CHỨNG NHẬN QUẢN LÝ AN TOÀN THÔNG TIN
1.Giới thiệu chứng nhận
Thông tin quản lý an toàn được dùng với tiền thân của tiêu chuẩn ISO / IEC27001 là tiêu chuẩn BS7799 của Anh, mà trong tháng 2 năm 1995 do Hiệp hội tiêu chuẩn Anh (BSI) đề ra, và sửa đổi vào tháng 5/ 1995 mà hoàn thành.
BSI năm 1999 đã sửa đổi tiêu chuẩn. BS7799 được chia thành hai phần:
- BS7799-1, thông tin quản lý bảo mật thực hiện các quy định: mang đến khuyến nghị cho việc quản lý an ninh thông tin, chịu trách nhiệm vận hành của tổ chức, thực hiện hoặc duy trì sử dụng an toàn nhân viên
- BS7799-2 quy phạm về hệ thống quản lý an ninh thông tin: mô tả việc thành lập, thực hiện và tốc độ của hệ thống quản lý an ninh thông tin (ISMS) yêu cầu, phù hợp với các yêu cầu quy định của tổ chức độc lập cần phải thực hiện các yêu cầu về kiểm soát an toàn.
2. An toàn thông tin và luật pháp quy định
Có hai động lực chính trong ngành cho chứng nhận ISO27001: một là mối đe dọa ngày càng tăng về an ninh thông tin, còn một là yêu cầu về các luật và quy định về bảo vệ thông tin ngày càng tăng.
Về bản chất, mối đe dọa đối với an ninh thông tin là tính toàn cầu hóa. Nói chung, nó sẽ tỏa ra không khác biệt với mọi tổ chức và cá nhân sở hữu và cơ cấu sử dụng thông tin điện tử. Mối đe dọa này được tự động tạo và phát hành trong môi trường Internet. Vấn đề nghiêm trọng hơn là các hình thức nguy hiểm khác cũng đe doạ đến an ninh dữ liệu, bao gồm hàng loạt các mối nguy hiểm từ xâm phạm bên ngoài đến phá hoại nội bộ và trộm cắp.
Trong thập kỷ qua, được xây dựng xung quanh hệ thống pháp luật thông tin và bảo mật dữ liệu, từ không đến có, không ngừng phát triển, trong đó đặc biệt bảo vệ các dữ liệu cá nhân, có những quy định để bảo vệ chống lại tài chính doanh nghiệp, hoạt động kinh doanh và hệ thống quản lý rủi ro được thành lập để bảo vệ những vấn đề này.
Một hệ thống quản lý an ninh thông tin được xây dựng tốt sẽ cung cấp hướng dẫn triển khai thực tiễn tốt nhất. Hiện nay, việc thành lập một hệ thống quản lý như vậy dần dần trở thành một điều kiện cần thiết cho rất nhiều dự án tuân thủ cùng một lúc, là nhu cầu phổ biến cho việc chứng nhận hệ thống quản lý đã dần dần tạo thành tổ chức khác nhau (bao gồm cả cơ quan chính phủ), giấy chứng nhận này có thể mang lại những tiềm năng quan trọng đối với hợp đồng thương mại.
3. Yêu cầu chứng nhận
Tiêu chuẩn ISO27001 là vì các tiêu chuẩn quản lý khác, chẳng hạn như ISO9000 và ISO14001 tương thích hỗ trợ nhau mà lập nên, hệ thống số hiệu tiêu chuẩn này và yêu cầu quản lý tập tin được thiết kế, nó là để cung cấp khả năng tương thích tốt, tạo điều kiện cho các tổ chức để xây dựng hệ thống quản lý như vậy: trong phạm vi lớn nhất có thể tích hợp vào tổ chức đang sử dụng bất kỳ hệ thống quản lý khác.
Nói chung, các tổ chức thường sử dụng các dịch vụ chứng nhận ISO 27001 để cung cấp các dịch vụ chứng nhận cho chứng nhận ISO9000 hoặc các chứng nhận hệ thống quản lý khác. Chính vì lý do này kinh nghiệm trong kiểm soát chất lượng đóng vai trò quyết định trong việc thành lập hệ thống ISMS.
Tuy nhiên, một điều cần lưu ý là một tổ chức không có quyền sở hữu và sử dụng bất kỳ hình thức quản lý nào trước đây không có nghĩa là tổ chức đó không thể chứng nhận ISO27001. Trong những trường hợp như vậy, tổ chức nên chọn một cơ quan chứng nhận thích hợp cho hệ thống quản lý của mình để cung cấp các dịch vụ chứng nhận vì lợi ích kinh tế.
Cơ quan chứng nhận phải được một cơ quan chứng nhận quốc gia uỷ quyền,tổ chức chứng nhận mới có thể cung cấp dịch vụ chứng nhận và cấp giấy chứng nhận. Hầu hết các quốc gia đều có cơ quan kiểm định quốc gia (ví dụ: UKAS Anh), bất kỳ cơ quan nào được cơ quan này ủy quyền chứng nhận ISMS đều được ghi nhận.
4. Lợi ích chứng nhận
- Xác định, đánh giá và kiểm soát rủi ro, đảm bảo tính bền vững và khả năng kinh doanh.
- Giảm thiểu các vi phạm hợp đồng và vi phạm trực tiếp các yêu cầu pháp luật và quy định gây ra bởi trách nhiệm.
- Bằng cách tuân thủ các tiêu chuẩn quốc tế để nâng cao sức cạnh tranh của doanh nghiệp, nâng cao hình ảnh công ty.
- Xác định rõ ràng các giao diện thông tin nội bộ và bên ngoài của tất cả các tổ chức mục tiêu: Chú ý phòng ngừa sử dụng sai mục đích và mất dữ liệu.
- Thiết lập việc sử dụng các công cụ an toàn.
- Phòng ngừa sự mất mát bí quyết kỹ thuật.
- Trong nội bộ tổ chức nâng cao nhận thức về an toàn.
- Có thể được sử dụng như là bằng chứng của kiểm toán kế toán công.
5. Lệ phí chứng nhận
Ngoài các đầu vào của chính tổ chức, lệ phí kiểm toán chứng nhận ISO 27001 chủ yếu được thể hiện trong việc mời các tổ chức chứng nhận bên thứ ba và kiểm toán viên.
Sau khi áp dụng cho các tổ chức chứng nhận, cơ quan chứng nhận sẽ tổ chức một sự hiểu biết sơ bộ về hiện trạng, xác định phạm vi của cuộc kiểm toán, đề ra báo giá kiểm toán. Báo giá của tổ chức chứng nhận thường dựa trên thời gian đầu tư và nhân viên quyết định, các yếu tố quyết định bao gồm:
- Số lượng nhân viên kiểm toán tổ chức;
- Lượng thông tin trong phạm vi kiểm toán.
- Số lượng địa điểm.
- Quan hệ của tổ chức và thế giới bên ngoài;
- Sự phức tạp của việc tổ chức IT;
- Loại hình tổ chức và bản chất kinh doanh.
Ngoài các vấn đề về chi phí, các tổ chức cũng thường quan tâm đến chu kỳ kiểm toán chứng nhận.
Nói chung, phải mất ít nhất sáu tháng (không bao gồm thời gian để có được giấy chứng nhận) từ khi bắt đầu dự án để bắt đầu xây dựng ISMS cho đến khi nó được phê duyệt. Đối với nhiều tổ chức xác định thực hiện các chương trình chứng nhận ISO 27001 , nên sớm tiến hành kế hoạch cần thiết.