ISO 27001: 2013, phiên bản mới của tiêu chuẩn ISO/ IEC 27001: 2005 - Hệ thống quản lý an ninh thông tin
Một khi tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC 27002:2013 đã được công bố chính thức tổ chức sẽ có một thời gian gia hạn là 12 tháng trước khi tái chứng nhận.
Phụ lục A của tiêu chuẩn ISO/ IEC 27001 nổi tiếng nhất với loạt 11 mục tiêu kiểm soát thực tế không có các điều khoản bắt buộc áp dụng sẽ không còn tồn tại nữa. ISMS sẽ là xương sống cho bộ tiêu chuẩn ISO/IEC 27000 và bao gồm các quy trình vận hành chuẩn hoạt động như quản trị, quản lý rủi ro, kiểm soát tài liệu, quản lý hồ sơ, kiểm toán nội bộ, cải tiến liên tục, đào tạo và nhận thức..
Phiên bản mới nhất của tiêu chuẩn ISO/IEC 27001:2013 cho thấy việc gia tăng các hạn mục bắt buộc từ 5 mục lên 7 mục và tăng các điểm kiểm soát từ 102 điểm thành 148 điểm. Đó là một sự gia tăng điểm kiểm soát cần thiết nhằm để tổ chức lưu tâm nhiều hơn đến việc quản lý an ninh thông tin. Trong thực tế tiêu chuẩn ISO/ IEC 27001: 2005 có mục 4 hệ thống quản lý an ninh sẽ xóa bỏ vì nó gây ra nhầm lẫn cho tổ chức áp dụng.
Tổng số mục tiêu kiểm soát của tiêu chuẩn ISO/ IEC 27001 sẽ tăng từ 11 mục tiêu lên 14 mục tiêu. Phần lớn các mục tiêu kiểm soát vẫn được giữ nguyên nhưng sẽ có thêm một số mục tiêu kiểm soát mới như A5 Định hướng quản lý an ninh thông tin, A12 An ninh vận hành, A13 An ninh trao đổi thông tin, A15 Mối quan hệ với nhà cung cấp.
Những lợi ích chính của phiên bản mới ISO/ IEC 27001: 2013
ISO đã đưa ra phiên bản mới được cập nhật, có tính đến những kinh nghiệm của người dùng và các tổ chức đã thực hiện với mong muốn chứng nhận theo hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO/IEC 27001:2005. Ý tưởng của phiên bản mới là để cung cấp một cách tiếp cận hợp lý linh hoạt hơn với mong muốn để quản lý rủi ro hiệu quả hơn.
Bộ tiêu chuẩn sửa đổi đã thực hiện một số cải tiến cho an ninh thông tin được kiểm soát tại Phụ lục A để đảm bảo rằng các tiêu chuẩn hiện hành vẫn có khả năng đối phó với những rủi ro thông tin ngày càng cao như hiện nay, cụ thể là đánh cắp nhận dạng, rủi ro liên quan đến các thiết bị di động và các lỗ hổng bảo mật trực tuyến khác.
Cuối cùng là tiêu chuẩn ISO/IEC 27001 phiên bản mới đã được sửa đổi để phù hợp với cấu trúc cấp cao mới được sử dụng trong tất cả các tiêu chuẩn hệ thống quản lý và có thể thực hiện tích hợp với các hệ thống quản lý khác một cách dễ dàng.
Tiêu chuẩn ISO/IEC 27001 mới sẽ giúp các tổ chức muốn thực hiện tích hợp nhiều hơn một hệ thống quản lý tại một thời điểm. Sự giống nhau trong cấu trúc giữa các tiêu chuẩn sẽ tiết kiệm kinh phí và thời gian tổ chức như họ có thể áp dụng các chính sách và thủ tục thích hợp.Ví dụ, một tổ chức có thể muốn tích hợp hệ thống an ninh thông tin của họ (ISO/IEC 27001) với các hệ thống quản lý khác như Hệ thống quản lý kinh doanh liên tục (ISO/IEC 22301), Hệ thống quản lý dịch vụ thông tin (ISO/IEC 20.000-1) hoặc Hệ thống quản lý chất lượng (ISO 9001).
Tiêu chuẩn ISO/ IEC 27001: 2013 sẽ được công bố ngày 01 tháng 10 năm 2013.
Các tổ chức tư vấn/ chứng nhận theo phiên bản năm 2005 của tiêu chuẩn sẽ cần phải nâng cấp hệ thống quản lý an ninh thông tin cho khách hàng để thực hiện theo yêu cầu của các phiên bản mới của tiêu chuẩn. Tổ chức áp dụng sẽ có một thời gian gia hạn là 12 tháng trước khi tái chứng nhận
Các bài viết khác
Kỷ niệm 15 năm ngày thành lập Công ty TNHH Tư vấn quản lý quốc tế và hỗ trợ kỹ thuật cao - QM&T ( 10/9/2003-10/9/2018)
Đào tạo nhận thức chung và chuyên gia đánh giá nội bộ hệ thống quản lý chất lượng theo TCVN ISO 9001:2008 trong hoạt động cơ quan HCNN tỉnh Sóc Trăng
Hội nghị tổng kết tình hình áp dụng HTQLCL tại các cơ quan HCNN tỉnh Bình Dương năm 2013, 8 tháng đầu năm 2014 và phương hướng cuối năm 2014
Hội nghị triển khai Quyết định 1430/QĐ-UBND ngày 28/8/2014 của UBND tỉnh Trà Vinh