TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin? Phạm vi áp dụng tiêu chuẩn như thế nào?

Cho hỏi bên mình có TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin? Phạm vi áp dụng tiêu chuẩn như thế nào? - Câu hỏi của cô H.Q (Sa Đéc)

Tổng quan TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin ra sao?

Tiêu chuẩn TCVN ISO/IEC 27001:2019 quy định các yêu cầu đối với hoạt động thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin.

Việc chấp nhận một hệ thống quản lý an toàn thông tin là quyết định chiến lược của tổ chức. Việc thiết lập và thực hiện một hệ thống quản lý an toàn thông tin của tổ chức chịu ảnh hưởng bởi nhu cầu và mục tiêu của tổ chức, các yêu cầu về an toàn, các quy trình của tổ chức được sử dụng và bởi quy mô và cấu trúc của tổ chức. Tất cả những yếu tố ảnh hưởng này dự kiến sẽ thay đổi theo thời gian.

Hệ thống quản lý an toàn thông tin đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin bằng cách áp dụng quy trình quản lý rủi ro và mang lại niềm tin cho các bên liên quan rằng các rủi ro được quản lý đầy đủ.

Điều quan trọng là hệ thống quản lý an toàn thông tin là một phần và được tích hợp các quy trình của tổ chức và với cấu trúc quản lý tổng thể và an toàn thông tin được xem xét trong thiết kế các quy trình, các hệ thống thông tin và các kiểm soát. Dự kiến rằng việc triển khai một hệ thống quản lý an toàn thông tin sẽ có quy mô phù hợp với nhu cầu của tổ chức.

Tiêu chuẩn này có thể được sử dụng bởi các phòng ban nội bộ và bên ngoài để đánh giá khả năng của tổ chức trong việc đáp ứng các yêu cầu an toàn thông tin của chính tổ chức.

Thứ tự yêu cầu được trình bày trong tiêu chuẩn này không phản ánh tầm quan trọng của chúng hay hàm ý thứ tự mà chúng sẽ được thực hiện. Các danh mục được liệt kê chỉ nhằm mục đích tham khảo.

ISO/IEC 27000 mô tả tổng quan và từ vựng của các hệ thống quản lý an toàn thông tin, tham khảo bộ tiêu chuẩn hệ thống quản lý an toàn thông tin (bao gồm ISO/IEC 27003, ISO/IEC 27004 và ISO/IEC 27005), với các thuật ngữ và định nghĩa liên quan.

TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin? Phạm vi áp dụng tiêu chuẩn như thế nào?

TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin? Phạm vi áp dụng tiêu chuẩn như thế nào? (Hình từ Internet)

Phạm vi áp dụng tiêu chuẩn TCVN ISO/IEC 27001:2019 như thế nào?

Căn cứ Mục 1 Tiêu chuẩn TCVN ISO/IEC 27001:2019, phạm vi áp dụng được xác định như sau:

- Tiêu chuẩn này quy định các yêu cầu đối với hoạt động thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin trong bối cảnh của một tổ chức.

- Tiêu chuẩn này cũng bao gồm các yêu cầu cho việc đánh giá và xử lý rủi ro an toàn thông tin phù hợp với yêu cầu của tổ chức. Các yêu cầu đặt ra trong tiêu chuẩn này mang tính chất tổng quan và nhằm áp dụng cho tất cả các tổ chức, không phân biệt loại hình, quy mô hay bản chất.

- Điều 4 đến Điều 10 của tiêu chuẩn là bắt buộc nếu một tổ chức công bố phù hợp với tiêu chuẩn này.

Theo đó, tiêu chuẩn TCVN ISO/IEC 27001:2019 sử dụng tài liệu viện dẫn là TCVN 11238:2015 (ISO/IEC 27000:2014), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng (Information technology - Security techniques - Information security management systems - Overview and vocabulary).

Đây là tài liệu viện dẫn cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).

Bối cảnh của tổ chức được quy định thế nào tại TCVN ISO/IEC 27001:2019?

Tại Mục 4 Tiêu chuẩn TCVN ISO/IEC 27001:2019 có quy định như sau:

Bối cảnh của tổ chức
4.1 Hiểu tổ chức và bối cảnh của tổ chức
Tổ chức cần xác định các vấn đề nội bộ và bên ngoài liên quan đến mục đích của tổ chức và có ảnh hưởng đến khả năng đạt được kết quả mong muốn của hệ thống quản lý an toàn thông tin của tổ chức.
CHÚ THÍCH: Việc xác định những vấn đề liên quan tới thiết lập phạm vi nội bộ và bên ngoài của tổ chức được nêu tại Điều 5.3 của TCVN ISO 31000:2011 (ISO 31000:2009) [5].
4.2 Hiểu được nhu cầu và mong đợi của các bên liên quan
Tổ chức phải xác định:
a) các bên có liên quan đến hệ thống quản lý an toàn thông tin;
b) các yêu cầu về an toàn thông tin của các bên có liên quan này.
CHÚ THÍCH: Các yêu cầu của các bên liên quan có thể bao gồm các yêu cầu pháp lý, quy định quản lý và các nghĩa vụ hợp đồng.
4.3 Xác định phạm vi của hệ thống quản lý an toàn thông tin
Tổ chức phải xác định các giới hạn và khả năng áp dụng hệ thống quản lý an toàn thông tin để thiết lập phạm vi hệ thống.
Khi xác định phạm vi hệ thống, tổ chức phải soát xét:
a) các vấn đề nội bộ và bên ngoài được nêu trong Điều 4.1;
b) các yêu cầu được nêu trong Điều 4.2;
c) sự tương tác và phụ thuộc giữa các hoạt động được thực hiện bởi tổ chức, và những hoạt động được thực hiện bởi tổ chức khác.
Phạm vi này phải sẵn có dưới dạng thông tin dạng văn bản.
4.4 Hệ thống quản lý an toàn thông tin
Tổ chức phải thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin phù hợp với các yêu cầu của tiêu chuẩn này.

Theo đó, bối cảnh của tổ chức được thực hiện theo nội dung tiêu chuẩn nêu trên.

An toàn thông tin Tải về các quy định hiện hành liên quan đến An toàn thông tin
Căn cứ pháp lý
MỚI NHẤT
Thư viện nhà đất
An toàn thông tin trong hoạt động ngân hàng là gì?
Pháp luật
Trường hợp xảy ra sự cố về an toàn thông tin trên môi trường mạng của cơ quan nhà nước thì đối tượng nào có trách nhiệm tham gia ứng cứu?
Pháp luật
Hướng dẫn đăng ký tài khoản thi học sinh với an toàn thông tin 2024? Tiêu chí xét giải thưởng cuộc thi học sinh với an toàn thông tin 2024 ra sao?
Pháp luật
Lịch thi cuộc thi học sinh với an toàn thông tin 2024? Giải thưởng cuộc thi học sinh với an toàn thông tin 2024 ra sao?
Pháp luật
Chức danh nghề nghiệp an toàn thông tin hạng 2 phải đáp ứng những tiêu chuẩn gì về trình độ đào tạo, bồi dưỡng?
Pháp luật
Chức danh nghề nghiệp an toàn thông tin hạng 3 được áp dụng hệ số lương viên chức loại nào và có mức lương bao nhiêu?
Pháp luật
Chức danh nghề nghiệp an toàn thông tin hạng 2 được áp dụng hệ số lương viên chức loại nào và có mức lương bao nhiêu?
Pháp luật
Viên chức dự thi hoặc xét thăng hạng lên chức danh nghề nghiệp an toàn thông tin hạng 1 phải đáp ứng những điều kiện gì?
Pháp luật
Chức danh nghề nghiệp an toàn thông tin hạng 1 có mức lương bao nhiêu và thực hiện những nhiệm vụ nào?
Pháp luật
TCVN ISO/IEC 27001:2019 về hệ thống quản lý an toàn thông tin? Phạm vi áp dụng tiêu chuẩn như thế nào?
Pháp luật
Quy chế an toàn thông tin trong hoạt động ngân hàng tối thiểu gồm các nội dung cơ bản như thế nào?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - An toàn thông tin
Đặng Phan Thị Hương Trà Lưu bài viết
2,961 lượt xem
TÌM KIẾM LIÊN QUAN
An toàn thông tin

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về An toàn thông tin

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào