7.3 Nhận thức
Những người làm công việc dưới sự kiểm soát của tổ chức phải nhận thức được:
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
a) chính sách bảo mật thông tin;
b) đóng góp của họ vào hiệu quả của hệ thống quản lý an toàn thông tin, bao gồm các lợi ích của việc cải thiện hiệu suất an toàn thông tin; Và
c) hệ quả của việc không tuân thủ các yêu cầu của hệ thống quản lý an toàn thông tin.
Yêu cầu về nhận thức trong ISO 27001 có nghĩa là mọi người trong tổ chức đóng vai trò trong hệ thống quản lý bảo mật thông tin phải hiểu trách nhiệm của họ và tầm quan trọng của việc tuân thủ các yêu cầu của hệ thống.
Để đạt được điều này, tổ chức nên cung cấp đào tạo nâng cao nhận thức thường xuyên và truyền thông cho tất cả các nhân viên có liên quan, bao gồm nhân viên, nhà thầu và các bên liên quan bên thứ ba.
Việc đào tạo nên bao gồm các chủ đề như chính sách bảo mật thông tin, mục tiêu và chỉ tiêu của tổ chức, vai trò và trách nhiệm của nhân viên, hậu quả tiềm ẩn của việc không tuân thủ và các phương pháp hay nhất để bảo mật thông tin.
Ngoài việc đào tạo, tổ chức cần đảm bảo rằng tất cả nhân viên ký xác nhận rằng họ đã được đào tạo và hiểu vai trò và trách nhiệm của họ liên quan đến hệ thống quản lý an ninh thông tin.
Tổ chức cũng cần đảm bảo rằng tất cả các nhà thầu và các bên liên quan bên thứ ba tham gia vào hệ thống đều được đào tạo nâng cao nhận thức phù hợp và thừa nhận trách nhiệm của họ.
Tài liệu về các buổi đào tạo và xác nhận này phải được lưu giữ làm bằng chứng về việc tuân thủ yêu cầu này.
Ví dụ mẫu quy trình đào tạo theo iso 27001:2022
Đây là một mẫu cho quy trình đào tạo nhân viên:
Mục đích:
Mục đích của quy trình đào tạo này là để đảm bảo rằng tất cả nhân viên được đào tạo về các chính sách và quy trình bảo mật thông tin của tổ chức, hiểu vai trò và trách nhiệm của họ trong việc duy trì bảo mật thông tin và có thể đóng góp vào hiệu quả của hệ thống quản lý bảo mật thông tin.
Phạm vi:
Quy trình đào tạo này áp dụng cho tất cả nhân viên và nhà thầu có quyền truy cập vào tài sản thông tin của tổ chức.
Phân tích nhu cầu đào tạo:
Tổ chức phải tiến hành phân tích nhu cầu đào tạo để xác định việc đào tạo cần thiết cho từng nhân viên dựa trên trách nhiệm công việc của họ.
Kế hoạch đào tạo:
Dựa trên phân tích nhu cầu đào tạo, tổ chức phải xây dựng kế hoạch đào tạo bao gồm các nội dung sau:
Mục tiêu đào tạo
Nội dung đào tạo
Phương pháp đào tạo
lịch đào tạo
nguồn đào tạo
Tiêu chí đánh giá đào tạo
Tổ chức đào tạo:
Tổ chức phải cung cấp đào tạo cho tất cả nhân viên và nhà thầu yêu cầu nó. Các phương pháp đào tạo có thể bao gồm:
Phòng huấn luyện
học phần điện tử
Đào tạo tại chỗ
Hội thảo
Hộp thảo trực tuyến
Đánh giá đào tạo:
Tổ chức phải đánh giá hiệu quả của việc đào tạo bằng cách sử dụng các tiêu chí đánh giá được thiết lập trong kế hoạch đào tạo. Các phương pháp đánh giá có thể bao gồm:
Bài kiểm tra và câu hỏi
Quan sát
Phản hồi từ nhân viên và giảng viên
Các số liệu như sự tuân thủ của nhân viên và tỷ lệ sự cố
Hồ sơ đào tạo:
Tổ chức phải lưu giữ hồ sơ về tất cả các hoạt động đào tạo nhân viên, bao gồm:
Tên nhân viên
Ngày đào tạo
Nội dung đào tạo
Phương pháp phân phối đào tạo
Kết quả đánh giá đào tạo
Đánh giá và cập nhật:
Tổ chức phải xem xét và cập nhật quy trình đào tạo khi cần thiết để đảm bảo nó vẫn hiệu quả và phù hợp với hệ thống quản lý an ninh thông tin của tổ chức.
Vai trò và trách nhiệm:
Vai trò và trách nhiệm thực hiện quy trình đào tạo này như sau:
Quản lý: Chịu trách nhiệm phê duyệt kế hoạch đào tạo và đảm bảo rằng các nguồn lực luôn sẵn sàng để thực hiện đào tạo.
Nhân sự: Chịu trách nhiệm tiến hành phân tích nhu cầu đào tạo, lên lịch và điều phối việc thực hiện đào tạo cũng như duy trì hồ sơ đào tạo.
Giảng viên: Chịu trách nhiệm tổ chức đào tạo và đánh giá hiệu quả đào tạo.
Nhân viên: Chịu trách nhiệm tham gia khóa đào tạo bắt buộc và áp dụng các kiến thức và kỹ năng thu được từ khóa đào tạo vào công việc của họ.
Tài liệu:
Quy trình đào tạo này phải được lập thành văn bản và cung cấp cho tất cả nhân viên và nhà thầu yêu cầu.
Ví dụ về kế hoạch đào tạo ISMS
Dưới đây là ví dụ về kế hoạch đào tạo Hệ thống quản lý bảo mật thông tin (ISMS) hàng năm:
Giới thiệu về ISMS (đào tạo bắt buộc cho tất cả nhân viên) – 1 giờ
Nhận thức cơ bản về bảo mật thông tin – 2 giờ
Xử lý thông tin bí mật – 1 giờ
Quản lý và bảo mật mật khẩu – 1 giờ
An ninh vật lý – 1 giờ
Báo cáo và quản lý sự cố – 1 giờ
Quản lý bên thứ ba và rủi ro – 1 giờ
Lập kế hoạch kinh doanh liên tục và khắc phục thảm họa – 2 giờ
Đào tạo theo vai trò cụ thể (CNTT, Nhân sự, Vận hành, v.v.) – 2 giờ
Kế hoạch bao gồm đào tạo bắt buộc cho tất cả nhân viên, cũng như đào tạo cụ thể cho nhân viên về CNTT, Nhân sự và vận hành. Kế hoạch bao gồm các khía cạnh khác nhau của bảo mật thông tin, bao gồm xử lý thông tin bí mật, bảo mật vật lý, báo cáo và quản lý sự cố. Nó cũng bao gồm đào tạo về lập kế hoạch kinh doanh liên tục và khắc phục thảm họa, cũng như quản lý và rủi ro của bên thứ ba.
Kế hoạch đào tạo được thiết kế để thực hiện trong suốt một năm, với mỗi buổi đào tạo kéo dài từ 1-2 giờ. Việc đào tạo có thể được thực hiện thông qua sự kết hợp giữa các buổi đào tạo trực tiếp và trực tuyến, và nhân viên được yêu cầu hoàn thành tất cả các buổi đào tạo trong khung thời gian được chỉ định.