Bắt đầu ISO 27001:2013 cho doanh nghiệp

1. ISO 27001:2013 là gì?

ISO 27001:2013 - Hệ thống Quản lý An toàn Thông tin (ISMS) là tiêu chuẩn quốc tế giúp doanh nghiệp xây dựng, thiết lập, vận hành, áp dụng vào hệ thống thông tin để đảm bảo an toàn thông tin tuyệt mật trong nội bộ doanh nghiệp cũng như phòng tránh các trường hợp dữ liệu bị đánh cắp bất hợp pháp.

ISO 27001:2013 có thể được áp dụng cho mọi doanh nghiệp không phân biệt lĩnh vực, quy mô, nhưng đặc biệt cần thiết cho doanh nghiệp về công nghệ thông tin, thương mại điện tử, viễn thông, tài chính, ngân hàng. Hiện ISO 27001 đã trở thành tiêu chuẩn bảo mật thông tin phổ biến nhất trên thế giới.

2. Chứng nhận ISO 27001:2013 là gì?

Chứng nhận ISO 27001:2013 được một tổ chức chứng nhận (đánh giá bên thứ 3) đánh giá và cấp cho doanh nghiệp Giấy chứng nhận ISO 27001:2013.

3. Doanh nghiệp mới bắt đầu với ISO 27001:2013 như thế nào?

ISO 27001:2013 là tiêu chuẩn phổ biến nhất trên thế giới về an toàn thông tin và được áp dụng hầu hết trong các tổ chức/doanh nghiệp, trong hầu hết các lĩnh vực. ISO 27001 đang trở thành chuẩn mực của bất kỳ tổ chức/doanh nghiệp nào có mục tiêu hướng đến phát triển lâu dài và bền vững. 

Doanh nghiệp hoàn toàn có thể tự nghiên cứu, triển khai và áp dụng Hệ thống Quản lý An toàn Thông tin ISO 27001:2013 vào tổ chức mình mà không cần phải tìm bên nào tư vấn, tuy nhiên vì đây là hệ thống tiêu chuẩn quốc tế, doanh nghiệp có thể sẽ gặp khó khăn vì lượng kiến thức quá tải hay thuật ngữ khó hiểu. Đặc biệt, nếu tìm hiểu và nhận thức chưa đúng sẽ lạc hướng, khi ứng dụng vào tổ chức sẽ không mang lại hiệu quả như mong muốn mà còn có nguy cơ gây thiệt hại nặng nề, thậm chí gây khó khăn khi tiến hành xin cấp giấy chứng ISO 27001.

Doanh nghiệp nên bắt đầu ISO 27001:2013 với các khóa đào tạo của ISOCERT - Tổ chức Chứng nhận và Giám định ISOCERT là tổ chức được chỉ định bởi Tổng cục Tiêu chuẩn Đo lường Chất lượng - Bộ Khoa học và Công nghệ. ISOCERT đang thực hiện các dịch vụ về chứng nhận ISO 27001:2013 và các loại chứng nhận ISO khác.

Khóa đào tạo nhận thức chung về ISO 27001:2013:

• Khóa học ISO 27001:2013 cho doanh nghiệp mới bắt đầu.
• Khóa đào tạo Chuyên gia đánh giá trưởng Hệ thống Quản lý An toàn Thông tin ISO 27001:2013.
• Khóa đào tạo kỹ năng thực hành, áp dụng Hệ thống Quản lý An toàn Thông tin ISO 27001:2013.
• Khóa đào tạo Chuyên gia đánh giá nội bộ Hệ thống Quản lý An toàn Thông tin ISO 27001:2013.

Các khóa học được thiết kế phù hợp với tổ chức/doanh nghiệp ở mọi quy mô, lĩnh vực khi mới bắt đầu tiếp cận với Hệ thống Quản lý An toàn Thông tin ISO 27001:2013, giúp tháo gỡ những thắc mắc, giúp doanh nghiệp vận hành và quản lý hệ thống ISO 27001 hiệu quả và tối ưu nhất.

Hình thức đào tạo linh động: 

• Trực tiếp tại doanh nghiệp.
• Học tại trung tâm của ISOCERT.
• Trực tuyến hoặc online. 

4. Hướng dẫn doanh nghiệp tự áp dụng ISO 27001:2013

Doanh nghiệp muốn tự thực hiện áp dụng ISO 27001:2013 có thể tham khảo các bước cơ bản như sau:

Bước 1: Thành lập Ban ISO

• Doanh nghiệp cần phải thành lập một ban ISO - là trung tâm điều phối và kiểm soát toàn bộ hoạt động của Hệ thống Quản lý An toàn Thông tin.
• Chỉ định một đại diện lãnh đạo để dẫn dắt toàn đội đi đúng hướng và đạt thành công.

Bước 2: Thiết lập kế hoạch xây dựng hệ thống theo ISO 27001

Kế hoạch ISO 27001 cần được xây dựng trên cơ sở bối cảnh thực tế của doanh nghiệp. Cụ thể:

• Định hướng cho các hoạt động của Hệ thống An toàn Thông tin.
• Xác định mục tiêu và phạm vi áp dụng để hỗ trợ cho các hoạt động quản lý đem lại lợi ích thiết thực cho doanh nghiệp.
• Đánh giá thực trạng và so sánh với các yêu cầu của tiêu chuẩn ISO 27001, thay đổi hoặc bổ sung để hệ thống phù hợp với yêu cầu của tiêu chuẩn ISO 27001.

Bước 3: Thông báo và đào tạo trong nội bộ doanh nghiệp

• Ban ISO cần thông báo với mọi nhân sự về kế hoạch áp dụng ISO 27001.
• Tiến hành đào tạo nâng cao nhận thức về Hệ thống An toàn Thông tin ISO 27001 cho mỗi cá nhân doanh nghiệp hiểu được vai trò, quyền hạn và trách nhiệm của mình trong việc tuân thủ.
• Xây dựng hệ thống tài liệu đào tạo, giáo dục kỹ năng và kinh nghiệm được thu thập để cung cấp các bằng chứng về năng lực, cũng như hiệu suất hoạt động.

Bước 4: Thiết lập hệ thống tài liệu an toàn thông tin  theo ISO 27001

Xây dựng và hoàn thiện tài liệu theo yêu cầu của tiêu chuẩn như: sổ tay chất lượng, thành lập văn bản tất cả các quá trình và thủ tục liên quan, xây dựng các hướng dẫn công việc, quy chế, quy định cần thiết.

Bước 5: Triển khai Hệ thống An toàn Thông tin theo kế hoạch ISO 27001

• Các bộ phận, phòng ban trong doanh nghiệp cần triển khai hệ thống theo các quy trình ISO 27001 được lập kế hoạch trước đó.
• Trong quá trình vận hành, đội ISO phải thường xuyên theo dõi, kiểm soát.
• Thông báo cho các bên liên quan khi có bất kỳ thay đổi nào để đảm bảo hệ thống hoạt động trơn tru, suôn sẻ.

Bước 6: Đánh giá nội bộ hệ thống ISO 27001

• Đánh giá định kỳ để xác nhận hiệu quả hoạt động của Hệ thống An toàn Thông tin ISO 27001 trong thực tế. 
• Đánh giá nội bộ cần được thiết lập với lịch trình cụ thể và phân công rõ ràng.
• Mỗi hạng mục đánh giá, giám sát, doanh nghiệp phải thiết lập rõ về các chỉ tiêu dùng để đánh giá và phương thức đánh giá phù hợp đảm bảo.

Bước 7:  Đăng ký chứng nhận ISO 27001 với tổ chức được chỉ định

ISOCERT được Bộ Khoa học và Công nghệ chỉ định. Lưu ý: Hiện Việt Nam chưa có nhiều tổ chức được chứng nhận ISO 27001:2013, doanh nghiệp nên cân nhắc và cẩn thận tìm hiểu thông tin trước khi lựa chọn đơn vị cấp chứng nhận.

>>>Cộng đồng nhận xét gì về ISOCERT:  VTV; Vnexpress; Dantri; Cafef; Vietnamnet; Hà Nội mới...

5. Danh mục tài liệu bắt buộc theo tiêu chuẩn ISO 27001:2013

• Phạm vi áp dụng của hệ thống quản lý an toàn thông tin.

• Mục tiêu và chính sách an toàn thông tin.

• Quy trình nhận diện, giải quyết rủi ro và cơ hội.

• Quy trình xác định và đánh giá khía cạnh an toàn thông tin.

• Chính sách kiểm soát truy cập.

• Các quy trình vận hành để quản lý CNTT.

• Các nguyên tắc kỹ thuật hệ thống an toàn.

• Chính sách bảo mật của nhà cung cấp.

• Quy trình xác định các yêu cầu của luật và các yêu cầu khác.

• Quy trình kiểm soát việc thực hiện.

• Quy trình chuẩn bị sẵn sàng và đáp ứng với tình trạng khẩn cấp.

Ngoài các tài liệu trên, còn nhiều tài liệu khác không bắt buộc nhưng cần thiết hỗ trợ doanh nghiệp vận hành, nâng cao hiệu quả của Hệ thống Quản lý An toànThông tin.

6. Quy trình cấp chứng nhận ISO 27001:2013

Về quy trình và thủ tục cấp chứng nhận ISO 27001 tùy vào đơn vị thứ 3 doanh nghiệp đăng ký chứng nhận, nhưng cơ bản sẽ được diễn ra theo trình tự như sau: 

• Bước 1: Đăng ký cấp chứng nhận ISO 27001 với tổ chức chứng nhận độc lập thuộc bên thứ 3.
• Bước 2: Chuẩn bị kế hoạch tổ chức cuộc đánh giá. 
• Bước 3: Đánh giá hệ thống giai đoạn 1 (đánh giá sơ bộ nhằm xác định mức độ đáp ứng thực tế của hệ thống so với các yêu cầu của tiêu chuẩn ISO 27001).
• Bước 4: Đánh giá hệ thống giai đoạn 2 (đánh giá chính thức)
• Bước 5: Thẩm xét hồ sơ rồi kết luận về sự phù hợp.
• Bước 6: Cấp chứng nhận ISO 27001 cho doanh nghiệp (hiệu lực 3 năm)
• Bước 7: Đánh giá và giám sát hệ thống 1 năm/lần.
• Bước 8: Tái đăng ký chứng nhận để được cấp chứng chỉ ISO 27001 trước khi chứng chỉ cũ hết hiệu lực. 

>>>Xem thêm: Khóa học ISO 27001:2013 cho doanh nghiệp mới bắt đầu.

                         Dịch vụ cấp chứng nhận ISO 27001:2013 cho doanh nghiệp