[ISO 27001] Quy trình thực hiện

Phạm vi của ISMS

4.3

*

Doanh nghiệp cần xác định phạm vi ngay khi bắt đầu triển khai ISO 27001.

Chính sách và mục tiêu bảo mật thông tin

5.2, 6.2

*

Mô tả mục đích chính của ISMS

Phương pháp đánh giá và xử lý rủi ro

6.1.2

*

Mô tả các đánh giá rủi ro và phương pháp xử lý và báo cáo kết quả việc thực hiện đánh giá và xử lý rủi ro

• Mô tả các tiêu chí rủi ro, tiêu chí nào được chấp nhận

• Mô tả tiêu chí đánh giá rủi ro

Các mục nên có trong tài liệu

• Các tiêu chí chấp nhận và đánh giá rủi ro

• Kết quả đánh giá rủi ro

• Nguyên nhân của rủi ro

• Hậu quả, mức độ rủi ro

• So sánh và đưa ra độ ưu tiên xử lý rủi ro

Tuyên bố về khả năng áp dụng (SoA)

6.1.3d

*

Tài liệu được viết dựa trên kết quả xử lý rủi ro

Tài liệu mô tả:

• Tình trạng hiện tại của doanh nghiệp

• Các kiểm soát nào trong Phụ lục A được chọn, không được chọn

• Cách thực hiện

Kế hoạch xử lý rủi ro

6.1.3e, 6.2

*

Tài liệu mô tả bản kế hoạch các hành động về cách triển khai, kết quả đánh giá các biện pháp kiểm soát được xác định trong Tài liệu “Tuyên bố về khả năng áp dụng”

• Tài liệu này sẽ được sử dụng và cập nhật liên tục trong quá trình triển khai ISMS

Thông tin nên có trong tài liệu gồm:

• Rủi ro

• Đánh giá rủi ro và các giải pháp xử lý rủi ro

• Kế hoạch xử lý rủi ro

• Phân tích, đánh giá kết quả xử lý

Báo cáo đánh giá rủi ro và xử lý rủi ro

8.2, 8.3

*

Định nghĩa về vai trò và trách nhiệm trong bảo mật

A.7.1.2

A.13.2.4

*

Tài liệu mô tả vai trò và trách nhiệm trong mô tả công việc của các vị trí, thường được mô tả trong tất cả các chính sách và thủ tục

• Với bên thứ 3 thì được xác định trong Hợp đồng, VD:

  • Người được tuyển dụng: Điều khoản về nghĩa vụ và trách nhiệm trong HĐ tuyển dụng

  • Nhà thầu, Nhà cung cấp (outsource): Điều khoản về nghĩa vụ, trách nhiệm trong Hợp đồng NCC

Quản lý tài sản

A.8.1.1

*

Tài liệu liệt kê Danh sách các tài sản cần kiểm soát

Các thông tin cần kiểm soát:

• Tên TS, thiết bị

• Người sở hữu

• Lịch sử sử dụng

Quản lý sử dụng tài sản

A.8.1.3

*

Tài liệu mô tả các quy tắc, nghĩa vụ và tiêu chuẩn về việc sử dụng mạng, tài sản thông tin và các tài nguyên điện tử khác đối với tất cả các nhân viên, công nhân tạm thời, nhà thầu, nhà cung cấp và người dùng khác ở bất cứ nơi nào họ có thể sử dụng

Chính sách kiểm soát truy cập

A.9.1.1

*

Tài liệu được xây dựng sau khi hoàn thành quá trình đánh giá và xử lý rủi ro.

Tài liệu mô tả:

• Các quy tắc truy cập

• Các thông tin, hệ thống được phép truy cập, phân quyền được truy cập

Quy trình vận hành Quản lý CNTT

A.12.1.1

*

Tài liệu được xây dựng sau khi hoàn thành quá trình đánh giá và xử lý rủi ro.

Tài liệu mô tả quy trình vận hành quản lý CNTT của doanh nghiệp, gồm:

• Bản mô tả quy trình vận hành

• Lịch sử thay đổi

• Giám sát, điều chỉnh nguồn lực vận hành hệ thống

• Các môi trường được sử dụng trong quá trình vận hành

Nguyên tắc an toàn kỹ thuật của hệ thống

A.14.2.5

*

Tài liệu mô tả các kỹ thuật đảm bảo an toàn hệ thống

Các kỹ thuật như:

• Xác thực dữ liệu đầu vào

• Gỡ lỗi

• Kiểm soát giao dịch, …

Chính sách bảo mật đối với NCC

A.15.1.1

*

Tài liệu mô tả:

• Cách kiểm soát và sàng lọc các nhà cung cáp tiềm năng

• Cách đánh giá rủi ro NCC

• Các điều khoản bảo mật cần đưa vào hợp đồng

• Cách giám sát thực hiện các điều khoản bảo mật hợp đồng

• …

Quy trình quản lý sự cố

A.16.1.5

*

Tài liệu nhằm xác định cách báo cáo, phân loại và xử lý các điểm yếu và sự cố bảo mật

Các mục chi tiết gồm:

• Quy trình ứng phó sự cố

• Các biện pháp phòng ngừa sự cố

• Danh sách các sự cố đã được báo cáo (Sự cố, Phân loại, Mức độ, cách giải quyết, người phụ trách, các bằng chứng…)

Quy trình đảm bảo triển khai liên tục

A.17.1.2

*

Tài liệu mô tả các hành động nhằm đảm bảo việc triển khai được liên tục.

Các nội dung gồm:

• Kế hoạch ứng phó sự cố

• Kế hoạch khắc phục cho Khách hàng

Tài liệu cần mô tả:

• Tên hoạt động

• Người phụ trách

• Thời gian thực hiện

• Công việc thực hiện

Yêu cầu pháp lý và hợp đồng

A.18.1.1

*

Tài liệu mô tả các yêu cầu cụ thể cho việc quản lý an toàn thông tin

Các yêu cầu liên quan đến:

• Trách nhiệm tuân thủ các yêu cầu

• Thời gian thực hiện

• Thời hạn hoàn thành

• …

Hồ sơ về đào tạo, năng lực, kinh nghiệm và trình độ nhân sự

A.7.2

*

Hồ sơ lưu trữ quá trình đào tạo nhân sự, kỷ luật, khen thưởng, kinh nghiệm, kỹ năng, trình độ, của nhân sự

→ Còn gọi là bộ hồ sơ năng lực của nhân viên

Hồ sơ Kết quả giám sát và đo lường

A.9.1

*

Mô tả các chỉ số hiệu suất chính cần được đo cho từng kiểm soát/nhóm kiểm soát và kết quả đo

Hồ sơ Kết quả đánh giá nội bộ

A.9.2

*

Mô tả:

• Kế hoạch đánh giá nội bộ: Ai thực hiện, phương pháp đánh giá, tiêu chí đánh giá

• Kết quả đánh giá gồm

Hồ sơ Kết quả xem xét lãnh đạo

A.9.3

*

Hồ sơ dạng biên bản cuộc họp những lần đánh giá, xem xét của lãnh đạo

Hồ sơ Kết quả của hành động khắc phục

A.10.1

*

Hồ sơ kết quả thực hiện của hành động khắc phục, gồm

• Trách nhiệm

• Nhiệm vụ

• Thời hạn được xác định để xử lý vấn đề

Hồ sơ Nhật ký hoạt động của người dùng và sự cố bảo mật

A.12.4.1, A.12.4.3

*

Hồ sơ ghi lại nhật ký các hành động ko mong muốn, lỗi, các ngoại lệ, các sự kiện bảo trì

Quy trình Kiểm soát tài liệu

Quy trình Kiểm soát hồ sơ

Quy trình Đánh giá nội bộ

Quy trình Hành động khắc phục

Chính sách mang thiết bị của cá nhân

Thiết bị di động và chính sách làm việc từ xa

Chính sách phân loại thông tin

Chính sách phân loại thông tin

Chính sách xử lý và tiêu hủy dữ liệu

Thủ tục làm việc trong khu vực an toàn

Chính sách về bảo vệ máy tính và bàn làm việc

Thay đổi chính sách quản lý

Chính sách dự phòng

Chính sách trao đổi thông tin

Phân tích tác động kinh doanh

Kế hoạch tập huấn và kiểm tra

Kế hoạch bảo trì và xem xét

Chiến lược đảm bảo kinh doanh liên tục