Chuẩn ISO/IEC 27001 |
ISO / IEC 27001 chính thức chỉ định một hệ thống quản lý mà là nhằm mang lại an ninh thông tin dưới sự kiểm soát quản lý rõ ràng. Là một đặc tả hình thức có nghĩa là nó yêu cầu nhiệm vụ cụ thể. Tổ chức này tuyên bố là đã áp dụng tiêu chuẩn ISO / IEC 27001 do đó có thể được chính thức kiểm toán và chứng nhận phù hợp với tiêu chuẩn (hơn dưới đây). Cách làm việc theo quy chuẩn. Yêu cầu quản lý của ISO / IEC 27001 Trong khi các thiết lập quản lý an ninh thông tin có khả năng được sử dụng trong một / ISO IEC 27001 ISMS cũng như, hoặc thậm chí thay vì, ISO / IEC 27002 (Bộ Luật thực hành bảo mật thông tin quản lý), hai tiêu chuẩn thường được sử dụng với nhau trong thực hành. Phụ lục A của ISO / IEC 27001 ngắn gọn danh sách các điều khiển bảo mật thông tin từ ISO / IEC 27002, trong khi tiêu chuẩn ISO / IEC 27002 cung cấp thêm thông tin và tư vấn thực hiện trên các điều khiển. Tổ chức thực hiện một bộ kiểm soát an ninh thông tin theo tiêu chuẩn ISO / IEC 27002 được đồng thời có khả năng đáp ứng nhiều yêu cầu của tiêu chuẩn ISO / IEC 27001, nhưng có thể thiếu một số yếu tố hệ thống quản lý bao quát. ngược lại cũng đúng, nói cách khác, một tiêu chuẩn ISO / IEC 27001 cung cấp theo giấy chứng nhận đảm bảo rằng hệ thống quản lý an ninh thông tin được đặt ra, nhưng nói rất ít về tình trạng tuyệt đối an ninh thông tin trong tổ chức. Kỹ thuật kiểm soát an ninh như chống virus và tường lửa thường không được kiểm toán trong ISO / IEC 27001 đánh giá chứng nhận: tổ chức cơ bản là coi đã áp dụng tất cả các điều khiển bảo mật thông tin cần thiết từ các ISMS tổng thể được đặt ra và được coi là đầy đủ bởi đáp ứng yêu cầu của tiêu chuẩn ISO / IEC 27001. Hơn nữa, quản lý, xác định phạm vi của ISMS cho các mục đích xác nhận và có thể hạn chế nó, nói rằng, một đơn vị kinh doanh đơn lẻ hoặc vị trí. Bộ tiêu chuẩn ISO / IEC 27001 giấy chứng nhận không có nghĩa là phần còn lại của tổ chức, bên ngoài phạm vi khu vực, có một cách tiếp cận phù hợp để quản lý an ninh thông tin. Các tiêu chuẩn khác trong ISO / IEC 27000 gia đình đạt tiêu chuẩn cung cấp hướng dẫn bổ sung về một số khía cạnh của thiết kế, thực hiện và điều hành một ISMS, ví dụ về quản lý nguy cơ bảo mật thông tin (ISO / IEC 27005). Nguồn gốc của tiêu chuẩn ISO / IEC 27001 Phần đầu tiên, có chứa các thông lệ tốt nhất cho quản lý an ninh thông tin, đã được sửa đổi vào năm 1998, sau một cuộc thảo luận kéo dài trong các cơ quan tiêu chuẩn trên toàn thế giới, nó cuối cùng đã được thông qua bởi ISO như ISO / IEC 17799, "Công nghệ thông tin - Mã thực hành cho an ninh thông tin quản lý. " vào năm 2000. ISO / IEC 17799 sau đó đã được sửa đổi vào tháng 6 năm 2005 và cuối cùng kết hợp trong loạt ISO 27000 tiêu chuẩn như ISO / IEC 27002 vào tháng Bảy năm 2007. Phần thứ hai của BS7799 lần đầu tiên được xuất bản bởi BSI vào năm 1999, được gọi là BS 7799 Part 2, mang tên "Hệ thống quản lý an ninh thông tin - Đặc điểm kỹ thuật theo hướng dẫn để sử dụng." BS 7799-2 tập trung vào việc làm thế nào để thực hiện hệ thống quản lý an ninh thông tin (ISMS), đề cập đến cấu trúc thông tin quản lý an toàn và kiểm soát được xác định trong BS 7799-2. Điều này sau đó trở thành tiêu chuẩn ISO / IEC 27001. Phiên bản 2002 của BS 7799-2 giới thiệu Kế hoạch-Do-Check-Act (PDCA) (Deming mô hình đảm bảo chất lượng), sắp xếp nó hợp với tiêu chuẩn chất lượng như ISO 9000. BS 7799 Part 2 đã được thông qua theo tiêu chuẩn ISO như ISO / IEC 27001 vào tháng Mười năm 2005. BS 7799 phần 3 đã được xuất bản vào năm 2005, bao gồm phân tích rủi ro và quản lý. Nó gắn với tiêu chuẩn ISO / IEC 27001. Chứng nhận Ở một số nước, các cơ quan đó xác nhận sự phù hợp của hệ thống quản lý theo tiêu chuẩn quy định được gọi là "cơ quan chứng nhận", ở những người khác họ thường được gọi là "cơ quan đăng ký", "đánh giá và cơ quan đăng ký", "giấy chứng nhận / cơ quan đăng ký", và đôi khi "Đăng ký". Bộ tiêu chuẩn ISO / IEC 27001 chứng nhận , giống như các hệ thống quản lý chứng chỉ ISO, thường liên quan đến một quá trình kiểm toán ba giai đoạn: Giai đoạn 1: xem lại chính thức sơ bộ của ISMS, ví dụ kiểm tra sự tồn tại và đầy đủ của các tài liệu quan trọng như chính sách thông tin của tổ chức an ninh, Báo cáo của ứng dụng (SOA) và kế hoạch điều trị rủi ro (RTP). Giai đoạn này dùng để làm quen các kiểm toán viên với tổ chức và ngược lại. Giai đoạn 2: là một kiểm toán tuân thủ chi tiết hơn và chính thức, độc lập kiểm tra ISMS chống lại các yêu cầu quy định trong ISO / IEC 27001. Các kiểm toán viên sẽ tìm kiếm bằng chứng để xác nhận rằng hệ thống quản lý đã được thiết kế và triển khai thực hiện, và là trong thực tế hoạt động (ví dụ bằng cách xác nhận rằng một ủy ban an ninh hoặc tương tự như quản lý cơ thể họp thường xuyên để giám sát việc ISMS). Chứng nhận kiểm toán thường được thực hiện theo tiêu chuẩn ISO / IEC 27001 Kiểm toán viên chì. Qua kết quả này giai đoạn trong ISMS được chứng nhận phù hợp với ISO / IEC 27001. Giai đoạn 3: bao gồm việc theo dõi đánh giá hoặc kiểm toán để xác nhận rằng tổ chức này vẫn còn phù hợp với tiêu chuẩn. Chứng nhận bảo trì yêu cầu kiểm tra đánh giá lại định kỳ để xác nhận rằng ISMS tiếp tục hoạt động theo quy định và dự định. Những nên xảy ra ít nhất mỗi năm nhưng (theo thỏa thuận với quản lý) thường được tiến hành thường xuyên hơn, đặc biệt là trong khi các ISMS vẫn trưởng thành. |