ISMS Hệ thống Quản lý An toàn Thông tin ISO 27001
Các nội dung trong bài:
- ISMS và Hệ thống Quản lý An toàn Thông tin (ISO 27001)
- An toàn Thông tin là gì ?
- Cùng tìm hiểu 03 yếu tố C – I – A trong ISO 27001
- Hệ thống quản lý an toàn thông tin là gì ?
- Triển khai áp dụng ISMS cần quan tâm đến thông tin dạng văn bản.
- ISO 27001 là gì ?
ISMS được viết tắt của từ : Information security management system. Tiếng Việt là hệ thống quản lý an toàn thông tin.
An toàn Thông tin là gì ?
Bảo toàn tính bảo mật (2.11), tính toàn vẹn (2.40) và tính sẵn sàng (2.9) của thông tin.
Chú thích: Ngoài ra, cũng có thể bao hàm các thuộc tính khác như tính xác thực (2.8), trách nhiệm giải trình, tính chống chối bỏ (2.54) và tính tin cậy (2.62). (ISO 27000:2014)
Cùng tìm hiểu 03 yếu tố C – I – A trong ISO 27001
Tính bảo mật là gì ?
Đặc tính thông tin không sẵn sàng cung cấp hoặc tiết lộ cho các cá nhân, thực thể hoặc các quy trình trái phép.
Toàn vẹn là gì ?
Tính toàn vẹn là tính chính xác và đầy đủ của thông tin.
Sẵng sàng là gì ?
Đặc tính có thể truy cập và sử dụng được theo yêu cầu của một thực thể được cấp phép.
(ISO 27000:2014)
Hệ thống quản lý an toàn thông tin là gì ?
Tập hợp các phần tử có tương quan hoặc tác động lẫn nhau trong một tổ chức (2.57) để thiết lập chính sách (2.60), mục tiêu (2.56) và quy trình (2.61) để đạt được mục tiêu của tổ chức tập trung vào an toàn thông tin.
Chú thích 1: Một hệ thống quản lý có thể có một hoặc một vài quy tắc.
Chú thích 2: Các thành phần hệ thống gồm cơ cấu tổ chức, vai trò và trách nhiệm, kế hoạch, vận hành…
Chú thích 3: Phạm vi của một hệ thống quản lý có thể bao gồm toàn bộ tổ chức, các chức năng đã được xác định và cụ thể của tổ chức, các phần đã được xác định và cụ thể của tổ chức hoặc một hoặc vài chức năng qua một nhóm của tổ chức.
Triển khai áp dụng ISMS cần quan tâm đến thông tin dạng văn bản.
Hệ thống quản lý an toàn thông là các thông tin dạng văn bản và các hoạt động liên quan đến các yếu tố sau:
- Chính sách An toàn Thông tin
- Quy trình: qui trình phòng chống mã độc, qui trình quản lý thay đổi, qui trình quản lý sự cố, qui trình phát triển phần mềm, qui định sao lưu dữ liệu, qui định quản lý mật khẩu, qui trình đảm bảo hoạt động liên tục (BCP)…
- Hướng dẫn công việc: Hướng dẫn làm việc từ xa, hướng dẫn phân quyền cho phần mềm, danh sách liên hệ, danh sách phần mềm được phép sử dụng…
- Bảng kiểm kê tài sản thông tin
- Phương pháp quản lý rủi ro
- Kế hoạch xử lý rủi ro
- Hoạt động đào tạo
- Hoạt động đánh giá nội bộ
- Hành động khắc phục
- Hoạt động xem xét của lãnh đạo …
ISO 27001 là gì ?
ISO 27001 là các yêu cầu về hệ thống quản lý an toàn thông tin.
Tiêu chuẩn dùng để triển khai và duy trì ISMS bao gồm việc thiết lập, vận hành, duy trì, cải tiến. Ngoài ISO 27001, còn một số tiêu chuẩn khác được áp dụng cho ISMS nhưng ISO 27001 là tiêu chuẩn phổ biến nhất và mang lại nhiều lợi ích nhất cho doanh nghiệp.
Doanh nghiệp đang tìm kiếm đơn vị tư vấn xây dựng HTQL An toàn Thông tin.
Hãy liên hệ :
Đơn vị tư vấn hệ thống quản lý an toàn thông tin HQC Consulting.