Tổng quan

Tiêu chuẩn ISO / IEC 27007:2020

Giới thiệu

Đánh giá hệ thống quản lý an toàn thông tin (ISMS) có thể được tiến hành dựa trên một loạt các tiêu chí đánh giá, riêng biệt hoặc kết hợp, bao gồm nhưng không giới hạn ở:

- các yêu cầu được xác định trong ISO / IEC 27001: 2013;
- các chính sách và yêu cầu do các bên quan tâm có liên quan quy định;
- các yêu cầu luật định và chế định;
- Các quy trình và kiểm soát ISMS do tổ chức hoặc các bên khác xác định;
- (các) kế hoạch hệ thống quản lý liên quan đến việc cung cấp các đầu ra cụ thể của ISMS (ví dụ: kế hoạch giải quyết các rủi ro và cơ hội khi thiết lập ISMS, kế hoạch đạt được các mục tiêu an toàn thông tin, kế hoạch xử lý rủi ro, kế hoạch dự án).

Tài liệu này cung cấp hướng dẫn cho tất cả các quy mô và loại hình tổ chức cũng như các cuộc đánh giá ISMS ở các phạm vi và quy mô khác nhau, bao gồm cả những cuộc đánh giá do các nhóm đánh giá lớn, thường là của các tổ chức lớn hơn thực hiện và các cuộc đánh giá của các đánh giá viên đơn lẻ, cho dù trong các tổ chức lớn hay nhỏ. Hướng dẫn này cần được điều chỉnh sao cho phù hợp với phạm vi, mức độ phức tạp và quy mô của chương trình đánh giá ISMS.

Tài liệu này tập trung vào các cuộc đánh giá nội bộ ISMS (bên thứ nhất) và các cuộc đánh giá ISMS do các tổ chức thực hiện với các nhà cung cấp bên ngoài của họ và các bên quan tâm bên ngoài khác (bên thứ hai). Tài liệu này cũng có thể hữu ích cho các cuộc đánh giá bên ngoài ISMS được thực hiện cho các mục đích khác ngoài chứng nhận hệ thống quản lý của bên thứ ba. ISO / IEC 27006 cung cấp các yêu cầu để đánh giá ISMS đối với chứng nhận của bên thứ ba; tài liệu này có thể cung cấp hướng dẫn bổ sung hữu ích.

Tài liệu này sẽ được sử dụng cùng với hướng dẫn trong ISO 19011: 2018.

Tài liệu này tuân theo cấu trúc của ISO 19011: 2018.

ISO 19011: 2018 cung cấp hướng dẫn về việc quản lý các chương trình đánh giá, việc tiến hành các cuộc đánh giá nội bộ hoặc bên ngoài đối với hệ thống quản lý, cũng như về năng lực và đánh giá của các chuyên gia đánh giá hệ thống quản lý.

Phụ lục A cung cấp hướng dẫn thực hành đánh giá ISMS cùng với các yêu cầu của ISO / IEC 27001: 2013, các Điều từ 4 đến 10.

1 Phạm vi

Tài liệu này cung cấp hướng dẫn về quản lý chương trình đánh giá hệ thống quản lý an toàn thông tin (ISMS), về thực hiện đánh giá và năng lực của đánh giá viên ISMS, ngoài hướng dẫn có trong ISO 19011.

Tài liệu này có thể áp dụng cho những người cần hiểu hoặc thực hiện các cuộc đánh giá nội bộ hoặc bên ngoài của một ISMS hoặc để quản lý một chương trình đánh giá ISMS.

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO 19011: 2018 Hướng dẫn hệ thống quản lý đánh giá
• ISO / IEC 27000:2018 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

Xem Preview Tiêu chuẩn ISO / IEC 27007:2020

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.