ISO / IEC 27001, một tiêu chuẩn tiếp theo dòng tiêu chuẩn ISO / IEC 27000

Ngày 04/02/2013 đăng bởi seo3.VS [email protected]

ISO / IEC 27001, một tiêu chuẩn tiếp theo dòng tiêu chuẩn ISO / IEC 27000, là một hệ thống quản lý an ninh thông tin (ISMS viết tắt Information Security Management System) theo tiêu chuẩn công bố trong tháng 10 năm 2005 do Tổ chức tiêu chuẩn quốc tế (ISO) và Uỷ ban Điện tử Quốc tế (IEC). Tên đầy đủ của nó là tiêu chuẩn ISO / IEC 27001:2005 – Thông tin công nghệ – Kỹ thuật an ninh – Thông tin bảo mật hệ thống quản lý – Yêu cầu.

ISO / IEC 27001 chính thức chỉ định một hệ thống quản lý mà là nhằm mang lại an ninh thông tin dưới sự kiểm soát quản lý rõ ràng. Là một đặc tả hình thức có nghĩa là nó yêu cầu nhiệm vụ cụ thể. Tổ chức này tuyên bố là đã áp dụng tiêu chuẩn ISO / IEC 27001 do đó có thể được chính thức kiểm toán và chứng nhận phù hợp với tiêu chuẩn (hơn dưới đây).

Cách làm việc theo quy chuẩn.

Hầu hết các tổ chức có một số lượng thông tin bảo mật cần quản lý. Nếu không có một ISMS,  sự quản lý có xu hướng hơi vô tổ chức và rời rạc. Mô hình  Maturity thường đề cập đến giai đoạn này là “ad hoc”. An ninh sẽ kiểm soát hoạt động địa chỉ thường khía cạnh nhất định của IT, an ninh dữ liệu, cụ thể, để lại tài sản CNTT không thông tin (chẳng hạn như thủ tục giấy tờ và kiến ​​thức sở hữu độc quyền) ít được bảo vệ trên toàn bộ. Lập kế hoạch kinh doanh liên tục và an ninh thân thể, cho ví dụ, có thể được quản lý khá độc lập của IT, an ninh thông tin trong khi nguồn nhân lực thực hành có thể làm tài liệu tham khảo rất ít sự cần thiết phải xác định và phân công vai trò an ninh thông tin và chịu trách nhiệm trước  tổ chức.

Yêu cầu quản lý của ISO / IEC 27001

1. Có hệ thống kiểm tra các rủi ro thông tin bảo mật của tổ chức, lường trước các mối đe dọa lỗ hổng và các tác động.
2. Thiết kế và thực hiện một cách chặt chẽ và toàn diện về kiểm soát an ninh thông tin thêm / hoặc các hình thức xử lý rủi ro (chẳng hạn như tránh rủi ro hoặc chuyển giao rủi ro) để giải quyết những rủi ro mà được coi là không thể chấp nhận.
3. Thông qua một quá trình quản lý bao quát để đảm bảo rằng những thông tin kiểm soát an ninh tiếp tục đáp ứng yêu cầu về bảo mật thông tin của tổ chức.

Trong khi các thiết lập quản lý an ninh thông tin có khả năng được sử dụng trong một / ISO IEC 27001 ISMS cũng như, hoặc thậm chí thay vì, ISO / IEC 27002 (Bộ Luật thực hành bảo mật thông tin quản lý), hai tiêu chuẩn thường được sử dụng với nhau trong thực hành. Phụ lục A của ISO / IEC 27001 ngắn gọn danh sách các điều khiển bảo mật thông tin từ ISO / IEC 27002, trong khi tiêu chuẩn ISO / IEC 27002 cung cấp thêm thông tin và tư vấn thực hiện trên các điều khiển.

Tổ chức thực hiện một bộ kiểm soát an ninh thông tin theo tiêu chuẩn ISO / IEC 27002 được đồng thời có khả năng đáp ứng nhiều yêu cầu của tiêu chuẩn ISO / IEC 27001, nhưng có thể thiếu một số yếu tố hệ thống quản lý bao quát. ngược lại cũng đúng, nói cách khác, một tiêu chuẩn ISO / IEC 27001 cung cấp theo giấy chứng nhận đảm bảo rằng hệ thống quản lý an ninh thông tin được đặt ra, nhưng nói rất ít về tình trạng tuyệt đối an ninh thông tin trong tổ chức.

Kỹ thuật kiểm soát an ninh như chống virus và tường lửa thường không được kiểm toán trong ISO / IEC 27001 đánh giá chứng nhận: tổ chức cơ bản là coi đã áp dụng tất cả các điều khiển bảo mật thông tin cần thiết từ các ISMS tổng thể được đặt ra và được coi là đầy đủ bởi đáp ứng yêu cầu của tiêu chuẩn ISO / IEC 27001. Hơn nữa, quản lý, xác định phạm vi của ISMS cho các mục đích xác nhận và có thể hạn chế nó, nói rằng, một đơn vị kinh doanh đơn lẻ hoặc vị trí. Bộ tiêu chuẩn ISO / IEC 27001 giấy chứng nhận không có nghĩa là phần còn lại của tổ chức, bên ngoài phạm vi khu vực, có một cách tiếp cận phù hợp để quản lý an ninh thông tin.

Các tiêu chuẩn khác trong ISO / IEC 27000 gia đình đạt tiêu chuẩn cung cấp hướng dẫn bổ sung về một số khía cạnh của thiết kế, thực hiện và điều hành một ISMS, ví dụ về quản lý nguy cơ bảo mật thông tin (ISO / IEC 27005).

Nguồn gốc của tiêu chuẩn ISO / IEC 27001

BS 7799 là một tiêu chuẩn ban đầu được xuất bản bởi BSI Group [1] vào năm 1995. Nó được viết bởi Cục Vương quốc Anh của Chính phủ Thương mại và Công nghiệp (DTI), và bao gồm một số bộ phận.

Phần đầu tiên, có chứa các thông lệ tốt nhất cho quản lý an ninh thông tin, đã được sửa đổi vào năm 1998, sau một cuộc thảo luận kéo dài trong các cơ quan tiêu chuẩn trên toàn thế giới, nó cuối cùng đã được thông qua bởi ISO như ISO / IEC 17799, “Công nghệ thông tin – Mã thực hành cho an ninh thông tin quản lý. ” vào năm 2000. ISO / IEC 17799 sau đó đã được sửa đổi vào tháng 6 năm 2005 và cuối cùng kết hợp trong loạt ISO 27000 tiêu chuẩn như ISO / IEC 27002 vào tháng Bảy năm 2007.

Phần thứ hai của BS7799 lần đầu tiên được xuất bản bởi BSI vào năm 1999, được gọi là BS 7799 Part 2, mang tên “Hệ thống quản lý an ninh thông tin – Đặc điểm kỹ thuật theo hướng dẫn để sử dụng.” BS 7799-2 tập trung vào việc làm thế nào để thực hiện hệ thống quản lý an ninh thông tin (ISMS), đề cập đến cấu trúc thông tin quản lý an toàn và kiểm soát được xác định trong BS 7799-2. Điều này sau đó trở thành tiêu chuẩn ISO / IEC 27001. Phiên bản 2002 của BS 7799-2 giới thiệu Kế hoạch-Do-Check-Act (PDCA) (Deming mô hình đảm bảo chất lượng), sắp xếp nó hợp với tiêu chuẩn chất lượng như ISO 9000. BS 7799 Part 2 đã được thông qua theo tiêu chuẩn ISO như ISO / IEC 27001 vào tháng Mười năm 2005.

BS 7799 phần 3 đã được xuất bản vào năm 2005, bao gồm phân tích rủi ro và quản lý. Nó gắn với tiêu chuẩn ISO / IEC 27001.

Chứng nhận

Một ISMS có thể được chứng nhận phù hợp với ISO / IEC 27001 bởi một số đăng ký được công nhận trên toàn thế giới. Chứng nhận đối với bất kỳ biến thể được công nhận quốc gia của ISO / IEC 27001 (ví dụ như JIS Q 27001, phiên bản tiếng Nhật) bởi một cơ quan chứng nhận có chức năng tương đương với chứng nhận đối với ISO / IEC 27001 bản thân.

Ở một số nước, các cơ quan đó xác nhận sự phù hợp của hệ thống quản lý theo tiêu chuẩn quy định được gọi là “cơ quan chứng nhận”, ở những người khác họ thường được gọi là “cơ quan đăng ký”, “đánh giá và cơ quan đăng ký”, “giấy chứng nhận / cơ quan đăng ký”, và đôi khi “Đăng ký”.

Bộ tiêu chuẩn ISO / IEC 27001 chứng nhận , giống như các hệ thống quản lý chứng chỉ ISO, thường liên quan đến một quá trình kiểm toán ba giai đoạn:
Giai đoạn 1: xem lại chính thức sơ bộ của ISMS, ví dụ kiểm tra sự tồn tại và đầy đủ của các tài liệu quan trọng như chính sách thông tin của tổ chức an ninh, Báo cáo của ứng dụng (SOA) và kế hoạch điều trị rủi ro (RTP). Giai đoạn này dùng để làm quen các kiểm toán viên với tổ chức và ngược lại.

Giai đoạn 2:  là một kiểm toán tuân thủ chi tiết hơn và chính thức, độc lập kiểm tra ISMS chống lại các yêu cầu quy định trong ISO / IEC 27001. Các kiểm toán viên sẽ tìm kiếm bằng chứng để xác nhận rằng hệ thống quản lý đã được thiết kế và triển khai thực hiện, và là trong thực tế hoạt động (ví dụ bằng cách xác nhận rằng một ủy ban an ninh hoặc tương tự như quản lý cơ thể họp thường xuyên để giám sát việc ISMS). Chứng nhận kiểm toán thường được thực hiện theo tiêu chuẩn ISO / IEC 27001 Kiểm toán viên chì. Qua kết quả này giai đoạn trong ISMS được chứng nhận phù hợp với ISO / IEC 27001.

Giai đoạn 3: bao gồm việc theo dõi đánh giá hoặc kiểm toán để xác nhận rằng tổ chức này vẫn còn phù hợp với tiêu chuẩn. Chứng nhận bảo trì yêu cầu kiểm tra đánh giá lại định kỳ để xác nhận rằng ISMS tiếp tục hoạt động theo quy định và dự định. Những nên xảy ra ít nhất mỗi năm nhưng (theo thỏa thuận với quản lý) thường được tiến hành thường xuyên hơn, đặc biệt là trong khi các ISMS vẫn trưởng thành.

024 7303 4068