# ISO 27001 **ISO/IEC 27001** là tiêu chuẩn quốc tế hàng đầu về **Hệ thống quản lý an toàn thông tin (ISMS – Information Security Management System)**. Đây là bộ khung được công nhận toàn cầu, giúp tổ chức thiết lập – vận hành – duy trì – cải tiến liên tục các biện pháp bảo vệ dữ liệu và quản trị rủi ro an ninh thông tin. *** ### 🔐 **Mục tiêu của ISO 27001** ISO/IEC 27001 tập trung vào ba trụ cột chính của bảo mật thông tin: #### **1. Bảo mật (Confidentiality)** Thông tin chỉ được truy cập bởi những người có thẩm quyền. #### **2. Toàn vẹn (Integrity)** Thông tin phải chính xác, đầy đủ và không bị thay đổi trái phép. #### **3. Sẵn sàng (Availability)** Thông tin cần luôn có thể được truy cập khi cần thiết. *** ### 🔧 **ISO 27001 giúp tổ chức điều gì?** * Xây dựng hệ thống quản trị rủi ro an ninh thông tin theo chuẩn mực quốc tế * Bảo vệ dữ liệu người dùng, khách hàng, đối tác * Phòng ngừa vi phạm dữ liệu (data breach) * Tăng uy tín doanh nghiệp khi vận hành nền tảng số * Tuân thủ yêu cầu pháp lý và chuẩn kết nối quốc tế *** ### 📦 **Các thành phần chính của ISO 27001** #### **1. ISMS – Hệ thống quản lý an toàn thông tin** Khung tổ chức – quy trình – chính sách nhằm quản trị mọi rủi ro an ninh. #### **2. Phân tích & đánh giá rủi ro (Risk Assessment)** Nhận diện – đo lường – xử lý rủi ro tác động lên tài sản thông tin. #### **3. 114 Biện pháp kiểm soát (Controls – Phụ lục A)** Bao gồm các nhóm: * Chính sách bảo mật * An ninh nhân sự * Quản lý tài sản * Kiểm soát truy cập * Mã hóa * Bảo mật mạng * An ninh hệ thống CNTT * Kiểm soát vận hành * Quản lý sự cố an ninh * Quản lý liên tục kinh doanh * Tuân thủ pháp lý *** ### 🏆 **Vì sao ISO 27001 quan trọng với nền tảng số, fintech, Web3, eKYC, AI?** * Đảm bảo **an toàn dữ liệu** trong toàn bộ vòng đời vận hành * Tạo niềm tin mạnh mẽ cho nhà đầu tư – khách hàng – đối tác * Là “chuẩn cửa” bắt buộc khi mở rộng quốc tế hoặc làm với ngân hàng * Tăng cường khả năng chống tấn công mạng, ransomware, DDoS * Khung nền để tích hợp thêm các chuẩn khác như: * PCI DSS * eKYC AI Security * ISO 27701 (bảo vệ dữ liệu cá nhân, tương đương GDPR) * NIST Cybersecurity Framework