ISO 27001:2013 những điều nên biết

Thảo luận trong 'Rao Vặt Toàn Quốc' bắt đầu bởi vinastarconsulting, 22/10/14.

  1. vinastarconsulting

    vinastarconsulting Thành Viên Mới

    Tham gia ngày:
    12/9/14
    Bài viết:
    10
    Đã được thích:
    0
    Điểm thành tích:
    0
    ISO 27001:2013 những điều nên biết

    Tiêu chuẩn 27001 phiên bản 2013 được công bố vào ngày 01 tháng 10 năm 2013.
    Dưới đây là những điểm chính của phiên bản mới mà chúng ta cần biết:

    I. Về cấu trúc
    0 Giới thiệu.
    1 Phạm vi của tiêu chuẩn.
    2 Tài liệu tham chiếu.
    3 Thuật ngữ và định nghĩa.
    4 Mô hình tổ chức.
    5 Lãnh đạo.
    6 Kế hoạch về hệ thống quản lý an toàn thông tin; đánh giá rủi ro; xử lý rủi ro.
    7 Hỗ trợ cho hệ thống quản lý an toàn thông tin.
    8 Hoạt động.
    9 Hiệu năng hoạt động.
    10 Hành động cải tiến.
    Phụ lục A vẫn còn xuất hiện trong phiên bản mới. Tuy nhiên phụ lục B và C đã không còn xuất hiện nữa.

    II.Lãnh đạo (leadership)
    Các yêu cầu cam kết quản lý tập trung vào thuật ngữ “lãnh đạo”.

    III. Về các bên liên quan (interested parties)
    Có tầm quan trọng rất lớn, trong đó bao gồm các cổ đông, cơ quan chức năng (gồm cả các yêu cầu về pháp luật và quy định), khách hàng, đối tác, …. được ghi nhận trong phiên bản mới này. Có một điều đặc biệt là các bên liên quan phải được liệt kê, cùng với tất cả các yêu cầu của họ.
    Đây là yếu tố đầu vào quan trong của ISMS.

    IV. Tài liệu hóa thông tin
    Khái niệm về “các tài liệu” và “các hồ sơ” được gộp chung lại.
    Yêu cầu trong tiêu chuẩn cũ đối với tiến trình sử lý tài liệu (kiểm soát tài liệu, đánh giá nội bộ, hành động khắc phục, phòng ngừa) đã không còn. Tuy nhiên các yêu cầu về tài liệu đầu ra từ các tiến trình vẫn còn trong tiêu chuẩn mới. Vì vậy, không cần phải viết ra các tiến trình, nhưng vẫn cần phải duy trì tất cả các hồ sơ khi quản lý tài liệu, thực hiện đánh giá nội bộ, và hành động khắc phục.

    V. Đánh giá rủi ro và xử lý rủi ro
    Tài sản, lổ hổng và mối đe dọa không phải là cơ sở đánh giá rủi ro nữa. Các yếu tố này chỉ cần khi xác định những rủi ro liên quan đến tính bảo mật, toàn vẹn và sẵn sàng.
    Khái niệm về việc xác định mức độ rủi ro dựa trên những hậu quả và khả năng vẫn giữ nguyên.
    Khái niệm về chủ sở hữu tài sản đã không còn, một thuật ngữ mới được dùng là: “chủ sở hữu rủi ro”, vì thế mà trách nhiệm được đưa lên một mức cao hơn.
    Các yêu cầu đánh giá rủi ro đã được liên kết với ISO 31000.

    VI. Mục tiêu, việc theo dõi và đo lường
    Các quy tắc (rule) cần được thiết lập mục tiêu rõ ràng, phải xác định ai sẽ là người xem xét chúng và khi nào, phải xác định ai sẽ phân tích và đánh giá những kết quả từ những quy tắc đó.
    Các kế hoạch cần phải được phát triển và phải được mô tả làm cách thức đạt được các mục tiêu.

    VII. Về hành động khắc phục và phòng ngừa
    Sự thay đổi lớn nhất là không có hành động phòng ngữa nữa, về cơ bản chúng được gộp lại trong đánh giá và xử lý rủi ro.
    Hơn nữa, có một sự phân biệt giữa các lần khắc phục, hành động trực tiếp tới điểm không phù hợp, trái ngược với hành động khắc phục để loại bỏ các nguyên nhân gây ra điểm không phù hợp.

    VIII. Truyền thông
    Đây cũng là một điều khoản mới, là nơi mà tất cả các yêu cầu được tập trung lại – những gì cần phải được thông báo, khi nào, bởi ai, thông qua đó có nghĩa là gì, …. Sự thành công của an toàn thông tin phụ thuộc vào cả hai phía IT và phía doanh nghiệp, sự hiểu biết tổng thể của họ về mục đích bảo vệ thông tin.

    IX. Danh sách một số tài liệu theo iso 27001 phiên bản 2013:
    - Phạm vi của ISMS (Chương 4.3)
    - Chính sách bảo mật thông tin và các mục tiêu (Chương 5.2 và 6.2)
    - Đánh giá rủi ro và phương pháp xử lý rủi ro (Chương 6.1.2)
    - Tuyên bố áp dụng (Chương 6.1.3d)
    - Kế hoạch xử lý rủi ro (Chương 6.1.3e và 6.2)
    - Báo cáo đánh giá rủi ro (Chương 8.2)
    - Xác định trách nhiệm và vai trò bảo mật (Chương 7.1.2 và A.13.2.4)
    - Kiểm kê tài sản (A.8.1.1)
    - Chấp nhận việc sử dụng của tài sản (A.8.1.3)
    - Chính sách kiểm soát truy cập (A.9.1.1)
    - Các quy trình điều hành để quản lý CNTT (A.12.1.1)
    - Các nguyên tắc bảo mật hệ thống kỹ thuật (A.14.2.5)
    - Chính sách bảo mật phía nhà cung ứng (A.15.1.1)
    - Quy trình quản lý sự cố (A.16.1.5)
    - Quy trình đảm bảo tính liên tục trong kinh doanh (A.17.1.2)
    - Các yêu cầu luật, quy định và hợp đồng (A.18.1.1)

    X. Danh sách một số hồ sơ theo iso 27001 phiên bản 2013:
    - Hồ sơ về đào tạo, kỹ năng, kinh nghiệm và trình độ chuyên môn (Chương 7.2)
    - Giám sát và đo lường kết quả (Chương 9.1)
    - Chương trình đánh giá nội bộ (Chương 9.2)
    - Kết quả từ việc xem xét của quản lý (Chương 9.3)
    - Kết quả của các hành động khắc phục (Chương 10.1)

    Tham khảo thêm thông tin tại: http://vinastarconsulting.com/blog/

    [​IMG]với các chuyên gia Việt Nam và Quốc tế nhiều kinh nghiệm, Vinastar Consulting mang đến những giải pháp thông minh giúp giải quyết các vấn đề và cải thiện hệ thống quản lý của doanh nghiệp.Vinastar cung cấp dịch vụ tư vấn, đào tạo và đánh giá nhằm hỗ trợ các doanh nghiệp áp dụng hệ thống quản lý dựa trên các tiêu chuẩn như ISO 20000/ ITIL – ITSMS, ISO 27001 – ISMS, BS 25999/ ISO 22301 – BCMS, 38500 – IT Governance…
     
    Cảm ơn đã xem bài:

    ISO 27001:2013 những điều nên biết

    danh sách diễn đàn rao vặt gov chất lượng
  2. vinastarconsulting

    vinastarconsulting Thành Viên Mới

    Tham gia ngày:
    12/9/14
    Bài viết:
    10
    Đã được thích:
    0
    Điểm thành tích:
    0
    Giới thiệu về vinastar consulting

    GIỚI THIỆU VỀ VINASTAR CONSULTING

    Vinastar được thành lập năm 2009 bởi Ông Tô Hoàng Nam – Ông cũng là chuyên gia đầu tiên về ISO 27001 (Hệ thống quản lý an toàn thông tin) của Việt Nam, một số thông tin về Ông:
    1. Đạt chứng chỉ triển khai ISO/IEC 27001:2005 vào tháng 03/2006 tại Singapore.
    2. Đạt chứng chỉ đánh giá viên trưởng ISO/IEC 27001:2005 vào tháng 03/2007 tại Ấn Độ.
    3. Được IRCA (*) công nhận là đánh giá viên trưởng ISO 27001 đầu tiên và duy nhất của Việt Nam vào tháng 10/2013.
    (*) IRCA (www.irca.org) là tổ chức công nhận uy tín nhất về chuyên gia ISO.

    Chúng tôi cung cấp các dịch vụ:
     Tư vấn ISO 27001, tư vấn ISO 20000, tư vấn ISO 22301…
     Đào tạo
     Đánh giá hiện trạng
     Cung cấp chuyên gia đánh giá cho các tổ chức đánh giá chứng nhận

    Cho các tiêu chuẩn:
     ISO 27001 - Hệ thống quản lý an toàn thông tin
     ISO 20000/ ITIL - Hệ thống quản lý dịch vụ IT
     ISO 22301 - Hệ thống quản lý hoạt động kinh doanh liên tục
     BS 10012/ ISO 29100 - Hệ thống quản lý thông tin cá nhân
     ISO 38500/ COBIT - Quản trị IT

    Tầm nhìn
    1. Tầm nhìn của Vinastar là trở thành công ty dẫn đầu về thương hiệu, danh tiếng, mối quan hệ và thị phần đối với dịch vụ của chúng tôi.

    2. Mục tiêu của Vinastar:
    - Xây dựng hình ảnh công ty bao gồm những nhân viên chất lượng, dịch vụ chất lượng và sự chuyên nghiệp.
    - Tạo nên một thương hiệu thu hút những người giỏi và khách hàng.
    - Thiết lập quan hệ với tất cả các bên liên quan của chúng tôi bao gồm: khách hàng, các cơ quan quản lý, các nhà đầu tư, các trường đại học, phương tiện truyền thông, cộng đồng của chúng tôi và nhân viên của chúng tôi.
    - Xây dựng thị phần hàng đầu trong phân khúc thị trường của chúng tôi.
    Chúng tôi thực hiện bằng việc triển khai thông qua ba nguyên tố chiến lược bao gồm: nhân viên, chất lượng dịch vụ và sự tăng trưởng.

    3. Giá trị của Vinastar:
    - Những người tận tâm và có tinh thần đồng đội.
    - Những người được đào tạo phù hợp, trải nghiệm và luôn cải tiến.
    - Những người luôn hướng đến khách hàng và mong muốn tạo dựng các mối quan hệ bền vững.

    Blog về kiến thức tiêu chuẩn ISO của chúng tôi:
    Được chia sẽ tại link: http://vinastarconsulting.com/blog/ bao gồm các bài viết:
    1. ISO 27001 là gì ?
    2. Cấu trúc ISO 27001
    3. Lợi ích tổng quát khi áp dụng ISO 27001
    4. So sánh ISO 27001 và ISO 20000
    5. So sánh ISO 27001 và ISO 22301
    6. So sánh ISO 27001:2005 và ISO 27001:2013


    Một số khách hàng tiêu biểu về tư vấn ISO 27001 của Vinastar:
    TPBANK, Dự án World Bank tài trợ cho thành phố Đà nẵng, CMC TI, S3 Solution…

    Đối tác của Vinastar:
    TUV Rheinland, TUV NORD, ACS, NQA, Bureau Veritas.

    Địa chỉ Vinastar tại 02 site:
    Văn phòng Hồ Chí Minh : Phòng 901, 68 Nguyễn Huệ, Quận 1, Hồ Chí Minh.
    Văn phòng Hà Nội : Phòng 309, 68 Nguyễn Du, Quận Hai Bà Trưng, Hà Nội.
    Phone : (08) 66 80 50 22
    Fax : (08) 62 88 30 89
    Website : www.vinastarconsulting.com
    Email : info@vinastarconsulting.com
    VNS cung cấp dịch vụ tư vấn, đào tạo và đánh giá nhằm hỗ trợ các doanh nghiệp áp dụng hệ thống quản lý dựa trên các tiêu chuẩn như ISO 27001, ISO 20000, BS 25999/ ISO22301…Với các chuyên viên Việt Nam và Quốc tế nhiều kinh nghiệm, Vinastar mang đến những giải pháp thông minh giúp giải quyết các vấn đề và cải thiện hệ thống quản lý của doanh nghiệp.
     


Like và Share ủng hộ ITSEOVN