# 1. Tổng quan
ISO 27001 là một tiêu chuẩn quốc tế công nhận cho hệ thống quản lý an toàn thông tin ISMS.
Nó được áp dụng rộng rãi bởi các tổ chức trên khắp thế giới muốn chứng minh rằng họ có một chương trình an ninh mạng mạnh mẽ.
ISO có trụ sợ tại Geneva, Thụy Sĩ hoạt động từ năm 1947. Là một tổ chức độc lập được thành lập từ các tổ chức tiêu chuẩn từ 165 quốc gia.
ISO 9000 xác định các yêu cầu cho các tổ chức giúp đảm bảo và giám sát công tác quản lý chất lượng trong doanh nghiệp đạt chuẩn.
ISO 27001 đề cập đến nỗ lực chung của cả tổ chức tiêu chuẩn hóa quốc tế và Ủy ban kỹ thuật điện quốc tế để xuất bản các tiêu chuẩn liên quan đến công nghệ thông tin bao gồm tiêu chuẩn ISO 27001.
ISO 27001 không phải là một tiêu chuẩn hoàn toàn mới mà nó dựa trên một tiêu chuẩn bảo mật thông tin trước đó được gọi là Tiêu chuẩn [BS 7799](#user-content-fn-1)[^1]. Một phần trong đó mô tả cách thực hiện hệ thống quản lý bảo mật thông tin đã được ISO công bố với tên ISO 27001 vào tháng 11 năm 2005. Phần khác của BS 7799, tập trung vào các thực tiễn tốt nhất đối với hệ thống quản lý an toàn thông tin trở thành ISO/IEC 27002 vào tháng 7 năm 2007.
ISO 27001 và 27002 là một phần của một nhóm các tiêu chuẩn liên quan đến bảo mật thông tin.
Các tiêu chuẩn khác trong họ ISO/IEC 27000 bao gồm:
* ISO/IEC 27004 giám sát, đo lường, phân tích và đánh giá.
* ISO/IEC 27005, quản lý rủi ro bảo mật thông tin.
* ISO/IEC 27021, yêu cầu về năng lực cho các chuyên gia hệ thống quản lý an toàn thông tin.
* ISO/IEC 27033 an ninh mạng và nhiều hơn nữa.
Trong đó mô tả các yêu cầu cơ bản của tiêu chuẩn. Phụ lục A được gọi là tham chiếu kiểm soát bảo mật thông tin (information security controls reference).
**ISMS** (information security management system) sẽ được giới thiệu ngay về một số thuật ngữ và khái niệm sẽ được sử dụng toàn bộ tiêu chuẩn này và ISO 27002.
ISMS là một hệ thống quản lý, cụ thể là hệ thống quản lý an toàn thông tin. Nó có chu kỳ quản lý bảo mật không bao giờ kết thúc, trong đó bao gồm 4 phần chính:
* Establish the ISMS (thiết lập): context of the organization, leadership, planning (PLAN)
* implement and operate the ISMS (thực hiện và vận hành ISMS): support, operation (DO)
* Monitor and review the ISMS (theo dõi và xem lại ISMS): performance Evaluation (đánh giá hiệu suất (CHECK)
* Maintain and improve the ISMS (duy trì và cải thiện ISMS): improvement (ACT)
Phần 2 của ISO 27001: Phụ lục A controls:
* yêu cầu cụ thể để tuân thủ ISO 27001
* Four control groups with a total of 93 controls
* Phù hợp với các biện pháp kiểm soát được xác định trong ISO 27002
Tại sao nên xây dựng chương trình an ninh mạng theo tiêu chuẩn ISO 27001?
* Nó giúp cải thiện và xác thực chương trình bảo mật hiện tại của họ
* Đảm bảo rằng tổ chức của bạn đã xây dựng và duy trì một chương trình bảo mật mạnh mẽ (vì nó bao gồm các nhóm controls và tổng hợp gồm 93 controls)
* Đảm bảo với lãnh đạo trong tổ chức của bạn và những người khác rằng bạn đang tuân thủ các biện pháp bảo mật tốt.
Why get Certified ISO 27001?
* Chứng tỏ bạn có sẵn các biện pháp kiểm soát để bảo vệ thông tin
* Có thể giúp xây dựng doanh nghiệp của bạn và thu hút nhiều khách hàng hơn
* Giấy chứng nhận có thể được chia sẻ với các bên quan tâm và trong marketing
Một số phê bình về ISO 27001
* Quan niệm sai lầm rằng tuân thủ có nghĩa là bạn hoàn toàn an toàn
* "làm đúng quy định: nhưng kiểm soát an ninh chưa được hiệu quả
* phạm vi có thể quá hẹp
Filling the Gaps of ISO 27001 (lấp đầy khoảng trống)
* ISO 27001 không có nghĩa là đầy đủ
* Cần có nhân viên an ninh có năng lực để thực hiện kiểm soát an ninh liên quan
* Bổ sung các tiêu chuẩn khác
**Sự khác biệt và ánh xạ ISO 27001:2013 và 27001:2022**
ISO 27001 Update
* phản ánh những thay đổi được thực hiện trong ISO 27002 (trong đó mô tả cho tất cả các biện pháp kiểm soát có trong phụ lục A)
* Các bản cập nhật tập trung vào việc hợp lý hóa và đơn giản hóa tiêu chuẩn (làm cho nó dễ thực hiện hơn và hiệu quả hơn trong việc bảo vệ thông tin)
* Các Clauses (điều khoản) 4-10 chỉ có những thay đổi nhỏ
* Các biện pháp kiểm soát của phụ lục A có nhiều thay đổi đáng kể hơn
Changes to Annex A Controls
* Số lượng kiểm soát đã giảm từ 114 xuống còn 93
* 35 controls vẫn không thay đổi
* renamed 23 controls
* Sáp nhập 57 controls thành 24 controls
* Đã bổ sung mới 11 controls
New Annex A Controls
* 5.23 An toàn thông tin sử dụng dịch vụ đám mấy
* 5.30 Sẵn sàng ICT (công nghệ thông tin và truyền thông) để đảm bảo hoạt động kinh doanh liên tục
* 5.7 Threat intelligence (thông báo về mối đe dọa)
* 7.4 Physical security monitoring (giám sát an ninh vật lý)
* 8.9 Configuration management (quản lý cấu hình)
* 8.10 Information deletion (xóa thông tin)
* 8.11 Data masking (mặt nạ dữ liệu) - che giấu dữ liệu để chặn dữ liệu nhạy cảm
* 8.12 Data leakage prevention (ngăn chặn rò rỉ dữ liệu)
* 8.16 Monitoring activities (hoạt động giám sát)
* 8.23 Web filtering (lọc web)
* 8.28 Secure coding (mã hóa an toàn) - đặc tính quan trọng trong DevSecOps
Four Categories of Controls
Nó bao gồm Tổ chức, con người, Vật lý và Công nghệ.
Annex B of ISO 27002:2022
2 tables:
* Ánh xạ các biện pháp kiểm soát của phụ lục A năm 2022 với năm 2013
* Các maps khác kiểm soát 2013 annex A controls to 2022 controls
Hữu ích trong việc điều chỉnh hệ thống quản lý an ninh thông tin
[^1]: Quy tắc thực hành quản lý an ninh thông tin" tiêu chuẩn của Anh, được Viện Tiêu chuẩn Anh xuất bản lần đầu tiên vào tháng 2 năm 1995.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/iso-27001-2022/1.-tong-quan.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.