Giới thiệu
ISO/IEC 27003 cung cấp hướng dẫn cho những người thực hiện các tiêu chuẩn ISO27k, đặc biệt bao gồm các khía cạnh của hệ thống quản lý.
Phạm vi của nó chỉ đơn giản là “cung cấp giải thích và hướng dẫn về ISO/IEC 27001:2013.”
Tiêu chuẩn bổ sung và xây dựng dựa trên các tiêu chuẩn khác, đặc biệt là ISO/IEC 27000 và ISO/IEC 27001 cùng với ISO/IEC 27004, ISO/IEC 27005, ISO 31000 và ISO/IEC 27014.
Mục đích của tiêu chuẩn
Do ý định của ISO là làm cho tất cả các Tiêu chuẩn về Hệ thống Quản lý nhất quán về cấu trúc và hình thức, đồng thời để có thể sử dụng được cho các mục đích chứng nhận ISMS, nên ngôn ngữ của ISO/IEC 27001:2013 chắc chắn khá trang trọng, cộc lốc và cứng nhắc. Ngược lại, ISO/IEC 27003 đưa ra lời giải thích thực tế với lời khuyên và hướng dẫn rõ ràng cho những người triển khai '27001.
Cấu trúc và nội dung của tiêu chuẩn
Để thuận tiện, '27003 tuân theo cấu trúc gần giống như '27001, mở rộng từng điều khoản trên '27001, do đó các phần chính là:
4 Bối cảnh của tổ chức
5 Lãnh đạo
6 Kế hoạch
7 Hỗ trợ
8 Vận hành
9 Đánh giá hiệu suất
10 Cải tiến
Phụ lục - Khung chính sách
Đối với mỗi điều khoản '27001, tiêu chuẩn này:
Trình bày lại/các yêu cầu;
Giải thích các hàm ý; Và
Cung cấp hướng dẫn thực tế và thông tin hỗ trợ bao gồm các ví dụ để giúp người triển khai thực hiện.
Ví dụ: đây là những gì '27001 nói trong phần 4.1, 'Hiểu biết về tổ chức và bối cảnh của tổ chức':
“Tổ chức phải xác định các vấn đề bên ngoài và nội bộ có liên quan đến mục đích của mình và ảnh hưởng đến khả năng đạt được (các) kết quả dự kiến của hệ thống quản lý an ninh thông tin của mình.
LƯU Ý Việc xác định những vấn đề này đề cập đến việc thiết lập bối cảnh bên ngoài và bên trong của tổ chức được xem xét trong Điều 5.3 của ISO 31000:2009[5].”
Mục 4.1 của '27003 trước tiên nêu rõ 'hoạt động bắt buộc' (không phải ghi chú):
“Tổ chức xác định các vấn đề bên ngoài và nội bộ liên quan đến mục đích của mình và ảnh hưởng đến khả năng đạt được (các) kết quả dự kiến của hệ thống quản lý bảo mật thông tin (ISMS).”
Sau đó, nó mở rộng các lý do tại sao việc 'xác định các vấn đề bên ngoài và bên trong' là phù hợp, cung cấp một trang giải thích để bổ sung cho văn bản ngắn gọn và hơi khó hiểu từ '27001. Ví dụ, nó giải thích rằng 'các vấn đề nội bộ' bao gồm văn hóa của tổ chức; các chính sách, mục tiêu và chiến lược để đạt được chúng; quản trị, cơ cấu tổ chức, vai trò và trách nhiệm của nó; và liệt kê thêm bảy 'vấn đề nội bộ' cần xem xét. Nó cũng xác định các mệnh đề khác sử dụng thông tin này.
Chỉ riêng điều đó thôi đã là một phần mở rộng có giá trị trên '27001 phần 4.1 nhưng '27003 không dừng lại ở đó: nó tiếp tục cung cấp thêm một trang giải thích, hướng dẫn thực tế và các ví dụ thực tế trong lĩnh vực này.
Kết quả cuối cùng là người đọc hiểu rõ hơn nhiều về các yêu cầu từ '27001 và ý tưởng rõ ràng hơn về cách thực hiện để đáp ứng chúng.
Tình trạng tiêu chuẩn
Ấn bản đầu tiên được xuất bản vào năm 2010.
Tiêu chuẩn đã được sửa đổi đáng kể (viết lại) và phiên bản thứ hai được ban hành vào năm 2017.
Công việc đang được tiến hành trên phiên bản thứ ba, một bản sửa đổi nhỏ của tiêu chuẩn để phản ánh các phiên bản 2022 của ISO/IEC 27001, 27002 và 27005.
Nhận xét idas
Đây là một hướng dẫn tuyệt vời Trên Diễn đàn ISO27k, chúng tôi thường xuyên được hỏi về cách diễn giải và triển khai ISO/IEC 27001. Cùng với Câu hỏi thường gặp của chúng tôi, ISO/IEC 27003 đã đi một chặng đường dài hướng tới việc trả lời các câu hỏi về bản chất đó.
Ý tưởng rằng '27003 vào một thời điểm nào đó trong tương lai, mở rộng thêm phần thiết kế, triển khai và chứng nhận ISMS để đưa ra lời khuyên thiết thực về vận hành, quản lý, giám sát và cải tiến dần dần ISMS. sự khởi đầu của một quá trình phát triển và trưởng thành lâu dài khi bảo mật thông tin trở thành một phần không thể thiếu và có giá trị trong các chiến lược và hoạt động kinh doanh thông thường.
