Tiêu chuẩn quốc gia

Information technology - Information security management system - Requirements -

ISO/IEC 27001:2005
IDT - Tương đương hoàn toàn

• TCVN ISO/IEC 27001:2009(W - Hết hiệu lực)
• TCVN ISO/IEC 27001:2019(A - Còn Hiệu lực)

35.040 - Bộ chữ và mã hóa thông tin

Tiêu chuẩn này áp dụng rộng rãi cho nhiều loại hình tổ chức (ví dụ: các tổ chức thương mại, cơ quan nhà nước, tổ chức phi lợi nhuận). Tiêu chuẩn này chỉ rõ yêu cầu đối với hoạt động thiết lập; triển khai; điều hành; giám sát; soát xét; duy trì và cải tiến một hệ thống quản lý an toàn thông tin (ISMS) để đảm bảo an toàn thông tin trước những rủi ro có thể xảy ra với các hoạt động của tổ chức. Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp quản lý an toàn đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc bộ phận của tổ chức.
Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng...
Các yêu cầu trình bày trong tiêu chuẩn này mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức khác nhau. Điều 4, 5, 6, 7 và 8 của tiêu chuẩn là bắt buộc nếu tổ chức công bố phù hợp với tiêu chuẩn này; các loại trừ đối với các biện pháp quản lý, nếu cần thiết để thỏa mãn các tiêu chí chấp nhận rủi ro, cần có lý do chính đáng và có bằng chứng chứng minh các rủi ro liên đới đã được chấp nhận bởi người có trách nhiệm.

Các tài liệu sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng bản mới nhất, bao gồm cả các sửa đổi (nếu có).
ISO/IEC 17799:2005, Information technology-Security techniques-Code of practice for information security management (Công nghệ thông tin-Các kỹ thuật an toàn-Quy phạm thực hành quản lý an toàn thông tin).