Có nhiều giai đoạn khác nhau khi triển
khai một hệ thống như ISO 27001 - Hệ thống quản lý an toàn thông tin. Hệ thống
ISO 27001 được triển khai theo chu trình PDCA giúp cung cấp cho bạn tầm nhìn tốt
hơn về việc thực hiện quản trị và phù hợp với các mục tiêu cải thiện kinh
doanh.
CÁC
GIAI ĐOẠN CỦA ISO 27001:
Theo
các điều khoản từ 4 đến 10 của tiêu chuẩn ISO 27001, trước khi bạn có kế hoạch
triển khai ISO 27001 cho hệ thống tổ chức của mình, bạn cần thực hiện đánh giá
nội bộ theo Chu trình PDCA - KẾ HOẠCH, THỰC HIỆN, KIỂM TRA và ĐIỀU CHÍNH.
KẾ HOẠCH:
THIẾT LẬP PHẠM VI ISMS
Giai
đoạn này của ISO 27001 giúp tổ chức thiết lập phạm vi của các mục tiêu và kiểm
soát ISMS. Rất nhiều công ty trên khắp thế giới đang rơi vào vòng vây của các
cuộc tấn công mạng. Trong tiêu chuẩn ISO 27001, điều khoản 4.2 yêu cầu xác định
bối cảnh của tổ chức. Ở giai đoạn lập kế hoạch, bạn phải phân tích các vấn đề
bên ngoài và bên trong của công ty. Việc xác định những vấn đề này thực sự có
thể giúp tổ chức của bạn thực hiện các thủ tục ISO 27001 và loại bỏ các trở ngại
ngay từ đầu. Các vấn đề bên ngoài bao gồm danh sách các mối đe dọa tới từ phần
bên ngoài của tổ chức, chẳng hạn như các yêu cầu pháp lý, các yếu tố kinh tế và
chính trị. Các vấn đề bên trong nội bộ tổ chức, chẳng hạn như cơ cấu tổ chức,
các giá trị, văn hóa, cơ sở hạ tầng công nghệ thông tin, các nguồn lực sẵn có,
v.v.
THỰC
HIỆN: TRIỂN KHAI CÁC QUY ĐỊNH
Giai
đoạn này là lúc tổ chức thực hiện và khai thác chính sách ISMS, kiểm soát, quy
trình và thủ tục. Trong giai đoạn “DO”, một tổ chức tạo ra một bản đánh giá rủi
ro và đánh giá lý do đằng sau mỗi cấu trúc của nó. Họ phải chuẩn bị một loạt
các thủ tục chỉ ra tất cả rủi ro và cách xử lý chúng. Tổ chức phải đảm bảo rằng
các tài liệu về thủ tục và chính sách luôn sẵn có và được bảo vệ, phân phối và
lưu trữ đầy đủ trong hệ thống được quản lý. Các tài liệu có nguồn gốc bên ngoài
phải thuộc phạm vi của ISMS 27001. Căn cứ vào những tài liệu này, tổ chức sẽ tiến
hành áp dụng trên thực tế tại từng bộ phận liên quan.
KIỂM
TRA: THEO DÕI VÀ ĐÁNH GIÁ CÁC ISMS
Giai
đoạn này bao gồm việc kiểm tra giám sát, đo lường, phân tích và đánh giá trong
tổ chức. Những người chịu trách nhiệm phải đo lường kết quả hoạt động của các
quá trình dựa trên các chính sách, mục tiêu và kinh nghiệm thực tế căn cứ vào
các thông tin dạng văn bản được thiết lập trong giai đoạn trước đó. Các nhà
lãnh đạo có trách nhiệm trình bày các kết quả đạt được sau khi tiến hành thực
hiện. Đây là cách tốt nhất để kiểm tra xem các vấn đề đã được xác định, xử lý,
loại bỏ ở đâu và hệ thống được yêu cầu sửa đổi và cải thiện như thế nào.
HÀNH ĐỘNG:
CẬP NHẬT & CẢI TIẾN CHO ISMS
Một tổ
chức phải thực hiện các hành động khắc phục và phòng ngừa dựa trên kết quả xem
xét của quản lý cấp cao và quá trình đánh giá nội bộ ISMS. Giám đốc Thông tin
có thể được bổ nhiệm, người này sẽ chịu trách nhiệm giám sát và đo lường mức độ
an toàn thông tin của tổ chức. Giám đốc Thông tin có trách nhiệm kịp thời phát
hiện các vi phạm bảo mật thông tin để có phương hướng xử lý. Cải tiến liên tục
là một phần không thể thiếu của ISO 27001. Tiêu chuẩn yêu cầu các tổ chức phải
liên tục cải tiến để loại bỏ các mối đe dọa trong tương lai.
Nếu
doanh nghiệp có mong muốn áp dụng tiêu
chuẩn ISO 27001 để đạt được chứng nhận
ISO 27001, vui lòng liên hệ với Chúng Tôi theo số hotline 0948.690.698 để
được tư vấn ISO 27001.