6.2 Mục tiêu an toàn thông tin và lập kế hoạch để đạt được chúng
Tổ chức phải thiết lập các mục tiêu an toàn thông tin ở các chức năng và cấp độ liên quan. Các mục tiêu an toàn thông tin sẽ:
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
a) nhất quán với chính sách bảo mật thông tin;
b) đo lường được (nếu có thể thực hiện được);
c) tính đến các yêu cầu an toàn thông tin hiện hành và kết quả từ việc đánh giá rủi ro và xử lý rủi ro;
d) được giám sát;
e) được truyền đạt;
f) được cập nhật khi thích hợp;
g) sẵn có dưới dạng thông tin dạng văn bản.
Tổ chức phải lưu giữ thông tin dạng văn bản về các mục tiêu an toàn thông tin. Khi lập kế hoạch làm thế nào để đạt được các mục tiêu an toàn thông tin của mình, tổ chức phải xác định:
h) những gì sẽ được thực hiện;
i) nguồn lực nào sẽ được yêu cầu;
j) ai sẽ chịu trách nhiệm;
k) khi nào nó sẽ được hoàn thành; Và
l) kết quả sẽ được đánh giá như thế nào.
Mục 6.2 của tiêu chuẩn ISO/IEC 27001 yêu cầu tổ chức thiết lập các mục tiêu bảo mật thông tin ở các chức năng và cấp độ liên quan. Các mục tiêu này phải nhất quán với chính sách bảo mật thông tin, có thể đo lường được (nếu có thể thực hiện được), có tính đến các yêu cầu bảo mật thông tin hiện hành và kết quả từ việc đánh giá rủi ro và xử lý rủi ro.
Tổ chức cũng phải theo dõi, truyền đạt và cập nhật các mục tiêu này khi thích hợp và chúng phải sẵn có dưới dạng thông tin được lập thành văn bản. Tổ chức phải lưu giữ thông tin dạng văn bản về các mục tiêu an toàn thông tin.
Khi lập kế hoạch làm thế nào để đạt được các mục tiêu an toàn thông tin, tổ chức phải xác định những gì sẽ được thực hiện, những nguồn lực nào sẽ được yêu cầu, ai sẽ chịu trách nhiệm, khi nào hoàn thành và kết quả sẽ được đánh giá như thế nào. Điều này đảm bảo rằng tổ chức có một cách tiếp cận có cấu trúc để đạt được các mục tiêu bảo mật thông tin của mình và có thể theo dõi tiến trình đạt được các mục tiêu đó.
Cách thiết lập các mục tiêu bảo mật thông tin và lập kế hoạch để đạt được chúng
Dưới đây là một số bước để thiết lập các mục tiêu bảo mật thông tin và lập kế hoạch để đạt được chúng:
Xác định các mục tiêu bảo mật thông tin: Bước đầu tiên là xác định các mục tiêu bảo mật thông tin mà tổ chức muốn đạt được. Các mục tiêu này phải cụ thể, có thể đo lường được, có thể đạt được, có liên quan và có thời hạn (SMART). Chúng cũng phải phù hợp với các mục tiêu kinh doanh tổng thể của tổ chức và tính đến kết quả của quá trình đánh giá rủi ro và xử lý rủi ro.
Giao trách nhiệm: Khi các mục tiêu đã được xác định, hãy giao trách nhiệm đạt được chúng cho các cá nhân hoặc nhóm cụ thể trong tổ chức. Điều này giúp đảm bảo trách nhiệm giải trình và tạo điều kiện lập kế hoạch và thực hiện hiệu quả.
Xác định tài nguyên cần thiết: Xác định các tài nguyên cần thiết để đạt được các mục tiêu bảo mật thông tin. Điều này có thể bao gồm nguồn lực tài chính, nguồn nhân lực, nguồn lực công nghệ và các tài sản cần thiết khác.
Xây dựng kế hoạch hành động: Xây dựng kế hoạch hành động chi tiết vạch ra các bước cụ thể cần thực hiện để đạt được từng mục tiêu. Kế hoạch nên bao gồm các mốc thời gian, cột mốc và điểm kiểm tra để theo dõi tiến độ và đảm bảo rằng các mục tiêu đạt được trong khung thời gian đã chỉ định.
Theo dõi tiến độ: Thường xuyên theo dõi tiến độ đạt được các mục tiêu và điều chỉnh kế hoạch hành động khi cần thiết để đi đúng hướng. Điều này có thể liên quan đến việc tiến hành xem xét, kiểm tra hoặc đánh giá định kỳ để đo lường tiến độ và xác định bất kỳ lỗ hổng hoặc lĩnh vực nào cần cải thiện.
Đánh giá kết quả: Khi các mục tiêu đã đạt được, hãy đánh giá các kết quả để xác định xem chúng có đạt được hay không và liệu các kết quả mong muốn có đạt được hay không. Điều này giúp đảm bảo rằng các mục tiêu bảo mật thông tin phù hợp với các mục tiêu tổng thể của tổ chức và có thể giúp cung cấp thông tin cho các nỗ lực lập kế hoạch trong tương lai.
Bằng cách làm theo các bước này, các tổ chức có thể thiết lập các mục tiêu bảo mật thông tin hiệu quả và lập kế hoạch để đạt được các mục tiêu đó một cách có cấu trúc và có tổ chức. Điều này có thể giúp cải thiện tình trạng bảo mật tổng thể của tổ chức và giảm nguy cơ xảy ra sự cố hoặc vi phạm bảo mật.
Ví dụ về mục tiêu bảo mật thông tin
Dưới đây là một ví dụ về các mục tiêu bảo mật thông tin và lập kế hoạch để đạt được chúng:
Mục tiêu: Để cải thiện tính bảo mật của dữ liệu khách hàng của chúng tôi bằng cách triển khai các biện pháp kiểm soát truy cập mạnh mẽ hơn.
Xác định mục tiêu bảo mật thông tin: Mục tiêu là cải thiện tính bảo mật của dữ liệu khách hàng bằng cách triển khai các biện pháp kiểm soát truy cập mạnh mẽ hơn. Cụ thể, chúng tôi muốn giảm rủi ro truy cập trái phép vào thông tin nhạy cảm của khách hàng.
Chỉ định trách nhiệm: Giám đốc an ninh thông tin (CISO) sẽ chịu trách nhiệm giám sát việc triển khai các biện pháp kiểm soát truy cập mạnh mẽ hơn.
Xác định nguồn lực cần thiết: Dự án sẽ yêu cầu mua và cài đặt phần mềm kiểm soát truy cập mới, cũng như đào tạo cho nhân viên về cách sử dụng phần mềm.
Xây dựng một kế hoạch hành động:
Tiến hành đánh giá rủi ro để xác định các khu vực kiểm soát truy cập yếu.
Xác định phần mềm và nhà cung cấp kiểm soát truy cập phù hợp.
Xây dựng lịch trình triển khai phần mềm kiểm soát truy cập mới.
Lên lịch các buổi đào tạo cho nhân viên về cách sử dụng phần mềm mới.
Thực hiện đánh giá sau khi triển khai để đảm bảo rằng các biện pháp kiểm soát truy cập mới đang hoạt động hiệu quả.
Giám sát tiến độ: CISO sẽ tiến hành đánh giá tiến độ thường xuyên để đảm bảo rằng dự án đang đi đúng hướng và các mốc quan trọng đang được đáp ứng.
Đánh giá kết quả: Sau khi dự án hoàn thành, hiệu quả của các biện pháp kiểm soát truy cập mới sẽ được đánh giá để đảm bảo rằng các mục tiêu đã được đáp ứng. Điều này sẽ liên quan đến việc xem xét nhật ký truy cập để đảm bảo rằng không có nỗ lực truy cập trái phép nào và tiến hành khảo sát nhân viên để đánh giá mức độ hài lòng của họ với phần mềm kiểm soát truy cập mới.
Bằng cách tuân theo kế hoạch này, tổ chức có thể cải thiện tính bảo mật của dữ liệu khách hàng bằng cách triển khai các biện pháp kiểm soát truy cập mạnh mẽ hơn. Điều này sẽ giúp giảm nguy cơ truy cập trái phép và cải thiện tình trạng bảo mật tổng thể của tổ chức.