ISO / IEC 27000: 2018 cung cấp tổng quan về hệ thống quản lý an toàn thông tin (ISMS) và các thuật ngữ và định nghĩa thường được sử dụng trong họ tiêu chuẩn ISO / IEC 27001 về Hệ thống quản lý an toàn thông tin.

Được thiết kế cho tất cả các loại tổ chức và ứng dụng, từ các công ty đa quốc gia đến doanh nghiệp vừa và nhỏ, phiên bản mới được phát hành vào tháng 2 2018 có giá trị như nhau đối với các cơ quan chính phủ hoặc các tổ chức phi lợi nhuận.
Gia đình 27000 có hơn một chục tiêu chuẩn. ISO / IEC 27000 mới được công bố cung cấp sự hiểu biết về cách các tiêu chuẩn đáp ứng: phạm vi, vai trò, chức năng và mối quan hệ của chúng.
Cộng đồng ISO / IEC 27001 sẽ thấy tiêu chuẩn này hữu ích vì nó tập hợp tất cả các thuật ngữ cơ bản được sử dụng bởi các tiêu chuẩn khác trong gia đình ISO / IEC 27000.

Trong môi trường kinh doanh ngày nay, nơi công nghệ và truyền thông đang phát triển với tốc độ chóng mặt, việc bảo vệ thông tin lại càng trở nên quan trọng. Thông tin có tầm quan trọng lớn đối với một tổ chức để tiếp tục các hoạt động của mình. Trong việc bảo vệ thông tin, việc xác định rủi ro bảo mật và các mối đe dọa đối với tài sản thông tin và kiểm soát các điểm mở trong hệ thống đòi hỏi những nỗ lực nghiêm túc. Thiết lập bảo mật thông tin và đảm bảo tính liên tục của các điều khiển được thực hiện tùy thuộc vào việc thiết lập chính xác các nguyên tắc bảo mật có liên quan và xác định chính xác các quy trình quản lý.

Trong thế giới kinh doanh ngày nay bảo mật thông tin nó được coi là một rủi ro nghiêm trọng và tùy thuộc vào các tiêu chuẩn nhất định được thiết lập trong tổ chức để xác định và thực hiện kiểm soát bảo mật thông tin nhất quán, cũng như chấp nhận rủi ro ở mức chấp nhận được.

ISO / IEC 27001 là tiêu chuẩn kiểm toán quốc tế duy nhất xác định các yêu cầu của Hệ thống quản lý bảo mật thông tin (ISMS). Nó được thiết kế để đảm bảo rằng các kiểm soát an toàn đầy đủ và tương xứng được chọn.

Tổ chức tiêu chuẩn quốc tế Hệ thống quản lý bảo mật thông tin ISO / IEC 27001 là một bộ các tiêu chuẩn giúp bảo vệ và quản lý các tài sản thông tin có giá trị. Đây là hệ thống quốc tế duy nhất xác định các tiêu chuẩn cần thiết cho bảo mật thông tin. Hệ thống này được thiết kế để đảm bảo rằng các kiểm soát an toàn đầy đủ và tương xứng được chọn.

Trong các công tác chuẩn bị tiêu chuẩn của Tổ chức Tiêu chuẩn Quốc tế (ISO) thường được thực hiện bởi các ủy ban kỹ thuật. Các tiêu chuẩn ISO 27000 cũng đã được chuẩn bị bởi Ủy ban kỹ thuật chung được thành lập bởi Tổ chức tiêu chuẩn quốc tế và Ủy ban kỹ thuật điện quốc tế.

Ủy ban kỹ thuật điện quốc tế (IEC - Ủy ban kỹ thuật điện quốc tế) được thành lập tại 1906 và đặt ra các tiêu chuẩn quốc tế cho thiết bị điện tử và các công nghệ tương tự. Viện Tiêu chuẩn Thổ Nhĩ Kỳ (TSE) là thành viên của ủy ban này. Mục tiêu chính của IEC là cải thiện chất lượng sản phẩm và dịch vụ trên toàn cầu, đóng góp cho sức khỏe và an toàn của con người và hỗ trợ bảo vệ môi trường. ISO hoạt động trên các vấn đề nằm ngoài phạm vi của Ủy ban kỹ thuật điện quốc tế.

Hệ thống quản lý bảo mật thông tin ISO 27001 thiết lập cơ sở hạ tầng thông tin, phân tích các cuộc tấn công và nguy hiểm có thể có đối với các tài sản này và quyết định phải làm gì trong trường hợp có những nguy hiểm này. Đây là hệ thống quan trọng nhất trong số các hệ thống quản lý tích hợp, đặc biệt là đối với các tổ chức đang cố gắng đạt được bản sắc công ty.

Hệ thống quản lý bảo mật thông tin ISO 27001 sẽ cung cấp cho tổ chức những lợi thế lớn về mặt xác định các rủi ro liên quan đến bảo vệ thông tin và xác định các biện pháp để loại bỏ hoặc giảm thiểu các rủi ro đó.

Không có hạn chế ngành về việc thực hiện hệ thống này. Các tổ chức trong mỗi lĩnh vực có thể thiết lập Hệ thống quản lý bảo mật thông tin nếu họ cảm thấy cần phải bảo vệ thông tin. Tuy nhiên, đặc biệt là trong các ngân hàng và tổ chức tài chính, tổ chức y tế, cơ quan chính phủ, ngành công nghệ thông tin bảo vệ thông tin là quan trọng hơn nhiều.

Các tiêu chuẩn ISO 27000 thực sự được tạo thành từ nhiều tiêu chuẩn. Một số tiêu chuẩn này là:

  • Hệ thống quản lý bảo mật thông tin ISO 27001 Tiêu chuẩn: Đây là tiêu chuẩn cơ bản của Hệ thống quản lý bảo mật thông tin.
  • Tiêu chuẩn thực hành ISO 27002 cho tiêu chuẩn hệ thống quản lý bảo mật thông tin
  • Tùy chỉnh hệ thống quản lý bảo mật ISO 27003, Hướng dẫn triển khai
  • Thang đo ISO 27004, Tiêu chuẩn báo cáo
  • Tiêu chuẩn quản lý rủi ro hệ thống bảo mật thông tin ISO 27005
  • Tiêu chuẩn ISO 27006 cho các yêu cầu về kiểm toán và chứng nhận bảo mật thông tin

Ngày nay, Quản lý An toàn Thông tin là một hệ thống cần được quản lý toàn bộ, bao gồm tất cả các nguồn nhân lực trong tổ chức, đặc biệt là quản lý cấp cao, hệ thống thông tin và quy trình kinh doanh.

Chúng tôi đã nói rằng Tiêu chuẩn hệ thống quản lý bảo mật thông tin ISO 27001 là tiêu chuẩn chính của hệ thống. Việc cài đặt và chứng nhận hệ thống quản lý an ninh thông tin trong các tổ chức được thực hiện theo tiêu chuẩn này.

Mục tiêu chính của tiêu chuẩn này là:

  • Xác định các lỗ hổng bảo mật thông tin tiềm năng của tổ chức, xác định các mối đe dọa đối với tài sản thông tin và kiểm tra chúng một cách có hệ thống.
  • Để xác định các kiểm soát để đảm bảo an toàn cho tài sản thông tin có nguy cơ, để đảm bảo rằng các kiểm soát này được thực hiện và để giữ các rủi ro có thể ở mức chấp nhận được.
  • Để đảm bảo tính liên tục của các kiểm soát bảo mật thông tin được thực hiện theo cách này và để xác định và thực hiện các quy trình quản lý cho mục đích này.

Tiêu chuẩn hệ thống quản lý bảo mật thông tin ISO 27001 được công bố bởi Tổ chức tiêu chuẩn quốc tế tại 2005. Tên đầy đủ ISO / IEC 27001: 2005 Công nghệ thông tin Kỹ thuật bảo mật Yêu cầu hệ thống quản lý bảo mật thông tin. Nó thường được gọi là tiêu chuẩn chứng nhận ISO 27001.

Các tiêu chuẩn ISO 27001 bao gồm cơ cấu tổ chức, chính sách, hoạt động lập kế hoạch, trách nhiệm, hoạt động, hướng dẫn thực hiện, quy trình kinh doanh và tài nguyên của một tổ chức đã thiết lập hệ thống này.