ISO / IEC 27002: 2013 Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành quản lý an toàn thông tin

Tiêu chuẩn ISO 27002:2013 là gì?

ISO/IEC 27002:2013 là tiêu chuẩn được quốc tế công nhận, được xuất bản vào tháng 10 năm 2013, phiên bản mới nhất của ISO 27002. Tiêu chuẩn này được thiết kế cho các tổ chức sử dụng làm tài liệu tham khảo để thực hiện và quản lý các biện pháp kiểm soát an toàn thông tin. Tiêu chuẩn này được thiết kế để sử dụng cùng với ISO 27001, cung cấp hướng dẫn để thiết lập và duy trì hệ thống quản lý an toàn thông tin. Nhiều tổ chức sử dụng kết hợp ISO 27001 và 27002 làm khuôn khổ để thể hiện sự tuân thủ các quy định trong đó các yêu cầu chi tiết không được cung cấp.

Chứng nhận ISO 27002:2013 là gì?

Chứng nhận ISO 27002:2013 là việc một tổ chức chứng nhận (bên thứ 3) đánh giá một doanh nghiệp hoặc một tổ chức áp hệ thống quản lý an toàn thông tin theo các điều khoản của tiêu chuẩn ISO 27002:2013. Nếu doanh nghiệp áp dụng hệ thống quản lý an toàn thông tin phù hợp theo các điều khoản của ISO 27002 thì tổ chức chứng nhận sẽ tiến hành cấp giấy chứng nhận ISO 27002. 

Mối quan hệ với ISO / IEC 27001

Hệ thống quản lý an toàn thông tin được ISO / IEC 27001 chính thức xác định sử dụng bản tóm tắt của ISO / IEC 27002 trong Phụ lục A để đề xuất các biện pháp kiểm soát an toàn thông tin tiềm năng đáng được xem xét. Tuy nhiên, các tổ chức có thể tự do lựa chọn và triển khai các biện pháp kiểm soát khác khi họ thấy phù hợp. Trên thực tế, hầu hết các tổ chức áp dụng ISO / IEC 27001 cũng sử dụng ISO / IEC 27002 làm khuôn khổ hoặc điểm khởi đầu cho các kiểm soát, thực hiện các thay đổi khác nhau khi cần thiết để phù hợp với các yêu cầu xử lý rủi ro thông tin của tổ chức. 

Nội dung tiêu chuẩn ISO/IEC 27002:2013

Nội dung tiêu chuẩn ISO/IEC 27002:2013 bao gồm 114 biện pháp kiểm soát nhóm lại trong 35 phân loại, thuộc 14 điều khoản, mỗi điều khoản đó được mở rộng trong các Điều 5 - 18 của ISO 27002:

• Điều 5 - Chính sách bảo mật thông tin: Bảo mật thông tin cần được chỉ đạo từ cấp cao nhất của tổ chức và các chính sách phải được thông báo rõ ràng cho tất cả nhân viên.
• Điều 6 - Tổ chức an ninh thông tin: Khung quản lý phải hỗ trợ các hoạt động bảo mật thông tin của tổ chức, cả tại chỗ và ngoài cơ sở.
• Điều 7 - Nhân sự an ninh: Nhân viên và nhà thầu nên nhận thức được vai trò của họ trong việc bảo vệ thông tin của tổ chức cả trước và trong khi tuyển dụng. Thông tin của tổ chức cũng cần được bảo vệ.
• Điều 8 - Quản lý tài sản: Các tổ chức nên xác định các tài sản vật chất và thông tin của mình và xác định mức độ bảo vệ thích hợp cần thiết cho mỗi tài sản.
• Điều 9 - Kiểm soát truy cập: Việc tiếp cận thông tin và các phương tiện xử lý thông tin nên được hạn chế để ngăn chặn người dùng truy cập trái phép. Người dùng phải có trách nhiệm bảo vệ thông tin xác thực của họ, chẳng hạn như mật khẩu.
• Điều 10 - Mật mã học: Các chính sách về mật mã và việc sử dụng các khóa mật mã cần được phát triển và thực hiện để bảo vệ tính bí mật, tính toàn vẹn và / hoặc tính sẵn có của thông tin.
• Điều 11 - An ninh vật lý và môi trường: Các biện pháp kiểm soát cần được áp dụng để ngăn chặn việc truy cập vật lý trái phép, làm hỏng và can thiệp vào các cơ sở xử lý thông tin.
• Điều 12 - Bảo mật hoạt động: Thông tin và các phương tiện xử lý thông tin cần được bảo vệ khỏi phần mềm độc hại, mất dữ liệu và khai thác các lỗ hổng kỹ thuật.
• Điều 13- Bảo mật thông tin liên lạc: Thông tin cần được bảo vệ trong các mạng và khi nó được truyền đi, cả trong tổ chức và bên ngoài.
• Điều 14 - Mua lại, phát triển và bảo trì hệ thống thông tin: Bảo mật thông tin phải được thiết kế và thực hiện trong suốt vòng đời của hệ thống thông tin. Dữ liệu thử nghiệm cũng cần được bảo vệ.
• Điều 15 - Mối quan hệ với nhà cung cấp: Bất kỳ tài sản thông tin nào của tổ chức mà các nhà cung cấp có thể truy cập phải được bảo vệ một cách thích hợp.
• Điều 16 - Quản lý sự cố an toàn thông tin: Sự cố an toàn thông tin cần được xử lý nhất quán và hiệu quả.
• Điều 17 - Các khía cạnh bảo mật thông tin của quản lý kinh doanh liên tục: Tính liên tục về bảo mật thông tin phải được đưa vào thực tiễn quản lý tính liên tục trong kinh doanh của tổ chức.
• Điều 18 - Tuân thủ: Thông tin cần được bảo vệ để đáp ứng các nghĩa vụ pháp lý, luật định, quy định và hợp đồng cũng như phù hợp với các chính sách và thủ tục của tổ chức.

Lợi ích của ISO 27002:2013 đối với tổ chức?

Những lợi thế do chứng nhận ISO 27002 mang lại là đại diện cho các công ty, chủ yếu là vì chúng được công nhận trên toàn thế giới. Biết một số lợi ích liên quan đến việc áp dụng tiêu chuẩn:

• Nhận thức tốt hơn về an toàn thông tin;
• Kiểm soát tốt hơn các tài sản và thông tin nhạy cảm;
• Cung cấp cách tiếp cận để thực hiện các chính sách kiểm soát;
• Cơ hội để xác định và sửa chữa những điểm yếu;
• Giảm rủi ro trách nhiệm do không triển khai ISMS hoặc xác định các chính sách và thủ tục;
• Tổ chức tốt hơn với các quy trình và cơ chế được thiết kế và quản lý tốt;
• Thúc đẩy giảm chi phí với phòng ngừa các sự cố an toàn thông tin;
• Tuân thủ pháp luật và các quy định khác.

Các bước để đạt chứng nhận ISO 27002

Để được chứng nhận ISO 27002 không nhất thiết phải phức tạp hoặc quá tốn kém. Nó cần thời gian, nỗ lực và sự hỗ trợ của (các) quản lý cấp cao. Bạn cũng cần chú ý đến các chi tiết và tài liệu và biểu mẫu thích hợp.

• Bước 1: Đăng ký chứng nhận ISO 27002
• Bước 2: Xem xét hợp đồng và chuẩn bị đánh giá 
• Bước 3: Đánh giá giai đoạn 1
• Bước 4: Đánh giá giai đoạn 2 
• Bước 5: Thẩm xét hồ sơ 
• Bước 6: Cấp giấy chứng nhận ISO 27002 
• Bước 7: Đánh giá giám sát định kỳ
• Bước 8: Đánh giá chứng nhận lại (Trước 2 tháng hết hiệu lực)

Bằng việc đăng ký chứng nhận ISO 27002 tại ISOCERT theo hotline: 0976.389.199 hoặc email: contacts@isocert.org.vn, doanh nghiệp bạn sẽ nhận được:

✅ Giấy chứng nhận ISO 27002 hợp pháp sau khi chuyên gia của chúng tôi đánh giá ISMS của doanh nghiệp bạn phù hợp với ISO 27002.

✅ Dịch vụ chứng nhận uy tín, chuyên nghiệp bởi các chuyên gia giàu kinh nghiệm của chúng tôi cũng như đội ngũ support nhiệt tình, tận tâm.