a. Điều kiện thứ 1: Xây dựng áp dụng tiêu chuẩn ISO 27001
Các công việc xây dựng áp dụng tiêu chuẩn ISO 27001 được tóm tắt các bước như sau:
− Khởi động dự án ISO 27001
Thi hành ISO 27001:2013 dưới các hình thức: ủng hộ cam kết từ lãnh đạo cấp cao, chọn và đào tạo tất cả các thành viên của nhóm khởi động là một phần trong dự án.
− Thành lập ban ISO 27001 (ISMS)
Nhận dạng phạm vi và giới hạn của cơ cấu quản lý an ninh thông tin là cốt lõi cho dự án. Nghiên cứu để thiết lập yêu cầu của ISMS và sắp xếp các tài liệu an ninh đã tồn tại trong tổ chức.
− Đào tạo và nhận thức cơ bản về ISO 27001
Nhân viên có thể giới thiệu các liên kết yếu trong chuỗi an ninh. Nghiên cứu cách làm thế nào để thiết lập chương trình nhận thức an ninh thơng tin.
− Áp dụng hệ thống quản lý an tồn thơng tin theo yêu cầu tiêu chuẩn ISO 27001:2013
Thực hiện đánh giá nội bộ lần 1 Khắc phục sự không phù hợp Họp xem xét lãnh đạo
Thực hiện hành động khắc phục phòng ngừa và cải tiến: xem xét và tổng kết nhằm đưa ra các phương pháp áp dụng hệ thống hiệu quả.
Đánh giá nội bộ lần 2 xem xét tính hiệu lực và hiệu quả của hệ thống, xem lại hệ thống quản lý an tồn thơng tin lần cuối trước khi đăng ký chứng nhận
b. Điều kiện thứ 2: Đăng ký cấp chứng nhận ISO 27001
Đăng ký cấp chứng nhận ISO 27001 tại tổ chức chứng nhận. Sau khi đăng ký xong tổ chức chứng nhận sẽ tiến hành đánh giá hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO 27001. Nếu hệ thống quản lý an tồn thơng tin của doanh nghiệp phù hợp các yêu cầu của tiêu chuẩn ISO 27001 thì tổ chức chứng nhận sẽ cấp cho doanh nghiệp giấy chứng nhận ISO 27001 (chứng chỉ ISO 27001).
c. Điều kiện thứ ba: Duy trì hệ thống và hiệu lực chứng nhận ISO 27001.
Tiếp tục duy trì thực hiện hệ thống quản lý an tồn thơng tin theo u cầu của tiêu chuẩn ISO 27001 và hiệu lực của giấy chứng nhận ISO 27001. Sau khi đạt được chứng nhận ISO 27001; doanh nghiệp cần thường xuyên cải tiến và duy trì việc áp dụng hệ thống.