Áp dụng điều khoản 6.1 Hành động giải quyết rủi ro và cơ hội ISO/IEC 27001:2022 vào tổ chức của bạn như thế nào?

Áp dụng điều khoản 6.1 Hành động giải quyết rủi ro và cơ hội ISO/IEC 27001:2022 vào tổ chức của bạn như thế nào?

6.1.1 Tổng quát

Khi lập kế hoạch cho hệ thống quản lý an toàn thông tin, tổ chức phải xem xét các vấn đề được đề cập trong 4.1 và các yêu cầu được đề cập trong 4.2, đồng thời xác định các rủi ro và cơ hội cần giải quyết để:
a) đảm bảo hệ thống quản lý an toàn thông tin có thể đạt được (các) kết quả dự kiến;
b) ngăn chặn, hoặc giảm thiểu, các tác động không mong muốn;
c) đạt được cải tiến liên tục. Tổ chức phải lập kế hoạch:
d) các hành động để giải quyết những rủi ro và cơ hội này; Và
e) làm thế nào để
1) tích hợp và triển khai các hành động vào các quy trình của hệ thống quản lý an toàn thông tin; Và
2) đánh giá hiệu quả của những hành động này.

“dịch từ tiêu chuẩn ISO/IEC 27001:2022”

Tóm lại, phần này yêu cầu tổ chức xem xét các rủi ro và cơ hội liên quan đến bảo mật thông tin và lập kế hoạch hành động để giải quyết chúng. Mục đích là để đảm bảo rằng hệ thống quản lý an ninh thông tin có thể đạt được các kết quả dự kiến, ngăn chặn hoặc giảm thiểu các tác động không mong muốn và liên tục cải thiện. Tổ chức cần xác định các rủi ro và cơ hội, lập kế hoạch hành động để giải quyết chúng, tích hợp và triển khai các hành động này vào các quy trình của hệ thống quản lý an ninh thông tin và đánh giá hiệu quả của chúng.

6.1.2 Đánh giá rủi ro an toàn thông tin

Tổ chức phải xác định và áp dụng quy trình đánh giá rủi ro an toàn thông tin để:
a) thiết lập và duy trì các tiêu chí rủi ro an toàn thông tin bao gồm:
1) tiêu chí chấp nhận rủi ro; Và
2) tiêu chí để thực hiện đánh giá rủi ro an toàn thông tin;
b) đảm bảo rằng các đánh giá rủi ro an toàn thông tin lặp đi lặp lại sẽ tạo ra các kết quả nhất quán, hợp lệ và có thể so sánh được;
c) xác định các rủi ro an toàn thông tin:
1) áp dụng quy trình đánh giá rủi ro an toàn thông tin để xác định các rủi ro liên quan đến việc mất tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin trong phạm vi của hệ thống quản lý an toàn thông tin; Và
2) xác định chủ sở hữu rủi ro;

d) phân tích các rủi ro an toàn thông tin:
1) đánh giá các hậu quả tiềm ẩn sẽ xảy ra nếu các rủi ro được xác định trong 6.1.2 c) 1) là
cụ thể hoá;
2) đánh giá khả năng xảy ra thực tế của các rủi ro được xác định trong 6.1.2 c) 1); Và
3) xác định mức độ rủi ro;
e) đánh giá rủi ro an toàn thông tin:
1) so sánh kết quả phân tích rủi ro với tiêu chí rủi ro được thiết lập trong 6.1.2 a); Và
2) ưu tiên các rủi ro được phân tích để xử lý rủi ro.
Tổ chức phải lưu giữ thông tin dạng văn bản về đánh giá rủi ro an toàn thông tin
quá trình.

“dịch từ tiêu chuẩn ISO/IEC 27001:2022”

Đánh giá rủi ro bảo mật thông tin là một quy trình quan trọng đối với một tổ chức để đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin. Để thực hiện điều này, tổ chức nên tuân theo các hướng dẫn nhất định:

a) Thiết lập và duy trì tiêu chí rủi ro an toàn thông tin bao gồm tiêu chí chấp nhận rủi ro và tiêu chí thực hiện đánh giá rủi ro an toàn thông tin.

b) Đảm bảo rằng các đánh giá rủi ro an toàn thông tin lặp đi lặp lại tạo ra các kết quả nhất quán, hợp lệ và có thể so sánh được.

c) Nhận dạng các rủi ro an toàn thông tin bằng cách áp dụng quy trình đánh giá rủi ro an toàn thông tin để xác định các rủi ro liên quan đến việc mất tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin trong phạm vi của hệ thống quản lý an toàn thông tin. Ngoài ra, xác định các chủ sở hữu rủi ro.

d) Phân tích các rủi ro an toàn thông tin bằng cách đánh giá các hậu quả tiềm ẩn sẽ xảy ra nếu rủi ro trở thành hiện thực, đánh giá khả năng thực tế xảy ra rủi ro và xác định các mức độ rủi ro.

e) Đánh giá rủi ro an toàn thông tin bằng cách so sánh kết quả phân tích rủi ro với tiêu chí rủi ro được thiết lập tại (a) và ưu tiên các rủi ro đã phân tích để xử lý rủi ro.

Ngoài ra, tổ chức nên lưu giữ thông tin dạng văn bản về quy trình đánh giá rủi ro an toàn thông tin.

8
Created on By le vantam

Quiz 6.1 Hành động để giải quyết rủi ro và cơ hội ISO/IEC 27001:2022

Đây là các câu trắc nghiệm kiến thức về Hành động để giải quyết rủi ro và cơ hội ISO/IEC 27001:2022

1 / 10

6.1 Kế hoạch giám sát và xem xét rủi ro nên được tiến hành thường xuyên như thế nào?

2 / 10

6.1 Kế hoạch giám sát và xem xét rủi ro là gì?

3 / 10

6.1 Kế hoạch thực hiện xử lý rủi ro là gì?

4 / 10

6.1 Chủ sở hữu rủi ro là gì?

5 / 10

6.1 Các lựa chọn để giải quyết các rủi ro đã xác định trong kế hoạch xử lý rủi ro là gì?

6 / 10

6.1 Kế hoạch xử lý rủi ro là gì?

7 / 10

6.1 Đánh giá rủi ro là gì?

8 / 10

6.1 Cơ hội là gì?

9 / 10

6.1 Rủi ro là gì?

10 / 10

6.1 Mục đích của việc giải quyết các rủi ro và cơ hội trong ISO/IEC 27001:2022 là gì?

Your score is

The average score is 81%

0%

Mẫu quy trình đánh giá rủi ro an ninh thông tin

Dưới đây là một ví dụ về quy trình đánh giá rủi ro bảo mật thông tin:

Thiết lập phạm vi đánh giá rủi ro: Xác định tài sản thông tin, hệ thống và quy trình nào sẽ được đưa vào đánh giá.

Xác định các mối đe dọa: Xác định các mối đe dọa tiềm ẩn đối với tài sản thông tin, hệ thống và quy trình trong phạm vi đánh giá.

Xác định các lỗ hổng: Xác định các điểm yếu trong tài sản thông tin, hệ thống và quy trình có thể bị khai thác bởi các mối đe dọa đã xác định.

Đánh giá khả năng xảy ra và tác động của rủi ro: Ước tính khả năng xảy ra và tác động của các rủi ro liên quan đến từng tổ hợp mối đe dọa và lỗ hổng.

Xác định chủ sở hữu rủi ro: Xác định các cá nhân hoặc nhóm chịu trách nhiệm quản lý rủi ro.

Xác định các phương án xử lý rủi ro: Phát triển và đánh giá các phương án xử lý các rủi ro đã xác định, bao gồm giảm thiểu, chuyển giao, tránh và chấp nhận.

Ưu tiên rủi ro: Ưu tiên các rủi ro dựa trên khả năng xảy ra và tác động của chúng.

Ghi lại quá trình đánh giá rủi ro: Ghi lại toàn bộ quy trình đánh giá rủi ro, bao gồm phạm vi, các mối đe dọa và lỗ hổng đã xác định, kết quả đánh giá rủi ro, các phương án xử lý rủi ro và mức độ ưu tiên rủi ro.

Xem xét và cập nhật đánh giá rủi ro: Thường xuyên xem xét và cập nhật quy trình đánh giá rủi ro để đảm bảo rằng nó vẫn hiệu quả và phù hợp với bối cảnh rủi ro đang thay đổi của tổ chức.

Điều quan trọng cần lưu ý là các thủ tục chính xác có thể khác nhau tùy thuộc vào quy mô, cấu trúc và nhu cầu quản lý rủi ro của tổ chức.

Ví dụ về đánh giá rủi ro bảo mật thông tin

ví dụ chung về đánh giá rủi ro bảo mật thông tin cho một công ty.

Phạm vi: Xác định phạm vi đánh giá rủi ro, bao gồm các tài sản thông tin, hệ thống và quy trình sẽ được đánh giá.

Xác định các mối đe dọa: Xác định các mối đe dọa tiềm ẩn đối với tài sản thông tin, hệ thống và quy trình trong phạm vi đánh giá. Ví dụ về các mối đe dọa có thể bao gồm phần mềm độc hại, tấn công lừa đảo, truy cập trái phép và thiên tai.

Xác định các lỗ hổng: Xác định các điểm yếu trong tài sản thông tin, hệ thống và quy trình có thể bị khai thác bởi các mối đe dọa đã xác định. Ví dụ về các lỗ hổng bảo mật có thể bao gồm phần mềm lỗi thời, mật khẩu yếu, kết nối mạng không an toàn và thiếu đào tạo nâng cao nhận thức về bảo mật cho nhân viên.

Đánh giá khả năng xảy ra và tác động của rủi ro: Ước tính khả năng xảy ra và tác động của các rủi ro liên quan đến từng tổ hợp mối đe dọa và lỗ hổng. Ví dụ: một lỗ hổng có thể bị khai thác bởi một mối đe dọa cụ thể có thể có khả năng xảy ra cao và tác động đáng kể đến hoạt động kinh doanh.

Xác định chủ sở hữu rủi ro: Xác định các cá nhân hoặc nhóm chịu trách nhiệm quản lý rủi ro, chẳng hạn như nhân viên bảo mật CNTT, lãnh đạo đơn vị kinh doanh hoặc nhà cung cấp dịch vụ bên thứ ba.

Xác định các phương án xử lý rủi ro: Phát triển và đánh giá các phương án xử lý các rủi ro đã xác định, chẳng hạn như thực hiện kiểm soát an ninh, tiến hành đào tạo nhân viên hoặc chuyển giao rủi ro thông qua bảo hiểm.

Ưu tiên rủi ro: Ưu tiên các rủi ro dựa trên khả năng xảy ra và tác động của chúng, đồng thời xác định thứ tự giải quyết chúng.

Ghi lại quá trình đánh giá rủi ro: Ghi lại toàn bộ quy trình đánh giá rủi ro, bao gồm phạm vi, các mối đe dọa và lỗ hổng đã xác định, kết quả đánh giá rủi ro, các phương án xử lý rủi ro và mức độ ưu tiên rủi ro.

Xem xét và cập nhật đánh giá rủi ro: Thường xuyên xem xét và cập nhật quy trình đánh giá rủi ro để đảm bảo rằng nó vẫn hiệu quả và phù hợp với bối cảnh rủi ro đang thay đổi của tổ chức.

Điều quan trọng cần lưu ý là đánh giá rủi ro bảo mật thông tin phải là một quy trình liên tục để giúp đảm bảo tài sản thông tin của công ty được bảo vệ trước các mối đe dọa mới và đang nổi lên.

6.1.3 Xử lý rủi ro an toàn thông tin

Tổ chức phải xác định và áp dụng quy trình xử lý rủi ro an toàn thông tin để:
a) lựa chọn các phương án xử lý rủi ro an toàn thông tin thích hợp, có tính đến các kết quả đánh giá rủi ro;
b) xác định tất cả các biện pháp kiểm soát cần thiết để triển khai (các) tùy chọn xử lý rủi ro an toàn thông tin đã chọn;
d) đưa ra Tuyên bố về Khả năng áp dụng có chứa:

  • các kiểm soát cần thiết (xem 6.1.3 b) và c));
  • biện minh cho việc đưa vào;
  • các kiểm soát cần thiết có được thực hiện hay không; Và
  • lý do loại trừ bất kỳ biện pháp kiểm soát nào của Phụ lục A.
  • e) xây dựng kế hoạch xử lý rủi ro an toàn thông tin; Và
    f) có được sự chấp thuận của chủ sở hữu rủi ro đối với kế hoạch xử lý rủi ro an toàn thông tin và chấp nhận các rủi ro an toàn thông tin còn sót lại.
    Tổ chức phải lưu giữ thông tin dạng văn bản về quy trình xử lý rủi ro an toàn thông tin.
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”

Phần 6.1.3 này phác thảo các yêu cầu đối với quy trình xử lý rủi ro bảo mật thông tin. Tổ chức được yêu cầu xác định và áp dụng một quy trình để lựa chọn các phương án xử lý rủi ro thích hợp dựa trên kết quả đánh giá rủi ro. Quá trình cũng nên xác định tất cả các biện pháp kiểm soát cần thiết để thực hiện các phương án xử lý rủi ro đã chọn.

Tổ chức cũng được yêu cầu đưa ra Tuyên bố về khả năng áp dụng (SoA) có chứa các biện pháp kiểm soát cần thiết, lý do đưa vào, cho dù chúng có được triển khai hay không và lý do loại trừ bất kỳ biện pháp kiểm soát nào của Phụ lục A.

Ngoài ra, tổ chức phải xây dựng kế hoạch xử lý rủi ro bảo mật thông tin và nhận được sự chấp thuận của chủ sở hữu rủi ro đối với kế hoạch và chấp nhận các rủi ro còn lại. Cuối cùng, thông tin dạng văn bản về quy trình xử lý rủi ro an toàn thông tin phải được lưu giữ.

Tuyên bố áp dụng SOA là gi?

Tuyên bố về khả năng áp dụng (SoA) là tài liệu cung cấp tổng quan về các biện pháp kiểm soát bảo mật thông tin đã được tổ chức lựa chọn và triển khai như một phần của hệ thống quản lý bảo mật thông tin (ISMS).

SoA thường bao gồm thông tin về các biện pháp kiểm soát bảo mật thông tin cần thiết để quản lý các rủi ro được xác định trong quy trình đánh giá rủi ro. Nó cũng có thể bao gồm các biện pháp kiểm soát từ Phụ lục A của tiêu chuẩn ISO/IEC 27001, cung cấp khuôn khổ cho một bộ kiểm soát toàn diện nhằm giải quyết các rủi ro bảo mật thông tin phổ biến.

SoA phải cung cấp các biện minh cho việc đưa vào từng biện pháp kiểm soát, cũng như mọi loại trừ các biện pháp kiểm soát khỏi Phụ lục A. Ngoài ra, nó phải bao gồm thông tin về việc liệu các biện pháp kiểm soát cần thiết có được triển khai hay không và lý do của bất kỳ trường hợp loại trừ hoặc không triển khai nào.

SoA là một thành phần quan trọng của ISMS, vì nó giúp chứng minh rằng tổ chức đã lựa chọn và triển khai các biện pháp kiểm soát bảo mật thông tin thích hợp để quản lý các rủi ro bảo mật thông tin của mình một cách có hệ thống và có cấu trúc. Nó cũng là một công cụ có giá trị để liên lạc với các bên liên quan, bao gồm kiểm toán viên, cơ quan quản lý và khách hàng, vì nó mang lại sự minh bạch về các nỗ lực quản lý bảo mật thông tin của tổ chức.

Chat Zalo

0813 233 518

You cannot copy content of this page

Gọi để liên lạc ngay