Vào tháng 10 năm 2022, ISO 27001 đã được cập nhật. Tiêu chuẩn hướng dẫn ISO 27001 cũng được cập nhật phiên bản 2022. Bắt đầu từ tháng 4 năm 2024, các Doanh nghiệp mới phải triển khai theo phiên bản 2022.
Các tổ chức đã được chứng nhận phải chuyển sang phiên bản mới nhất này trước ngày 31 tháng 10 năm 2025.
Để Doanh nghiệp tuân thủ hoặc chuyển đổi sang phiên bản mới thuận lợi. Doanh nghiệp cần hiểu những thay đổi đối với yêu cầu của ISO 27001 và các biện pháp kiểm soát của Phụ lục A trong ISO 27001. GOODVN sẽ giới thiệu những nội dung cập nhật chính dưới đây.
CÁC THAY ĐỔI CHÍNH TRONG ISO 27001:2022
Về cơ bản, tổ chức ISO vẫn giữ xuyên xuốt trong tiêu chuẩn ISO 27001 cấu trúc cấp cao HLS. Chỉ có một số thay đổi nhỏ về mặt biên tập và từ ngữ.
Cập nhật biên tập trong Điều khoản 4-10 của ISO 2701
Nhìn chung, các Điều khoản 4 -10 của ISO 27001 gồm những thay đổi nhỏ về mặt từ ngữ và cấu trúc.
Ví dụ: những thay đổi đối với Điều 6: Lập kế hoạch sẽ loại bỏ sự mơ hồ và ngôn ngữ lỗi thời .Điều 4.4 thay đổi bao gồm cụm từ “bao gồm các quy trình cần thiết và sự tương tác của chúng”.
Về mặt thay đổi cấu trúc
Về cơ bản ISO 27001:2022 vẫn giữ cấu trúc HLS, tuy nhiên có vài điểm thay đổi.
Mục 9.2: Đánh giá nội bộ được chia thành 9.2.1: Tổng quát và 9.2.2: Chương trình đánh giá nội bộ. Tuy nhiên, các yêu cầu vẫn giữ nguyên.
Mục 9.3: Xem xét của BLĐ được chia thành ba mục — 9.3.1: Tổng quan, 9.3.2: Đầu vào đánh giá của ban lãnh đạo và 9.3.3: Kết quả đánh giá của ban lãnh đạo.
Điều khoản mới 6.3 – Lập kế hoạch thay đổi
Phiên bản ISO 27001:2022 cũng giới thiệu một điều khoản mới – Điều 6.3: Lập kế hoạch thay đổi. Điều khoản yêu cầu mọi thay đổi đối với ISMS phải được thực hiện theo cách thức đã được lên kế hoạch.
Mục tiêu của điều này là đảm bảo các tổ chức xem xét mục đích của bất kỳ thay đổi nào đối với ISMS, các hậu quả tiềm ẩn, tác động lên ISMS. Tính sẵn có của nguồn lực và việc phân bổ hoặc tái phân bổ trách nhiệm và quyền hạn, cùng các yếu tố khác.
Các thay đổi khác trong tiêu chuẩn ISO 27001:2022
– Yêu cầu xác định các quy trình cần thiết để triển khai ISMS và các tương tác của chúng
– Yêu cầu rõ ràng là phải truyền đạt các vai trò của tổ chức có liên quan đến bảo mật thông tin trong tổ chức
– Một yêu cầu mới để đảm bảo tổ chức xác định cách thức giao tiếp như một phần của điều khoản 7.4
– Yêu cầu mới để thiết lập tiêu chí cho các quy trình hoạt động và thực hiện kiểm soát các quy trình
Những thay đổi các biện pháp kiểm soát của Phụ lục A trong ISO/IEC 27001: 2022
Thay đổi lớn trong ISO 27001:2022 mà các tổ chức cần lưu ý là bản cập nhật chính thức cho các biện pháp kiểm soát của Phụ lục A. Các thay đổi đối với các biện pháp kiểm soát hiện tại trong Phụ lục A để phù hợp hơn với những thay đổi gần đây đối với ISO/IEC 27002 – Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư. Cụ thể:
5.1 Số lượng các biện pháp đã giảm từ 114 xuống 93
Một số biện pháp kiểm soát đã bị không áp dụng. 24 biện pháp kiểm soát đã được hợp nhất và 58 biện pháp kiểm soát đã được sửa đổi. 11 biện pháp kiểm soát bảo mật mới đã được thêm vào, được thiết kế để giải quyết tình hình an ninh thông tin và an ninh mạng đang thay đổi; đó là:
A.5.7 Thông tin về mối đe dọa
A.5.23 Bảo mật thông tin khi sử dụng dịch vụ đám mây
A.5.30 Sẵn sàng về CNTT cho tính liên tục của hoạt động kinh doanh
A.7.4 Giám sát an ninh vật lý
A.8.9 Quản lý cấu hình
A.8.10 Xóa thông tin
A.8.11 Che dấu dữ liệu
A.8.12 Ngăn chặn rò rỉ dữ liệu
A.8.16 Hoạt động giám sát
A.8.23 Lọc web
A.8.28 Mã hóa an toàn
Do đó, Doanh nghiệp cần cập nhật hệ thống quản lý của mình để tối ưu hóa mọi ISMS hiện có và phù hợp hơn với bối cảnh rủi ro bảo mật thông tin và tổ chức của mình.
5.2 Cấu trúc đã được hợp nhất thành bốn lĩnh vực chính
- Tổ chức
- Nhân sự
- Vật lý
- Công nghệ
Điều này trái ngược với 14 lĩnh vực trong phiên bản tiêu chuẩn ISO 27001:2013 trước đây.
Doanh nghiệp có thể tham khảo bài viết chi tiết về các biện pháp kiểm soát tại phục lục A ISO 27001:2022 tại bài viết dưới đây của GOODVN:
– Các biện pháp của Phụ lục A ISO 27001:2022
5.3 Khái niệm thuộc tính được đưa ra
Phù hợp với thuật ngữ chung được sử dụng trong bảo mật kỹ thuật số, năm thuộc tính đã được giới thiệu:
- Loại điều khiển: Biện pháp kiểm soát tác động đến kết quả rủi ro khi xảy ra sự cố an toàn thông tin khi nào và như thế nào?
Các giá trị thuộc tính có thể là:
Phòng ngừa: kiểm soát hành động trước khi mối đe dọa xảy ra
Giám sát: kiểm soát hành động khi có mối đe dọa xảy ra
Sửa chữa: kiểm soát hành động sau khi mối đe dọa xảy ra
- Thuộc tính bảo mật thông tin: Các giá trị thuộc tính có thể có là: Tính Bảo mật; Tính toàn vẹn; Tính Khả dụng
- Khái niệm an ninh mạng. Các giá trị có thể có là: Nhận dạng; Bảo vệ; Phát hiện; Trả lời; Hồi phục
- Năng lực điều hành. Các giá trị thuộc tính có thể bao gồm nhưng không giới hạn ở: Bảo mật ứng dụng; Quản lý tài sản; Quản trị; Bảo vệ thông tin; An ninh nguồn nhân lực; Quản lý danh tính và quyền truy cập; Quản lý sự kiện bảo mật thông tin; Bảo mật vật lý; Cấu hình an toàn
- Miền bảo mật: Các giá trị thuộc tính có thể có là: Quản trị và hệ sinh thái; Sự bảo vệ; Phòng thủ; khả năng phục hồi
Trên đây là các thay đổi chính trong phiên bản mới ISO 27001:2022 so với ISO 27001:2013
Những thay đổi này có ý nghĩa gì đối với các tổ chức đã được chứng nhận ISO 27001 ?
Các Doanh nghiệp hiện đang được chứng nhận theo ISO 27001:2013 sẽ có ba năm để chuyển sang ISO/IEC 27001:2022. Giai đoạn chuyển đổi bắt đầu vào ngày 31 tháng 10 năm 2022 và kết thúc vào ngày 31 tháng 10 năm 2025. Các chứng nhận ISO 27001:2013 sẽ hết hạn hoặc bị thu hồi vào cuối giai đoạn chuyển đổi.
Đánh giá chuyển tiếp có thể được thực hiện cùng lúc với lần đánh giá tiếp theo (ví dụ: đánh giá chứng nhận lại, đánh giá giám sát) hoặc riêng biệt.
Những thay đổi này có ý nghĩa gì đối với các tổ chức lần đầu tiên theo đuổi chứng nhận ISO 27001 ?
Các Doanh nghiệp lần đầu được đánh giá ISO 27001 vẫn có thể được chứng nhận theo phiên bản 27001:2013 cho đến tháng 4 năm 2024. Các cuộc đánh giá chuyển đổi có thể được thực hiện cùng lúc với cuộc đánh giá tiếp theo (ví dụ: đánh giá giám sát, đánh giá chuyển đổi), hoặc riêng biệt.
Câu hỏi thường gặp về ISO 27001:2022
ISO 27001:2022 có bao nhiêu biện pháp kiểm soát ?
Có 93 biện pháp kiểm soát trong ISO 27001:2022. Những biện pháp được nêu trong Phụ lục A ISO 27002:2022.
ISO công bố các thay đổi đối với ISO 27001 và ISO 27002 khi nào ?
ISO đã công bố các thay đổi đối với ISO 27001 vào tháng 10 năm 2022 và ISO 27002 vào tháng 2 năm 2022.
Tên chính thức của ISO 27001:2022 là gì ?
Tiêu đề chính thức này là ISO/IEC 27001:2022 An ninh thông tin, An ninh mạng và Bảo vệ quyền riêng tư.
Sự khác biệt giữa ISO 27001 và ISO 27002 là gì ?
ISO 27001 là chuẩn mực về bảo mật thông tin được quốc tế tôn trọng. Nó đưa ra các yêu cầu để thiết lập, duy trì và liên tục cải tiến hệ thống quản lý bảo mật thông tin (ISMS). Các tổ chức có thể đạt được chứng nhận ISO 27001 bằng cách hoàn thành cuộc đánh giá bên ngoài bởi một tổ chức chứng nhận độc lập.
Đối với ISO 27002, đây không phải là tiêu chuẩn mà Doanh nghiệp có thể được cấp chứng chỉ — Nó là tiêu chuẩn đi kèm với ISO 27001, cung cấp hướng dẫn và giải thích chi tiết hơn về mục đích, thiết kế và triển khai từng biện pháp kiểm soát.
Mọi nhu cầu hay thắc mắc liên quan đến ISO 27001 .Quý khách hãy liên hệ với chúng tôi để được hỗ trợ tư vấn miễn phí trên mọi tỉnh thành.
GỌI NGAY: 0945.001.005 – 024.2231.5555
CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !
VĂN PHÒNG CHỨNG NHẬN QUỐC GIA GOOD VIỆT NAM
Adress: Số 50B Mai Hắc Đế, P. Nguyễn Du, Quận Hai Bà Trưng, Thành phố Hà Nội
Hotline: 0945.001.005 – 024.2231.5555
Website: https://chungnhanquocgia.com
Email: info@chungnhanquocgia.com – chungnhanquocgia.com@gmail.com
|
VĂN PHÒNG HÀ NỘI |
VĂN PHÒNG ĐÀ NẴNG |
VĂN PHÒNG HỒ CHÍ MINH |
|
Tòa nhà HLT – Số 23 Ngõ 37/2 Dịch vọng, P. Dịch Vọng, Q. Cầu Giấy, Hà Nội |
Số 73 Lý Thái Tông, P. Thanh Khê Tây, Q. Thanh Khê, Tp. Đà Nẵng |
Tòa nhà PLS Số 282 Chu Văn An, P. 26, Q. Bình Thạnh, Tp. Hồ Chí Minh |
Chuyên Gia Ông Thế Khương đã tư vấn cho hàng trăm doanh nghiệp đạt chứng nhận trong nước và quốc tế.
- Những thay đổi của tiêu chuẩn ISO 27001:2022 – Cách tuân thủ - 28/06/2024
- Tiêu chuẩn ISO 27001:2022 PDF (Download) - 27/06/2024
- Tiêu chuẩn ISO 22000:2018 PDF Song ngữ Anh Việt mới nhất - 17/01/2022
