Kinh nghiệm: Hệ Thống Quản Lý An Ninh Thông Tin (isms) Đạt Chuẩn Iso 27001:2013

Điều cốt lõi để xây dựng hệ thống ISMS thành công theo tiêu chuẩn ISO 27001 là dựa trên đánh giá phản hồi để cung cấp sự cải tiến liên tục, đồng thời lấy cách tiếp cận có cấu trúc để quản lý tài sản và rủi ro. Hệ thống an ninh thông tin bao gồm tất cảc các kiểm soát để đảm bảo an ninh thông tin, xuyên suốt 10 khía cạnh sau:



1. Chính sách an ninh (Security Policy)

Cung cấp các chỉ dẫn quản lý và hỗ trợ an ninh thông tin

2. Tổ chức an ninh (Security Organization)

Quản lý an ninh thông tin trong tổ chức, duy trì an ninh của các quá trình hỗ trợ thông tin của tổ chức và những tài sản thông tin được truy cập bởi các thành phần thứ ba, duy trì an ninh thông tin khi trách nhiệm việc xử lý thông tin đã được khoán ngoài cho tổ chức khác.

3. Phân loại và kiểm soát tài sản (Asset Classification and Control)

Duy trì và đảm bảo các tài sản của tổ chức được bảo vệ ở các cấp độ thích hợp.

4. An ninh nhân sự (Personnel Security)

Để giảm rủi ro về lỗi của con người như sự ăn cắp, gian lận hoặc lạm dụng. Đảm bảo người dùng nhận thức các mối đe dọa an ninh thông tin liên quan và được trang bị để hỗ trợ chính sách an ninh của tổ chức trong phạm vi công việc bình thường của họ, giảm thiểu từ những bất thường và sai chức năng an ninh và để kiểm soát cũng như học hỏi từ các bất thường như vậy.

5. An ninh môi trường và vật lý (Physical and Enviromental Security)

Ngăn cản truy cập vật lý không được phép có nguy cơ phá hủy hoặc can thiệp đến những thông tin và cơ ngơi doanh nghiệp. Ngăn cản sự mất mát, phá hủy hoặc tấn công những tài sản và cắt đứt các hoạt động kinh doanh. Ngăn cản sự tấn công, ăn cắp thông tin và quy trình hỗ trợ xử lý thông tin.

6. Quản lý tác nghiệp và truyền thông (Communications and Operations Management)

Đảm bảo tác nghiệp bảo mật, hỗ trợ xử lý thông tin, giảm thiểu rủi ro lỗi của các hệ thống, bảo vệ sự nguyên vẹn của phần mềm và những thông tin từ việc phần mềm bị phá hủy. Duy trì sự nguyên vẹn và sẵn sàng của quá trình xử lý thông tin và các dịch vụ truyền thông, đảm bảo sự an toàn của thông tin trong mạng và bảo vệ cơ sở hạ tầng hỗ trợ, ngăn cản phá hủy tài sản và làm gián đoạn các hoạt động kinh doanh, ngăn cản sự mất mát, sửa đổi và lạm dụng thông tin trao đổi giữa các tổ chức.

7. Kiểm soát truy cập (Access Control)

Kiểm soát truy cập đến thông tin, đảm bảo các quyền truy cập đến các hệ thống thông tin được cấp quyền, cấp phát tài nguyên và duy trì một cách phù hợp. Ngăn cản truy cập trái phép, phát hiện các hoạt động trái phép, bảo vệ các dịch vụ mạng, đảm bảo an ninh thông tin khi dùng máy tính di động và phương tiện điện thoại.

8. Duy trì và phát triển các hệ thống (Systems Development and Maintenance)

Đảm bảo an ninh được xây dựng bên trong các hệ thống thông tin. Ngăn cản, điều chỉnh, và lạm dụng dữ liệu của người dùng trong các hệ thống ứng dụng, bảo vệ tính tin cậy, tính xác thực hoặc nguyên vẹn của thông tin. Đảm bảo các dự án CNTT và các hoạt động hỗ trợ được điều hành trong một thể thức an ninh. Duy trì an ninh của phần mềm hệ thống ứng dụng và thông tin.

9. Quản lý sự liên tục trong kinh doanh (Business Continuity Management)

Chống lại sự ngưng trệ của họat động kinh doanh và bảo vệ các quá trình kinh doanh quan trọng.

10. Tuân thủ (Compliance)

Tránh sự vi phạm của mọi luật công dân và hình sự, tuân thủ pháp luật, quy định hoặc nghĩa vụ của hợp đồng và mọi yêu cầu về an ninh. Đảm bảo sự tuân thủ của các hệ thống với các chính sách an ninh và tiêu chuẩn. Tăng tối đa hiệu quả và giảm thiểu trở ngại đến quá trình đánh giá hệ thống.



Nếu doanh nghiệp có mong muốn được cấp chứng nhận ISO 27001, vui lòng liên hệ với Thư Viện Tiêu Chuẩn theo số hotline 0948.690.698 để được tư vấn ISO 27001.