ISO 27001:2013 những điều nên biết

[vinastarconsulting]

ISO 27001:2013 những điều nên biết


Tiêu chuẩn 27001 phiên bản 2013 được công bố vào ngày 01 tháng 10 năm 2013.

Dưới đây là những điểm chính của phiên bản mới mà chúng ta cần biết:


I. Về cấu trúc

0 Giới thiệu.

1 Phạm vi của tiêu chuẩn.

2 Tài liệu tham chiếu.

3 Thuật ngữ và định nghĩa.

4 Mô hình tổ chức.

5 Lãnh đạo.

6 Kế hoạch về hệ thống quản lý an toàn thông tin; đánh giá rủi ro; xử lý rủi ro.

7 Hỗ trợ cho hệ thống quản lý an toàn thông tin.

8 Hoạt động.

9 Hiệu năng hoạt động.

10 Hành động cải tiến.

Phụ lục A vẫn còn xuất hiện trong phiên bản mới. Tuy nhiên phụ lục B và C đã không còn xuất hiện nữa.


II.Lãnh đạo (leadership)

Các yêu cầu cam kết quản lý tập trung vào thuật ngữ “lãnh đạo”.


III. Về các bên liên quan (interested parties)

Có tầm quan trọng rất lớn, trong đó bao gồm các cổ đông, cơ quan chức năng (gồm cả các yêu cầu về pháp luật và quy định), khách hàng, đối tác, …. được ghi nhận trong phiên bản mới này. Có một điều đặc biệt là các bên liên quan phải được liệt kê, cùng với tất cả các yêu cầu của họ.

Đây là yếu tố đầu vào quan trong của ISMS.


IV. Tài liệu hóa thông tin

Khái niệm về “các tài liệu” và “các hồ sơ” được gộp chung lại.

Yêu cầu trong tiêu chuẩn cũ đối với tiến trình sử lý tài liệu (kiểm soát tài liệu, đánh giá nội bộ, hành động khắc phục, phòng ngừa) đã không còn. Tuy nhiên các yêu cầu về tài liệu đầu ra từ các tiến trình vẫn còn trong tiêu chuẩn mới. Vì vậy, không cần phải viết ra các tiến trình, nhưng vẫn cần phải duy trì tất cả các hồ sơ khi quản lý tài liệu, thực hiện đánh giá nội bộ, và hành động khắc phục.


V. Đánh giá rủi ro và xử lý rủi ro

Tài sản, lổ hổng và mối đe dọa không phải là cơ sở đánh giá rủi ro nữa. Các yếu tố này chỉ cần khi xác định những rủi ro liên quan đến tính bảo mật, toàn vẹn và sẵn sàng.

Khái niệm về việc xác định mức độ rủi ro dựa trên những hậu quả và khả năng vẫn giữ nguyên.

Khái niệm về chủ sở hữu tài sản đã không còn, một thuật ngữ mới được dùng là: “chủ sở hữu rủi ro”, vì thế mà trách nhiệm được đưa lên một mức cao hơn.

Các yêu cầu đánh giá rủi ro đã được liên kết với ISO 31000.



VI. Mục tiêu, việc theo dõi và đo lường

Các quy tắc (rule) cần được thiết lập mục tiêu rõ ràng, phải xác định ai sẽ là người xem xét chúng và khi nào, phải xác định ai sẽ phân tích và đánh giá những kết quả từ những quy tắc đó.

Các kế hoạch cần phải được phát triển và phải được mô tả làm cách thức đạt được các mục tiêu.


VII. Về hành động khắc phục và phòng ngừa

Sự thay đổi lớn nhất là không có hành động phòng ngữa nữa, về cơ bản chúng được gộp lại trong đánh giá và xử lý rủi ro.

Hơn nữa, có một sự phân biệt giữa các lần khắc phục, hành động trực tiếp tới điểm không phù hợp, trái ngược với hành động khắc phục để loại bỏ các nguyên nhân gây ra điểm không phù hợp.


VIII. Truyền thông

Đây cũng là một điều khoản mới, là nơi mà tất cả các yêu cầu được tập trung lại – những gì cần phải được thông báo, khi nào, bởi ai, thông qua đó có nghĩa là gì, …. Sự thành công của an toàn thông tin phụ thuộc vào cả hai phía IT và phía doanh nghiệp, sự hiểu biết tổng thể của họ về mục đích bảo vệ thông tin.


IX. Danh sách một số tài liệu theo iso 27001 phiên bản 2013:

- Phạm vi của ISMS (Chương 4.3)

- Chính sách bảo mật thông tin và các mục tiêu (Chương 5.2 và 6.2)

- Đánh giá rủi ro và phương pháp xử lý rủi ro (Chương 6.1.2)

- Tuyên bố áp dụng (Chương 6.1.3d)

- Kế hoạch xử lý rủi ro (Chương 6.1.3e và 6.2)

- Báo cáo đánh giá rủi ro (Chương 8.2)

- Xác định trách nhiệm và vai trò bảo mật (Chương 7.1.2 và A.13.2.4)

- Kiểm kê tài sản (A.8.1.1)

- Chấp nhận việc sử dụng của tài sản (A.8.1.3)

- Chính sách kiểm soát truy cập (A.9.1.1)

- Các quy trình điều hành để quản lý CNTT (A.12.1.1)

- Các nguyên tắc bảo mật hệ thống kỹ thuật (A.14.2.5)

- Chính sách bảo mật phía nhà cung ứng (A.15.1.1)

- Quy trình quản lý sự cố (A.16.1.5)

- Quy trình đảm bảo tính liên tục trong kinh doanh (A.17.1.2)

- Các yêu cầu luật, quy định và hợp đồng (A.18.1.1)


X. Danh sách một số hồ sơ theo iso 27001 phiên bản 2013:

- Hồ sơ về đào tạo, kỹ năng, kinh nghiệm và trình độ chuyên môn (Chương 7.2)

- Giám sát và đo lường kết quả (Chương 9.1)

- Chương trình đánh giá nội bộ (Chương 9.2)

- Kết quả từ việc xem xét của quản lý (Chương 9.3)

- Kết quả của các hành động khắc phục (Chương 10.1)


Tham khảo thêm thông tin tại: http://vinastarconsulting.com/blog/


cung cấp dịch vụ tư vấn, đào tạo và đánh giá nhằm hỗ trợ các doanh nghiệp áp dụng hệ thống quản lý dựa trên các tiêu chuẩn như ISO 27001 – ISMS, ISO 20000/ ITIL – ITSMS, BS 25999/ ISO 22301 – BCMS, ISO 27001 – ISMS, 38500 – IT Governance…với các chuyên gia Việt Nam và Quốc tế nhiều kinh nghiệm, Vinastar Consulting mang đến những giải pháp thông minh giúp giải quyết các vấn đề và cải thiện hệ thống quản lý của doanh nghiệp.

[vinastarconsulting]

GIỚI THIỆU VỀ VINASTAR CONSULTING

• Vinastar được thành lập năm 2009 bởi Ông Tô Hoàng Nam – Ông cũng là chuyên gia đầu tiên về ISO 27001 (Hệ thống quản lý an toàn thông tin) của Việt Nam, một số thông tin về Ông:

1. Đạt chứng chỉ triển khai ISO/IEC 27001:2005 vào tháng 03/2006 tại Singapore.
2. Đạt chứng chỉ đánh giá viên trưởng ISO/IEC 27001:2005 vào tháng 03/2007 tại Ấn Độ.
3. Được IRCA công nhận là đánh giá viên trưởng ISO 27001 đầu tiên và duy nhất của Việt Nam vào tháng 10/2013.

IRCA (www.irca.org) là tổ chức công nhận uy tín nhất về chuyên gia ISO.

• Chúng tôi cung cấp các dịch vụ:

• Tư vấn ISO 27001, tư vấn ISO 20000, tư vấn ISO 22301…
• Đào tạo
• Đánh giá hiện trạng
• Cung cấp chuyên gia đánh giá cho các tổ chức đánh giá chứng nhận

Cho các tiêu chuẩn:

• ISO 27001 - Hệ thống quản lý an toàn thông tin
• ISO 20000/ ITIL - Hệ thống quản lý dịch vụ IT
• ISO 22301 - Hệ thống quản lý hoạt động kinh doanh liên tục
• BS 10012/ ISO 29100 - Hệ thống quản lý thông tin cá nhân
• ISO 38500/ COBIT - Quản trị IT

• Tầm nhìn

1. Tầm nhìn của Vinastar là trở thành công ty dẫn đầu về thương hiệu, danh tiếng, mối quan hệ và thị phần đối với dịch vụ của chúng tôi.

1. Mục tiêu của Vinastar:

- Xây dựng hình ảnh công ty bao gồm những nhân viên chất lượng, dịch vụ chất lượng và sự chuyên nghiệp.
- Tạo nên một thương hiệu thu hút những người giỏi và khách hàng.
- Thiết lập quan hệ với tất cả các bên liên quan của chúng tôi bao gồm: khách hàng, các cơ quan quản lý, các nhà đầu tư, các trường đại học, phương tiện truyền thông, cộng đồng của chúng tôi và nhân viên của chúng tôi.
- Xây dựng thị phần hàng đầu trong phân khúc thị trường của chúng tôi.
Chúng tôi thực hiện bằng việc triển khai thông qua ba nguyên tố chiến lược bao gồm: nhân viên, chất lượng dịch vụ và sự tăng trưởng.

1. Giá trị của Vinastar:

- Những người tận tâm và có tinh thần đồng đội.
- Những người được đào tạo phù hợp, trải nghiệm và luôn cải tiến.
- Những người luôn hướng đến khách hàng và mong muốn tạo dựng các mối quan hệ bền vững.

• Blog về kiến thức tiêu chuẩn ISO của chúng tôi:

Được chia sẽ tại link: http://vinastarconsulting.com/blog/ bao gồm các bài viết:

1. ISO 27001 là gì ?
2. Cấu trúc ISO 27001
3. Lợi ích tổng quát khi áp dụng ISO 27001
4. So sánh ISO 27001 và ISO 20000
5. So sánh ISO 27001 và ISO 22301
6. So sánh ISO 27001:2005 và ISO 27001:2013

…

• Một số khách hàng tiêu biểu về tư vấn ISO 27001 của Vinastar:

TPBANK, Dự án World Bank tài trợ cho thành phố Đà nẵng, CMC TI, S3 Solution…

• Đối tác của Vinastar:

TUV Rheinland, TUV NORD, ACS, NQA, Bureau Veritas.

• Địa chỉ Vinastar tại 02 site:

Văn phòng Hồ Chí Minh : Phòng 901, 68 Nguyễn Huệ, Quận 1, Hồ Chí Minh.
Văn phòng Hà Nội : Phòng 309, 68 Nguyễn Du, Quận Hai Bà Trưng, Hà Nội.
Phone : (08) 66 80 50 22
Fax : (08) 62 88 30 89
Website : www.vinastarconsulting.com
Email : info@vinastarconsulting.com
[IMG]file:///C:\Users\Home\AppData\Local\Temp\msohtmlclip1\01\c lip_image002.png[/IMG] cung cấp dịch vụ tư vấn, đào tạo và đánh giá nhằm hỗ trợ các doanh nghiệp áp dụng hệ thống quản lý dựa trên các tiêu chuẩn như ISO 27001, ISO 20000, BS 25999/ ISO22301…Với các chuyên viên Việt Nam và Quốc tế nhiều kinh nghiệm, Vinastar mang đến những giải pháp thông minh giúp giải quyết các vấn đề và cải thiện hệ thống quản lý của doanh nghiệp.

[vinastarconsulting]

THE INTRODUCTION of VINASTAR CONSULTING

• Vinastar was founded in 2009 by Mr. To Hoang Nam - He was the first expert on ISO 27001 (Information Security Management System) of Vietnam, some information about him:

1. Achieve ISO/IEC 27001 implementation certificate on March 2006 in Singapore
2. Achieve ISO/ IEC 27001 lead auditor certificate on March 2007 in India
3. Had been certified by IRCA as the first ISO 27001 lead auditor in Vietnam on October 2013

IRCA (www.irca.org) is the organization's most prestigious about recognition of ISO expert

• Vinastar provides services include:

• Consulting
• Training
• Gap analysis audit
• Provide auditor/ subcontract for ISO certification body

• For the standards:

• ISO 27001 - Information Security Management Systems
• ISO 20000/ ITIL - IT Service Management Systems
• ISO 22301 - Business Continuity Management Systems
• BS 10012/ ISO 29100 - Personal Information Management Systems
• HIPPA - The Health Insurance Portability and Accountability Act
• ISO 38500/ COBIT - IT Governance

• Vision

1. Vinastar vision is to become the leading brand, reputation, relationships and market share for our service

1. Vinastar Objective:
   
   • Develop company’s reputation including quality staff, quality service and professionalism
   • Create a brand to attract good people and customers
   • Establish relationships with all our stakeholders including customers, management agencies, investors, universities, media, our community and our staff
   • Develop a leading market share in this segment of our market
   • We implemented by deploying through three strategic elements include: personnel, quality of service and growth

1. Vinastar Value:
   
   • Dedicated employee and team spirit
   • Employees are appropriately trained, experienced and always improving
   • Employees always pay attention to our customers and look forward to building sustainable relationships

• Vinastar Blog of our ISO knowledge:

Shared at the link: http://vinastarconsulting.com/blog including articles:
1. What is ISO 27001 ?
2. The structure of ISO 27001
3. The general benefits of applying ISO 27001
4. The comparison of ISO 27001 and ISO 20000
5. The comparison of ISO 22301 and ISO 27001
6. The comparison of ISO 27001:2005 and ISO 27001:2013
…

• Customers of Vinastar:

TPBank, Danang city project was sponsored by World Bank, CMC TI, CMC Telecom, S3 Solution, Fujinet, VNTT, TS24, VietGuys...

• Vinastar Partner:

• TUV Rheinland, TUV NORD, ACS, NQA, Bureau Veritas.

• Address Vinastar at 02 sites:

• Ho Chi Minh City Office : Room 901, 68 Nguyen Hue Street, District 1, Ho Chi Minh City.
• Hanoi Office : Room 309, 68 Nguyen Du Street, Hai Ba Trung District, Ha Noi.
• Phone : (08) 66 80 50 22
• Fax : (08) 62 88 30 89
• Website : www.vinastarconsulting.com
• Email : info@vinastarconsulting.com

provide consulting services, training and assessment to support business application management system based on standards such as ISO 27001, ISO 20000/ ITIL, BS 25999/ ISO 22301... With experience local and international expert experts. Vinastar Consulting offers intelligent solutions to support solve problems and improve the management system of the enterprise.

[KingJ]

bên mình cũng đang làm thủ tuc cấp cái này

[KingJ]

bên mình cũng đang làm thủ tuc cấp cái này