...
Tên tài liệu | Điều khoản | Bắt buộc | Mô tả tài liệu | |
---|---|---|---|---|
1 | Phạm vi của ISMS | 4.3 | * | Doanh nghiệp cần xác định phạm vi ngay khi bắt đầu triển khai ISO 27001. |
2 | Chính sách và mục tiêu bảo mật thông tin | 5.2, 6.2 | * | Mô tả mục đích chính của ISMS |
3 | Phương pháp đánh giá và xử lý rủi ro | 6.1.2 | * | Mô tả các đánh giá rủi ro và phương pháp xử lý và báo cáo kết quả việc thực hiện đánh giá và xử lý rủi ro
Các mục nên có trong tài liệu
|
4 | Tuyên bố về khả năng áp dụng (SoA) | 6.1.3d | * | Tài liệu được viết dựa trên kết quả xử lý rủi ro Tài liệu mô tả:
|
5 | Kế hoạch xử lý rủi ro | 6.1.3e, 6.2 | * | Tài liệu mô tả bản kế hoạch các hành động về cách triển khai, kết quả đánh giá các biện pháp kiểm soát được xác định trong Tài liệu “Tuyên bố về khả năng áp dụng”
Thông tin nên có trong tài liệu gồm:
|
6 | Báo cáo đánh giá rủi ro và xử lý rủi ro | 8.2, 8.3 | * | |
7 | Định nghĩa về vai trò và trách nhiệm trong bảo mật | A.7.1.2 A.13.2.4 | * | Tài liệu mô tả vai trò và trách nhiệm trong mô tả công việc của các vị trí, thường được mô tả trong tất cả các chính sách và thủ tục
|
8 | Quản lý tài sản/Kiểm kê tài sản | A.8.1.1 | * | Tài liệu liệt kê Danh sách các tài sản cần kiểm soát Các thông tin cần kiểm soát:
|
9 | Quản lý sử dụng tài sản | A.8.1.3 | * | Tài liệu mô tả các quy tắc, nghĩa vụ và tiêu chuẩn về việc sử dụng mạng, tài sản thông tin và các tài nguyên điện tử khác đối với tất cả các nhân viên, công nhân tạm thời, nhà thầu, nhà cung cấp và người dùng khác ở bất cứ nơi nào họ có thể sử dụng |
10 | Chính sách kiểm soát truy cập | A.9.1.1 | * | Tài liệu được xây dựng sau khi hoàn thành quá trình đánh giá và xử lý rủi ro. Tài liệu mô tả:
|
11 | Quy trình vận hành Quản lý CNTT | A.12.1.1 | * | Tài liệu được xây dựng sau khi hoàn thành quá trình đánh giá và xử lý rủi ro. Tài liệu mô tả quy trình vận hành quản lý CNTT của doanh nghiệp, gồm:
|
12 | Nguyên tắc kỹ thuật an toàn kỹ thuật của hệ thống | A.14.2.5 | * | Tài liệu mô tả các kỹ thuật đảm bảo an toàn hệ thống Các kỹ thuật như:
|
13 | Chính sách bảo mật đối với NCC | A.15.1.1 | * | Tài liệu mô tả:
|
14 | Quy trình quản lý sự cố | A.16.1.5 | * | Tài liệu nhằm xác định cách báo cáo, phân loại và xử lý các điểm yếu và sự cố bảo mật Các mục chi tiết gồm:
|
15 | Quy trình đảm bảo triển khai liên tục | A.17.1.2 | * | Tài liệu mô tả các hành động nhằm đảm bảo việc triển khai được liên tục. Các nội dung gồm:
Tài liệu cần mô tả:
|
16 | Yêu cầu pháp lý và hợp đồng | A.18.1.1 | * | Tài liệu mô tả các yêu cầu cụ thể cho việc quản lý an toàn thông tin Các yêu cầu liên quan đến:
|
17 | Hồ sơ về đào tạo, năng lực, kinh nghiệm và trình độ nhân sự | A.7.2 | * | Hồ sơ lưu trữ quá trình đào tạo nhân sự, kỷ luật, khen thưởng, kinh nghiệm, kỹ năng, trình độ, của nhân sự → Còn gọi là bộ hồ sơ năng lực của nhân viên |
18 | Hồ sơ Kết quả giám sát và đo lường | A.9.1 | * | Mô tả các chỉ số hiệu suất chính cần được đo cho từng kiểm soát/nhóm kiểm soát và kết quả đo |
19 | Hồ sơ Kết quả đánh giá nội bộ | A.9.2 | * | Mô tả:
|
20 | Hồ sơ Kết quả xem xét lãnh đạo | A.9.3 | * | Hồ sơ dạng biên bản cuộc họp những lần đánh giá, xem xét của lãnh đạo |
21 | Hồ sơ Kết quả của hành động khắc phục | A.10.1 | * | Hồ sơ kết quả thực hiện của hành động khắc phục, gồm
|
22 | Hồ sơ Nhật ký hoạt động của người dùng và sự cố bảo mật | A.12.4.1, A.12.4.3 | * | Hồ sơ ghi lại nhật ký các hành động ko mong muốn, lỗi, các ngoại lệ, các sự kiện bảo trì |
...
Tên tài liệu | Điều khoản | Mô tả tài liệu | |||
---|---|---|---|---|---|
1 | Quy trình Kiểm soát tài liệu | 7.5 | Thường là tài liệu đầu tiên của hệ thống Tài liệu mô tả: Hướng dẫn và thống nhất các quy tắc về việc viết tài liệu | ||
2 | Quy trình Kiểm soát hồ sơQuản lý hồ sơ | 7.5 | Tài liệu mô tả quy định cách kiểm soát các hồ sơ được tạo ra khi thực hiện chính sách hoặc thủ tục Các kiểm soát hồ sơ thường được viết vào cuối các tài liệu, bao gồm:
| ||
3 | Quy trình Đánh giá nội bộ | 9.2 | Tài liệu mô tả hướng dẫn thực hiện đánh giá nội bộ thường bao gồm các phần:
| ||
4 | Quy trình Hành động khắc phục | 10.1 | Tài liệu mô tả, hướng dẫn cách thức xử lý, báo cáo, kiểm tra việc thực hiện các hành động khắc phục | ||
5 | Chính sách mang thiết bị của cá nhân | A.6.2.1 | Tài liệu mô tả chính sách và các biện pháp đo lường về các thiết bị di động và thiết bị làm việc Các tài liệu thường gồm:
| ||
6 | Thiết bị di động và chính sách làm việc từ xa | A.6.2.1 | |||
7 | Chính sách phân loại thông tin | A.8 | Chính sách phân loại thông tin.2 | Tài liệu mô tả chính sách phân loại thông tin. Các thông tin bao gồm:
| |
8 | Chính sách truy cập thông tin | A.9.2.1 A.9.2.2 A.9.2.4 A.9.3.1 A.9.4.3 | Tài liệu mô tả:
| ||
9 | Chính sách xử lý và tiêu hủy dữ liệu | A.8.3.2 A.11.2.7 | Tài liệu mô tả:
| ||
10 | Thủ tục làm việc trong khu vực an toàn | A.11.1.5 | Tài liệu mô tả:
| ||
11 | Chính sách về bảo vệ máy tính và bàn làm việc | A.11.2.9 | Tài liệu mô tả: Thay đổi chính sách quản lý
| 12 |
|
12 | Chính sách Quản lý thay đổi | A.12.1.2 | Tài liệu mô tả:
| ||
13 | Chính sách dự phòng | A.12.3.1 | Tài liệu mô tả:
| ||
14 | Chính sách trao đổi thông tin | A.13.2.1 A.13.2.2 A.13.2.3 | Tài liệu mô tả:
| ||
15 | Phân tích tác động kinh doanh | A.17.1.1 | Tài liệu mô tả:
| ||
16 | Kế hoạch tập huấn và kiểm tra | A.17.1.3 | Tài liệu mô tả:
| ||
17 | Kế hoạch bảo trì và xem xét | 18 | Chiến lược đảm bảo kinh doanh liên tụcA.17.1.3 | Tài liệu mô tả:
|
Quy trình thực hiện
...
Drawio | ||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Mô tả quy trình
Bước | Nội dung thực hiện | Output | |
---|---|---|---|
1 | Lãnh đạo cam kết về xây dựng hệ thống ISMS | Lãnh đạo cam kết trách nhiệm trong trong việc xây dựng hệ thống ISMS, gồm:
Các hoạt động cụ thể:
| |
2 | Phổ biến, đào tạo nhận thức về tiêu chuẩn cho CBNV | Doanh nghiệp tổ chức và đào tạo cho CBNV nhận thức về tiêu chuẩn ISMS:
| Hồ sơ về đào tạo, năng lực, kinh nghiệm và trình độ nhân sự |
3 | Thiết lập hệ thống tài liệu theo yêu cầu của tiêu chuẩn | Thiết lập danh sách hệ thống tài liệu bắt buộc, không bắt buộc trong quá trình áp dụng | Danh sách các tài liệu cần có và quản lý |
4 | Xây dựng chính sách, phạm vi, mục tiêu của hệ thống ISMS | Xây dựng các chính sách thực hiện, phạm vi, mục tiêu của hệ thống ISMS
|
|
5 | Phân tích, đánh giá rủi ro về an ninh thông tin trong phạm vi hệ thống |
|
|
6 | Thiết lập các biện pháp xử lý rủi ro |
|
|
7 | Lựa chọn mục tiêu và các biện pháp kiểm soát rủi ro |
|
|
8 | Vận hành hệ thống ISMS đã thiết lập | Vận hành hệ thống ISMS theo các chính sách, quy định đã thiết lập |
|
9 | Thực hiện các hành động xem xét và cải tiến hệ thống | Thực hiện đánh giá nội bộ và rút kinh nghiệm
|
|
10 | Đánh giá chứng nhận |
| Chứng nhận ISO 27001 |
11 | Đánh giá định kỳ | Đánh giá lại hệ thống ISMS theo chuẩn ISO 27001 khi chứng nhận hết hiệu lực |