An toàn thông tin theo chuẩn ISO 27001


I. ISO 27001 là gì?   

ISO 27001 là tiêu chuẩn quốc tế về hệ thống quản lý bảo mật thông tin (ISMS) được dựa trên tiêu chuẩn BS7799 trước đây, được sử dụng chung kể từ năm 1995 cho việc quản lý bảo mật thông tin.

Việc áp dụng tiêu chuẩn ISO 27001 là một đáp ứng lý tưởng đối với các yêu cầu pháp luật và các rủi ro bảo mật tiềm ẩn như:

  • Khủng bố / phá hoại ...
  • Thiên tai
  • Trộm cắp
  • Nhầm lẫn 
  •  Virus tấn công

II. Ai sẽ áp dụng ISO 27001?

ISO 27001 áp dụng cho bất kỳ tổ chức nào nơi mà việc sử dụng nhầm, sai hoặc mất thông tin của khách hàng hoặc kinh doanh của tổ chức có thể dẫn đến kết quả thiệt hại kinh tế nghiêm trọng.

III. Lịch sử phát triển của ISO 27001:2005

ISO 27001:2005 ban đầu được phát triển trên chuẩn BS7799 của Viện các chuẩn Anh Quốc (British Standards Institution BSI). BS7799 bắt đầu phát triển từ những năm 1990 nhằm đáp ứng các yêu cầu cho doanh nghiệp, chính phủ và công nghiệp về việc thiết lập cấu trúc an ninh thông tin chung. Năm 1995, chuẩn theo BS7799 đã được chính thức công nhận.

Tháng 5 năm 1999 phiên bản chính thứ 2 của chuẩn BS7799 được phát hành với nhiều cải tiến chặt chẽ. Trong thời gian này Tổ chức thế giới về chuẩn (ISO) đã bắt đầu quan tâm đến chuẩn này. Tháng 12 năm 2000, ISO đã tiếp quản phần đầu của BS7799, đổi tên thành ISO 17799 và như vậy chuẩn an ninh thông tin này bao gồm ISO 17799 (mô tả Qui tắc thực tế cho hệ thống quản lý an ninh thông tin) và BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông tin. Trong tháng 9 năm 2002, soát xét phần 2 của chuẩn BS7799 được thực hiện để tạo sự nhất quán với các chuẩn quản lý khác như ISO 9001:2000 và ISO 14001:1996 cũng như với các nguyên tắc chính của Tổ chức Hợp tác và phát triển kinh tế (OECD). 

Ngày 15 Tháng 10 năm 2005 ISO phát triển ISO 17799 và BS7799 thành ISO 27001:2005 và chú trọng vào công tác đánh giá và chứng nhận. ISO 27001 thay thế một cách trực tiếp cho BS7799-2:2002, nó định nghĩa hệ thống ISMS và hướng đến cung cấp một mô hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem xét, duy trì và cải tiến ISMS.

IV. Lợi ích của ISO 27001



Việc tuân theo hoặc đạt được chứng chỉ chuẩn ISO 27001không thể chứng minh tổ chức được đảm bảo an toàn 100%. Không có điều gì là an ninh hoàn toàn ngoại trừ không làm gì cả. Tuy nhiên, sự thừa nhận chuẩn quốc tế này đưa ra những lợi ích chắc chắn mà người quản lý cần phải xem xét các góc độ:

- Cấp độ tổ chức:  Chứng chỉ như là một cam kết hiệu quả của nổ lực đưa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính những người quản trị.

- Cấp độ pháp luật: chứng minh cho nhà chức trách rằng tổ chức đã tuân theo tất cả các luật và các qui định áp dụng. Điều quan trọng là chuẩn đã bổ sung những chuẩn và luật tồn tại khác. 

- Cấp độ điều hành: Mang lại những hiểu biết tốt hơn về các hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng. Tương tự, nó đảm bảo nhiều khả năng sẵn sàng phụ thuộc ở cả phần cứng và phần mềm. 

- Cấp độ thương mại: Các thành viên, cổ đông, và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.

- Cấp độ tài chính: Tiết kiệm chi phí khắc phục các lỗ hỏng an ninh và có khả năng giảm chi phí bảo hiểm.

- Cấp độ con người: Cải tiến nhận thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức.
Tham khảo thêm tại đây.

Labels: