Chứng nhận hệ thống quản lý an toàn thông tin ISO/IEC 27001:2013
I. GIỚI THIỆU VỀ ISO/IEC 27001 1- Xu thế phát triển kinh tế - xã hội hiện nay, đặc biệt trong bối cảnh cách mạng công nghiệp 4.0 đã xác lập tầm quan trọng và phạm vi ứng dụng rộng rãi của công nghệ thông tin, công nghệ số trong mọi lĩnh vực, quá trình công việc của tổ chức, doanh nghiệp. Tuy nhiên, việc ứng dụng CNTT, số hóa các hoạt động cũng luôn song hành với các mối đe dọa và rủi ro về an toàn thông tin đối với tổ chức, doanh nghiệp. 2- ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với Hệ thống quản lý an toàn thông tin của một tổ chức, doanh nghiệp do Tổ chức Tiêu chuẩn hóa quốc tế (ISO) ban hành. Tiêu chuẩn ISO/IEC 27001 đến nay đã được chấp nhận ở quy mô toàn cầu như là một phương pháp quản lý, kiểm soát rủi ro về an toàn thông tin chặt chẽ, có hệ thống và mang lại nhiều lợi ích cho chính tổ chức, doanh nghiệp áp dụng và các bên liên quan. 3- Hệ thống quản lý an toàn thông tin theo ISO/IEC 27001 bao gồm các chính sách, thủ tục, hướng dẫn, các hoạt động và các nguồn lực liên quan, được quản lý tập trung nhằm bảo vệ các tài sản thông tin của tổ chức, doanh nghiệp. Áp dụng và chứng nhận ISO/IEC 27001, tổ chức, doanh nghiệp sẽ áp dụng cách tiếp cận có hệ thống đối với việc thiết lập, thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến về an toàn thông tin để đạt được các mục tiêu kinh doanh của mình. 4- Việc áp dụng và chứng nhận hệ thống quản lý an toàn thông tin theo ISO/IEC 27001 sẽ giúp nhận biết và bảo vệ được các tài sản thông tin của tổ chức, doanh nghiệp để các tài sản này luôn: - Đảm bảo tính mật (Confidentiality): thông tin không thể bị truy cập hoặc tiết lộ với người không có thẩm quyền; - Đảm bảo tính nguyên vẹn (Integrity): Thông tin không thể bị thay đổi bởi người không có thẩm quyền; và - Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để đáp ứng nhu cầu sử dụng của người có thẩm quyền. |