muốn đạt được chứng nhận ISO 27001, có một điều quan trọng là mọi thứ liên quan đến hệ thống quản lý an toàn thông tin - ISMS đều được thành lập tài liệu, duy trì hiệu quả và dễ tìm.

1. Bộ tài liệu ISO 27001 – Hệ thống quản lý an toàn thông tin là gì ?

Hiểu một cách cơ bản, tài liệu là những văn bản có tính pháp quy, dùng để giải quyết, xử lý công việc thuộc chức năng, nhiệm vụ của đơn vị nào đó.

Bộ tài liệu ISO 27001 là những thông tin được hiển thị bằng văn bản có tính pháp quy về hệ thống an ninh thông tin.

ISMS viết tắt của từ Information Security Management System, hay còn gọi là hệ thống quản lý an ninh thông tin, nó được dùng để giám sát, kiểm tra, quản lý hệ thống thông tin, giúp đảm bảo an toàn, nâng cao tính bảo mật, giảm thiếu tối đa những rủi ro cho hệ thống thông tin của doanh nghiệp.

Tiêu chuẩn ISO 27001
Bộ tài liệu ISO 27001 là gì ?

Tiêu chuẩn ISO 27001 được ISO xây dựng và ban hành về hệ thống quản lý an toàn thông tin. Dựa theo ISO 27001 đưa ra những yêu cầu mà một ISMS cần để những thông tin trong doanh nghiệp, đơn vị được đảm bảo tính bảo mật, toàn vẹn và sẵn sàng.

Để phù hợp với tiêu chuẩn ISO/IEC 27001, ISMS - Hệ thống quản lý bảo mật thông tin của doanh nghiệp phải được lập thành tài liệu phù hợp. Các quy trình, thủ tục, hồ sơ cần phải mô tả chính xác cách tiếp cận của tổ chức đối với việc bảo mật thông tin.

2. Những lợi ích khi xây dựng bộ tài liệu ISO 27001

Dưới đây là những lợi ích khi doanh nghiệp xây dựng bộ tài liệu cho hệ thống an ninh thông tin.

  • Giúp cho các tổ chức, doanh nghiệp kiểm soát, theo dõi ISMS dễ dàng, thuận tiện hơn.
  • Đảm bảo được tính bảo mật thông tin cho khách hàng cũng như đối tác
  • Đảm bảo hệ thống an ninh thông tin được duy trì hiệu lực và có những biện pháp cải tiến khi cần thiết
Những lợi ích khi xây dựng bộ tài liệu ISO 27001
Những lợi ích khi xây dựng bộ tài liệu ISO 27001
  • Nâng cao hình ảnh, uy tín tổ chức và doanh nghiệp
  • Gia tăng những cơ hội canh tranh so với đối thủ trên thị trường
  • Nhân viên trong doanh nghiệp hiểu rõ những quyền hạn cũng như trách nhiệm của bản thân trong việc đảm bảo an ninh thông tin
  • Nâng cao nhận thức cho nhân viên trong tổ chức về hệ thống an ninh thông tin.

3. Bộ tài liệu ISO 27001 bắt buộc

Dưới đây là một số tài liệu và hồ sơ bắt buộc khi doanh nghiệp thiết lập hệ thống an ninh thông tin cần phải xây dựng, gồm có:

Tài liệu bắt buộc

Với bản sửa đổi năm 2013 của ISO 27001, có một số tài liệu bắt buộc như sau:

  1. Phạm vi của QMS
  2. Chính sách, mục tiêu bảo mật thông tin
  3. Phương pháp đánh giá, xử lý các rủi ro
  4. Tuyên bố về khả năng áp dụng
  5. Kế hoạch xử lý những rủi ro
  6. Báo cáo đánh giá về những rủi ro
  7. Định nghĩa vai trò và trách nhiệm bảo mật
  8. Kiểm kê, quản lý tài sản
  9. Quản lý việc sử dụng tài sản
  10. Chính sách kiểm soát truy cập
  11. Các quy trình vận hành quản lý công nghệ thông tin
  12. Nguyên tắc kỹ thuật của hệ thống an toàn
  13. Chính sách bảo mật với nhà cung cấp
  14. Quy trình quản lý sự cố
  15. Các quy trình triển khai liên tục trong kinh doanh
  16. Các yêu cầu về luật định, quy định và hợp đồng
Những tài liệu, hồ sơ bắt buộc trong ISO 27001
Những tài liệu, hồ sơ bắt buộc trong ISO 27001

Hồ sơ bắt buộc

  1. Hồ sơ đào tạo, kỹ năng, kinh nghiệm, trình độ nhân sự
  2. Kết quả theo dõi, giám sát và đo lường
  3. Hồ sơ về kế hoạch chương trình đánh giá nội bộ
  4. Kết quả đánh giá nội bộ
  5. Kết quả xem xét lãnh đạo
  6. Kết quả những hành động khắc phục
  7. Nhật ký hoạt động của người dùng, ngoại lệ và sự cố bảo mật

Khi doanh nghiệp nắm rõ được những tài liệu và hồ sơ bắt buộc thì việc áp dụng sẽ diễn ra dễ dàng, thành công và đặt được chứng nhận ISO 27001. Việc đạt được chứng nhận này sẽ giúp cho tổ chức hay doanh nghiệp sẽ tạo được sự tin tưởng với những bên có liên quan, nâng cao lợi nhuận cũng như cơ hội hợp tác với nhiều đơn vị khác.

4. Những tài liệu ISO 27001 không bắt buộc

Có rất nhiều tài liệu không bắt buộc, nhưng có thể được sử dụng để triển khai ISO 27001 một cách tối ưu. Dưới đây là những tài liệu không bắt buộc, thường được sử dụng.

Những tài liệu không bắt buộc trong ISO 27001
Những tài liệu ISO 27001 không bắt buộc
  1. Quy trình kiểm soát tài liệu
  2. Kiểm soát quản lý, kiểm soát hồ sơ
  3. Quy trình đánh giá nội bộ
  4. Quy trình thực hiện những hành động khắc phục
  5. Chính sách mang theo thiết bị của riêng mình – BYOD: Bring Your Own Device
  6. Thiết bị di động, chính sách làm việc từ xa
  7. Chính sách phân loại thông tin
  8. Chính sách mật khẩu
  9. Chính sách thải bỏ và tiêu hủy dữ liệu
  10. Quy trình làm việc ở trong khu vực an toàn
  11. Chính sách về bàn làm việc và bảo vệ máy tính rõ ràng
  12. Chính sách quản lý thay đổi
  13. Chính sách dự phòng
  14. Chính sách chuyển giao, trao đổi thông tin
  15. Phân tích tác động kinh doanh
  16. Kế hoạch tập luyện và kiểm tra
  17. Kế hoạch bảo trì và xem xét
  18. Chiến lược đảm bảo kinh doanh liên tục

Trên đây VCR đã chia sẻ đến bạn đọc bộ tài liệu ISO 27001 cần có trong quá trình xây dựng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001. Các tổ chức hay doanh nghiệp có thể tham khảo và áp dụng những tài liệu đó trong nội bộ của đơn vị để cải thiện hiệu quả hoạt động một cách tốt nhất.

Phuong.

Từ khóa: