ISO/IEC 27001 là tiêu chuẩn quốc tế về Hệ thống Quản lý An toàn Thông tin (ISMS). Với khối Tài chính – Ngân hàng, chứng nhận này vừa là yêu cầu tuân thủ, vừa là cam kết uy tín với khách hàng.
Bước 1: Xác định phạm vi và bối cảnh
Định nghĩa rõ phạm vi ISMS — hệ thống, phòng ban, dữ liệu nào được bao phủ. Phạm vi quá rộng gây quá tải; quá hẹp lại thiếu ý nghĩa. Xác định các bên liên quan và yêu cầu pháp lý áp dụng.
Bước 2: Đánh giá rủi ro
Trái tim của ISO 27001 là quản lý rủi ro. Nhận diện tài sản thông tin, mối đe dọa và lỗ hổng; đánh giá khả năng và tác động; xếp hạng rủi ro để ưu tiên xử lý.
Bước 3: Lập kế hoạch xử lý rủi ro và SoA
Chọn biện pháp kiểm soát từ Annex A (phiên bản 2022 có 93 controls) phù hợp với rủi ro. Tuyên bố áp dụng (Statement of Applicability) giải trình control nào dùng và vì sao.
Bước 4: Triển khai chính sách và quy trình
Biến kế hoạch thành chính sách, quy trình và hướng dẫn vận hành. Đào tạo nhận thức cho toàn bộ nhân sự — yếu tố con người vẫn là mắt xích yếu nhất.
Bước 5: Đánh giá nội bộ và soát xét lãnh đạo
Trước khi mời tổ chức chứng nhận, thực hiện internal audit để phát hiện điểm chưa phù hợp và khắc phục. Ban lãnh đạo soát xét hiệu lực của ISMS.
Bước 6: Đánh giá chứng nhận và cải tiến liên tục
Tổ chức chứng nhận đánh giá hai giai đoạn. Sau khi đạt chứng nhận, ISMS phải được duy trì qua đánh giá giám sát hằng năm theo chu trình PDCA.
ISO 27001 không phải đích đến một lần mà là cam kết cải tiến liên tục về an toàn thông tin — nền tảng niềm tin trong ngành tài chính.
Data Security Specialist & Information Security Auditor, chuyên Zero Trust, GDPR/ISO 27001 cho khối Tài chính – Ngân hàng. Chứng chỉ CISSP, CISA, CEH, OSCP. Xem hồ sơ chuyên môn tại trang chủ hoặc kết nối qua LinkedIn.