Những thay đổi của phiên bản ISO 27001:2022

 

Phiên bản ISO / IEC 27001: 2022 mới được xuất bản vào tháng 10 năm 2022. Thay đổi chính của tiêu chuẩn lần này là ISO 27002, còn được gọi là tiêu chuẩn hướng dẫn của ISO 27001. Vì vậy, mặc dù không có sửa đổi lớn trong bản cập nhật ISO 27001:2022, nhưng doanh nghiệp cần phải xem xét lại hoạt động của hệ thống quản lý của mình.

 

 

1. Bối cảnh sửa đổi tiêu chuẩn

Sửa đổi tiêu chuẩn là thay đổi các quy định để phù hợp hơn với tình hình hiện tại, phù hợp với những thay đổi của điều kiện, hoàn cảnh và môi trường xã hội.
Tổ chức Tiêu chuẩn hóa Quốc tế, có trụ sở chính tại Geneva, Thụy Sĩ, tổ chức các cuộc họp định kỳ để xem xét các tiêu chuẩn đã thiết lập; và ISO 27001 (ISMS) là một trong số các tiêu chuẩn quốc tế được xem xét.

ISO 27001 là một tiêu chuẩn về bảo mật thông tin, vì vậy việc xem xét này cần được tiến hành nhằm đáp ứng tính đa dạng của truyền thông và thực tế nó đang được xem xét.
Theo nguyên tắc, các sửa đổi sẽ được thực hiện theo “chu kỳ 5 năm 1 lần”, nhưng có rất ít trường hợp về các sửa đổi được thực hiện đúng tần suất như vậy.
ISO 27001 ra đời là một tiêu chuẩn quốc tế vào năm 2000, sau đó được đổi mới thành phiên bản thứ 2 vào năm 2005 và phiên bản thứ 3 vào năm 2013. Lần này, phiên bản thứ 4 (ISO 27001:2022) đã được xuất bản và là phiên bản mới nhất.

 

2. Phiên bản mới nhất tại thời điểm hiện tại của ISO 27001 là gì?

Kể từ tháng 11 năm 2022, phiên bản mới nhất của ISO 27001 là phiên bản 2022.
Năm 2022 là năm xuất bản bản gốc bằng tiếng Anh và sau đó sẽ được dịch sang các ngôn ngữ trên toàn thế giới.

 

3. Khi nào cần thực hiện sửa đổi?

[Quy trình sửa đổi tiêu chuẩn]

Quy trình sửa đổi tiêu chuẩn ISO 27001
Quy trình sửa đổi tiêu chuẩn ISO 27001

Bản sửa đổi tiêu chuẩn ISO 27001 đã được xuất bản vào ngày 25 tháng 10 năm 2022.
Việc sửa đổi tiêu chuẩn nên được thực hiện trong năm đánh giá tái chứng nhận.
Tùy thuộc vào Tổ chức chứng nhận, có Tổ chức có thời gian và chi phí đánh giá thấp hơn so với đánh giá giám sát.

Không có sự khác biệt quá lớn giữa phiên bản tiếng Anh và bản tiếng Việt ISO 27001. Hãy tham khảo bản song ngữ ISO 27001 và thực hiện các thay đổi theo yêu cầu của tiêu chuẩn.

 

4. Mối liên hệ giữa ISO 27001 và ISO 27002

Như đã đề cập ở trên, ISO 27001 là một tiêu chuẩn quốc tế ISO 27001 có một mục gọi là “Phụ lục A”, Phụ lục A mô tả các mục tiêu quản lý nhằm giảm thiểu rủi ro an toàn thông tin và các biện pháp kiểm soát nhằm đạt được mục tiêu đó.

ISO 27002 chứa các giải thích và ví dụ cụ thể về các biện pháp kiểm soát trong Phụ lục A.
Vì ISO 27002 là tiêu chuẩn không thể thiếu để tổ chức thực hiện các biện pháp quản lý ISO 27001, cho nên nó còn được gọi là tiêu chuẩn hướng dẫn ISO 27001.

 

5. Thời gian cập nhật và chuyển đổi sang phiên bản mới

Thời gian cập nhật ISMS và chuyển đổi chứng nhận sang ISO/IEC 27001:2022 chậm nhất là ngày 31/10/2025.

Tổ chức chứng nhận sẽ đánh giá việc thực hiện các thay đổi trong giai đoạn chuyển đổi này, và nếu không có vấn đề gì, việc sửa đổi tiêu chuẩn coi như được hoàn thành.
Bạn sẽ được thông báo ngay khi Tổ chức chứng nhận sẵn sàng cho cuộc đánh giá chuyển đổi.
Đánh giá chuyển đổi thường được tiến hành đồng thời với đánh giá giám sát định kỳ và đánh giá chứng nhận lại.
Tùy từng Tổ chức chứng nhận mà cách làm sẽ khác nhau, cho nên bạn nên liên hệ với cơ quan chứng nhận mà bạn đang đánh giá để xác nhận.

 

6. Những điểm thay đổi của tiêu chuẩn

Phụ lục A của ISO 27001:2013 có các biện pháp kiểm soát bao gồm 114 mục.
Bằng cách thực hiện các biện pháp kiểm soát này, rủi ro an toàn thông tin sẽ được giảm thiểu.

Bản sửa đổi của ISO 27002, bao gồm các giải thích và ví dụ cụ thể về các biện pháp kiểm soát này, đã được hoàn thành và nội dung thay đổi đáng kể.
Bản sửa đổi của ISO 27001 là bản sửa đổi của Phụ lục A về sự thay đổi trong biện pháp kiểm soát này.

Những thay đổi cụ thể về các biện pháp kiểm soát:

Trong số 114 biện pháp kiểm soát:
・Cập nhật 58 mục
・Tích hợp 24 mục
・Thêm mới 11 mục
Tổng số mục đã xóa bỏ là 93 mục.

Nếu bạn lo lắng về việc “Không biết rõ các thay đổi”, “Không biết phải làm như thế nào”, bạn có thể hỏi ý kiến chuyên gia tư vấn của 3AC chúng tôi để được hướng dẫn cụ thể.

 

7. Những lưu ý khi thực hiện sửa đổi

(1) Hồ sơ và biểu mẫu

Vì các biện pháp kiểm soát thay đổi nên bạn cần rà soát lại nội dung Tuyên bố về khả năng áp dụng và các quy định kiểm soát an toàn thông tin sao cho phù hợp.

 

(2) Nội bộ công ty

Nhân viên phụ trách ISO nên thu thập thông tin về việc sửa đổi tiêu chuẩn.
Vào thời điểm này các thông tin chưa được rõ ràng, vì vậy hãy cập nhật thông tin thường xuyên để nắm được các sửa đổi đối với các tiêu chuẩn. Chúng tôi sẽ cập nhật bài viết này với thông tin mới nhất, hãy lưu lại đường link để tiện theo dõi nhé.

Khi bạn đã xác nhận thời điểm sửa đổi tiêu chuẩn, bước tiếp theo là thu thập thông tin từ Tổ chức chứng nhận.
Lý do là khi các tiêu chuẩn được sửa đổi, các quy định của mỗi tổ chức sẽ thay đổi đồng thời với quy định của tổ chức.

 

Tổng kết

Bạn đã nắm được thông tin về những thay đổi chính của bản cập nhật ISO 27001:2022 rồi chứ. Vì các biện pháp kiểm soát sẽ được thay đổi trong lần sửa đổi này, nên doanh nghiệp cần phải rà soát lại Tuyên bố về khả năng áp dụng và Quy định kiểm soát an toàn thông tin sao cho phù hợp.
Nội dung chi tiết của đánh giá chuyển đổi sẽ thay đổi tùy mỗi Tổ chức chứng nhận, vì vậy hãy xác nhận với Tổ chức chứng nhận để cuộc đánh giá diễn ra suôn sẻ hơn nhé.