Bảo vệ hồ sơ cá nhân và thông tin nhạy cảm về mặt thương mại là rất quan trọng. Nhưng làm thế nào bạn có thể nói rằng Tiêu chuẩn ISO / IEC 27001 – Hệ thống quản lý an ninh thông tin (ISMS) tạo ra sự khác biệt? Tiêu chuẩn quốc tế ISO / IEC mới có thể giúp bạn.
| Giống như các tiêu chuẩn hệ thống quản lý ISO khác, chứng nhận ISO / IEC 27001 có thể cần có nhưng không bắt buộc. Một số tổ chức lựa chọn thực hiện tiêu chuẩn này để được hưởng lợi từ thực tiễn tốt nhất trong khi những người khác quyết định họ cũng muốn được chứng nhận để trấn an khách hàng và khách hàng thường khuyến nghị họ nên được kiểm nghiệm tuân thủ các tiêu chuẩn ISO. |
Các tiêu chuẩn ISO / IEC 27004:2016, Công nghệ thông tin – Kỹ thuật bảo mật – Quản lý an ninh thông tin – Theo dõi, đo lường, phân tích và đánh giá, cung cấp hướng dẫn về cách đánh giá hiệu năng của ISO / IEC 27001. Nó giải thích cách phát triển, quy trình vận hành đo lường, cách đánh giá và báo cáo kết quả của một tập các chỉ số bảo mật thông tin.
Giáo sư Edward Humphreys, Chủ trì nhóm làm việc phát triển tiêu chuẩn (ISO / IEC JTC 1 / SC 27), cho rằng: “Các cuộc tấn công bằng máy tính là một trong những rủi ro lớn nhất mà tổ chức có thể gặp phải.” Đây là lý do tại sao phiên bản cải tiến của ISO / IEC 27004 đã cung cấp sự hỗ trợ thiết thực và thích hợp cho nhiều tổ chức đang triển khai ISO / IEC 27001 để bảo vệ những tổ chức này khỏi các cuộc tấn công an ninh ngày càng tăng mà doanh nghiệp ngày nay đang phải đối mặt.
Các chỉ số bảo mật có thể cung cấp những hiểu biết sâu sắc về hiệu quả của một ISMS, và như vậy, đã bước vào giai đoạn trung tâm. Cho dù bạn là một kỹ sư hoặc chuyên gia tư vấn chịu trách nhiệm về an ninh và báo cáo với ban quản lý hoặc một nhà điều hành cần thông tin tốt hơn để ra quyết định, các chỉ số bảo mật đã trở thành một phương tiện quan trọng để truyền đạt trạng thái của những vị trí có nguy cơ bị xâm nhập và rò rỉ thông tin mạng.
Theo lời của Prof. Humphreys: “Các tổ chức cần được giúp đỡ để giải quyết vấn đề xem xét việc đầu tư sao cho có hiệu quả của tổ chức trong quản lý an ninh thông tin, phù hợp với mục đích phản ứng, bảo vệ và đáp ứng với môi trường không ngừng thay đổi, liên tục thay đổi. Đây là môi trường mà ISO / IEC 27004 có thể đem lại nhiều lợi ích cho doanh nghiệp hoạt động/sử dụng các công cụ trong lĩnh vực công nghệ thông tin.”
ISO / IEC 27004: 2016 cho thấy làm thế nào để xây dựng một chương trình đo lường an ninh thông tin, cách lựa chọn đo lường và cách vận hành các quy trình đo lường cần thiết. Nó bao gồm các ví dụ rộng lớn về các loại biện pháp khác nhau và hiệu quả của các biện pháp này có thể được đánh giá như thế nào.
Trong số rất nhiều lợi ích cho các tổ chức sử dụng ISO / IEC 27004 là:
- Tăng trách nhiệm giải trình
- Cải thiện hiệu suất bảo mật thông tin và các quy trình ISMS
- Bằng chứng về các yêu cầu của ISO / IEC 27001, cũng như các luật, quy tắc và quy định hiện hành
ISO / IEC 27004: 2016 thay thế ấn bản năm 2009. Nó đã được cập nhật và mở rộng để phù hợp với phiên bản sửa đổi của ISO / IEC 27001 để cung cấp cho các tổ chức có giá trị gia tăng lớn hơn và sự tự tin.
ISO / IEC 27004: 2016 được phát triển bởi Uỷ ban kỹ thuật chung ISO / IEC JTC 1, Công nghệ thông tin, Tiểu ban SC 27, Các kỹ thuật an ninh CNTT, có văn phòng thư ký của tổ chức DIN, thành viên ISO của Đức. Nó có sẵn từ thành viên ISO quốc gia của bạn hoặc thông qua ISO Store.
Văn phòng NSCL biên dịch
Nguồn: www.iso.org
