Hỏi đáp về tiêu chuẩn ISO/IEC 27000 (Phần 1)

Ở phần này, những câu hỏi thường gặp về tiêu chuẩn ISO / IEC 27000 chủ yếu xoay quanh việc giải đáp các câu hỏi chung, cơ bản liên quan đến tiêu chuẩn ISO / IEC 27000. Hãy cùng Vietcert hỏi đáp về tiêu chuẩn ISO/IEC 27000 nhé!

Câu hỏi 1: Tiêu đề của nhiều tiêu chuẩn ISO 27000 thường đề cập đến “Công nghệ thông tin – Kỹ thuật bảo mật”. Điều này có nghĩa là chúng dành riêng cho CNTT đúng hay không?

Giải đáp: Không, chắc chắn là không! Các chức danh chính thức chỉ đơn giản phản ánh tên ban đầu của ủy ban ISO và IEC chung giám sát sản xuất của họ, đó là SC 27 “Công nghệ thông tin – Kỹ thuật bảo mật”, bản thân nó là một tiểu ban của JTC 1 “Công nghệ thông tin”.

ISO / IEC JTC 1 / SC 27 đã thông qua một tên mới vào năm 2019 trở thành “Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư”. Tên mới sẽ dần dần đi vào các tiêu chuẩn khi chúng được sửa đổi và xuất bản.

Phạm vi của các tiêu chuẩn ISO 27000 đương nhiên bao gồm nhiều khía cạnh của CNTT nhưng không dừng lại ở đó. Phần giới thiệu ISO / IEC 27002:2013 nêu rõ ràng:

”Giá trị của thông tin vượt ra ngoài những từ ngữ, con số và hình ảnh được viết ra: Kiến ​​thức, khái niệm, ý tưởng và thương hiệu là những ví dụ về các dạng thông tin vô hình. Trong một thế giới liên kết, thông tin và các quy trình liên quan, hệ thống, mạng lưới và nhân sự tham gia vào việc vận hành, xử lý và bảo vệ chúng là những tài sản, giống như các tài sản kinh doanh quan trọng khác, có giá trị đối với hoạt động kinh doanh của tổ chức và do đó xứng đáng hoặc cần được bảo vệ khỏi các mối nguy hiểm khác nhau . ”

Nói chung, tài sản thông tin có giá trị nhất của một tổ chức thuộc về các đơn vị kinh doanh, phòng ban hoặc các chức năng khác ngoài Phòng CNTT. CNTT thường sở hữu, quản lý và chịu trách nhiệm bảo vệ cơ sở hạ tầng CNTT được chia sẻ (tức là các hệ thống CNTT chính của công ty và mạng cung cấp các dịch vụ CNTT được chia sẻ cho doanh nghiệp) là một tài sản thông tin quan trọng theo đúng nghĩa của nó. Tuy nhiên, trong điều khoản bảo mật thông tin, CNTT thường đóng vai trò là người giám sát (nhưng không phải chủ sở hữu) đối với hầu hết dữ liệu kinh doanh trên hệ thống và mạng, bao gồm nội dung thuộc về các bộ phận khác của tổ chức hoặc nhà cung cấp, khách hàng, đối tác kinh doanh, khách hàng tiềm năng, các bên liên quan, và các bên thứ ba khác.

Sự phân biệt này có ý nghĩa quan trọng. Chủ sở hữu tài sản thông tin có trách nhiệm đảm bảo rằng tài sản thông tin của họ được bảo vệ đầy đủ, giống như các tài sản khác của doanh nghiệp. Mặc dù các chủ sở hữu tài sản thông tin thường ủy thác các trách nhiệm chính về bảo mật thông tin cho Bảo mật thông tin và / hoặc CNTT, họ vẫn phải chịu trách nhiệm và phải đảm bảo rằng an ninh thông tin được cấp vốn, chỉ đạo và hỗ trợ đầy đủ để đạt được mức độ bảo vệ cần thiết. Tương tự như vậy, CNTT và An ninh Thông tin nói chung hoạt động như những cố vấn và người giám sát với nhiệm vụ bảo vệ thông tin / dữ liệu được họ chăm sóc, nhưng cuối cùng họ không chịu trách nhiệm về hầu hết các sự cố, vi phạm và tác động về an toàn thông tin xảy ra do rủi ro không khôn ngoan quyết định quản lý (chẳng hạn như bảo mật dưới mức tài trợ hoặc chấp nhận rủi ro) do chủ sở hữu tài sản thông tin thực tế đưa ra.

Hướng giải quyết: Khi đánh giá và xử lý rủi ro thông tin, hãy tập trung chủ yếu vào các quy trình kinh doanh quan trọng và thông tin kinh doanh có giá trị hơn là các hệ thống và dữ liệu CNTT hỗ trợ. Cách tiếp cận hiện đại đối với quản trị doanh nghiệp có nghĩa là các nhà quản lý doanh nghiệp thiếu kinh nghiệm không còn có thể đổ lỗi và thu mình lại phía sau CNTT nếu họ đưa ra các quyết định không phù hợp hoặc không hành động để xác định và bảo vệ các tài sản thông tin quan trọng. Tuy nhiên, họ thường cần được giúp đỡ để đánh giá cao và hoàn thành các nghĩa vụ bảo mật của mình.

Hỏi đáp về tiêu chuẩn ISO/IEC 27000
Hỏi đáp về tiêu chuẩn ISO/IEC 27000

Câu hỏi 2: Có thể mua các tiêu chuẩn về ISO 27000 ở đâu?

Giải đáp: ISO / IEC 27000, ISO / IEC 27001, ISO / IEC 27002 và tất cả các tiêu chuẩn về ISO 27000 đã được công bố khác có thể được mua trực tiếp từ cửa hàng ISO hoặc từ các cơ quan tiêu chuẩn quốc gia và tổ chức thương mại khác nhau.

Tuy nhiên, cần kiểm tra các phiên bản được bản địa hóa / quốc gia của các tiêu chuẩn. Một số cơ quan tiêu chuẩn quốc gia phát hành các phiên bản dịch của tiêu chuẩn bằng ngôn ngữ địa phương của họ. Họ đã cố gắng hết sức để đảm bảo rằng các bản dịch vẫn đúng với bản gốc, mặc dù điều này đương nhiên là mất thời gian.

Các tiêu chuẩn ISO 27000 có thể được mua dưới dạng tài liệu điện tử hoặc bìa cứng in. Ngoài các tệp PDF dành cho một người dùng, các cơ quan tiêu chuẩn có thể cấp phép cho các phiên bản điện tử của tiêu chuẩn để nhiều người dùng sử dụng trong nội bộ công ty – tiện lợi để cung cấp các tiêu chuẩn cuối cùng khả dụng trên mạng nội bộ của bạn.

Xem thêm:

Giá trị của ISO 26000

Nhập khẩu tiểu ngạch là gì? Thủ tục tiến hành như thế nào?