Tiêu chuẩn ISO 27001 – Bảo mật thông tin, an ninh mạng và quyền riêng tư
ISO 27001 là tiêu chuẩn quốc tế về quản lý thông tin và bảo mật, cung cấp hướng dẫn về việc triển khai hệ thống quản lý bảo mật thông tin và cũng là cơ sở để xác nhận tính đáng tin cậy của hệ thống đó. Nó đưa ra phương pháp để đối mặt với câu hỏi "bảo mật thông tin là gì?".
- 1. Hệ thống quản lý an toàn thông tin (ISMS) là gì ?
- 2. Tiêu chuẩn ISO 27001 là gì ?
- 3. Những lý do vì sao ISO/IEC 27001 lại quan trọng ?
- 4. Cách hoạt động của tiêu chuẩn ISO 27001
- 5. Các phiên bản của ISO 27001
- 6. Đối tượng áp dụng và mục đích của tiêu chuẩn ISO/IEC 27001
- 7. Những nội dung (cấu trúc) chính của tiêu chuẩn ISO 27001
- 8. Lợi ích của việc áp dụng tiêu chuẩn ISO 27001
- 9. Chứng nhận tiêu chuẩn ISO 27001
- 10. Quy trình chứng nhận tiêu chuẩn ISO 27001
- 11. Thời kỳ đánh giá chuyển đổi từ phiên bản ISO/IEC 27001:2013 sang ISO/IEC 27001:2022
Tiêu chuẩn này cho phép việc bảo vệ dữ liệu và thông tin nhạy cảm trở nên hiệu quả hơn, đồng thời giảm thiểu nguy cơ truy cập trái phép hoặc không được ủy quyền tới mức thấp nhất.
Trong bài viết này, VCR sẽ chia sẻ đến bạn những thông tin về tiêu chuẩn ISO 27001, để bạn có cái nhìn rõ hơn. Cùng tìm hiểu nhé.
1. Hệ thống quản lý an toàn thông tin (ISMS) là gì ?
Hệ thống quản lý an toàn thông tin (ISMS) là một hệ thống có cấu trúc, để quản lý thông tin nhạy cảm trong công ty, nhằm tăng cường tính bảo mật cho dữ liệu. ISMS bao gồm các yếu tố như nguồn nhân lực, quy trình và hệ thống công nghệ thông tin, dựa trên việc áp dụng quy trình quản lý rủi ro. Mục tiêu của nó là hỗ trợ các tổ chức ở mọi quy mô và ngành nghề trong việc duy trì tính an toàn cho thông tin kinh doanh của họ.
Trong bối cảnh ngày càng gia tăng về những vi phạm dữ liệu trong thế giới số hóa hiện nay, việc xây dựng an ninh mạng cho tổ chức trở nên cấp bách và ISMS đóng vai trò quan trọng trong việc này. Một số lợi ích của ISMS như sau:
- Tăng cường khả năng phục hồi sau tấn công: ISMS cải thiện khả năng chuẩn bị, phản ứng và phục hồi sau mọi cuộc tấn công mạng, từ đó nâng cao khả năng phục hồi sau các sự cố.
- Quản lý dữ liệu tập trung: Là trung tâm quản lý thông tin của tổ chức, ISMS cho phép bạn quản lý tất cả dữ liệu tại một nơi, tối ưu hóa quá trình quản lý.
- Bảo mật thông tin đa dạng một cách dễ dàng: Dù đó là việc bảo vệ thông tin trên nền tảng đám mây hay dữ liệu số, ISMS có khả năng xử lý nhiều loại dữ liệu khác nhau, đảm bảo bảo mật toàn diện cho thông tin.
- Giảm chi phí bảo mật thông tin: Thông qua phương pháp đánh giá và ngăn ngừa rủi ro được ISMS cung cấp, tổ chức có thể giảm việc cần sử dụng nhiều công nghệ phòng vệ sau các cuộc tấn công mạng, từ đó tiết kiệm chi phí.
2. Tiêu chuẩn ISO 27001 là gì ?
ISO 27001 là một tiêu chuẩn quốc tế được ISO ban hành, định ra các yêu cầu cho Hệ thống quản lý an toàn thông tin (ISMS) nhằm đảm bảo sự bảo mật liên tục, tính toàn vẹn và khả năng sẵn sàng của thông tin, đồng thời tuân thủ các quy định pháp luật. Tiêu chuẩn ISO này hướng tới việc áp dụng một phương pháp tiếp cận dựa trên quy trình để triển khai, thực hiện, vận hành và duy trì ISMS của tổ chức.
Phiên bản mới nhất của tiêu chuẩn này đã được xuất bản vào năm 2022, với tên là ISO/IEC 27001:2022. Phiên bản đầu tiên của tiêu chuẩn được công bố vào năm 2005. ISO 27001:2005 là kết quả của việc phát triển dựa trên tiêu chuẩn BS 7799-2 của Anh.
ISO 27001 hiện đã trở thành chuẩn bảo mật thông tin phổ biến nhất trên toàn cầu, với nhiều doanh nghiệp trên khắp thế giới đã đạt được chứng nhận theo chuẩn này.
3. Những lý do vì sao ISO/IEC 27001 lại quan trọng ?
Trước sự gia tăng của tội phạm mạng và sự xuất hiện liên tục của các mối đe dọa mới, việc quản lý rủi ro mạng trở nên phức tạp, thậm chí có thể trở thành nhiệm vụ không thể. ISO/IEC 27001 đóng vai trò quan trọng trong việc giúp các tổ chức nhận thức về những rủi ro, từ đó xác định và giải quyết những điểm yếu tồn tại.
ISO/IEC 27001 thúc đẩy việc tiếp cận toàn diện đối với bảo mật thông tin bằng cách xem xét các khía cạnh như con người, chính sách và công nghệ. Việc triển khai một hệ thống quản lý an ninh thông tin dựa trên tiêu chuẩn này không chỉ giúp quản lý rủi ro mạng mà còn cải thiện khả năng phục hồi trong môi trường mạng và đảm bảo hiệu suất hoạt động xuất sắc.
ISO/IEC 27001 không chỉ mang đến cho các công ty những phương pháp quan trọng để bảo vệ thông tin quý giá, mà còn cho phép chúng có khả năng đạt được chứng nhận theo tiêu chuẩn này. Qua việc này, công ty có thể chứng tỏ với khách hàng và đối tác rằng dữ liệu của họ được bảo vệ tốt.
Các cá nhân cũng có thể đạt được chứng nhận ISO 27001 bằng cách tham gia khóa học và hoàn thành bài kiểm tra, từ đó chứng minh khả năng và kỹ năng của họ trước các nhà tuyển dụng tiềm năng.
Do là một tiêu chuẩn quốc tế, ISO 27001 dễ dàng được công nhận trên toàn cầu, mở ra cơ hội kinh doanh mới cho cả tổ chức và các chuyên gia trong lĩnh vực này.
4. Cách hoạt động của tiêu chuẩn ISO 27001
ISO 27001 tập trung vào việc bảo vệ tính bảo mật, tính toàn vẹn và sẵn có của thông tin trong môi trường doanh nghiệp. Điều này được thực hiện thông qua việc xác định những vấn đề tiềm ẩn có thể xảy ra đối với thông tin (gọi là đánh giá rủi ro), và sau đó xác định những biện pháp cần thực hiện để ngăn chặn hoặc xử lý những vấn đề này (gọi là giảm thiểu rủi ro hoặc xử lý rủi ro).
ISO 27001 có cơ sở trên việc quản lý rủi ro, tức là xác định rủi ro và tiếp theo là xử lý chúng một cách có hệ thống. Các biện pháp bảo vệ hoặc kiểm soát sẽ được thực hiện qua các yếu tố như chính sách, quy trình và thực hiện kỹ thuật. Ví dụ: phần mềm và thiết bị… Nhưng trong hầu hết các trường hợp, công ty đã sở hữu sẵn phần cứng và phần mềm cần thiết. Tuy nhiên, cách họ sử dụng chúng không an toàn.
Vì vậy, việc triển khai ISO 27001 đòi hỏi việc xây dựng các quy tắc tổ chức. Ví dụ: viết tài liệu cần thiết để ngăn chặn vi phạm an ninh. Việc triển khai này đòi hỏi việc xây dựng nhiều chính sách, thủ tục, tài sản và tương tác con người...
ISO 27001 đã mô tả cách tích hợp tất cả các yếu tố này thành một hệ thống quản lý bảo mật thông tin (ISMS).
Do đó, quản lý bảo mật thông tin không chỉ bao gồm việc bảo vệ công nghệ thông tin, như ví dụ: tường lửa, phòng chống vi rút, vv. Nó còn bao hàm việc quản lý các quy trình, pháp lý, tài nguyên nhân lực, bảo vệ vật lý và nhiều khía cạnh khác.
5. Các phiên bản của ISO 27001
Tiêu chuẩn BS 7799
Phiên bản ban đầu của bộ ISO 27000 bắt nguồn từ tiêu chuẩn BS 7799, được phát triển và xuất bản bởi Viện Tiêu chuẩn Anh (BSI - Bristish Standards Institution). Năm 1996, BS 7799 ban hành Quy tắc thực tiễn cho việc quản lý An toàn Thông tin (Code of Practice for Information Security Management). Năm 1998, tiêu chuẩn này đã thực hiện sửa đổi nội dung, với "Quy tắc thực tiễn trong quản lý An toàn Thông tin" được chuyển sang Phần I và phần "Chi tiết kỹ thuật cần có" được chuyển sang Phần II.
Phần I của tiêu chuẩn BS 7799 cung cấp hướng dẫn thực hiện dựa trên các kiểm soát An toàn Thông tin đề xuất. Nó cũng đã tạo nền tảng cho việc hình thành tiêu chuẩn quốc tế ISO 17799:2000.
Tiêu chuẩn ISO/IEC 27001:2005.
Kể từ năm 2005, tiêu chuẩn ISO 17799:2000 đã chính thức được tổ chức ISO/IEC thay thế bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và vào năm 2007, nó đã được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005.
Phần II của BS 7799 là một Hướng dẫn về kiểm toán dựa trên các yêu cầu. Để đạt được chứng nhận BS 7799, tổ chức sẽ phải trải qua một quá trình kiểm toán dựa trên những điều kiện được liệt kê trong Phần II. Vào tháng 10 năm 2005, tiêu chuẩn này đã được thay thế bằng tiêu chuẩn ISO/IEC 27001:2005.
Tiêu chuẩn ISO 27001:2013
Vào năm 2013, các tiêu chuẩn này đã trải qua việc cập nhật từ phiên bản ISO 27001:2005 lên phiên bản ISO 27001:2013.
Tiêu chuẩn ISO 27001:2013 được tổ chức theo một cấu trúc bao gồm hai phần chính là "Các Điều khoản" và "Biện pháp Kiểm soát". Phần "Các Điều khoản" bao gồm các yêu cầu bắt buộc từ mục 4 đến mục 10, khiến cho tổ chức cần tuân theo và thực hiện để áp dụng và đạt được chứng nhận ISO 27001.
Phiên bản mới nhất – Tiêu chuẩn ISO 27001:2022
Phiên bản mới nhất của tiêu chuẩn này là ISO 27001:2022, đã được Tổ chức ISO thế giới ban hành vào ngày 25/10/2022. Phiên bản này thay thế cho phiên bản trước đó, ISO 27001:2013.
6. Đối tượng áp dụng và mục đích của tiêu chuẩn ISO/IEC 27001
Đối tượng áp dụng
ISO/IEC 27001 có khả năng áp dụng cho mọi loại tổ chức, cả doanh nghiệp sản xuất, dịch vụ, thương mại, cơ quan chính phủ, cũng như các tổ chức phi chính phủ,…v..v. Tiêu chuẩn này đặt ra các yêu cầu liên quan đến việc xây dựng, triển khai, vận hành, giám sát, đánh giá, duy trì và cải tiến hệ thống quản lý an toàn thông tin thông qua tài liệu văn bản, trong ngữ cảnh của các rủi ro liên quan đến quá trình kinh doanh toàn diện của tổ chức. Tiêu chuẩn cũng cụ thể hóa các yêu cầu liên quan đến việc thực hiện các biện pháp kiểm soát an toàn, điều này phải tương thích với nhu cầu chính của tổ chức. Mục tiêu cuối cùng của hệ thống là bảo vệ tài sản thông tin và tạo sự tin tưởng cho tất cả các bên liên quan.
Các mục đích cụ thể
- Áp dụng nội bộ trong tổ chức để triển khai yêu cầu và mục tiêu liên quan đến an toàn thông tin.
- Được xem xét là một cách để đảm bảo quản lý rủi ro về an toàn thông tin có hiệu quả về mặt chi phí.
- Đảm bảo tuân thủ pháp luật và các quy định.
- Tạo khung cho việc thực hiện cũng như quản lý các biện pháp kiểm soát, nhằm đạt được mục tiêu an toàn thông tin cụ thể của tổ chức.
- Phát hiện và làm rõ các quy trình quản lý an toàn thông tin hiện có trong tổ chức.
- Hỗ trợ việc xác định các quy trình quản lý an toàn thông tin mới.
- Được lãnh đạo sử dụng để đánh giá tình trạng hoạt động quản lý an toàn thông tin.
- Được các chuyên gia đánh giá nội bộ và bên ngoài sử dụng để đo lường mức tuân thủ theo các chính sách, hướng dẫn và tiêu chuẩn được tổ chức chấp nhận để thực hiện.
- Cung cấp thông tin liên quan đến chính sách, hướng dẫn, tiêu chuẩn và thủ tục về an toàn thông tin cho các đối tác kinh doanh và tổ chức tương tác với quy trình của tổ chức.
- Cung cấp thông tin về việc đảm bảo an toàn thông tin cho khách hàng của tổ chức
7. Những nội dung (cấu trúc) chính của tiêu chuẩn ISO 27001
Tiêu chuẩn ISO 27001 có cấu trúc gồm 10 phần. Trong đó, 3 Điều khoản đầu tiên dành cho giới thiệu, phạm vi và thuật ngữ. Những yêu cầu chính tập trung trong 7 Điều khoản tiếp theo (từ 4 đến 10).
Trong 7 Điều khoản chính này đưa ra các yêu cầu bắt buộc về các hoạt động cần thực hiện trong việc xây dựng, triển khai, duy trì, giám sát và nâng cấp Hệ thống quản lý An toàn thông tin (ISMS) của các tổ chức. Mọi vi phạm của tổ chức đối với các quy định trong 7 Điều khoản này được xem như vi phạm tiêu chuẩn. Cấu trúc cụ thể của tiêu chuẩn ISO 27001 như sau:
Điều 4 - Phạm vi tổ chức
Điều 5 - Lãnh đạo.
Điều 6 - Lập kế hoạch.
Điều 7 - Hỗ trợ.
Điều 8 - Vận hành hệ thống.
Điều 9 - Đánh giá hiệu năng hệ thống.
Điều 10 - Cải tiến hệ thống.
Những thay đổi kiểm soát chính trong Phụ lục A so với bản cũ ISO 27001:2013
Phụ lục A đã chứng kiến một sự biến đổi quan trọng nhất. Phiên bản cập nhật mới của Phụ lục A thuộc ISO/IEC 27001 đã trải qua một quá trình tái cấu trúc và hoàn toàn sửa đổi. Như vậy, số lượng biện pháp kiểm soát đã được thu gọn từ 114 xuống còn 93 trong phiên bản mới. Bên cạnh đó, những biện pháp kiểm soát bảo mật này hiện được phân chia thành 4 phần, so với con số 14 như trước đây.
Ngoài ra, sự thay đổi này thể hiện sự nỗ lực rõ ràng để làm cho tiêu chuẩn ngắn gọn và thực hiện một cách dễ dàng hơn. Các sự trùng lặp và lặp lại đã được gỡ bỏ, dẫn đến việc tạo ra 5 thuộc tính bảo mật cốt lõi, giúp việc nhóm hóa chúng trở nên đơn giản hơn.
Các biện pháp kiểm soát mới trong ISO/IEC 27001:2022 bao gồm:
- Phần 5: Tổ chức – Bao gồm 37 điều khiển
- Phần 6: Nhân sự – Gồm 8 điều khiển
- Phần 7: Kiểm soát vật lý – Bao gồm 14 điều khiển
- Phần 8: Công nghệ – Bao gồm 34 điều khiển
Tóm lại, các kiểm soát không bị thay đổi, có 23 kiểm soát thay đổi tên, 57 kiểm soát đã được hợp nhất để tạo ra 24 kiểm soát mới và 11 kiểm soát hoàn toàn mới đã được thêm vào danh sách.
Cụ thể như sau
- Điều 5.7: Thông tin tình báo về mối đe dọa
- Điều 5.23: Bảo mật thông tin cho các dịch vụ sử dụng điện toán đám mây
- Điều 5.30: Sự sẵn sàng của công nghệ thông tin – Chất lượng hoạt động kinh doanh không gián đoạn
- Điều 7.4: Giám sát an ninh vật lý
- Điều 8.1: Mặt nạ dữ liệu
- Điều 8.9: Quản lý cấu hình
- Điều 8.10: Xóa bỏ thông tin
- Điều 8.12: Ngăn chặn rò rỉ dữ liệu
- Điều 8.16: Giám sát các hoạt động
- Điều 8.23: Lọc nội dung web
- Điều 8.28: Mã hóa an toàn
8. Lợi ích của việc áp dụng tiêu chuẩn ISO 27001
- Bảo vệ tài sản thông tin
- Thúc đẩy chính sách bảo mật
- Xây dựng chiến lược an ninh mạng
- Tối ưu hóa quản trị công nghệ thông tin
- Tổ chức quản lý sự cố hiệu quả
- Giảm thiểu nguy cơ đe dọa
- Rút ngắn thời gian chết
- Ngăn chặn sự mất mát
- Đối phó với vi phạm dữ liệu
- Áp dụng danh sách kiểm tra tuân thủ
- Thiết lập hệ thống quản lý toàn diện
- Tuân thủ chuẩn GDPR
- Thực hiện kiểm soát một cách linh hoạt trên các lĩnh vực lựa chọn trong tổ chức.
- Xây dựng lòng tin của cổ đông và khách hàng về việc bảo vệ dữ liệu của họ.
- Chứng minh sự tuân thủ và tạo niềm tin với các đối tác cung cấp.
- Đáp ứng nhiều hơn các kỳ vọng từ việc đấu thầu, bằng cách chứng minh sự tuân thủ.
9. Chứng nhận tiêu chuẩn ISO 27001
Chứng nhận ISO 27001 sẽ phù hợp với tổ chức/doanh nghiệp nào đang cần bằng chứng về việc đảm bảo an toàn cho tài sản quan trọng nhất của khách hàng, nhằm ngăn chặn việc lạm dụng, tham nhũng hoặc mất mát. Nếu tổ chức đang tìm cách bảo mật thông tin nhạy cảm, tuân thủ các quy định của ngành, đảm bảo việc trao đổi thông tin một cách an toàn hoặc quản lý và giảm thiểu rủi ro, thì việc đạt chứng nhận ISO 27001 sẽ là một giải pháp tuyệt vời.
10. Quy trình chứng nhận tiêu chuẩn ISO 27001
Có 2 loại chứng chỉ ISO 27001 như sau:
Một là Chứng nhận cho các tổ chức/doanh nghiệp
Các tổ chức có thể đạt chứng nhận ISO 27001 thông qua các tổ chức chứng nhận độc lập. Chứng nhận tiêu chuẩn này dùng để chứng minh rằng doanh nghiệp tuân thủ toàn bộ các điều khoản bắt buộc của tiêu chuẩn;
Để đạt được chứng nhận, doanh nghiệp cần thực hiện việc áp dụng tiêu chuẩn. Sau đó, họ sẽ trải qua một quá trình đánh giá chứng nhận được thực hiện bởi tổ chức chứng nhận.
Quá trình đánh giá chứng nhận diễn ra qua hai bước chính sau:
- Bước 1: Đánh giá giai đoạn 1 (Xem xét tài liệu) – Chuyên gia đánh giá sẽ xem xét toàn bộ tài liệu.
- Bước 2: Đánh giá giai đoạn 2 (Kiểm toán thực địa) – Chuyên gia đánh giá sẽ thực hiện kiểm toán tại cơ sở của doanh nghiệp. Mục tiêu là kiểm tra toàn bộ hoạt động trong công ty có tuân thủ ISO 27001 và có tuân thủ tài liệu ISMS không.
Sau khi chứng nhận được cấp, công ty cần phải tham gia vào quá trình đánh giá giám sát trong suốt thời gian 3 năm để đảm bảo việc duy trì ISMS.
Hai là Chứng chỉ cho các cá nhân
Các cá nhân có thể tham gia các khóa học để lấy chứng chỉ về ISO 27001. Phổ biến nhất là các khóa học sau:
- Khóa học Đánh giá chứng nhận ISO 27001 – Hướng dẫn bạn cách thực hiện quy trình đánh giá chứng nhận. Được thiết kế cho các chuyên gia đánh giá và tư vấn.
- Khóa học xây dựng và triển khai ISO 27001 - Hướng dẫn cách áp dụng tiêu chuẩn. Đặc biệt phù hợp cho các chuyên viên bảo mật thông tin và cho chuyên gia tư vấn.
- Khóa học đánh giá nội bộ ISO 27001 – Giới thiệu các khái niệm cơ bản của tiêu chuẩn và cách thực hiện đánh giá nội bộ. Được thiết kế cho người mới làm quen với ISO 27001 và những người thực hiện đánh giá nội bộ.
- Khóa học đánh giá nội bộ
- Tham gia một khóa học nội bộ
Xem thêm: Chứng nhận ISO 27001 là gì?
11. Thời kỳ đánh giá chuyển đổi từ phiên bản ISO/IEC 27001:2013 sang ISO/IEC 27001:2022
- Phiên bản mới đã được ra mắt vào ngày 25 tháng 10 năm 2022.
- Việc cập nhật hệ thống quản lý an ninh thông tin (ISMS) và chuyển đổi chứng nhận sang ISO/IEC 27001:2022 sẽ diễn ra chậm nhất trước ngày 31 tháng 10 năm 2025. Sau thời điểm này, tất cả chứng nhận ISO/IEC 27001:2013 sẽ không còn hiệu lực.
- Chậm nhất là 12 tháng sau ngày 31 tháng 10 năm 2022, tiêu chuẩn ISO/IEC 27001:2022 sẽ được xem xét, đánh giá và cấp chứng nhận.
Và đó là những nội dung về tiêu chuẩn ISO 27001. Hi vọng những thông tin này giúp bạn có nhiều kiến thức hữu ích.
Phuong.