Chuỗi tiêu chuẩn ISO 27000 là một bộ tiêu chuẩn quốc tế tập trung vào bảo mật thông tin và được công bố bởi Tổ chức Tiêu chuẩn Quốc tế. Điểm đáng chú ý nhất trong chuỗi này là bộ bộ ISO 27001, một tiêu chuẩn quản trị có thể được kiểm tra, và ISO 27002, hướng dẫn cách kiểm soát và các thực tiễn tốt nhất - tuy nhiên không phải là một chuẩn có thể cấp chứng nhận.

Tổng quan

  • ISO 27001

    ISO 27001, được cập nhật thường xuyên bắt đầu từ 2005, là mọt tiêu chuẩn cụ thể cho hê thống quản trị bảo mật thông tin (ISMS). Tiêu chuẩn chỉ ra các yêu cầu bắt buộc có thể được kiểm tra và chứng nhận. Nó bao gồm một loạt các giai đoạn phải được liên tục triển khai.

Giai đoạn kế hoạch Giai đoạn thực hiện Giai đoạn kiểm tra Giai đoạn hành động
– Xác định đối tượng doanh nghiệp

– Nhận hỗ trợ quản trị

– Lựa chọn phạm vi triển khai

– Xác định phương thức đánh giá rủi ro

– Chuẩn bị nơi lưu trữ tài sản thông tin để bảo vệ

– Quản trị rủi ro

– Ban hành quy trình và chính sách

– Phân bổ nguồn lực và đào tạo nhân viên

– Giám sát triển khai ISMS

– Chuẩn bị cho kiểm tra chứng thực

– Thực hiện kiểm tra đánh giá thường xuyên

  • ISO 27002

    ISO 27002 không phải một bản tiêu chí cụ thể và không thể chứng nhận. Thay vào đó, nó hỗ trợ ISO 27001 bằng cách đề xuất những hướng dẫn chi tiết cho việc chỉ ra các đối tượng bảo mật thông tin liên quan đến dữ liệu mật, tích hợp và sẵn sàng, và triển khai ISMS. ISO 27002 bao gồm 114 điều được liệt kê theo các phần dưới đây:

    • – Cấu trúc
    • – Chính sách bảo mật
    • – Bảo mật thông tin doanh nghiệp
    • – Bảo mật nhân sự
    • – Quản trị tài sản
    • – Mã hoá
    • – Bảo mật môi trường và vật lý
    • – Bảo mật điều hành
    • – Bảo mật truyền thông
    • – Thu thập, phát triển, duy trì hệ thống thông tin
    • – Quan hệ cung ứng
    • – Quản trị sự cố bảo mật thông tin
    • – Các khía cạnh bảo mật thông tin của kinh doanh liên tục
    • – Tuân thủ
    • – Kiểm soát truy cập

Giải pháp

  • SecureTrust cung cấp một danh mục toàn diện giúp doanh nghiệp tuân thủ theo chuỗi các tiêu chuẩn ISO 27000.

    Giai đoạn kế hoạch

    Thực hiện đánh giá rủi ro là bước đầu tiên để xác định các đối tượng doanh nghiệp bị ảnh hưởng như thế nào và khắc phục rủi ro tại đâu là cần thiết. Đánh giá rủi ro cho phép những người đưa ra quyết định hiểu được rủi ro ảnh hưởng như thế nào đến việc đạt được mục tiêu, cũng như tính hợp lý và hiệu quả của các biện pháp kiểm soát đã có. Đánh giá của Securetrust, được điều chỉnh phù hợp cho doanh nghiệp của bạn, bao gồm xác định các tài sản và hệ thống IT quan trọng, đánh giá các kiểm soát và framework và xem lại các nhà cung cấp thư ba và phản ứng với sự cố.

    Xác định khoảng cách và lỗ hổng

    Các sản phẩm và dịch vụ của SecureTrust giúp doanh nghiệp phản ứng trước các yêu cầu được liệt kê trong chuẩn ISO và triển khai các gợi ý thực hành tốt nhất. Dưới đây là những điểm mà chúng tôi có thể giúp:

  • SIEM

    Giúp doanh nghiệp có cái nhìn về hiểm hoạ trong mạng doanh nghiệp và cải thiện quá trình tuân thủ thông qua ghi log, giám át và phân tích các sự kiện.

    Network Access Control

    Đảm bảo các thiết bị được và không được quản trị kết nối vào mạng tuân thủ với chính sách và không phát tán mã độc.

    Data Loss Prevention

    Cho phép phát hiện và phân loại dữ liệu nhạy cảm và tránh thất thoát chúng.

    Security Awareness Education

    Đào tạo nhân sự và đối tác hiểu về các hiểm hoạ và thực hiện theo các thực tiễn tốt nhất để bảo mật, bao gồm quản trị mật khẩu và cách sử dụng web và các công cụ đa phương tiện một cách an toàn.

    Incident Readiness and Response

    Chuẩn bị cho nhân viên sự chủ động với các sự cố vi phạm và xử lý chúng nhanh chóng và hiệu quả

    Compliance

    Xác định vùng rủi ro và thiết lập các yêu cầu kỹ thuật và kinh doanh cần thiết cho chương trình bảo mật thông tin hiệu quả.

  • Tự động và quản trị tuân thủ

    TrustKeeper Compliance Manager giúp bạn quản trị và tự động tập trung các kiểm soát, chính sách và quy trình trong nhiều framework tuân thủ, bao gồm cả HIPAA. Compliance Manager được cung cấp thông qua cổng quản trị TrustKeeper, cung cấp một cái nhìn thời gian thực vào tình trạng tuân thủ và bảo mật và cung cấp khả năng truy cập vào tất cả các dịch vụ của bạn. Thông qua bảng điều khiển, bạn có thể gửi yêu cầu hỗ trợ, xem lịch sử sự kiện, chạy báo cáo và quản trị tài khoản bất kỳ lúc nào.

Tài nguyên