Từ điển thuật ngữ

Title Index
Hệ thống quản lý an toàn thông tin ISO/IEC 27001
Giới thiệu
1. ISO/IEC 27000 là gì?
ISO/IEC 27000 là bộ tiêu chuẩn về quản lý an toàn thông tin. Bộ tiêu chuẩn này được xây dựng dựa trên các tiêu chuẩn về quản lý an toàn thông tin BS 7799 của Viện Tiêu chuẩn Anh (British Standards Institute - BSI). Tháng 12 năm 2000, tiêu chuẩn BS 7799-1 được Tổ chức Tiêu chuẩn hoá quốc tế (ISO) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000. Năm 2005, tiêu chuẩn này được ban hành thành tiêu chuẩn ISO/IEC 27001:2005 Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu.
ISO/IEC 27001 là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000. ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với việc xây dựng và áp dụng hệ thống quản lý an toàn thông tin (Information Security Management System - ISMS) nhằm đảm bảo tính bảo mật (confidentiality), tính nguyên vẹn (integrity) và tính sẵn sàng (availability) đối với tài sản thông tin của các tổ chức/doanh nghiệp. Việc áp dụng một hệ thống quản lý an toàn thông tin sẽ giúp các tổ chức/doanh nghiệp ngăn ngừa, hạn chế các tổn thất trong sản xuất, kinh doanh liên quan tới việc hư hỏng, mất mát các thông tin, dữ liệu quan trọng.
Tiêu chuẩn ISO/IEC 27001 đã được Việt Nam chấp thuận trở thành tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009. Bộ tiêu chuẩn ISO/IEC 27000 gồm các tiêu chuẩn sau:
- ISO/IEC 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)
- ISO/IEC 27001:2005 các yêu cầu đối với hệ thống quản lý an toàn thông tin
- ISO/IEC 27002:2007 qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất
- ISO/IEC 27003:2007 các hướng dẫn áp dụng
- ISO/IEC 27004:2007 đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS
- ISO/IEC 27005 quản lý rủi ro an toàn thông tin
- ISO/IEC 27006 hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông.
Hiện nay, việc áp dụng hệ thống quản lý an toàn thông tin ISO/ IEC 27001 đã được triển khai rộng khắp ở hầu hết các quốc gia
trên thế giới. Tại Việt nam, thời gian qua một số tổ chức ngân hàng, tài chính,công nghệ thông tin,… cũng bắt đầu quan tâm
triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định.
2. Đối tượng áp dụng
Tiêu chuẩn ISO/IEC 27001:2005 có thể được áp dụng rộng rãi cho nhiều loại hình tổ chức (các tổ chức thương mại, cơ quan
nhà nước, các tổ chức phi lợi nhuận… ), đặc biệt là các tổ chức mà hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông, v.v… Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng của tổ chức.
ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp do vậy có thể xây dựng độc
lập hoặc kết hợp với các hệ thống quản lý khác như ISO 9000, ISO 14000, v.v...
 
Lợi ích
- Chứng tỏ sự cam kết đảm bảo sự an toàn về thông tin ở mọi mức độ.
- Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu.
- Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng.
- Giảm giá thành và các chi phí bảo hiểm.
- Nâng cao nhận thức và trách nhiệm của nhân viên về an ninh thông tin.
 

Nguồn: Sách cẩm nang kiến thức về năng suất chât lượng - Viện Năng suất Việt Nam

Giấy phép số 2915/QĐ-BKHCN - Copyright © VNPI, ghi rõ nguồn khi sử dụng thông tin từ website này. Online: 54 Tổng truy cập: 765.544
Hotline: 0912293223