FAQs

Tự học trực tuyến trên web

Việc tham dự các khóa tự học trực tuyến liệu có tốt hơn các lớp học thông thường có lẽ là câu hỏi khó có thể trả lời chính xác. Nó sẽ phụ thuộc vào tính cách của mỗi cá nhân, mà như các bạn đã biết thì mỗi người lại có các sơ thích khác nhau.

Tuy nhiên việc tự học mang lại các lợi ích mà các khóa học thông thường không có, dưới đây là một trong số các lợi ích đó:  

1.   Có thể xem lại: Các khóa tự học cho phép học viên xem lại các tài liệu đào tạo khi họ cần. Học viên có thể quay trở lại các mục trước đó để hiểu sâu hơn hoặc củng cố kiến thức. Điều này đặc biệt hữu ích khi bạn chưa hiểu ngay được thông qua một lần học hoặc để bù đắp các lỗ hổng kiến thức hoặc để chuẩn bị cho các kỳ thi hay lấy quá trình lấy chứng nhận. Một ví dụ điển hình chẳng hạn như chủ đề  " Các nguyên tắc cơ bản trong kiểm soát quá trình bằng thống kê". Đây là một chủ để khó và thường không thể hiểu ngay được. Thông qua việc tự học trực tuyến học viên có thể tìm hiểu từng phần nội dung và có thể xem đi xem lại nhiều lần.

Cấu trúc của ISO/IEC 27001 là gì?

ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu cho hệ thống quản lý bảo mật thông tin (ISMS). Tiêu chuẩn có nhiều phần và bao hàm các mục sau: 

1.    Phạm vi: Mô tả phạm vi của tiêu chuẩn và xác định ứng dụng của nó cho tất cả các loại tổ chức và thông tin.

2.    Tài liệu viện dẫn: Chứa danh sách các tiêu chuẩn và tài liệu liên quan khác được tham chiếu.

3.    Thuật ngữ và định nghĩa: Xác định các thuật ngữ và định nghĩa chính được sử dụng trong tiêu chuẩn để đảm bảo sự hiểu biết nhất quán.

4.    Bối cảnh của tổ chức: Mô tả các yêu cầu đối với tổ chức để xác định bối cảnh và khuôn khổ cho ISMS. Điều này bao gồm các yếu tố ảnh hưởng bên trong và bên ngoài, các bên quan tâm và nghĩa vụ tuân thủ.

5.    Sự lãnh đạo: Nhấn mạnh tầm quan trọng của cam kết của quản lý cấp cao đối với ISMS và thiết lập các yêu cầu đối với lãnh đạo, chính sách, vai trò và trách nhiệm.

6.    Hoạch định: bao gồm các yêu cầu để đánh giá rủi ro, giải quyết các rủi ro và cơ hội, đặt mục tiêu và lựa chọn các kiểm soát thích hợp.

7.    Hỗ trợ: Mô tả các yêu cầu về nguồn lực, năng lực, nhận thức, giao tiếp, tài liệu và kiểm soát tài liệu.

8.    Vận hành: Thiết lập các yêu cầu để thực hiện xử lý rủi ro và tiến hành các hoạt động như quản lý thay đổi, xử lý sự cố bảo mật và lập kế hoạch kinh doanh liên tục.

9.      Đánh giá kết quả hoạt động:  Bao gồm các yêu cầu để theo dõi, đo lường, phân tích và đánh giá kết quả thực hiện của ISMS, bao gồm đánh giá nội bộ và xem xét của ban lãnh đạo.

10.  Cải tiến: Thiết lập các yêu cầu để cải tiến liên tục ISMS dựa trên đánh giá kết quả thực hiện, đánh giá nội bộ và xử lý sự không phù hợp.

Tiêu chuẩn ISO/IEC 27001 cung cấp một phương pháp có hệ thống để thiết lập và duy trì một ISMS có hiệu lực nhằm đảm bảo an toàn thông tin cho tổ chức. Nó cho phép các công ty xác định các rủi ro, thực hiện các kiếm aots phù hợp và liên tục cải thiện việc bảo mật thông tin.

Nội dung của ISO/IEC 27001 bao gồm những gì?

Tiêu chuẩn ISO 27001 với ten chính thức là "ISO/IEC 27001:2022 -  Bảo mật thông tin, An ninh mạng và Bảo vệ quyền riêng tư" cung cấp khôn khổ để thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý bảo mật thông tin (ISMS) trong một tổ chức.

Mục đích chính của ISO27001 là giúp các tổ chức bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của tài sản thông tin của họ. Nó cung cấp một cách tiếp cận có hệ thống để quản lý các thông tin nhạy cảm của tổ chức, chẳng hạn như dữ liệu khách hàng, tài sản trí tuệ, các hồ sơ nhân viên nhằm giảm thiểu rủi ro liên quan đến việc mất mát, truy cập trái phép hoặc sửa đổi trái phép. 

Thông qua việc triển khai ISO 27001 các tổ chức có thể xác định và giải quyết các lỗi hổng bảo mật tiềm ẩn, thiết lập các quá trình quản lý rủi ro, xác định các mục tiêu và biện pháp kiểm soát bảo mật, đồng thời tạo ra văn hóa nhận thức về bảo mật thông tin trong lực lượng lao động của mình.  Tiêu chuẩn thúc đẩu cách tiếp cận toàn diện để quản lý bảo mật thông tin, bao gồm con người, các quá trình và công nghệ.

Chứng nhận ISO 27001 là tự nguyện và thường được tìm kiếm bở các tổ chức muốn thể hiện cam kết bảo vệ tài sản thông tin và đảm bảo với các bên liên quan về các biện pháp bảo mật của họ. Nó có thể giúp nâng cao danh tiếng cho tổ chức, xây dựng niềm tin với khách hàng và đối tác kinh doạnh đồng thời mang lại lợi thế kinh doanh trên thị trường.

Nhìn chung, ISO 27001 giúp các tổ chức thiết lập một hệ thống quản lý bảo mật thông tin mạnh mẽ phù hợp với các tiêu chuẩn quốc tế và các yêu cầu pháp lý và giảm khả năng xảy ra cũng như tác động của các sự cố bảo mật, đồng thời như nâng cao khả năng bảo mật thông tin về tổng thể.

Tháng 10/2022 bộ tiêu chuẩn quốc tế được công nhân rộng rãi về an toàn thông tin là ISO 27001: 2013 đã được cập nhật lên phiên bản mới ISO 27001:2022.

Trong 9 năm qua, ISO 27001 là tiêu chuẩn được công nhận trong nhiều ngành công nghiệp. Mặc dù phiên bản mới chỉ đưa ra một vài thay đổi tuy nhiên chúng ta vẫn phải kiểm tra một cách kỹ lưỡng và hiểu những thay đổi này. Trong lần thảo luận này chúng ta sẽ cùng xem phiên bản mới của ISO 27001: 2022 có những điểm thay đổi gì so với phiên bản cũ 2013.

Tóm tắt các điểm thay đổi trong ISO 27001:2022 so với ISO 27001:2013

1.      Không có các điểm thay đổi lớn trong các điều khoản bắt buộc từ 4 đến 10 của ISO 27001:2013: Các yêu cầu trong các điều khoản chính của ISO 27001: 2013 gần như được giữ nguyên.

2.      Các kiểm soát được chia thành 4 nhóm: ISO 27002: 2022 cung cấp các hướng dẫn cho việc áp dụng các kiểm soát của ISO 27001, với phiên bản mới các kiểm soát này được cơ cấu lại thay vì 14 danh mục như trước đây thì giờ được chia thành 4 nhóm: kiểm soát tổ chức, kiểm soát con người, kiểm soát vật lý, và kiểm soát công nghệ.

3.      Các hashtags để tham khảo và điều hướng dễ dàng hơn: để nâng cao khả năng sử dụng và dễ tham khảo, ISO 27002:2022 giới thiệu việc sử dụng các hashtags. Các hashtags có thể hỗ trợ việc điều hướng và định vị các kiểm soát cụ thể trong tài liệu.

4.      Giảm số lượng kiểm soát: số lượng các kiểm soát trong phụ lục A đã được giảm từ 114 trong phiên bản 2013 xuống còn 93 trong phiên bản 2022. Việc giảm này là do việc hợp nhất các kiểm soát chứ không có kiểm soát nào được loại bỏ.

5.      Giới thiệu kiểm soát mới là kiểm soát tổ chức và kiểm soát vật lý: ISO 27002:2022 đưa ra các nhóm kiểm soát mới là an ninh tổ chức và an ninh vật lý. Những bổ sung này nhằm mục đích giải quyết các thách thức bảo mật mới nổi và phù hợp với bối cảnh phát triển của bảo mật thông tin.

Tổ chức cần xem xét những gì về TISAX?

Các công ty đang hoặc sẽ làm việc trong lĩnh vực công nghiệp ô tô nên triển khai hệ thống quản lý an toàn thông tin ISMS thiết kế riêng cho nhành ô tô  TISAX, hệ thống này dựa trên ISO 27001:2022 và đáp ứng các yêu cầu bổ xung liên quan đến bảo vệ dữ liệu và nguyên mẫu. 

Có ba mức độ đánh giá cơ bản trong TISAX®. Các mức độ này dựa trên các yêu cầu bảo vệ cần thiết đối với các thông tin được trao đổi giữa các công ty. Tùy thuộc vào mức độ bảo mật của thông tin mà chia thành các mức, thông thường (mức 1), cao (mức 2), rất cao (mức 3). Phạm vi đánh giá và cách thức đánh giá là khác nhau cho từng mức.

Mức 1: tổ chức tự đánh giá

Mức 2: Một nhà cung cấp dịch vụ đánh giá được công nhận bởi hiệp hội ENX tham gia đánh giá, nhà cung cấp dịch vụ đánh giá sẽ kiểm tra tính hợp lý của việc tự đánh giá và hỏi các câu hỏi qua điện thoại.

Mức 3: Nhà cung cấp dịch vụ đánh giá tiến hành kiểm tra việc tự đánh giá và hệ thống quản lý tại tổ chức

TISAX® là gì?

TISAX® (Trusted Information Security Assessment Exchange) là một cơ chế được phát triển đặc biệt cho ngành công nghiệp ô tô nhằm đáp ứng các tiêu chuẩn về bảo mật thông tin và các yêu cầu bảo vệ dữ liệu trong chuỗi cung ứng. TISAX® bao gồm một loạt các yếu tố và các yêu cầu để đảm bảo an toàn thông tin và bảo vệ dữ liệu trong ngành công nghiệp ô tô. Các yếu tố chính của TISAX® bao gồm :

1. Các yêu cầu về bảo mật thông tin của TISAX® dựa trên ISO/IEC 27001:2022 và mở rông thêm các yêu cầu dành riêng cho ngành công nghiệp ô tô..

Điều này bao gồm mục tiêu kiểm soát đã biết của  ISO 27001:2022 về tính bảo mật, tính toàn vẹn và  tính sẵn có của thông tin cũng như các biện pháp bảo vệ dữ liệu cá nhân theo quy định chung về bảo vệ dữ liệu của EU GDPR và các yêu cầu cụ thể của khách hàng như bảo vệ nguyên mẫu.

Sự khác biệt giữa ISO 27001:2022 và TISAX®?

1. Danh mục yêu cầu

Cơ sở của TISAX® là danh mục các yêu cầu trong VDA-ISA . Danh mục các yêu cầu này dựa trên các kiểm soát trong ISO và  điều chỉnh chúng cho phù hpwpj với các công ty trong ngành công nghiệp ô tô.

Những điểm được bổ xung không bao gồm trong ISO 27001:2022.

• Các yêu cầu đặc biệt về xử lý dữ liệu cá nhân
• Các thỏa thuận bảo mật
• Bảo vệ nguyên mẫu

Các kiểm soát trong danh mục VDA-ISA yêu cầu các bằng chứng cụ thể về việc triển khai trong khi các biện pháp trong ISO 27001:2022 mang tính chung chung hơn.

Trong danh mục yêu cầu của TISAX®, có sự khác biệt giữa "must-phải" và "should-nên" cũng như các yêu cầu cho "các nhu cầu bảo vệ cao" và "nhu cầu bảo vệ rất cao".

2. Quá trình đánh giá

Chứng nhận ISO 27001:2022 yêu cầu đánh giá để chứng minh sự phù hợp với các biện pháp, các yêu cầu và các mục tiêu yêu cầu đã được triển khai một cách có hiệu lực.

TISAX® tập trung vào các mục tiêu đánh giá.

Có 8 mục tiêu đánh giá và tối thiểu một mục tiêu đánh giá cần được xác định nhưng có thể chọn nhiều nhiều hơn một mục tiêu.

Tùy thuộc vào mục tiêu đánh giá, các quá trình và biên pháp khác nhau của ISMS cần phải được triển khai.

Mỗi mục tiêu đánh giá có thể được tìm thấy trong danh mục yêu cầuVDA-ISA và là điểm chuẩn cho ISMS.

Trong chứng nhận TISAX® có 3 mức độ đánh giá với các yêu cầu khách nhau cho từng mức. 

Mức 1 : tự đánh giá nhưng hiếm khi được chấp nhận

Mức 2:  bao gồm việc xem xét tài liệu thông quá đánh giá từ xa. 

Level 3 bao gồm việc xem xét tài liệu thông quá đánh giá tại chỗ. 

Không giống như ISO 27001:2022, danh mục yêu cầu của TISAX® có 6 mức độ trưởng thành từ 0 đến 5.

Mỗi biện pháp phải được hoàn thành với tối thiểu mức trưởng thành 3.

APQP and Control Plan have evolved in response to industry changes — particularly in relation to technological advancements and vehicle complexity — with updates addressing increasing demands imposed by higher automation, autonomous driving, electrification, and the expanding definition of mobility.

Decoupling the two documents also emphasizes the importance of control plans in product development and will facilitate more timely updates as systems evolve.

Focusing on the "why" behind the "what" and "when," the APQP 3rd edition manual addresses how to improve successful new product launches, with updates to reflect agile product management, and new sections on sourcing, change management, APQP program metrics, risk assessment mitigation plans, and gated management.

Along with the removal of Control Plan content - now a standalone document - further revisions include new information on "part traceability," various checklists, and examples of several common analytical techniques used during the APQP process to help enhance your understanding.