5.2 chính sách
Lãnh đạo cao nhất phải thiết lập một chính sách bảo mật thông tin có:
a) phù hợp với mục đích của tổ chức;
b) bao gồm các mục tiêu bảo mật thông tin (xem 6.2) hoặc cung cấp khung cho việc thiết lập các mục tiêu bảo mật thông tin;
c) bao gồm cam kết đáp ứng các yêu cầu liên quan đến bảo mật thông tin;
d) bao gồm cam kết cải tiến liên tục của hệ thống quản lý bảo mật thông tin. Chính sách bảo mật thông tin phải:
e) có sẵn dưới dạng thông tin tài liệu;
f) được truyền thông trong tổ chức;
g) có sẵn cho các bên liên quan, nếu phù hợp.
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
ISO/IEC 27001:2022 mục 5.2 Chính sách ISMS (Hệ thống quản lý bảo mật thông tin) là một tài liệu hướng dẫn, nguyên tắc và quy tắc mà một tổ chức thiết lập để quản lý và bảo vệ tài sản thông tin của mình. Đó là một tuyên bố cấp cao về ý định và cam kết của ban quản lý đối với bảo mật thông tin.
Chính sách này thường vạch ra các mục tiêu của ISMS, vai trò và trách nhiệm của nhân viên, phạm vi của hệ thống và các biện pháp kiểm soát an ninh sẽ được triển khai để bảo vệ thông tin của tổ chức. Nó phục vụ như một khuôn khổ để đảm bảo rằng an ninh thông tin được quản lý một cách có hệ thống và nhất quán trong toàn tổ chức. Chính sách ISMS thường do ban quản lý cấp cao xây dựng và cần được xem xét và cập nhật thường xuyên để đảm bảo chính sách này luôn phù hợp và hiệu quả.
Ví dụ về chính sách an ninh thông tin theo ISO/IEC 27001:2022
Đây là một ví dụ về chính sách bảo mật thông tin:
Chính sách bảo mật thông tin
Mục đích và Phạm vi:
Chính sách này chỉ ra các hướng dẫn và thủ tục cần thiết để bảo vệ tính bảo mật, toàn vẹn và khả dụng của tài sản thông tin của tổ chức.
Mục tiêu:
bảo mật thông tin Các mục tiêu của hệ thống quản lý bảo mật thông tin (ISMS) là:
Đảm bảo tính bảo mật, toàn vẹn và khả dụng của tài sản thông tin. Đảm bảo tuân thủ các yêu cầu về bảo mật thông tin liên quan đến pháp luật, quy định và hợp đồng. Bảo vệ uy tín của tổ chức bằng cách ngăn chặn truy cập, sử dụng hoặc tiết lộ thông tin tài sản không được ủy quyền.
Trách nhiệm:
Tất cả nhân viên, nhà thầu và nhà cung cấp dịch vụ bên thứ ba chịu trách nhiệm tuân thủ chính sách này và đóng góp vào việc vận hành hiệu quả của ISMS.
Kiểm soát truy cập
Truy cập tài sản thông tin sẽ được kiểm soát dựa trên nhu cầu kinh doanh và nguyên tắc có ít đặc quyền nhất. Các cơ chế xác thực và phân quyền sẽ được sử dụng để đảm bảo rằng chỉ nhân viên được ủy quyền mới có quyền truy cập thông tin nhạy cảm.
Phân loại thông tin
Tài sản thông tin sẽ được phân loại dựa trên mức độ nhạy cảm của chúng và tác động tiềm năng của việc mất mát, mất cắp hoặc tiết lộ thông tin. Các biện pháp bảo vệ thích hợp sẽ được triển khai cho mỗi mức độ phân loại.
Quản lý sự cố
Một quy trình quản lý sự cố sẽ được thiết lập để phát hiện, đáp ứng và khôi phục từ các sự cố bảo mật thông tin. Tất cả các sự cố sẽ được báo cáo cho đội quản lý sự cố được chỉ định.
Đào tạo và Nâng cao ý thức
Tất cả nhân viên sẽ được đào tạo và nâng cao ý thức về bảo mật thông tin phù hợp để đảm bảo rằng họ hiểu rõ trách nhiệm của mình và cách bảo vệ tài sản thông tin.
Giám sát Tuân thủ
Sự tuân thủ với chính sách này và các quy trình liên quan sẽ được giám sát thường xuyên. Những hành vi không tuân thủ sẽ được xử lý thông qua các biện pháp khắc phục và phòng ngừa phù hợp.
Xem xét và Cải tiến
Chính sách này sẽ được xem xét thường xuyên để đảm bảo tính phù hợp, đầy đủ và hiệu quả của nó. ISMS sẽ được cải tiến liên tục để đảm bảo rằng nó đáp ứng các yêu cầu bảo mật thông tin của tổ chức.
Ký tên: [Tên và Chức danh của Ban lãnh đạo cao nhất]
