TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin? Phạm vi áp dụng tiêu chuẩn như thế nào?

Nội dung chính

• Tổng quan TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin ra sao?
• Phạm vi áp dụng tiêu chuẩn TCVN ISO/IEC 27001:2019 như thế nào?
• Bối cảnh của tổ chức được quy định thế nào tại TCVN ISO/IEC 27001:2019?

Tổng quan TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin ra sao?

Tiêu chuẩn TCVN ISO/IEC 27001:2019 quy định các yêu cầu đối với hoạt động thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin.

Việc chấp nhận một hệ thống quản lý an toàn thông tin là quyết định chiến lược của tổ chức. Việc thiết lập và thực hiện một hệ thống quản lý an toàn thông tin của tổ chức chịu ảnh hưởng bởi nhu cầu và mục tiêu của tổ chức, các yêu cầu về an toàn, các quy trình của tổ chức được sử dụng và bởi quy mô và cấu trúc của tổ chức. Tất cả những yếu tố ảnh hưởng này dự kiến sẽ thay đổi theo thời gian.

Hệ thống quản lý an toàn thông tin đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin bằng cách áp dụng quy trình quản lý rủi ro và mang lại niềm tin cho các bên liên quan rằng các rủi ro được quản lý đầy đủ.

Điều quan trọng là hệ thống quản lý an toàn thông tin là một phần và được tích hợp các quy trình của tổ chức và với cấu trúc quản lý tổng thể và an toàn thông tin được xem xét trong thiết kế các quy trình, các hệ thống thông tin và các kiểm soát. Dự kiến rằng việc triển khai một hệ thống quản lý an toàn thông tin sẽ có quy mô phù hợp với nhu cầu của tổ chức.

Tiêu chuẩn này có thể được sử dụng bởi các phòng ban nội bộ và bên ngoài để đánh giá khả năng của tổ chức trong việc đáp ứng các yêu cầu an toàn thông tin của chính tổ chức.

Thứ tự yêu cầu được trình bày trong tiêu chuẩn này không phản ánh tầm quan trọng của chúng hay hàm ý thứ tự mà chúng sẽ được thực hiện. Các danh mục được liệt kê chỉ nhằm mục đích tham khảo.

ISO/IEC 27000 mô tả tổng quan và từ vựng của các hệ thống quản lý an toàn thông tin, tham khảo bộ tiêu chuẩn hệ thống quản lý an toàn thông tin (bao gồm ISO/IEC 27003, ISO/IEC 27004 và ISO/IEC 27005), với các thuật ngữ và định nghĩa liên quan.

TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin? Phạm vi áp dụng tiêu chuẩn như thế nào? (Hình từ Internet)

Phạm vi áp dụng tiêu chuẩn TCVN ISO/IEC 27001:2019 như thế nào?

Căn cứ Mục 1 Tiêu chuẩn TCVN ISO/IEC 27001:2019, phạm vi áp dụng được xác định như sau:

- Tiêu chuẩn này quy định các yêu cầu đối với hoạt động thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin trong bối cảnh của một tổ chức.

- Tiêu chuẩn này cũng bao gồm các yêu cầu cho việc đánh giá và xử lý rủi ro an toàn thông tin phù hợp với yêu cầu của tổ chức. Các yêu cầu đặt ra trong tiêu chuẩn này mang tính chất tổng quan và nhằm áp dụng cho tất cả các tổ chức, không phân biệt loại hình, quy mô hay bản chất.

- Điều 4 đến Điều 10 của tiêu chuẩn là bắt buộc nếu một tổ chức công bố phù hợp với tiêu chuẩn này.

Theo đó, tiêu chuẩn TCVN ISO/IEC 27001:2019 sử dụng tài liệu viện dẫn là TCVN 11238:2015 (ISO/IEC 27000:2014), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng (Information technology - Security techniques - Information security management systems - Overview and vocabulary).

Đây là tài liệu viện dẫn cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).

Bối cảnh của tổ chức được quy định thế nào tại TCVN ISO/IEC 27001:2019?

Tại Mục 4 Tiêu chuẩn TCVN ISO/IEC 27001:2019 có quy định như sau:

Bối cảnh của tổ chức

4.1 Hiểu tổ chức và bối cảnh của tổ chức

Tổ chức cần xác định các vấn đề nội bộ và bên ngoài liên quan đến mục đích của tổ chức và có ảnh hưởng đến khả năng đạt được kết quả mong muốn của hệ thống quản lý an toàn thông tin của tổ chức.

CHÚ THÍCH: Việc xác định những vấn đề liên quan tới thiết lập phạm vi nội bộ và bên ngoài của tổ chức được nêu tại Điều 5.3 của TCVN ISO 31000:2011 (ISO 31000:2009) [5].

4.2 Hiểu được nhu cầu và mong đợi của các bên liên quan

Tổ chức phải xác định:

a) các bên có liên quan đến hệ thống quản lý an toàn thông tin;

b) các yêu cầu về an toàn thông tin của các bên có liên quan này.

CHÚ THÍCH: Các yêu cầu của các bên liên quan có thể bao gồm các yêu cầu pháp lý, quy định quản lý và các nghĩa vụ hợp đồng.

4.3 Xác định phạm vi của hệ thống quản lý an toàn thông tin

Tổ chức phải xác định các giới hạn và khả năng áp dụng hệ thống quản lý an toàn thông tin để thiết lập phạm vi hệ thống.

Khi xác định phạm vi hệ thống, tổ chức phải soát xét:

a) các vấn đề nội bộ và bên ngoài được nêu trong Điều 4.1;

b) các yêu cầu được nêu trong Điều 4.2;

c) sự tương tác và phụ thuộc giữa các hoạt động được thực hiện bởi tổ chức, và những hoạt động được thực hiện bởi tổ chức khác.

Phạm vi này phải sẵn có dưới dạng thông tin dạng văn bản.

4.4 Hệ thống quản lý an toàn thông tin

Tổ chức phải thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin phù hợp với các yêu cầu của tiêu chuẩn này.

Theo đó, bối cảnh của tổ chức được thực hiện theo nội dung tiêu chuẩn nêu trên.