Cầm trên tay 1 bộ tài liệu đồ sộ của ISO 27001 chắc hẳn mỗi người đọc sẽ khó để khái quát được những thông tin chính. Viện ISSQ sẽ gửi đến quý khách hàng thông tin hữu ích về Tiêu chuẩn ISO 27001. .jpg) Hiểu về Tiêu chuẩn ISO 27001 – Hệ thống Quản lý An toàn Thông tin được tổ chức Tiêu chuẩn hóa Quốc tế ISO xuất bản lần đầu tiên vào năm 2005 và được sửa đổi vào năm 2013 với phiên bản hợp lệ hiện tại là ISO/IEC 27001:2013. ISO 27001 là công cụ cần thiết giúp các Công ty hoạt động trong ngành công nghệ thông tin bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin trong đơn vị mình. Tiêu chuẩn được thực hiện bằng cách tìm hiểu những vấn đề tiềm ẩn có thể xảy ra đối với thông tin (nghĩa là đánh giá rủi ro) và sau đó xác định những gì cần phải làm để ngăn chặn những vấn đề rủi ro xảy ra. Đến nay, ISO 27001 đã trở thành tiêu chuẩn bảo mật thông tin phổ biến nhất trên toàn thế giới. .jpg) Cấu trúc của Tiêu chuẩn ISO/IEC 27001 được chia thành 11 phần gồm 10 Điều khoản và 01 Phụ lục A. Bắt đầu từ Điều 1 đến Điều 3 là phần giới thiệu, từ Điều 4 đến Điều 10 là các yêu cầu bắt buộc của ISO phải được thực hiện trong một tổ chức đạt được chứng nhận tiêu chuẩn ISO 27001. Ngoài ra, Phụ lục A của bộ tài liệu bao gồm các biện pháp kiểm soát về khả năng áp dụng của tổ chức, doanh nghiệp. Cụ thể cấu trúc của Tiêu chuẩn ISO 27001:2013 bao gồm: 1. Mục giới thiệu Mục giới thiệu nêu lên mục đích của ISO 27001, lợi ích của ISO 27001 và giới thiệu về khả năng tương thích của ISO 27001 với các tiêu chuẩn quản lý khác. Mục giới thiệu bao gồm: Điều khoản 1: Phạm vi ( đối tượng và phạm vi áp dụng của tiêu chuẩn) Điều khoản 2: Tham chiếu tiêu chuẩn (các thuật ngữ và định nghĩa mới được đưa ra) Điều khoản 3: Điều khoản và định nghĩa (giải thích về từ ngữ, định nghĩa và các nội dung liên quan tới thuật ngữ) 2. Các điều khoản bắt buộc (đều là các phần của giai đoạn Kế hoạch trong chu trình PDCA) Điều khoản 4: Bối cảnh của tổ chức Doanh nghiệp cần xác định các yêu cầu để hiểu các vấn đề bên ngoài và bên trong, các bên quan tâm và các yêu cầu của họ. Sau đó từ việc phân tích này, Doanh nghiệp xác định phạm vi của Hệ thống An toàn Thông tin. Điều khoản 5: Lãnh đạo Doanh nghiệp cần xác định trách nhiệm quản lý của lãnh đạo, đặt vai trò và cũng như nội dung của chính sách bảo mật thông tin từ lãnh đạo cao nhất. Điều khoản 6: Lập kế hoạch Doanh nghiệp cần xác định các yêu cầu đánh giá rủi ro, xử lý rủi ro, tuyên bố về khả năng áp dụng, kế hoạch xử lý rủi ro và đặt ra các mục tiêu bảo mật thông tin. Điều khoản 7: Hỗ trợ Điều khoản quy định Doanh nghiệp cần phải xác định các yêu cầu về tính sẵn có của nguồn lực, năng lực nhận sự, nhận thức, trao đổi thông tin và kiểm soát tài liệu và hồ sơ. Điều khoản 8: Hoạt động Doanh nghiệp xác định việc thực hiện đánh giá và xử lý rủi ro, đồng thời kiểm soát và thực hiện các quy trình cần thiết để đạt được các mục tiêu bảo mật thông tin. Điều khoản 9: Đánh giá hiệu suất Doanh nghiệp cần xác định các yêu cầu để theo dõi, đo lường, phân tích, đánh giá, kiểm toán nội bộ và xem xét quản lý. Mục 10: Cải tiến Doanh nghiệp cần xay dựng các yêu cầu cho kiểm soát sự không phù hợp, thực hiện khắc phục, hành động phòng ngừa và cải tiến liên tục. 3. Phụ lục A Phụ lục này cung cấp một danh mục gồm 114 biện pháp bảo vệ được đặt trong 14 phần (phần A.5 đến A.18). Trong phần 8.2 của tiêu chuẩn ISO 27001, yêu cầu tổ chức thực hiện đánh giá rủi ro bảo mật thông tin một cách thường xuyên hoặc khi có những thay đổi quan trọng được đề xuất hoặc xảy ra. Điều này có nghĩa là tổ chức nên xác định các rủi ro tiềm ẩn có thể ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính sẵn có của các tài sản thông tin của mình, đồng thời đánh giá khả năng xảy ra và tác động tiềm tàng của những rủi ro này. Các tiêu chí được thiết lập trong phần 6.1.2 a) cần được tính đến khi thực hiện các đánh giá rủi ro này. Các tiêu chí này bao gồm các yêu cầu pháp lý, quy định và hợp đồng, cũng như các chính sách, mục tiêu và hoạt động của tổ chức. Kết quả đánh giá rủi ro an toàn thông tin phải được lập thành văn bản và lưu giữ dưới dạng thông tin dạng văn bản. Điều này là cần thiết để cung cấp bằng chứng rằng tổ chức đã tiến hành đánh giá rủi ro và đã xác định các rủi ro tiềm ẩn và các biện pháp kiểm soát thích hợp để giảm thiểu chúng. Thông tin dạng văn bản phải bao gồm phạm vi và phương pháp đánh giá rủi ro, các rủi ro đã xác định, phân tích và đánh giá các rủi ro này cũng như các quyết định về xử lý và kiểm soát rủi ro. Nhìn chung, phần này nhấn mạnh tầm quan trọng của việc thường xuyên đánh giá rủi ro bảo mật thông tin và ghi lại kết quả của những đánh giá này để đảm bảo rằng tài sản thông tin của tổ chức được bảo vệ đầy đủ. 7 Created on Tháng Ba 02, 2023 By le vantam Quiz 8.2 Đánh giá rủi ro an toàn thông tin ISO/IEC 27001:2022 Quiz 8.2 Đánh giá rủi ro an toàn thông tin ISO/IEC 27001:2022 1 / 4 8.2 Mục đích của xử lý rủi ro là gì? Để loại bỏ mọi rủi ro đối với thông tin Để thực hiện kiểm soát an ninh để giảm khả năng và tác động của rủi ro được xác định Chuyển giao mọi rủi ro cho bên thứ ba 2 / 4 8.2 Sự khác biệt giữa rủi ro còn lại và rủi ro cố hữu là gì? Rủi ro còn lại là rủi ro còn lại sau khi triển khai các biện pháp kiểm soát bảo mật, trong khi rủi ro cố hữu là rủi ro trước khi triển khai các biện pháp kiểm soát bảo mật. Rủi ro còn lại là rủi ro trước khi triển khai các biện pháp kiểm soát bảo mật, trong khi rủi ro cố hữu là rủi ro còn lại sau khi triển khai các biện pháp kiểm soát bảo mật. Rủi ro còn lại là rủi ro còn lại sau khi tiến hành đánh giá rủi ro, trong khi rủi ro cố hữu là rủi ro được xác định trong quá trình đánh giá rủi ro. 3 / 4 8.2 Sự khác biệt giữa mối đe dọa và lỗ hổng là gì? Mối đe dọa là một sự kiện tiềm ẩn có thể khai thác lỗ hổng, trong khi lỗ hổng là điểm yếu có thể bị khai thác bởi một mối đe dọa. Mối đe dọa là một điểm yếu có thể bị kẻ tấn công khai thác, trong khi lỗ hổng là một sự kiện tiềm ẩn có thể gây hại cho thông tin. Mối đe dọa là một sự kiện tiềm ẩn có thể gây hại cho thông tin, trong khi lỗ hổng bảo mật là điểm yếu có thể bị kẻ tấn công khai thác. 4 / 4 8.2 Các bước liên quan đến đánh giá rủi ro an toàn thông tin là gì? Nhận dạng rủi ro, phân tích rủi ro, đánh giá rủi ro và xử lý rủi ro Quản lý rủi ro, giám sát rủi ro, ứng phó rủi ro và báo cáo rủi ro Giảm thiểu rủi ro, chấp nhận rủi ro, tránh rủi ro và chuyển giao rủi ro Your score is The average score is 57% Có gì khác nhau giữa điều khoản 6.1.2 Đánh giá rủi ro bảo mật thông tin và 8.2 Đánh giá rủi ro bảo mật thông tin?Điều khoản 6.1.2 là một yêu cầu chung quy định các tiêu chí cần được tính đến khi tiến hành đánh giá rủi ro an toàn thông tin. Nó bao gồm xác định phạm vi và ranh giới của đánh giá rủi ro, xác định và đánh giá rủi ro, và xác định tiêu chí chấp nhận rủi ro. Mặt khác, Điều khoản 8.2 chỉ định yêu cầu đối với tổ chức để thực hiện đánh giá rủi ro an toàn thông tin theo các khoảng thời gian đã lên kế hoạch hoặc khi các thay đổi quan trọng được đề xuất hoặc xảy ra. Điều khoản này yêu cầu tổ chức tính đến các tiêu chí được thiết lập trong Điều khoản 6.1.2 a) khi tiến hành đánh giá rủi ro và lưu giữ thông tin dạng văn bản về kết quả đánh giá. Tóm lại, trong khi Điều 6.1.2 cung cấp hướng dẫn về cách tiến hành đánh giá rủi ro an toàn thông tin, thì Điều 8.2 yêu cầu tổ chức thực hiện các đánh giá này theo các khoảng thời gian đã hoạch định hoặc khi các thay đổi quan trọng được đề xuất hoặc xảy ra và lưu giữ thông tin tài liệu về kết quả. |
