Phiên bản mới của ISO/IEC 27001

ISO/IEC 27001, tiêu chuẩn hệ thống quản lý an ninh thông tin rất phổ biến hiện nay đang được sửa đổi để khắc phục tốt hơn những rủi ro an ninh thông tin, phiên bản mới dự kiến sẽ được phát hành vào tháng 10 năm 2013.

Chúng tôi đã có buổi nói chuyện với Edward Humphreys, Người triệu tập nhóm công tác chịu trách nhiệm xây dựng và duy trì ISO/ IEC 27001, để tìm hiểu xem việc sửa đổi tiêu chuẩn sẽ ảnh hưởng gì tới các bạn, những người đang sử dụng tiêu chuẩn.

Những lợi ích chính của phiên bản mới?

Chúng tôi đã cập nhật phiên bản mới, có tính đến kinh nghiệm của người dùng, những người đã triển khai, hay được chứng nhận hệ thống theo ISO/IEC 27001:2005 để mang lại một hướng tiếp cận linh hoạt, được tổ chức hợp lý hơn có thể giúp quản lý rủi ro hiệu quả hơn.

Chúng tôi cũng đã cải tiến một số biện pháp kiểm soát an ninh liệt kê trong Phụ lục A để đảm bảo tiêu chuẩn được cập nhật và có khả năng xử lý các rủi ro ngày nay như đánh cắp nhận dạng, các rủi ro liên quan đến thiết bị di động và các điểm yếu trên mạng.

Cuối cùng, phiên bản ISO/IEC 27001 đã được điều chỉnh cho phù hợp với cấu trúc cấp cao mới được sử dụng trong tất cả các tiêu chuẩn hệ thống quản lý, giúp tiêu chuẩn tích hợp dễ dàng với các hệ thống quản lý khác.

Lợi ích của việc điều chỉnh phiên bản ISO/IEC 27001 cho phù hợp với cấu trúc cấp cao mới của các tiêu chuẩn hệ thống quản lý là gì?

Điều chỉnh ISO/IEC 27001 theo cấu trúc mới sẽ giúp ích cho những tổ chức muốn triển khai nhiều hơn một hệ thống quản lý cùng một lúc. Cấu trúc tương tự giữa các tiêu chuẩn sẽ giúp tổ chức tiết kiệm được chi phí và thời gian bởi họ có thể áp dụng các chính sách và quy trình tích hợp.

Chẳng hạn, một tổ chức có thể muốn tích hợp hệ thống quản lý an ninh thông tin (ISO/IEC 27001) của mình với các hệ thống quản lý khác như quản lý kinh doanh liên tục (ISO/IEC 22301), quản lý dịch vụ IT (ISO/IEC 20000-1) hay quản lý chất lượng (ISO 9001).

Bước tiếp theo trong quá trình sửa đổi là gì?

Việc sửa đổi phiên bản năm 2005 hiện đang ở giai đoạn FDIS (Tiêu chuẩn quốc tế dạng Bản thảo cuối). Giai đoạn này sẽ được hoàn thiện vào đầu tháng 9 sau đó sẽ tiến hành chỉnh sửa in ấn nếu cần để sẵn sàng ban hành tiêu chuẩn vào tháng 10. Khi đó, mọi người có thể mua phiên bản ISO/IEC 27001 và phiên bản năm 2005 sẽ được thu hồi.

Tôi được chứng nhận theo ISO 27001:2005. Bản sửa đổi này sẽ ảnh hưởng gì đến tôi?

Các tổ chức được chứng nhận theo phiên bản năm 2005 của tiêu chuẩn này cần phải nâng cấp hệ thống quản lý an ninh thông tin của mình để tuân thủ các yêu cầu của phiên bản tiêu chuẩn mới. Thời gian chuyển đổi để nâng cấp chưa được quyết định cụ thể song có thể là hai năm kể từ khi phiên bản mới được ban hành.

Việc chuyển đổi từ phiên bản cũ sang phiên bản mới sẽ tốn bao nhiêu công sức?

Việc nâng cấp sang phiên bản ISO/IEC 27001 mới sẽ không gây vấn đề gì đặc biệt. Quá trình chuyển đổi có thể giúp các tổ chức bởi thực tế những nỗ lực tổ chức cần bỏ ra có thể là chính một phần trong chương trình làm việc đã được chia sẵn giai đoạn và được tích hợp vào các hoạt động cải tiến liên tục cũng như các đợt đánh giá giám sát đã lập kế hoạch sẵn.

Tác giả Katie Bird - ISO, ngày 14/8/2013