4.4 Hệ thống quản lý an ninh thông tin
Tổ chức phải thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin, bao gồm các quy trình cần thiết và sự tương tác của chúng, phù hợp với các yêu cầu của tài liệu này.
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
ISO/IEC 27001:2022 mục 4.4 yêu cầu tổ chức thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý bảo mật thông tin (ISMS) đáp ứng các yêu cầu của tiêu chuẩn. Điều này bao gồm việc thiết lập và ghi lại các quy trình cần thiết cho ISMS và các tương tác của chúng, để đảm bảo rằng các mục tiêu và nhu cầu an toàn thông tin của tổ chức được đáp ứng.
ISMS phải dựa trên phương pháp quản lý rủi ro, như được nêu trong phần 6 của tiêu chuẩn. Điều này liên quan đến việc xác định và đánh giá rủi ro đối với tài sản thông tin của tổ chức và thực hiện các biện pháp kiểm soát để quản lý những rủi ro đó. ISMS cũng nên kết hợp chu trình Lập kế hoạch-Thực hiện-Kiểm tra-Cải tiến (PDCA), như được nêu trong phần 10, để liên tục cải thiện hiệu quả của hệ thống theo thời gian.
Tổ chức cần đảm bảo rằng ISMS được tích hợp vào các mục tiêu và quy trình kinh doanh tổng thể của mình và được hỗ trợ bởi ban lãnh đạo cao nhất. Tiêu chuẩn cũng yêu cầu tổ chức phân bổ nguồn lực để triển khai và duy trì ISMS, bao gồm nhân sự, công nghệ và nguồn tài chính.
Tổ chức cũng nên thiết lập và ghi lại các vai trò, trách nhiệm và quyền hạn đối với việc quản lý an toàn thông tin, để đảm bảo rằng tất cả các nhân viên có liên quan đều nhận thức được nghĩa vụ của họ và chịu trách nhiệm về hành động của họ. Cuối cùng, tổ chức nên thiết lập và duy trì các thủ tục để xác định, thu thập, phân tích và phổ biến thông tin liên quan đến các sự cố an toàn thông tin, để có thể ứng phó và giải quyết kịp thời các sự cố đó.
Ví dụ minh hoạt về điều khoản 4.4 Hệ thống quản lý an ninh thông tin theo ISO/IEC 27001:2022
Dưới đây là ví dụ về cách một tổ chức có thể thiết lập và triển khai hệ thống quản lý bảo mật thông tin theo các yêu cầu của ISO/IEC 27001:
ABC Corporation là một công ty dịch vụ tài chính cung cấp dịch vụ quản lý đầu tư và lập kế hoạch tài chính cho các khách hàng cá nhân và tổ chức. Tổ chức nhận ra rằng việc bảo mật thông tin tài chính của khách hàng là rất quan trọng để duy trì lòng tin và sự tự tin của họ.
Để thiết lập hệ thống quản lý an toàn thông tin, Công ty Cổ phần ABC thực hiện theo các bước sau:
Thiết lập các chính sách bảo mật thông tin: Tổ chức phát triển và ghi lại các chính sách phác thảo cách tiếp cận của mình đối với bảo mật thông tin, bao gồm việc xác định tài sản thông tin, đánh giá và xử lý rủi ro, kiểm soát truy cập, quản lý sự cố và các chủ đề liên quan khác.
Chỉ định vai trò và trách nhiệm bảo mật thông tin: Tập đoàn ABC chỉ định các cá nhân và nhóm chịu trách nhiệm về các khía cạnh khác nhau của hệ thống quản lý bảo mật thông tin, chẳng hạn như người quản lý bảo mật thông tin, nhóm đánh giá rủi ro và nhóm ứng phó sự cố.
Tiến hành đánh giá rủi ro: Tổ chức xác định các tài sản thông tin cần được bảo vệ và đánh giá các rủi ro liên quan đến chúng. Đánh giá này bao gồm việc xác định các mối đe dọa tiềm ẩn, các lỗ hổng cũng như khả năng và tác động của vi phạm bảo mật.
Triển khai các biện pháp kiểm soát bảo mật: Tập đoàn ABC lựa chọn và triển khai các biện pháp kiểm soát bảo mật phù hợp để giải quyết các rủi ro đã xác định. Các biện pháp kiểm soát này có thể bao gồm các biện pháp kỹ thuật, vật lý và hành chính, chẳng hạn như tường lửa, mã hóa, kiểm soát truy cập cũng như các chương trình nâng cao nhận thức và đào tạo nhân viên.
Theo dõi và đánh giá: Tổ chức liên tục theo dõi hiệu quả của các biện pháp kiểm soát an ninh, đánh giá các sự cố an ninh và các sự cố suýt xảy ra, đồng thời thực hiện các điều chỉnh cần thiết đối với hệ thống quản lý an ninh của mình để giải quyết mọi lỗ hổng hoặc điểm yếu.
Thông qua việc thiết lập và triển khai hệ thống quản lý bảo mật thông tin, ABC Corporation có thể đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin tài chính của khách hàng, cũng như duy trì sự tuân thủ các yêu cầu quy định có liên quan.
Một số chính sách và kiểm soát trong hệ thống quản lý an toàn thông tin
Các chính sách và biện pháp kiểm soát cụ thể cần có trong hệ thống quản lý bảo mật thông tin (ISMS) sẽ phụ thuộc vào tổ chức cụ thể và bối cảnh của tổ chức đó, cũng như các yêu cầu của 4.4 Hệ thống quản lý an ninh thông tin theo ISO/IEC 27001:2022. Tuy nhiên, một số chính sách và biện pháp kiểm soát phổ biến có thể được bao gồm trong ISMS là:
Chính sách:
- Chính sách bảo mật thông tin
- Chính sách kiểm soát truy cập
- Chính sách quản lý sự cố
- Chính sách kinh doanh liên tục
- Chính sách quản lý rủi ro
- Sự cho phép của chính trị
- Chính sách phân loại dữ liệu
- Chính sách bảo mật vật lý
- Chính sách an ninh nguồn nhân lực
- Chính sách tuân thủ
Các kiểm soát:
- Các biện pháp kiểm soát truy cập (ví dụ: mật khẩu, xác thực đa yếu tố, danh sách kiểm soát truy cập)
- Kiểm soát an ninh mạng (ví dụ: tường lửa, hệ thống phát hiện/ngăn chặn xâm nhập, phân đoạn mạng)
- Kiểm soát bảo mật ứng dụng (ví dụ: thực hành mã hóa an toàn, kiểm tra lỗ hổng)
- Kiểm soát bảo mật dữ liệu (ví dụ: mã hóa, sao lưu và phục hồi, ngăn ngừa mất dữ liệu)
- Kiểm soát an ninh vật lý (ví dụ: camera an ninh, kiểm soát truy cập, nhân viên bảo vệ)
- Kiểm soát an ninh nguồn nhân lực (ví dụ: kiểm tra lý lịch, đào tạo nâng cao nhận thức về an ninh)
- Kiểm soát quản lý sự cố (ví dụ: kế hoạch ứng phó sự cố, báo cáo và theo dõi sự cố)
- Kiểm soát tính liên tục của doanh nghiệp (ví dụ: quy trình sao lưu và phục hồi, địa điểm làm việc thay thế)
- Kiểm soát quản lý rủi ro (ví dụ: đánh giá và xử lý rủi ro, giám sát và xem xét rủi ro)
- Kiểm soát tuân thủ (ví dụ: giám sát và báo cáo tuân thủ, đào tạo tuân thủ)
Các chính sách và biện pháp kiểm soát này cần được điều chỉnh cho phù hợp với nhu cầu và bối cảnh cụ thể của tổ chức và cần được xem xét và cập nhật thường xuyên khi cần thiết để đảm bảo tính hiệu quả của ISMS.