Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013: Đối tượng và lợi ích khi áp dụng
ISO/IEC 27001 là tiêu chuẩn quốc tế quy định các yêu cầu đối với việc xây dựng, thực hiện, duy trì và cải tiến liên tục HTQL an toàn thông tin trong bối cảnh tổ chức, nhằm đảm bảo tính bảo mật, tính nguyên vẹn, sẵn sàng đối với tài sản thông tin của các tổ chức/ doanh nghiệp. Việc áp dụng một hệ thống quản lý An toàn thông tin sẽ giúp tổ chức/ doanh nghiệp ngăn ngừa, hạn chế tổn thất trong sản xuất, kinh doanh liên quan tới hư hỏng, mất mát các thông tin hoặc dữ liệu quan trọng.
ISO/IEC 27001 nằm trong bộ tiêu chuẩn quốc tế ISO/IEC 27000 về quản lý an toàn thông tin.
Tháng 12 năm 2000, tiêu chuẩn BS 7799-1 được tổ chức Tiêu chuẩn hóa quốc tế (ISO) và Ủy ban kỹ thuật điện quốc tế (IEC) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000.
Năm 2005, tiêu chuẩn này được ban hành thành tiêu chuẩn ISO/IEC 27001:2005 “Công nghệ thông tin - Hệ thông quản lý an toàn thông tin - Các yêu cầu”. Tiêu chuẩn ISO/IEC 27001:2005 sau đó được sửa đổi, bổ sung để ban hành lần thứ 2 vào năm 2013 (ISO/IEC 27001:2013). Phiên bản ISO/IEC 27001:2013 đã được Việt Nam (Bộ KH&CN) chấp nhận thành tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019. Hiện nay, việc áp dụng HTQL an toàn thông tin đã được triển khai rộng khắp ở hầu hết quốc gia trên thế giới.
Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013 áp dụng cho mọi loại hình doanh nghiệp.
Tại Việt Nam, thời gian qua một số tổ chức ngân hàng, tài chính, công nghệ thông tin cũng bắt đầu quan tâm triển khai áp dụng HTQL an toàn thông tin và bước đầu đã đạt được kết quả nhất định.
ISO/IEC 27001 có thể áp dụng đối với mọi loại hình tổ chức (doanh nghiệp sản xuất, dịch vụ, thương mại, cơ quan chính phủ, các tổ chức phi chính phủ…). Tiêu chuẩn này quy định yêu cầu đối với việc thiết lập, thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến hệ thống quản lý an toàn thông tin (ISMS) dưới dạng văn bản trong bối cảnh rủi ro liên quan đến các quá trình kinh doanh/ tác nghiệp tổng thể của chính tổ chức đó.
Tiêu chuẩn cũng quy định cụ thể yêu cầu đối với việc thực hiện các biện pháp kiểm soát an toàn tương thích với nhu cầu của chính tổ chức. Mục đích cuối cùng của hệ thống là nhằm bảo vệ tài sản thông tin và tạo lòng tin cho các bên quan tâm. ISO/IEC 27001 là một phần của HTQL chung của các tổ chức/ doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các HTQL khác như HTQL chất lượng (theo ISO 9001), HTQL môi trường (theo ISO 14001)...
Lợi ích của việc thực hiện ISMS chủ yếu có được từ việc giảm các rủi ro về an toàn thông tin (ATTT) (ví dụ như giảm khả năng xảy ra và/ hoặc tác động gây ra bởi các sự cố ATTT).
Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013 giúp doanh nghiệp tăng năng suất, chất lượng sản phẩm hàng hóa.
Cụ thể, lợi ích đã được thừa nhận đối với một tổ chức, doanh nghiệp nhằm đạt được sự thành công bền vững thông qua việc chấp nhận và áp dụng ISMS theo ISO/IEC 27001 bao gồm: Tạo khuôn khổ được cấu trúc để hỗ trợ cho việc quy định, thực hiện, vận hành và duy trì hệ thống quản lý ATTT toàn diện, hiệu quả về chi phí, tạo thêm giá trị (cho khách hàng, các bên quan tâm và cho chính tổ chức), nhất quán và đồng bộ nhằm thỏa mãn nhu cầu của tổ chức;
Hỗ trợ cho lãnh đạo tổ chức trong việc quản lý và vận hành một cách nhất quán, có trách nhiệm đối với hoạt động quản lý về ATTT, dựa trên nền tảng quản lý các rủi ro của tổ chức, kể cả việc giáo dục và đào tạo cho các chủ thể của hệ thống và các quá trình nghiệp vụ trong tổ chức, doanh nghiệp về quản lý ATTT;
Thúc đẩy việc áp dụng các thực hành tốt về ATTT đã được chấp nhận toàn cầu, tạo cơ hội để tổ chức, doanh nghiệp có thể tiếp cận và chấp nhận áp dụng, cải tiến các biện pháp kiểm soát phù hợp với tình huống/ bối cảnh cụ thể của mình cũng như duy trì các biện pháp kiểm soát này trước những thay đổi từ nội bộ và bên ngoài;
Tạo lòng tin cho khách hàng, đối tác kinh doanh về hệ thống quản lý ATTT được tuân thủ, phù hợp tiêu chuẩn được thừa nhận quốc tế, nhất là khi các đối tác này yêu cầu chứng nhận sự phù hợp của hệ thống quản lý ATTT theo yêu cầu ISO/IEC 27001 bởi một tổ chức chứng nhận được công nhận; Thỏa mãn nhu cầu và mong đợi của xã hội về khía cạnh ATTT, kể cả việc đáp ứng, tuân thủ yêu cầu của pháp luật; Đạt hiệu quả hơn về quản lý kinh tế khi đầu tư cho quản lý ATTT.