Các nguyên tắc phạm vi của tiêu chuẩn ISO IEC 27001 : 2005

Các nguyên tắc phạm vi của tiêu chuẩn ISO IEC 27001 : 2005

Tác giả: ISOCUS | 19-04-2017, 5:54 pm

Hệ thống quản lý an toàn thông tin (ISMS) bao gồm các chính sách, thủ tục, hướng dẫn, các hoạt động và các nguồn lực liên quan, được quản lý tập trung bởi một tổ chức nhằm bảo vệ các tài sản thông tin của tổ chức.

Một ISMS sẽ áp dụng cách tiếp cận có hệ thống đối với việc thiết lập, thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến về an toàn thông tin của tổ chức để đạt được các mục tiêu kinh doanh của mình. ISMS được thiết lập dựa trên đánh giá rủi ro và các mức chấp nhận rủi ro được tổ chức đề ra để xử lý và quản lý có hiệu quả các rủi ro. Thông qua việc phân tích các yêu cầu đối với việc bảo vệ các tài sản thông tin và áp dụng các biện pháp kiểm soát thích hợp để đảm bảo sự bảo vệ các tài sản thông tin này, sẽ đóng góp vào việc thực hiện thành công một hệ thống ISMS. Các nguyên tắc cơ bản nhằm thực hiện thành công một hệ thống ISMS bao gồm:
a) Nhận thức về nhu cầu đối với an toàn thông tin;
b) Việc phân định trách nhiệm đối với an toàn thông tin;
c) Việc gắn kết giữa sự cam kết của lãnh đạo và các mối quan tâm của các bên liên quan;
d) Tăng cường các giá trị cho xã hội;
e) Việc đánh giá rủi ro để xác định được các biện pháp kiểm soát thích hợp nhằm đạt được các mức có thể chấp nhận đối với rủi ro;
f) An toàn được đưa vào như một yếu tố cơ bản trong các mạng và các hệ thống thông tin;
g) Chủ động phòng ngừa và phát hiện các sự cố về an toàn thông tin;
h) Đảm bảo cách tiếp cận toàn diện đối với quản lý an toàn thông tin;
i) Thường xuyên đánh giá lại về an toàn thông tin và thực hiện các sửa đổi khi thích hợp.
Phạm vi 
Tiêu chuẩn ISO/IEC 27001:2010 tập trung vào các khía cạnh trọng yếu cần thiết để thiết lập và thực hiện thành công hệ thống ISMS phù hợp với ISO/IEC 27001:2005. Tiêu chuẩn mô tả quá trình xác định các yêu cầu của ISMS và thiết kế từ khi bắt đầu tới khi ra được kế hoạch thực hiện. Tiêu chuẩn cũng mô tả quá trình để đi đến sự phê chuẩn của lãnh đạo đối với việc thực hiện ISMS, xác định dự án thực hiện ISMS, và hướng dẫn cách thức lập kế hoạch cho dự án ISMS để ra được kế hoạch cuối cùng cho việc triển khai ISMS.
Tiêu chuẩn này được sử dụng bởi các tổ chức, thuộc mọi loại hình (doanh nghiệp thương mại, cơ quan chính phủ, các tổ chức phi chính phủ…) và không phân biệt quy mô để thực hiện ISMS. Mỗi tổ chức đều có các mức độ phức tạp và các rủi ro riêng biệt, đồng thời các yêu cầu cụ thể của tổ chức sẽ định hướng cho việc thực hiện ISMS. Các tổ chức có quy mô nhỏ sẽ thấy rằng các hoạt động được nêu trong tiêu chuẩn này là có thích hợp với họ và có thể được đơn giản hóa khi áp dụng. Trong khi đó, các tổ chức có quy mô lớn và phức tạp thì có thể thấy rằng họ cần có sự phân cấp về tổ chức hoặc có hệ thống quản lý để quản lý các hoạt động trong tiêu chuẩn này một cách hiệu quả. Tuy nhiên, trong cả hai trường hợp, các hoạt động tương ứng có thể được hoạch định bằng cách áp dụng tiêu chuẩn này.



Bình luận
Gửi câu hỏi
Tin liên quan
Tin nổi bật
0978.679.199