...
ISO 27001 có tổng cộng 10 điều khoản cần thực hiện, trong đó:
Điều khoản 1,2,3 các điều khoản về giới thiệu, phạm vi và thuật ngữĐiều khoản 4: Phạm vi tổ chức
Điều khoản
...
này chỉ rõ các yêu cầu
...
Tại điều khoản này, người dùng cần:
Hiểu rõ tổ chức vàcho việc thiết lập, thực hiện, duy trid và liên tục cải tiến hệ thống phù hợp với bối cảnh của tổ chức
Xác định các vấn đề bên ngoài + nội bộ có liên quan đến múc đích và có ảnh hưởng đến khả năng đạt được đầu ra dự kiến của hệ thống ISMS
Hiểu các nhu cầu của các bên quan tâm
Xác định các bên quan tâm/liên quan đến ISMS
Xác định yêu cầu của họ về ISMS
Xác định phạm vi của ISMS
Xác định phạm vi áp dụng ISMS
Phạm vi phải sẵn ở dạng văn bản
Thiết lập, Thực hiện, Duy trì và Cải tiến liên tục 1 hệ thống ISMS trong mọi trường hợp với các yêu cầu của tiêu chuẩn này
Điều khoản 5: Lãnh đạo
Điều khoản quy định các vấn đề về trách nhiệm của Ban lãnh đạo: sự cam kết và sự quyết tâm thực hiện các công việc về:
Đảm bảo các chính sách ATTT phù hợp
Chính sách phải phù hợp với mục đích của tổ chức
Chính sách bao gồm:
Các mục tiêu ATTT/Khuôn khổ cho việc thiết lập các mục tiêu
1 cam kết thỏa mãn các yêu cầu
1 cam kết cải tiến
Đảm bảo việc tích hợp các yêu cầu của hệ thống ISMS
Đảm bảo nguồn lực cần thiết đối với hệ thống
Thúc đẩy cải tiến liên tụcĐiều khoản này bao gồm các yêu cầu cho đánh giá, xử lý các rủi ro an ninh thông tin dựa trên năng lực của doanh nghiệp
Điều khoản 2: Tài liệu trích dẫn
Tên tài liệu
Điều khoản 3: Thuật ngữ và định nghĩa
Điều khoản đưa ra các thuật ngữ và định nghĩa được sử dụng trong tiêu chuẩn
Điều khoản 4: Bối cảnh tổ chức
Điều khoản đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi hệ thống an ninh thông tin phù hợp
4.1. Hiểu tổ chức và bối cảnh tổ chức
Tổ chức phải xác định rõ các vấn đề nội bộ và bên ngoài liên quan đến mục đích và tác động của nó ảnh hưởng đến khả năng đạt được các kết quả mong đợi từ hệ thống quản lý an ninh thông tin
Ghi chú: Xác định các vấn đề trên tham chiếu đến điều khoản 5.3 tiêu chuẩn ISO31000:2009 – thiết lập bối cảnh nội bộ và bên ngoài của tổ chức.
4.2. Hiểu về yêu cầu và kỳ vọng của các bên liên quan.
Tổ chức sẽ phải xác định:
a. Các bên quan tâm đến hệ thống quản lý an ninh thông tin
b.Các yêu cầu của các bên liên quan về an ninh thông tin.
Ghi chú: Các yêu cầu của các bên quan tâm bao gồm các yêu cầu của pháp luật và các điều khoản trong hợp đồng.
4.3. Xác định phạm vi hệ thống quản lý an ninh thông tin.
Tổ chức phải xác định giới hạn và khả năng áp dụng hệ thống quản lý an ninh thông tin để thiết lập phạm vi áp dụng.
Khi xác định phạm vi, tổ chức phải xem xét:
a. Các vấn đề nội bộ và bên ngoài quy định tại khoản 4.1.
b. Các yêu cầu quy định tại khoản 4.2;
c. Sự tương tác và phụ thuộc giữa các hoạt động trong tổ chức và vấn đề này với các tổ chức bên ngoài
4.4. Hệ thống quản lý an ninh thông tin
Tổ chức phải thiết lập, thực hiện, duy trì và liên tục cải tiến Hệ thống quản lý an ninh thông tin phù hợp với các yêu cầu của tiêu chuẩn này.
...
Điều khoản 5: Sự lãnh đạo
Điều khoản quy định các vấn đề về trách nhiệm của Ban lãnh đạo: sự cam kết và sự quyết tâm thực hiện các công việc về:
5.1. Sự lãnh đạo và cam kết
Lãnh đạo cao nhất phải lãnh đạo và cam kết đối với hệ thống quản lý an ninh thông tin bằng cách:
a. Đảm bảo chính sách an ninh thông tin và mục tiêu an ninh thông tin được thiết lập và phù hợp với định hướng chiến lược của tổ chức.
b. Đảm bảo tích hợp các yêu cầu hệ thống quản lý an ninh thông tin các quá trình của tổ chức.
c. Đảm bảo sẵn sàng các nguồn lực cần thiết cho hệ thống quản lý an ninh thông tin.
d. Truyền thông tầm quan trọng về hiệu quả quản lý an ninh thông tin và sự phù hợp với các yêu cầu an ninh thông tin.
e. Đảm bảo rằng hệ thống quản lý an ninh thông tin đạt được các kết quả mong đợi
f. Chỉ đạo và hỗ trợ nhân sự tham gia vào hệ thống quản lý an ninh thông tin có hiệu quả.
g. Thúc đẩy cải tiến liên tục
h. Hỗ trợ các quản lý liên quan thể hiện được vai trò lãnh đạo trong vùng trách nhiệm họ được phân công
5.2. Chính sách
Lãnh đạo cao nhất phải thiết lập chính sách an ninh thông tin đảm bảo:
a. Phù hợp với mục đích của tổ chức
b. Bao gồm các mục tiêu an ninh thông tin (xem 6.2) hoặc cung cấp khuôn khổ cho việc thiết lập các mục tiêu an ninh thông tin.
c. Bao gồm cam kết đáp ứng các yêu cầu áp dụng liên quan đến an ninh thông tin
d. Bao gồm cam kết nhằm cải tiến liên tục hệ thống quản lý an ninh thông tin.
e. Chính sách an ninh thông tin phải được văn bản hóa
f. Được truyền thông trong tổ chức
g. Sẵn sàng với các bên quan tâm, khi thích hợp
5.3. Vai trò, quyền hạn và trách nhiệm của tổ chức.
Lãnh đạo cao nhất phải đảm bảo các trách nhiệm và phê duyệt quyền hạn liên quan đến an ninh thông tin và truyền thông
Lãnh đạo cao nhất phê duyệt trách nhiệm và quyền hạn nhằm:
a. Đảm bảo rằng hệ thống quản lý an ninh thông tin phù hợp với các yêu cầu của tiêu chuẩn quốc tế này
b. Báo cáo về sự thực hiện hệ thống quản lý an ninh thông tin tới lãnh đạo cao nhất.
GHI CHÚ: Lãnh đạo cao nhất có thể ký phê duyệt các trách nhiệm và quyền hạn báo cáo việc thực hiện hệ thống quản lý an ninh thông tin trong nội bộ của tổ chức
...
Điều khoản 6: Lập kế hoạch/ Hoạch định
Điều khoản đưa ra các yêu cầu, việc thiết lập mục tiêu và kế hoạch để đạt được mục tiêu đó
...
6.1. Các hành động giải quyết rủi ro và các cơ hội
...
Nhằm:
...
Đảm bảo hệ thống ISMSS có thể đạt được KQ như dự kiến
...
6.1.1 Tổng quát
Khi hoạch định hệ thống quản lý an ninh thông tin, tổ chức phải xem xét: Các vấn đề tham chiếu điều khoản 4.1, các yêu cầu tham chiếu điều khoản 4.2, Xác định rủi ro cũng như các cơ hội đảm bảo các yêu cầu được đáp ứng:
a. Đảm bảo hệ thống an ninh thông tin có thể đạt được các kết quả mong đợi
b. Phòng ngừa hoặc giảm thiểu các tác động không mong muốn
c. Đạt được
...
cải tiến liên tục
...
Cần:
...
Tổ chức phải lập kế hoạch
d. Hành động tập trung vào rủi ro và các cơ hội
...
cải tiến
e. Làm thế nào để:
-Tích hợp và triển khai các hành động trên vào
...
các quá trình hệ thống quản lý an ninh thông tin
-Đánh giá hiệu quả của các hành động này
6.1.2. Đánh giá rủi ro an ninh thông tin: Tự xác định bảo mật thông tin.
Tổ chức phải thiết lập và áp dụng các quá trình đánh giá rủi ro
Nhằm
an ninh thông tin nhằm:
a. Thiết lập và duy trì các
...
tiêu chí rủi ro an ninh thông tin bao gồm:
...
-Các tiêu chí chấp nhận rủi ro
...
-Tiêu chí cho việc thực hiện đánh giá rủi ro an ninh thông tin.
b. Đảm bảo
...
rằng quá trình đánh giá rủi ro
...
an ninh thông tin được triển khai liên tục, phù hợp, kết quả đánh giá có giá trị và có thể so sánh
...
được.
c. Xác định các rủi ro
...
an ninh thông tin.
-Áp dụng quá trình đánh giá
...
rủi ro an ninh thông tin nhằm xác định các rủi ro
...
liên quan đến việc mất tính bảo mật, tính toàn vẹn
...
và tính sẵn
...
sàng của thông tin trong phạm vi
...
hệ thống
...
Định danh owners của các rủi ro
quản lý an ninh thông tin
-Xác định những người nắm giữ rủi ro đó
d. Phân tích rủi ro an ninh thông tin
-Đánh giá
...
những hậu quả tiềm ẩn
...
gây ra bởi các rủi ro đã được xác định
...
bằng văn bản trong điều khoản 6.1.2.c)
-Đánh giá khả năng trở thành hiện thực của các rủi ro đã
...
Xác định mức độ của rủi ro
Đánh giá rủi ro
...
được xác định bằng văn bản trong điều khoản 6.1.2.c)
-Xác định các mức độ rủi ro.
e. Định lượng rủi ro an ninh thông tin.
-So sánh các kết quả phân tích rủi ro với các tiêu
...
chí rủi ro đã được thiết lập
...
trong điều khoản 6.1.2.a)
-Đưa ra trật tự ưu tiên đối với các rủi ro đã được phân tích cho
...
hoạt động xử lý rủi ro
...
Cần:
...
.
Tổ chức phải văn bản
...
hóa quá trình đánh giá rủi ro an ninh thông tin
6.1.3. Xử lý rủi ro an ninh thông tin : Tự
Tổ chức phải xác định và áp dụng quá trình xử lý đánh giá rủi ro
Nhằm:
...
an ninh thông tin nhằm:
a. Chọn lựa các giải pháp xử lý rủi ro
...
an ninh thông tin phù hợp, dựa trên kết quả đánh giá rủi ro
b. Xác định tất cả các kiểm soát cần thiết để thực hiện các giải pháp xử lý
...
an ninh thông tin đã lựa chọn.
c. So sánh các kiểm soát đã được xác định
...
trong khoản 6.1.3.b. với Phụ lục A và
...
làm rõ các lựa chọn nào không cần thiết
...
Xây dựng 1 SoA (Statement of Applicability - Mệnh đề áp dụng) bao gồm: các kiểm soát cần thiết + Diễn giải cho các kiểm soát được thực hiện hoặc không thực hiện + Diễn giải cho việc loại trừ các kiểm soát trong Phụ lục A
để loại trừ.
d. Ban hành công bố áp dụng bao gồm các kiểm soát được lựa chọn (xem 6.1.3.b và c) và làm rõ các các biện pháp kiểm soát được áp dụng hay loại trừ trong Phụ lục A.
e. Xây dựng kế hoạch xử lý rủi ro
...
f. Phê duyệt người nắm giữ rủi ro trong kế hoạch xử lý rủi ro và chấp nhận những rủi ro còn sót lại
...
Cần:
...
.
Tổ chức phải lưu các thông tin
...
được văn bản hóa về quá trình xử lý rủi ro an ninh thông tin
6.2. Mục tiêu an ninh thông tin và lập kế hoạch thực đạt được mục tiêu :
Tổ chức phải thiết lập các mục tiêu an ninh thông tin và các cấp độ liên quan
...
liên quan đến các chức năng nhiệm vụ và mức độ
Các mục tiêu an ninh thông tin phải:
a. Nhất quán với chính sách
...
Có thể đo lường được
...
an ninh thông tin.
b. Đo lường được (một cách thích hợp)
c. Phù hợp với các yêu cầu an ninh thông tin, và kết quả từ việc đánh giá và xử lý rủi ro.
d. Được
...
truyền đạt
e. Được cập nhật
...
một cách thích hợp.
Tổ chức phải lưu giữ hồ sơ về các mục tiêu an ninh thông tin.
Khi lập kế hoạch làm thế nào để đạt được các mục tiêu an ninh thông tin, Tổ chức phải xác định:
...
Các công việc cần làm
...
Nguồn lực cần thiết
...
Trách nhiệm cua những người tham gia
...
Khi nào hoàn thành
...
a. Sẽ làm gì
b. Nguồn lực yêu cầu là gì
c. Ai chịu trách nhiệm
d. Khi nào thì hoàn thành
e. Kết quả được đánh giá như thế nào
...
Điều khoản 7: Hỗ trợ
7.1. Nguồn lực
Xác định và cung cấp nguồn lực cần thiết cho việc thiết lập, thực hiện, duy trì và cải tiến hệ thống ISMS
7.2. Năng lực (Competence)
...
Tổ chức phải
a. Xác định năng lực cần thiết của các nhân sự đang làm việc và có tác động đến kết quả an ninh thông tin
b. Đảm bảo các nhân sự này có năng lực cơ bản về giáo dục, đào tạo và kinh nghiệm
c. Khi thích hợp, có những hành động để đạt được năng lực cần thiết, đánh giá hiệu quả của các hành động đã thực hiện
...
(Các hành động thích hợp có thể gồm: cung cấp việc đào tạo, kèm cặp - bổ nhiệm nhân sự, thuê ngoài)
d. Giữ lại các thông tin dưới dạng văn bản để làm minh chứng năng lực
7.3. Nhận thức (Awareness)
...
Người thực hiện cần có các nhận thức:
a. Chính sách ATTT
b. Đóng góp của họ tới hiệu quả của hệ thống ISMS, bao gồm các lợi ích của việc cải tiến hệ thống ISMS
c. Ý nghĩa của sự không phù hợp với yêu cầu của hệ thống ISMS
7.4. Trao đổi thông tin
...
Tổ chức phải xác định nhu cầu trao đổi thông tin nội bộ và bên ngoài tới hệ thống ISMS, gồm:
a. Nội dung cần trao đổi
b. Thời gian trao đổi
c. Đối tượng trao đổi
d. Người trao đổi
e. Các quá trình mà trao đổi thông tin cần thực hiện
7.5. Thông tin
...
được văn bản
...
hóa
7.5.1. Các văn bản cần thiết
a. Văn bản được yêu cầu bởi tiêu chuẩn này
b. Văn bản được tổ chức xác định là cần thiết đối với hiệu quả của hệ thống
...
7.5.2.Thiết lập và cập nhật
...
tài liệu
Khi tạo và cập nhật văn bản cần đảm bảo văn bản phù hợp:
a. Định danh và mô tả: Tiêu đề, Tác giả, Thời gian…
b. Định dạng: ngôn ngữ, phiên bản, đồ họa,… được sử dụng qua văn bane giấy hay điện tử
c. Xem xét và chấp nhận sự thích hợp và đầy đủ của văn bản
7.5.3. Kiểm soát các thông tin được văn bản
...
Việc kiểm soát cần đảm bảo:
a. Tính Sẵn có và thích hợp để sử dụng khi cần cần thiết
b. Tính đầy đủ
Các hoạt động cần kiểm soát:
a. Phân phối, truy cập, thu hồi (retrieval) và sử dụng
b. Lưu trữ và bảo quản, duy trì tính rõ ràng
c. Kiểm soát các thay đổi
d. Lưu giữ và Hủy
...
Điều khoản 8: Vận hành hệ thống
...
8.1. Lập kế hoạch và kiểm soát
...
Tổ chức phải lên kế hoạch, thực hiện kiểm soát quá trình cần thiết để đáp ứng yêu cầu và thực hiện các hành động đã xác định trong Điều 6
Tổ chức phải thực hiện kế hoạch để đạt được mục tiêu an toàn thông tin đã xác định trong Điều 6
Phải giữ các văn bản cần thiết để có sự tin cậy (confidence) về các quy trình đã được thực hiện theo kế hoạch
Phải kiểm soát các thay đổi và xem xét các hậu quả của các thay đổi ngoài dự kiến (unintended changes); thực hiện các hành động để giảm thiểu các ảnh hưởng bất lợi
Xác định và kiểm soát các nguồn lực bên ngoài
8.2. Đánh giá rủi ro an ninh thông tin
Thực hiện đánh giá rủi ro theo định kỳ hoặc khi có thay đổi đáng kể được đề xuất xảy ra theo các tiêu chuẩn đánh giá đã thiết lập trong Điều 6
Giữ lại các văn bản về kết quả đánh giá rủi ro an ninh thông tin
8.3. Xử lý rủi ro
Thực hiện kế hoạch xử lý rủi ro an ninh thông tin
Giữ các văn bản về Kết quả xử lý rủi ro an ninh thông tin
...
Điều khoản 9: Đánh giá hiệu năng hệ thốngviệc thực hiện
9.1. Giám sát, đo lường, phân tích và đánh giá
Đánh giá kết quả và hiệu quả của hệ thống ISMS
Cần xác định:
a. Đối tượng giám sát và đo lường, bao gồm cả quy trình và các kiểm soát
b. Các phương thức giám sát, đo lường, phân tích và đánh giá để có thể áp dụng, kết quả phải đảm bảo giá trị
c. Thời gian thực hiện giám sát và đo lường
d. Người thực hiện giám sat và đo lường
e. Thời gian thực hiện đánh giá và phân tích
f. Người thực hiện đánh giá và phân
...
tích kết quả
Phải lưu giữ thông tin được văn bản hóa một cách hợp lý → Bằng chứng giám sát và đo lường các kết quả
9.2. Đánh giá nội bộ (Internal Audit)
Tiến hành đánh giá nội bộ theo định kỳ để cung cấp các thông tin về hệ thống ISMS để đánh giá:
a. Hệ thống có phù hợp với yêu cầu riêng của tổ chức và các yêu cầu chung của tiêu chuẩn quốc tế này không
b. Được thực hiện và duy trì có hiệu quả
Tổ chức phải:
c. Lên kế hoạch, Thiết lập, Thực hiện và sự duy trì chương trình đánh giá, bao gồm: tần suất, các phương pháp, trách nhiệm, yêu cầu hoạch định và báo cáo
Chương trình đánh giá phải xem xét sự quan trọng của các quá trình liên quan và kết quả đánh giá trước đó
d. Xác định các tiêu chuẩn đánh giá và phạm vi từng lần đánh giá
e. Chọn chuyên gia và thực hiện đánh giá; đảm bảo mục tiêu và tính khách quan của quá trình đánh giá
f. Đảm bảo kết quả đánh giá được báo cáo đến các quản lý có liên quan
g. Giữ lại văn bản tài liệu như bằng chứng của chương trình và kết quả đánh giá
9.3. Lãnh đạo xem xét
Lãnh đạo cao nhất phải xem xét định kỳ hệ thống ISMS, đảm bảo hệ thống luôn thích hợp và có hiệu quả
...
Người lãnh đạo phải xem xét:
a. Tình trạng của các hành động kể từ lần đánh giá trước
b. Sự thay đổi các vấn đề nội bộ và bên ngoài có liên quan đến hệ thống
c. Phản hồi về việc thực hiện bảo mật thông tin, bao gồm:
-Sự không phù hợp và hành động khắc phục
-Kết quả giám sát và đo lường
-Kết quả đánh giá
-Sự đáp ứng đầy đủ các mục tiêu an ninh
...
thông tin
a. Phản hồi từ các bên liên quan
e. Kết quả đánh giá rủi ro và tình trạng kế hoạch xử lý rủi ro
f. Cơ hội cải tiến liên tục
Outputs của việc quản lý cao nhất review phải bao gồm các quyết định liên quan đến cơ hội cải tiến liên tục và bất kỳ sự thay đổi nào về hệ thống ISMS
Tổ chức phải giữ các văn bản tài liệu như minh chứng cho kết quả review hệ thống của quản lý cao nhất
...
.
...
Điều khoản 10: Cải tiến hệ thống
10.1. Sự không phù hợp và hành động khắc phục
...
Khi có sự không phù hợp xảy ra, tổ chức cần
...
a. Ứng phó với sự không phù hợp
...
bằng cách:
-Thực hiện hành động để kiểm soát và sửa nó
-Giải quyết những hậu quả
b. Đánh giá sự cần thiết về hoạt động loại bỏ các nguyên nhân của sự không phù hợp để nó không tái diễn hoặc xảy ra ở các nơi khác, bằng cách:
-Xem xét sự không phù hợp
-Xác định nguyên nhân của sự không phù hợp
-Xác định nếu sự không phù hợp tương tự có tồn tại hoặc có khả năng xảy ra
c. Thực hiện các hành động cần thiết
d. Xem xét hiệu quả của hành động khắc phục bất kỳ đã thực hiện
e. Thực hiện thay đổi hệ thống ISMS nếu cần thiết
...
Các hoạt động khắc phục phải thích hợp với những sự không thích hợp gặp phải
...
Tổ chức phải giữ văn bản tài liệu như minh chứng của bản chất sự không phù hợp, hành động khắc phục và kết quả của các hành động khắc phục này.
10.2. Cải tiến thường xuyên
Phải cải tiến thường xuyên sự phù hợp, đầy đủ, hiệu quả của hệ thống ISMS
Các phụ lục A
...
Phụ lục A bao gồm tổng thể danh mục các mục tiêu và yêu cầu kiểm soát
...