Những câu hỏi thường gặp về ISO 27001

Những câu hỏi thường gặp về ISO 27001

ISOCERT giải đáp thắc mắc của doanh nghiệp về ISO 27001

Chuyên đề về các câu hỏi ISO 27001

1. ISO 27001 có tốt cho nhân viên không?

ISOCERT giải đáp:

Không ai muốn bị hack máy tính, bị xóa hoặc lấy cắp thông tin, hoặc bị kiểm soát khả năng sử dụng máy tính. ISO 27001 là quy trình để công ty và cá nhân thực hiện các thực tiễn tốt nhất cung cấp bảo mật CNTT cho hệ thống và mạng của mình.

Trải qua quy trình tuân thủ ISO 27001 là một nỗ lực của nhóm. Nếu ISO diễn ra trong một tổ chức, đó là kết quả của sự hỗ trợ từ nhiều bên liên quan và người giám sát phải hỗ trợ các nỗ lực bảo mật của nhân viên.

Công ty sẽ hiểu được cách thức bảo mật và những rủi ro hiện tại của nó. Sau đó, nó có thể giảm thiểu những rủi ro đó và giảm các sự cố bảo mật CNTT.

Là một nhân viên, bạn hiểu lý do tại sao bạn được yêu cầu thực hiện bảo mật nhất định. Bạn có thể đọc nó trong tài liệu ISO 27001.

Theo nhiều cách, tăng bảo mật máy tính thường được cho là một rắc rối đối với nhân viên. Ai muốn thường xuyên thay đổi mật khẩu phức tạp không? Ngoài ra, một công ty có thể thực hiện bảo mật khiến nó rất hạn chế đối với nhân viên. Ví dụ, ISO 27001 cho phép chính sách Mang thiết bị của riêng bạn (BYOD), nhưng một công ty có thể chọn tuân thủ ISO 27001 bằng cách không cho phép BYOD và hạn chế các ứng dụng cho những ứng dụng được bộ phận CNTT phê duyệt. Đây không phải là lỗi của ISO 27001.

Một chương trình ISO 27001 được thực hiện tốt giống như tập thể dục mỗi ngày. Phải mất thời gian để làm cho nó như một phần của thói quen của bạn. Một khi bạn làm, điều đó là tốt cho bạn và những người đang thực hiện cùng bạn. Bạn thậm chí sẽ rất thích nó sau một thời gian nhìn lại.

Tóm lại, ISO 27001 giúp nhân viên theo các cách sau:

  • Nó sẽ giúp nhân viên học được trách nhiệm lãnh đạo.
  • Chứng nhận ISO 27001 giúp nhân viên tìm hiểu cách thực hiện đánh giá ISMS nội bộ, từ đó giúp bảo vệ thông tin của họ một cách có hệ thống và tiết kiệm chi phí.
  • Với việc áp dụng ISO 27001, các nhân viên có thể trở thành Thạc sĩ về các kỹ thuật cải tiến ISMS.
  • Kiểm soát các mục tiêu và kiểm soát.
  • Tăng độ tin cậy và bảo mật của các hệ thống và thông tin.
  • Cải thiện niềm tin của khách hàng và đối tác kinh doanh sẽ mang lại lợi ích cho nhân viên.
  • Tăng khả năng phục hồi kinh doanh.
  • Khi nhân viên áp dụng tiêu chuẩn bảo mật thông tin ISO 27001, nó đảm bảo rằng bảo mật trở thành một phần của văn hóa công ty và đảm bảo khả năng phục hồi từ các mối đe dọa mạng.
  • ISO 27001 đảm bảo các quy trình được tuân thủ để bảo vệ an ninh thông tin giảm thiểu các mối đe dọa.

2.  Phạm vi ISO 27001 tốt nhất được yêu cầu cho một công ty nhỏ tích hợp hệ thống để đảm bảo rằng ISMS đang bao gồm các dự án của mình (bao gồm thông tin khách hàng)?

ISOCERT giải đáp:

Trả lời 1:

Không chắc chắn làm thế nào để trả lời những câu hỏi này bởi vì tốt nhất phụ thuộc vào yêu cầu của bạn. Bạn đang tối ưu hóa chi phí, thời gian hoặc bảo mật?

Tốt nhất bằng cái gì? Nó giống như yêu cầu khách hàng tốt nhất ... Nhưng tốt nhất bằng cái gì? Doanh thu? Tăng trưởng qua năm?

Hãy để chúng tôi giả định một vài điều trước khi trả lời câu hỏi của bạn.

Giả định 1: Xem xét bạn là một nhà tích hợp hệ thống nhỏ mà bạn muốn tối ưu hóa về chi phí .

Giả định 2: Mọi khách hàng đều yêu cầu tuân thủ ISO 27001.

Giả định 3: Bạn có thông tin khách hàng nhạy cảm về cơ sở hạ tầng bằng bản cam kết bảo mật của công ty bạn.

Giả định 4: Xem xét nhỏ, bạn có một vị trí.

Dựa trên giả định trên,

Khuyến nghị của tôi ban đầu sẽ nhắm mục tiêu cơ sở hạ tầng với thông tin khách hàng. Nó có thể là toàn bộ trung tâm dữ liệu của bạn, máy chủ trong một mạng hoặc chỉ một máy chủ. Nó có thể là cơ sở hạ tầng đám mây của bạn trong cả hai trường hợp đó là phạm vi tôi sẽ bắt đầu.

Phạm vi giới hạn trong thông tin khách hàng sẽ cung cấp cho bạn hai điều

  1. Thiết lập và xác nhận các hoạt động bảo mật của bạn cho bất kỳ cơ sở hạ tầng / người nào chạm vào thông tin của khách hàng. Điều này sẽ mang lại cho khách hàng một số sự tự tin.
  2. Nó sẽ làm giảm chi phí và thời gian của bạn cho việc tuân thủ ISO27001.

Chúc may mắn với dự án ISO 27001. Bạn nên bắt đầu với kế hoạch đánh giá và giảm thiểu rủi ro trước khi bạn bắt đầu chọn các điều khiển ISO. Nếu bạn đang tìm kiếm sự giúp đỡ, chúng tôi có thể giới thiệu một vài khóa đào tạo về ISO 27001 có thể giúp bạn bắt đầu đánh giá rủi ro .

Trả lời 2:

Về cơ bản, bạn vừa xác định phạm vi trong câu hỏi của mình; thông tin dự án của bạn bao gồm thông tin khách hàng. Đó có thể không phải là định nghĩa tốt nhất về phạm vi, nhưng đó là điểm ban đầu của bạn trong việc xây dựng (các) tài liệu xác định đầy đủ hơn (các) phạm vi của những gì nằm trong phạm vi của ISMS và các phương pháp, quy trình và thủ tục của hệ thống.

Nếu bạn đang tìm cách được đánh giá và tuân thủ tiêu chuẩn, bạn sẽ cần xác định quyền truy cập và kiểm soát thông tin đặc quyền theo cách đáp ứng các yêu cầu đánh giá của tiêu chuẩn, ngoài việc đáp ứng nhu cầu và yêu cầu của quy trình kinh doanh của riêng bạn.

Bạn nên có được các tài liệu của tiêu chuẩn và nghiên cứu chúng, không chỉ đơn giản là một cá nhân, mà còn phối hợp với nhân viên công ty sẽ chịu trách nhiệm tuân thủ; Nếu bạn có thể có được một huấn luyện viên/giảng viên để làm việc với bạn, điều này sẽ tốt hơn, và lời khuyên từ một chuyên gia đánh giá ISO giúp đỡ. Nói chung, ISO không cho bạn biết bạn nên làm gì. Trong trường hợp này, ISO không cho bạn biết phạm vi ISMS của bạn nên là gì; Bạn xác định phạm vi. ISO chỉ cho bạn thực hành tốt nhất trong việc thực hiện hệ thống quản lý, bất kể phạm vi.


3. ISO 27001 là gì? Các yêu cầu là gì?

ISOCERT giải đáp:

ISO 27001:2013 là tiêu chuẩn Hệ thống quản lý an toàn thông tin được mô phỏng theo khung SL phụ lục 10 điều khoản (cũng được sử dụng trong ISO 9001:2015, ISO 14001: 2015, v.v.). Ngoài 10 điều khoản chính, còn có một phần gọi là Phụ lục A cung cấp các điều khiển để hỗ trợ bảo vệ thông tin. Tiêu chuẩn bao gồm an ninh vật lý, an ninh kỹ thuật và bảo mật nguồn nhân lực - tức là giải quyết các rủi ro trong hành vi của con người. Các yêu cầu chính bao gồm:

  • Phân tích bối cảnh kinh doanh
  • Kế hoạch đánh giá và điều trị rủi ro
  • Tuyên bố về khả năng áp dụng (đề cập đến Phụ lục A)
  • Xây dựng chính sách và mục tiêu an toàn thông tin
  • Cung cấp nguồn lực, đào tạo nhận thức và bằng chứng về năng lực
  • Cơ chế đánh giá hiệu suất (ví dụ: so với mục tiêu đã đặt ra)
  • Nhiều chính sách/thủ tục khác: kiểm soát truy cập, phân loại, báo cáo sự cố, v.v.

4. Làm thế nào để biết rằng một tổ chức được công nhận để cung cấp đào tạo và chứng nhận ISO 27001 cho các cá nhân?

ISOCERT giải đáp:

Để tự tin rằng một tổ chức đào tạo có đủ điều kiện để cung cấp đào tạo ISO 27001, hãy kiểm tra xem khóa học có được phê duyệt/ chứng nhận bởi CQI IRCA hay không. Các khóa học có thể bao gồm nhận thức về ISO 27001, hướng dẫn cách thức áp dụng vào tổ chức của bạn, chuyên gia đánh giá nội bộ hoặc chuyên gia đánh giá trưởng.


5. ISO 27001 là gì và tại sao nó lại quan trọng như vậy?

ISOCERT giải đáp:

Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) là một cơ quan toàn cầu thu thập và quản lý các tiêu chuẩn khác nhau cho các ngành khác nhau. Trong thế giới ngày nay, với rất nhiều ngành công nghiệp hiện đang phụ thuộc vào internet và mạng kỹ thuật số, ngày càng có nhiều sự nhấn mạnh vào các phần công nghệ của các tiêu chuẩn ISO.

ISO 27001 là một tiêu chuẩn liên quan đến hệ thống quản lý an toàn thông tin của một công ty. Mục tiêu của ISO 27001 là cung cấp một khuôn khổ về cách một tổ chức hiện đại nên quản lý thông tin và dữ liệu của mình.

Các công ty thuộc mọi quy mô đã bắt đầu nhận ra tầm quan trọng của an ninh mạng mạnh mẽ, nhưng chỉ đơn giản là thiết lập một hệ thống bảo mật CNTT tại chỗ là không đủ để đảm bảo tính toàn vẹn dữ liệu. Đây là khi tiêu chuẩn ISO 27001 ra đời và cung cấp cho các tổ chức một khuôn khổ để thực hiện các Hệ thống quản lý an toàn thông tin cần thiết tại chỗ.

Đối với các tổ chức tìm kiếm chứng nhận ISO 27001, Tiêu chuẩn hoạt động như một phần tham chiếu chính được sử dụng để xác định mức độ tuân thủ của họ. Tiêu chuẩn ISO 27001 đặt ra một khuôn khổ bằng cách đưa ra các quy tắc, trách nhiệm và kiểm soát bảo mật thông tin giúp quản lý các hệ thống quản lý an ninh thông tin phức tạp của một công ty.

ISO 27001 rất quan trọng đối với các tổ chức vì:

  1. Nó cung cấp cho tổ chức của bạn một HTQL ATTT vững chắc
  2. Nó xây dựng niềm tin vào khách hàng và các bên liên quan.
  3. Nó cho phép bạn tiến hành kinh doanh quốc tế

Bất kỳ công ty nào xử lý thông tin nhạy cảm sẽ thấy tiêu chuẩn này rất có lợi cho họ. Không nhiều người hoàn toàn hiểu tiêu chuẩn ISO 27001 và do đó mắc sai lầm khi nghĩ về nó như một cam kết CNTT thuần túy. Tuy nhiên, nó là một công cụ có thể được áp dụng cho các khía cạnh khác nhau của một doanh nghiệp và có thể giúp các tổ chức như bạn đạt được lợi ích kinh doanh cụ thể bằng cách đạt được nó.


6. Lộ trình tốt cho một người đã lấy chứng nhận chuyên gia đánh giá trưởng ISO 27001, xem xét thị trường việc làm hiện tại và tương lai là gì?

ISOCERT giải đáp:

Là sự lựa chọn đúng đắn và việc thực hiện nó cũng rất quan trọng. Vì ISO 27001 có nhu cầu rất lớn và một tương lai tươi sáng.

Câu trả lời này sẽ hoàn toàn dựa trên kinh nghiệm và ý kiến cá nhân. Có thể không áp dụng cho bạn nhưng hy vọng điều này sẽ giúp ích.

ISO 27001 là bước đi đúng đắn hướng tới sự nghiệp bảo mật thông tin. Tuy nhiên, đó là một điều rất nhỏ và cơ bản. Những gì bạn cần quyết định là nơi bạn muốn đi từ đây. Theo tôi, có ba lựa chọn:

  1. Quản trị: Nhu cầu công bằng. Cần ít chuyên môn kỹ thuật hơn. Nhiều hơn về tư duy chiến lược và lập kế hoạch. Theo dõi ISO 27001 của bạn với CGEIT, PMP / PRINCE2, ITIL và COBIT5 để bắn lên thang.
  2. Đánh giá: Nhu cầu cao hơn một chút so với quản trị. Cần có thêm một chút bí quyết kỹ thuật. Khả năng phân tích và kỹ năng giao tiếp tốt là điều bắt buộc. CISA, CRISC và ITIL sẽ thúc đẩy bạn đi đúng hướng ở đây.
  3. Thực hiện và khung: Nhu cầu cao. Cao về chuyên môn kỹ thuật. Cần phải giữ cho mình theo kịp tình trạng an ninh mạng hiện tại và các công cụ liên quan. CSX, CISSP, CISM và CCSP sẽ là những cổ tử cung phù hợp để có được ở đây.

Tất cả phụ thuộc vào sở thích và sự trau dồi học tập của bạn để quyết định bạn muốn theo đuổi cái nào. Bản thân tôi đang cố gắng kết hợp thực hiện, phát triển khung và đánh giá. CISSP và CSX là tiếp theo trên radar của tôi vì tôi cảm thấy đây sẽ là cách tốt nhất để đi. Nhưng như tôi đã nói ngay từ đầu, sự lựa chọn của bạn có thể khác nhau.

Cuối cùng, bất cứ điều gì bạn chọn, chỉ cần chắc chắn để cung cấp cho nó tốt nhất và bạn sẽ thành công. Đồng thời nhớ đừng căng thẳng và tận hưởng những thứ khác trong cuộc sống.

Chúc may mắn với bất cứ điều gì bạn chọn. Chúng tôi rất vui có thể giúp đỡ bạn phần nào. Tìm hiểu thêm


7. Sự khác biệt giữa CISA và ISO 27001 là gì?

ISOCERT giải đáp:

Chúng ta hãy thảo luận về sự khác biệt giữa CISA và ISO 27001:

Hai chứng chỉ cá nhân cụ thể (CISA và chuyên gia đánh giá trưởng ISO 27001) và cách chúng có thể được sử dụng cùng nhau để giúp cải thiện hiệu quả của một trong những bước quan trọng nhất trong Hệ thống quản lý an toàn thông tin: đánh giá ISMS.

Chuyên gia đánh giá Hệ thống Thông tin Được Chứng nhận (CISA)

Chuyên gia đánh giá hệ thống thông tin được chứng nhận (CISA) là một trong những chứng nhận được công nhận trên toàn cầu nhất về đánh giá bảo mật thông tin. Các tổ chức tư vấn thích ký hợp đồng với các chuyên gia được chứng nhận CISA để giúp khách hàng dịch vụ.

Các tổ chức lớn và nhỏ thấy mình ở một nhược điểm cạnh tranh nếu họ không thể mô tả mức độ kiểm soát nội bộ mạnh mẽ hơn.

Chứng nhận CISA xác nhận rằng bạn hiểu các nguyên tắc cơ bản của việc thực hiện các khái niệm kiểm toán cho thế giới phức tạp của hệ thống thông tin.

Một hiệp hội phi lợi nhuận, độc lập ủng hộ các chuyên gia tham gia bảo mật, đảm bảo, quản lý rủi ro và quản trị, chỉ định CISA công nhận các chuyên gia đã chứng minh kinh nghiệm, kỹ năng và kiến thức để kiểm toán hệ thống thông tin, xem xét:

  1. quá trình đánh giá hệ thống thông tin
  2. cấu trúc và quy trình quản trị và quản lý CNTT
  3. quá trình tiếp thu, phát triển và triển khai hệ thống thông tin
  4. các hoạt động, bảo trì và hỗ trợ hệ thống thông tin
  5. bảo vệ tài sản thông tin (chính sách, tiêu chuẩn, thủ tục và kiểm soát)

Chuyên gia đánh giá trưởng ISO 27001 được chứng nhận

Chuyên gia đánh giá trưởng ISO 27001 là một chứng nhận được công bố bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) giải thích cách quản lý bảo mật thông tin trong một công ty.

ISO 27001 có thể được thực hiện trong bất kỳ loại tổ chức nào như tư nhân, chính phủ, nhỏ hoặc lớn.

Nó được tạo ra bởi các chuyên gia bảo mật thông tin tốt nhất thế giới, những người đã cung cấp các phương pháp để thực hiện quản lý an toàn thông tin trong một tổ chức.

Chỉ định Chuyên gia đánh giá trưởng ISO 27001 được chứng nhận là một chứng nhận chuyên nghiệp cho các nhà quản lý nhóm kiểm toán làm việc để thực hiện đánh giá của các tổ chức lớn.

Chứng nhận Chuyên gia đánh giá trưởng ISO 27001 đòi hỏi hai năm kinh nghiệm làm việc với tư cách là chuyên gia đánh giá hoặc Chuyên gia đánh giá trưởng. Với chứng nhận ISO 27001, bạn sẽ có quyền kiểm soát toàn bộ hệ thống quản lý rủi ro.

Không được phát hành bởi một thực thể cụ thể, nhưng được yêu cầu bởi các chuyên gia đánh giá làm việc cho các cơ quan chứng nhận như ISOCERT, BSI, SGS, Bureau Veritas, v.v., chứng nhận chuyên gia đánh giá trưởng ISO 27001 công nhận chuyên gia đánh giá chuyên về hệ thống quản lý an toàn thông tin (ISMS) dựa trên tiêu chuẩn ISO/IEC 27001 và ISO/IEC 19011.

Bên cạnh đó, chủ sở hữu chứng nhận này được công nhận là có chuyên môn cần thiết để quản lý một nhóm chuyên gia đánh giá bằng cách áp dụng các nguyên tắc, thủ tục và kỹ thuật đánh giá được công nhận rộng rãi. Cơ quan thiết yếu của chứng nhận này xem xét:

  1. Nguyên tắc và khái niệm cơ bản về an toàn thông tin
  2. Hệ thống quản lý an toàn thông tin (ISMS)
  3. các khái niệm và nguyên tắc đánh giá cơ bản
  4. Quy trình đánh giá ISO 27001 (chuẩn bị, thực hiện và đóng)
  5. Quản lý chương trình đánh giá ISO 27001

Sự tương đồng và khác biệt

Là chứng nhận chuyên gia đánh giá, tất nhiên, cả hai đều yêu cầu kiến thức liên quan đến quy trình đánh giá, cho phép một cá nhân sử dụng hiệu quả tài liệu tham khảo được xác định để đánh giá các quy trình và báo cáo về tình trạng tuân thủ của một tổ chức.

Tại thời điểm này, sự khác biệt giữa hai chứng nhận này là trong khi chuyên gia đánh giá trưởng ISO 27001 tập trung vào tiêu chuẩn ISO 27001, CISA hướng đến các khung CNTT, ví dụ như ITIL và COBIT.

Một sự khác biệt đáng kể khác là trong khi chứng nhận chuyên gia đánh giá trưởng ISO 27001 bao gồm tất cả các quy trình liên quan đến Hệ thống quản lý an toàn thông tin và các kiểm soát trong Phụ lục A của tiêu chuẩn, CISA tập trung nhiều hơn vào các khía cạnh liên quan đến hệ thống thông tin.

Ví dụ, CISA không cung cấp nhiều chi tiết liên quan đến An ninh nguồn nhân lực (Phụ lục A.7 của tiêu chuẩn) hoặc An ninh vật lý (Phụ lục A.11).

Mặt khác, nó cung cấp thông tin chi tiết về các thực tiễn liên quan đến Phụ lục A.6 (Tổ chức bảo mật thông tin), A.8 (Quản lý tài sản), A.12 (Bảo mật hoạt động) và A.14 (Mua lại, phát triển và bảo trì hệ thống).

Nếu bạn đang tự hỏi bắt đầu cuộc hành trình này ở đâu? Sau đó, bạn nên kiểm tra Chứng nhận chuyên gia đánh giá trưởng ISO 27001

Nhưng trước tiên bạn kiểm tra xem có thiện chí trên thị trường hay không và liệu chứng nhận ISO 27001 này có được chấp nhận trên toàn cầu hay không. Kiểm tra đánh giá trước khi nộp đơn.

Do đó, từ thông tin trên, tôi hy vọng bạn có ý tưởng tốt hơn về sự khác biệt giữa CISA và ISO 27001


8. Điều khoản ISO 27001 là gì?

ISOCERT giải đáp:

ISO 27001 là tiêu chuẩn quốc tế cho một ISMS (Hệ thống quản lý an ninh thông tin) xác định thực tiễn tốt nhất. . Điều này cho phép các tổ chức xác định và chọn các biện pháp kiểm soát thích hợp để giải quyết các rủi ro bảo mật thông tin. Những cuộc kiểm tra này được minh họa trong Phụ lục A thường xuyên.

Danh sách kiểm soát ISO 27001: 14 bộ điều khiển của Phụ lục A

Phụ lục A.5 – Chính sách an toàn thông tin (2 kiểm soát)

Phụ lục này được thiết kế để đảm bảo rằng các chính sách được viết và xem xét phù hợp với định hướng chung của các hoạt động bảo mật thông tin của tổ chức.

Phụ lục A.6 – Tổ chức an toàn thông tin (7 kiểm soát)

Phụ lục này bao gồm việc phân công trách nhiệm cho các nhiệm vụ cụ thể. Nó được chia thành hai phần, với Phụ lục A.6.1 đảm bảo rằng tổ chức đã thiết lập một khuôn khổ có thể thực hiện đầy đủ và duy trì các hoạt động bảo mật thông tin trong tổ chức.

Trong khi đó, Phụ lục A.6.2 đề cập đến các thiết bị di động và làm việc từ xa. Nó được thiết kế để đảm bảo rằng bất cứ ai làm việc tại nhà hoặc trên đường đi - bán thời gian hoặc toàn thời gian - tuân theo các thực hành thích hợp.

Phụ lục A.7 – An ninh nguồn nhân lực (6 kiểm soát)

Mục tiêu của Phụ lục A.7 là đảm bảo rằng nhân viên và nhà thầu hiểu được trách nhiệm của họ.

Nó được chia thành ba phần. Phụ lục A.7.1 đề cập đến trách nhiệm của cá nhân trước khi làm việc, Phụ lục A.7.2 bao gồm trách nhiệm của họ trong quá trình làm việc và Phụ lục A.7.3 giải quyết trách nhiệm của họ khi họ không còn giữ vai trò đó - vì họ đã rời khỏi tổ chức hoặc thay đổi vị trí.

Phụ lục A.8 – Quản lý tài sản (10 kiểm soát)

Phụ lục này liên quan đến cách các tổ chức xác định tài sản thông tin và xác định trách nhiệm bảo vệ thích hợp.

Nó bao gồm ba phần. Phụ lục A.8.1 chủ yếu là về các tổ chức xác định tài sản thông tin trong phạm vi của ISMS.

Phụ lục A.8.2 là về phân loại thông tin. Quá trình này đảm bảo rằng các tài sản thông tin phải tuân theo một mức độ phòng thủ thích hợp.

Phụ lục A.8.3 là về xử lý phương tiện truyền thông, đảm bảo rằng dữ liệu nhạy cảm không bị tiết lộ, sửa đổi, loại bỏ hoặc phá hủy trái phép.

Phụ lục A.9 – Kiểm soát truy cập (14 điều khiển)

Mục đích của Phụ lục A.9 là đảm bảo rằng nhân viên chỉ có thể xem thông tin có liên quan đến công việc của họ.

Nó được chia thành bốn phần, giải quyết các yêu cầu kinh doanh về kiểm soát truy cập, quản lý truy cập người dùng, trách nhiệm người dùng và kiểm soát truy cập hệ thống và ứng dụng, tương ứng.

Phụ lục A.10 – Mật mã (2 điều khiển)

Phụ lục này là về mã hóa dữ liệu và quản lý thông tin nhạy cảm. Hai điều khiển của nó được thiết kế để đảm bảo rằng các tổ chức sử dụng mật mã đúng cách và hiệu quả để bảo vệ tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu.

Phụ lục A.11 – An ninh vật lý và môi trường (15 kiểm soát)

Phụ lục này đề cập đến an ninh vật lý và môi trường của tổ chức. Đây là phụ lục lớn nhất trong Tiêu chuẩn, chứa 15 điều khiển được chia thành hai phần.

Mục tiêu của Phụ lục A.11.1 là ngăn chặn truy cập vật lý trái phép, thiệt hại hoặc can thiệp vào cơ sở của tổ chức hoặc dữ liệu nhạy cảm được lưu giữ trong đó.

Trong khi đó, Phụ lục A.11.2 đặc biệt giao dịch với thiết bị. Nó được thiết kế để ngăn chặn sự mất mát, thiệt hại hoặc trộm cắp các container tài sản thông tin của một tổ chức - cho dù đó là, ví dụ, phần cứng, phần mềm hoặc các tệp vật lý.


9. Làm cách nào để tôi có thể thực hành đánh giá ISO 27001 mà không cần bất kỳ sự tiếp xúc nào của ngành?

ISOCERT giải đáp:

Bạn có thể thử và thực hiện các yêu cầu đối với tổ chức của mình, tức là thực hiện kiểm toán nội bộ. Nhưng trước khi bạn bắt đầu làm điều này, bạn cần đảm bảo rằng bạn có đủ kiến thức về tổ chức, cơ sở hạ tầng, phát triển phần mềm của chúng tôi, v.v. và sau đó thực hiện kiểm toán nội bộ.

Bạn cũng có thể đọc tài liệu có sẵn trực tuyến và xem video về điều này. Tương tự như vậy, bạn cũng có thể kiểm tra các tiêu chuẩn bảo mật khác.


10. Các chi phí và khung thời gian điển hình liên quan đến việc thực hiện ISO 27001, hoàn chỉnh với đánh giá chứng nhận là gì?

Các tổ chức nhỏ hơn có thể cần 4-5 tháng, các tổ chức có tối đa 100 người sẽ cần 6 đến 8 tháng và các tổ chức lớn hơn từ 12 tháng trở lên.

Chi phí thay đổi rất nhiều và không thể tính toán trước khi bạn thực hiện đánh giá rủi ro - chỉ sau khi bạn đã xác định được tất cả các rủi ro, bạn sẽ biết kiểm soát nào bạn phải thực hiện để giảm rủi ro.

Hơn nữa, chi phí phụ thuộc vào việc bạn có thuê một bên đào tạo hay không - một tổ chức đào tạo giỏi có thể sẽ làm giảm tổng chi phí của dự án của bạn bởi vì bạn sẽ không lãng phí tiền bạc và thời gian theo hướng sai; Tuy nhiên, chuyên gia đào tạo kém có thể tăng gấp đôi tổng chi phí của bạn.

 

Với các thông tin được đưa ra trên đây, chúng tôi hy vọng đã giúp bạn tìm được câu trả lời cho những thắc mắc của mình trong quá trình xây dựng và áp dụng Hệ thống quản lý An toàn thông tin theo ISO 27001. Bạn có thể tham khảo thêm các thông tin và tài liệu hữu ích tại website của chúng tôi: www.isocert.org.vn hoặc trực tiếp liên hệ thông qua hotline: 0976 389 199 của ISOCERT để được hỗ trợ một cách tốt nhất!

 

Bài viết liên quan

icon messenger icon zalo icon phone
ajax-loader