Sau chín năm, ISO 27001, tiêu chuẩn quốc tế hàng đầu về quản lý bảo mật thông tin, đã được cập nhật – vào ngày 25 tháng 10 năm 2022, ISO/IEC 27001:2022 mới được công bố. Mặc dù bản sửa đổi này chỉ mang lại những thay đổi vừa phải nhưng điều quan trọng là phải nghiên cứu sự thay đổi này một cách kỹ lưỡng – Chúng ta hãy cùng xem qua tất cả các thay đổi của tiêu chuẩn ISO 27001:2013 so với ISO 27001:2022
Mục lục
Những thay đổi chính trong bản sửa đổi ISO 27001:2022
Phần chính của ISO 27001, tức là các điều khoản từ 4 đến 10, chỉ thay đổi một chút.
Những thay đổi trong kiểm soát an ninh của Phụ lục A ở mức vừa phải.
Số lượng kiểm soát đã giảm từ 114 xuống 93.
Các kiểm soát được đặt thành 4 phần, thay vì 14 phần trước đó.
Có 11 kiểm soát mới, trong khi không có kiểm soát nào bị xóa và nhiều kiểm soát đã được hợp nhất.
Những thay đổi trong hệ thống quản lý
Văn bản của các điều khoản bắt buộc từ 4 đến 10 chỉ thay đổi một chút, chủ yếu để phù hợp với ISO 9001, ISO 14001 và các tiêu chuẩn quản lý ISO khác cũng như Phụ lục SL.
Dưới đây là tổng quan ngắn gọn về những thay đổi trong ISO 27001:2022:
- Trong điều khoản 4.2 (Hiểu nhu cầu và mong đợi của các bên quan tâm), mục (c) đã được thêm vào yêu cầu phân tích yêu cầu nào của bên quan tâm phải được giải quyết thông qua ISMS.
- Trong điều khoản 4.4 (Hệ thống quản lý bảo mật thông tin), một cụm từ đã được thêm vào yêu cầu lập kế hoạch cho các quy trình và tương tác của chúng như một phần của ISMS.
- Trong điều khoản 5.3 (Vai trò, trách nhiệm và quyền hạn của tổ chức), một cụm từ đã được thêm vào để làm rõ rằng việc trao đổi thông tin về các vai trò được thực hiện trong nội bộ tổ chức.
- Trong điều khoản 6.2 (Mục tiêu bảo mật thông tin và lập kế hoạch để đạt được chúng), mục (d) đã được thêm vào yêu cầu phải giám sát các mục tiêu.
- Điều 6.3 (Lập kế hoạch thay đổi) đã được thêm vào, yêu cầu mọi thay đổi trong ISMS cần phải được thực hiện theo cách thức đã được lên kế hoạch.
- Trong điều khoản 7.4 (Truyền thông), mục (e) đã bị xóa, yêu cầu thiết lập các quy trình liên lạc.
- Trong điều khoản 8.1 (Lập kế hoạch và kiểm soát hoạt động), các yêu cầu mới đã được bổ sung để thiết lập tiêu chí cho các quy trình bảo mật và để thực hiện các quy trình theo các tiêu chí đó. Trong cùng một điều khoản, yêu cầu thực hiện kế hoạch để đạt được mục tiêu đã bị xóa bỏ.
- Trong điều khoản 9.3 (Đánh giá của lãnh đạo), mục mới 9.3.2 c) đã được thêm vào để làm rõ rằng đầu vào từ các bên quan tâm cần phải đáp ứng nhu cầu và mong đợi của họ cũng như phù hợp với ISMS.
- Trong điều 10 (Cải tiến), các điều khoản con đã thay đổi vị trí, vì vậy điều khoản đầu tiên là Cải tiến liên tục (10.1), và điều khoản thứ hai là Sự không phù hợp và hành động khắc phục (10.2), trong khi nội dung của các điều khoản đó không thay đổi.
Những thay đổi trong Phụ lục A về kiểm soát an ninh
Trên thực tế, những thay đổi trong Phụ lục A chỉ ở mức độ vừa phải vì hầu hết các biện pháp kiểm soát đều được giữ nguyên (35 trong số đó) hoặc chỉ được đổi tên (23). 57 kiểm soát khác đã được hợp nhất, điều này làm giảm số lượng kiểm soát, nhưng các yêu cầu trong các kiểm soát đó hầu như vẫn giữ nguyên. Cuối cùng, một kiểm soát được chia thành hai kiểm soát riêng biệt, trong khi các yêu cầu vẫn giữ nguyên.
Điều khoản | Yêu cầu |
5.7 | Threat intelligence/ Thông tin về mối đe dọa |
5.23 | Information security for use of cloud services/ Bảo mật thông tin khi sử dụng dịch vụ đám mây |
5.30 | ICT readiness for business contenuity/ Sự sẵn sàng về CNTT cho hoạt động kinh doanh liên tục |
7.4 | Physical security monitoring/ Giám sát an ninh vật lý |
8.9 | Configuration management/ Quản lý cấu hình |
8.10 | Information deletion/ Xóa thông tin |
8.11 | Data masking/ Che giấu dữ liệu |
8.12 | Data leakage prevention/ Ngăn chặn rò rỉ dữ liệu |
8.16 | Monitoring activities/ Hoạt động giám sát |
8.23 | Web filtering/ Lọc web |
8.28 | Secure coding/ Mã hóa an toàn |
Thời kỳ chuyển tiếp
Theo tài liệu “Yêu cầu chuyển đổi ISO/IEC 27001:2022” từ Diễn đàn Công nhận Quốc tế, đối với các công ty đã được chứng nhận ISO 27001:2013, quá trình chuyển đổi sang ISO 27001:2022 cần phải được hoàn thành trước ngày 31 tháng 10 năm 2025.
Các tổ chức chứng nhận phải bắt đầu chứng nhận các công ty theo ISO 27001:2022 muộn nhất là vào ngày 31 tháng 10 năm 2023, nhưng chúng tôi chắc chắn rằng hầu hết họ sẽ bắt đầu với bản sửa đổi mới này sớm hơn nhiều.
Đã thay đổi bao nhiêu?
Tóm lại, những thay đổi trong phần chính của tiêu chuẩn chỉ là nhỏ và có thể được thực hiện khá nhanh chóng, chỉ với những thay đổi nhỏ trong tài liệu và quy trình. Những thay đổi trong các biện pháp kiểm soát của Phụ lục A ở mức vừa phải và hầu hết có thể được xử lý bằng cách thêm các biện pháp kiểm soát mới vào tài liệu hiện có.
Sau chín năm chờ đợi bản sửa đổi mới này, một số chuyên gia bảo mật đã mong đợi những thay đổi sẽ sâu rộng hơn, nhưng tôi tin rằng các công ty đã được chứng nhận theo bản sửa đổi năm 2013 sẽ cảm thấy nhẹ nhõm vì công việc phải tiến hành không quá phức tạp.
Tại sao nên lựa chọn SIS CERT để làm đơn vị cung cấp dịch vụ tư vấn cấp chứng nhận ISO 27001:2022?
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm.
Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh).
Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất.
Chúng tôi có sẵn nhiều bộ tài liệu mẫu ISO 27001:2022 với nhiều ngành giúp bạn nhanh chóng xây dựng hệ thống quản lý.
Chúng tôi sẽ đào tạo cho nhân viên bạn tiếp cận đầy đủ nhất về ISO/IEC 27001:2022.
Giấy chứng nhận của chúng tôi được công nhận quốc tế IAS, IAF, UKAS được chấp nhận ở tất cả các thị trường.
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA.
Hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…
ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com