Bối cảnh kỹ thuật số toàn cầu đang thay đổi. Các phương thức kinh doanh mới và Công nghiệp 4.0 đã trở nên phổ biến và các phương thức kinh doanh cốt lõi ngày càng dựa trên dịch vụ đám mây và phụ thuộc vào kỹ thuật số.
Để đáp ứng, tiêu chuẩn Quản lý An toàn Thông tin ISO/IEC 27001 và các biện pháp kiểm soát ISO/IEC 27002 cho các tiêu chuẩn An toàn Thông tin đang được cập nhật để phản ánh sự phát triển này.
1. Thay đổi trong Tiêu đề
Sau khi cập nhật, ở phiên bản ISO/IEC 27001:2022, tiêu chuẩn đã có tên tiêu đề mới là “Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư – Hệ thống quản lý an toàn thông tin – Các yêu cầu“.
2. Thay đổi trong Điều khoản
ISO/IEC 27001:2022 có cấu trúc điều khoản tương tự như ISO/IEC 27001:2013, nhưng có thay đổi về văn bản. Những thay đổi đó giúp điều chỉnh ISO/IEC 27001 với các tiêu chuẩn quản lý ISO/IEC khác, cụ thể:
Một điều khoản phụ mới đã được thêm vào yêu cầu phân tích xem yêu cầu nào của bên quan tâm sẽ được giải quyết thông qua ISMS.
Một cập nhật nhỏ về ngôn ngữ đã làm rõ phạm vi truyền đạt các vai trò liên quan đến an toàn thông tin sẽ được truyền đạt trong tổ chức.
Yêu cầu của điều khoản này trở nên rõ ràng hơn so với phiên bản cũ ở điểm là các mục tiêu nên được theo dõi thường xuyên và được ghi lại một cách chính thức.
Điều khoản này đã được thêm vào để thiết lập một tiêu chuẩn xung quanh việc lập kế hoạch cho các thay đổi. Nó nêu rõ rằng nếu các thay đổi là cần thiết đối với ISMS thì chúng phải được lên kế hoạch đầy đủ.
Các khoản a-c giữ nguyên. Nhưng các điều khoản phụ d (ai nên giao tiếp) và e (quá trình mà việc giao tiếp sẽ bị ảnh hưởng) đã được đơn giản hóa và kết hợp thành một điều khoản mới được đổi tên thành d (cách thức giao tiếp).
Hướng dẫn bổ sung đã được thêm vào để lập kế hoạch và kiểm soát hoạt động. ISMS hiện cần thiết lập các tiêu chí cho các hành động được xác định trong Điều 6 và kiểm soát các hành động đó theo các tiêu chí.
Điều khoản này đã được thay đổi, nhưng không đáng kể. Về cơ bản, nó chỉ tách điều khoản phụ a và b để xây dựng Điều khoản 9.2.1, và các điều khoản phụ còn lại để xây dựng Điều khoản 9.2.2.
Một mục mới đã được thêm vào để làm rõ rằng xem xét của lãnh đạo của tổ chức sẽ bao gồm việc xem xét mọi thay đổi đối với nhu cầu và mong đợi của các bên quan tâm.
Các thay đổi về cấu trúc đối với điều khoản này hiện liệt kê Cải tiến liên tục (10.1) trước và sau đó là Sự không phù hợp và Hành động khắc phục (10.2).
3. Thay đổi trong Phụ lục A
Tiêu đề của Phụ lục này cũng đã thay đổi từ “Mục tiêu và biện pháp kiểm soát tham chiếu” thành “Các biện pháp kiểm soát an toàn thông tin tham khảo“. Đồng thời, tiêu chuẩn cũng đã sử dụng “Mục đích” thay thế cho “Mục tiêu“.
· Thay đổi cấu trúc các biện pháp kiểm soát
Trong phiên bản ISO/IEC 27001:2022 mới này, các biện pháp kiểm soát đã rút gọn từ 14 nhóm điều khoản xuống chỉ còn 4 chủ đề:
- Kiểm soát Tổ chức: 37 biện pháp kiểm soát.
- Kiểm soát Con người: 8 biện pháp kiểm soát.
- Kiểm soát Vật lý: 14 biện pháp kiểm soát.
- Kiểm soát Công nghệ: 34 biện pháp kiểm soát.
· Sự ra đời của các thuộc tính
Một điểm mới của phiên bản này là sự ra đời của các thuộc tính, được biểu thị bằng thẻ bắt đầu bằng #. Các thuộc tính này có thể được sử dụng để nhóm các kiểm soát tương tự lại với nhau. Mỗi tổ chức có thể tạo ra các thuộc tính của riêng để đáp ứng nhu cầu của mình, do các thuộc tính này là không bắt buộc:
- Loại biện pháp kiểm soát, gồm: Phòng ngừa, Phát hiện, Khắc phục.
- Thuộc tính an toàn thông tin, gồm: Tính bí mật, Tính toàn vẹn, Tính sẵn sàng.
- Khái niệm an ninh mạng, gồm: Xác định, Bảo vệ, Phát hiện, Phản hồi, Phục hồi.
- Khả năng hoạt động, gồm: Quản trị, Quản lý tài sản, Bảo vệ thông tin, An toàn nguồn nhân lực, An toàn vật lý, An toàn hệ thống và mạng, An toàn ứng dụng, An toàn cấu hình, Quản lý danh tính và truy cập, Quản lý mối đe dọa và lỗ hổng bảo mật, Tính liên tục, An toàn trong mối quan hệ nhà cung cấp, Pháp lý và tuân thủ, Quản lý sự kiện an toàn thông, Đảm bảo an toàn thông tin.
- Miền bảo mật, gồm: Quản trị và Hệ sinh thái, Bảo vệ, Phòng thủ, Khả năng phục hồi.
- Các biện pháp kiểm soát được thêm mới
Đã có 11 biện pháp kiểm soát mới được bổ sung vào Phụ lục A, cụ thể là các biện pháp kiểm soát: 5.7, 5.23, 5.30, 7.4, 8.9, 8.10, 8.11, 8.12, 8.16, 8.23, 8.28.
Tiêu chuẩn phiên bản mới đã hợp nhất 56 biện pháp kiểm soát có nội dung khá giống nhau thành 24 biện pháp kiểm soát mới. Trong đó, biện pháp kiểm soát A.18.2.3 của ISO/IEC 27001:2013 được áp dụng cho hai biện pháp kiểm soát 5.36 và 8.8 của ISO/IEC 27001:2022.
Có 58 biện pháp kiểm soát đã được cập nhật cho phù hợp và liên kết chặt chẽ với nhau hơn, trong đó: 24 biện pháp kiểm soát đã được đổi tên và 34 biện pháp kiểm soát còn lại vẫn giữ nguyên tên, chỉ thay đổi số và thứ tự của chúng.
KẾT LUẬN
ISO/IEC 27001:2022 đã được chỉnh sửa, cập nhật cho phù hợp hơn với tình hình bảo mật thông tin hiện tại, cụ thể:
- Có một số thay đổi về biên tập, bao gồm:
- “Tiêu chuẩn Quốc tế” được thay thế xuyên suốt bởi “tài liệu”.
- Sắp xếp lại một số cụm từ Tiếng Anh để tạo thuận lợi cho quá trình phiên dịch tiêu chuẩn.
- Các điều khoản từ 4 đến 10 có một số thay đổi nhỏ.
- Những thay đổi chính trong bản sửa đổi có trong Phụ lục A, phản ánh những thay đổi được thể hiện trong ISO/IEC 27002:2022. Những thay đổi này là:
- Cấu trúc đã được hợp nhất thành bốn lĩnh vực chính: Tổ chức, Con người, Vật lý và Công nghệ thay vì 14 lĩnh vực trong lần xuất bản trước.
- Các biện pháp kiểm soát được liệt kê đã giảm từ 114 xuống 93: Không có biện pháp kiềm soát nào bị xóa. Một số biện pháp kiểm soát đã được hợp nhất, một số biện pháp kiểm soát đã bị loại bỏ, những biện pháp kiểm soát mới đã được giới thiệu và những biện pháp kiểm soát khác được cập nhật.
- Khái niệm mới về các thuộc tính được giới thiệu: Phù hợp với thuật ngữ phổ biến được sử dụng trong an toàn kỹ thuật số, năm thuộc tính này là: Loại biện pháp kiểm soát, Thuộc tính an toàn thông tin, Khái niệm an ninh mạng, Khả năng hoạt động và Miền bảo mật.
Sự tương ứng giữa các biện pháp kiểm soát trong ISO/IEC 27001:2022 với ISO/IEC 27002:2013
