Các tài liệu cần thiết
Tên tài liệu | Điều khoản | Bắt buộc | Mô tả tài liệu | |
---|---|---|---|---|
1 | Phạm vi của ISMS | 4.3 | * | Doanh nghiệp cần xác định phạm vi ngay khi bắt đầu triển khai ISO 27001. |
2 | Chính sách và mục tiêu bảo mật thông tin | 5.2, 6.2 | * | Mô tả mục đích chính của ISMS |
3 | Phương pháp đánh giá và xử lý rủi ro | 6.1.2 | * | Mô tả các đánh giá rủi ro và phương pháp xử lý và báo cáo kết quả việc thực hiện đánh giá và xử lý rủi ro
Các mục nên có trong tài liệu
|
4 | Tuyên bố về khả năng áp dụng (SoA) | 6.1.3d | * | Tài liệu được viết dựa trên kết quả xử lý rủi ro Tài liệu mô tả:
|
5 | Kế hoạch xử lý rủi ro | 6.1.3e, 6.2 | * | Tài liệu mô tả bản kế hoạch các hành động về cách triển khai, kết quả đánh giá các biện pháp kiểm soát được xác định trong Tài liệu “Tuyên bố về khả năng áp dụng”
Thông tin nên có trong tài liệu gồm:
|
6 | Báo cáo đánh giá rủi ro và xử lý rủi ro | 8.2, 8.3 | * | |
7 | Định nghĩa về vai trò và trách nhiệm trong bảo mật | A.7.1.2 A.13.2.4 | * | Tài liệu mô tả vai trò và trách nhiệm trong mô tả công việc của các vị trí, thường được mô tả trong tất cả các chính sách và thủ tục
|
8 | Quản lý tài sản | A.8.1.1 | * | Tài liệu liệt kê Danh sách các tài sản cần kiểm soát Các thông tin cần kiểm soát:
|
9 | Quản lý sử dụng tài sản | A.8.1.3 | * | Tài liệu mô tả các quy tắc, nghĩa vụ và tiêu chuẩn về việc sử dụng mạng, tài sản thông tin và các tài nguyên điện tử khác đối với tất cả các nhân viên, công nhân tạm thời, nhà thầu, nhà cung cấp và người dùng khác ở bất cứ nơi nào họ có thể sử dụng |
10 | Chính sách kiểm soát truy cập | A.9.1.1 | * | Tài liệu được xây dựng sau khi hoàn thành quá trình đánh giá và xử lý rủi ro. Tài liệu mô tả:
|
11 | Quy trình vận hành Quản lý CNTT | A.12.1.1 | * | Tài liệu được xây dựng sau khi hoàn thành quá trình đánh giá và xử lý rủi ro. Tài liệu mô tả quy trình vận hành quản lý CNTT của doanh nghiệp, gồm:
|
12 | Nguyên tắc an toàn kỹ thuật của hệ thống | A.14.2.5 | * | Tài liệu mô tả các kỹ thuật đảm bảo an toàn hệ thống Các kỹ thuật như:
|
13 | Chính sách bảo mật đối với NCC | A.15.1.1 | * | Tài liệu mô tả:
|
14 | Quy trình quản lý sự cố | A.16.1.5 | * | Tài liệu nhằm xác định cách báo cáo, phân loại và xử lý các điểm yếu và sự cố bảo mật Các mục chi tiết gồm:
|
15 | Quy trình đảm bảo triển khai liên tục | A.17.1.2 | * | Tài liệu mô tả các hành động nhằm đảm bảo việc triển khai được liên tục. Các nội dung gồm:
Tài liệu cần mô tả:
|
16 | Yêu cầu pháp lý và hợp đồng | A.18.1.1 | * | Tài liệu mô tả các yêu cầu cụ thể cho việc quản lý an toàn thông tin Các yêu cầu liên quan đến:
|
17 | Hồ sơ về đào tạo, năng lực, kinh nghiệm và trình độ nhân sự | A.7.2 | * | Hồ sơ lưu trữ quá trình đào tạo nhân sự, kỷ luật, khen thưởng, kinh nghiệm, kỹ năng, trình độ, của nhân sự → Còn gọi là bộ hồ sơ năng lực của nhân viên |
18 | Hồ sơ Kết quả giám sát và đo lường | A.9.1 | * | Mô tả các chỉ số hiệu suất chính cần được đo cho từng kiểm soát/nhóm kiểm soát và kết quả đo |
19 | Hồ sơ Kết quả đánh giá nội bộ | A.9.2 | * | Mô tả:
|
20 | Hồ sơ Kết quả xem xét lãnh đạo | A.9.3 | * | Hồ sơ dạng biên bản cuộc họp những lần đánh giá, xem xét của lãnh đạo |
21 | Hồ sơ Kết quả của hành động khắc phục | A.10.1 | * | Hồ sơ kết quả thực hiện của hành động khắc phục, gồm
|
22 | Hồ sơ Nhật ký hoạt động của người dùng và sự cố bảo mật | A.12.4.1, A.12.4.3 | * | Hồ sơ ghi lại nhật ký các hành động ko mong muốn, lỗi, các ngoại lệ, các sự kiện bảo trì |
Các tài liệu khác
Tên tài liệu | Điều khoản | Mô tả tài liệu | |
---|---|---|---|
1 | Quy trình Kiểm soát tài liệu | ||
2 | Quy trình Kiểm soát hồ sơ | ||
3 | Quy trình Đánh giá nội bộ | ||
4 | Quy trình Hành động khắc phục | ||
5 | Chính sách mang thiết bị của cá nhân | ||
6 | Thiết bị di động và chính sách làm việc từ xa | ||
7 | Chính sách phân loại thông tin | ||
8 | Chính sách phân loại thông tin | ||
9 | Chính sách xử lý và tiêu hủy dữ liệu | ||
10 | Thủ tục làm việc trong khu vực an toàn | ||
11 | Chính sách về bảo vệ máy tính và bàn làm việc | ||
12 | Thay đổi chính sách quản lý | ||
13 | Chính sách dự phòng | ||
14 | Chính sách trao đổi thông tin | ||
15 | Phân tích tác động kinh doanh | ||
16 | Kế hoạch tập huấn và kiểm tra | ||
17 | Kế hoạch bảo trì và xem xét | ||
18 | Chiến lược đảm bảo kinh doanh liên tục |
Quy trình thực hiện
...
Drawio | ||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|