# 2. Tuân thủ ISO 27001
## Tuân thủ và chứng nhận ISO 27001
Phải tuân theo tất cả các yêu cầu của tiêu chuẩn 27001 (tự đánh giá):
* Triển khai kế hoạch tuân thủ ISO 27001
* Thuê bên thứ ba xác nhận việc tuân thủ ISO 27001: nó sẽ khách quan hơn
Ai có thể chứng nhận tuân thủ ISO 27001?
* cơ quan chứng nhận được công nhận
* công ty kiểm toán hoặc CPA được cơ quan công nhận như Ủy ban chứng nhận quốc gia ANSI công nhận.
Stages (giai đoạn) of the Certification Process
1. Documentation review: Kiểm toán viên sẽ xem xét tất cả các tài liệu liên quan đến hệ thống quản lý an toàn thông tin (ISMS) của bạn, đảm bảo tất cả các tài liệu bắt buộc đều đúng vị trí và chính xác.
2. Evidence-based audit of the ISMS (kiểm toán dựa trên bằng chứng của ISMS): kiểm toán viên sẽ tiến hành một cuộc điều tra kỹ lưỡng về ISMS của bạn, tìm kiếm bằng chứng cho thấy tổ chức của bạn tuân thủ mọi yêu cầu của ISO 27001. Bằng chứng có thể bao gồm đánh giá tại chỗ, phỏng vấn, ảnh chụp màn hình, nhật ký, báo cáo hoặc các cách khác để cho kiểm toán viên thấy rằng các yêu cầu đang được theo dõi
## Xây dựng kế hoạch tuân thủ ISO 27001 của bạn
Stage 1: tập hợp nhóm và phát triển kế hoạch thực hiện
* bao gồm 1 người quản lý dự án, một nhà tài trợ điều hành (executive sponsor - một vai trò trong quản lý dự án, thường là thành viên cấp cao của ban dự án) và các thành viên từ các phòng ban khác nhau như bảo mật, pháp lý, nhân sự, CNTT và tài chính
* Bổ nhiệm một người quản lý dự án là quan trọng để đảm bảo rằng các mục tiêu của dự án được đáp ứng, lịch trình được tuân thủ, chi phí được quản lý và rủi ro được xác định và giảm thiểu
* làm việc nhóm để xác định mục tiêu bảo mật thông tin của bạn và các mục tiêu ISMS
* Truyền đạt về dự án trong tổ chức
Stage 2: Scope and Baseline ISMS (Phạm vi và đường cơ sở của ISMS)
* xác định phạm vi của hệ thống ISMS, những gì ISMS của bạn bao gồm sẽ thúc đẩy phần còn lại của dự án
* tiến hành phân tích gap (khoảng trống) và baseline (đường cơ sở) nơi tổ chức của bạn ngày hôm nay chống lại các yêu cầu ISO. (kiểu sử dụng khóa học này để làm cơ sở cho trạng thái hiện tại của ISMS chẳng hạn)
* ưu tiên những gap để cung cấp cho bạn lộ trình cho các bước tiếp theo
Stage 3: implement the ISMS (triển khai ISMS)
* Xây dựng ban chỉ đạo an toàn thông tin (tuyển dụng và bổ nhiệm)
* Viết chính sách bảo mật thông tin và các chính sách bảo mật khác
* Đây là nơi triển khai kế hoạch được xây dựng trong giai đoạn 1 và khắc phục các biện pháp kiểm soát còn thiếu của giai đoạn 2
Stage 4: Define and Implement Risk Management Process (xác định và triển khai quy trình quản lý rủi ro)
* Define các quy trình để nhận dạng, ưu tiên và khắc phục rủi ro
* Build risk register (xây dựng sổ đăng ký rủi ro)
* Thêm các rủi ro được phát hiện trước đó vào sổ đăng ký rủi ro
Stage 5: Measure, Monitor, and Review ISMS (Đo lường, giám sát, và xem xét ISMS)
* Triển khai các hệ thống và công cụ để đo lường và giám sát ISMS:
* Sử dụng kết quả của các phép đo để liên tục cải thiện ISMS
## Giới thiệu Clauses 4-10
Clauses 1-3 không phải là các yêu cầu tuân thủ (vì nó là các định nghĩa, giải thích thuật ngữ..)
Không bỏ qua clauses 4-10 và go straight to Annex A
Những điều khoản này bao gồm các key yêu cầu tuân thủ
Clause 4: Context of the Organization (bối cảnh của tổ chức)
* Điều khoản yêu cầu tổ chức của bạn xác định bối cảnh và cách tổ chức đáp ứng nhu cầu và mong đợi của các bên khác.
* Cũng yêu cầu xác định phạm vi của hệ thống quản lý bảo mật thông tin
Clause 5: Leadership
* Điều khoản này yêu cầu tổ chức phải có sự lãnh đạo và cam kết phù hợp để thực hiện ISMS.
* Tổ chức cũng phải viết và phê duyệt các chính sách bảo mật thông tin và xác định vai trò và trách nhiệm để thực hiện ISMS.
Clause 6: Planning
* Yêu cầu tổ chức xác định các mục tiêu bảo mật thông tin và cách bạn dự định đạt được chúng.
* Nó cũng bao gồm nhu cầu giải quyết các rủi ro và cơ hội cho tổ chức của bạn
Clause 7: Support
* yêu cầu tổ chức của bạn có các nguồn lực phù hợp với các mức độ năng lực phù hợp để thực hiện ISMS.
* cũng phải đảm bảo mức độ đào tạo nhận thức bảo mật phù hợp với tất cả người dùng.
* Bảo mật phải được truyền đạt cho tất cả người dùng và tất cả chính sách và quy trình bảo mật thông tin cần thiết phải được ghi lại.
Clause 8: Operation
* tổ chức của bạn phải lập kế hoạch và kiểm soát các hoạt động bảo mật cần thiết để thực hiện ISMS.
* cũng yêu cầu đánh giá rủi ro bảo mật thông tin và xử lý rủi ro.
Clause 9: Performance Evaluation (đánh giá hiệu suất)
* Nơi là tổ chức của bạn phải theo dõi, đo lường, phân tích và đánh giá ISMS
* cũng phải tiến hành kiểm toán nội bộ để đảm bảo rằng ISMS hoạt động theo yêu cầu của tiêu chuẩn
Clause 10: Improvement (Cải tiến)
* Các cải tiến phải được thực hiện đối với ISMS, bao gồm phản hồi sự không phù hợp và thực hiện các hành động khắc phục.
* Một quá trình cải tiến liên tục phải được thực hiện.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/iso-27001-2022/2.-tuan-thu-iso-27001.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.