Hướng dẫn chỉ tiêu đo lường iso 27001

Hoàn toàn không phải là vấn đề nếu một công ty ban hành các hướng dẫn thích hợp để làm cho việc truy cập trái phép từ bên trong trở nên khó khăn hơn hoặc tốt hơn là ngăn chặn hoàn toàn việc đó. Một điều rõ ràng là: Nếu việc chấm dứt hợp đồng của một nhân viên sắp xảy ra hoặc đã được thông báo, sự không hài lòng của họ có thể dẫn đến việc đánh cắp dữ liệu có chủ đích. Điều này xảy ra đặc biệt khi nhân viên bị chấm dứt hợp đồng tin rằng họ có quyền sở hữu đối với dữ liệu dự án. Ngược lại,một đơn xin việc của một nhân viên mới cũng có nguy cơ.

Các tình huống khác cho thấy hành vi cẩu thả hoặc đơn giản là liều lĩnh, có thể gây ra hậu quả nghiêm trọng tương tự. Ví dụ, nó xảy ra rằng toàn bộ bộ phận CNTT không tuân thủ các quy tắc của riêng họ - quá cồng kềnh, quá tốn thời gian. Trong văn phòng, đó là việc xử lý bất cẩn mật khẩu hoặc điện thoại thông minh không được bảo vệ. Nhưng cũng có thể bất cẩn kết nối USB, mở tài liệu trên màn hình, tài liệu bí mật trong văn phòng trống - danh sách có thể còn dài hơn nữa.

Phụ lục A.7 của ISO 27001 - An ninh nhân sự

Các công ty đã triển khai hệ thống quản lý an ninh thông tin (ISMS) phù hợp với tiêu chuẩn ISO 27001 đang có lợi thế hơn ở đây. Họ biết các yêu cầu và Phụ lục A.7 phù hợp với thực tiễn của tiêu chuẩn được quốc tế công nhận. Bởi vì ISO 27001 có rất nhiều điều để cung cấp ở đây: Mặc dù các thước đo tham chiếu đề cập trực tiếp đến các yêu cầu tiêu chuẩn, chúng luôn hướng tới thực tiễn trực tiếp của công ty.

Các công ty có hệ thống ISMS hiệu quả đã quen thuộc với các mục tiêu quy định trong A.7 mà phải được thực hiện với quan điểm về an ninh nhân sự để tuân thủ đầy đủ các tiêu chuẩn - trong tất cả các giai đoạn của công việc.

Tiêu chuẩn ISO 27001 nói gì trong Phụ lục A.7?

Các biện pháp trước khi làm việc

Tổ chức phải đảm bảo rằng một nhân viên mới hiểu được trách nhiệm của họ và phù hợp với vai trò của họ trước khi làm việc - theo Phụ lục A.7.1. Trong phần yêu cầu (Chương 7.2), tiêu chuẩn nói về "năng lực".

Là một biện pháp tham chiếu hướng đến mục tiêu, người nộp đơn xin việc trước tiên nhận được giấy chứng nhận bảo mật tuân thủ các nguyên tắc đạo đức và luật hiện hành. Việc kiểm tra này phải phù hợp với các yêu cầu nghiệp vụ, việc phân loại thông tin cần thu thập và các rủi ro có thể xảy ra (A.7.1.1). Để có thể đạt được điều này, cần đảm bảo hoặc xác minh những điều sau:

Để chủ động kiểm soát, phòng ngừa, hạn chế các hậu quả từ việc mất an toàn thông tin, mỗi tổ chức, doanh nghiệp với nguồn lực của mình, có thể có những cách thức, phương pháp tiếp cận và kiểm soát các rủi ro về an toàn thông tin ở các mức độ khác nhau. Tiêu chuẩn ISO 27001 đến nay đã được chấp nhận ở quy mô toàn cầu như là một phương pháp quản lý, kiểm soát rủi ro về an toàn thông tin một cách chặt chẽ, có hệ thống và mang lại nhiều lợi ích cho chính tổ chức áp dụng và các bên liên quan.

Dịch vụ Chứng Nhận ISO 27001:2022

HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN (ISMS)

Theo quan điểm trong hệ thống ISO/IEC 27001 có nêu ra tài sản của một tổ chức ngoài nhà xưởng máy móc còn có thông tin và các hệ thống, quy trình. Tất cả các tài sản vô hình và hữu hình của công ty đều có giá trị quan trọng do đó cần được bảo vệ thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau. Nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.

Khác với các tài sản khác, thông tin gặp những những rủi ro về ATTT như:

• Những quy trình vận hành thông tin không được đảm bảo
• Không quản lý rủi ro việc truy cập hệ thống thông tin của công ty một cách định kì.
• Nhân viên chưa được đào tạo về việc vận hành, quản lý và bảo mật hệ thống thông tin…

Do đó, ngoài các biện pháp kỹ thuật. Tổ chức/ Doanh nghiệp cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro.

KHÁI NIỆM VỀ TIÊU CHUẨN ISO 27001

Bộ tiêu chuẩn ISO 27001 là hệ thống tiêu chuẩn quốc tế về hệ thống quản lý an ninh thông tin. Việc áp dụng ISO 27001 giúp quản lý an ninh thông tin một cách hiệu quả nhất. Theo bộ tiêu chuẩn có đề cập thì thông tin ở đây bao gồm những dữ liệu được lưu lại dưới dạng điện tử; hoặc dữ liệu đã được in ra – dữ liệu mềm và dữ liệu cứng.

Việc tổ chức/ doanh nghiệp áp dụng ISO 27001 sẽ giúp bạn có thể xác định được loại thông tin và xác định các mối nguy, rủi ro có thể xảy ra. Sau đó thiết lập hệ thống, thiết lập sự kiểm soát cũng như các quy trình để giảm thiểu các rủi ro đó. ISO 27001 phù hợp với mọi quy mô của tổ chức; các công ty – doanh nghiệp và nó được áp dụng ở mọi lĩnh vực kinh tế khác nhau.

QUÁ TRÌNH HÌNH THÀNH VÀ PHÁT TRIỂN BỘ TIÊU CHUẨN ISO/IEC 27000

ISO/IEC 27000 là bộ tiêu chuẩn được phát triển nhằm hỗ trợ các tổ chức bảo vệ an toàn các tài sản thông tin của mình, thông qua việc quản lý được tính án toàn của các tài sản thông tin như thông tin về tài chính, sở hữu trí tuệ, thông tin về nhân sự hoặc các thông tin được tổ chức ủy thác cho bên thứ ba. Hình 1-2 khái quát về các nhóm tiêu chuẩn thành phần trong bộ tiêu chuẩn ISO/IEC 27000.

ISO/IEC 27001 là một tiêu chuẩn quan trọng trong bộ tiêu chuẩn ISO/IEC 27000, đưa ra yêu cầu đối với một hệ thống quản lý an toàn thông tin. Tiền thân của ISO/IEC 27001 là tiêu chuẩn về quản lý an toàn thông tin BS 7799 của Viện Tiêu chuẩn Anh quốc (British Standards Institute – BSI). Tháng 12/2000, tiêu chuẩn BS 7799-1 được Tổ chức Tiêu chuẩn hoá quốc tế (ISO) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000. Năm 2005, tiêu chuẩn ISO/IEC 17799: 2000 được sửa đổi và ban hành thành phiên bản đầu tiên của tiêu chuẩn ISO/IEC 27001: 2005: Công nghệ thông tin – Hệ thống quản lý an toàn thông tin – Các yêu cầu .

Tháng 10/2013, phiên bản thứ hai – ISO/IEC 27001:2013 được ban hành để thay thế cho phiên bản ISO / IEC 27001:2005, xuất phát từ hai yếu tố tác động chính , thứ nhất , đó là yêu cầu từ việc áp dụng Phụ lục / Annex SL năm 2012 của ISO đối với việc chuẩn hóa , thống nhất các khái niệm , thuật ngữ và cấu trúc của tiêu chuẩn về hệ thống quản lý của ISO. Thứ hai , đó là việc đưa vào áp dụng các nguyên tắc về quản lý rủi ro theo hướng dẫn của tiêu chuẩn ISO 31000:2009 – Quản lý rủi ro – Các nguyên tắc và hướng dẫn (hiện tại, ISO 31000:2018 đã được ban hành để thay thế cho phiên bản 2009, với tiêu đề được đổi thành ” Quản lý rủi ro – Hướng dẫn ” ) .

Đến tháng 4/2019, tình trạng ban hành một số tiêu chuẩn chính trong bộ tiêu chuẩn ISO/IEC 27000 được trình bày trong Bảng 1-2, trong đó tiêu chuẩn ISO/IEC 27001 là tiêu chuẩn được biết đến nhiều nhất, nhằm đưa ra yêu cầu đối với một hệ thống quản lý an toàn thông tin ( ISMS ), các tiêu chuẩn còn lại nhằm mục đích hỗ trợ cho việc thiết lập, vận hành, giám sát, duy trì, cải tiến hiệu lực của một ISMS: Bảng 1-2: Tình trạng ban hành của một số tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 đến 4/2019.

PHẠM VI, MỤC ĐÍCH, ĐỐI TƯỢNG ÁP DỤNG TIÊU CHUẨN ISO/IEC 27001

ISO/IEC 27001 có thể áp dụng đối với mọi loại hình tổ chức (doanh nghiệp sản xuất, dịch vụ, thương mại, cơ quan chính phủ, các tổ chức phi chính phủ … ). Tiêu chuẩn này quy định các yêu cầu đối với việc thiết lập, thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến một hệ thống quản lý an toàn thông tin (ISMS) dưới dạng văn bản trong bối cảnh các rủi ro liên quan đến các quá trình kinh doanh tác nghiệp tổng thể của chính tổ chức đó. Tiêu chuẩn cũng quy định cụ thể các yêu cầu đối với việc thực hiện các biện pháp kiểm soát an toàn tương thích với nhu cầu của chính tổ chức. Mục đích cuối cùng của hệ thống là nhằm bảo vệ các tài sản thông tin và tạo lòng tin cho các bên quan tâm.

Tư vấn ISO 27001 cho Doanh Nghiệp

Các mục đích cụ thể của việc áp dụng ISO/IEC 27001:2022

• Được sử dụng trong nội bộ tổ chức để triển khai các yêu cầu và mục tiêu về an toàn thông tin;
• Được xem như là một cách để đảm bảo rằng các rủi ro về an toàn thông tin được quản lý có hiệu quả về chi phí;
• Để đảm bảo sự tuân thủ pháp luật, chế định;
• Tạo khuôn khổ cho việc thực hiện và quản lý các biện pháp kiểm soát nhằm đảm bảo đạt được các mục tiêu an toàn thông tin cụ thể của tổ chức;
• Hỗ trợ việc định nghĩa về các quá trình quản lý an toàn thông tin mới;
• Nhận biết và làm rõ các quá trình quản lý an toàn thông tin hiện có trong tổ chức;
• Được lãnh đạo sử dụng để xác định tình trạng của các hoạt động quản lý an toàn thông tin
• Được các chuyên gia đánh giá nội bộ và chuyên gia đánh bên ngoài sử dụng để xác định mức độ tuân thủ theo các chính sách , định hướng và các tiêu chuẩn mà tổ chức chấp nhận để thực hiện;
• Để cung cấp thông tin liên quan đến chính sách , định hướng , tiêu chuẩn và các thủ tục về an toàn thông tin đến các đối tác kinh doanh và các tổ chức khác có tương tác với các quá trình của tổ chức;
• Để cung cấp thông tin về việc đảm bảo an toàn thông tin đến khách hàng của tổ chức.

Những lợi ích cơ bản của việc áp dụng ISMS theo ISO/IEC 27001

Những lợi ích của việc thực hiện ISMS chủ yếu có được từ việc giảm các rủi ro về ATTT (ví dụ như giảm khả năng xảy ra và / hoặc tác động gây ra bởi các sự cố ATTT). Cụ thể là, các lợi ích đã được thừa nhận đối với một tổ chức, doanh nghiệp nhằm đạt được sự thành công bền vững thông qua việc chấp nhận và áp dụng ISMS theo ISO / IEC 27001 bao gồm:

1. Tạo được khuôn khổ được cấu trúc để hỗ trợ cho việc quy định, thực hiện, vận hành và duy trì hệ thống quản lý ATTT toàn diện, hiệu quả về chi phí, tạo thêm giá trị cho khách hàng, các bên quan tâm và cho chính tổ chức), nhất quán và đồng bộ nhằm thỏa mãn các nhu cầu của tổ chức

2. Hỗ trợ cho lãnh đạo của tổ chức trong việc quản lý và vận hành một cách nhất quán, có trách nhiệm đối với hoạt động quản lý về ATTT, dựa trên nền tảng quản lý các rủi ro của tổ chức, kể cả việc giáo dục và đào tạo cho các chủ thể của hệ thống và các quá trình nghiệp vụ trong tổ chức, doanh nghiệp về quản lý ATTT;

3. Thúc đẩy việc áp dụng các thực hành tốt về ATTT đã được chấp nhận toàn cầu, tạo cơ hội để tổ chức, doanh nghiệp có thể tiếp cận và chấp nhận áp dụng, cải tiến các biện pháp kiểm soát phù hợp với tình huống bối cảnh cụ thể của mình, cũng như để duy trì các biện pháp kiểm soát này trước những thay đổi từ nội bộ và bên ngoài;

4. Tạo lòng tin cho khách hàng, các đối tác kinh doanh về hệ thống quản lý ATTT được tuân thủ , phù hợp tiêu chuẩn được thừa nhận quốc tế , nhất là khi các đối tác này yêu cầu chứng nhận sự phù hợp của hệ thống quản lý ATTT theo yêu cầu ISO / IEC 27001 bởi một tổ chức chứng nhận được công nhận;

5. Thỏa mãn được nhu cầu và mong đợi của xã hội về khía cạnh ATTT, kể cả việc đáp ứng, tuân thủ các yêu cầu của pháp luật;

6. Đạt hiệu quả hơn về quản lý về kinh tế khi đầu tư cho quản lý ATTT.

Tình hình áp dụng ISO/IEC 27001 trên Thế giới

Theo kết quả khảo sát năm 2017 của ISO dựa trên nguồn thông tin từ các tổ chức chứng nhận, tính đến 31/12/2017, tổng cộng có 39.500 chứng chỉ ISO/IEC 27001 đã được cấp cho các tổ chức ở 160 quốc gia, nền kinh tế trên toàn cầu. Trong đó, đã ghi nhận mức tăng 19 % (tương ứng với 6.211 chứng chỉ) ở năm 2017 so với năm 2016 (33.290 chứng chỉ). Số lượng chứng chỉ đã được cấp theo các hệ thống quản lý phổ biến dựa trên tiêu chuẩn ISO của năm 2017 so với năm 2016, trong khi đó Bảng dưới đây là nhóm 10 quốc gia có số chứng chỉ ISO/IEC 27001 cao nhất thế giới theo thống và cũng đã kế trong năm 2016:

Cũng theo khảo sát năm 2017 của ISO, ở khu vực Đông Á và Thái Bình Dương, cũng ghi nhận tổng cộng có 17.562 chứng chỉ được thống kê năm 2017, so với con số 14.704 chứng chỉ của năm 2016. Bảng 1-5 cung cấp thông tin chi tiết về chứng chỉ ISO/IEC 27001 ở khu vực này, trong đó 198 và 64 là số lượng chứng chỉ được thống kê ở Việt Nam lần lượt cho năm 2017 và 2016.

CÁC YÊU CẦU CHÍNH CỦA TIÊU CHUẨN ISO/IEC 27001

Phần dưới đây được trình bày trên cơ sở tham khảo tiêu chuẩn ISO/IEC 27003: 2017- công nghệ thông tin- Các kỹ thuật an toàn: hệ thống quản lý an toàn thông tin- Hướng dẫn để tóm tắt cách thức thực hiện, đáp ứng từng yêu cầu chính của ISO/IEC 27001

Điều 4- Bối cảnh của tổ chức

Điều khoản này tiêu chuẩn có đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô; lĩnh vực hoạt động và yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý an ninh thông tin phù hợp.

4.1 Hiểu về tổ chức và bối cảnh của tổ chức: Tổ chức phải xác định các vấn đề bên ngoài và nội bộ có liên quan đến mục đích của tổ chức và ảnh hưởng đến khả năng của tổ chức để đạt được các kết quả dự kiến của ISMS

Giải thích:

• Khi thực hiện các hoạt động của mình, tổ chức phải thường xuyên xem xét, phân tích về chính mình và thế giới quanh mình. Việc phân tích này có liên quan đến các vấn đề bên ngoài và nội bộ có ảnh hưởng đến ATTT và bằng cách nào ATTT được quản lý, cũng như có liên quan đến các mục tiêu của tổ chức
• Có 3 mục đích của việc phân tích, gồm:

+ Để hiểu về bối cảnh, từ đó xác định phạm vi áp dụng ISMS

+ Để hiểu về các rủi ro và cơ hội

+ Để đảm bảo ISMS phù hợp với sự thay đổi của các vấn đề bên ngoài và nội bộ

Các kết quả của việc xác định các vấn đề bên ngoài và nội bộ (tức là xác định bối cảnh) sẽ được sử dụng để xác định phạm vi của ISMS (mục 4.3) để xác định hành động giải quyết rủi ro và cơ hội (mục 6.1) và để phục vụ cho hoạt động xem xét của lãnh đạo (mục 9.3).

Hướng dẫn:

• Căn cứ trên hiểu rõ về mục đích của tổ chức (ví dụ như từ “sứ mệnh” và kế hoạch kinh doanh của tổ chức), cũng như các kết quả dự kiến của ISMS của tổ chức, tổ chức phải:

+ xem xét môi trường bên ngoài để xác định các vấn đề bên ngoài liên quan

+ xem xét các khía cạnh nội bộ để xác định các vấn đề nội bộ liên quan

• Để xác định các vấn đề liên quan đó, tổ chức có thể đặt câu hỏi “liệu từng vấn đề từ a đến p như liệt kê trên sẽ ảnh hưởng đến các mục tiêu ATTT của tổ chức như thế nào?” Dưới đây là 3 ví dụ minh họa đối với các vấn đề nội bộ:

4.2 Hiểu nhu cầu và mong đợi của các bên quan tâm

Giải thích:

• Bên quan tâm được hiểu là cá nhân hay tổ chức có thể có ảnh hưởng, hoặc chịu ảnh hưởng bởi một quyết định hoặc hoạt động của tổ chức đang xét. Bên quan tâm có thể bao gồm những bên từ bên ngoài và từ nội bộ của tổ chức, có thể có những nhu cầu, mong đợi cụ thể đối với ATTT của tổ chức.
• Bên quan tâm từ bên ngoài có thể gồm:

+ Cơ quan quản lý nhà nước

+ Các cổ đông, kể và chủ sở hữu và nhà đầu tư

+ Các nhà cung cấp, kể cả thầu phụ, tư vấn và đối tác từ bên ngoài

+ Các hiệp hội ngành nghề

+ Các đối thủ cạnh tran

+ khách hàng và người tiêu dùng

+ Các nhóm hoạt động

• Các bên quan tâm từ nội bộ có thể gồm:

+ Những người có quyền ra quyết định, kể cả lãnh đạo cao nhất

+ Chủ thể các quá trình, chủ thể các hệ thống và chủ thể thông tin

+ Các chức năng hỗ trợ như các nguồn lực về IT, về nhân sự

+ Nhân viên/người lao động, người dùng (users)

+ Chuyên gia về ATTT

• Kết quả xác định các bên quan tâm sẽ được sử dụng để xác định phạm vi của ISMS (mục 4.3) và hoạch định hành động giải quyết rủi ro, cơ hội (mục 6.1)

Hướng dẫn:

• Cần tiến hành các bước sau đây:

+ Xác định các bên quan tâm từ bên ngoài

+ Xác định các bên quan tâm từ nội bộ

+ Xác định yêu cầu của các bên quan tâm đó

• Vì nhu cầu, mong đợi của các bên quan tâm sẽ thay đổi theo thời gian, các thay đổi này có thể ảnh hưởng lên phạm vi, các hạn chế và các yêu cầu trong ISMS của tổ chức, do đó tổ chức cần phải xem xét, theo dõi để cập nhật thường xuyên về các thay đổi này.
• Kết quả đầu ra của mục 4.2 có thể được tổ chức lập thành văn bản tới mức cần thiết để đảm bảo tính hiệu lực của hệ thống ISMS (theo mục 7.5.1.b)

4.3 Phạm vi của ISMS

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chức phải xác định các ranh giới và khả năng áp dụng ISMS để thiết lập phạm vi áp dụng ISMS.

Giải thích:

• Phạm vi ISMS sẽ xác định rõ ISMS sẽ được áp dụng “ở đâu” và cho “cái gì” đối với tổ chức , cũng như làm rõ “ở đâu” và “cái gì” sẽ không được áp dụng.
• Theo đó, phạm vi ISMS sẽ giúp xác định các hoạt động nào được thực hiện trong ISMS. Ví dụ, việc đánh giá rủi ro và xử lý rủi ro, cũng như việc xác định các biện pháp kiểm soát sẽ không thể mang lại kết quả có giá trị nếu như tổ chức không hiểu được chính xác ISMS của mình được áp dụng cho điều gì, hoạt động nào.
• Các yếu tố sau đây có thể ảnh hưởng đến việc xác định phạm vi của ISMS:

+ Các vấn đề bên ngoài và nội bộ (đã mô tả ở mục 4.1)

+ Các bên quan tâm và yêu cầu của họ (đã mô tả ở mục 4.2)

+ Tính sẵn sàng của các hoạt động kinh doanh, nghiệp vụ mà ISMS sẽ đề cập đến

+ Các chức năng hỗ trợ, ví dụ như quản lý nhân sự, dịch vụ IT và các ứng dụng phần mềm, việc quản lý cơ sở hạ tầng, các tòa nhà, các khu vực vật lý, các dịch vụ và tiện ích thiết yếu.

+ Tất cả các chức năng có nguồn gốc từ bên ngoài, kể cả những phần khác cũng thuôc tổ chức hoặc thuộc nhà cung cấp độc lập.

Hướng dẫn:

• Tổ chức cần tiến hành các bước sau để thiết lập phạm vi của ISMS:

+ Xác định phạm vi sơ bộ: nên được tiến hành bởi một nhóm nhỏ những người đại diện lãnh đạo (ví dụ lãnh đạo công ty và lãnh đạo cấp phòng bantrong công ty)

+ Tính chỉnh phạm vi: các đơn vị chức năng trong và ngoài phạm vi sơ bộ cần được xem xét khi xác định ranh giới/ giao diện giữa bên trong và ngoài phạm vi, tương ứng với hoạt động sản xuất/ kinh doanh thuộc phạm vi ISMS.

+ Xác định phạm vi chính thức: lãnh đạo tổ chức sẽ đánh giá, xem xét lại phạm vi đã được tinh chỉnh nói trên

+ Phê duyệt phạm vi ISMS: Lãnh đạo cao nhất phê duyệt chính thức văn bản xác định phạm vi của ISMS.

• Thông tin dạng văn bản xác định phạm vi của ISMS phải bao gồm:

+ Phạm vi, ranh giới và các giao diện về mặt tổ chức

+ Phạm vi, ranh giới và các giao diện về mặt tổ chức

+ Phạm vi, ranh giới và các giao diện về mặt công nghiệp thông tin và

+ Phạm vi, ranh giới và các giao diện về mặt vật lý

Các hoạt động theo yêu cầu tiêu chuẩn:

+ Tổ chức phải thiết lập, thực hiện, duy trì và cải tiến thường xuyên ISMS.

Giải thích:

Điều này đưa ra yêu cầu chung đối với việc thiết lập, thực hiện, duy trì và cải tiến thường xuyên một hệ thống quản lý ATTT để qua đó đáp ứng đầy đủ các yêu cầu khác trong tiêu chuẩn ISO/IEC 27001:2013

Hướng dẫn:

Việc tổ chức triển khai thực hiện tất cả các yêu cầu của ISO/IEC 27001 chính là cơ sở để đáp ứng yêu cầu 4.4 này.

Điều 5: Lãnh đạo

Điều khoản này quy định các vấn đề về trách nhiệm; của Ban lãnh đạo mỗi tổ chức trong Hệ thống an ninh thông tin. Bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng, duy trì hệ thống thông tin; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống thông tin.

5.1 Sự lãnh đạo và cam kết

Các hoạt động theo yêu cầu tiêu chuẩn :

• Lãnh đạo cao nhất phải chứng minh vai trò lãnh đạo và sự – cam kết đối với ISMS . khác trong cam

Giải thích :

• Vai trò và sự cam kết của lãnh đạo cao nhất của tổ chức là thiết yếu để thực hiện thành công ISMS . ” Lãnh đạo cao nhất ” theo định nghĩa trong ISO / IEC 27000 : 2018 , đó là người hay nhóm người chỉ đạo và kiểm soát một tổ chức về ISMS ở cấp độ cao nhất . Theo đó , lãnh đạo cao nhất có trách nhiệm toàn diện đối với ISMS , chỉ đạo điều hành ISMS theo cách tương tự như điều hành các lĩnh vực khác trong tổ chức, ví dụ như phân bổ và kiểm soát về lãnh ngân sách để triển khai ISMS . Lãnh đạo cao nhất có thể đạo và trao quyền và cung cấp các nguồn lực cho các hoạt động trong ISMS , tuy nhiên vẫn phải duy trì trách nhiệm tổng kết thể của mình đối với ISMS.
• Ví dụ , trường hợp một tổ chức thực hiện , vận hành ISMS có thể là một đơn vị con trong một tổ chức lớn hơn . Khi đó , lãnh đạo cao nhất là người hay nhóm người chỉ đạo và kiểm soát đơn vị con đó .
• Lãnh đạo cao nhất cũng tham gia vào hoạt động xem xét của lãnh đạo ( mục 9.3 ) và thúc đẩy cải tiến liên tục ( mục 10.2 ) .

Hướng dẫn :

• Lãnh đạo cao nhất phải chứng minh về vai trò lãnh đạo và sự cam kết thông qua việc :
• Đảm bảo rằng chính sách ATTT và các Mục tiêu ATTT được thiết lập và tương thích với định hướng chiến lược của tổ chức.
• Đảm bảo rằng các yêu cầu của ISMS và các biện pháp kiểm soát sẽ được tích hợp vào các quá trình kinh doanh của tổ chức. cách thức đề bạt được điều này phải được bố trí sao cho phù hợp với bối cảnh cụ thể của tổ chức. Ví dụ, một tổ chức ở đó đã có phân định vai trò chủ thể quá trình thfi có thể giao trách nhiệm thực hiện các yêu cầu liên quan trong ISMS cho người hay nhóm người đó. Sự hỗ trợ của lãnh đaoh cao nhất cũng cần thiết để giúp vượt qua những trở ngại, vướng mắc trước các thay đổi về quá trình và các biện pháp kiểm soát.
• Đảm bảo sự sẵn có của các nguồn lực để thực hiện ISMS có hiệu lực. Các nguồn lực cần thiết cho các giai đoạn thiết lập, thực hiện, duy trì và cải tiến ISMS, cũng như các nguồn lực để thực hiện các biện pháp kiểm soát, có thể bao gồm những loại nguồn lực sau:

+ Nguồn lực tài chính

+ nguồn nhân sự

+ Nhà xưởng, thiết bị, tiện tích…

+ Cơ sở hạ tầng kỹ thuật.

• Các nguồn lực cần thiết phụ thuộc vào bối cảnh của tổ chức, ví dụ như quy mô, mức độ phức tạp, các yêu cầu nội bộ và bên ngoài. Khi lãnh đạo tiến hành xem xét về ISMS, phải cung cấp thông tin cho thấy các nguồn lực đã thỏa đáng cho ISMS của tổ chức chưa.
• – Lãnh đạo cao nhất phải truyền đạt nhu cầu quản lý ATTT trong tổ chức và nhu cầu của việc đáp ứng các yêu cầu của ISMS. Có thể thực hiện điều này qua việc cung cấp các ví dụ thực tế để minh họa nhu cầu thực sự của ATTT trong bối cảnh của tổ chức và qua việc truyền đạt các yêu cầu về ATTT trong tổ chức;
• Lãnh đạo cao nhất phải đảm bảo rằng ISMS sẽ đạt được các kết quả dự kiến bằng cách hỗ trợ việc thực hiện các quá trình quản lý ATTT, cụ thể thông qua việc yêu cầu và xem xét các báo cáo về tình hình thực hiện và tính hiệu lực của ISMS Các báo cáo đó có thể thu được từ hoạt động đo lường (điều 6.2, 9.1), hoạt động xem xét của lãnh đạo và các báo cáo đánh giá. Lãnh đạo cao nhất cũng có thể đạt ra các mục tiêu thực hiện cho những nhân sự chủ chốt trong ISMS;
• Lãnh đạo cao nhất phải chỉ đạo và hỗ trợ các nhân sự trong tổ chức có liên quan trực tiếp đến ATTT và ISMS. Nếu việc này làm không tốt có thể gây tác động xấu đến hiệu lực của ISMS. Các phản hồi từ lãnh đạo cao nhất có thể bao gồm việc các hoạt động đã được hoạch định được đồng bộ với chiến lược của tổ chức như thế nào, cũng như đối với việc thiết lập ưu tiên cho các hoạt động khác nhau trong ISMS; Lãnh đạo cao nhất phải đánh giá các nhu cầu nguồn lực khi tiến hành xem xét của lãnh đạo và thiết lập mục tiêu cải tiến liên tục và việc giám sát tính hiệu lực của các hoạt động đã hoạch định;
• Lãnh đạo cao nhất phải hỗ trợ các nhân sự có vai trò và trách nhiệm đã được phân công, xác định trong ISMS, theo đó được khích lệ để có thể chỉ đạo, hỗ trợ các hoạt động về ATTT ở phạm vi trách nhiệm của họ.

Trong những trường hợp, khi tổ chức thực hiện ISMS là một phần thuộc một tổ chức lớn hơn (ví dụ công ty mẹ), sự lãnh đạo và cam kết có thể được cải thiện bằng sự cam kết, tham gia với người hay nhóm người có quyền kiểm soát và chỉ đạo ở tổ chức lớn hơn (công ty mẹ). Nếu họ hiểu những gì có trong việc thực hiện một ISMS thì họ có thể hỗ trợ cho lãnh đạo cao nhất trong pahmj vi của ISMS để giúp họ chứng minh vai trò lãnh đạo và cung cấp cam kết cho ISMS. Ví dụ: nếu các bên quan tâm từ bên ngoài phạm vi của ISMS (ví dụ như công ty mẹ của tổ chức áp dụng ISMS) có tham gia vào việc ra quyết định liên quan đến các mục tiêu ATTT và tiêu chí về rủi ro và họ có nhận thức về cái kết quả tích cực sẽ thu được từ ISMS, khi đó các quyết định của họ liên quan đến phân bổ các nguồn lực sẽ được đồng bộ với các yêu cầu của ISMS.

Các hoạt động theo yêu cầu tiêu chuẩn:

• Lãnh đạo cao nhất phải thiết lập Chính sách ATTT

Giải thích:

• Chính sách ATTT mô tả tầm quan trọng chiến lược của ISMS đối với một tổ chức và phải đảm bảo được duy trì dưới dạng thông tin bằng văn bản. chính sách ATTT sẽ định hướng cho các hoạt động ATTT trong cả tổ chức, nêu rõ những nhu cầu đối với ATTT là gì trong bối cảnh thực tế của tổ chức.

5.2 Chính sách

Hướng dẫn:

• Chính sách ATTT phải bao gồm các công bố ngắn gọn ở cấp độ cao về dự định và sự định hướng về ATTT trong một tổ chức, có thể cụ thể theo phạm vi của ISMS hoặc mở rộng hơn .
• Tất cả các chính sách khác, các thủ tục, các hoạt động và các mục tiêu liên quan đến ATTT phải nhất quán với Chính sách ATTT.
• Chính sách ATTT phải phản ánh được tình huống kinh doanh của tổ chức, văn hóa, những vấn đề và mối quan tâm đến ATTT. Mức độ của Chính sách ATTT phải phù hợp với mục đích và văn hóa của tổ chức sao cho cân bằng giữa tính dễ đọc và sự đầy đủ về nội dung của chính Chính sách, đồng thời cũng giúp những đối tượng người sử dụng Chính sách có thể tự nhận diện được mình trong sách định hướng chiến lược về ATTT có trong Chính sách,
• Chính sách ATTT có thể bao gồm các mục tiêu ATTT hoặc mô tả về cơ sở bằng cách nào thiết lập mục tiêu ATTT (nghĩa là, ai sẽ thiết lập Mục tiêu ATTT và bằng cách nào triển khai mục tiêu trong phạm vi của tổ chức). Ví dụ: ở các tổ chức quy mô lớn, các mục tiêu ở cấp độ cao cần được thiết lập bởi lãnh đạo cấp cao của toàn tổ chức. Từ đó, dựa trên khuôn khổ được đặt ra trong Chính sách ATTT, các mục tiêu sẽ được cụ thể hóa để có thể định hướng cho tất cả các bên quan tâm.
• Chính sách ATTT phải đưa ra sự tuyên bố rõ ràng của lãnh đạo cao nhất về cam kết đối với việc đáp ứng các yêu cầu về ATTT; về việc lãnh đạo cao nhất sẽ hỗ trợ cho cải tiến liên tục mọi hoạt động.
• Chính sách ATTT phải được truyền đạt đến tất cả những người trong phạm vi ISMS, do đó, định dạng và ngôn ngữ sử dụng trong Chính sách phải phù hợp để những đối tượng liên quan có thể hiểu được dễ dàng.
• Lãnh đạo cao nhất phải quyết định việc truyền đạt Chính sách ATTT đến những bên quan tâm nào. Theo đó, Chính sách ATTT có thể được viết theo cách thích hợp đê có thể truyền đạt/ công bố ra cho các bên quan tâm từ bên ngoài. Ví dụ, các bên quan tâm từ bên ngoài có thể là khách hàng, nhà cung cấp, nhà thầu/ thầu phụ và các cơ quan quản lý. Nếu chính sách ATTT được đảm bảo sẵn có cho bên ngoài thì nội dung của nó không được chứa các thông tin có yêu cầu bảo mật.
• Chính sách ATTT có thể được thiết lập riêng rẽ hoặc so thể được kết hợp chung trong Chính sách tổng thể về các vấn đề khác nhau của tổ chức (ví dụ: chất lượng, môi trường và ATTT)

Các hoạt động theo yêu cầu tiêu chuẩn:

• Lãnh đạo coa nhất phải đảm bảo các trách nhiệm, quyền hạn của các vai trò liên quan trong ISMS được xác định và được truyền đạt trong toàn tổ chức

Giải thích:

• Lãnh đạo cao nhất phải đảm bảo các vai trò, trách nhiệm, quyền hạn về ATTT được xác định và được truyền đạt. Mục đích là nhằm phân công rõ ràng các trách nhiệm, quyền hạn trong việc đảm bảo sự phù hợp của ISMS theo các yêu cầu của ISO/IEC 27001, và đảm bảo việc báo cáo kết quả thực hiện ISMS đến lãnh đạo cao nhất.

5.3 Vai trò, trách nhiệm quyền hạn trong tổ chức

Hướng dẫn:

• Lãnh đạo cao nhất là người phải đảm bảo việc xác định, truyền đạt về các vai trò, trách nhiệm, quyền hạn để ISMS đáp ứng yêu cầu tiêu chuẩn. Tuy nhiên, điều này không có nghĩa là lãnh đạo cao nhất phải trực tiếp phân định vai trò, trách nhiệm, quyền hạn mà có thể trao quyền để thực hiện việc đó. Lãnh đạo cao nhất nên phê duyệt Vai các vai trò, trách nhiệm, quyền hạn chủ chốt trong ISMS.
• Các trách nhiệm, quyền hạn liên quan các hoạt động ATTT nhiệm, bao gồm: quyền

– Điều phối việc xây dựng, thực hiện, duy trì, báo cáo hạn kết quả thực hiện và cải tiến ISMS

– Cố vấn về đánh giá rủi ro ATTT và xử lý rủi ro tổ ATTT;

– Thiết kế các quá trình và các hệ thống ATTT

– Thiết lập các tiêu chuẩn về việc xác định, cấu hình và thực hiện các biện pháp kiểm soát ATTT

– Quản lý sự cố về ATTT

– Xem xét và đánh giá ISMS.

• Ngoài các vai trò trực tiếp liên quan đến ATTT, các trách nhiệm, quyền hạn về ATTT cũng cần bao gồm các vai trò khác, ví dụ, các trách nhiệm về ATTT có thể được kết hợp trong các vai trò sau:

– Các chủ thể thông tin;

– Các chủ thể quá trình;

– Các thủ thể tài sản (ví dụ: các chủ thể về các ứng dụng , các cơ sở hạ tầng)

– Các chủ thể rủi ro

– Các bộ phận chức năng hoặc nhân sự về an toàn thông tin để hỗ trợ trong ISMS

– Người quản lý dự án

– Người quản lý đường truyền (line)

– Người dùng (users)

Thông tin dạng văn bản về các vai trò, trách nhiệm, quyền hạn về ATTT ở hình thức nào và tới mức độ nào cần thiết là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (mục 7.5.1.b- ISO/IEC 27001).

Điều 6 – Hoạch định

Doanh nghiệp, tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro; đưa ra các quy trình xử lý. Điều khoản này đưa ra các yêu cầu; về việc thiết lập mục tiêu an toàn thông tin và kế hoạch để đạt được mục tiêu đó.

6.1 hành động giải quyết rủi ro và cơ hội

6.1.1 Khái quát

Các hoạt động theo yêu cầu tiêu chuẩn:

• Khi tiến hành hoạch định ISMS, tổ chức phải xác định các rủi ro và cơ hội, có xét đến các vấn đề / bối cảnh (mục 4.1) và các yêu cầu (mục 4.2)

Giải thích:

• Đối với các rủi ro và cơ hội liên quan đến các kết quả dự kiến của ISMS, tổ chức phải xác định chúng dựa trên kết quả xác định bối cảnh bên ngoài và nội bộ (đã thực hiện theo mục 4.1) và các yêu cầu của các bên quan tâm (đã ở mục 4.2). Từ đó, tổ chức tiến hành hoạch động định ISMS của mình để:
• a) Đảm bảo rằng sẽ đạt được các kết quả dự kiến từ việc quyết thực hiện ISMS, các rủi ro ATTT sẽ được các chủ thể rủi ro rủi ro hiểu và được xử lý tới mức có thể chấp nhận và cơ (ví dụ về rủi ro: các quá trình và trách nhiệm không hội/ rõ ràng, nhận thức của nhân viên kém; thiếu sự quan tâm của lãnh đạo ..) ;
• b) Ngăn ngừa hoặc giảm các tác động không mong quát muốn của rủi ro đối với kết quả dự kiến của ISMS (ví dụ về rủi ro: việc quản lý rủi ro kém hoặc nhận thức kém về các rủi ro);
• c) Đạt được sự cải tiến liên tục (xem mục 10.2), ví dụ như thông qua cơ chế thích hợp để phát hiện và khắc phục các điểm yếu trong các quá trình quản lý hoặc tranh thủ được cơ hội để cải thiện về ATTT (ví dụ về rủi ro: việc quản lý kèm đối với hệ thống tài liệu và các quá trình của ISMS).

– khi tổ chức theo đuổi các cơ hội trong các hoạt đông của mình, các hoạt động này sẽ có tác động đến bối cảnh của tổ chức hoặc các nhu cầu, mong đợi của các bên quan tâm và có thể làm thay đổi các rủi ro đối với tổ chức. ví dụ về cơ hội, tập trung kinh doanh vào các lĩnh vực sản phẩm/ dịch vụ, thiết lập chiến lược Marketing cho từng vùng miền, hoặc mở rộng quan hệ kinh doanh với ccas tổ chức khác.

– Việc hoạch định ở mục 6.1,1 bao gồm việc xác định về :

d, các hành động để giải quyết rủi ro và cơ hội

e, cách thức để:

+ Tích hợp và thực hiện các hành động giải quyết rủi ro, cơ hội vào các quá trình của ISMS

+ Đánh giá hiệu lực của các hành động này

Hướng dẫn:

• Tổ chức phải:

F, Xác định các rủi ro và cơ hội có thể ảnh hưởng đến việc đạt được các mục a,b,c, có xét đến bối cảnh của tổ chức và các yêu cầu của các bên quan tâm

G, Xây dựng một kế hoạch để thưc hiện các hành động đã xác định và để đánh giá tính hiệu lực của các hành động đó. Các hành động giải quyết rủi ro, cơ hội cần được tích hợp vào các quá trình trong ISMS và trong hệ thống thông tin dạng văn bản cỉa ISMS. Các hành động này cũng phải thực hiện liên kết đến các mục tiêu ATTT mà theo đó, các rủi ro ATTT được đánh giá và được sử lý.

Hình thức và mức độ của các thông tin dạng văn bản cho hoạt động này và kết quả đầu ra là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (mục 7.5.1.b ISO/IEC 27001).

Các hoạt động theo yêu cầu tiêu chuẩn:

Tổ chức phải xác định và áp dụng quá trình đánh giá rủi ro ATTT. Đánh giá rủi ro ATTT

Giải thích:

• Tổ chức phải xác định quá trình đánh giá rủi ro ATTT, ở đó:
• a) Thiết lập và duy trì:

– Các tiêu chí chấp nhận rủi ro;

– Chuẩn mực để tiến hành đánh giá rủi ro ATTT, bao gồm tiêu chí đánh giá hậu quả và khả năng xảy ra, và các quy tắc để xác định mức độ của rủi ro;

1. b) Đảm bảo rằng việc đánh giá rủi ro ATTT sẽ cho ra các kết quả nhất quán, có giá trị và có thể so sánh.
2. Quá trình đánh giá rủi ro ATTT theo đó được xác định theo các quá trình con sau đây:
3. c) Nhận biết rủi ro ATTT:

– Nhận biết rủi ro gắn với các tổn thất về tính bảo mật (C) , tính toàn vẹn (I) và tính sẵn có ( A ) của các tài sản thông tin thuộc phạm vi của ISMS

– Nhận biết chủ thể của rủi ro , tức là xác định và chỉ định người / nhóm người có trách nhiệm và quyền hạn tương ứng để quản lý các rủi ro đã nhận diện .

d.Phân tích rủi ro ATTT

1. Đánh giá rủi ro ATTT

Hướng dẫn:

• Hướng dẫn để thiết lập tiêu chí chấp nhận rủi ro (mục 6.1.2)

+ Để thiết lập tiêu chí chấp nhận rủi ro, tổ chức phải dựa trên việc xem xét bối cảnh ATTT của mình, xem xét các yêu cầu liên quan ATTT của các bên quan tâm. Các tiêu chí này, một mặt phải phù hợp với những ưu tiên đối với rủi ro và sự nhận thức về rủi ro của lãnh đạo cao nhất, mặt khác phải giúp đề ra được quá trình quản lý rủi ro khả thi và thích hợp.

– Các tiêu chí chấp nhận rủi ro phải được thiết lập có sự liên kết đến các kết quả đầu ra dự kiến của ISMS.

– Sau khi thiết lập tiêu chí đánh giá hậu quả và khả năng xảy ra của các rủi ro ATTT, tổ chức cũng phải lập phương pháp kết hợp chúng lại để qua đó xác định được mức độ rủi ro. Hậu quả và khả năng xảy ra có thể được thể hiện theo cách định tính, định lượng hoặc bán định lượng.

– Tiêu chí chấp nhận rủi ro liên quan đến đánh giá rủi ro (ở bước đánh giá rủi ro / risk evaluation), khi tổ chức xem xét liệu có chấp nhận một rủi ro nào đó hay không), và các hoạt động xử lý rủi ro (khi tổ chức xem xét liệu việc xử lý rủi ro được đề nghị là đã đủ để đạt được mức chấp nhận rủi ro hay chưa ) . – Tiêu chí chấp nhận rủi ro có thể được dựa trên mức tối đa để chấp nhận rủi ro, theo kết quả xem xét về lợi ích – chi phí, hoặc theo những hậu quả đối với tổ chức .

– Lãnh đạo cao nhất phải phê duyệt các tiêu chí chấp nhận rủi ro.

• Hướng dẫn cách thức để cho ra các kết quả đánh giá rủi ro có tính nhất quán, có giá trị sử dụng và có thể so sánh được (6.1.2.b)
• Hướng dẫn nhận biết rủi ro ATTT

+ Nhận biết rủi ro là quá trình tìm ra, ghi nhận và mô tả về rủi ro

+ Mục đích là nhằm xác định được một danh mục đầy đủ các rủi ro dựa trên các sự kiện có thể tạo ra , làm tăng thêm , ngăn chặn , suy giảm , gia tốc hay làm chậm trễ việc đạt được các mục tiêu ATTT .

– Hai phương pháp tiếp cận hay được sử dụng để nhận diện rủi ro ATTT như sau :

• Phương pháp dựa trên sự kiện : xem xét các nguồn rủi ro theo cách chung . Các sự kiện được xem xét có thể đã xảy ra trong quá khứ hoặc có thể được tiên đoán xảy ra trong tương lai . Đối với trường hợp đầu thì chúng có thể liên quan đến các dữ liệu trong lịch sử , còn trường hợp sau thì dựa trên phân tích lý thuyết và ý kiến của chuyên gia ;

* Phương pháp dựa trên việc nhận biết các tài sản ( thông tin ) , các mối đe dọa và các điểm yếu : xem xét hai dạng khác nhau của nguồn rủi ro : các tài sản thông tin có các điểm yếu cố hữu của chúng và các mối đe dọa có thể khai thác được điểm yếu . Các sự kiện tiềm ẩn được xem xét ở đây là các cách thức mà những mối đe dọa có thể khai thác được một điểm yếu nhất định của một tài sản thông tin và từ đó tác động đến mục tiêu của tổ chức

Cả hai phương pháp tiếp cận trên đều nhất quán với các nguyên tắc và hướng dẫn chung về quản lý rủi ro theo ISO 31000 .

* Các phương pháp nhận diện rủi ro khác cũng có thể được áp dụng nếu chúng được chứng minh tính hữu ích thực tế và nếu cũng đảm bảo được các yêu cầu ở mục 6.1.2.b ) .

6.1.3 Xử lý rủi ro ATTT

Các hoạt động yêu cầu tiêu chuẩn:

Tổ chức phải xác định và áp dụng quá trình xử lý rủi ro ATTT

Giải thích:

• Xử lý rủi ro ATTT là quá trình tổng thể của việc lựa chọn các biện pháp kiểm soát tích hợp, vạch ra kế hoạch xử lý rủi ro và đạt được sự thống nhất của các chủ thể rủi ro về kế hoạch xử lý rủi ro.
• Tổ chức phải lưu hồ sơ về kết quả thực hiện các bước trong quá trình xử lý rủi ro ATTT từ 6.1.3 a đến 6.1.3 f, cũng như kết quả của việc áp dụng chúng.

6.2 Mục tiêu ATTT và hoạch định để đạt được mục tiêu

Các hoạt động theo yêu cầu tiêu chuẩn

• Tổ chức phải thiết lập mục tiêu ATTT và lập kế hoạch để đạt được các mục tiêu đó ở các cấp độ chức năng của mình.

Điều 7- Hỗ trợ

Điều khoản này có yêu cầu đối với việc tổ chức đào tạo nhằm nâng cao nhận thức cho toàn thể cán bộ; nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông tin.

7.1 Nguồn lực

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chức phải xác định và cung cấp các nguồn lực để thiết lập, thực hiện, duy trì và cải tiến thường xuyên ISMS.

7.2 Năng lực

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chức phải xác định năng lực của các nhân sự cần thiết cho kết quả thực hiện ATTT và đảm bảo những người đó có năng lực.

7.3 Nhận thức

Các hoạt động theo yêu cầu tiêu chuẩn:

• Những người làm việc dưới sự kiểm soát của tổ chức có nhân thức về Chính sách ATTT, về sự đóng góp của họ vào hiệu lực của ISMS, những lợi ích khi kết quả thực hiện ATTT được cải thiện cũng như hậu quả khi không phù hợp với các yêu cầu của ISMS.

7.4 Trao đổi thông tin

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chức phải xác định các nhu cầu đối với việc trao đổi thông tin nội bộ và bên ngoài liên quan đến ISMS.

7.5 Thông tin dạng văn bản

7.5.1 Khái quát

Các hoạt động theo yêu cầu tiêu chuẩn:

• Hệ thống thông tin dạng văn bản thuộc ISMS của tổ chức bao gồm những loại thông tin văn bản theo yêu cầu của tiêu chuẩn và theo nhu cầu quản lý tổ chức để đảm bảo tính hiệu lực của ISMS.

7.5.2 Tạo và cập nhât

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chức phải đảm bảo việc nhận biết, mô tả thích hợp việc định dạng và phương tiện, cũng như việc xem xét phê duyệt khi tạo ra và cập nhật thông tin dạng văn bản.

7.5.3 Kiểm soát thông tin dạng văn bản

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chức phải quản lý các thông tin dạng văn bản của ISMS trong suốt vòng đời của văn bản và đảm bảo sẵn có ở nơi và thời điểm yêu cầu.

Điều 8- Thực hiện (vận hành hệ thống)

Doanh nghiệp/tổ chức của bạn cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu. Đồng thời tổ chức/ doanh nghiệp cần định kỳ thực hiện việc đánh giá các rủi ro an toàn thông tin và có kế hoạch xử lý.

8.1 Hoạch định và kiểm soát việc thực hiện

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chứ phải lập kế hoạch, thực hiện và kiểm soát các quá trình nhằm đáp ứng các yêu cầu về ATTT và để đạt được các mục tiêu ATTT của tổ chức
• Phải lưu giữ các thông tin dạng văn bản cần thiết để cung cấp lòng tin rằng các quá trình đã được thực hiện như đã hoạch định
• Tổ chức phải kiểm soát các thay đổi đã được hoạch định và tiến hành xem xét hậu quả của các thay đổi ngoài dư kiến cũng như đảm bảo việc nhận biết, xác định và kiểm soát các quá trình có nguồn từ bên ngoài

8.2 Đánh giá rủi ro ATTT

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chức phải thực hiện rủi ro ATTT và lưu giữ các thông tin dạng văn bản về kết quả thực hiện.

8.3 Xử lý rủi ro ATTT

Các hoạt động theo yêu cầu tiêu chuẩn:

Tổ chức phải thực hiện kế hoạch xử lý rủi ro ATTT (RTP) và lưu giữ các thông tin dạng văn bản về kết quả xử lý.

Điều 9- Đánh giá kết quả thực hiện

Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét; đánh giá Hệ thống quản lý an ninh thông tin của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống; đảm bảo đánh giá được toàn bộ hoạt động của hệ thống; đo lường hiệu quả và có kế hoạch khắc phục; nâng cấp hệ thống cho phù hợp.

9.1 Theo dõi, đo lường, phân tích và đánh giá

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chức phải đánh giá kết quả thực hiện về ATTT và hiệu lực của ISMS.

9.2 Đánh giá nội bộ

Các hoạt động theo yêu cầu tiêu chuẩn:

• Tổ chức phải thực hiện đánh giá nội bộ để cung cấp thông tin sự phù hợp của ISMS theo các yêu cầu.

9.3 Xem xét của lãnh đạo

Các hoạt động theo yêu cầu tiêu chuẩn:

• Lãnh đạo cao nhất phải định kỳ xem xét ISMS

Điều 10- Cải tiến

Sau khi xây dựng được hệ thống theo ISO 27001 cần duy trì hệ thống bằng cách thực hiện Kế hoạch – Thực hiện – Kiểm tra – Hành động. Điều khoản 10 trong tiêu chuẩn ISO 27001; cũng đưa ra các yêu cầu đảm bảo Hệ thống quản lý an ninh thông tin không ngừng được cải tiến trong quá trình hoạt động. Điều khoản này bao gồm các quy định trong việc áp dụng các chính sách mới; các hoạt động khắc phục, phòng ngừa điểm yếu đã xảy ra. Và để đảm bảo hiệu quả của Hệ thống quản lý an ninh thông tin.