vinastarconsulting
24-10-2014, 08:32 PM
ISO 27001:2013 những điều nên biết
Tiêu chuẩn 27001 phiên bản 2013 được công bố vào ngày 01 tháng 10 năm 2013.
Dưới đây là những điểm chính của phiên bản mới mà chúng ta cần biết:
I. Về cấu trúc
0 Giới thiệu.
1 Phạm vi của tiêu chuẩn.
2 Tài liệu tham chiếu.
3 Thuật ngữ và định nghĩa.
4 Mô hình tổ chức.
5 Lãnh đạo.
6 Kế hoạch về hệ thống quản lý an toàn thông tin; đánh giá rủi ro; xử lý rủi ro.
7 Hỗ trợ cho hệ thống quản lý an toàn thông tin.
8 Hoạt động.
9 Hiệu năng hoạt động.
10 Hành động cải tiến.
Phụ lục A vẫn còn xuất hiện trong phiên bản mới. Tuy nhiên phụ lục B và C đã không còn xuất hiện nữa.
II.Lãnh đạo (leadership)
Các yêu cầu cam kết quản lý tập trung vào thuật ngữ “lãnh đạo”.
III. Về các bên liên quan (interested parties)
Có tầm quan trọng rất lớn, trong đó bao gồm các cổ đông, cơ quan chức năng (gồm cả các yêu cầu về pháp luật và quy định), khách hàng, đối tác, …. được ghi nhận trong phiên bản mới này. Có một điều đặc biệt là các bên liên quan phải được liệt kê, cùng với tất cả các yêu cầu của họ.
Đây là yếu tố đầu vào quan trong của ISMS.
IV. Tài liệu hóa thông tin
Khái niệm về “các tài liệu” và “các hồ sơ” được gộp chung lại.
Yêu cầu trong tiêu chuẩn cũ đối với tiến trình sử lý tài liệu (kiểm soát tài liệu, đánh giá nội bộ, hành động khắc phục, phòng ngừa) đã không còn. Tuy nhiên các yêu cầu về tài liệu đầu ra từ các tiến trình vẫn còn trong tiêu chuẩn mới. Vì vậy, không cần phải viết ra các tiến trình, nhưng vẫn cần phải duy trì tất cả các hồ sơ khi quản lý tài liệu, thực hiện đánh giá nội bộ, và hành động khắc phục.
V. Đánh giá rủi ro và xử lý rủi ro
Tài sản, lổ hổng và mối đe dọa không phải là cơ sở đánh giá rủi ro nữa. Các yếu tố này chỉ cần khi xác định những rủi ro liên quan đến tính bảo mật, toàn vẹn và sẵn sàng.
Khái niệm về việc xác định mức độ rủi ro dựa trên những hậu quả và khả năng vẫn giữ nguyên.
Khái niệm về chủ sở hữu tài sản đã không còn, một thuật ngữ mới được dùng là: “chủ sở hữu rủi ro”, vì thế mà trách nhiệm được đưa lên một mức cao hơn.
Các yêu cầu đánh giá rủi ro đã được liên kết với ISO 31000.
VI. Mục tiêu, việc theo dõi và đo lường
Các quy tắc (rule) cần được thiết lập mục tiêu rõ ràng, phải xác định ai sẽ là người xem xét chúng và khi nào, phải xác định ai sẽ phân tích và đánh giá những kết quả từ những quy tắc đó.
Các kế hoạch cần phải được phát triển và phải được mô tả làm cách thức đạt được các mục tiêu.
VII. Về hành động khắc phục và phòng ngừa
Sự thay đổi lớn nhất là không có hành động phòng ngữa nữa, về cơ bản chúng được gộp lại trong đánh giá và xử lý rủi ro.
Hơn nữa, có một sự phân biệt giữa các lần khắc phục, hành động trực tiếp tới điểm không phù hợp, trái ngược với hành động khắc phục để loại bỏ các nguyên nhân gây ra điểm không phù hợp.
VIII. Truyền thông
Đây cũng là một điều khoản mới, là nơi mà tất cả các yêu cầu được tập trung lại – những gì cần phải được thông báo, khi nào, bởi ai, thông qua đó có nghĩa là gì, …. Sự thành công của an toàn thông tin phụ thuộc vào cả hai phía IT và phía doanh nghiệp, sự hiểu biết tổng thể của họ về mục đích bảo vệ thông tin.
IX. Danh sách một số tài liệu theo iso 27001 phiên bản 2013:
- Phạm vi của ISMS (Chương 4.3)
- Chính sách bảo mật thông tin và các mục tiêu (Chương 5.2 và 6.2)
- Đánh giá rủi ro và phương pháp xử lý rủi ro (Chương 6.1.2)
- Tuyên bố áp dụng (Chương 6.1.3d)
- Kế hoạch xử lý rủi ro (Chương 6.1.3e và 6.2)
- Báo cáo đánh giá rủi ro (Chương 8.2)
- Xác định trách nhiệm và vai trò bảo mật (Chương 7.1.2 và A.13.2.4)
- Kiểm kê tài sản (A.8.1.1)
- Chấp nhận việc sử dụng của tài sản (A.8.1.3)
- Chính sách kiểm soát truy cập (A.9.1.1)
- Các quy trình điều hành để quản lý CNTT (A.12.1.1)
- Các nguyên tắc bảo mật hệ thống kỹ thuật (A.14.2.5)
- Chính sách bảo mật phía nhà cung ứng (A.15.1.1)
- Quy trình quản lý sự cố (A.16.1.5)
- Quy trình đảm bảo tính liên tục trong kinh doanh (A.17.1.2)
- Các yêu cầu luật, quy định và hợp đồng (A.18.1.1)
X. Danh sách một số hồ sơ theo iso 27001 phiên bản 2013:
- Hồ sơ về đào tạo, kỹ năng, kinh nghiệm và trình độ chuyên môn (Chương 7.2)
- Giám sát và đo lường kết quả (Chương 9.1)
- Chương trình đánh giá nội bộ (Chương 9.2)
- Kết quả từ việc xem xét của quản lý (Chương 9.3)
- Kết quả của các hành động khắc phục (Chương 10.1)
Tham khảo thêm thông tin tại: http://vinastarconsulting.com/blog/
http://vinastarconsulting.com/blog/wp-content/uploads/2013/05/logo-mini.jpgcung cấp dịch vụ tư vấn, đào tạo và đánh giá nhằm hỗ trợ các doanh nghiệp áp dụng hệ thống quản lý dựa trên các tiêu chuẩn như ISO 27001 – ISMS, ISO 20000/ ITIL – ITSMS, BS 25999/ ISO 22301 – BCMS, ISO 27001 – ISMS, 38500 – IT Governance…với các chuyên gia Việt Nam và Quốc tế nhiều kinh nghiệm, Vinastar Consulting mang đến những giải pháp thông minh giúp giải quyết các vấn đề và cải thiện hệ thống quản lý của doanh nghiệp.
Tiêu chuẩn 27001 phiên bản 2013 được công bố vào ngày 01 tháng 10 năm 2013.
Dưới đây là những điểm chính của phiên bản mới mà chúng ta cần biết:
I. Về cấu trúc
0 Giới thiệu.
1 Phạm vi của tiêu chuẩn.
2 Tài liệu tham chiếu.
3 Thuật ngữ và định nghĩa.
4 Mô hình tổ chức.
5 Lãnh đạo.
6 Kế hoạch về hệ thống quản lý an toàn thông tin; đánh giá rủi ro; xử lý rủi ro.
7 Hỗ trợ cho hệ thống quản lý an toàn thông tin.
8 Hoạt động.
9 Hiệu năng hoạt động.
10 Hành động cải tiến.
Phụ lục A vẫn còn xuất hiện trong phiên bản mới. Tuy nhiên phụ lục B và C đã không còn xuất hiện nữa.
II.Lãnh đạo (leadership)
Các yêu cầu cam kết quản lý tập trung vào thuật ngữ “lãnh đạo”.
III. Về các bên liên quan (interested parties)
Có tầm quan trọng rất lớn, trong đó bao gồm các cổ đông, cơ quan chức năng (gồm cả các yêu cầu về pháp luật và quy định), khách hàng, đối tác, …. được ghi nhận trong phiên bản mới này. Có một điều đặc biệt là các bên liên quan phải được liệt kê, cùng với tất cả các yêu cầu của họ.
Đây là yếu tố đầu vào quan trong của ISMS.
IV. Tài liệu hóa thông tin
Khái niệm về “các tài liệu” và “các hồ sơ” được gộp chung lại.
Yêu cầu trong tiêu chuẩn cũ đối với tiến trình sử lý tài liệu (kiểm soát tài liệu, đánh giá nội bộ, hành động khắc phục, phòng ngừa) đã không còn. Tuy nhiên các yêu cầu về tài liệu đầu ra từ các tiến trình vẫn còn trong tiêu chuẩn mới. Vì vậy, không cần phải viết ra các tiến trình, nhưng vẫn cần phải duy trì tất cả các hồ sơ khi quản lý tài liệu, thực hiện đánh giá nội bộ, và hành động khắc phục.
V. Đánh giá rủi ro và xử lý rủi ro
Tài sản, lổ hổng và mối đe dọa không phải là cơ sở đánh giá rủi ro nữa. Các yếu tố này chỉ cần khi xác định những rủi ro liên quan đến tính bảo mật, toàn vẹn và sẵn sàng.
Khái niệm về việc xác định mức độ rủi ro dựa trên những hậu quả và khả năng vẫn giữ nguyên.
Khái niệm về chủ sở hữu tài sản đã không còn, một thuật ngữ mới được dùng là: “chủ sở hữu rủi ro”, vì thế mà trách nhiệm được đưa lên một mức cao hơn.
Các yêu cầu đánh giá rủi ro đã được liên kết với ISO 31000.
VI. Mục tiêu, việc theo dõi và đo lường
Các quy tắc (rule) cần được thiết lập mục tiêu rõ ràng, phải xác định ai sẽ là người xem xét chúng và khi nào, phải xác định ai sẽ phân tích và đánh giá những kết quả từ những quy tắc đó.
Các kế hoạch cần phải được phát triển và phải được mô tả làm cách thức đạt được các mục tiêu.
VII. Về hành động khắc phục và phòng ngừa
Sự thay đổi lớn nhất là không có hành động phòng ngữa nữa, về cơ bản chúng được gộp lại trong đánh giá và xử lý rủi ro.
Hơn nữa, có một sự phân biệt giữa các lần khắc phục, hành động trực tiếp tới điểm không phù hợp, trái ngược với hành động khắc phục để loại bỏ các nguyên nhân gây ra điểm không phù hợp.
VIII. Truyền thông
Đây cũng là một điều khoản mới, là nơi mà tất cả các yêu cầu được tập trung lại – những gì cần phải được thông báo, khi nào, bởi ai, thông qua đó có nghĩa là gì, …. Sự thành công của an toàn thông tin phụ thuộc vào cả hai phía IT và phía doanh nghiệp, sự hiểu biết tổng thể của họ về mục đích bảo vệ thông tin.
IX. Danh sách một số tài liệu theo iso 27001 phiên bản 2013:
- Phạm vi của ISMS (Chương 4.3)
- Chính sách bảo mật thông tin và các mục tiêu (Chương 5.2 và 6.2)
- Đánh giá rủi ro và phương pháp xử lý rủi ro (Chương 6.1.2)
- Tuyên bố áp dụng (Chương 6.1.3d)
- Kế hoạch xử lý rủi ro (Chương 6.1.3e và 6.2)
- Báo cáo đánh giá rủi ro (Chương 8.2)
- Xác định trách nhiệm và vai trò bảo mật (Chương 7.1.2 và A.13.2.4)
- Kiểm kê tài sản (A.8.1.1)
- Chấp nhận việc sử dụng của tài sản (A.8.1.3)
- Chính sách kiểm soát truy cập (A.9.1.1)
- Các quy trình điều hành để quản lý CNTT (A.12.1.1)
- Các nguyên tắc bảo mật hệ thống kỹ thuật (A.14.2.5)
- Chính sách bảo mật phía nhà cung ứng (A.15.1.1)
- Quy trình quản lý sự cố (A.16.1.5)
- Quy trình đảm bảo tính liên tục trong kinh doanh (A.17.1.2)
- Các yêu cầu luật, quy định và hợp đồng (A.18.1.1)
X. Danh sách một số hồ sơ theo iso 27001 phiên bản 2013:
- Hồ sơ về đào tạo, kỹ năng, kinh nghiệm và trình độ chuyên môn (Chương 7.2)
- Giám sát và đo lường kết quả (Chương 9.1)
- Chương trình đánh giá nội bộ (Chương 9.2)
- Kết quả từ việc xem xét của quản lý (Chương 9.3)
- Kết quả của các hành động khắc phục (Chương 10.1)
Tham khảo thêm thông tin tại: http://vinastarconsulting.com/blog/
http://vinastarconsulting.com/blog/wp-content/uploads/2013/05/logo-mini.jpgcung cấp dịch vụ tư vấn, đào tạo và đánh giá nhằm hỗ trợ các doanh nghiệp áp dụng hệ thống quản lý dựa trên các tiêu chuẩn như ISO 27001 – ISMS, ISO 20000/ ITIL – ITSMS, BS 25999/ ISO 22301 – BCMS, ISO 27001 – ISMS, 38500 – IT Governance…với các chuyên gia Việt Nam và Quốc tế nhiều kinh nghiệm, Vinastar Consulting mang đến những giải pháp thông minh giúp giải quyết các vấn đề và cải thiện hệ thống quản lý của doanh nghiệp.