Giới thiệu
Để ổn định và chuẩn hóa thị trường đào tạo và chứng nhận các chuyên gia về triển khai và đánh giá ISO27k, tiêu chuẩn này đưa ra năng lực cần có của các chuyên gia ISMS.
Phạm vi
Tiêu chuẩn liên quan đến năng lực (có nghĩa là sự kết hợp giữa kiến thức và kỹ năng) được yêu cầu hoặc mong đợi của các chuyên gia quản lý ISMS theo tiêu chuẩn ISO/IEC 27001, 27002, 27005 và 27007.
Tiêu chuẩn KHÔNG chỉ định một chương trình chứng nhận hoặc trình độ cá nhân như vậy, nhưng trên thực tế, nó đóng vai trò là tài liệu tham khảo cho các cơ quan điều hành các chương trình đó.
Tiêu chuẩn KHÔNG đề cập đến năng lực của đánh giá viên.
Mục đích và biện minh
Các tổ chức đào tạo và chứng nhận khác nhau đã hoạt động trong lĩnh vực này, một số trong số đó cung cấp các khóa học và bằng cấp liên quan đến ISO27k, chẳng hạn như các chỉ định về Đánh giá viên trưởng và Trưởng nhóm triển khai ISO/IEC 27001. Trước khi phát hành tiêu chuẩn này, họ đã xây dựng chương trình giảng dạy và tiêu chí đánh giá của riêng mình mà không có hướng dẫn từ ISO/IEC ngoại trừ các tiêu chuẩn ISO27k khác.
ISO/IEC 27021 cung cấp mức độ tương đồng và khả năng so sánh giữa các trình độ chuyên môn khác nhau, giúp nhà tuyển dụng và người sử dụng lao động tin tưởng hơn vào chất lượng, năng lực và sự phù hợp của các ứng viên và nhân viên đủ điều kiện cho các vai trò ISMS.
Cấu trúc và nội dung
Tiêu chuẩn bắt đầu bằng cách giải thích rằng ISMS chỉ là một dạng của Hệ thống quản lý, đòi hỏi sự kết hợp của các năng lực trong quản lý kinh doanh nói chung (ví dụ: lãnh đạo và truyền thông, lập kế hoạch và lập ngân sách) cộng với quản lý ISMS/bảo mật thông tin (ví dụ: xác định phạm vi của ISMS).
Các năng lực gần giống với các điều khoản trong phần chính của tiêu chuẩn ISO/IEC 27001, ngoại trừ hầu hết các năng lực quản lý chung không liên quan trực tiếp đến các điều khoản cụ thể.
Mỗi năng lực được mô tả khá ngắn gọn theo bốn cách:
Điều khoản ISO/IEC 27001 có liên quan (nếu có)
Kết quả dự kiến: phần này của vai trò đòi hỏi điều gì và được kỳ vọng đạt được
Kiến thức cần có: những điều mà chuyên gia ISMS nên biết
Yêu cầu về kỹ năng: những việc mà chuyên gia ISMS có thể làm được
Trạng thái
Tiêu chuẩn được công bố lần đầu tiên vào năm 2017.
Các tham chiếu bổ sung cho các điều khoản của ISO/IEC 27001 đã được thêm vào để bổ sung các khoảng trống trong bảng năng lực thông qua một bản sửa đổi. ISO/IEC 27021:2017/Amd1:2021 Công nghệ thông tin - Kỹ thuật bảo mật - Yêu cầu năng lực đối với chuyên gia hệ thống quản lý bảo mật thông tin - Bản sửa đổi 1: Bổ sung các điều khoản hoặc điều khoản phụ của ISO/IEC 27001:2013 cho các yêu cầu năng lực đã được xuất bản vào năm 2021.
Nhận xét idas
Bốn tiêu chuẩn được liệt kê trong phần phạm vi ở trên có thể là 'tiêu chuẩn cốt lõi' nhưng chúng chỉ đại diện cho một phần nhỏ của bộ ISO27k đang phát triển. Có thể lập luận rằng một số tiêu chuẩn khác cũng quan trọng không kém - chẳng hạn như ISO/IEC 27003 và 27004 - đặt ra câu hỏi về bề rộng và chiều sâu của kiến thức cũng như năng lực thực sự mà các nhà quản lý an ninh thông tin mong đợi.
Một khía cạnh khác là (bất chấp ISO27k) quản lý bảo mật thông tin khác nhau về cơ bản ở các loại hình/quy mô tổ chức khác nhau, vì vậy có lẽ cần có các cấp độ hoặc cấp độ chuyên môn khác nhau (hoặc mức độ trưởng thành của học viên, bạn có thể nói), từ những điều cơ bản ở cấp độ đầu vào cho đến các chuyên gia về chủ đề? Một kế hoạch theo cấp bậc cũng sẽ khuyến khích phát triển nghề nghiệp và học tập suốt đời. Vì tiêu chuẩn nhằm hướng dẫn những khóa học và trình độ đang phát triển đó, nên có thể kết hợp hoặc xây dựng tiêu chuẩn xung quanh một ma trận liệt kê các kỹ năng và năng lực trên một trục và các cấp hoặc bậc trên một trục khác, chỉ ra trong phần thân của ma trận những hạng mục mà mọi người ở cấp/bậc đó phải biết và có đủ năng lực để thực hiện... có lẽ đại loại như thế này:
Ý tưởng về sơ đồ phân cấp đã được nhóm dự án đồng ý về nguyên tắc, với sơ đồ e-CF và e-QF (bất kể chúng là gì!) được đề cập trong các nhận xét: có thể đề xuất này sẽ được xem xét lại khi tiêu chuẩn được sửa đổi lần sau.
Tiêu chuẩn kết hợp ý tưởng về Nhóm kiến thức được xác định trong tiêu chuẩn để bao gồm các khía cạnh cốt lõi của việc điều hành và quản lý ISMS, nhưng có thể mở rộng bởi các tổ chức để giải quyết các yêu cầu bổ sung cụ thể của họ trong lĩnh vực này.
