[ISO 27001] Quy trình thực hiện

Phạm vi của ISMS

4.3

*

Doanh nghiệp cần xác định phạm vi ngay khi bắt đầu triển khai ISO 27001.

Chính sách và mục tiêu bảo mật thông tin

5.2, 6.2

*

Mô tả mục đích chính của ISMS

Phương pháp đánh giá và xử lý rủi ro

6.1.2

*

Mô tả các đánh giá rủi ro và phương pháp xử lý và báo cáo kết quả việc thực hiện đánh giá và xử lý rủi ro

• Mô tả các tiêu chí rủi ro, tiêu chí nào được chấp nhận

• Mô tả tiêu chí đánh giá rủi ro

Các mục nên có trong tài liệu

• Các tiêu chí chấp nhận và đánh giá rủi ro

• Kết quả đánh giá rủi ro

• Nguyên nhân của rủi ro

• Hậu quả, mức độ rủi ro

• So sánh và đưa ra độ ưu tiên xử lý rủi ro

Tuyên bố về khả năng áp dụng (SoA)

6.1.3d

*

Tài liệu được viết dựa trên kết quả xử lý rủi ro

Tài liệu mô tả:

• Tình trạng hiện tại của doanh nghiệp

• Các kiểm soát nào trong Phụ lục A được chọn, không được chọn

• Cách thực hiện

Kế hoạch xử lý rủi ro

6.1.3e, 6.2

*

Tài liệu mô tả bản kế hoạch các hành động về cách triển khai, kết quả đánh giá các biện pháp kiểm soát được xác định trong Tài liệu “Tuyên bố về khả năng áp dụng”

• Tài liệu này sẽ được sử dụng và cập nhật liên tục trong quá trình triển khai ISMS

Thông tin nên có trong tài liệu gồm:

• Rủi ro

• Đánh giá rủi ro và các giải pháp xử lý rủi ro

• Kế hoạch xử lý rủi ro

• Phân tích, đánh giá kết quả xử lý

Báo cáo đánh giá rủi ro và xử lý rủi ro

8.2, 8.3

*

Định nghĩa về vai trò và trách nhiệm trong bảo mật

A.7.1.2

A.13.2.4

*

Tài liệu mô tả vai trò và trách nhiệm trong mô tả công việc của các vị trí, thường được mô tả trong tất cả các chính sách và thủ tục

• Với bên thứ 3 thì được xác định trong Hợp đồng, VD:

  • Người được tuyển dụng: Điều khoản về nghĩa vụ và trách nhiệm trong HĐ tuyển dụng

  • Nhà thầu, Nhà cung cấp (outsource): Điều khoản về nghĩa vụ, trách nhiệm trong Hợp đồng NCC

Quản lý tài sản/Kiểm kê tài sản

A.8.1.1

*

Tài liệu liệt kê Danh sách các tài sản cần kiểm soát

Các thông tin cần kiểm soát:

• Tên TS, thiết bị

• Người sở hữu

• Lịch sử sử dụng

Quản lý sử dụng tài sản

A.8.1.3

*

Tài liệu mô tả các quy tắc, nghĩa vụ và tiêu chuẩn về việc sử dụng mạng, tài sản thông tin và các tài nguyên điện tử khác đối với tất cả các nhân viên, công nhân tạm thời, nhà thầu, nhà cung cấp và người dùng khác ở bất cứ nơi nào họ có thể sử dụng

Chính sách kiểm soát truy cập

A.9.1.1

*

Tài liệu được xây dựng sau khi hoàn thành quá trình đánh giá và xử lý rủi ro.

Tài liệu mô tả:

• Các quy tắc truy cập

• Các thông tin, hệ thống được phép truy cập, phân quyền được truy cập

Quy trình vận hành Quản lý CNTT

A.12.1.1

*

Tài liệu được xây dựng sau khi hoàn thành quá trình đánh giá và xử lý rủi ro.

Tài liệu mô tả quy trình vận hành quản lý CNTT của doanh nghiệp, gồm:

• Bản mô tả quy trình vận hành

• Lịch sử thay đổi

• Giám sát, điều chỉnh nguồn lực vận hành hệ thống

• Các môi trường được sử dụng trong quá trình vận hành

Nguyên tắc kỹ thuật an toàn của hệ thống

A.14.2.5

*

Tài liệu mô tả các kỹ thuật đảm bảo an toàn hệ thống

Các kỹ thuật như:

• Xác thực dữ liệu đầu vào

• Gỡ lỗi

• Kiểm soát giao dịch, …

Chính sách bảo mật đối với NCC

A.15.1.1

*

Tài liệu mô tả:

• Cách kiểm soát và sàng lọc các nhà cung cáp tiềm năng

• Cách đánh giá rủi ro NCC

• Các điều khoản bảo mật cần đưa vào hợp đồng

• Cách giám sát thực hiện các điều khoản bảo mật hợp đồng

• …

Quy trình quản lý sự cố

A.16.1.5

*

Tài liệu nhằm xác định cách báo cáo, phân loại và xử lý các điểm yếu và sự cố bảo mật

Các mục chi tiết gồm:

• Quy trình ứng phó sự cố

• Các biện pháp phòng ngừa sự cố

• Danh sách các sự cố đã được báo cáo (Sự cố, Phân loại, Mức độ, cách giải quyết, người phụ trách, các bằng chứng…)

Quy trình đảm bảo triển khai liên tục

A.17.1.2

*

Tài liệu mô tả các hành động nhằm đảm bảo việc triển khai được liên tục.

Các nội dung gồm:

• Kế hoạch ứng phó sự cố

• Kế hoạch khắc phục cho Khách hàng

Tài liệu cần mô tả:

• Tên hoạt động

• Người phụ trách

• Thời gian thực hiện

• Công việc thực hiện

Yêu cầu pháp lý và hợp đồng

A.18.1.1

*

Tài liệu mô tả các yêu cầu cụ thể cho việc quản lý an toàn thông tin

Các yêu cầu liên quan đến:

• Trách nhiệm tuân thủ các yêu cầu

• Thời gian thực hiện

• Thời hạn hoàn thành

• …

Hồ sơ về đào tạo, năng lực, kinh nghiệm và trình độ nhân sự

A.7.2

*

Hồ sơ lưu trữ quá trình đào tạo nhân sự, kỷ luật, khen thưởng, kinh nghiệm, kỹ năng, trình độ, của nhân sự

→ Còn gọi là bộ hồ sơ năng lực của nhân viên

Hồ sơ Kết quả giám sát và đo lường

A.9.1

*

Mô tả các chỉ số hiệu suất chính cần được đo cho từng kiểm soát/nhóm kiểm soát và kết quả đo

Hồ sơ Kết quả đánh giá nội bộ

A.9.2

*

Mô tả:

• Kế hoạch đánh giá nội bộ: Ai thực hiện, phương pháp đánh giá, tiêu chí đánh giá

• Kết quả đánh giá

Hồ sơ Kết quả xem xét lãnh đạo

A.9.3

*

Hồ sơ dạng biên bản cuộc họp những lần đánh giá, xem xét của lãnh đạo

Hồ sơ Kết quả của hành động khắc phục

A.10.1

*

Hồ sơ kết quả thực hiện của hành động khắc phục, gồm

• Trách nhiệm

• Nhiệm vụ

• Thời hạn được xác định để xử lý vấn đề

Hồ sơ Nhật ký hoạt động của người dùng và sự cố bảo mật

A.12.4.1, A.12.4.3

*

Hồ sơ ghi lại nhật ký các hành động ko mong muốn, lỗi, các ngoại lệ, các sự kiện bảo trì

Quy trình Kiểm soát tài liệu

7.5

Thường là tài liệu đầu tiên của hệ thống

Tài liệu mô tả: Hướng dẫn và thống nhất các quy tắc về việc viết tài liệu

Quy trình Quản lý hồ sơ

7.5

Tài liệu mô tả quy định cách kiểm soát các hồ sơ được tạo ra khi thực hiện chính sách hoặc thủ tục

Các kiểm soát hồ sơ thường được viết vào cuối các tài liệu, bao gồm:

• Nơi lưu trữ hồ sơ

• Quyền truy cập

• Cách bảo quản

• Thời gian lưu trữ

Quy trình Đánh giá nội bộ

9.2

Tài liệu mô tả hướng dẫn thực hiện đánh giá nội bộ

thường bao gồm các phần:

• Kế hoạch thực hiện đánh giá nội bộ: tần suất, các phương pháp, trách nhiệm, yêu cầu hoạch định và báo cáo

• Các tiêu chuẩn đánh giá và phạm vi từng lần đánh giá

• Kết quả đánh giá

Quy trình Hành động khắc phục

10.1

Tài liệu mô tả, hướng dẫn cách thức xử lý, báo cáo, kiểm tra việc thực hiện các hành động khắc phục

Chính sách mang thiết bị của cá nhân

A.6.2.1

Tài liệu mô tả chính sách và các biện pháp đo lường về các thiết bị di động và thiết bị làm việc

Các tài liệu thường gồm:

• Lịch sử đăng ký và quản lý thiết bị

• Nội dung về các hạn chế phần mềm được cài đặt

• Các yêu cầu về đăng nhập, đăng xuất, khóa thiết bị

• Yêu cầu về việc backup và lưu trữ dữ liệu

Thiết bị di động và chính sách làm việc từ xa

A.6.2.1

Chính sách phân loại thông tin

A.8.2

Tài liệu mô tả chính sách phân loại thông tin.

Các thông tin bao gồm:

• DS, định nghĩa các loại thông tin

• Mức độ nghiêm trọng khi phát tán thông tin

• Mô tả thông tin và nhãn dán tương ứng

• Quy trình sử dụng thông tin tương ứng với từng nhãn, loại thông tin

Chính sách truy cập thông tin

A.9.2.1

A.9.2.2

A.9.2.4

A.9.3.1

A.9.4.3

Tài liệu mô tả:

• Quy trình đăng ký/xóa đăng ký/ kích hoạt tài khoản và quyền truy cập

• Quy trình quản lý, kiểm soát việc cung cấp các thông tin xác thực của người dùng

• Yêu cầu về việc tuân thủ quy trình cung cấp thông tin xác thực của người dùng

• Chính sách giới hạn thông tin truy cập (phân quyền)

Chính sách xử lý và tiêu hủy dữ liệu

A.8.3.2

A.11.2.7

Tài liệu mô tả:

• Quy trình xử lý các thiết bị chứa thông tin khi bị loại bỏ hoặc sử dụng lại

• Danh sách các thiết bị/phương tiện truyền thông có chứa thông tin: tên thiết bị, vị trí, người phụ trách, trạng thái

Thủ tục làm việc trong khu vực an toàn

A.11.1.5

Tài liệu mô tả:

• Quy trình làm việc tại các khu vực an ninh

• Kết quả kiểm soát quy trình làm việc tại các khu vực an ninh

Chính sách về bảo vệ máy tính và bàn làm việc

A.11.2.9

Tài liệu mô tả:

• Các quy định, trách nhiệm của các cá nhân về việc bảo vệ máy tính và thông tin trên bàn làm việc

• Kết quả thực hiện chính sách

Chính sách Quản lý thay đổi

A.12.1.2

Tài liệu mô tả:

• Các thay đổi về tổ chức, quá trình kinh doanh, các hệ thống và các thiết bị quản lý thông tin

Chính sách dự phòng

A.12.3.1

Tài liệu mô tả:

• Chính sách sao lưu dữ liệu

• Lịch sử sao lưu dữ liệu

Chính sách trao đổi thông tin

A.13.2.1

A.13.2.2

A.13.2.3

Tài liệu mô tả:

• Chính sách, quy trình, các kiểm soát và các thỏa thuận trong quá trình trao đổi thông tin

Phân tích tác động kinh doanh

A.17.1.1

Tài liệu mô tả:

• Yêu cầu, Kế hoạch thực hiện việc an ninh thông tin khi có các tình huống bất lợi xảy ra

Kế hoạch tập huấn và kiểm tra

A.17.1.3

Tài liệu mô tả:

• Kế hoạch thực hiện và kiểm tra việc thực hiện an ninh thông tin

• Kết quả thực hiện và kiểm tra việc thực hiện an ninh thông tin

Kế hoạch bảo trì và xem xét

A.17.1.3

Tài liệu mô tả:

• Kế hoạch và kết quả bảo trì hệ thống an ninh thông tin

• Kế hoạch và kết quả đánh giá hệ thống an ninh thông tin

Lãnh đạo cam kết về xây dựng hệ thống ISMS

Lãnh đạo cam kết trách nhiệm trong trong việc xây dựng hệ thống ISMS, gồm:

• Thiết lập

• Lập kế hoạch

• Thực hiện

• Giám sát

• Duy trì

• Cải tiến hệ thống

Các hoạt động cụ thể:

• Đưa ra mục tiêu và kế hoạch ATTT

• Thông báo về việc tuân thủ chính sách bảo mật thông tin

• Đảm bảo nguồn lực và khả năng thực hiện của nguồn lực (đảm bảo bằng cách đào tạo năng lực)

• Xác định các mức rủi ro chấp nhận được

• Bổ nhiệm các vị trí để đảm nhiệm vai trò và trách nhiệm được giao

• Đánh giá hệ thống

Phổ biến, đào tạo nhận thức về tiêu chuẩn cho CBNV

Doanh nghiệp tổ chức và đào tạo cho CBNV nhận thức về tiêu chuẩn ISMS:

• Tầm quan trọng

• Khó khăn, thách thức

• Yêu cầu thực hiện

• Các kỹ năng cần cải tiến

• …

Hồ sơ về đào tạo, năng lực, kinh nghiệm và trình độ nhân sự

Thiết lập hệ thống tài liệu theo yêu cầu của tiêu chuẩn

Thiết lập danh sách hệ thống tài liệu bắt buộc, không bắt buộc trong quá trình áp dụng

Danh sách các tài liệu cần có và quản lý

Xây dựng chính sách, phạm vi, mục tiêu của hệ thống ISMS

Xây dựng các chính sách thực hiện, phạm vi, mục tiêu của hệ thống ISMS

• Phạm vi ISMS bao gồm:

  • Các quy trình

  • Đơn vị kinh doanh

  • Nhà cung cấp/Nhà thầu

• Tài liệu về “Phạm vi của ISMS”

• Tài liệu về chính sách và mục tiêu bảo mật thông tin

• Tài liệu về các chính sách, quy định áp dụng

• Tài liệu về quy trình áp dụng

Phân tích, đánh giá rủi ro về an ninh thông tin trong phạm vi hệ thống

• Đưa ra Danh sách các rủi ro

• Các phương pháp đánh giá rủi ro

• Kế hoạch xử lý rủi ro

• SoA

Thiết lập các biện pháp xử lý rủi ro

• Đưa ra Các biện pháp xử lý rủi ro

• Kế hoạch xử lý rủi ro

• Báo cáo đánh giá rủi ro và xử lý rủi ro

• SoA

Lựa chọn mục tiêu và các biện pháp kiểm soát rủi ro

• Lựa chọn mục tiêu, các biện pháp xử lý rủi ro được áp dụng

• SoA

Vận hành hệ thống ISMS đã thiết lập

Vận hành hệ thống ISMS theo các chính sách, quy định đã thiết lập

• Hồ sơ Kết quả giám sát và đo lường

• Báo cáo đánh giá rủi ro và xử lý rủi ro

Thực hiện các hành động xem xét và cải tiến hệ thống

Thực hiện đánh giá nội bộ và rút kinh nghiệm

• Tổng hợp kết quả

• Phân tích kết quả

• Đưa ra các đánh giá, thống kê các hoạt động trong quá trình thực hiện

• Đưa ra Danh sách các hoạt động cần xem xét cải tiến và hướng cải tiến, kế hoạch thực hiện cải tiến

• Hồ sơ Kết quả giám sát và đo lường

• Hồ sơ Kết quả đánh giá nội bộ

• Hồ sơ Kết quả xem xét lãnh đạo

• Hồ sơ Kết quả của hành động khắc phục

• Hồ sơ Nhật ký hoạt động của người dùng và sự cố bảo mật

Đánh giá chứng nhận

• Thực hiện đánh giá chính thức và rút kinh nghiệm

Chứng nhận ISO 27001

Đánh giá định kỳ

Đánh giá lại hệ thống ISMS theo chuẩn ISO 27001 khi chứng nhận hết hiệu lực