1. ISO 27001 là gì?
Tiêu chuẩn ISO 27001 là tiêu chuẩn quốc tế về quản lý hệ thống thông tin được ban hành và phát triển do Tổ chức tiêu chuẩn hóa quốc tế.
Tiêu chuẩn ISO 27001 mô tả cách quản lý, bảo mật của hệ thống an ninh thông tin trong một tổ chức.
Phiên bản hoàn thiện và mới nhất hiện nay đã được xuất bản vào năm 2013 – ISO 27001:2013.
2. Hệ thống ISMS là gì?
ISMS (Information Security Management System), chính là hệ thống quản lý an toàn thông tin.
Vậy an toàn Thông tin là gì? An toàn thông tin là bao gồm những tính chất bảo mật, toàn vẹn và sẵn sàng của hệ thống thông tin.
Ngoài ra, có thể liên quan các tính chất khác như: trách nhiệm, xác thực, xác nhận và tin cậy.
Mục lục
3. Lợi ích của chứng chỉ bảo mật thông tin ISO 27001 là gì?
Nếu một hệ thống thông tin không được kiểm soát và quản lý thì sẽ có rất nhiều sự cố có thể xảy ra với doanh nghiệp như bị kẻ xấu xâm nhập trái phép hay mất mát thông tin vì không được lưu giữ đúng cách,… Điều này không chỉ dẫn đến việc mất thông tin mà nó còn ảnh hưởng đến sự thành bại của cả doanh nghiệp. Chính vì vậy, ISO 27001 dần trở thành sự lựa chọn của rất nhiều doanh nghiệp nhằm bảo vệ hệ thống thông tin của mình.
ISO 27001 được thực hiện bằng cách tìm hiểu những vấn đề tiềm ẩn hay những rủi ro có thể xảy ra đối với hệ thống thông tin (đánh giá những mối nguy rủi ro). Sau đó xác định được những gì cần phải làm để có thể ngăn chặn những vấn đề đó xảy ra (giảm thiểu rủi ro hoặc xử lý các rủi ro đó).
iêu chuẩn ISO 27001 dựa trên việc quản lý những rủi ro. Đơn giản là tìm ra những rủi ro ở đâu và sau đó ngăn chặn hay xử lý chúng một cách có hệ thống. Các biện pháp bảo vệ, kiểm soát sẽ được thực hiện ở dạng chính sách, thực hiện kỹ thuật và quy trình. Kết hợp cùng yếu tố con người, thủ tục, tài sản,… của doanh nghiệp đó.
4. Chứng chỉ bảo mật thông tin ISO 27001 phù hợp với tổ chức nào?
Bất kỳ tổ chức nào có mong muốn quản tốt và cải thiện hệ thống an ninh thông tin của mình đều có thể áp dụng tiêu chuẩn này. Tiêu chuẩn ISO 27001 có thể áp dụng cho tất cả loại hình doanh nghiệp, tổ chức, tập đoàn hay công ty lớn nhỏ. Không phân biệt lĩnh vực kinh doanh sản xuất, địa điểm hoạt động hay loại hình hoạt động, quy mô.
Vì bản chất nó là tiêu chuẩn quốc tế nên tổ chức ở bất cứ đâu đều áp dụng và triển khai. Đặc biệt, một số lĩnh vực ngành nghề rất cần bảo mật thông tin và xem đó là một việc tối quan trọng của mình như ngân hàng, y tế, giáo dục, tài chính, bưu chính viễn thông, hay công nghệ thông tin thì rất cần áp dụng hệ thống của tiêu chuẩn này. Hoặc nó rất cần thiết và quan trọng với những doanh nghiệp đang thực hiện việc quản lý thông tin cho những tổ chức khác. Chứng chỉ ISO 27001 như một lời khẳng định, chứng minh với mọi người rằng thông tin của họ đang được đảm vệ an toàn và bảo mật.
5. Yêu cầu đối với chứng chỉ bảo mật thông tin ISO 27001 là gì?
Tương tự với tiêu chuẩn ISO khác thì đối với tiêu chuẩn ISO 27001 này cũng có các yêu cầu cơ bản mà doanh nghiệp cần tuân thủ theo đúng quy trình PDCA để có thể tiếp cận hệ thống quản lý an ninh thông tin hiệu quả nhất. Những việc được nhấn mạnh để tiếp cận quy trình tiêu chuẩn ISO 27001 đó là:
- Biết được tính cấp thiết trong việc lên các kế hoạch, chính sách và những mục tiêu bảo mật thông tin. Đồng thời nắm rõ những quy định, yêu cầu của vấn đề bảo mật hệ thống an ninh thông tin.
- Nhận diện được những rủi ro, mối nguy hại có thể dẫn đến việc mất an toàn thông tin. Ngoài ra, cần đưa ra những biện pháp để xử lý những mối nguy hại và rủi ro đó.
- Tiến hành đánh giá, xem xét và giám sát quá trình và kết quả của hệ thống an ninh thông tin.
- Cải tiến không ngừng và khắc phục những điểm không phù hợp của hệ thống.
6. Làm sao để đủ điều kiện được cấp chứng chỉ bảo mật thông tin ISO 27001 là gì?
Để được cấp chứng chỉ thì doanh nghiệp cần thỏa mãn được 03 điều kiện tiên quyết dưới đây:
Điều kiện thứ 1: Xây dựng, thiết lập và áp dụng tiêu chuẩn ISO 27001 tại doanh nghiệp.
Điều kiện thứ 2: Đăng ký đánh giá và cấp giấy chứng nhận tại tổ chức chứng nhận có đủ năng lực và được Tổng cục tiêu chuẩn đo lường chất lượng cấp phép hoạt động đánh giá sự phù hợp như ISOCERT.
Điều kiện thứ 3: Duy trì, áp dụng hệ thống và hiệu lực của chứng chỉ bảo mật thông tin ISO 27001.
7. Quy trình chứng nhận tiêu chuẩn ISO 27001 tại SISCERT là gì?
Bước 1: Đăng ký thông tin chứng nhận tiêu chuẩn ISO 27001 với tổ chức đánh giá và cấp chứng nhận ISOCERT.
Bước 2: Ký hợp đồng và chuẩn bị đánh giá sơ bộ tại doanh nghiệp.
Bước 3: Đánh giá chứng nhận.
Bước 4: Kiểm tra, khắc phục các lỗi không phù hợp và thẩm xét hồ sơ.
Bước 5: Cấp chứng chỉ bảo mật thông tin ISO 27001 nếu doanh nghiệp áp dụng phù hợp theo tiêu chuẩn (giấy chứng nhận có hiệu lực trong vòng 03 năm).
Bước 6: Đánh giá, giám sát định kỳ (trong vòng 03 năm sẽ giám sát thường niên 02 lần).
Bước 7: Đánh giá chứng nhận lại (tiến hành trước 2 tháng khi chứng chỉ hết hiệu lực).
8. Chi phí đánh giá và cấp chứng chỉ bảo mật thông tin ISO 27001 là bao nhiêu?
Với mỗi tổ chức, doanh nghiệp khác nhau thì chi phí đánh giá và cấp giấy chứng nhận ISO 27001 sẽ khác nhau. Nó còn tùy thuộc vào địa điểm hoạt động, phạm vi, quy mô lớn hay nhỏ, số lượng sản phẩm của doanh nghiệp, chi phí đăng ký, chi phí áp dụng, chi phí nhân sự tham gia,…
9. Áp dụng và được đánh giá cấp chứng nhận thành công rồi có cần duy trì không?
Câu trả lời là có. Tất cả những doanh nghiệp, tổ chức sau khi được cấp chứng nhận xong nhưng không áp dụng và duy trì hệ thống quản lý an ninh thông tin thì sẽ bị thu hồi lại giấy chứng nhận và giấy chứng nhận sẽ không còn hiệu lực nữa. Do đó, muốn duy trì hiệu lực của giấy chứng nhận thì doanh nghiệp phải duy trì hệ thống quản lý an ninh thông tin.
Liên hệ dịch vụ đánh giá và chứng nhận ISO 27001:2013: Trong quá trình thực hiện đánh giá và chứng nhận ISO 27001 đơn vị doanh nghiệp cần hỗ trợ, tư vấn hãy liên hệ với chúng tôi-SIS CERT qua hotline 0919536711 | 0827796518 với đội ngũ nhân viên, chuyên viên nhiệt tình, trách nhiệm, kinh nghiệm sẽ đem lại sự hài lòng cho khách hàng