Tin tức

Trang chủ
Chia sẻ từ chuyên gia

Trở về

Tiêu chuẩn ISO/IEC 27001 – Hệ thống quản lý an toàn thông tin

Admin, Ngày 06/12/2023 lúc 10:49

Nhiều công nghệ mới ra đời, đặc biệt là phương thức làm việc có nhiều thay đổi theo hướng làm việc trực tuyến/từ xa thông qua các ứng dụng đám mây. Khi xảy ra tấn công hoặc vi phạm, các doanh nghiệp sẽ bị ảnh hưởng nghiêm trọng, sản xuất bị cản trở, thậm chí tê liệt. Bảo mật thông tin sẽ không đơn giản như trước đây, đặt ra yêu cầu mới đối với hệ thống quản lý an toàn thông tin.

Tiêu chuẩn ISO/IEC 27001 là gì?

ISO/IEC 27001 là tiêu chuẩn nổi tiếng nhất thế giới về hệ thống quản lý an toàn thông tin (ISMS), xác định các yêu cầu mà hệ thống quản lý an toàn thông tin cần phải đáp ứng.Tiêu chuẩn ISO/IEC 27001 cung cấp cho các công ty thuộc mọi quy mô và thuộc mọi lĩnh vực hoạt động hướng dẫn thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý bảo mật thông tin. Tại sao ISO/IEC 27001 lại quan trọng?

Vấn đề an ninh mạng ngày càng gia tăng và các mối đe dọa mới liên tục xuất hiện, việc quản lý rủi ro mạng trở nên rất khó khăn hoặc thậm chí không thể kiểm soát được. ISO/IEC 27001 giúp các tổ chức nhận thức được rủi ro và chủ động xác định cũng như giải quyết các điểm yếu. ISO/IEC 27001 thúc đẩy cách tiếp cận toàn diện về bảo mật thông tin: kiểm tra con người, chính sách và công nghệ. Hệ thống quản lý bảo mật thông tin được triển khai theo tiêu chuẩn này là một công cụ để quản lý rủi ro, khả năng phục hồi mạng và hoạt động xuất sắc.

Năm 2000, tiêu chuẩn ISO/IEC 17799:2000 được ban hành;
Năm 2005 được sửa đổi và ban hành thành tiêu chuẩn ISO/IEC 27001:2005: Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu.
Năm 2013, tiêu chuẩn được soát xét và ban hành phiên bản ISO/IEC 27001:2013 nhằm đáp ứng yêu cầu về chuẩn hóa, thống nhất các khái niệm, thuật ngữ, cấu trúc của tiêu chuẩn về hệ thống quản lý của ISO và đưa vào áp dụng các nguyên tắc về quản lý rủi ro.
Năm 2022, tiêu chuẩn được soát xét và ban hành phiên bản ISO/IEC 27001:2022. Phiên bản hiện nay có tiêu đề mới là ISO/IEC 27001: 2022 Bảo mật thông tin, An ninh mạng và Bảo vệ quyền riêng tư

Như vậy, các tổ chức/doanh nghiệp đã áp dụng và có mong muốn duy trì chứng nhận hệ thống quản lý ATTT cần có kế hoạch chuyển đổi theo phiên bản mới chậm nhất vào ngày 31/10/2025. Sau 12 tháng kể từ ngày ban hành tiêu chuẩn, 31/10/2022, tiêu chuẩn ISO/IEC 27001:2022 sẽ được đánh giá và cấp chứng nhận.

What are the 11 new security controls in ISO 27001:2022?

So với phiên bản trước, một số điều khoản đã được viết lại hoặc sắp xếp lại trong ISO/IEC 27001:2022 và có những yêu cầu mới trong các điều khoản từ 4 đến 10, trong đó thay đổi trong điều khoản 4.4 sẽ tác động đáng kể đến cách một tổ chức quản lý ISMS, như: khoản 3, thêm liên kết cho cơ sở dữ liệu ISO và IEC; khoản 4.2(c), thêm dấu đầu dòng mới; khoản 4.4, thêm một yêu cầu để thiết lập, thực hiện, duy trì và cải tiến liên tục các quy trình và sự tương tác của chúng; khoản 5.1, bổ sung Lưu ý để làm rõ thuật ngữ “kinh doanh”; khoản 6.3, thêm một phần mới cho “Lập kế hoạch thay đổi”.

ISO/IEC 27001:2022 hiện có 93 biện pháp kiểm soát so với 114 biện pháp kiểm soát trong ISO/IEC 27001:2013 (11 điều khoản mới trong phiên bản tiêu chuẩn năm 2022; 56 biện pháp kiểm soát trong ISO/IEC 27001:2013 đã được hợp nhất thành 24 biện pháp kiểm soát trong ISO/IEC 27001:2022; nhiều điều khoản trong phiên bản 2022 đã trải qua một số hình thức thay đổi văn bản, chia thành 4 chủ đề:

Tổ chức: 3 điều khoản mới và 28 hợp nhất
Con người: 0 có điều khoản mới mới và 2 hợp nhất
Hạ tầng vật chất: 1 điều khoản mới và 5 hợp nhất
Kỹ thuật: 7 điều khoản mới và 21 hợp nhất

Theo thống kê của ISO, ISO Survey of Certification, tính đến tháng 12/2021, toàn thế giới có ít nhất 58.687 tổ chức/doanh nghiệp đã được cấp chứng chỉ ISO/IEC 27001. Việt Nam có 375 tổ chức/doanh nghiệp đã được cấp chứng chỉ ISO/IEC 27001.

Viện Năng suất Việt Nam

Phong trào năng suất chất lượng tại Việt Nam

Có thể nói, phong trào năng suất chất lượng tại Việt Nam bắt đầu được khởi xướng vào năm 1995 thông qua Hội nghị Chất lượng Việt Nam do Tổng cục Tiêu chuẩn Đo lường Chất lượng, Bộ Khoa học và Công nghệ (trước đây là Bộ Khoa học, Công nghệ và Môi trường) tổ chức. Tại Hội nghị, nguyên Phó Chủ tịch nước Nguyễn Thị Bình đã chính thức phát động Thập niên Chất lượng lần thứ nhất.

Phát triển đội ngũ chuyên gia năng suất quốc gia qua các khóa đào tạo

Chủ tịch Thành phố Hồ Chí Minh Phan Văn Mãi tiếp Tổng Thư ký Tổ chức Năng suất Châu Á (APO)

Sáng ngày 13-12, tại trụ sở Ủy ban nhân dân TP. Hồ Chí Minh đã diễn ra buổi làm việc giữa Chủ tịch UBND Thành phố Phan Văn Mãi và đoàn công tác của Tổng thư ký Tổ chức Năng suất Châu Á, TS. Indra Pradana Singawinata về việc hỗ trợ Thành phố hoàn thiện thể chế, đào tạo nguồn nhân lực, triển khai các dự án cụ thể về cải cách thủ tục hành chính, thúc đẩy hợp tác quốc tế trong lĩnh vực năng suất.

Tổng Thư ký Tổ chức Năng suất đồng hành với các hoạt động thúc đẩy năng suất quốc gia của Việt Nam

Tổng thư ký Tổ chức Năng suất Châu Á (APO), Tiến sĩ Indra Pradana Singawinata đã có chuyến thăm và làm việc tại Việt Nam từ ngày 12 đến ngày 13 tháng 12 năm 2023. Trong chương trình làm việc, Tổng Thư ký APO đã tham gia Diễn đàn Năng suất Quốc gia và thảo luận với Bộ trưởng Bộ Khoa học và Công nghệ, Chủ tịch Ủy ban Nhân dân Thành phố Hồ Chí Minh, các nhà lãnh đạo và các thành viên Câu lạc bộ Năng suất tại Học viện Báo chí và Truyền thông về hợp tác chiến lược nhằm thúc đẩy các nỗ lực cải thiện năng suất.

Diễn đàn Năng suất Quốc gia 2023 – một sự kiện có ý nghĩa quan trọng

Ngày 12/12/2023, Bộ Khoa học và Công nghệ đã tổ chức thành công Diễn đàn Năng suất quốc gia năm 2023 với chủ đề “Đẩy nhanh công cuộc phát triển của Việt Nam với động lực năng suất”. Diễn đàn đã nhận được các cơ quan, tổ chức trong nước cũng như quốc tế đánh giá là một sự kiện có ý nghĩa quan trọng