Quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001: Phần 1

Cuốn sách nhỏ này nhằm mục đích cung cấp những thông tin cơ bản liên quan đến bộ tiêu chuẩn ISO/IEC 27000về lĩnh vực an toàn thông tin và hướng dẫn các bước hoạch định, xây dựng, vận hành một hệ thống quản lý an toàn thông tin trong tổ chức, doanh nghiệp phù hợp với yêu cầu của ISO/IEC 27001 để bảo vệ các tài sản thông tin phục vụ cho các hoạt động sản xuất, cung cấp dịch vụ của mình. Mời các bạn cùng tham khảo nội dung phần 1 dưới đây!
Nội dung trích xuất từ tài liệu:
Quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001: Phần 1 MỤC LỤC LỜI NÓI ĐẦU ...................................................................................... 5 NHỮNG TỪ VIẾT TẮT VÀ ĐỊNH NGHĨA....................................... 6 DANH MỤC CÁC BẢNG BIỂU, HÌNH ẢNH ................................... 8 DANH MỤC CÁC PHỤ LỤC ........................................................... 10 Phần 1: NỘI DUNG CƠ BẢN............................................................ 11 Chƣơng 1: Khái quát về bộ tiêu chuẩn ISO/IEC 27000.................. 11 1. Giới thiệu về Tổ chức quốc tế về tiêu chuẩn hóa ISO ............. 11 2. Quá trình hình thành và phát triển bộ tiêu chuẩn ISO/IEC 27000 ........................................................................................... 14 3. Phạm vi, mục đích, đối tƣợng áp dụng tiêu chuẩn ISO/IEC 27001 ........................................................................................... 19 4. Những lợi ích cơ bản của việc áp dụng ISMS theo ISO/IEC 27001 ........................................................................................... 20 5. Tình hình áp dụng ISO/IEC 27001 trên thế giới ..................... 21 Chƣơng 2: Tóm tắt nội dung tiêu chuẩn ISO/IEC 27001:2013 và hƣớng dẫn cách thức đáp ứng yêu cầu của tiêu chuẩn .................... 26 1. Cấu trúc của ISO/IEC 27001:2013 .......................................... 26 2. Giải thích các yêu cầu chính của tiêu chuẩn ISO/IEC 27001:2013 và hƣớng dẫn cách thức thực hiện ........................... 29 3. Lộ trình triển khai hệ thống quản lý ATTT theo ISO/IEC 27001:2013 ................................................................................ 107 Phần 2: HƢỚNG DẪN TRIỂN KHAI ISO/IEC 27001:2013 TẠI DOANH NGHIỆP ............................................................................ 110 Chƣơng 1: Tóm tắt quá trình triển khai ISO/IEC 27001:2013 tại doanh nghiệp ................................................................................. 110 1. Các giai đoạn triển khai ISO/IEC 27001:2013 ...................... 110 2. Kế hoạch tổng thể triển khai ISO/IEC 27001:2013 .............. 111 3 Chƣơng 2: Hƣớng dẫn cách thực hiện dự án ISMS tại tổ chức, doanh nghiệp, những lợi ích dự kiến sẽ thu đƣợc và các yếu tố đảm bảo thực hiện thành công .............................................................. 122 1. Hƣớng dẫn cách thực hiện và một số kết quả đầu ra theo từng bƣớc triển khai Kế hoạch tổng thể xây dựng, thực hiện ISO/IEC 27001:2013 ................................................................................ 122 2. Một số yếu tố quyết định sự thành công của việc thực hiện ISMS theo ISO/IEC 27001 ........................................................ 123 Phần 3: THỰC TIỄN TRIỂN KHAI ÁP DỤNG THỬ NGHIỆM HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO ISO/IEC 27001 TẠI DOANH NGHIỆP..................................................................... 126 Chƣơng 1: Tóm tắt kết quả triển khai ISO/IEC 27001:2013 tại 2 doanh nghiệp ................................................................................. 126 Chƣơng 2: Một số nhận định và bài học đƣợc rút ra từ 2 mô hình thử nghiệm .................................................................................... 138 PHỤ LỤC ......................................................................................... 142 TÀI LIỆU THAM KHẢO ................................................................ 182 4 LỜI NÓI ĐẦU Xu thế phát triển kinh tế - xã hội, đặc biệt trong bối cảnh hội nhập kinh tế toàn cầu hiện nay, đã và đang chứng minh vai trò, tầm quan trọng và phạm vi không ngừng tăng lên của việc ứng dụng công nghệ thông tin trong mọi lĩnh vực, quá trình, từ công việc của một cá nhân, các hoạt động của một tổ chức, cho đến việc vận hành thể chế chính trị và nền kinh tế - xã hội của một quốc gia và cả thế giới. Các lợi ích này cũng luôn song hành cùng các mối đe dọa và rủi ro về an toàn thông tin ngày càng cao, dẫn đến hậu quả ngày càng nghiêm trọng, gây ảnh hƣởng đến nhiều khía cạnh khác nhau đối với một tổ chức, doanh nghiệp nhƣ làm gián đoạn quá trình kinh doanh, vi phạm các yêu cầu của khách hàng, gây tổn thất về tài chính, ảnh hƣởng đến uy tín, thƣơng hiệu và đặc biệt là có thể dẫn tới vi phạm các yêu cầu pháp luật. Để chủ động kiểm soát, phòng ngừa, hạn chế các hậu quả từ việc mất an toàn thông tin, mỗi tổ chức, doanh nghiệp với nguồn lực của mình, có thể có những cách thức, phƣơng pháp tiếp cận và kiểm soát các rủi ro về an toàn thông tin ở các mức độ khác nhau. Tiêu chuẩn ISO/IEC 27001 đến nay đã đƣợc chấp nhận ở quy mô toàn cầu nhƣ là một phƣơng pháp quản lý, kiểm soát rủi ro về an toàn thông tin một cách chặt chẽ, có hệ thống và mang lại nhiều lợi ích cho chính tổ chức áp dụng và các bên liên quan. Cuốn sách nhỏ này nhằm mục đích cung cấp những thông tin cơ bản liên quan đến bộ tiêu chuẩn ISO/IEC 27000 về lĩnh vực an toàn thông tin và hƣớng dẫn các bƣớc hoạch định, xây dựng, vận hành một hệ thống quản lý an toàn thông tin trong tổ chức, doanh nghiệp phù hợp với yêu cầu của ISO/IEC 27001 để bảo vệ các tài sản thông tin phục vụ cho các hoạt động sản xuất, cung cấp dịch vụ của mình. Chúng tôi mong nhận đƣợc ý kiến đóng góp của bạn đọc để nội dung cuốn sách tiếp tục đƣợc cải thiện trong lần tái bản./. Ban biên soạn 5 NHỮNG TỪ VIẾT TẮT VÀ ĐỊNH NGHĨA ISO : International Organization for Standardization/Tổ chức quốc tế về Tiêu chuẩn hóa IEC : International E ...