# 3. Context của tổ chức (Clause 4)

## Clause 4.1: Understanding the Organization and Its Context

> Hiểu được doanh nghiệp và bối cảnh của doanh nghiệp

<figure><img src="/files/CZF1twQaD3bR4mWGezG2" alt=""><figcaption></figcaption></figure>

* Nó thử thách bạn xác định các vấn đề bên ngoài và nội bộ liên quan đến ISMS của bạn;
* Động não với những người hiểu biết trong tổ chức của bạn;
* Xác định các tác động đến doanh nghiệp và khả năng để bảo vệ thông tin của doanh nghiệp.

<details>

<summary>Possible External Impacts (Tác động bên ngoài có thể xảy ra)</summary>

* Yêu cầu bảo mật of customers, clients, or cơ quan quản lý;
* External attacks on infrastructure;
* Thảm họa thiên nhiên;
* Services provided by third-party suppliers;
* Rò rỉ dữ liệu và tiết lộ tài sản thông tin của nhân viên do sơ suất hoặc hoạt động có ác ý;
* Mất hoặc thay đổi dữ liệu do sử dụng sai hoặc trục trặc phần mềm;
* Trục trặc hệ thống hoặc thời gian ngừng hoạt động không lường trước được khác;
* Những thay đổi không được quản lý.

</details>

<details>

<summary>Demonstrate Compliance with Clause 4.1</summary>

* Xây dựng danh sách các vấn đề bên ngoài có thể làm ảnh hưởng đến ISMS của bạn (sao cho càng chi tiết càng tốt);
* Làm tương tự đối với các vấn đề nội bộ.

</details>

## Clause 4.2: Understanding the Needs and Expectations of Interested Parties

> Hiểu được nhu cầu và mong đợi của các bên liên quan

<figure><img src="/files/q8554XxDLbWdFwLt69pn" alt=""><figcaption></figcaption></figure>

* Xác định các bên nội bộ và bên ngoài có liên quan và có yêu cầu đối với ISMS của bạn.

<details>

<summary>Possible Interested Parties (Các bên quan tâm có thể)</summary>

* Board of directors (ban giám đốc);
* Partners (Đối tác);
* Management (sự quản lý);
* Employees (người lao động);
* Customers or clients (khách hàng hoặc người dùng).\
  ![](/files/XxFydPQaF1MtFXfBIA1U)

</details>

<details>

<summary>Possible Requirement of Interested Parties (yêu cầu có thể có của các bên liên quan)</summary>

* Effective risk management program;
* Các biện pháp bảo mật dữ liệu cho PII (Personally Identifiable Information - dữ liệu cá nhân);
* Nghĩa vụ thỏa thuận hợp động hoặc các cấp dịch vụ;
* Kỳ vọng về chất lượng dịch vụ;
* yêu cầu pháp lý.

</details>

<details>

<summary>Demonstrate Compliance with Clause 4.2</summary>

* Xây dựng danh sách liên quan đến các bên liên quan, cả nội bộ và bên ngoài, rằng có liên quan đến ISMS của bạn;
* Xây dựng danh sách các yêu cầu của họ phù hợp với ISMS của bạn.

</details>

<details>

<summary>What is the ISMS?</summary>

* A management system;
* Là một chương trình bảo mật thông tin toàn diện, được ghi chép đầy đủ;
* Phải được xác định rõ ràng để tuân thủ ISO 27001.

</details>

## Clause 4.3: Determining the Scope of the ISMS

> Định rõ phạm vi của hệ thống quản lý an toàn thông tin

* Các vấn đề nội bộ và bên ngoài from clause 4.1;
* Nhu cầu và mong đợi của các bên liên quan from clause 4.2;
* Những các tổ chức của bạn giao tiếp với hoặc phụ thuộc với các tổ chức khác.

<details>

<summary>Mandatory Document: Scope of the ISMS (tài liệu bắt buộc: phạm vi của ISMS)</summary>

* **Càng chi tiết càng tốt, và bao gồm**:
  * processes, functions, and services that the ISMS will support;
  * Tất cả các bên liên quan trong phạm vi của ISMS;
  * Tất cả các địa điểm hoạt động trong phạm vi của ISMS.

</details>

<details>

<summary>Review the Scope of Other Organizations</summary>

* Một số tổ chức có thể cố ý làm cho phạm vi của họ quá hẹp;
* Việc đưa các bộ phận quan trọng của tổ chức ra ngời phạm vi lẩn tránh quan điểm của ISO 27001;
* Review the scope được xác định trên chứng chỉ ISO 27001 của tổ chức để đảm bảo nó hợp lệ (valid).

</details>

<details>

<summary>Demonstrate Compliance with Clause 4.3</summary>

* Create a "scope of the ISMS" document

![](/files/PgSxGZjYfHkWaYtqtZm3)

</details>

## Clause 4.4: Information Security Management System

> hệ thống quản lý an toàn thông tin

* Thiết lập, triển khai, duy trì và liên tục cải tiến ISMS của bạn theo ISO 27001
* Hoàn thành được điều này bằng cách tuân thủ phần còn lại của ISO 27001


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/iso-27001-2022/3.-context-cua-to-chuc-clause-4.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.