Tin tức

Back

Tiêu chuẩn ISO/IEC 27001 – Hệ thống quản lý an toàn thông tin

Nhiều công nghệ mới ra đời, đặc biệt là phương thức làm việc có nhiều thay đổi theo hướng làm việc trực tuyến/từ xa thông qua các ứng dụng đám mây. Khi xảy ra tấn công hoặc vi phạm, các doanh nghiệp sẽ bị ảnh hưởng nghiêm trọng, sản xuất bị cản trở, thậm chí tê liệt. Bảo mật thông tin sẽ không đơn giản như trước đây, đặt ra yêu cầu mới đối với hệ thống quản lý an toàn thông tin.

Tiêu chuẩn ISO/IEC 27001 là gì?

ISO/IEC 27001 là tiêu chuẩn nổi tiếng nhất thế giới về hệ thống quản lý an toàn thông tin (ISMS), xác định các yêu cầu mà hệ thống quản lý an toàn thông tin cần phải đáp ứng.Tiêu chuẩn ISO/IEC 27001 cung cấp cho các công ty thuộc mọi quy mô và thuộc mọi lĩnh vực hoạt động hướng dẫn thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý bảo mật thông tin. Tại sao ISO/IEC 27001 lại quan trọng?

Vấn đề an ninh mạng ngày càng gia tăng và các mối đe dọa mới liên tục xuất hiện, việc quản lý rủi ro mạng trở nên rất khó khăn hoặc thậm chí không thể kiểm soát được. ISO/IEC 27001 giúp các tổ chức nhận thức được rủi ro và chủ động xác định cũng như giải quyết các điểm yếu. ISO/IEC 27001 thúc đẩy cách tiếp cận toàn diện về bảo mật thông tin: kiểm tra con người, chính sách và công nghệ. Hệ thống quản lý bảo mật thông tin được triển khai theo tiêu chuẩn này là một công cụ để quản lý rủi ro, khả năng phục hồi mạng và hoạt động xuất sắc.

  • Năm 2000, tiêu chuẩn ISO/IEC 17799:2000 được ban hành;
  • Năm 2005 được sửa đổi và ban hành thành tiêu chuẩn ISO/IEC 27001:2005: Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu.
  • Năm 2013, tiêu chuẩn được soát xét và ban hành phiên bản ISO/IEC 27001:2013 nhằm đáp ứng yêu cầu về chuẩn hóa, thống nhất các khái niệm, thuật ngữ, cấu trúc của tiêu chuẩn về hệ thống quản lý của ISO và đưa vào áp dụng các nguyên tắc về quản lý rủi ro.
  • Năm 2022, tiêu chuẩn được soát xét và ban hành phiên bản ISO/IEC 27001:2022. Phiên bản hiện nay có tiêu đề mới là ISO/IEC 27001: 2022 Bảo mật thông tin, An ninh mạng và Bảo vệ quyền riêng tư

Như vậy, các tổ chức/doanh nghiệp đã áp dụng và có mong muốn duy trì chứng nhận hệ thống quản lý ATTT cần có kế hoạch chuyển đổi theo phiên bản mới chậm nhất vào ngày 31/10/2025. Sau 12 tháng kể từ ngày ban hành tiêu chuẩn, 31/10/2022, tiêu chuẩn ISO/IEC 27001:2022 sẽ được đánh giá và cấp chứng nhận.

What are the 11 new security controls in ISO 27001:2022?

So với phiên bản trước, một số điều khoản đã được viết lại hoặc sắp xếp lại trong ISO/IEC 27001:2022 và có những yêu cầu mới trong các điều khoản từ 4 đến 10, trong đó thay đổi trong điều khoản 4.4 sẽ tác động đáng kể đến cách một tổ chức quản lý ISMS, như: khoản 3, thêm liên kết cho cơ sở dữ liệu ISO và IEC; khoản 4.2(c), thêm dấu đầu dòng mới; khoản 4.4, thêm một yêu cầu để thiết lập, thực hiện, duy trì và cải tiến liên tục các quy trình và sự tương tác của chúng; khoản 5.1, bổ sung Lưu ý để làm rõ thuật ngữ “kinh doanh”; khoản 6.3, thêm một phần mới cho “Lập kế hoạch thay đổi”.

ISO/IEC 27001:2022 hiện có 93 biện pháp kiểm soát so với 114 biện pháp kiểm soát trong ISO/IEC 27001:2013 (11 điều khoản mới trong phiên bản tiêu chuẩn năm 2022; 56 biện pháp kiểm soát trong ISO/IEC 27001:2013 đã được hợp nhất thành 24 biện pháp kiểm soát trong ISO/IEC 27001:2022; nhiều điều khoản trong phiên bản 2022 đã trải qua một số hình thức thay đổi văn bản, chia thành 4 chủ đề:

  • Tổ chức: 3 điều khoản mới và 28 hợp nhất
  • Con người: 0 có điều khoản mới mới và 2 hợp nhất
  • Hạ tầng vật chất: 1 điều khoản mới và 5 hợp nhất
  • Kỹ thuật: 7 điều khoản mới và 21 hợp nhất

Theo thống kê của ISO, ISO Survey of Certification, tính đến tháng 12/2021, toàn thế giới có ít nhất 58.687 tổ chức/doanh nghiệp đã được cấp chứng chỉ ISO/IEC 27001. Việt Nam có 375 tổ chức/doanh nghiệp đã được cấp chứng chỉ ISO/IEC 27001.

Viện Năng suất Việt Nam