ISO/IEC 27003:2017 về Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Hướng dẫn

ISO/IEC 27003:2017 về Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Hướng dẫn

ISO/IEC 27003:2017 cung cấp giải thích và hướng dẫn về ISO/IEC 27001:2013. Để hiểu rõ hơn về tiêu chuẩn này, hãy tham khảo bài viết dưới đây của chúng tôi.

Tiêu chuẩn ISO/IEC 27003:2017

Giới thiệu

ISO/IEC 27003:2017 cung cấp hướng dẫn về các yêu cầu đối với hệ thống quản lý an toàn thông tin (ISMS) như được quy định trong ISO / IEC 27001 và đưa ra các khuyến nghị (‘nên’), khả năng (‘có thể’) và quyền (‘có thể’) liên quan đến chúng. Tài liệu này không có ý định cung cấp hướng dẫn chung về tất cả các khía cạnh của an toàn thông tin.

Các điều từ 4 đến 10 của tài liệu này phản ánh cấu trúc của ISO / IEC 27001: 2013.

Tài liệu này không bổ sung bất kỳ yêu cầu mới nào đối với ISMS cũng như các thuật ngữ và định nghĩa liên quan của nó. Các tổ chức nên tham khảo ISO / IEC 27001 và ISO / IEC 27000 để biết các yêu cầu và định nghĩa. Các tổ chức triển khai ISMS không có nghĩa vụ phải tuân theo hướng dẫn trong tài liệu này.

ISMS nhấn mạnh tầm quan trọng của các giai đoạn sau:

- hiểu nhu cầu của tổ chức và sự cần thiết của việc thiết lập chính sách an toàn thông tin và các mục tiêu an toàn thông tin;

- đánh giá rủi ro của tổ chức liên quan đến an toàn thông tin;

- thực hiện và vận hành các quy trình, kiểm soát an toàn thông tin và các biện pháp khác để xử lý rủi ro;

- giám sát và xem xét việc thực hiện và hiệu quả của ISMS; và

- thực hành cải tiến liên tục.

ISMS, tương tự như bất kỳ loại hệ thống quản lý nào khác, bao gồm các thành phần chính sau:

a) chính sách;

b) những người có trách nhiệm xác định;

c) các quá trình quản lý liên quan đến:

1) thiết lập chính sách;

2) nhận thức và cung cấp năng lực;

3) lập kế hoạch;

4) thực hiện;

5) hoạt động;

6) đánh giá hoạt động;

7) xem xét của quản lý; và

8) cải tiến; và

d) thông tin dạng văn bản.

ISMS có các thành phần chính bổ sung như:

e) đánh giá rủi ro an toàn thông tin; và

f) xử lý rủi ro an toàn thông tin, bao gồm xác định và thực hiện các biện pháp kiểm soát.

Tài liệu này là chung và nhằm áp dụng cho tất cả các tổ chức, bất kể loại hình, quy mô hay tính chất. Tổ chức phải xác định phần nào của hướng dẫn này áp dụng cho nó phù hợp với bối cảnh tổ chức cụ thể của mình (xem ISO / IEC 27001: 2013, Điều 4).

Ví dụ, một số hướng dẫn có thể phù hợp hơn với các tổ chức lớn, nhưng đối với các tổ chức rất nhỏ (ví dụ với ít hơn 10 người) một số hướng dẫn có thể không cần thiết hoặc không phù hợp.

Các mô tả của Khoản 4 đến Khoản 10 được cấu trúc như sau:

- Hoạt động bắt buộc: trình bày các hoạt động chính được yêu cầu trong điều khoản phụ tương ứng của ISO / IEC 27001;

- Giải thích: giải thích các yêu cầu của ISO / IEC 27001 ngụ ý gì;

- Hướng dẫn: cung cấp thông tin chi tiết hơn hoặc hỗ trợ để thực hiện “hoạt động bắt buộc” bao gồm các ví dụ để thực hiện; và

- Thông tin khác: cung cấp thêm thông tin có thể được xem xét.

ISO/IEC 27003, ISO/IEC 27004 và ISO/IEC 27005 tạo thành một bộ tài liệu hỗ trợ và cung cấp hướng dẫn về ISO / IEC 27001: 2013. Trong số các tài liệu này, ISO / IEC 27003 là tài liệu cơ bản và toàn diện cung cấp hướng dẫn cho tất cả các yêu cầu của ISO / IEC 27001, nhưng nó không có các mô tả chi tiết liên quan đến “giám sát, đo lường, phân tích và đánh giá” và quản lý rủi ro an toàn thông tin. ISO / IEC 27004 và ISO / IEC 27005 tập trung vào các nội dung cụ thể và đưa ra hướng dẫn chi tiết hơn về “giám sát, đo lường, phân tích và đánh giá” và quản lý rủi ro an toàn thông tin.

Có một số tham chiếu rõ ràng đến thông tin dạng văn bản trong ISO / IEC 27001. Tuy nhiên, một tổ chức có thể lưu giữ thông tin dạng văn bản bổ sung mà tổ chức xác định là cần thiết đối với tính hiệu quả của hệ thống quản lý của mình như một phần của phản ứng với ISO / IEC 27001: 2013, 7.5. 1 b). Trong những trường hợp này, tài liệu này sử dụng cụm từ “Thông tin dạng văn bản về hoạt động này và kết quả của nó chỉ là bắt buộc dưới hình thức và trong phạm vi mà tổ chức xác định là cần thiết đối với tính hiệu quả của hệ thống quản lý của mình (xem ISO / IEC 27001: 2013, 7.5.1 b)).

Phạm vi

Tiêu chuẩn ISO/IEC 27003:2017 cung cấp giải thích và hướng dẫn về ISO / IEC 27001: 2013.

Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

ISO / IEC 27000: 2016, Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

ISO / IEC 27001: 2013, Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu

Thuật ngữ và định nghĩa

Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa được đưa ra trong ISO / IEC 27000:2016 được áp dụng.

Xem preview tiêu chuẩn ISO/IEC 27003:2017

Download tài liệu ISO/IEC 27003:2017 miễn phí tại đây!

Để xem được bản full ISO/IEC 27003:2017, quý khách có thể đăng ký mua bản full tiêu chuẩn thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và chính xác nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây hoặc qua hotline 0976 389 199. ISOCERT rất hân hạnh được đồng hành cùng doanh nghiệp trong sự nghiệp nâng cao chất lượng sản phẩm hàng hóa vì lợi ích quốc gia. 

 

Bài viết liên quan