Trong quá trình triển khai hệ thống quản lý an toàn thông tin, nhiều tổ chức thường đứng trước câu hỏi nên tiếp cận ISO/IEC 27001 hay ISO/IEC 27002. Đây là hai bộ tiêu chuẩn với nội dung khá tương đồng dều tập trung vào mục tiêu bảo vệ thông tin và đề cập đến các biện pháp kiểm soát an ninh cần thiết cho tổ chức. Tuy nhiên, đằng sau những điểm chung đó là sự khác biệt quan trọng về vai trò, phạm vi và cách áp dụng, khiến mỗi tiêu chuẩn giữ một vị trí riêng trong hệ thống quản lý an toàn thông tin. Vậy ISO/IEC 27001 và ISO/IEC 27002 khác nhau như thế nào và nên sử dụng ra sao cho đúng? Bài viết này cùng SQC Certification đi tìm hiểu về hai bộ tiêu chuẩn này trong bài viết ngày hôm nay.
Khái niệm về ISO 27001 và ISO 27002
-
Tiêu chuẩn ISO/IEC 27001
ISO/IEC 27001 là tiêu chuẩn quốc tế quy định các yêu cầu để thiết lập, triển khai, vận hành, giám sát, duy trì và cải tiến Hệ thống Quản lý An toàn Thông tin (ISMS – Information Security Management System).
Tiêu chuẩn này giúp tổ chức:
- Nhận diện và đánh giá rủi ro an toàn thông tin
- Lựa chọn và áp dụng các biện pháp kiểm soát phù hợp
- Bảo vệ thông tin theo 3 nguyên tắc cốt lõi:
- Bảo mật (Confidentiality) – Toàn vẹn (Integrity) – Sẵn sàng (Availability)
-
Tiêu chuẩn ISO/IEC 27002
ISO/IEC 27002 là tiêu chuẩn hướng dẫn, cung cấp bộ thực hành tốt (Code of Practice) về các biện pháp kiểm soát an toàn thông tin.
Bộ tiêu chuẩn này hướng đến:
- Việc mô tả một cách chi tiết về các mục tiêu, nội dung cũng như cách áp dụng việc kiểm soát an ninh một cách hiệu quả.
- Tiêu chuẩn này giúp hỗ trợ tổ chức lựa chọn, triển khai và vận hành các biện pháp kiểm soát phù hợp với rủi ro
- Bộ tiêu chuẩn này hiện được sử dụng như tài liệu tham chiếu kỹ thuật khi xây dựng ISMS theo ISO/IEC 27001
Những điểm giống nhau giữa ISO/IEC 27001 và ISO/IEC 27002
Những điểm giống nhau giữa ISO/IEC 27001 và ISO/IEC 27002 bạn cần phải chú ý như sau:
1: Cùng thuộc bộ tiêu chuẩn ISO/IEC 27000
Cả hai bộ tiêu chuẩn ISO/IEC 27001 và ISO/IEC 27002 hiện nay đều được nằm trong họ tiêu chuẩn ISO/IEC 27000, tập trung vào việc xây dựng và nâng cao quản lý an toàn thông tin cho tổ chức. Do cùng được ban hành bởi tổ chức Tiêu chuẩn hóa Quốc tế ISO và Ủy ban Kỹ thuật Điện Quốc tế (IEC) do đó điều này đảm bảo tính thống nhất, tương thích và được công nhận trên phạm vi toàn cầu.
2: Cùng mục tiêu bảo vệ an toàn thông tin
Cả ISO/IEC 27001 và ISO/IEC 27002 đều hướng tới việc bảo vệ tài sản thông tin của tổ chức cũng như giảm thiểu tối đa rủi ro mất mát và rò rỉ hoặc gián đoạn thông tin. Việc đảm bảo 3 ngyên tắc cốt lõi của an toàn thông tin như: Bảo mật – Toàn vẹn – Sẵn sàng (CIA)
3: Đều đề cập đến các biện pháp kiểm soát an toàn thông tin
Hai tiêu chuẩn cùng nhắc đến việc kiểm soát an toàn thông tin và hỗ trợ tổ chức chọn lựa và triển khai các biện pháp kiểm soát phù hợp với các rủi ro. Trong đó, ISO/IEC 27001 yêu cầu tổ chức phải xác định và lựa chọn kiểm soát, còn ISO/IEC 27002 mô tả chi tiết cách áp dụng các kiểm soát đó.
4: Dựa trên cách tiếp cận quản lý rủi ro
Cả hai bộ tiêu chuẩn này đều có những bước tiếp cận quản lý rủi ro như nhận diện các mối đe dọa và điểm yếu, đánh giá các mức độ rủi ro an toàn thông tin và áp dụng việc kiểm soát sự tương ứng để giảm thiểu tốt rủi ro xuống mức chấp nhận được.
5: Có thể áp dụng cho mọi loại hình tổ chức
ISO/IEC 27001 và ISO/IEC 27002 đều:
- Không giới hạn quy mô hay lĩnh vực
- Phù hợp với doanh nghiệp, tổ chức công, tài chính, công nghệ, sản xuất, dịch vụ, giáo dục…
- Có thể áp dụng linh hoạt theo bối cảnh và mức độ rủi ro của từng tổ chức
6: Hỗ trợ nhau trong quá trình triển khai ISMS
Hai tiêu chuẩn được thiết kế để bổ trợ cũng như liên kết chặt chẽ trong các quá trình xây dựng ISMS. Đồng thời bộ tiêu chuẩn ISO/IEC 27001 đóng vai trò như một khung yêu cầu còn ISO/IEC 27002 đóng vai trò như một tài liệu hướng dẫn thực hiện.
Điểm khác nhau giữa ISO/IEC 27001 và ISO/IEC 27002
Bên cạnh những điểm giống nhau như trên thì bộ tiêu chuẩn ISO 27001 và ISO 27002 có những điểm khác nhau cơ bản mà bạn cần phải thực hiện như sau:
| Tiêu chí | ISO/IEC 27001:2022 | ISO/IEC 27002:2022 |
|---|---|---|
| Mục đích chính | Bộ tiêu chuẩn này có đưa ra quy định yêu cầu để thiết lập, thực hiện, duy trì và cải tiến Hệ thống quản lý an toàn thông tin (ISMS). Đây là khung quản lý rủi ro an toàn thông tin. | Cung cấp hướng dẫn thực thi chi tiết cho các biện pháp kiểm soát an toàn thông tin (controls). Nó giải thích “cách làm” cho các controls trong Annex A của ISO 27001. |
| Có thể chứng nhận không? | Có, tổ chức có thể đạt chứng nhận ISO 27001 (qua audit độc lập). Đây là tiêu chuẩn duy nhất trong bộ ISO 27000 cho phép chứng nhận. | Không, chỉ là hướng dẫn bổ trợ, không chứng nhận được. |
| Cấu trúc | – Các điều khoản chính (clauses 4-10): Quy định về ISMS (phạm vi, đánh giá rủi ro, chính sách, audit nội bộ,…).
– Annex A: Danh sách 93 controls tham chiếu (không chi tiết). |
– Tập trung hoàn toàn vào 93 controls. – Phân loại thành 4 nhóm: Tổ chức (Organizational), Con người (People), Vật lý (Physical), Công nghệ (Technological).
– Mỗi control có hướng dẫn mục tiêu, thực thi chi tiết và ví dụ. |
| Số lượng controls | 93 controls trong Annex A (cập nhật từ phiên bản cũ). | 93 controls chi tiết (giảm từ 114 ở phiên bản 2013 do hợp nhất và thêm mới 11-12 controls). |
| Mối quan hệ | Là tiêu chuẩn chính, yêu cầu sử dụng controls từ ISO 27002 làm tham chiếu. | Là tài liệu hỗ trợ cho ISO 27001, mở rộng Annex A với hướng dẫn thực tế. |
| Lợi ích khi sử dụng | Chứng minh tổ chức có ISMS hiệu quả, tăng uy tín với khách hàng/đối tác, tuân thủ pháp lý. | Giúp triển khai controls một cách thực tế, hiệu quả hơn, đặc biệt khi đánh giá rủi ro và chọn measures phù hợp. |
Doanh nghiệp bạn nên áp dụng tiêu chuẩn ISO nào và vào thời điểm nào?
Có thể thấy được bộ tiêu chuẩn ISO/IEC 27001 đóng vai trò là nền tảng cốt lõi để doanh nghiệp xây dựng Hệ thống Quản lý An toàn Thông tin (ISMS). ISO 27001 tiến hành xác lập chính sách, phân định trách nhiệm, cho đến thiết lập cấu trúc quản lý và sẵn sàng cho hoạt động đánh giá, chứng nhận. Trong khi đó, bộ tiêu chuẩn ISO/IEC 27002 có thể giúp cho tổ chức của bạn đi sâu vào từng biện pháp kiểm soát, làm rõ cách thức triển khai và vận hành các kiểm soát đã được lựa chọn trong ISMS.
Đối với những tổ chức mới bắt đầu, ISO/IEC 27001 nên được triển khai đầu tiên khi xây dựng hệ thống ISMS. Bộ tiêu chuẩn ISO/IEC 27002 sẽ trở thành công cụ hướng dẫn hiệu quả để triển khai các kiểm soát đó vào thực tế.
Có thể nói, ISO/IEC 27001 và ISO/IEC 27002 giống như hai mảnh ghép không thể tách rời: một tiêu chuẩn định hình cấu trúc quản lý an toàn thông tin, tiêu chuẩn còn lại cung cấp hướng dẫn chi tiết để các biện pháp bảo mật vận hành đúng và hiệu quả. Việc kết hợp cả hai không chỉ giúp đáp ứng yêu cầu tuân thủ, mà còn xây dựng một hệ thống bảo vệ dữ liệu bền vững và có chiều sâu cho tổ chức.
Kết luận:
Có thể thấy được việc tổ chức của bạn tiến hành áp dụng ISO/IEC 27001 và ISO/IEC 27002 không chỉ có có đưa ra được sự đối lập mà bổ trợ một cách chặt chẽ có thể giúp cho nhau việc quản lý an toàn thông tin. Trong khi ISO/IEC 27001 đóng vai trò là khung yêu cầu quản lý, giúp tổ chức xây dựng, vận hành và chứng nhận hệ thống ISMS một cách bài bản thì ISO/IEC 27002 cung cấp hướng dẫn chi tiết về các biện pháp kiểm soát, hỗ trợ triển khai hiệu quả những yêu cầu đã xác định. Khi được áp dụng song song, hai tiêu chuẩn này giúp tổ chức vừa đáp ứng tuân thủ, vừa nâng cao năng lực bảo vệ thông tin một cách bền vững.
Chứng nhận ISO/IEC 27001:2022 cho Sở Giao dịch Hàng hóa Việt Nam
Bộ tiêu chuẩn ISO/IEC 27701: Hệ thống quản lý thông tin quyền riêng tư
Vì sao bệnh viện cần ISO 27001 bên cạnh HIPAA?
Checklist đánh giá tuân thủ HIPAA
Những hành vi vi phạm HIPAA phổ biến
So sánh HIPAA và ISO 27001 và SOC 2: Điểm giống và khác nhau
