TIÊU CHUẨN ISO/IEC 27001:2005 CHO QUÁ TRÌNH XÁC ĐỊNH, XÂY DỰNG
VÀ ÁP DỤNG HỆ THỐNG QUẢN LÝ BẢO MẬT THÔNG TIN (ISMS
)VÀ ÁP DỤNG HỆ THỐNG QUẢN LÝ BẢO MẬT THÔNG TIN (ISMS
Tiêu chuẩn ISO/IEC 27001:2005 được thiết kế, phát triển và ban hành bởi tổ chức ISO/IEC- JTC 1, SC 27(Ủy ban kỹ thuật 1, Tiểu ban 27). JTC1 chịu trách nhiệm cho tất cả các loại tiêu chuẩn thông tin trong khi SC 27 chịu trách nhiệm đặc biệt cho sự phát triển các tiêu chuẩn liên quan đến kỹ thuật bảo mật thông tin.Tiêu chuẩn ISO/IEC 27001:2005 đã được chính thức ban hành ngày 15 tháng 10 năm 2005.Tiêu chuẩn này mới hủy bỏ và thay thế tiêu chuẩn BS7799-2 (Xuất bản năm 2002 bởi BSI).
Tiêu chuẩn ISO/IEC 27001:2005 là một tiêu chuẩn nhằm quản lý bảo mật thông tin.Tiêu chuẩn ISO/IEC 27001:2005 là tập hợp các yêu cầu cho việc xác định, xây dựng và áp dụng Hệ thống quản lý bảo mật thông tin. Những yêu cầu này được xác định trong mục 4, 5, 6, 7, và 8 của tiêu chuẩn ISO/IEC 27001:2005. Mục đích của tiêu chuẩn ISO/IEC 27001:2005 nhằm giúp các tổ chức, doanh nghiệp thành lập và duy trì một hệ thống quản lý bảo mật thông tin (ISMS– Information Security Management System) phù hợp trong các hoạt động của doanh nghiệp. Tiêu chuẩn ISO/IEC 27001:2005 được áp dụng cho tất cả các doanh nghiệp, tổ chức mà không phụ thuộc vào loại hình, quy mô hay sản phẩm CNTT của doanh nghiệp, tổ chức đó cung cấp cho khách hàng. Tiêu chuẩn ISO/IEC27001:2005 giúp doanh nghiệp đáp ứng nhu cầu quản lý Hệ thống bảo mật thông tin khi đáp ứng đầy đủ các yêu cầu của tiêu chuẩn.Tiêu chuẩn ISO/IEC 27001:2005 cũng được sử dụng cho mục đích chứng nhận hệ thống quản lý bảo mật thông tin (ISMSC – Information Security Management System Certification). Nói cách khác, khi doanh nghiệp đã thiết lập Hệ thống quản lý bảo mật thông tin (ISMS– Information Security Management System) đáp ứng yêu cầu tiêu chuẩn ISO/IEC 27001:2005 và được thực hiện có hiệu lực trong toàn bộ các hoạt động của doanh nghiệp, thì doanh nghiệp có thể đăng ký và yêu cầu tổ chức chứng nhận tới đánh giá chứng nhận Hệ thống quản lý bảo mật thông tin của doanh nghiệp. Khi đáp ứng đầy đủ các yêu cầu của quá trình đánh giá chứng nhận, tổ chức chứng nhận sẽ cấp Giấy chứng nhận chính thức cho Hệ thống quản lý bảo mật thông tin mà doanh nghiệp đang áp dụng.
Tuy nhiên, vấn đề gặp phải là làm thế nào để doanh nghiệp đáp ứng mọi yêu cầu của tiêu chuẩn ISO/IEC 27001:2005 thông qua việc xác định quy mô và mức độ phức tạp của Hệ thống quản lý bảo mật thông tin? Và làm thế nào để doanh nghiệp đáp ứng các yêu cầu của tiêu chuẩn, đáp ứng đến mức độ nào, phụ thuộc vào các yếu tố sau:
1. Quy mô và tổ chức của doanh nghiệp.
2. Nhu cầu và mục tiêu về Hệ thống quản lý bảo mật thông tin của doanh nghiệp.
3. Các yêu cầu về bảo mật thông tin trong nội bộ doanh nghiệp.
4. Quá trình cung cấp các sản phẩm CNTT của doanh nghiệp tới khách hàng.
Tiêu chuẩn ISO/IEC 27001:2005 cũng đưa ra các mục tiêu bảo đảm bảo mật thông tin mà doanh nghiệp phải quản lý và kiểm soát. Các mục tiêu được nêu trong Phụ lục của tiêu chuẩn ISO/IEC 27002 (Tiêu chuẩn về các mục tiêu cần đảm bảo bảo mật thông tin).Ngoài ra, để quản lý và kiểm soát các mục tiêu của Hệ thống quản lý bảo mật thông tin, tiêu chuẩn ISO/IEC27002 cũng cung cấp các hướng dẫn thực hiện và các thông tin khác mà doanh nghiệp quan tâm.
Tiêu chuẩn ISO/IEC 27001:2005 cũng được xây dựng trên nền tảng của chu trình quản lý Deming (Chu trình PDCA – Plan, Do, Check and Action).Tiêu chuẩn ISO/IEC27001:2005 sử dụng mô hình này để xây dựng nên các yêu cầu của tiêu chuẩn và doanh nghiệp có thể sử dụng chu trình PDCA thiết lập hệ thống quản lý bảo mật thông tin của doanh nghiệp. Các yêu cầu của tiêu chuẩn ISO/IEC27001:2005 tương ứng với các yêu cầu của chu trình PDCA như sau:
• Điều khoản 4 (ISO/IEC 27001) tương ứng với việc doanh nghiệp phải xác định và lập kế hoạch (Plan) cho Hệ thống quản lý bảo mật thông tin của mình.
• Điều khoản 5 (ISO/IEC 27001) tương ứng với việc doanh nghiệp phải thực hiện (Do) theo các mục tiêu đã được xác định trong kế hoạch của Hệ thống quản lý bảo mật thông tin.
• Điều khoản 6 và điều khoản 7 (ISO/IEC 27001) tương ứng với việc doanh nghiệp phải giám sát, kiểm tra, theo dõi và đo lường (Check) các kết quả của việc thực hiện so với kế hoạch đã đề ra trong Hệ thống quản lý bảo mật thông tin.
• Điều khoản 8 (ISO/IEC 27001) tương ứng với việc doanh nghiệp phải thực hiện các hành động phòng ngừa và cải tiến liên tục (Action) Hệ thống quản lý bảo mật thông tin.
Và khi doanh nghiệp của bạn còn lúng túng trong việc xác định phạm vi áp dụng, hoặc doanh nghiệp của bạn gặp khó khăn trong quá trình xây dựng và áp dụng Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO / IEC 27001; Đừng ngần ngại và hãy liên hệ ngay với tổ chức Tư vấn Quản lý SMITHER, chúng tôi sẽ cùng doanh nghiệp của bạn xác định phạm vi, xây dựng, áp dụng một Hệ thống quản lý bảo mật thông tin phù hợp nhất với chi phí và thời gian thực hiện hợp lý nhất.
