ISO/IEC 27000 là một trong những tiêu chuẩn phổ biến nhất liên quan đến các khía cạnh khác nhau của doanh nghiệp. Chứng chỉ ISO/IEC 27000 là một loại chứng chỉ được cấp cho các tổ chức, doanh nghiệp để xác minh rằng họ tuân thủ các tiêu chuẩn và quy định kỹ thuật do ISO và IEC đề ra.
ISO 27000 là bộ Tiêu chuẩn nhằm giúp các tổ chức có được một công cụ cần thiết để áp dụng các quy phạm an toàn thông tin tốt nhất vào hoạt động kinh doanh hàng ngày, hỗ trợ doanh nghiệp xây dựng hệ thống quản lý an ninh thông tin (ISMS) một cách tối ưu nhất. Nó được thiết kế không tập trung vào một ngành nghề cụ thể nào mà phù hợp cho doanh nghiệp ở mọi lĩnh vực và mọi quy mô:
Thu thập, xử lý, lưu trữ và truyền thông tin Nhận diện thông tin và các quy trình liên quan, hệ thống, mạng và con người là những tài sản quan trọng cho việc đạt được mục tiêu của doanh nghiệp Đối mặt với một loạt các rủi ro có thể ảnh hưởng đến chức năng của các tài sản Giải quyết các rủi ro nhận thấy được bằng việc triển khai các kiểm soát bảo mật thông tin ISO 27000 bao gồm các yêu cầu về việc triển khai kiểm soát an ninh thông tin cho hệ thống ISMS và các hướng dẫn thực hiện các yêu cầu đó, bao gồm một số tiêu chuẩn tiêu biểu sau: – ISO 27001: Bộ tiêu chuẩn chỉ ra các yêu cầu của hệ thống quản lý ANTT – ISO 27002: Hướng dẫn triển khai các kiểm soát bảo mật đáp ứng ISO 27001 – ISO 27017: Yêu cầu thực tiễn của các kiểm soát bảo mật cho các đơn vị cung cấp dịch vụ đám mây – ISO 27018: Yêu cầu thực tiễn đảm bảo bảo mật dữ liệu cá nhân cho các đơn vị cấp dịch vụ đám mây – ISO 27701: Phần mở rộng quyền riêng tư cho ISO/IEC 27001
thuộc tính về thông tin không bị tiết lộ hoặc khả dụng cho những cá nhân, đơn vị hoặc quy trình không được phép
thuộc tính về việc có thể truy cập và sử dụng theo nhu cầu của đơn vị được phép
thuộc tính về chính xác và đầy đủ của dữ liệu cần được truy cập
Duy trì danh tiếng và hình ảnh tích cực
Tăng sự tin tưởng của khách hàng
Bảo vệ thông tin quan trọng
Cải thiện quy trình nội bộ
Cạnh tranh tốt hơn
Hỗ trợ mở rộng kinh doanh quốc tế
Tuân thủ pháp luật và quy định
Quản lý rủi ro hiệu quả hơn
Giảm chi phí bảo mật thông tin
ISO/IEC 27001 là tiêu chuẩn thường được sử dụng cho việc triển khai và chứng nhận cho hệ thống ISMS. Hệ thống Quản trị Bảo mật Thông tin (ISMS) là hệ thống phương pháp cho việc thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và cải thiện bảo mật thông tin cho doanh nghiệp để đạt được mục tiêu kinh doanh
Tiêu chuẩn ISO/IEC 27001 bao gồm 7 nội dung chính và một phụ lục.
| Nội dung | Yêu cầu ISO/IEC 27001 |
|---|---|
|
Bối cảnh của doanh nghiệp |
1. Hiểu về doanh nghiệp và bối cảnh doanh nghiệp 2. Hiểu về nhu cầu và kỳ vọng của các bên 3. Xác định được phạm vi của hệ thống quản trị an ninh thông tin (ISMS) 4. Hệ thống quản trị an ninh thông tin |
|
Lãnh đạo |
1. Lãnh đạo và trách nhiệm 2. Chính sách 3. Vai trò, trách nhiệm và quyền hạn |
|
Kế hoạch |
1. Các hoạt động để phát hiện rủi ro và cơ hội 2. Mục tiêu bảo mật thông tin và kế hoạch đạt được |
|
Hỗ trợ |
1. Tài nguyên 2. Năng lực 3. Nhận thức 4. Giao tiếp 5. Yêu cầu thông tin |
|
Vận hành |
1. Kế hoạch vận hành và kiểm soát 2. Đánh giá rủi ro an ninh thông tin 3. Khắc phục rủi ro an ninh thông tin |
|
Đánh giá hiệu quả |
1. Giám sát, đo lường, phân tích, đánh giá 2. Kiểm toán nội bộ 3. Xem xét quản trị |
|
Cải thiện |
1. Cải thiện liên tục 2. Các hoạt động không phù hợp và hiệu chỉnh |
|
Phụ lục A |
Các tham chiếu kiểm soát bảo mật thông tin |
Tiêu chuẩn ISO 27001 được xây dựng dựa trên những thực tiễn chung nhất để đưa ra các yêu cầu bảo mật đáp ứng tất cả các lĩnh vực, ngành nghề và kích cỡ doanh nghiệp. Mọi doanh nghiệp đều có thể triển khai và áp dụng ISO 27001 trong định hướng phát triển và kinh doanh của mình.
ISO 27001 mang lại nhiều lợi ích cho doanh nghiệp, giúp nâng cao năng lực bảo mật an toàn thông tin cho doanh nghiệp, tránh được các rủi ro không mong muốn liên quan đến thiết bị, công nghệ, con người và quy trình đồng thời giúp nâng cao vị thế của doanh nghiệp với trong và ngoài nước từ đó thúc đẩy phát triển kinh doanh.
Đội ngũ Chuyên gia đánh giá bảo mật của chúng tôi đưa ra những tư vấn và lộ trình triển khai tư vấn, đánh giá tiêu chuẩn ISO 27001
ISO 27001 là một trong những tiêu chuẩn bảo mật thông tin yêu thích của chúng tôi trong sản phẩm. Không chỉ bởi vì nó là một trong những tiêu chuẩn bảo mật thông tin hoàn thiện hiện có, mà còn bởi vì nó đang phát triển, lấy cộng đồng làm trung tâm và miễn phí cho bất kỳ ai tuân theo.
Chúng tôi có thể giúp bạn bắt đầu một lộ trình hướng tới chứng nhận thành công và tuân thủ lâu dài.
Nếu bạn đang thực hiện tuân thủ hoặc đang chuẩn bị gia hạn chứng nhận, chúng tôi có thể giúp bạn trong bước chân cuối cùng của sự thành công – Chuẩn bị chứng nhận ISO 27001.
Chúng tôi khảo sát nhanh các thiết lập của bạn và bắt đầu đánh giá để giúp bạn xác nhận mức độ tuân thủ.
Chương trình ISO 27001 của chúng tôi có thể giúp bạn trong việc cung cấp vai trò và trách nhiệm cho những nhân sự quan trọng trong lộ trình tuân thủ của bạn. Chương trình đào tạo của chúng tôi được thiết kế cho:
Chúng tôi cung cấp dịch vụ hỗ trợ để chỉ ra tất cả các cản trở kỹ thuật liên quan đến tuân thủ
Các tiêu chuẩn mở rộng của họ ISO 27000 đều tận dụng lại một số các yêu cầu và kiểm soát từ ISO 27001, do đó nếu bạn đã tuân thủ ISO 27001, việc thực hiện triển khai, tư vấn và đánh giá các tiêu chuẩn khác của ISO 27000 sẽ trở nên đơn giản và dễ dàng hơn.
ISO/IEC 27017:2015 đưa ra hướng dẫn về khía cạnh bảo mật thông tin của điện toán đám mây, đề xuất triển khai kiểm soát bảo mật thông tin cụ thể theo đám mây để bổ sung cho hướng dẫn về tiêu chuẩn ISO/IEC 27002 và ISO/IEC 27001. Bộ quy phạm thực hành này cung cấp hướng dẫn triển khai các kiểm soát bảo mật thông tin bổ sung cụ thể cho nhà cung cấp dịch vụ đám mây.
Chứng nhận theo hướng dẫn ISO/IEC 27017:2015 của không chỉ minh chứng cho cam kết liên tục trong việc điều chỉnh phù hợp với những phương pháp hoạt động tốt nhất và đã được công nhận trên toàn cầu, đồng thời xác minh rằng nhà cung cấp có sẵn một hệ thống những kiểm soát với độ chính xác cao dành riêng cho các dịch vụ đám mây.
Nhóm chuyên gia của chúng tôi là một nhóm các nhà tư vấn công nghệ được tập hợp cẩn thận, những người đã thực hiện thành công một số cam kết dưới thời của họ. Chúng tôi có một phương pháp luận đã được xác định và thử nghiệm rõ ràng để thực hiện các đánh giá và kiểm toán ISO 27017. Cùng với đó, chúng tôi cố gắng làm cho Tiêu chuẩn bớt khó hiểu và phức tạp hơn để bạn có thể hiểu được. Để đạt được mục tiêu của mình, chúng tôi chia hoạt động của ISO 27017 thành bốn bước:
Các tiêu chuẩn ISO 27000 đều yêu cầu tuân thủ liên tục, và ISO 27017 cũng không ngoại lệ. Các chuyên gia của chúng tôi sẽ giúp bạn đảm bảo rằng việc giám sát, duy trì, cải thiện các kiểm soát bảo mật được liên tục thực hiện.
Sau đó, bạn sẽ có được những hiểu biết thực tế về việc triển khai các phương pháp bảo mật tốt nhất và biết giá trị của tiêu chuẩn ISO 27017
ISO/IEC 27018 là tiêu chuẩn quốc tế về bảo vệ thông tin cá nhân (PII) trong lưu trữ đám mây. Thuật ngữ dành cho dữ liệu cá nhân mà nó đề cập đến là Thông tin nhận dạng cá nhân hoặc PII. ISO 27018 là quy tắc thực hành dành cho nhà cung cấp dịch vụ đám mây công cộng.
ISO 27018 là phần mở rộng cho ISO 27001, nó cung cấp 2 nội dung chính:
– Cung cấp thêm hướng dẫn triển khai hữu ích cho các biện pháp kiểm soát được công bố trong ISO 27001
– Đưa ra hướng dẫn bổ sung về các yêu cầu bảo vệ PII cho đám mây công cộng không có trong ISO 27001
Bluebits cung cấp dịch vụ tư vấn ISO 27018 với các lộ trình như sau:
| # | Hạng mục | Nội dung |
| 1 | Đào tạo và bối cảnh | Hiểu bối cảnh của doanh nghiệp, xác định phạm vi và đào tạo nhận thức bảo mật cho nhân viên |
| 2 | Đánh giá khoảng cách | Đánh giá các triển khai kiểm soát bảo mật đã có, các quy trình, chính sách được áp dụng |
| 3 | Báo cáo và khắc phục | Xây dựng báo cáo dựa trên các kết quả tìm kiếm được, tư vấn khắc phục khoảng cách |
| 4 | Kiểm toán nội bộ | Kiểm toán lại hệ thống sau khi doanh nghiệp khắc phục các vấn đề được chỉ ra trong báo cáo khoảng cách |
| 5 | Sẵn sàng tuân thủ | Thu thập các tài liệu, bằng chứng, quy trình chính sách liên quan để phục vụ việc đánh giá tuân thủ |
| 6 | Hỗ trợ chứng nhận | Hỗ trợ doanh nghiệp trong quá trình đánh giá chứng nhận để đảm bảo doanh nghiệp đạt tuân thủ |
ISO 27701 là một tiêu chuẩn quản lý thông tin cá nhân (PII – Personal Information) và quyền riêng tư. Nó đánh giá và hướng dẫn việc quản lý thông tin cá nhân trong tổ chức. Cụ thể, ISO 27701 đánh giá các khía cạnh sau:
– Bảo vệ thông tin cá nhân (PII Protection): Tiêu chuẩn này đánh giá khả năng của tổ chức để bảo vệ thông tin cá nhân khỏi việc truy cập trái phép, sử dụng trái phép, tiết lộ trái phép, sửa đổi, hoặc hủy hoại.
– Quản lý quyền riêng tư (Privacy Management): ISO 27701 cung cấp hướng dẫn về việc quản lý quyền riêng tư của người liên quan, bao gồm việc xác định và thực hiện các biện pháp bảo vệ dữ liệu cá nhân, xử lý các yêu cầu của người liên quan, và thực hiện các chính sách và quy trình liên quan đến quyền riêng tư.
– Sự tuân thủ với các quy định liên quan đến quyền riêng tư (Compliance): ISO 27701 giúp tổ chức xác định và đảm bảo tuân thủ với các quy định về quyền riêng tư, bao gồm cả các quy định pháp lý như GDPR và các yêu cầu về bảo vệ dữ liệu cá nhân.
– Kiểm tra và cải thiện (Assessment and Improvement): Tiêu chuẩn này yêu cầu tổ chức thực hiện kiểm tra thường xuyên về khả năng bảo vệ thông tin cá nhân và quản lý quyền riêng tư của họ và thực hiện các biện pháp cải thiện liên quan.
Các chuyên gia bảo mật của chúng tôi giúp thực hiện môi trường đáp ứng các yêu cầu bảo mật và giúp bạn sẵn sàng kiểm toán tuân thủ. Chúng tôi nhằm mục đích cải thiện năng lực tuân thủ và đảm bảo khả năng triển khai quyền riêng tư trong hệ thống. Điều này giúp chúng tôi trong việc tìm kiếm khoảng trống và đề xuất các giải pháp để giải quyết chúng.
Chúng tôi chia nỗ lực tư vấn và hướng dẫn ISO 27701 thành ba nỗ lực dễ dàng:
Là phương châm làm việc của chúng tôi
12 năm
kinh nghiệm
Đổi sản phẩm
7 ngày
Giao dịch
an toàn
Dịch vụ
chất lượng
Đăng nhập