Hoàn toàn không phải là vấn đề nếu một công ty ban hành các hướng dẫn thích hợp để làm cho việc truy cập trái phép từ bên trong trở nên khó khăn hơn hoặc tốt hơn là ngăn chặn hoàn toàn việc đó. Một điều rõ ràng là: Nếu việc chấm dứt hợp đồng của một nhân viên sắp xảy ra hoặc đã được thông báo, sự không hài lòng của họ có thể dẫn đến việc đánh cắp dữ liệu có chủ đích. Điều này xảy ra đặc biệt khi nhân viên bị chấm dứt hợp đồng tin rằng họ có quyền sở hữu đối với dữ liệu dự án. Ngược lại,một đơn xin việc của một nhân viên mới cũng có nguy cơ. Show
Các tình huống khác cho thấy hành vi cẩu thả hoặc đơn giản là liều lĩnh, có thể gây ra hậu quả nghiêm trọng tương tự. Ví dụ, nó xảy ra rằng toàn bộ bộ phận CNTT không tuân thủ các quy tắc của riêng họ - quá cồng kềnh, quá tốn thời gian. Trong văn phòng, đó là việc xử lý bất cẩn mật khẩu hoặc điện thoại thông minh không được bảo vệ. Nhưng cũng có thể bất cẩn kết nối USB, mở tài liệu trên màn hình, tài liệu bí mật trong văn phòng trống - danh sách có thể còn dài hơn nữa. Phụ lục A.7 của ISO 27001 - An ninh nhân sựCác công ty đã triển khai hệ thống quản lý an ninh thông tin (ISMS) phù hợp với tiêu chuẩn ISO 27001 đang có lợi thế hơn ở đây. Họ biết các yêu cầu và Phụ lục A.7 phù hợp với thực tiễn của tiêu chuẩn được quốc tế công nhận. Bởi vì ISO 27001 có rất nhiều điều để cung cấp ở đây: Mặc dù các thước đo tham chiếu đề cập trực tiếp đến các yêu cầu tiêu chuẩn, chúng luôn hướng tới thực tiễn trực tiếp của công ty. Các công ty có hệ thống ISMS hiệu quả đã quen thuộc với các mục tiêu quy định trong A.7 mà phải được thực hiện với quan điểm về an ninh nhân sự để tuân thủ đầy đủ các tiêu chuẩn - trong tất cả các giai đoạn của công việc. Tiêu chuẩn ISO 27001 nói gì trong Phụ lục A.7?Các biện pháp trước khi làm việcTổ chức phải đảm bảo rằng một nhân viên mới hiểu được trách nhiệm của họ và phù hợp với vai trò của họ trước khi làm việc - theo Phụ lục A.7.1. Trong phần yêu cầu (Chương 7.2), tiêu chuẩn nói về "năng lực". Là một biện pháp tham chiếu hướng đến mục tiêu, người nộp đơn xin việc trước tiên nhận được giấy chứng nhận bảo mật tuân thủ các nguyên tắc đạo đức và luật hiện hành. Việc kiểm tra này phải phù hợp với các yêu cầu nghiệp vụ, việc phân loại thông tin cần thu thập và các rủi ro có thể xảy ra (A.7.1.1). Để có thể đạt được điều này, cần đảm bảo hoặc xác minh những điều sau: Để chủ động kiểm soát, phòng ngừa, hạn chế các hậu quả từ việc mất an toàn thông tin, mỗi tổ chức, doanh nghiệp với nguồn lực của mình, có thể có những cách thức, phương pháp tiếp cận và kiểm soát các rủi ro về an toàn thông tin ở các mức độ khác nhau. Tiêu chuẩn ISO 27001 đến nay đã được chấp nhận ở quy mô toàn cầu như là một phương pháp quản lý, kiểm soát rủi ro về an toàn thông tin một cách chặt chẽ, có hệ thống và mang lại nhiều lợi ích cho chính tổ chức áp dụng và các bên liên quan. tiêu chuẩn ISO 27001:2022Dịch vụ Chứng Nhận ISO 27001:2022 HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN (ISMS)Theo quan điểm trong hệ thống ISO/IEC 27001 có nêu ra tài sản của một tổ chức ngoài nhà xưởng máy móc còn có thông tin và các hệ thống, quy trình. Tất cả các tài sản vô hình và hữu hình của công ty đều có giá trị quan trọng do đó cần được bảo vệ thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau. Nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro. Khác với các tài sản khác, thông tin gặp những những rủi ro về ATTT như:
Do đó, ngoài các biện pháp kỹ thuật. Tổ chức/ Doanh nghiệp cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro. KHÁI NIỆM VỀ TIÊU CHUẨN ISO 27001Bộ tiêu chuẩn ISO 27001 là hệ thống tiêu chuẩn quốc tế về hệ thống quản lý an ninh thông tin. Việc áp dụng ISO 27001 giúp quản lý an ninh thông tin một cách hiệu quả nhất. Theo bộ tiêu chuẩn có đề cập thì thông tin ở đây bao gồm những dữ liệu được lưu lại dưới dạng điện tử; hoặc dữ liệu đã được in ra – dữ liệu mềm và dữ liệu cứng. Việc tổ chức/ doanh nghiệp áp dụng ISO 27001 sẽ giúp bạn có thể xác định được loại thông tin và xác định các mối nguy, rủi ro có thể xảy ra. Sau đó thiết lập hệ thống, thiết lập sự kiểm soát cũng như các quy trình để giảm thiểu các rủi ro đó. ISO 27001 phù hợp với mọi quy mô của tổ chức; các công ty – doanh nghiệp và nó được áp dụng ở mọi lĩnh vực kinh tế khác nhau. QUÁ TRÌNH HÌNH THÀNH VÀ PHÁT TRIỂN BỘ TIÊU CHUẨN ISO/IEC 27000ISO/IEC 27000 là bộ tiêu chuẩn được phát triển nhằm hỗ trợ các tổ chức bảo vệ an toàn các tài sản thông tin của mình, thông qua việc quản lý được tính án toàn của các tài sản thông tin như thông tin về tài chính, sở hữu trí tuệ, thông tin về nhân sự hoặc các thông tin được tổ chức ủy thác cho bên thứ ba. Hình 1-2 khái quát về các nhóm tiêu chuẩn thành phần trong bộ tiêu chuẩn ISO/IEC 27000. ISO/IEC 27001 là một tiêu chuẩn quan trọng trong bộ tiêu chuẩn ISO/IEC 27000, đưa ra yêu cầu đối với một hệ thống quản lý an toàn thông tin. Tiền thân của ISO/IEC 27001 là tiêu chuẩn về quản lý an toàn thông tin BS 7799 của Viện Tiêu chuẩn Anh quốc (British Standards Institute – BSI). Tháng 12/2000, tiêu chuẩn BS 7799-1 được Tổ chức Tiêu chuẩn hoá quốc tế (ISO) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000. Năm 2005, tiêu chuẩn ISO/IEC 17799: 2000 được sửa đổi và ban hành thành phiên bản đầu tiên của tiêu chuẩn ISO/IEC 27001: 2005: Công nghệ thông tin – Hệ thống quản lý an toàn thông tin – Các yêu cầu . Tháng 10/2013, phiên bản thứ hai – ISO/IEC 27001:2013 được ban hành để thay thế cho phiên bản ISO / IEC 27001:2005, xuất phát từ hai yếu tố tác động chính , thứ nhất , đó là yêu cầu từ việc áp dụng Phụ lục / Annex SL năm 2012 của ISO đối với việc chuẩn hóa , thống nhất các khái niệm , thuật ngữ và cấu trúc của tiêu chuẩn về hệ thống quản lý của ISO. Thứ hai , đó là việc đưa vào áp dụng các nguyên tắc về quản lý rủi ro theo hướng dẫn của tiêu chuẩn ISO 31000:2009 – Quản lý rủi ro – Các nguyên tắc và hướng dẫn (hiện tại, ISO 31000:2018 đã được ban hành để thay thế cho phiên bản 2009, với tiêu đề được đổi thành ” Quản lý rủi ro – Hướng dẫn ” ) . Đến tháng 4/2019, tình trạng ban hành một số tiêu chuẩn chính trong bộ tiêu chuẩn ISO/IEC 27000 được trình bày trong Bảng 1-2, trong đó tiêu chuẩn ISO/IEC 27001 là tiêu chuẩn được biết đến nhiều nhất, nhằm đưa ra yêu cầu đối với một hệ thống quản lý an toàn thông tin ( ISMS ), các tiêu chuẩn còn lại nhằm mục đích hỗ trợ cho việc thiết lập, vận hành, giám sát, duy trì, cải tiến hiệu lực của một ISMS: Bảng 1-2: Tình trạng ban hành của một số tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 đến 4/2019. PHẠM VI, MỤC ĐÍCH, ĐỐI TƯỢNG ÁP DỤNG TIÊU CHUẨN ISO/IEC 27001ISO/IEC 27001 có thể áp dụng đối với mọi loại hình tổ chức (doanh nghiệp sản xuất, dịch vụ, thương mại, cơ quan chính phủ, các tổ chức phi chính phủ … ). Tiêu chuẩn này quy định các yêu cầu đối với việc thiết lập, thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến một hệ thống quản lý an toàn thông tin (ISMS) dưới dạng văn bản trong bối cảnh các rủi ro liên quan đến các quá trình kinh doanh tác nghiệp tổng thể của chính tổ chức đó. Tiêu chuẩn cũng quy định cụ thể các yêu cầu đối với việc thực hiện các biện pháp kiểm soát an toàn tương thích với nhu cầu của chính tổ chức. Mục đích cuối cùng của hệ thống là nhằm bảo vệ các tài sản thông tin và tạo lòng tin cho các bên quan tâm. Tư vấn ISO 27001 cho Doanh Nghiệp Các mục đích cụ thể của việc áp dụng ISO/IEC 27001:2022
Những lợi ích cơ bản của việc áp dụng ISMS theo ISO/IEC 27001Những lợi ích của việc thực hiện ISMS chủ yếu có được từ việc giảm các rủi ro về ATTT (ví dụ như giảm khả năng xảy ra và / hoặc tác động gây ra bởi các sự cố ATTT). Cụ thể là, các lợi ích đã được thừa nhận đối với một tổ chức, doanh nghiệp nhằm đạt được sự thành công bền vững thông qua việc chấp nhận và áp dụng ISMS theo ISO / IEC 27001 bao gồm:
Tình hình áp dụng ISO/IEC 27001 trên Thế giớiTheo kết quả khảo sát năm 2017 của ISO dựa trên nguồn thông tin từ các tổ chức chứng nhận, tính đến 31/12/2017, tổng cộng có 39.500 chứng chỉ ISO/IEC 27001 đã được cấp cho các tổ chức ở 160 quốc gia, nền kinh tế trên toàn cầu. Trong đó, đã ghi nhận mức tăng 19 % (tương ứng với 6.211 chứng chỉ) ở năm 2017 so với năm 2016 (33.290 chứng chỉ). Số lượng chứng chỉ đã được cấp theo các hệ thống quản lý phổ biến dựa trên tiêu chuẩn ISO của năm 2017 so với năm 2016, trong khi đó Bảng dưới đây là nhóm 10 quốc gia có số chứng chỉ ISO/IEC 27001 cao nhất thế giới theo thống và cũng đã kế trong năm 2016: Cũng theo khảo sát năm 2017 của ISO, ở khu vực Đông Á và Thái Bình Dương, cũng ghi nhận tổng cộng có 17.562 chứng chỉ được thống kê năm 2017, so với con số 14.704 chứng chỉ của năm 2016. Bảng 1-5 cung cấp thông tin chi tiết về chứng chỉ ISO/IEC 27001 ở khu vực này, trong đó 198 và 64 là số lượng chứng chỉ được thống kê ở Việt Nam lần lượt cho năm 2017 và 2016. CÁC YÊU CẦU CHÍNH CỦA TIÊU CHUẨN ISO/IEC 27001Phần dưới đây được trình bày trên cơ sở tham khảo tiêu chuẩn ISO/IEC 27003: 2017- công nghệ thông tin- Các kỹ thuật an toàn: hệ thống quản lý an toàn thông tin- Hướng dẫn để tóm tắt cách thức thực hiện, đáp ứng từng yêu cầu chính của ISO/IEC 27001 Điều 4- Bối cảnh của tổ chứcĐiều khoản này tiêu chuẩn có đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô; lĩnh vực hoạt động và yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý an ninh thông tin phù hợp. 4.1 Hiểu về tổ chức và bối cảnh của tổ chức: Tổ chức phải xác định các vấn đề bên ngoài và nội bộ có liên quan đến mục đích của tổ chức và ảnh hưởng đến khả năng của tổ chức để đạt được các kết quả dự kiến của ISMS Giải thích:
+ Để hiểu về bối cảnh, từ đó xác định phạm vi áp dụng ISMS + Để hiểu về các rủi ro và cơ hội + Để đảm bảo ISMS phù hợp với sự thay đổi của các vấn đề bên ngoài và nội bộ Các kết quả của việc xác định các vấn đề bên ngoài và nội bộ (tức là xác định bối cảnh) sẽ được sử dụng để xác định phạm vi của ISMS (mục 4.3) để xác định hành động giải quyết rủi ro và cơ hội (mục 6.1) và để phục vụ cho hoạt động xem xét của lãnh đạo (mục 9.3). Hướng dẫn:
+ xem xét môi trường bên ngoài để xác định các vấn đề bên ngoài liên quan + xem xét các khía cạnh nội bộ để xác định các vấn đề nội bộ liên quan
4.2 Hiểu nhu cầu và mong đợi của các bên quan tâm Giải thích:
+ Cơ quan quản lý nhà nước + Các cổ đông, kể và chủ sở hữu và nhà đầu tư + Các nhà cung cấp, kể cả thầu phụ, tư vấn và đối tác từ bên ngoài + Các hiệp hội ngành nghề + Các đối thủ cạnh tran + khách hàng và người tiêu dùng + Các nhóm hoạt động
+ Những người có quyền ra quyết định, kể cả lãnh đạo cao nhất + Chủ thể các quá trình, chủ thể các hệ thống và chủ thể thông tin + Các chức năng hỗ trợ như các nguồn lực về IT, về nhân sự + Nhân viên/người lao động, người dùng (users) + Chuyên gia về ATTT
Hướng dẫn:
+ Xác định các bên quan tâm từ bên ngoài + Xác định các bên quan tâm từ nội bộ + Xác định yêu cầu của các bên quan tâm đó
4.3 Phạm vi của ISMS Các hoạt động theo yêu cầu tiêu chuẩn:
Giải thích:
+ Các vấn đề bên ngoài và nội bộ (đã mô tả ở mục 4.1) + Các bên quan tâm và yêu cầu của họ (đã mô tả ở mục 4.2) + Tính sẵn sàng của các hoạt động kinh doanh, nghiệp vụ mà ISMS sẽ đề cập đến + Các chức năng hỗ trợ, ví dụ như quản lý nhân sự, dịch vụ IT và các ứng dụng phần mềm, việc quản lý cơ sở hạ tầng, các tòa nhà, các khu vực vật lý, các dịch vụ và tiện ích thiết yếu. + Tất cả các chức năng có nguồn gốc từ bên ngoài, kể cả những phần khác cũng thuôc tổ chức hoặc thuộc nhà cung cấp độc lập. Hướng dẫn:
+ Xác định phạm vi sơ bộ: nên được tiến hành bởi một nhóm nhỏ những người đại diện lãnh đạo (ví dụ lãnh đạo công ty và lãnh đạo cấp phòng bantrong công ty) + Tính chỉnh phạm vi: các đơn vị chức năng trong và ngoài phạm vi sơ bộ cần được xem xét khi xác định ranh giới/ giao diện giữa bên trong và ngoài phạm vi, tương ứng với hoạt động sản xuất/ kinh doanh thuộc phạm vi ISMS. + Xác định phạm vi chính thức: lãnh đạo tổ chức sẽ đánh giá, xem xét lại phạm vi đã được tinh chỉnh nói trên + Phê duyệt phạm vi ISMS: Lãnh đạo cao nhất phê duyệt chính thức văn bản xác định phạm vi của ISMS.
+ Phạm vi, ranh giới và các giao diện về mặt tổ chức + Phạm vi, ranh giới và các giao diện về mặt tổ chức + Phạm vi, ranh giới và các giao diện về mặt công nghiệp thông tin và + Phạm vi, ranh giới và các giao diện về mặt vật lý Các hoạt động theo yêu cầu tiêu chuẩn: + Tổ chức phải thiết lập, thực hiện, duy trì và cải tiến thường xuyên ISMS. Giải thích: Điều này đưa ra yêu cầu chung đối với việc thiết lập, thực hiện, duy trì và cải tiến thường xuyên một hệ thống quản lý ATTT để qua đó đáp ứng đầy đủ các yêu cầu khác trong tiêu chuẩn ISO/IEC 27001:2013 Hướng dẫn: Việc tổ chức triển khai thực hiện tất cả các yêu cầu của ISO/IEC 27001 chính là cơ sở để đáp ứng yêu cầu 4.4 này. Điều 5: Lãnh đạoĐiều khoản này quy định các vấn đề về trách nhiệm; của Ban lãnh đạo mỗi tổ chức trong Hệ thống an ninh thông tin. Bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng, duy trì hệ thống thông tin; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống thông tin. 5.1 Sự lãnh đạo và cam kết Các hoạt động theo yêu cầu tiêu chuẩn :
Giải thích :
Hướng dẫn :
+ Nguồn lực tài chính + nguồn nhân sự + Nhà xưởng, thiết bị, tiện tích… + Cơ sở hạ tầng kỹ thuật.
Trong những trường hợp, khi tổ chức thực hiện ISMS là một phần thuộc một tổ chức lớn hơn (ví dụ công ty mẹ), sự lãnh đạo và cam kết có thể được cải thiện bằng sự cam kết, tham gia với người hay nhóm người có quyền kiểm soát và chỉ đạo ở tổ chức lớn hơn (công ty mẹ). Nếu họ hiểu những gì có trong việc thực hiện một ISMS thì họ có thể hỗ trợ cho lãnh đạo cao nhất trong pahmj vi của ISMS để giúp họ chứng minh vai trò lãnh đạo và cung cấp cam kết cho ISMS. Ví dụ: nếu các bên quan tâm từ bên ngoài phạm vi của ISMS (ví dụ như công ty mẹ của tổ chức áp dụng ISMS) có tham gia vào việc ra quyết định liên quan đến các mục tiêu ATTT và tiêu chí về rủi ro và họ có nhận thức về cái kết quả tích cực sẽ thu được từ ISMS, khi đó các quyết định của họ liên quan đến phân bổ các nguồn lực sẽ được đồng bộ với các yêu cầu của ISMS. Các hoạt động theo yêu cầu tiêu chuẩn:
Giải thích:
5.2 Chính sách Hướng dẫn:
Các hoạt động theo yêu cầu tiêu chuẩn:
Giải thích:
5.3 Vai trò, trách nhiệm quyền hạn trong tổ chức Hướng dẫn:
– Điều phối việc xây dựng, thực hiện, duy trì, báo cáo hạn kết quả thực hiện và cải tiến ISMS – Cố vấn về đánh giá rủi ro ATTT và xử lý rủi ro tổ ATTT; – Thiết kế các quá trình và các hệ thống ATTT – Thiết lập các tiêu chuẩn về việc xác định, cấu hình và thực hiện các biện pháp kiểm soát ATTT – Quản lý sự cố về ATTT – Xem xét và đánh giá ISMS.
– Các chủ thể thông tin; – Các chủ thể quá trình; – Các thủ thể tài sản (ví dụ: các chủ thể về các ứng dụng , các cơ sở hạ tầng) – Các chủ thể rủi ro – Các bộ phận chức năng hoặc nhân sự về an toàn thông tin để hỗ trợ trong ISMS – Người quản lý dự án – Người quản lý đường truyền (line) – Người dùng (users) Thông tin dạng văn bản về các vai trò, trách nhiệm, quyền hạn về ATTT ở hình thức nào và tới mức độ nào cần thiết là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (mục 7.5.1.b- ISO/IEC 27001). Điều 6 – Hoạch địnhDoanh nghiệp, tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro; đưa ra các quy trình xử lý. Điều khoản này đưa ra các yêu cầu; về việc thiết lập mục tiêu an toàn thông tin và kế hoạch để đạt được mục tiêu đó. 6.1 hành động giải quyết rủi ro và cơ hội 6.1.1 Khái quát Các hoạt động theo yêu cầu tiêu chuẩn:
Giải thích:
– khi tổ chức theo đuổi các cơ hội trong các hoạt đông của mình, các hoạt động này sẽ có tác động đến bối cảnh của tổ chức hoặc các nhu cầu, mong đợi của các bên quan tâm và có thể làm thay đổi các rủi ro đối với tổ chức. ví dụ về cơ hội, tập trung kinh doanh vào các lĩnh vực sản phẩm/ dịch vụ, thiết lập chiến lược Marketing cho từng vùng miền, hoặc mở rộng quan hệ kinh doanh với ccas tổ chức khác. – Việc hoạch định ở mục 6.1,1 bao gồm việc xác định về : d, các hành động để giải quyết rủi ro và cơ hội e, cách thức để: + Tích hợp và thực hiện các hành động giải quyết rủi ro, cơ hội vào các quá trình của ISMS + Đánh giá hiệu lực của các hành động này Hướng dẫn:
F, Xác định các rủi ro và cơ hội có thể ảnh hưởng đến việc đạt được các mục a,b,c, có xét đến bối cảnh của tổ chức và các yêu cầu của các bên quan tâm G, Xây dựng một kế hoạch để thưc hiện các hành động đã xác định và để đánh giá tính hiệu lực của các hành động đó. Các hành động giải quyết rủi ro, cơ hội cần được tích hợp vào các quá trình trong ISMS và trong hệ thống thông tin dạng văn bản cỉa ISMS. Các hành động này cũng phải thực hiện liên kết đến các mục tiêu ATTT mà theo đó, các rủi ro ATTT được đánh giá và được sử lý. Hình thức và mức độ của các thông tin dạng văn bản cho hoạt động này và kết quả đầu ra là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (mục 7.5.1.b ISO/IEC 27001). Các hoạt động theo yêu cầu tiêu chuẩn: Tổ chức phải xác định và áp dụng quá trình đánh giá rủi ro ATTT. Đánh giá rủi ro ATTT Giải thích:
– Các tiêu chí chấp nhận rủi ro; – Chuẩn mực để tiến hành đánh giá rủi ro ATTT, bao gồm tiêu chí đánh giá hậu quả và khả năng xảy ra, và các quy tắc để xác định mức độ của rủi ro;
– Nhận biết rủi ro gắn với các tổn thất về tính bảo mật (C) , tính toàn vẹn (I) và tính sẵn có ( A ) của các tài sản thông tin thuộc phạm vi của ISMS – Nhận biết chủ thể của rủi ro , tức là xác định và chỉ định người / nhóm người có trách nhiệm và quyền hạn tương ứng để quản lý các rủi ro đã nhận diện . d.Phân tích rủi ro ATTT
Hướng dẫn:
+ Để thiết lập tiêu chí chấp nhận rủi ro, tổ chức phải dựa trên việc xem xét bối cảnh ATTT của mình, xem xét các yêu cầu liên quan ATTT của các bên quan tâm. Các tiêu chí này, một mặt phải phù hợp với những ưu tiên đối với rủi ro và sự nhận thức về rủi ro của lãnh đạo cao nhất, mặt khác phải giúp đề ra được quá trình quản lý rủi ro khả thi và thích hợp. – Các tiêu chí chấp nhận rủi ro phải được thiết lập có sự liên kết đến các kết quả đầu ra dự kiến của ISMS. – Sau khi thiết lập tiêu chí đánh giá hậu quả và khả năng xảy ra của các rủi ro ATTT, tổ chức cũng phải lập phương pháp kết hợp chúng lại để qua đó xác định được mức độ rủi ro. Hậu quả và khả năng xảy ra có thể được thể hiện theo cách định tính, định lượng hoặc bán định lượng. – Tiêu chí chấp nhận rủi ro liên quan đến đánh giá rủi ro (ở bước đánh giá rủi ro / risk evaluation), khi tổ chức xem xét liệu có chấp nhận một rủi ro nào đó hay không), và các hoạt động xử lý rủi ro (khi tổ chức xem xét liệu việc xử lý rủi ro được đề nghị là đã đủ để đạt được mức chấp nhận rủi ro hay chưa ) . – Tiêu chí chấp nhận rủi ro có thể được dựa trên mức tối đa để chấp nhận rủi ro, theo kết quả xem xét về lợi ích – chi phí, hoặc theo những hậu quả đối với tổ chức . – Lãnh đạo cao nhất phải phê duyệt các tiêu chí chấp nhận rủi ro.
+ Nhận biết rủi ro là quá trình tìm ra, ghi nhận và mô tả về rủi ro + Mục đích là nhằm xác định được một danh mục đầy đủ các rủi ro dựa trên các sự kiện có thể tạo ra , làm tăng thêm , ngăn chặn , suy giảm , gia tốc hay làm chậm trễ việc đạt được các mục tiêu ATTT . – Hai phương pháp tiếp cận hay được sử dụng để nhận diện rủi ro ATTT như sau :
* Phương pháp dựa trên việc nhận biết các tài sản ( thông tin ) , các mối đe dọa và các điểm yếu : xem xét hai dạng khác nhau của nguồn rủi ro : các tài sản thông tin có các điểm yếu cố hữu của chúng và các mối đe dọa có thể khai thác được điểm yếu . Các sự kiện tiềm ẩn được xem xét ở đây là các cách thức mà những mối đe dọa có thể khai thác được một điểm yếu nhất định của một tài sản thông tin và từ đó tác động đến mục tiêu của tổ chức Cả hai phương pháp tiếp cận trên đều nhất quán với các nguyên tắc và hướng dẫn chung về quản lý rủi ro theo ISO 31000 . * Các phương pháp nhận diện rủi ro khác cũng có thể được áp dụng nếu chúng được chứng minh tính hữu ích thực tế và nếu cũng đảm bảo được các yêu cầu ở mục 6.1.2.b ) . 6.1.3 Xử lý rủi ro ATTT Các hoạt động yêu cầu tiêu chuẩn: Tổ chức phải xác định và áp dụng quá trình xử lý rủi ro ATTT Giải thích:
6.2 Mục tiêu ATTT và hoạch định để đạt được mục tiêu Các hoạt động theo yêu cầu tiêu chuẩn
Điều 7- Hỗ trợĐiều khoản này có yêu cầu đối với việc tổ chức đào tạo nhằm nâng cao nhận thức cho toàn thể cán bộ; nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông tin. 7.1 Nguồn lực Các hoạt động theo yêu cầu tiêu chuẩn:
7.2 Năng lực Các hoạt động theo yêu cầu tiêu chuẩn:
7.3 Nhận thức Các hoạt động theo yêu cầu tiêu chuẩn:
7.4 Trao đổi thông tin Các hoạt động theo yêu cầu tiêu chuẩn:
7.5 Thông tin dạng văn bản 7.5.1 Khái quát Các hoạt động theo yêu cầu tiêu chuẩn:
7.5.2 Tạo và cập nhât Các hoạt động theo yêu cầu tiêu chuẩn:
7.5.3 Kiểm soát thông tin dạng văn bản Các hoạt động theo yêu cầu tiêu chuẩn:
Điều 8- Thực hiện (vận hành hệ thống)Doanh nghiệp/tổ chức của bạn cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu. Đồng thời tổ chức/ doanh nghiệp cần định kỳ thực hiện việc đánh giá các rủi ro an toàn thông tin và có kế hoạch xử lý. 8.1 Hoạch định và kiểm soát việc thực hiện Các hoạt động theo yêu cầu tiêu chuẩn:
8.2 Đánh giá rủi ro ATTT Các hoạt động theo yêu cầu tiêu chuẩn:
8.3 Xử lý rủi ro ATTT Các hoạt động theo yêu cầu tiêu chuẩn: Tổ chức phải thực hiện kế hoạch xử lý rủi ro ATTT (RTP) và lưu giữ các thông tin dạng văn bản về kết quả xử lý. Điều 9- Đánh giá kết quả thực hiệnQuy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét; đánh giá Hệ thống quản lý an ninh thông tin của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống; đảm bảo đánh giá được toàn bộ hoạt động của hệ thống; đo lường hiệu quả và có kế hoạch khắc phục; nâng cấp hệ thống cho phù hợp. 9.1 Theo dõi, đo lường, phân tích và đánh giá Các hoạt động theo yêu cầu tiêu chuẩn:
9.2 Đánh giá nội bộ Các hoạt động theo yêu cầu tiêu chuẩn:
9.3 Xem xét của lãnh đạo Các hoạt động theo yêu cầu tiêu chuẩn:
Điều 10- Cải tiếnSau khi xây dựng được hệ thống theo ISO 27001 cần duy trì hệ thống bằng cách thực hiện Kế hoạch – Thực hiện – Kiểm tra – Hành động. Điều khoản 10 trong tiêu chuẩn ISO 27001; cũng đưa ra các yêu cầu đảm bảo Hệ thống quản lý an ninh thông tin không ngừng được cải tiến trong quá trình hoạt động. Điều khoản này bao gồm các quy định trong việc áp dụng các chính sách mới; các hoạt động khắc phục, phòng ngừa điểm yếu đã xảy ra. Và để đảm bảo hiệu quả của Hệ thống quản lý an ninh thông tin. |