ISO/IEC 27001:2022 có những thay đổi gì?
Khi thế giới đang đối mặt với những thách thức về an toàn bảo mật thông tin như tấn công mạng, đánh cắp thông tin cá nhân, tiêu chuẩn hệ thống quản lý an toàn thông tin ISO/IEC 27001 đã được Tổ chức Tiêu chuẩn hóa quốc tế (ISO) sửa đổi và ban hành lại vào ngày 25 tháng 10 năm 2022. Tiêu chuẩn nhằm hỗ trợ các tổ chức, doanh nghiệp bảo vệ tính bí mật (confidentiality), tính toàn vẹn (integrity) và sẵn sàng (availability) của tài sản thông tin. Những thay đổi chính trong phiên bản ISO/IEC 27001:2022 tập trung vào các biện pháp kiểm soát an toàn thông tin tại Phụ lục A, bên cạnh một số điều chỉnh về tên và nội dung yêu cầu.
Thay đổi đối với ISO/IEC 27001:2022
Tên tiêu chuẩn đã được sửa đổi thành “ISO/IEC 27001:2022 An toàn thông tin, An ninh mạng và Bảo vệ quyền riêng tư — Hệ thống quản lý an toàn thông tin - Các yêu cầu” (cụm từ "Công nghệ thông tin - Các kỹ thuật an toàn" trong tiêu chuẩn ISO/IEC 27001:2013 được chuyển thành "An toàn thông tin, An ninh mạng và Bảo vệ quyền riêng tư"). Thay đổi đáng kể nhất là ở Phụ lục A để đồng bộ với các cập nhật trong tiêu chuẩn ISO/IEC 27002 ban hành vào tháng 2/2022.
Trong nội dung tiêu chuẩn, các yêu cầu từ mục 4 đến mục 10 có một số thay đổi nhỏ, trong đó các điều khoản 4.2 (Hiểu nhu cầu và mong đợi của các bên liên quan), 6.2 (Các mục tiêu an toàn thông tin và hoạch định để thực hiện mục tiêu) và 8.1 (Hoạch định và kiểm soát vận hành) đã bổ sung thêm một số quy định mới. Ngoài ra, còn có một số thay đổi về thuật ngữ, cấu trúc lại nội dung và điều khoản, nhưng tiêu đề và thứ tự các yêu cầu vẫn được giữ nguyên.
Thay đổi đối với biện pháp kiểm soát an toàn thông tin - Phụ lục A
Phụ lục A của ISO/IEC 27001:2022 đã thay đổi cả về số lượng và cấu trúc các nhóm biện pháp kiểm soát. Tên của Phụ lục đã đổi từ “Các mục tiêu kiểm soát và biện pháp kiểm soát tham chiếu” thành “Tham chiếu các biện pháp kiểm soát an toàn thông tin”. Do không còn đề cập mục tiêu kiểm soát, nội dung mục tiêu trong mỗi nhóm kiểm soát của phiên bản 2013 đã được loại bỏ.
Số lượng biện pháp kiểm soát giảm từ 114 xuống còn 93 biện pháp, cụ thể: có 35 biện pháp được giữ nguyên, 23 biện pháp thay đổi tên, 57 biện pháp hợp nhất thành 24, và 1 biện pháp được chia thành hai. Các biện pháp này được cấu trúc lại thành bốn nhóm mới:
A.5 Biện pháp kiểm soát tổ chức: gồm 37 biện pháp kiểm soát
A.6 Biện pháp kiểm soát nhân lực: gồm 8 biện pháp kiểm soát
A.7 Biện pháp kiểm soát vật lý: gồm 14 biện pháp kiểm soát
A.8 Biện pháp kiểm soát công nghệ: gồm 34 biện pháp kiểm soát
Phụ lục A cũng bổ sung thêm 11 biện pháp kiểm soát mới, bao gồm:
1. Thông tin tình báo về mối đe dọa - Threat intelligence
2. An toàn thông tin khi sử dụng các dịch vụ đám mây - Information security for the use of cloud services
3. Sự sẵn sàng về công nghệ thông tin và truyền thông cho tính liên tục của hoạt động - ICT readiness for business continuity
4. Giám sát an toàn vật lý - Physical security monitoring
5. Quản lý cấu hình - Configuration management
6. Xóa thông tin - Information deletion
7. Mặt nạ dữ liệu - Data masking
8. Chống rò rỉ dữ liệu - Data leakage prevention
9. Giám sát các hoạt động - Monitoring activities
10. Lọc web - Web filtering
11. Mã hóa an toàn - Secure coding
Chứng nhận phiên bản ISO/IEC 27001:2022 như thế nào?
Những thay đổi trong tiêu chuẩn ISO/IEC 27001:2022 không ảnh hưởng đến các chứng chỉ ISO/IEC 27001 đã được GIC cấp cho các tổ chức/doanh nghiệp. Việc chứng nhận và chuyển đổi chứng nhận hệ thống quản lý an toàn thông tin ISO/IEC 27001 theo phiên bản năm 2022 đã được Diễn đàn Công nhận quốc tế (IAF) quy định tại IAF MD 26:2022 như sau:
- Tổ chức chứng nhận phải đánh giá và cấp chứng nhận theo phiên bản mới ISO/IEC 27001:2022 không muộn hơn 12 tháng kể từ ngày tiêu chuẩn được ban hành (25/10/2022).
- Các chứng chỉ ISO/IEC 27001 phiên bản 2013 phải được chuyển đổi sang phiên bản ISO/IEC 27001:2022 trước ngày 25/10/2025 (36 tháng kể từ ngày tiêu chuẩn mới được ban hành).
Quý khách hàng có nhu cầu chứng nhận hệ thống quản lý an toàn thông tin theo ISO/IEC 27001:2022, vui lòng liên hệ:
GIC VIỆT NAM
12F, 14 Láng Hạ Building, Quận Ba Đình, Hà Nội
Tel: 024.6275 2268, Fax: 024.6275 2269, Email: tuandm@gicvn.vn
VP tại TP. Hồ Chí Minh: R502, 160 Nam Kỳ Khởi Nghĩa, Tel: 028.39307936
Những điểm mới trong tiêu chuẩn ISO/IEC 27001:2022
- -
- 428