29/07/2022 | 10:16:50
ISO 27001 là phương pháp tiếp cận thông tin dựa trên quản lý rủi ro. Triết lý chính của nó là xác định và xử lý một cách có hệ thống các rủi ro an toàn thông tin thông qua các biện pháp kiểm soát. Để phác thảo rõ ràng khuôn khổ của nó, tiêu chuẩn ISO 27001 được chia thành 10 điều khoản.
Đặt vấn đề cho việc bảo mật an toàn thông tin cho doanh nghiệp
An toàn thông tin là một vấn đề và mối quan tâm với tất cả các doanh nghiệp khi mà bọn tội phạm đang tìm cách đánh cắp thông tin như chi tiết tài chính, thông tin thẻ tín dụng, chi tiết cá nhân hoặc bất kỳ thông tin nào khác mà chúng có thể bán hoặc giao dịch. Những tên tội phạm này ngày càng trở nên tinh vi hơn và sử dụng nhiều phương pháp khác nhau để tấn công mạng máy tính của các công ty. Mỗi lần vi phạm dữ liệu đều cho thấy những sai lầm dẫn đến việc lộ hàng triệu bản ghi dữ liệu cá nhân.
Vào tháng 4 năm 2019, nhóm UpGuard Cyber Risk đã tiết lộ hai bộ dữ liệu ứng dụng Facebook của bên thứ ba đã được đưa lên Internet công cộng, tác động đến 533 triệu người dùng Facebook.
Năm 2014, Yahoo tiết lộ rằng một vụ vi phạm vào tháng 8 năm 2013 của một nhóm tin tặc đã xâm nhập 1 tỷ tài khoản. Trong trường hợp này, các câu hỏi và câu trả lời bảo mật cũng bị xâm phạm, làm tăng nguy cơ bị đánh cắp danh tính.
Vụ việc chấn động về chuỗi bán lẻ Target ở Hoa Kỳ khiến 100 triệu chi tiết thẻ tín dụng của khách hàng bị tội phạm đánh cắp và một ngân hàng Hoa Kỳ bị mất hơn 45 đô la Mỹ triệu trong vòng 24 giờ.
Những vụ việc trên chỉ là một số ví dụ điển hình, những vụ rò rỉ thông tin trên toàn cầu đã ảnh hưởng không nhỏ đến các tổ chức, doanh nghiệp, gây nên những thiệt hại nặng nề. Từ đó, bảo mật an toàn thông tin đã đặt ra một thách thức rất thực tế và thường xuyên đối với mọi doanh nghiệp. Điều quan trọng là các doanh nghiệp phải nhận ra mối đe dọa này và thực hiện các giải pháp thích hợp, để giảm khả năng xảy ra và rủi ro tiềm tàng.
Vậy làm thế nào để doanh nghiệp có thể giải bài toán khó về an toàn thông tin?
Tiêu chuẩn ISO 27001 cung cấp một loạt các biện pháp kiểm soát mà một tổ chức có thể sử dụng để đảm bảo cách tiếp cận của tổ chức đối với an toàn thông tin là toàn diện. Đây là tiêu chuẩn quốc tế hàng đầu đưa ra các yêu cầu đối với hệ thống quản lý an toàn thông tin (ISMS), được đồng hợp tác xuất bản bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC).
ISMS là một khuôn khổ bao quát mà qua đó tổ chức xác định, đánh giá và xử lý (giải quyết) các rủi ro thông tin của tổ chức. ISMS đảm bảo rằng các thỏa thuận bảo mật được liên tục cải tiến để bắt kịp với những thay đổi đối của thời đại công nghệ, các mối đe dọa bảo mật, lỗ hổng bảo mật và tác động của hoạt động kinh doanh.
Các yêu cầu của tiêu chuẩn ISO 27001:2013
Cũng giống như các tiêu chuẩn ISO khác, Điều 1-3 của ISO 27001:2013 là phần tham khảo, không đưa ra quy định bắt buộc.Các yêu cầu cốt lõi của tiêu chuẩn được đề cập trong các Điều từ 4-10. Dưới đây là một bản tóm tắt của các chuyên gia của BLT.cert
Điều 0: Giới thiệu - tiêu chuẩn mô tả một quy trình để quản lý rủi ro thông tin một cách có hệ thống.
Điều 1: Phạm vi - nó chỉ định các yêu cầu ISMS chung phù hợp với các tổ chức thuộc bất kỳ loại hình, quy mô hoặc tính chất nào.
Điều 2: Tài liệu tham khảo tiêu chuẩn - chỉ ISO / IEC 27000 được coi là hoàn toàn cần thiết đối với người sử dụng '27001: các tiêu chuẩn ISO27k còn lại là tùy chọn.
Điều 3: Thuật ngữ và định nghĩa - xem ISO / IEC 27000.
Điều 4: Bối cảnh của tổ chức
Điều quan trọng là phải hiểu bối cảnh của tổ chức và xác định phạm vi của ISMS. Do đó, một tổ chức phải xác định ranh giới và khả năng áp dụng của ISMS để thiết lập phạm vi của nó. Nó có thể bao gồm con người và các hoạt động khác được thực hiện ở nhiều cấp độ khác nhau.
4.1 - Hiểu về Tổ chức và Bối cảnh của Tổ chức
4.2 - Hiểu nhu cầu và mong đợi của các bên quan tâm
4.3 - Xác định phạm vi của Hệ thống quản lý an toàn thông tin
4.4 - Hệ thống quản lý bảo mật thông tin
Điều 5: Lãnh đạo
Trong điều khoản này, Ban Lãnh Đạo cần thiết lập các chính sách và thủ tục liên quan đến an toàn thông tin. Các mục tiêu chính, khả năng áp dụng và khả năng tương thích với định hướng chiến lược phải đảm bảo rằng an toàn thông tin là ưu tiên hàng đầu của tổ chức.
5.1 - Lãnh đạo & Cam kết
5.2 - Chính sách bảo mật thông tin
5.3 - Vai trò, trách nhiệm và quyền hạn của tổ chức
Điều 6: Lập kế hoạch
Giai đoạn lập kế hoạch được thực hiện sau khi xác định các rủi ro và mối đe dọa trong hệ thống quản lý thông tin. Tổ chức sẽ thực hiện đánh giá rủi ro hoàn chỉnh, sau đó lập kế hoạch áp dụng các chiến lược để giảm hoặc loại bỏ rủi ro - một tuyên bố đầy đủ về Khả năng áp dụng để kiểm soát rủi ro để thực hiện các tiêu chuẩn ISO 27001.
6.1 - Hành động để giải quyết rủi ro và cơ hội
6.2 - Mục tiêu và kế hoạch bảo mật thông tin để đạt được chúng
Điều 7: Sự hỗ trợ
Tổ chức cần cung cấp các nguồn lực, năng lực của nhân viên, nhận thức và giao tiếp theo yêu cầu của hệ thống quản lý an toàn thông tin để hỗ trợ các mục tiêu đã nêu và thực hiện các cải tiến liên tục. Cần có thông tin dạng văn bản để đảm bảo rằng quá trình được thực hiện theo kế hoạch trong việc bảo mật hệ thống thông tin.
7.1 - Tài nguyên
7.2 - Năng lực
7.3 - Nhận thức
7.4 - Giao tiếp
7.5 - Thông tin dạng văn bản
Điều 8: Vận hành
Tổ chức phải lập kế hoạch, thực hiện và kiểm soát các quá trình của mình và lưu giữ thông tin dạng văn bản để đảm bảo rằng các rủi ro và cơ hội được xử lý đúng cách, đạt được các mục tiêu bảo mật và đáp ứng các yêu cầu về an toàn thông tin. Đánh giá rủi ro nên được thực hiện theo các khoảng thời gian đã định và dữ liệu kết quả phải được lập thành văn bản.
8.1 - Lập kế hoạch & Kiểm soát Hoạt động
8.2 - Đánh giá rủi ro an toàn thông tin
8.3 - Xử lý Rủi ro An toàn Thông tin
Điều 9: Đánh giá hiệu suất
Tổ chức cần thiết lập và đánh giá các thước đo hiệu suất về hiệu lực và hiệu quả của hệ thống quản lý. Tổ chức cũng cần phải tiến hành các cuộc đánh giá nội bộ độc lập theo các khoảng thời gian đã được lên kế hoạch. Mọi biện pháp khắc phục cần thiết phải được thực hiện đúng thời hạn.
9.1 - Giám sát, Đo lường, Phân tích và Đánh giá
9.2 - Đánh giá nội bộ
9.3 - Đánh giá của Ban Giám đốc
Điều 10: Cải tiến liên tục
Cải tiến liên tục là một khía cạnh quan trọng của hệ thống quản lý an toàn thông tin để đảm bảo rằng an ninh thông tin là đầy đủ và hiệu quả. Sự không phù hợp và các hành động khắc phục cần được thực hiện trên cơ sở kết quả đầu ra từ các cuộc xem xét của ban giám đốc, đánh giá nội bộ và đánh giá hoạt động.
10.1 - Sự không phù hợp và Hành động sửa chữa
10.2 - Cải tiến liên tục
Phụ lục A (quy phạm) Các mục tiêu và biện pháp kiểm soát tham chiếu
Phụ lục A gồm danh sách 114 mục tiêu và biện pháp kiểm soát an ninh có thể được xác định và áp dụng cho ISMS của tổ chức dựa trên từng trường hợp cụ thể. Phụ lục này là 'quy chuẩn', ngụ ý rằng các tổ chức được chứng nhận phải sử dụng nó, nhưng có thể tự do thay đổi hoặc bổ sung để giải quyết các rủi ro thông tin cụ thể của tổ chức.