Tiêu chuẩn ISO/IEC 27001:2013 là gì?

Tiêu chuẩn ISO/IEC 27001:2013

Tiêu chuẩn ISO/IEC 27001:2013 hay Tiêu chuẩn Công nghệ thông tin - Các kĩ thuật an toàn - Hệ thống quản lí an toàn thông tin - Các yêu cầu có tên tiếng Anh là: ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.

Tiêu chuẩn SO/IEC 27001:2013 là tiêu chuẩn qui định các yêu cầu đối với hoạt động thiết lập triển khai, duy trì và cải tiến liên tục hệ thống quản lí an toàn thông tin trong bối cảnh của một tổ chức. 

Tiêu chuẩn này cũng bao gồm các yêu cầu cho việc đánh giá và xử lí những rủi ro an toàn thông tin phù hợp với yêu cầu của tổ chức. Các yêu cầu đặt ra trong tiêu chuẩn này mang tính chất tổng quan và nhằm áp dụng cho tất cả các tổ chức với bất kể loại hình, qui mô hay bản chất.

(Theo International Organization for Standardization)

Vai trò

Ngày nay, các hệ thống công nghệ thông tin thâm nhập vào tất cả các lĩnh vực của một tổ chức. Đặc biệt các qui trình kinh doanh quan trọng thường không thể tưởng tượng được nếu không có công nghệ thông tin. 

Nhưng điều này cũng làm tăng nguy cơ mất dữ liệu, đánh cắp dữ liệu bí mật hoặc thiệt hại cho các hệ thống quan trọng.

ISO / IEC 27001: 2013 là tiêu chuẩn quốc tế hàng đầu cho các hệ thống quản lí an ninh thông tin. Nó áp dụng cho các doanh nghiệp tư nhân và công cộng cũng như các tổ chức phi lợi nhuận và xác định các yêu cầu cho việc thiết lập, thực hiện, bảo trì và cải tiến liên tục của một hệ thống quản lí bảo mật thông tin.

Tiêu chuẩn này cung cấp một cách tiếp cận có hệ thống, có cấu trúc

1. Để tăng tính khả dụng của các hệ thống công nghệ thông tin của riêng tổ chức, bao gồm dữ liệu và thông tin hiện có,

2. Để bảo vệ tính toàn vẹn của thông tin hiện có,

3. Để đảm bảo tính bảo mật của dữ liệu hiện có và bảo vệ chúng khỏi bị truy cập trái phép, cũng như

4. Để đảm bảo tính xác thực của thông tin.

5. Các tổ chức thuộc mọi qui mô và ngành công nghiệp có thể cung cấp bằng chứng thông qua chứng nhận của một tổ chức chứng nhận được công nhận.

+ để đảm bảo an toàn thông tin liên tục theo chu trình Act-Do-Check-Act, 

+ để nhận ra và kiểm soát rủi ro và do đó để đạt được cải tiến liên tục, 

+ để bảo vệ dữ liệu bí mật cũng như 

+ để đáp ứng các yêu cầu bên ngoài về tính sẵn có, tính toàn vẹn và bảo mật của thông tin, ví dụ như của kế toán viên.  

(Tài liệu tham khảo: ISO / IEC 27001:2013 CNTT Hệ thống quản lí bảo mật thông tin, tổ chức ISO-CERT.VN)

Thuật ngữ khác