ISO 27001:2022

Tiêu chuẩn ISO27001:2022 là gì?

Tiêu chuẩn ISO 27001 là tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin do tổ chức tiêu chuẩn hóa quốc tế phát triển và ban hành. ISO 27001:2013 được công nhận phổ biến trên thế giới.

ISO 27001:2013 là phiên bản mới nhất chính thức thay thế phiên bản ISO 27001:2005 (đã hết hạn)

Tiêu chuẩn ISO 27001:2013 cung cấp một mô hình để thiết lập, áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến Hệ thống ISMS và có thể áp dụng cho hầu hết mọi loại hình tổ chức không phân biệt loại hình, quy mô hay bản chất như: các tổ chức kinh doanh – thương mại, chính phủ, tổ chức phi lợi nhuận. ISO 27001 quy định những yêu cầu đối với hệ thống an ninh thông tin là cơ sở để xem xét đánh giá cấp chứng chỉ của các tổ chức chứng nhận. ISO 27001 có thể được sử dụng bởi các phòng ban nội bộ và bên ngoài để đánh giá khả năng của tổ chức trong việc đáp ứng các yêu cầu an toàn thông tin của tổ chức.

ISO/IEC 27001:2022 – phiên bản mới nhất của ISO 27001 – được xuất bản vào tháng 10 năm 2022.

Các tổ chức được chứng nhận ISO/IEC 27001:2013 có thời gian chuyển tiếp ba năm để thực hiện những thay đổi cần thiết đối với ISMS (hệ thống quản lý bảo mật thông tin) của họ.

Để biết thêm thông tin về ISO 27001:2022 và tiêu chuẩn đồng hành của nó, ISO 27002:2022, và ý nghĩa của chúng đối với tổ chức của bạn,

ISO 27001:2022 không khác nhiều so với ISO 27001:2013, nhưng có một số thay đổi đáng chú ý

Bối cảnh và phạm vi

Bây giờ bạn phải xác định các yêu cầu “có liên quan” của các bên quan tâm và xác định yêu cầu nào sẽ được giải quyết thông qua ISMS (hệ thống quản lý bảo mật thông tin).

ISMS hiện bao gồm rõ ràng “các quy trình cần thiết và các tương tác của chúng”.

Lập kế hoạch

Các mục tiêu bảo mật thông tin giờ đây phải được giám sát và cung cấp “sẵn có dưới dạng thông tin được lập thành văn bản”.

Có một phần mới về lập kế hoạch thay đổi ISMS. Điều này không chỉ định bất kỳ quy trình nào phải được đưa vào, vì vậy bạn nên xác định cách bạn có thể chứng minh rằng những thay đổi đối với ISMS thực sự đã được lên kế hoạch.

Ủng hộ

Các yêu cầu xác định ai sẽ giao tiếp và các quy trình thực hiện giao tiếp đã được thay thế bằng yêu cầu xác định “cách thức giao tiếp”.

Hoạt động

Yêu cầu lập kế hoạch làm thế nào để đạt được các mục tiêu an toàn thông tin đã được thay thế bằng yêu cầu thiết lập tiêu chí cho các quy trình để thực hiện các hành động được xác định trong Điều 6 và kiểm soát các quy trình đó theo tiêu chí.

Các tổ chức hiện được yêu cầu kiểm soát “các quy trình, sản phẩm hoặc dịch vụ do bên ngoài cung cấp” liên quan đến ISMS thay vì chỉ các quy trình.

Hiệu suất và đánh giá

Các phương pháp theo dõi, đo lường, phân tích và đánh giá hiệu quả của ISMS hiện nay cần phải có thể so sánh và tái sản xuất được.

Giờ đây, việc xem xét của lãnh đạo cũng phải xem xét những thay đổi về nhu cầu và mong đợi của các bên quan tâm.
phụ lục A

Phụ lục A đã được sửa đổi để phù hợp với ISO 27002:2022. Các điều khiển của Phụ lục A được thảo luận trong phần bên dưới.

Đầu tiên, cụm từ “quy tắc thực hành” đã bị loại bỏ khỏi tiêu đề của tiêu chuẩn ISO 27002 cập nhật. Điều này phản ánh tốt hơn mục đích của nó như là một bộ tham chiếu kiểm soát bảo mật thông tin.

Bản thân Tiêu chuẩn dài hơn đáng kể so với phiên bản trước và các điều khiển đã được sắp xếp lại và cập nhật. Một số điều khiển đã được hợp nhất hoặc xóa và một số điều khiển đã được thêm vào:

ISO 27002:2022 liệt kê 93 biện pháp kiểm soát thay vì 114 của ISO 27002:2013.

Các điều khiển này được nhóm thành 4 ‘chủ đề’ thay vì 14 mệnh đề. Họ đang:

Mọi người (8 điều khiển)

Tổ chức (37 điều khiển)

Công nghệ (34 điều khiển)

Vật lý (14 điều khiển)

Các điều khiển hoàn toàn mới là:

mối đe dọa tình báo

Bảo mật thông tin khi sử dụng dịch vụ đám mây

Sự sẵn sàng về CNTT-TT cho hoạt động kinh doanh liên tục

Giám sát an ninh vật lý

quản lý cấu hình

xóa thông tin

Mặt nạ dữ liệu

Chống rò rỉ dữ liệu

Hoạt động giám sát

lọc web

Mã hóa an toàn

Các điều khiển hiện cũng có năm loại ‘thuộc tính’ để giúp chúng dễ phân loại hơn:

Loại kiểm soát (phòng ngừa, phát hiện, khắc phục)

Thuộc tính bảo mật thông tin (bảo mật, toàn vẹn, sẵn sàng)

Khái niệm an ninh mạng (xác định, bảo vệ, phát hiện, phản hồi, phục hồi)

Năng lực vận hành (quản trị, quản lý tài sản, v.v.)

Các lĩnh vực bảo mật (quản trị và hệ sinh thái, bảo vệ, phòng thủ, khả năng phục hồi)