Giới thiệu
ISO/IEC 27001 chính thức chỉ định Hệ thống quản lý bảo mật thông tin, một thỏa thuận quản trị bao gồm một bộ hoạt động có cấu trúc để quản lý rủi ro thông tin (được gọi là 'rủi ro bảo mật thông tin' trong tiêu chuẩn).
ISMS là một khuôn khổ tổng thể mà thông qua đó ban quản lý xác định, đánh giá và xử lý (giải quyết) các rủi ro thông tin của tổ chức. khía cạnh trong một lĩnh vực năng động như vậy và một lợi thế chính của phương pháp tiếp cận dựa trên rủi ro linh hoạt của ISO27k so với PCI-DSS chẳng hạn.
Tiêu chuẩn áp dụng cho tất cả các loại hình tổ chức (ví dụ: doanh nghiệp thương mại, cơ quan chính phủ, tổ chức phi lợi nhuận) thuộc mọi quy mô (từ doanh nghiệp siêu nhỏ đến công ty đa quốc gia lớn) trong tất cả các ngành (ví dụ: bán lẻ, ngân hàng, quốc phòng, y tế, giáo dục và chính phủ). rõ ràng là một bản tóm tắt rất rộng.
ISO/IEC 27001 không bắt buộc chính thức các biện pháp kiểm soát bảo mật thông tin cụ thể vì các biện pháp kiểm soát được yêu cầu khác nhau rõ rệt giữa nhiều tổ chức áp dụng tiêu chuẩn. các biện pháp kiểm soát an ninh có thể áp dụng cho các rủi ro thông tin cụ thể của chúng, dựa trên những rủi ro được liệt kê trong menu và có khả năng bổ sung cho chúng các tùy chọn gọi món khác (đôi khi được gọi là các bộ kiểm soát mở rộng). để thực hiện đánh giá toàn diện về rủi ro thông tin của tổ chức, đây là một phần quan trọng của ISMS.
Hơn nữa, ban quản lý có thể chọn tránh, chia sẻ hoặc chấp nhận rủi ro thông tin thay vì giảm thiểu chúng thông qua các biện pháp kiểm soát - một quyết định xử lý rủi ro trong quy trình quản lý rủi ro.
0 Giới thiệu - tiêu chuẩn mô tả quy trình quản lý rủi ro thông tin một cách có hệ thống.
1 Phạm vi - nó chỉ định các yêu cầu ISMS chung phù hợp với các tổ chức thuộc mọi loại hình, quy mô hoặc tính chất.
2 Tài liệu tham khảo quy chuẩn - chỉ ISO/IEC 27000 được coi là tài liệu đọc tuyệt đối cần thiết cho người dùng '27001.
3 Thuật ngữ và định nghĩa - xem ISO/IEC 27000.
4 Bối cảnh của tổ chức - hiểu bối cảnh của tổ chức, nhu cầu và mong đợi của 'các bên quan tâm' và xác định phạm vi của ISMS. Mục 4.4 nêu rất rõ ràng rằng “Tổ chức phải thiết lập, triển khai, duy trì và cải tiến liên tục” ISMS, nghĩa là ISMS phải hoạt động chứ không chỉ đơn thuần được thiết kế và lập thành văn bản.
5 Lãnh đạo - quản lý cấp cao phải thể hiện vai trò lãnh đạo và cam kết đối với ISMS, chính sách ủy quyền và phân công vai trò, trách nhiệm và quyền hạn về an toàn thông tin.
6 Lập kế hoạch - phác thảo quy trình xác định, phân tích và lập kế hoạch xử lý rủi ro thông tin, làm rõ các mục tiêu của bảo mật thông tin và quản lý các thay đổi ISMS.
7 Hỗ trợ - các nguồn lực phù hợp, có thẩm quyền phải được chỉ định, nâng cao nhận thức, chuẩn bị và kiểm soát tài liệu.
8 Hoạt động - chi tiết hơn về việc đánh giá và xử lý rủi ro thông tin, quản lý các thay đổi và ghi lại mọi thứ (một phần để kiểm toán viên chứng nhận có thể kiểm tra chúng).
9 Đánh giá hiệu suất - giám sát, đo lường, phân tích và đánh giá/kiểm tra/xem xét các biện pháp kiểm soát, quy trình và hệ thống quản lý bảo mật thông tin, cải thiện một cách có hệ thống những thứ cần thiết.
10 Cải tiến - giải quyết các phát hiện của kiểm toán và đánh giá (ví dụ: sự không phù hợp và hành động khắc phục), tinh chỉnh ISMS một cách có hệ thống.
Phụ lục A Tham chiếu kiểm soát an ninh thông tin - đặt tên cho các biện pháp kiểm soát được nêu trong ISO/IEC 27002:2022. Phụ lục là 'chuẩn mực' nghĩa là các tổ chức được chứng nhận phải sử dụng nó để kiểm tra tính đầy đủ của ISMS (theo điều khoản 6.2), nhưng điều đó không có nghĩa là họ bắt buộc phải thực hiện các biện pháp kiểm soát: với những rủi ro thông tin cụ thể của họ, họ có thể thích hơn các biện pháp kiểm soát hoặc xử lý rủi ro khác. Tham khảo ISO/IEC 27002 để biết thêm chi tiết về các biện pháp kiểm soát bảo mật, bao gồm hướng dẫn triển khai hữu ích và ISO/IEC 27005 để hiểu quản lý rủi ro thông tin.
Tài liệu tham khảo - hướng người đọc đến các tiêu chuẩn liên quan, cộng với phần 1 của các chỉ thị ISO/IEC, để biết thêm thông tin. Ngoài ra, ISO/IEC 27000 được xác định trong phần nội dung của tiêu chuẩn là tiêu chuẩn quy phạm (tức là thiết yếu) và có một số tham chiếu đến ISO 31000 về quản lý rủi ro.
Yêu cầu bắt buộc đối với chứng nhận
ISO/IEC 27001 là một đặc điểm kỹ thuật chính thức cho ISMS với hai mục đích riêng biệt:
Nó đưa ra thiết kế cho ISMS, mô tả các phần quan trọng ở mức khá cao;
Nó có thể (tùy chọn) được sử dụng làm cơ sở để đánh giá sự phù hợp chính thức bởi các đánh giá viên chứng nhận được công nhận nhằm chứng nhận sự tuân thủ của một tổ chức.
14 mục sau đây được yêu cầu rõ ràng để chứng nhận:
Phạm vi ISMS (theo khoản 4.3)
Chính sách bảo mật thông tin (điều khoản 5.2)
Quy trình đánh giá rủi ro thông tin (mục 6.1.2)
Quy trình xử lý rủi ro thông tin (mục 6.1.3)
Mục tiêu an toàn thông tin (mục 6.2)
Bằng chứng về năng lực của những người làm việc trong lĩnh vực bảo mật thông tin (mục 7.2)
Các tài liệu khác liên quan đến ISMS mà tổ chức cho là cần thiết (mục 7.5.1b)
Tài liệu lập kế hoạch và kiểm soát hoạt động (mục 8.1)
Kết quả đánh giá rủi ro [thông tin] (điều khoản 8.2)
Các quyết định liên quan đến xử lý rủi ro [thông tin] (điều khoản 8.3)
Bằng chứng về việc giám sát và đo lường bảo mật thông tin (điều khoản 9.1)
Chương trình đánh giá nội bộ ISMS và kết quả của các cuộc đánh giá được thực hiện (điều khoản 9.2).
Bằng chứng về đánh giá của lãnh đạo cao nhất đối với ISMS (điều khoản 9.3)
Bằng chứng về sự không phù hợp được xác định và hành động khắc phục phát sinh (mục 10.1)
Chuyên gia đánh giá chứng nhận kiểm tra xem tài liệu bắt buộc có sẵn và phù hợp với mục đích hay không, đồng thời cũng có thể kiểm tra tài liệu liên quan đến [một mẫu đánh giá của] các biện pháp kiểm soát tùy ý.
Tiêu chuẩn không chỉ định chính xác tài liệu nên ở dạng nào, nhưng điều khoản 7.5.2 nói về các khía cạnh như tiêu đề, tác giả, định dạng, phương tiện, đánh giá và phê duyệt, trong khi 7.5.3 liên quan đến kiểm soát tài liệu, ngụ ý một tiêu chuẩn ISO 9001 khá chính thức -phong cách tiếp cận. Tài liệu điện tử (chẳng hạn như các trang mạng nội bộ) cũng tốt như tài liệu giấy, trên thực tế tốt hơn theo nghĩa là chúng dễ kiểm soát và bảo trì hơn. Các sơ đồ cũng tốt, bổ sung hoặc thay thế các từ viết - một ISMS được lập tài liệu hoàn toàn dưới dạng một tập hợp các sơ đồ hoặc video sẽ là điều mới lạ, có lẽ là xuất sắc!
Phạm vi ISMS và Tuyên bố về khả năng áp dụng (SoA)
Mặc dù tiêu chuẩn nhằm thúc đẩy việc triển khai ISMS trên toàn doanh nghiệp, đảm bảo rằng tất cả các bộ phận của tổ chức đều được hưởng lợi bằng cách giải quyết các rủi ro thông tin của họ theo cách phù hợp và được quản lý có hệ thống, nhưng các tổ chức có thể mở rộng phạm vi ISMS của mình theo phạm vi rộng hoặc hẹp tùy theo nhu cầu của họ. mong muốn - thực sự phạm vi là một quyết định quan trọng đối với quản lý cấp cao (mục 4.3). Phạm vi ISMS được lập thành văn bản là một trong những yêu cầu bắt buộc đối với chứng nhận.
Mặc dù Tuyên bố về Khả năng áp dụng không được xác định rõ ràng và đầy đủ, nhưng đây là yêu cầu bắt buộc của phần 6.1.3. SoA đề cập đến đầu ra từ các đánh giá rủi ro thông tin và đặc biệt là các quyết định xung quanh việc xử lý những rủi ro đó. Ví dụ, SoA có thể ở dạng ma trận xác định các loại rủi ro thông tin khác nhau trên một trục và các lựa chọn xử lý rủi ro trên trục kia, chỉ ra cách xử lý các rủi ro trong cơ thể và có lẽ ai chịu trách nhiệm về chúng. Nó thường tham chiếu các biện pháp kiểm soát có liên quan từ ISO/IEC 27002 nhưng tổ chức có thể sử dụng một khuôn khổ, danh mục, tài liệu tham khảo hoặc nguồn kiểm soát hoàn toàn khác, chẳng hạn như NIST SP800-53, tiêu chuẩn ISF, BMIS và/hoặc COBIT hoặc phương pháp tiếp cận tùy chỉnh. Các mục tiêu kiểm soát an ninh thông tin và các biện pháp kiểm soát từ ISO/IEC 27002 được cung cấp dưới dạng danh sách kiểm tra tại Phụ lục A để tránh 'bỏ qua các biện pháp kiểm soát cần thiết' (các biện pháp kiểm soát mà ban quản lý xác định là cần thiết để giảm thiểu rủi ro thông tin không được chấp nhận): chúng không bắt buộc đối với mọi tổ chức .
Phạm vi ISMS và SoA là rất quan trọng nếu bên thứ ba có ý định gắn bất kỳ sự tin cậy nào vào chứng chỉ ISO/IEC 27001 của tổ chức. Ví dụ: nếu phạm vi ISO/IEC 27001 của một tổ chức chỉ bao gồm “Acme Ltd. Department X”, thì chứng chỉ liên quan không nói gì về tình trạng bảo mật thông tin trong “Acme Ltd. Department Y” hoặc thực tế là “Acme Ltd.” như một tổng thể. Tương tự, nếu vì lý do nào đó, ban quản lý quyết định chấp nhận rủi ro phần mềm độc hại mà không triển khai các biện pháp kiểm soát chống vi-rút thông thường, thì người đánh giá chứng nhận cũng có thể thách thức một khẳng định táo bạo như vậy, nhưng với điều kiện là các phân tích và quyết định liên quan là hợp lý, thì điều đó không phải là lý do chính đáng để từ chối chứng nhận tổ chức vì các biện pháp kiểm soát chống vi-rút trên thực tế không bắt buộc.
Ghi chú hành nghề kiểm toán viên Phần được thêm vào tháng 4
Vào năm 2022, một Nhóm Thực hành Đánh giá chọn lọc trong ISO/IEC JTC 1/SC 27 WG1 đã bắt đầu chuẩn bị và xuất bản một loạt ghi chú. Về bản chất, đây là các hướng dẫn, giải thích và tư vấn (tùy ý), không được ISO xác nhận cũng như không được các tổ chức thành viên SC27 xem xét và phê duyệt chính thức giống như các tiêu chuẩn ISO27k. Các lưu ý liên quan đến các khía cạnh khác nhau của ISO27k mà người đánh giá và người được đánh giá [chứng nhận] quan tâm và quan tâm, bổ sung cho các tiêu chuẩn ISO27k khác như ISO/IEC 27003.
Hai 'Ghi chú thực hành đánh giá' đầu tiên (còn được gọi là 'Ghi chú thực hành đánh giá' và 'Ghi chú thực hành đánh giá') có sẵn để tải xuống miễn phí từ trang tài nguyên trên trang web công cộng của SC27:
Sử dụng Phụ lục A (ISO/IEC 27001): giải thích tình trạng, mục đích và mục đích sử dụng của Phụ lục A, đồng thời nêu rõ những gì không phải là Phụ lục A (nghĩa là một bộ toàn diện các biện pháp kiểm soát bắt buộc).
Sử dụng SoA (Tuyên bố về khả năng áp dụng của ISO/IEC 27001): ~4 trang giải thích về cách chuẩn bị SoA, bao gồm các thuật ngữ như 'khả năng áp dụng' và 'kiểm soát cần thiết' và điều gì xảy ra với chứng chỉ nếu tổ chức được chứng nhận thay đổi SoA (không có gì!).
số liệu
Trên thực tế (không thực sự sử dụng thuật ngữ “số liệu”), tiêu chuẩn yêu cầu sử dụng các số liệu về hiệu suất và hiệu quả của ISMS của tổ chức và các biện pháp kiểm soát bảo mật thông tin. Phần 9, “Đánh giá hiệu suất”, yêu cầu tổ chức xác định và triển khai các số liệu bảo mật phù hợp... nhưng chỉ đưa ra các yêu cầu cấp cao.
ISO/IEC 27004 đưa ra lời khuyên về những gì và cách đo lường để đáp ứng yêu cầu và đánh giá hiệu suất của ISMS - một cách tiếp cận rõ ràng hợp lý không khác với cách tiếp cận được mô tả trong Chỉ số bảo mật PRAGMATIC.
chứng nhận
Chứng nhận phù hợp với ISO/IEC 27001 bởi một tổ chức chứng nhận được công nhận và tôn trọng là tùy chọn nhưng ngày càng có nhiều yêu cầu đối với các nhà cung cấp và đối tác kinh doanh bởi các tổ chức (hoàn toàn đúng!) lo ngại về tính bảo mật thông tin của họ và về rủi ro thông tin trong suốt quá trình cung cấp chuỗi/mạng.
Theo Khảo sát ISO năm 2021, gần 60.000 tổ chức trên toàn thế giới đã có chứng chỉ tuân thủ ISO/IEC 27001 hợp lệ, khiến hệ thống quản lý này trở thành tiêu chuẩn phổ biến thứ tư sau ISO 9001 (đảm bảo chất lượng), ISO 14001 (bảo vệ môi trường) và ISO 45001 (sức khỏe và an toàn) .
Chứng nhận mang lại một số lợi ích trên và ngoài sự phù hợp đơn thuần, giống như cách mà chứng chỉ sê-ri ISO 9000 nói lên nhiều điều hơn là chỉ “Chúng tôi là một tổ chức chất lượng”. Đánh giá độc lập nhất thiết phải mang lại một số quy trình nghiêm ngặt và chính thức cho quá trình triển khai (ngụ ý cải thiện bảo mật thông tin và tất cả các lợi ích mang lại thông qua giảm thiểu rủi ro) và luôn yêu cầu sự chấp thuận của quản lý cấp cao (ít nhất đó là một lợi thế về mặt nhận thức bảo mật!).
Chứng chỉ có tiềm năng tiếp thị và giá trị thương hiệu, chứng tỏ rằng tổ chức coi trọng việc quản lý bảo mật thông tin. Tuy nhiên, như đã lưu ý ở trên, giá trị đảm bảo của chứng chỉ phụ thuộc nhiều vào phạm vi ISMS, RTP và SoA - nói cách khác, đừng đặt quá nhiều niềm tin vào chứng chỉ ISO/IEC 27001 của tổ chức nếu bạn phụ thuộc nhiều vào chứng chỉ đó. bảo mật thông tin. Cũng giống như việc tuân thủ PCI-DSS được chứng nhận không có nghĩa là “Chúng tôi đảm bảo bảo mật dữ liệu thẻ tín dụng và thông tin cá nhân khác”, chứng chỉ ISO/IEC 27001 hợp lệ là một dấu hiệu tích cực nhưng không phải là sự đảm bảo chắc chắn về thông tin của một tổ chức bảo vệ. Nó nói rằng “Chúng tôi có một ISMS phù hợp tại chỗ”, chứ không phải “Chúng tôi bảo mật thông tin của bạn”, một sự khác biệt tinh tế nhưng quan trọng.
Tình trạng tiêu chuẩn
Ấn bản đầu tiên, dựa trên BS 7799 Phần 2 (1999), được xuất bản dưới tên ISO/IEC 27001 vào năm 2005.
Phiên bản thứ hai, được sửa đổi hoàn toàn với những thay đổi đáng kể để phù hợp với các tiêu chuẩn hệ thống quản lý ISO khác, được xuất bản vào năm 2013.
Một điều chỉnh kỹ thuật vào năm 2014 đã làm rõ rằng thông tin là một tài sản.
Một điều chỉnh kỹ thuật thứ hai vào năm 2015 đã làm rõ rằng các tổ chức chính thức được yêu cầu xác định trạng thái triển khai các biện pháp kiểm soát bảo mật thông tin của họ trong SoA.
Phiên bản thứ ba của tiêu chuẩn, được xuất bản vào tháng 10 năm 2022, có một số thay đổi về từ ngữ đối với các điều khoản trong phần chính để phản ánh cấu trúc/bản mẫu tổng hợp Phụ lục SL đã sửa đổi của ISO cho tất cả các tiêu chuẩn hệ thống quản lý (xem bên dưới), cùng với một Phụ lục A đã sửa đổi hoàn toàn phản ánh ISO/IEC 27002:2022.
Cập nhật tháng 2 năm 2023 MD26:2023 của Diễn đàn Công nhận Quốc tế là Tài liệu Bắt buộc cung cấp hướng dẫn về các thỏa thuận chuyển đổi trong tối đa 3 năm cho các tổ chức công nhận, tổ chức chứng nhận và do đó các tổ chức được chứng nhận chuyển từ ISO/IEC 27001:2013 sang ISO/IEC 27001:2022.
Vào giữa năm 2023, SC 27 dự định xem xét các kế hoạch tương lai cho ’27001, quyết định những việc cần làm tiếp theo. Việc lập kế hoạch cập nhật rất phức tạp vì cần phải có thời gian để các cơ quan công nhận và chứng nhận thực hiện các thỏa thuận chuyển đổi, mặc dù ISO cố tình không tham gia công nhận và chứng nhận để điều đó không thực sự quan trọng.
Nhận xét cá nhân
Phiên bản 2022 của Chỉ thị ISO/IEC, phần 1 “Bổ sung ISO hợp nhất - Quy trình cho công việc kỹ thuật - Quy trình dành riêng cho ISO” Phụ lục SL “Phương pháp tiếp cận hài hòa đối với các tiêu chuẩn hệ thống quản lý” (trước đây gọi là “Dự thảo Hướng dẫn 83”, đôi khi “ Phụ lục L”) phụ lục 2 (!) chính thức chỉ định/bắt buộc văn bản soạn sẵn và cấu trúc chung cho tất cả các tiêu chuẩn hệ thống quản lý ISO và ISO/IEC bao gồm bảo mật thông tin, đảm bảo chất lượng, bảo vệ môi trường, v.v.
Ý tưởng là những người quen thuộc với bất kỳ hệ thống quản lý nào sẽ hiểu các nguyên tắc cơ bản làm nền tảng cho tất cả các hệ thống khác và sẽ thấy cấu trúc và từ ngữ của chúng tương tự nhau. Các khái niệm như chứng nhận, chính sách, sự phù hợp, kiểm soát tài liệu, đánh giá nội bộ và xem xét của lãnh đạo là chung cho tất cả các tiêu chuẩn về hệ thống quản lý và các chính sách, quy trình và sắp xếp quản trị chung có thể được tiêu chuẩn hóa một cách hữu ích trong một tổ chức.
Phụ lục SL phụ lục 2:
Định nghĩa lại rủi ro là “ảnh hưởng của sự không chắc chắn” (bỏ “các mục tiêu” khỏi định nghĩa được sử dụng trong ISO/IEC 27000) chỉ với 4 ghi chú.
Thay thế “kết quả” bằng “kết quả” - một thay đổi được thực hiện chủ yếu để dễ dịch.
Bao gồm “Lập kế hoạch thay đổi” tức là bất kỳ thay đổi nào đối với hệ thống quản lý phải được thực hiện “theo cách có kế hoạch”. Mệnh đề mới 6.3 là một câu đơn, vì vậy chúng ta có thể quyết định “một cách có kế hoạch” thực sự có nghĩa là gì.
Thay thế "thuê ngoài" bằng "cung cấp bên ngoài" để bao gồm gia công phần mềm, hợp đồng và mua thông thường.
Quy định riêng các yêu cầu chung đối với đánh giá nội bộ (9.2.1) và đối với chương trình đánh giá nội bộ (9.2.2).
Quy định riêng các yêu cầu chung đối với xem xét của lãnh đạo (9.3.1) và đối với đầu vào (9.3.2) và đầu ra (9.3.3) của họ.
Nhấn mạnh lại sự cần thiết phải chủ động cải tiến hệ thống quản lý bên cạnh các phản ứng tích cực đối với những thiếu sót.
Bắt buộc thực hiện một số thay đổi trong bản soạn sẵn - chẳng hạn như loại bỏ 'được lập thành văn bản' khỏi định nghĩa kiểm toán.
