I. Hiểu về chứng nhận ISO 27001 và các giá trị cốt lõi của nó
Chứng chỉ ISO27001 được gọi là hệ thống quản lý bảo mật thông tin. Quy định này do tổ chức ISO thiết lập đã trở thành nguyên tắc chỉ đạo cho mọi người trong xã hội thông tin ngày nay.
Các điều khoản của ISO27001 có thể giúp các tổ chức doanh nghiệp biết cách đảm bảo an ninh thông tin và xây dựng các chính sách phù hợp. Thông qua hướng dẫn, các công ty sẽ biết cách thiết lập các quy trình quản lý phù hợp. Khi một công ty đáp ứng được các yêu cầu của tất cả các điều khoản ISO27001 thì công ty đó đã đạt được tiêu chuẩn chứng nhận ISO27001. Lúc này, đơn vị thẩm định (tổ chức thứ 3) sẽ kiểm tra việc tuân thủ các điều khoản này, xem xét cơ cấu tổ chức đã hoàn thiện chưa,... Khi đáp ứng đầy đủ mọi tiêu chí trong điều khoản thì có thể được cấp chứng chỉ ISO27001.
Nhiều quốc gia cũng đã phản ứng với cấu trúc này theo chính sách quốc gia, thông qua việc thúc đẩy hoặc quy định chặt chẽ, các tổ chức doanh nghiệp phải đạt được chứng nhận ISO27001.
II. Trước khi đạt chứng nhận ISO27001, cần hiểu rõ các nguyên tắc cốt lõi của hệ thống quản lý an ninh thông tin.
Bảo mật thông tin ISO27001 cũng được coi là một tài sản cho các tổ chức. Mặc dù vô hình nhưng nó cần được bảo vệ đúng cách như những tài sản có giá trị khác có thể ảnh hưởng đến hoạt động của tổ chức. Điều này là do thông tin có thể tồn tại ở nhiều dạng, chẳng hạn như:
- Thông tin: bao gồm cơ sở dữ liệu, tệp dữ liệu, hợp đồng, thỏa thuận, v.v.
- Tài sản phần mềm: Bao gồm phần mềm ứng dụng, hệ thống, công cụ phát triển, thư viện, v.v.
- Tài sản phần cứng: bao gồm thiết bị máy tính, thiết bị truyền thông, phương tiện lưu động, v.v.
- Dịch vụ: bao gồm máy tính, dịch vụ truyền thông, tài nguyên chung được chia sẻ, v.v.
- Con người: Bao gồm nhân sự có trình độ chuyên môn, kỹ năng và kinh nghiệm.
- Tài sản vô hình: chẳng hạn như thiện chí và hình ảnh.
Do đó, một hệ thống quản lý an ninh thông tin được thiết lập xung quanh các hình thức bảo mật liên quan đến tài sản này và cần được lập kế hoạch, vận hành, lãnh đạo và kiểm soát hiệu quả.
Nói một cách đơn giản, mục tiêu quản lý bảo mật thông tin của chứng chỉ ISO27001 chủ yếu là bảo vệ ba khía cạnh quan trọng của thông tin:
- Bảo mật: Ngăn ngừa rò rỉ thông tin.
- Tính toàn vẹn: Ngăn chặn thông tin bị giả mạo.
- Tính khả dụng: Đảm bảo thông tin luôn có sẵn khi cần.
Các nguyên tắc này tạo nên cái gọi là bộ ba CIA, đóng vai trò quan trọng và trung tâm trong quản lý an ninh thông tin. Đồng thời, an ninh thông tin cũng cần tuân thủ theo các luật, quy định có liên quan, đặc biệt là đối với các cơ quan công quyền.
Để đạt được những mục tiêu này, các tổ chức cần thiết lập hệ thống quản lý bảo mật thông tin ISO27001. Hệ thống này bao gồm một loạt các bước từ thiết lập, triển khai, vận hành, giám sát, đánh giá, bảo trì đến cải tiến liên tục. Mục tiêu là đảm bảo rằng tổ chức có khả năng thích ứng với các rủi ro bảo mật thông tin khác nhau, đồng thời cung cấp cơ sở cho công tác quản trị chung của tổ chức.
3. Chu trình quản lý và cấu trúc của ISO27001
Các chương của ISO27001 tuân theo khuôn khổ quản lý cấp cao, tương tự như PDCA (Lập kế hoạch, Thực hiện, Kiểm tra, Hành động)
Cấu trúc hình tròn; Chu trình này giống như một vòng lặp liên tục sẽ liên tục lưu thông và cải thiện trong hệ thống quản lý an ninh thông tin. ISO27001 thảo luận về các bên liên quan nội bộ và bên ngoài cũng như các vấn đề từ Chương 4 và Chương 5 đến quản lý rủi ro trong Chương 6, đào tạo nhân sự và quản lý tài liệu trong Chương 7 và kiểm toán nội bộ, đánh giá của ban quản lý và cải tiến trong Chương 8, 9 và 10.
Chu trình này giống như một quá trình lặp đi lặp lại, trong đó mỗi bước có mối quan hệ liên quan để đảm bảo tính liên tục và cải tiến liên tục của bảo mật thông tin.
IV. Các vấn đề nội bộ và bên ngoài và quản lý rủi ro
Chương thứ tư của ISO27001:2013 thảo luận về môi trường hoạt động của tổ chức và "các vấn đề nội bộ và bên ngoài" trong đó đáng được thảo luận thêm.
- Xác định và phân tích các vấn đề nội bộ và bên ngoài:
Các vấn đề nội bộ đề cập đến con người và sự vật bên trong tổ chức, trong khi các vấn đề bên ngoài đề cập đến nhu cầu, kỳ vọng hoặc vấn đề cần được thảo luận bởi những người hoặc sự vật bên ngoài tổ chức. Ví dụ đơn giản nhất có thể là các cổ đông muốn kiếm tiền, nhân viên muốn học hỏi, v.v. - Xử lý và phản hồi các vấn đề nội bộ và bên ngoài:
Các vấn đề nội bộ và bên ngoài cần được liệt kê và đưa ra quyết định dựa trên tác động và mức độ rủi ro của chúng. Giải quyết những vấn đề này là một trong những yêu cầu của ISO 27001. Đặc biệt đối với những vấn đề có rủi ro cao hơn, các kế hoạch ứng phó cần được xem xét và triển khai trong hệ thống quản lý an ninh thông tin. Các vấn đề nội bộ và bên ngoài phản ánh môi trường hoạt động của tổ chức. Chỉ khi hiểu được những điều này, chúng ta mới có thể xây dựng được những chính sách chiến lược phù hợp với hoạt động của công ty. - Đánh giá và xử lý quản lý rủi ro:
Sau khi lọc các vấn đề nội bộ và bên ngoài, một số vấn đề có thể trở thành mối đe dọa trong quản lý rủi ro. Trong bối cảnh này, những chủ đề này cần được xem xét và kiểm tra thường xuyên.
Đồng thời, cần thiết lập một tài liệu chứa danh sách các bên liên quan và nhu cầu của họ, bao gồm các yêu cầu rõ ràng và cụ thể của luật pháp và được triển khai trong hệ thống quản lý an ninh thông tin. - Xác định phạm vi của hệ thống quản lý an ninh thông tin:
Các vấn đề nội bộ và bên ngoài, yêu cầu của bên liên quan, sản phẩm và dịch vụ được sử dụng để xác định phạm vi của hệ thống quản lý bảo mật thông tin. - Phân tích rủi ro và thiết lập hệ thống tài liệu:
Tạo biểu mẫu phân tích rủi ro để xác định rủi ro bằng cách phân tích các vấn đề nội bộ và bên ngoài; và tạo các tài liệu hệ thống với bốn cấp độ (hoặc ba cấp độ) và lưu giữ hồ sơ biểu mẫu thực hiện. - Thiết lập Chính sách quản lý an ninh thông tin:
Cuối cùng, chúng ta cần thiết lập chính sách quản lý bảo mật thông tin. Chính sách này giống như một hướng dẫn cấp cao nhất, bao gồm việc thiết lập các quy tắc liên quan đến ISMS, các quy trình quản lý liên quan, hoạt động đánh giá rủi ro, đặt ra mục tiêu bảo mật thông tin, triển khai các biện pháp kiểm soát được lựa chọn trong kế hoạch xử lý rủi ro và các thông số kỹ thuật đánh giá quản lý và kiểm toán.
Nhà cung cấp giải pháp một cửa