Hệ thống quản lý Bảo Mật thông tin ISO/IEC 27001:2013

1. Giới thiệu hệ thống ISO/IEC 27001: 2013

Hệ thống ISO 27001 là tiêu chuẩn chứng nhận cho hệ thống quản lý về BẢO MẬT THÔNG TIN (ISMS) cho doanh nghiệp, thuộc tiêu chuẩn quốc tế được gọi là Chứng chỉ ISO 27001, Phiên bản mới nhất là ISO/IEC 27001:2013 thay thế cho hệ thống cũ là ISO/IEC 27001:2005.

2. Nguyên tắc vận hành hệ thống ISO

Các hệ thống ISO mới hiện này như ISO 27001:2013 cũng như các hệ thống ISO 9001:2015, ISO 14001:2015 và ISO 45001:2018 . . .  được vận hành trên nguyên tắc chung trình PDCA (Plan – Do – Check – Act). Cụ thể như sau:

• Plan: Lập kế hoạch
• Do: Triển khai kế hoạch đã được thiết lập
• Check: Đánh giá kết quả trển khai thực tế
• Act: Thay đổi, cải tiến
• Chu trình PDCA được áp dụng cụ thể trong hệ thống quản lý chất lượng ISO 45001:2018 cụ thể như sơ đồ dưới đây:

3. Bảy điều khoản chính trong tiêu chuẩn ISO

4. Các điều khoản chính tiêu chuẩn ISO 27001:2013

Thành viên hoặc cá nhân của tổ chức xây dựng hệ thống ISO 27001:2013 cần hiểu rõ nội dung các yêu cầu tiêu chuẩn này, là tiền đề cơ sở để xây dựng phù hợp với thực tế tình hình doanh nghiệp cụ thể với các điều khoản dưới đây:

• 4 Bối cảnh Của tổ chức/Context of the organization
  • 4.1 Hiểu Được tổ chức và phạm vi của tổ chức/Understanding the organization and content
  • 4.2 Hiểu được nhu cầu và mong muốn của các bên liên quan/Understanding the needs and expectations of interested parties
  • 4.3 Xác định phạm vi hệ thống quản lý an toàn thông tin/Determining the scope of the information security management system
  • 4.4 Hệ thống quản lý an toàn thông tin/Information security management system
• 5 Lãnh đạo/Leadership
  • 5.1 Lãnh đạo và cam kết/Leadership and commitment
  • 5.2 Chính sách (Bảo mật TT)/Policy
  • 5.3 Vai trò, trách nhiệm và quyền hạn của tổ chức/Organizational roles, responsibilities and authorities
• 6 Hoạch định/Planing
  • 6.1 Hoạt động để giải quyết các rủi ro và cơ hội/Actions to address risks and opportunities – general
  • 6.2 Lập kế hoạch và mục tiêu để đạt được an toàn thông tin/Information security objectives and planning to achieve them
• 7 Hỗ trợ/Support
  • 7.1Nguồn lực/Resources
  • 7.2 Năng lực/Competence
  • 7.3 Nhận thức/Awareness
  • 7.4 Truyền thông/Communication
  • 7.5 Thông tin văn bản/Documented information
• 8 Vận hành/ Operation
  • 8.1 Kế hoạch vận hành và kiểm soát hoạt động/Operational planning and control
  • 8.2 Đánh giá rủi ro bảo mật thông tin/Information security risk assessment
  • 8.3 Xử lý rủi ro bảo mật thông tin/Information security risk treatment
• 9 Đánh giá hiệu quả thực hiện/Performance evaluation
  • 9.1 Theo dõi, đo lường, phân tích và đánh giá/Monitoring, measurement, analysis and evaluation
  • 9.2 Đánh giá nội bộ/Internal audit
  • 9.3 Xem xét lãnh đạo/Management review
• 10 Cải tiến/Improvement
  • 10.1 Sự không phù hợp và hành động khắc phục/Nonconformity and corrective action
  • 10.2 Cải tiến liên tục/Continual improvement

5. Các thông tin văn bản bắt buộc và cần cho ISO 27001:2013

Tuỳ theo quy mô sản xuất của doanh nghiệp, chúng ta có thể tích hợp, tách riêng hoặc thêm các quy trình nếu cần thiết. Dưới đây là các thông tin dạng văn bản chính, cần được thiết lập:

1. Phân tích bối cảnh tổ chức liên quan đến các vấn đề BẢO MẬT THÔNG TIN (ISMS)
2. Chính sách BẢO MẬT THÔNG TIN (ISMS)
3. Mục tiêu BẢO MẬT THÔNG TIN (ISMS)
4. Quy trình huấn luyện đào tạo liên quan BẢO MẬT THÔNG TIN (ISMS)
5. Quy trình quản lý nhân sự
6. Quy trình nhận diện, đánh giá rủi ro, và cơ hội về BẢO MẬT THÔNG TIN (ISMS)
7. Quy trình quản lý  sự cố BẢO MẬT THÔNG TIN (ISMS)
8. Quy trình hành động khắc phục và phòng ngừa sự cố BẢO MẬT THÔNG TIN (ISMS)
9. Quy trình ứng phó sự cố khẩn cấp (BCP) về BẢO MẬT THÔNG TIN (ISMS)
10. Quy trình quản lý quyền đăng nhập hệ thống
11. Quy trình quản lý tài sản BẢO MẬT THÔNG TIN (ISMS)
12. Quy trình quản lý hệ thống an ninh thông mạng
13. Quy trình quản lý khu vực bảo mật
14. Quy trình kiểm soát Nhà thầu, dịch vụ liên quan BẢO MẬT THÔNG TIN (ISMS)
15. Quy trình đánh giá nội bộ
16. Quy trình cập nhật và đánh giá sự tuân thủ luật pháp về BẢO MẬT THÔNG TIN (ISMS)
17. Quy trình kiểm soát thông tin dạng văn bản (Tài liệu và Hồ sơ)
18. Quy trình/ Hồ sơ xem xét lãnh đạo
19. Sổ tay BẢO MẬT THÔNG TIN (ISMS)

Hãy liên hệ với KN Company chúng Tôi, để được tư vấn xây dựng hệ thống cho chứng nhận của bạn !

Thông tin liên hệ: