Khóa học: Nhận thức chung về tiêu chuẩn ISO/IEC 27001:2005

22 Tháng Một 2015

I. ISO/IEC 27001 LÀ GÌ?

iso_27001-nhan-thuc-chungISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với việc xây dựng và áp dụng hệ thống quản lý an toàn thông tin (Information Security Management System – ISMS) nhằm đảm bảo tính bảo mật (confidentiality), tính nguyên vẹn (integrity) và tính sẵn sàng (availability) đối với tài sản thông tin của các tổ chức/doanh nghiệp. Việc áp dụng một hệ thống quản lý an toàn thông tin sẽ giúp các tổ chức/doanh nghiệp ngăn ngừa, hạn chế các tổn thất trong sản xuất, kinh doanh liên quan tới việc hư hỏng, mất mát các thông tin, dữ liệu quan trọng.

ISO/IEC 27001 là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 về quản lý an toàn thông tin. Bộ tiêu chuẩn này được xây dựng dựa trên các tiêu chuẩn về quản lý an toàn thông tin BS 7799 của Viện Tiêu chuẩn Anh (British Standards Institute – BSI). Tháng 12 năm 2000, tiêu chuẩn BS 7799-1 được Tổ chức Tiêu chuẩn hoá quốc tế (ISO) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000. Năm 2005, tiêu chuẩn này được ban hành thành tiêu chuẩn ISO/IEC 27001:2005 Công nghệ thông tin – Hệ thống quản lý an toàn thông tin – Các yêu cầu.

Mục đích của ISO 27001:2005 là cung cấp cơ sở chung cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ của tổ chức.

Bộ tiêu chuẩn ISO 27001:2005 gồm các tiêu chuẩn sau:

ISO/IEC 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)

ISO/IEC 27001:2005 các yêu cầu đối với hệ thống quản lý an toàn thông tin

ISO/IEC 27002:2007 qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một cách toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

ISO/IEC 27003:2007 các hướng dẫn áp dụng

ISO/IEC 27004:2007 đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS

ISO/IEC 27005 quản lý rủi ro an toàn thông tin

ISO/IEC 27006 hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông.

Hiện nay, việc áp dụng hệ thống quản lý an toàn thông tin ISO/IEC 27001 đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới. Tại Việt nam, thời gian qua một số tổ chức ngân hàng, tài chính,công nghệ thông tin,… cũng bắt đầu quan tâm triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định.

II. ĐỐI TƯỢNG ÁP DỤNG

Tiêu chuẩn ISO/IEC 27001:2005  có thể được áp dụng rộng rãi cho nhiều loại hình tổ chức ( các tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận… ). Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng… của tổ chức.

ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác như ISO 9000, ISO 14000…

III. LỢI ÍCH 

- Giúp nhận biết, đánh giá được các rủi ro, xây dựng các biện pháp và tạo ý thức và trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ chức.

- Thể hiện trách nhiệm của tổ chức trong việc quản lý hệ thống thông tin, biểu hiện bảo mật thông tin trên mọi mức độ của tổ chức.

- Thể hiện tính tuân thủ luật pháp và quy tắc trong lĩnh vực quản lý thông tin.

- Quản lý rủi ro, dẫn đến hiểu biết tốt hơn về hệ thống an toàn thông tin, điểm yếu của chúng và cách bảo vệ chúng.

- Các đối tác, cổ đông và khách hàng yên tâm khi họ thấy được sự quan trọng trong bảo vệ thông tin của tổ chức.

- Xác định các thông tin quan trọng, các rủi ro có thể để giảm thiểu các rủi ro đó, xác định các mức chi phí bảo hiểm tốt nhất cho các rủi ro.

- Phát triển nhận thức của nhân viên trong an toàn và trách nhiệm của họ đối với tổ chức.

IV. CÁC BƯỚC TRIỂN KHAI

Về cơ bản, các bước triển khai hệ thống ISO/IEC 27001 có nhiều điểm tương đồng với áp dụng ISO 9000 & ISO 14000… Tuy nhiên, đây là hệ thống quản lý an toàn thông tin nên có một số điểm cần chú trọng khi xây dựng như: xác định đầy đủ các tài sản thông tin, nhận biết và đánh giá mối nguy, lựa chọn các biện pháp xử lý mối nguy thích hợp…

Các bước cơ bản cần thực hiện để đạt được chứng nhận hệ thống quản lý an toàn thông tin ISO/IEC 27001:

1) Cam kết của Lãnh đạo về xây dựng hệ thống quản lý an toàn thông tin cho tổ chức.

2) Phổ biến, đào tạo nhận thức về tiêu chuẩn ISO/IEC 27001 cho cán bộ.

3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001.

4) Xây dựng chính sách, mục tiêu và phạm vi của hệ thống ISMS

5) Phân tích, đánh giá các rủi ro về an toàn thông tin trong phạm vi của hệ thống.

6) Thiết lập các biện pháp kiểm soát rủi ro.

7) Lựa chọn mục tiêu và các biện pháp kiểm soát.

8) Vận hành hệ thống ISMS đã thiết lập.

9) Thực hiện các hoạt động xem xét và cải tiến hiệu lực hệ thống10) Đánh giá chứng nhận.

Thời gian đào tạo: 2 ngày

 Địa điểm

  • Đào tạo tập trung: Hà Nội: tại Trung tâm Đào tạo Nghiệp vụ TCĐLCL – Số 8 đường Hoàng Quốc Việt – Cầu Giấy – Hà Nội.
  • Đào tạo tại đơn vị. Đơn vị bố trí phòng học, trang thiết bị để phục vụ công tác giảng dạy.

Thông tin liên hệ:

Quý Đơn vị có nhu cầu tổ chức đào tạo tại trụ sở cơ quan của Quý Đơn vị hoặc cử nhân viên đi đào tạo tại Trung tâm, vui lòng liên hệ với Chúng tôi.

                                            Phòng Kế Hoạch Đào Tạo

Chị Nguyễn Hương Lan (0915.701569), Chị Lê Thu Huyền (0913 55 3434)
Trung tâm Đào tạo nghiệp vụ Tiêu chuẩn Đo lường Chất lượng (QTC)
Địa chỉ: Số 8 đường Hoàng Quốc Việt, quận Cầu Giấy, Hà Nội
Tel: 04 – 37916479/37912910; Fax: 04 – 3.8361408/3.7916479 
Website: www.qtc.qov.vn