Mục lục
7.2 Năng lực
Tổ chức sẽ:
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
a) xác định năng lực cần thiết của (những) người thực hiện công việc dưới sự kiểm soát của mình có ảnh hưởng đến hiệu suất an toàn thông tin của mình;
b) đảm bảo rằng những người này có năng lực trên cơ sở giáo dục, đào tạo hoặc kinh nghiệm phù hợp;
c) khi thích hợp, thực hiện các hành động để đạt được năng lực cần thiết và đánh giá hiệu quả của các hành động được thực hiện; Và
d) lưu giữ thông tin dạng văn bản thích hợp làm bằng chứng về năng lực.
Các yêu cầu chính của 7.2 Năng lực là:
a) Xác định năng lực cần thiết: Tổ chức phải xác định các năng lực cần thiết cho nhân sự thực hiện các nhiệm vụ có ảnh hưởng đến hiệu suất an toàn thông tin.
b) Đảm bảo năng lực: Tổ chức phải đảm bảo rằng nhân sự có năng lực dựa trên giáo dục, đào tạo hoặc kinh nghiệm thích hợp. Điều này có thể đạt được thông qua đánh giá, phỏng vấn hoặc các phương tiện khác.
c) Thực hiện hành động: Nếu có bất kỳ lỗ hổng nào về năng lực, tổ chức phải thực hiện hành động để đạt được các năng lực cần thiết thông qua đào tạo, tuyển dụng hoặc các biện pháp khác. Hiệu quả của những hành động này phải được đánh giá.
d) Bằng chứng về năng lực dạng văn bản: Tổ chức phải lưu giữ thông tin dạng văn bản thích hợp làm bằng chứng về năng lực của nhân sự.
Ví dụ về các hành động có thể được thực hiện để đảm bảo năng lực của nhân sự bao gồm:
Xây dựng và cung cấp các chương trình đào tạo cho nhân sự
Tuyển dụng nhân sự có kinh nghiệm và trình độ phù hợp
Tổ chức đánh giá năng lực thường xuyên
Cung cấp quyền truy cập vào các tài nguyên và công cụ có liên quan để hỗ trợ quá trình học tập và phát triển liên tục
Khuyến khích tham gia vào các cơ hội phát triển nghề nghiệp có liên quan
Bằng chứng tài liệu về năng lực có thể bao gồm:
Sơ yếu lý lịch hoặc CV
Chứng chỉ hoặc văn bằng
Hồ sơ về các hoạt động đào tạo hoặc phát triển chuyên môn đã hoàn thành
Đánh giá hiệu suất và phản hồi
Hồ sơ đánh giá hoặc kiểm tra đã hoàn thành
Ví dụ về năng lực cần thiết của CISO?
CISO (Giám đốc An ninh Thông tin) là giám đốc điều hành cấp cao chịu trách nhiệm giám sát chương trình bảo mật thông tin của một tổ chức. CISO cần có hiểu biết vững chắc về các mục tiêu kinh doanh, cơ sở hạ tầng CNTT của tổ chức và các rủi ro liên quan đến hoạt động của tổ chức. CISO cần có các năng lực sau:
Chuyên môn kỹ thuật: CISO cần có hiểu biết sâu sắc về các công nghệ, tiêu chuẩn và thông lệ bảo mật thông tin. Điều này bao gồm kiến thức chuyên môn về quản lý rủi ro an ninh mạng, an ninh mạng, bảo mật ứng dụng và bảo vệ dữ liệu.
Sự nhạy bén trong kinh doanh: CISO phải có sự nhạy bén trong kinh doanh, hiểu rõ các mục tiêu chiến lược của tổ chức và cách chúng liên quan đến bảo mật thông tin. Điều này sẽ cho phép CISO điều chỉnh chương trình bảo mật của tổ chức với các mục tiêu và mục tiêu kinh doanh của tổ chức.
Kỹ năng lãnh đạo và giao tiếp: CISO cần có kỹ năng lãnh đạo và giao tiếp tốt. Điều này bao gồm khả năng trình bày rõ ràng các khái niệm bảo mật phức tạp cho các bên liên quan phi kỹ thuật cũng như khả năng gây ảnh hưởng và thúc đẩy các nhóm đạt được các mục tiêu bảo mật.
Quản lý rủi ro: CISO cần có hiểu biết sâu sắc về các nguyên tắc và thông lệ quản lý rủi ro. Điều này bao gồm khả năng đánh giá rủi ro, phát triển các chiến lược quản lý rủi ro và truyền đạt rủi ro cho nhóm điều hành.
Tuân thủ: CISO cần hiểu rõ về các yêu cầu tuân thủ và quy định có liên quan, chẳng hạn như GDPR, HIPAA và PCI-DSS. CISO có thể đảm bảo rằng tổ chức tuân thủ tất cả các quy định và tiêu chuẩn có liên quan.
Không ngừng học hỏi: CISO cần có cam kết không ngừng học hỏi và phát triển chuyên môn. Điều này bao gồm việc luôn cập nhật các mối đe dọa mới nổi, công nghệ và các biện pháp bảo mật tốt nhất.
Cán bộ nhân sự có năng lực gì về an toàn thông tin?
Là một nhân viên nhân sự, sau đây là một số ví dụ về năng lực mà bạn có thể cần liên quan đến bảo mật thông tin:
- Kiến thức về các luật và quy định liên quan đến bảo mật và quyền riêng tư của thông tin, chẳng hạn như GDPR, CCPA, HIPAA, v.v.
- Hiểu biết về các tiêu chuẩn và thực tiễn tốt nhất về bảo mật thông tin, chẳng hạn như ISO 27001, NIST và Kiểm soát CIS.
- Khả năng phát triển và triển khai các chính sách và quy trình bảo mật phù hợp với các mục tiêu bảo mật thông tin của tổ chức.
- Làm quen với các công cụ và công nghệ bảo mật, chẳng hạn như tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập cũng như phần mềm chống vi-rút.
- Khả năng tiến hành đào tạo nâng cao nhận thức về bảo mật cho nhân viên và nhà thầu để thúc đẩy các hoạt động bảo mật tốt.
- Kiến thức về các quy trình ứng phó sự cố và khả năng lãnh đạo các nỗ lực ứng phó sự cố trong trường hợp vi phạm an ninh.
- Hiểu biết về các quy trình quản lý và đánh giá rủi ro để xác định và giảm thiểu các rủi ro bảo mật tiềm ẩn.
- Cộng tác với các bên liên quan khác, chẳng hạn như các nhóm CNTT, pháp lý và tuân thủ, để đảm bảo rằng các chính sách và quy trình bảo mật thông tin có hiệu quả và đáp ứng các yêu cầu quy định.
Đây chỉ là một số ví dụ về năng lực mà một nhân viên nhân sự có thể cần phải có liên quan đến bảo mật thông tin. Các năng lực cụ thể có thể khác nhau tùy thuộc vào quy mô, ngành và tình hình bảo mật của tổ chức.
Cán bộ CNTT cần năng lực An toàn thông tin gì?
Cán bộ CNTT chịu trách nhiệm đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng của tài sản thông tin của tổ chức. Họ phải có năng lực cần thiết để thực hiện các nhiệm vụ sau:
An ninh mạng: Họ phải có kiến thức về các giao thức mạng, tường lửa, hệ thống phát hiện xâm nhập và các biện pháp bảo mật khác để đảm bảo an ninh cho mạng của tổ chức.
Bảo mật hệ thống: Họ phải làm quen với bảo mật hệ điều hành, bảo mật phần mềm và các biện pháp bảo mật khác để đảm bảo an ninh cho các hệ thống của tổ chức.
Bảo mật dữ liệu: Họ có thể triển khai các chính sách kiểm soát truy cập, mã hóa và các biện pháp khác để đảm bảo tính bảo mật và toàn vẹn của dữ liệu của tổ chức.
Ứng phó sự cố: Họ sẽ có thể phát triển và triển khai kế hoạch ứng phó sự cố để ứng phó nhanh chóng và hiệu quả với bất kỳ sự cố bảo mật nào.
Nhận thức về bảo mật: Họ có thể phát triển và cung cấp khóa đào tạo nhận thức về bảo mật cho nhân viên, để đảm bảo rằng họ hiểu vai trò và trách nhiệm của mình trong việc duy trì bảo mật thông tin.
Tuân thủ: Họ phải quen thuộc với các luật, quy định và tiêu chuẩn ngành liên quan đến bảo mật thông tin và đảm bảo rằng tổ chức tuân thủ chúng.
Nhìn chung, nhân viên CNTT cần có sự kết hợp giữa kiến thức kỹ thuật, chuyên môn bảo mật và sự nhạy bén trong kinh doanh để quản lý hiệu quả các rủi ro bảo mật thông tin trong tổ chức.