Skip to main content
Tuân thủ ISO27001:2022

Chúng tôi xin giới thiệu về các bước đánh giá mức độ sẵn sàng về yêu cầu Hệ thống Quản lý An toàn Thông tin, tuân thủ 93 biện pháp kiểm soát theo ISO 27001:2022 (thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và cải tiến) - tóm tắt trong hình sau:

Khám phá ManageEngine Cyber Security
ISO 27001:2022

Đề xuất các bước thực hiện và giải pháp công nghệ như sau:

Bước 1: Đánh giá và Phân tích Hiện trạng
  • Xác định trạng thái tuân thủ hiện tại: Đánh giá tình hình bảo mật hiện tại của Tổ chức dựa trên 93 biện pháp kiểm soát trong ISO 27001:2022. Điều này giúp xác định các khoảng trống giữa hiện trạng và yêu cầu của tiêu chuẩn.
  • Phân loại tài sản thing tin: Tạo bảng kiểm kê tài sản thông tin (A.5.9), xác định mức độ quan trọng của thông tin và các tài sản liên quan.
Bước 2: Chính sách và Quy trình Bảo mật 
  • Chính sách an toàn thông tin: Xây dựng hoặc cập nhật các chính sách bảo mật, tuân theo yêu cầu của A.5.1, bao gồm quy định về phân quyền truy cập (A.5.15, A.5.18).
  • Quy trình xử lý sự cố: Thiết lập quy trình quản lý sự cố an toàn thông tin (A.5.24 - A.5.27) và quy trình đánh giá và quyết định sự kiện an toàn thông tin (A.5.25).
Bước 3: Đào tạo và Nâng cao Nhận thức
  • Đào tạo nhân viên: Tổ chức các buổi đào tạo nhằm nâng cao nhận thức về an toàn thông tin (A.6.3). Quy định rõ trách nhiệm và vai trò an toàn thông tin (A.5.2).
  • Chính sách làm việc từ xa: Ban hành quy định về làm việc từ xa và các biện pháp bảo mật liên quan (A.6.7).
Bước 4: Kiểm soát Truy cập và Quản lý Nhận dạng
  • Quản lý danh tính và quyền truy cập: Áp dụng các biện pháp quản lý danh tính (A.5.16) và kiểm soát truy cập (A.5.15). Cần sử dụng các công nghệ xác thực an toàn như hệ thống đa yếu tố (MFA) (A.8.5).
  • Bảo mật thông tin trong chuỗi cung ứng CNTT: Đảm bảo an toàn thông tin trong quan hệ với các nhà cung cấp và chuỗi cung ứng

(A.5.19 - A.5.22).

Bước 5: Áp dụng các Biện pháp Công nghệ
  • Giám sát và quản lý sự cố: Sử dụng các hệ thống SIEM (Security Information and Event Management) để giám sát, ghi nhật ký và phát hiện sự cố bảo mật theo thời gian thực (A.8.15 - A.8.16).
  • Bảo vệ chống phần mềm độc hại: Triển khai các giải pháp bảo vệ chống lại phần mềm độc hại (A.8.7) và quản lý lỗ hổng kỹ thuật (A.8.8).
  • Sao lưu và phục hồi dữ liệu: Xây dựng kế hoạch sao lưu và dự phòng dữ liệu định kỳ (A.8.13) để đảm bảo tính liên tục và sẵn sàng của hệ thống (A.8.14).
  • Mã hóa và bảo vệ thông tin: Áp dụng các biện pháp mã hóa dữ liệu và che dấu dữ liệu để ngăn chặn rò rỉ thông tin (A.8.24, A.8.11, A.8.12).
Bước 6: Quản lý và Kiểm soát Hạ tầng
  • Quản lý mạng và bảo mật mạng: Phân tách các mạng (A.8.22), đảm bảo an toàn cho các dịch vụ mạng (A.8.21) và các thiết bị đầu cuối (A.8.1).
  • Quản lý thay đổi: Áp dụng quy trình quản lý thay đổi để đảm bảo các thay đổi hệ thống được giám sát và kiểm tra an toàn (A.8.32).
  • Phát triển và kiểm thử an toàn: Áp dụng các biện pháp phát triển an toàn phần mềm và kiểm thử bảo mật (A.8.25 - A.8.29).
Bước 7: Xây dựng Hệ thống Giám sát và Báo cáo
  • Giám sát và đồng bộ hóa thời gian: Thiết lập hệ thống giám sát hoạt động bảo mật và đồng bộ hóa thời gian trong toàn bộ Tổ chức để đảm bảo tính nhất quán trong quản lý sự cố và bảo mật (A.8.16 - A.8.17).
  • Kiểm tra độc lập: Định kỳ tổ chức kiểm tra độc lập về an toàn thông tin (A.5.35) để đánh giá hiệu quả của các biện pháp bảo mật và điều chỉnh kịp thời.
Bước 8: Duy trì và Cải thiện Liên tục
  • Đánh giá và cải tiến liên tục: Tiến hành đánh giá định kỳ để cải thiện hệ thống bảo mật, đảm bảo Tổ chức luôn tuân thủ các quy định mới và đáp ứng yêu cầu của ISO 27001:2022 (A.5.36).

Gói Giải pháp ManageEngine Cyber Security bao gồm việc triển khai các hệ thống bảo mật SIEM, DLP (Data Loss Prevention), hệ thống quản lý lỗ hổng và phần mềm mã hóa. Tổ chức cũng cần hợp tác với các đơn vị cung cấp dịch vụ bảo mật đám mây uy tín để quản lý các rủi ro khi sử dụng dịch vụ đám mây (A.5.23)

Vui lòng tham khảo các báo cáo tuân thủ ISO27001 từ ManageEngine:

Việc tuân thủ đầy đủ các yêu cầu của ISO 27001:2022 trợ giúp Tổ chức  / doanh nghiệp đạt được mức độ bảo mật cao, đảm bảo sự an toàn cho toàn bộ hệ thống thông tin.

Phụ lục tham khảo các tiêu chuẩn ISO

  • ISO/IEC 27000:2018: Tổng quan và giới thiệu về các tiêu chuẩn ISO 27000 cùng với bảng thuật ngữ có từ vựng chuyên môn.
  • ISO/IEC 27001:2022: Tiêu chuẩn đặt ra yêu cầu cho hệ thống quản lý an ninh thông tin an ninh, chính thức xác định một ISMS có thể chứng nhận.
  • ISO/IEC 27002:2022: 100 biện pháp kiểm soát bảo mật thông tin phổ biến với hướng dẫn thiết kế và triển khai.
  • ISO/IEC 27003:2017: Cung cấp hướng dẫn thực tế về cách triển khai ISO/IEC 27001:2013.
  • ISO/IEC 27004:2016: Đo lường quản lý bảo mật thông tin.
  • ISO/IEC 27005:2022: Đề cập đến quản lý rủi ro an ninh thông tin.
  • ISO/IEC 27006:2015-1: Hướng dẫn về chứng nhận ISMS ISO 27001.
  • ISO/IEC TS 27006-2:2021: Hướng dẫn về chứng nhận ISMS ISO/IEC 27701 PIMS.
  • ISO/IEC 27007:2020: Hướng dẫn đánh giá các thành phần hệ thống quản lý của ISMS.
  • ISO/IEC TS 27008:2019: Đánh giá các biện pháp kiểm soát an ninh kỹ thuật (mạng).
  • ISO/IEC 27009:2020: Tư vấn cho nhà sản xuất các tiêu chuẩn ISO 27000 dành riêng cho ngành nghề hoặc lĩnh vực.
  • ISO/IEC 27010:2015: Hướng dẫn về quản lý an ninh thông tin cho truyền thông liên ngành và liên Tổ chức.
  • ISO/IEC 27011:2016: Hướng dẫn quản lý bảo mật thông tin cho các Tổ chức viễn thông.
  • ISO/IEC 27013:2021: Hướng dẫn về việc triển khai chung cả ISO/IEC 27001 (ISMS) và ISO/IEC 20000-1 (hệ thống quản lý dịch vụ CNTT/ITIL).
  • ISO/IEC 27014:2020: Hướng dẫn về quản trị bảo mật thông tin.
  • ISO/IEC TR 27016:2014: Liên quan đến tính kinh tế của quản lý bảo mật thông tin.
  • ISO/IEC 27017:2015: Liên quan đến các biện pháp kiểm soát bảo mật thông tin cho điện toán đám mây.
  • ISO/IEC 27018:2019: Bảo vệ dữ liệu cá nhân trên đám mây.
  • ISO/IEC 27019:2017: Liên quan đến bảo mật thông tin để kiểm soát quá trình (Operational Technology) trong ngành năng lượng (phi hạt nhân).
  • ISO/IEC 27021:2017: Giải thích năng lực, kỹ năng và kiến thức cần có của các chuyên gia quản lý an ninh thông tin.
  • ISO/IEC TS 27022:2021: Vạch ra các quy trình ISMS.
  • ISO/IEC TR 27024: Liệt kê một số luật và quy định liên quan đến bảo mật thông tin.
  • ISO/IEC 27028: Hướng dẫn về các thuộc tính kiểm soát.
  • ISO/IEC TR 27032:2021: Liệt kê các tiêu chuẩn khác tham chiếu đến ISO/IEC 27002.
  • ISO/IEC 27301:2011: Liên quan đến khả năng phục hồi Công nghệ thông tin và Truyền thông (CNTT-TT) để đảm bảo tính liên tục trong kinh doanh.
  • ISO/IEC 27032:2012: Hướng dẫn về an ninh mạng.
  • ISO/IEC 27033:2010: Các mối đe dọa, kỹ thuật thiết kế và các vấn đề kiểm soát.
  • ISO/IEC 27034:2011: Hướng dẫn về bảo mật ứng dụng.
  • ISO/IEC 27035:2020: Liên quan đến quản lý sự cố an toàn thông tin.
  • ISO/IEC 27036:2016: Hướng dẫn bảo mật thông tin cho chuỗi cung ứng CNTT-TT bao gồm điện toán đám mây.
  • ISO/IEC 27037:2012: Liên quan đến việc xác định, thu thập và lưu giữ bằng chứng kỹ thuật số.
  • ISO/IEC 27038:2014: Đặc điểm kỹ thuật để biên tập các tài liệu kỹ thuật số.
  • ISO/IEC 27039:2015: Liên quan đến các hệ thống Hệ thống phòng ngừa và ngăn chặn xâm nhập (IDS/IPS).
  • ISO/IEC 27040:2015: Liên quan đến bảo mật lưu trữ dữ liệu.
  • ISO/IEC 27041:2015: Hướng dẫn đảm bảo tính phù hợp và đầy đủ của phương pháp điều tra sự cố.
  • ISO/IEC 27042:2015: Liên quan đến phân tích và giải thích bằng chứng kỹ thuật số.
  • ISO/IEC 27043:2015: Nguyên tắc và quy trình điều tra sự cố.
  • ISO/IEC 27044: Quy trình bảo mật dữ liệu lớn và quyền riêng tư.
  • ISO/IEC 27045: Hướng dẫn triển khai bảo mật dữ liệu lớn và quyền riêng tư.
  • ISO/IEC 27550:2018: Hướng dẫn quản trị và quản lý khám phá điện tử.
  • ISO/IEC 27070:2021: Yêu cầu thiết lập nguồn tin cậy ảo hóa trên đám mây.
  • ISO/IEC 27071: Đề xuất bảo mật để thiết lập kết nối đáng tin cậy giữa các thiết bị và dịch vụ.
  • ISO/IEC 27090: Liên quan đến các cuộc tấn công vào hệ thống thông minh nhân tạo.
  • ISO/IEC 27091: Bảo vệ quyền riêng tư trong các hệ thống thông minh trí tuệ nhân tạo.
  • ISO/IEC 27092: Cơ sở hạ tầng khóa công khai - Thực tiễn và khung chính sách.
  • ISO/IEC TS 27100:2020: Tổng quan ngắn gọn về các khái niệm an ninh mạng.
  • ISO/IEC 27102:2019: Hướng dẫn về bảo hiểm không gian mạng.