Chứng nhận hệ thống quản lý An ninh thông tin ISO/IEC 27001

I. ISO 27001 là gì?

ISO 27001 là hệ thống tiêu chuẩn của Anh về hệ thống quản lý an ninh thông tin. Chứng nhận theo tiêu chuẩn ISO 27001 sẽ thiết lập và duy trì một hệ thống quản lý hiệu quả giúp doanh nghiệp hay tổ chức của bạn kiểm soát tính an toàn và bảo mật tài sản thông tin của đơn vị mình.

II. Đối tượng áp dụng

ISO 27001 phù hợp với mọi quy mô của tổ chức, doanh nghiệp và cũng được áp dụng ở mọi lĩnh vực kinh tế khác nhau.

III. Lợi ích của ISO 27001

• Thông tin chính xác: thông tin chính xác là yếu tố quyết định sống còn của bất cứ tổ chức hay doanh nghiệp nào.
• Thúc đẩy quan hệ đối tác
• Giảm chi phí trong chuỗi cung ứng: ISO 27001 giúp giảm các hoạt động trùng lặp của tổ chức, doanh nghiệp chẳng hạn như việc kiểm tra chất lượng hàng nhập vào, xuất ra.
• Cung cấp các giải pháp về thông tin: ISO 27001 giúp tổ chức, doanh nghiệp đảm bảo được an ninh thông tin; cung cấp các giải pháp quản lý bảo mật và tính toàn vẹn sẵn có của thông tin. Từ đó hỗ trợ rất cao việc quản lý rủi ro cho các tổ chức, doanh nghiệp.
• Quản lý thông tin, dữ liệu ở phạm vi rộng: tiêu chuẩn này đã được mở rộng phạm vi áp dụng và bao quát toàn bộ hoạt động của tổ chức, doanh nghiệp: từ nhân viên vệ sinh cho đến giám đốc điều hành.
• Tăng năng lực hoạt động: khi áp dụng các tiêu chuẩn chứng nhận ISO 27001, các hoạt động của tổ chức, công ty sẽ được vận hành một cách chuyên nghiệp hơn.
• Tăng khả năng trúng thầu và cơ hội ký kết hợp đồng
• Tăng lợi nhuận: Khi áp dụng các tiêu chuẩn ISO 27001, tổ chức và doanh nghiệp không chỉ quản lý tốt hơn dữ liệu thông tin của mình mà còn chủ động xác định được các sự cố và rủi ro tiềm ẩn. Từ đó giúp các tổ chức, doanh nghiệp đảm bảo thông tin đúng được cung cấp đúng thời điểm, đúng địa điểm và đúng đối tượng.
• Hỗ trợ tổ chức, doanh nghiệp đưa ra các quyết định phù hợp: môi trường kinh doanh luôn thay đổi không ngừng, các tổ chức, doanh nghiệp cũng cần có sự thay đổi cho phù hợp. ISO 27001 giúp các doanh nghiệp giám sát được các chỉ số quan trọng của mình để đưa ra những quyết định phù hợp với thực tế.

IV. Quy trình Tư Vấn ISO/IEC 27001 (ISMS)

Tại ISOCUS chúng tôi thực hiện công việc tư vấn cho các doanh nghiệp thông qua 7 bước lớn sau đây:

Bước 1: Khảo sát chi tiết & đề xuất phương án triển khai:

• Khảo sát thực trạng áp dụng hệ thống quản lý của tổ chức
• Phân tích khoảng trống giữa yêu cầu tiêu chuẩn và thực tế của doanh nghiệp
• Đề xuất các công việc/phân chia công việc và yêu cầu giải pháp kỹ thuật (nếu có), thời gian tiến độ thực hiện công việc

Bước 2: Lập kế hoạch tư vấn – đào tạo và xây dụng hệ thống tài liệu cho tiêu chuẩn ISO/IEC 27001:  Sau khi chuyên gia của chúng tôi xuông khảo sát doanh nghiệp xong thì sẽ lên kế hoạch tư vấn – đào tạo và xây dựng hệ thống tài liệu cho ISO/IEC 27001 cho doanh nghiệp.

Bước 3: Đào tạo nhận thức chung về ATTT& Yêu cầu tiêu chuẩn ISO/IEC 270001:2013

Mục tiêu

• Trang bị cho học viên các quy định của pháp luật về An toàn thông ti
• Diễn giải các yêu cầu của tiêu chuẩn ISO 27001:2013
• Các kiến thức và nguyên tắc trong xây dựng hệ thống quản lý
• Đề xuất
• Diễn giải mối tương quan giữa các bộ phận trong hệ thống quản lý

Yêu cầu học viên: là cán bộ nhân viên trong Công ty.

Bước 4: Hướng dẫn xây dựng tài liệu

Bước 5: Hướng dẫn áp dụng tài liệu hệ thống Quản lý an toàn thông tin: Áp dụng hệ thống văn bản đã xây dựng và thực tế quản lý của Công ty

Bước 6: Đào tạo Chuyên gia đánh giá nội bộ:

• Hướng dẫn các kỹ năng đánh giá nội bộ theo tiêu chuẩn ISO 19011:2013
• Cuối khóa học có bài test chuyên gia về mức độ hiểu biết của hệ thống, kiến nghị lãnh đạo Công ty phê duyệt làm chuyên gia đánh giá nội bộ
• Thời lượng đào tạo: 01 ngày tại Doanh nghiệp (trong đó đào tạo lý thuyết: 0,5 ngày; 0,5 ngày đánh giá thực tế cùng chuyên gia)
• Lập báo cáo đánh giá nội bộ và họp xem xét của lãnh đạo.

Bước 7: Đăng kí chứng nhận ISO/IEC 27001: Chúng tôi sẽ đăng kí chứng nhận ISO 27001 cho doanh nghiệp với sự giúp đỡ và hợp tác của doanh nghiệp.

V. Quá trình chứng nhận ISO 27001

1. Xác định lợi ích

• Nhóm quản lý xác định các lợi ích mà tổ chức có thể có được khi áp dụng một hệ thống quản lý an ninh thông tin và đạt chứng nhận ISO 27001.
• Sau đó, Doanh nghiệp cần chỉ định một chuyên gia tư vấn có kinh nghiệm với những hiểu biết cần thiết để đạt được chứng nhận ISO 27001.

2. Đánh giá rủi ro

• Công việc sẽ bắt đầu từ việc xác định, sau đó đánh giá các rủi ro về an ninh trong toàn tổ chức.
• Mỗi rủi ro đều được đánh giá về nguy cơ diễn ra cao hay thấp và đánh giá mức độ ảnh hưởng của từng sự cố đối với tổ chức.

3. Kiểm soát thực hiện

• Từ danh sách các rủi ro an ninh đã được xác định, có thể áp dụng các biện pháp kiểm soát thích hợp để giảm rủi ro xuống mức độ chấp nhận được.
• Sau đó các hệ thống quản lý sẽ được thiết lập để quản lý các rủi ro, giám sát các sự cố an ninh và liên tục giám sát các quá trình, xác định các rủi ro mới.

4. Tiến hành chứng nhận

• Đến bước này, bạn đã sẵn sàng tiến hành lần đánh giá đầu tiên.
• Trước tiên, chuyên gia đánh giá sẽ xem xét hệ thống văn bản , đảm bảo hệ thống văn bản khớp với những gì bạn thực sự thực hiện và đưa ra kiến nghị thay đổi nếu cần.
• Khi đã thực hiện những thay đổi cần thiết, bạn sẽ sẵn sàng để tiến hành một cuộc đánh giá thực sự thực hiện bởi một tổ chức chứng nhận độc lập được công nhận.

5. Quản lý hệ thống tài liệu

• Lưu giữ các hồ sơ và sử dụng hệ thống tài liệu thích hợp sẽ giúp bạn duy trì được một hệ thống hiệu quả và thuận tiện cho việc giám sát sau này.

6. Biện pháp khắc phục

• Có một điều không thể tránh khỏi đó là các quá trình có thể trở nên không còn đúng và bạn sẽ cần có một quá trình đã xác định để sửa chữa vấn đề và xác định điểm sai trước khi thay đổi để ngăn không có vấn đề tái diễn.
• Bạn nên giữ một hồ sơ về các hành động bạn thực hiện để điều chỉnh vấn đề. Nếu có thể, bạn nên xác định các vùng vấn đề tiềm ẩn và thiết lập một hệ thống nhằm ngăn chặn hay giảm thiểu hiệu ứng của chúng trước khi xảy ra vấn đề.

7. Đánh giá thường xuyên

• Tổ chức, doanh nghiệp nên đánh giá chất lượng nội bộ hệ thống mình áp dụng. Các chuyên gia đánh giá sẽ kiểm ra xem tổ chức, doanh nghiệp có làm theo các quy trình hay không và xác định bất kỳ khu vực nào cần phải điều chỉnh.
• Tổ chức, doanh nghiệp sẽ phải có một quy trình cho việc lập kế hoạch, thực hiện và ghi chép các cuộc đánh giá.