Hãy cùng Vietcert tiếp tục hỏi đáp về tiêu chuẩn ISO/IEC 27000 nhé!

Câu hỏi 3: Tôi muốn trở thành nhà tư vấn ISO 27000. Vậy tôi nên tìm kiếm sách hoặc các khóa học, kỳ thi về ISO 27000 ở đâu?

Giải đáp: Các nguồn tham khảo tốt nhất về tiêu chuẩn ISO 27000 là chính các tiêu chuẩn – nói cách khác, bạn nên mua và đọc các tiêu chuẩn (xem giải đáp ở câu hỏi thứ 2). Là tiêu chuẩn, chúng khá trang trọng về văn phong nhưng dễ đọc và hữu ích. Nếu bạn định thực hiện chúng, hãy viết các chính sách dựa trên chúng, tham khảo ý kiến ​​xung quanh chúng, v.v. chắc chắn bạn sẽ phải làm quen với chúng, vì vậy hãy mua các tiêu chuẩn và bắt đầu đọc!

Bạn có thể tham khảo và nghiên cứu các tiêu chuẩn ISO 27000 dưới đây:

• ISO / IEC 27000 giới thiệu và cung cấp một cái nhìn tổng quan về toàn bộ bộ tiêu chuẩn ISO 27000, đồng thời cung cấp bảng thuật ngữ xác định các thuật ngữ bảo mật thông tin khác nhau cụ thể khi chúng được sử dụng trong ngữ cảnh của tiêu chuẩn.
• ISO / IEC 27001 chính thức quy định hệ thống quản lý bảo mật thông tin. Cùng với ISO / IEC 27006, điều cần thiết nếu bạn có ý định trở thành đánh giá viên chứng nhận ISMS bằng cách tham gia khóa đào tạo “Đánh giá viên trưởng ISO / IEC 27001” được cung cấp bởi các công ty đào tạo, tư vấn và chứng nhận ISO khác nhau và hoàn thành số lượng tuân thủ cần thiết đánh giá dưới sự điều hành của chuyên gia đánh giá chứng nhận ISMS có đủ năng lực. Nếu bạn đang tìm cách thực hiện thay vì chứng nhận sự tuân thủ với tiêu chuẩn, bạn cũng nên nghiên cứu ISO / IEC 27002 và các tiêu chuẩn khác.
• ISO / IEC 27002 là ‘Quy tắc thực hành, một tiêu chuẩn thực tế cung cấp vô số lời khuyên cho những người lựa chọn / thiết kế và thực hiện các biện pháp kiểm soát an toàn thông tin. Cách tốt nhất để tìm hiểu ISO / IEC 27002 từ trong ra ngoài là sử dụng nó cho thực tế, có nghĩa là thực hiện tất cả các bước thông qua một hoặc nhiều triển khai ISMS từ lập kế hoạch đến vận hành, đánh giá và bảo trì. Nếu bạn chưa có kinh nghiệm trước về bảo mật thông tin, bạn nên cố gắng tìm một người cố vấn hoặc hướng dẫn có kinh nghiệm hoặc tham gia khóa học “Người triển khai ISO / IEC 27001”.
• ISO / IEC 27003 giải thích quy trình thực hiện ISO 27000
• ISO / IEC 27004 liên quan đến các chỉ số – một chủ đề nâng cao sẽ trở nên quan trọng hơn khi trải nghiệm của bạn được xây dựng.
• ISO / IEC 27005 liên quan đến việc quản lý (phân tích, đánh giá và xử lý) rủi ro thông tin và đây là nền tảng của tất cả các tiêu chuẩn ISO 27000

Tuy nhiên, bạn cũng nên biết các tiêu chuẩn ISO 27000 còn lại và hiểu rõ về các tiêu chuẩn, phương pháp, luật, v.v. tương tự / liên quan khác để có những kiến thức sâu hơn cho mình.

Để trở thành một nhà tư vấn, bạn nên bắt đầu bằng cách xây dựng hiểu biết kỹ thuật vững chắc về các khái niệm quản trị, rủi ro và kiểm soát, đồng thời thiết lập chuyên môn, kinh nghiệm, năng lực cũng như độ uy tín của bạn.

Hướng giải quyết: Bạn có thể tham gia các Diễn đàn về ISO 27000. Nếu bạn đang gặp khó khăn với các vấn đề cụ thể liên quan đến ISMS, thì kho lưu trữ các tin nhắn trên Diễn đàn rất đáng để duyệt hoặc tìm kiếm (đó là một nhóm của Google nên chức năng tìm kiếm hoạt động tốt) và các thành viên luôn có thể tìm kiếm câu trả lời mới cho các vấn đề và thách thức hiện tại.

Câu hỏi 4: ISO là gì? ISO / IEC nghĩa là gì?

Giải đáp: ISO là tên viết tắt của International Organization for Standardization có nghĩa là Tổ chức Tiêu chuẩn hóa quốc tế.

IEC là Ủy ban Kỹ thuật Điện Quốc tế, một cơ quan tiêu chuẩn quốc tế khác hợp tác chặt chẽ với ISO về các tiêu chuẩn kỹ thuật điện, điện tử và liên quan. Các tiêu chuẩn được phát triển cùng với ISO có tiền tố là “ISO / IEC”.

ISO / IEC cũng hợp tác về một số tiêu chuẩn với các tổ chức quốc tế khác (cả chính phủ và khu vực tư nhân) như Liên minh Viễn thông Quốc tế, một cơ quan thương mại điều phối các tổ chức và thông lệ Telecoms để cho phép truyền thông trên toàn thế giới.

Hướng giải quyết: Việc sử dụng “ISO / IEC” là một điều khó hiểu, tuy nhiên chúng tôi đã cố gắng sử dụng “ISO / IEC” một cách nhất quán trên toàn bộ trang web này khi đề cập đến các tiêu chuẩn hiện hành.

Câu hỏi 5: “WD”, “CD”, “FDIS” và những từ viết tắt khác được thêm vào trước các tiêu chuẩn ISO thực sự có nghĩa là gì?

Giải đáp: Các từ viết tắt chỉ ra tiến trình của các Tiêu chuẩn Quốc tế tuần tự qua các giai đoạn soạn thảo và phê duyệt:

• PWI: Hạng mục công việc sơ bộ – tính khả thi ban đầu và các hoạt động xác định phạm vi phác thảo
• SP: Giai đoạn nghiên cứu – nghiên cứu khu vực, tìm kiếm các tiêu chuẩn và đầu vào liên quan khác, đánh giá nhu cầu thị trường, xác định các bên liên quan, v.v.
• NWIP hoặc NP: Đề xuất hạng mục công việc mới – chuẩn bị phạm vi và phác thảo của một tiêu chuẩn được đề xuất, mở đường cho một dự án phát triển tiêu chuẩn mới
• WD: Bản thảo làm việc (WD thứ nhất, WD thứ hai, v.v.) – giai đoạn phát triển nội dung tiêu chuẩn (“chuẩn bị”), tạo nội dung
• CD: Dự thảo của Ủy ban (CD thứ nhất, CD thứ hai, v.v.) – giai đoạn kiểm soát chất lượng, giải quyết các vấn đề biên tập và lỗi chính tả
• FCD: Dự thảo của Ủy ban Cuối cùng – sẵn sàng để được phê duyệt lần cuối (bỏ phiếu)
• DIS: Dự thảo Tiêu chuẩn Quốc tế
• DAM: Bản thảo phụ lục
• FDIS: Bản thảo cuối cùng / Tiêu chuẩn quốc tế về phân phối
• FDAM: Bản sửa đổi dự thảo cuối cùng
• IS: Tiêu chuẩn Quốc tế
• TR: Báo cáo kỹ thuật
• TS: Đặc điểm kỹ thuật
• COR: CORigendum – về mặt kỹ thuật, một sự hiệu chỉnh

* Ở một số giai đoạn trong quá trình xây dựng tiêu chuẩn, các cơ quan tiêu chuẩn quốc gia thuộc ISO / IEC JTC 1 / SC 27 được mời bỏ phiếu chính thức về các tiêu chuẩn và gửi ý kiến, đặc biệt để giải thích lý do tại sao họ không chấp nhận bất kỳ điều gì.

Quá trình từ PWI đến IS thường mất từ ​​2 đến 4 năm với trung bình là 2,8 năm, được chú ý đến từng chi tiết ở mọi giai đoạn và sự cần thiết của sự hợp tác và đồng thuận trên quy mô toàn cầu, ví dụ: khi WD được ban hành để lấy ý kiến, đại diện của các cơ quan tiêu chuẩn quốc gia thuộc ISO hoặc IEC (được gọi là Cơ quan thành viên trong ISO hoặc Ủy ban quốc gia trong IEC) thường có ~ 3 tháng để xem xét tài liệu, thảo luận với nhau và gửi chính thức phiếu bầu và nhận xét. Nếu các nhận xét không thuận lợi hoặc phức tạp, một WD cập nhật thường được phát hành cho một vòng nhận xét tiếp theo. Khi các tài liệu đã ổn định, chúng được lưu hành để biểu quyết. Bất kỳ ai trong số các bạn có kinh nghiệm trong việc nhận các tài liệu chính thức, chẳng hạn như chính sách bảo mật do ban quản lý của bạn chuẩn bị, xem xét và phê duyệt chắc chắn sẽ đánh giá cao sự ‘thú vị’ khi thực hiện việc này trên trường quốc tế!

Một quá trình theo dõi nhanh đôi khi được sử dụng để áp dụng một tiêu chuẩn quốc gia hiện có làm tiêu chuẩn ISO. Khoảng 6 tháng được phép lấy ý kiến ​​và không quá một phần tư số phiếu có thể bị âm nếu tiêu chuẩn được chấp thuận.

Các tiêu chuẩn đã xuất bản được xem xét 5 năm một lần, hoặc sớm hơn nếu các báo cáo khiếm khuyết được đệ trình.

Xem thêm:

ISO 26000 là gì?

Lưu ý khi tính và thỏa thuận giá cước vận tải đường biển