TIÊU CHUẨN ISO 27001:2013 SO VỚI 27001:2022 ĐÃ CÓ GÌ THAY ĐỔI?

Sau chín năm, ISO 27001, tiêu chuẩn quốc tế hàng đầu về quản lý bảo mật thông tin, đã được cập nhật – vào ngày 25 tháng 10 năm 2022, ISO/IEC 27001:2022 mới được công bố. Mặc dù bản sửa đổi này chỉ mang lại những thay đổi vừa phải nhưng điều quan trọng là phải nghiên cứu sự thay đổi này một cách kỹ lưỡng – Chúng ta hãy cùng xem qua tất cả các thay đổi của tiêu chuẩn ISO 27001:2013 so với ISO 27001:2022

Mục lục

Toggle

Những thay đổi chính trong bản sửa đổi ISO 27001:2022

Ảnh minh họa thay đổi ISO 27001:2013 và ISO 27001:2022

Phần chính của ISO 27001, tức là các điều khoản từ 4 đến 10, chỉ thay đổi một chút.

Những thay đổi trong kiểm soát an ninh của Phụ lục A ở mức vừa phải.

Số lượng kiểm soát đã giảm từ 114 xuống 93.

Các kiểm soát được đặt thành 4 phần, thay vì 14 phần trước đó.

Có 11 kiểm soát mới, trong khi không có kiểm soát nào bị xóa và nhiều kiểm soát đã được hợp nhất.

Những thay đổi trong hệ thống quản lý

Văn bản của các điều khoản bắt buộc từ 4 đến 10 chỉ thay đổi một chút, chủ yếu để phù hợp với ISO 9001, ISO 14001 và các tiêu chuẩn quản lý ISO khác cũng như Phụ lục SL.

Dưới đây là tổng quan ngắn gọn về những thay đổi trong ISO 27001:2022:

Trong điều khoản 4.2 (Hiểu nhu cầu và mong đợi của các bên quan tâm), mục (c) đã được thêm vào yêu cầu phân tích yêu cầu nào của bên quan tâm phải được giải quyết thông qua ISMS.
Trong điều khoản 4.4 (Hệ thống quản lý bảo mật thông tin), một cụm từ đã được thêm vào yêu cầu lập kế hoạch cho các quy trình và tương tác của chúng như một phần của ISMS.
Trong điều khoản 5.3 (Vai trò, trách nhiệm và quyền hạn của tổ chức), một cụm từ đã được thêm vào để làm rõ rằng việc trao đổi thông tin về các vai trò được thực hiện trong nội bộ tổ chức.
Trong điều khoản 6.2 (Mục tiêu bảo mật thông tin và lập kế hoạch để đạt được chúng), mục (d) đã được thêm vào yêu cầu phải giám sát các mục tiêu.
Điều 6.3 (Lập kế hoạch thay đổi) đã được thêm vào, yêu cầu mọi thay đổi trong ISMS cần phải được thực hiện theo cách thức đã được lên kế hoạch.
Trong điều khoản 7.4 (Truyền thông), mục (e) đã bị xóa, yêu cầu thiết lập các quy trình liên lạc.
Trong điều khoản 8.1 (Lập kế hoạch và kiểm soát hoạt động), các yêu cầu mới đã được bổ sung để thiết lập tiêu chí cho các quy trình bảo mật và để thực hiện các quy trình theo các tiêu chí đó. Trong cùng một điều khoản, yêu cầu thực hiện kế hoạch để đạt được mục tiêu đã bị xóa bỏ.
Trong điều khoản 9.3 (Đánh giá của lãnh đạo), mục mới 9.3.2 c) đã được thêm vào để làm rõ rằng đầu vào từ các bên quan tâm cần phải đáp ứng nhu cầu và mong đợi của họ cũng như phù hợp với ISMS.
Trong điều 10 (Cải tiến), các điều khoản con đã thay đổi vị trí, vì vậy điều khoản đầu tiên là Cải tiến liên tục (10.1), và điều khoản thứ hai là Sự không phù hợp và hành động khắc phục (10.2), trong khi nội dung của các điều khoản đó không thay đổi.

Những thay đổi trong Phụ lục A về kiểm soát an ninh

Trên thực tế, những thay đổi trong Phụ lục A chỉ ở mức độ vừa phải vì hầu hết các biện pháp kiểm soát đều được giữ nguyên (35 trong số đó) hoặc chỉ được đổi tên (23). 57 kiểm soát khác đã được hợp nhất, điều này làm giảm số lượng kiểm soát, nhưng các yêu cầu trong các kiểm soát đó hầu như vẫn giữ nguyên. Cuối cùng, một kiểm soát được chia thành hai kiểm soát riêng biệt, trong khi các yêu cầu vẫn giữ nguyên.

Điều khoản	Yêu cầu
5.7	Threat intelligence/ Thông tin về mối đe dọa
5.23	Information security for use of cloud services/ Bảo mật thông tin khi sử dụng dịch vụ đám mây
5.30	ICT readiness for business contenuity/ Sự sẵn sàng về CNTT cho hoạt động kinh doanh liên tục
7.4	Physical security monitoring/ Giám sát an ninh vật lý
8.9	Configuration management/ Quản lý cấu hình
8.10	Information deletion/ Xóa thông tin
8.11	Data masking/ Che giấu dữ liệu
8.12	Data leakage prevention/ Ngăn chặn rò rỉ dữ liệu
8.16	Monitoring activities/ Hoạt động giám sát
8.23	Web filtering/ Lọc web
8.28	Secure coding/ Mã hóa an toàn

Bảng các điểm kiểm soát mới phụ lục A

Thời kỳ chuyển tiếp

Theo tài liệu “Yêu cầu chuyển đổi ISO/IEC 27001:2022” từ Diễn đàn Công nhận Quốc tế, đối với các công ty đã được chứng nhận ISO 27001:2013, quá trình chuyển đổi sang ISO 27001:2022 cần phải được hoàn thành trước ngày 31 tháng 10 năm 2025.

Các tổ chức chứng nhận phải bắt đầu chứng nhận các công ty theo ISO 27001:2022 muộn nhất là vào ngày 31 tháng 10 năm 2023, nhưng chúng tôi chắc chắn rằng hầu hết họ sẽ bắt đầu với bản sửa đổi mới này sớm hơn nhiều.

Đã thay đổi bao nhiêu?

Tóm lại, những thay đổi trong phần chính của tiêu chuẩn chỉ là nhỏ và có thể được thực hiện khá nhanh chóng, chỉ với những thay đổi nhỏ trong tài liệu và quy trình. Những thay đổi trong các biện pháp kiểm soát của Phụ lục A ở mức vừa phải và hầu hết có thể được xử lý bằng cách thêm các biện pháp kiểm soát mới vào tài liệu hiện có.

Sau chín năm chờ đợi bản sửa đổi mới này, một số chuyên gia bảo mật đã mong đợi những thay đổi sẽ sâu rộng hơn, nhưng tôi tin rằng các công ty đã được chứng nhận theo bản sửa đổi năm 2013 sẽ cảm thấy nhẹ nhõm vì công việc phải tiến hành không quá phức tạp.