Hiểu biết về tổ chức và bối cảnh của tổ chức có ý nghĩa gì trong ISO 27001?

Hiểu biết về tổ chức và bối cảnh của tổ chức có ý nghĩa gì trong ISO 27001?

Điều khoản thứ nhất của Yêu cầu Hệ thống Quản lý An ninh Thông tin ISO 27001 (ISMS) yêu cầu tổ chức xác định bối cảnh, bao gồm các vấn đề nội bộ và bên ngoài liên quan đến hệ thống. Nhưng nó có nghĩa gì? Làm thế nào chúng ta có thể xác định điều này? Ai có nhu cầu được tham gia? Và cuối cùng, đầu ra là gì?

Đơn giản chỉ cần xác định tổ chức và bối cảnh của nó bao gồm sự hiểu biết cả bên trong và bên ngoài bối cảnh liên quan đến mục đích của hệ thống. Bối cảnh nội bộ có thể bao gồm nhiệm vụ của công ty, giá trị cốt lõi, tầm nhìn, mục tiêu, định hướng, tổ chức và nghĩa vụ hợp đồng. Trước khi hệ thống có thể được thiết lập, bạn phải có khả năng xác định cách thức hệ thống này liên kết với các mục tiêu tổng thể của tổ chức, nó có thể hỗ trợ các mục tiêu này như thế nào và các yếu tố bên trong nào khác có thể ảnh hưởng đến hệ thống.

chứng nhận iso 27001

 

Bối cảnh bên ngoài có thể bao gồm các yếu tố pháp lý, xã hội, chính trị, tài chính, kinh tế, môi trường và các bên liên quan bên ngoài. Tất cả những điều này có thể có tác động đến những gì hệ thống cần đạt được và tại sao nó cần phải làm điều này. Ví dụ, một kỳ vọng từ một khách hàng bên ngoài rằng dữ liệu của họ sẽ được bảo đảm ở mọi lúc và rằng họ yêu cầu đảm bảo liên tục rằng đây là trường hợp có thể dẫn đến ISMS được thiết lập để đáp ứng các yêu cầu này. Tương tự, áp lực pháp lý hoặc quy định ví dụ: Yêu cầu Đạo luật Bảo vệ Dữ liệu có thể là động cơ chính đằng sau việc thiết lập ISMS. Rõ ràng là các tổ chức cung cấp dịch vụ cho khách hàng thường phục vụ lợi ích của bên ngoài để duy trì mối quan hệ với khách hàng, tuy nhiên, có thể có thêm các áp lực nội bộ.

Đầu ra của bài tập này là gì? Cuối cùng, tổ chức của bạn nên có ý tưởng về cách hệ thống phù hợp với các mục tiêu chính của tổ chức, nó có thể hỗ trợ các mục tiêu kinh doanh như thế nào, yếu tố nội bộ / bên ngoài nào đang thúc đẩy hệ thống và những yêu cầu của hệ thống. Với sự hiểu biết này, hệ thống có thể được thiết lập với mục tiêu rõ ràng và mục tiêu trong tâm trí.

Mặc dù không có yêu cầu hồ sơ các kết quả đầu ra của việc này, chỉ là khuyến khích. Một chính sách ISMS có thể được sử dụng như là một tham chiếu đến lý do tại sao chúng ta đã thiết lập hệ thống, những gì chúng ta đang cố gắng để đạt được và những gì hệ thống nên được làm. Hiểu được bối cảnh của tổ chức là một tiền đề quan trọng trước điều này, và nếu không có sự hiểu biết này, ISMS sẽ không thành công trong thời gian dài. Bằng cách ghi lại bối cảnh của tổ chức và đảm bảo quản lý phù hợp với sự hiểu biết này, hệ thống có thể được thiết lập phù hợp với mục tiêu cốt lõi của công ty. Hơn nữa, khi các mục tiêu của tổ chức thay đổi, hệ thống có thể thích ứng với các yêu cầu này để ghi chép và duy trì các phiên bản này cũng được khuyến khích.

Tổ chức chứng nhận TNV- SIGMA CERT là tổ chức thưc hiện đánh giá chứng nhận ISO 27001:2013, sẽ cấp chứng chỉ ISO 27001:2013. Chứng nhận này sau đó được duy trì thông qua các cuộc kiểm tra giám sát thường xuyên theo lịch trình hàng năm của cơ quan đánh giá, với việc tái chứng nhận được thực hiện trên cơ sở ba năm một lần.

Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc đào tạo và đánh giá chứng nhận ISO 27001:2013.

0918991146
%d bloggers like this: