b) thông tin dạng văn bản được tổ chức xác định là cần thiết cho hiệu lực của hệ thống quản lý an toàn thông tin. LƯU Ý Phạm vi thông tin dạng văn bản đối với hệ thống quản lý an toàn thông tin có thể khác nhau giữa các tổ chức do: 1) quy mô của tổ chức và loại hình hoạt động, quy trình, sản phẩm và dịch vụ của tổ chức; 2) mức độ phức tạp của các quy trình và sự tương tác giữa chúng; Và 3) năng lực của con người.
7.5.2 Tạo và cập nhật Khi tạo và cập nhật thông tin dạng văn bản, tổ chức phải đảm bảo phù hợp: a) nhận dạng và mô tả (ví dụ: tiêu đề, ngày tháng, tác giả hoặc số tham chiếu); b) định dạng (ví dụ: ngôn ngữ, phiên bản phần mềm, đồ họa) và phương tiện (ví dụ: giấy, điện tử); Và c) xem xét và phê duyệt tính phù hợp và thỏa đáng.
7.5.3 Kiểm soát thông tin dạng văn bản Thông tin dạng văn bản theo yêu cầu của hệ thống quản lý an toàn thông tin và theo tài liệu này sẽ được kiểm soát để đảm bảo: a) sẵn có và phù hợp để sử dụng, ở đâu và khi nào cần thiết; Và b) nó được bảo vệ đầy đủ (ví dụ: khỏi mất bí mật, sử dụng không đúng cách hoặc mất tính toàn vẹn). Đối với việc kiểm soát thông tin dạng văn bản, tổ chức phải giải quyết các hoạt động sau, khi thích hợp: c) phân phối, truy cập, truy xuất và sử dụng; d) lưu trữ và bảo quản, bao gồm cả việc bảo quản tính dễ đọc; e) kiểm soát các thay đổi (ví dụ: kiểm soát phiên bản); và f) lưu giữ và định đoạt. Thông tin dạng văn bản có nguồn gốc bên ngoài, được tổ chức xác định là cần thiết cho việc lập kế hoạch và vận hành hệ thống quản lý an toàn thông tin, phải được xác định khi thích hợp và được kiểm soát.
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
Mục 7.5 của ISO 27001:2013 nhấn mạnh tầm quan trọng của thông tin dạng văn bản trong hệ thống quản lý bảo mật thông tin (ISMS) của tổ chức. Tổ chức phải bao gồm thông tin dạng văn bản theo yêu cầu của tiêu chuẩn và bất kỳ thông tin nào khác mà tổ chức xác định là cần thiết cho hiệu quả của ISMS. Mức độ thông tin dạng văn bản sẽ khác nhau dựa trên quy mô, độ phức tạp và năng lực của tổ chức. Thông tin dạng văn bản phải được xác định, mô tả, định dạng và xem xét phù hợp về tính phù hợp và đầy đủ. Tổ chức phải kiểm soát thông tin dạng văn bản để đảm bảo thông tin luôn sẵn có và phù hợp để sử dụng khi nào và ở đâu cần thiết, và thông tin đó được bảo vệ đầy đủ khỏi việc mất tính bảo mật, sử dụng không đúng cách hoặc mất tính toàn vẹn. Việc kiểm soát này bao gồm các hoạt động như phân phối, truy cập, truy xuất, lưu trữ và bảo quản, kiểm soát các thay đổi, lưu giữ và bố trí. Tổ chức cũng phải xác định và kiểm soát thông tin dạng văn bản có nguồn gốc bên ngoài cần thiết cho việc lập kế hoạch và vận hành ISMS.
3
Ví dụ mẫu quy trình 7.5 Thông tin dạng văn bản theo iso 27001:2022
Đây là một mẫu quy trình quản lý thông tin dạng văn bản:
Mục đích: Mục đích của quy trình này là thiết lập các yêu cầu để tạo, cập nhật, kiểm soát và duy trì thông tin được tài liệu hóa trong hệ thống quản lý an ninh thông tin (ISMS) của tổ chức.
Phạm vi: Quy trình này áp dụng cho tất cả các thông tin được tài liệu hóa được yêu cầu bởi ISMS và tiêu chuẩn ISO 27001: 2013, cũng như bất kỳ thông tin được tài liệu hóa bổ sung nào được quyết định bởi tổ chức là cần thiết cho hiệu quả của ISMS.
Trách nhiệm:
Nhóm quản lý an ninh thông tin chịu trách nhiệm xác định thông tin được tài liệu hóa cần thiết bởi ISMS, cũng như bất kỳ thông tin được tài liệu hóa bổ sung nào cần thiết để hỗ trợ hệ thống. Chủ sở hữu của mỗi thông tin được tài liệu hóa chịu trách nhiệm tạo, cập nhật và kiểm soát tài liệu tương ứng của họ. Người phối hợp ISMS chịu trách nhiệm đảm bảo rằng thông tin được tài liệu hóa được bảo vệ đầy đủ, sẵn sàng và phù hợp để sử dụng.
Quy trình:
4.1 Tạo và Cập Nhật Thông Tin Được Tài Liệu Hóa
4.1.1 Xác định và Miêu tả: Thông tin được tài liệu hóa phải được xác định bằng một tiêu đề duy nhất, ngày tháng, tác giả hoặc số tham chiếu và nên được miêu tả một cách rõ ràng và dễ hiểu.
4.1.2 Định dạng và Phương tiện: Thông tin được tài liệu hóa nên được tạo và lưu trữ trong một định dạng và phương tiện phù hợp cho việc sử dụng dự kiến của nó, đảm bảo tính toàn vẹn, sẵn sàng và độ rõ nét. Các tài liệu điện tử nên được bảo vệ khỏi truy cập, sửa đổi hoặc xóa không được ủy quyền.
4.1.3 Xem xét và Phê duyệt: Tất cả các thông tin được tài liệu hóa phải được xem xét và phê duyệt để đảm bảo tính phù hợp và đầy đủ trước khi phát hành hoặc cập nhật
4.2 Quản lý thông tin đã được tài liệu hóa 4.2.1 Sẵn có và phù hợp: Thông tin đã được tài liệu hóa phải sẵn có và phù hợp để sử dụng khi và nơi nào cần thiết, và phải được bảo vệ chống lại mất bí mật, sử dụng sai hoặc mất tính toàn vẹn.
4.2.2 Phân phối, truy cập, lấy lại và sử dụng: Thông tin đã được tài liệu hóa chỉ được phân phối, truy cập, lấy lại và sử dụng bởi nhân viên được ủy quyền. Kiểm soát truy cập phải được thực hiện để ngăn chặn truy cập trái phép vào thông tin đã được tài liệu hóa.
4.2.3 Lưu trữ và bảo quản: Thông tin đã được tài liệu hóa phải được lưu trữ và bảo quản sao cho ngăn ngừa hư hỏng, suy giảm hoặc mất tính đọc được. Các tài liệu điện tử phải được bảo vệ khỏi sự cố kỹ thuật, lỗi dữ liệu hoặc xóa không được ủy quyền.
4.2.4 Kiểm soát các thay đổi: Các thay đổi đối với thông tin đã được tài liệu hóa phải được kiểm soát thông qua quy trình quản lý thay đổi tài liệu đã được tài liệu hóa. Các thay đổi phải được xem xét, phê duyệt và thông báo cho nhân viên liên quan trước khi triển khai.
4.2.5 Giữ và thanh lý: Thông tin đã được tài liệu hóa phải được giữ trong một khoảng thời gian được xác định bởi các yêu cầu pháp lý, hợp đồng hoặc kinh doanh. Khi các tài liệu không còn cần thiết nữa, chúng phải được thanh lý một cách an toàn.
4.2.6 Thông tin đã được tài liệu hóa từ nguồn bên ngoài: Thông tin đã được tài liệu hóa từ nguồn bên ngoài cần thiết cho việc lập kế hoạch và vận hành của hệ thống quản lý an ninh thông tin (ISMS) phải được xác định, kiểm soát và xem xét tính phù hợp và đầy đủ của nó.
Hồ sơ: Hồ sơ về việc tạo, cập nhật, phân phối, truy cập, tìm kiếm, sử dụng, lưu trữ, bảo quản, thay đổi, giữ lại và bố trí của thông tin được tài liệu hóa sẽ được duy trì như bằng chứng cho sự phù hợp với thủ tục này.
Đào tạo: Sẽ cung cấp đào tạo về thủ tục này cho tất cả nhân viên liên quan để đảm bảo họ hiểu và tuân thủ các yêu cầu của thông tin được tài liệu hóa trong ISMS.
Đánh giá và cải tiến: Thủ tục này sẽ được đánh giá định kỳ bởi nhóm quản lý an ninh thông tin để đảm bảo tính phù hợp, đầy đủ và hiệu quả tiếp tục. Những cải tiến sẽ được thực hiện khi cần thiết để giải quyết bất kỳ phi phù hợp nào hoặc để tăng cường hiệu quả của ISMS.
Danh sách một số chính sách, quy trình cần thiết trong hệ thống quản lý an ninh thông tin ISMS
Một Hệ thống Quản lý An ninh Thông tin (ISMS) là một khung chính sách và thủ tục để quản lý thông tin nhạy cảm của công ty để đảm bảo tính bảo mật, toàn vẹn và sẵn có của thông tin. Một số chính sách và thủ tục có thể được bao gồm trong một ISMS là:
Chính sách An ninh Thông tin – Một tài liệu chính sách mô tả cách tiếp cận của tổ chức đối với quản lý an ninh thông tin và thiết lập các nguyên tắc, hướng dẫn và mục tiêu của ISMS.
Chính sách Kiểm soát Truy cập – Một tài liệu chính sách mô tả các thủ tục và điều khiển để cấp quyền truy cập vào hệ thống thông tin, ứng dụng và dữ liệu.
Chính sách Đánh giá và Quản lý Rủi ro – Một tài liệu chính sách mô tả các thủ tục và điều khiển để xác định, đánh giá và quản lý các rủi ro an ninh thông tin.
Chính sách Quản lý Sự cố – Một tài liệu chính sách mô tả các thủ tục để quản lý và đáp ứng với các sự cố an ninh thông tin.
Chính sách Liên tục kinh doanh và Phục hồi sau Thảm họa – Một tài liệu chính sách mô tả các thủ tục để duy trì tính sẵn có của hệ thống và dữ liệu quan trọng trong trường hợp xảy ra thảm họa hoặc sự kiện làm đảo lộn hoạt động.
Chính sách An ninh Mạng – Một tài liệu chính sách mô tả các thủ tục và điều khiển để bảo vệ cơ sở hạ tầng mạng của tổ chức và ngăn chặn truy cập trái phép.
Chính sách An ninh Vật lý – Một tài liệu chính sách mô tả các thủ tục và điều khiển để bảo vệ tài sản, tài nguyên và nguồn lực vật lý của tổ chức.
Chính sách Phân loại và Xử lý Thông tin – Một tài liệu chính sách mô tả các thủ tục để phân loại và xử lý thông tin nhạy cảm và bảo mật.
Chính sách Tuân thủ và Quy định – Một tài liệu chính sách mô tả các thủ tục để đảm bảo tuân thủ với các luật, quy định và tiêu chuẩn
Chính sách Quản lý Bên thứ ba – Tài liệu chính sách mô tả các thủ tục quản lý nhà cung cấp bên thứ ba và nhà cung cấp dịch vụ có quyền truy cập vào hệ thống và dữ liệu của tổ chức.
Chính sách Bảo vệ và Bảo mật Dữ liệu – Tài liệu chính sách mô tả các thủ tục và điều khiển để bảo vệ dữ liệu cá nhân và đảm bảo tuân thủ các quy định về bảo vệ và bảo mật dữ liệu.
Chính sách Nhận thức và Đào tạo An ninh – Tài liệu chính sách mô tả các thủ tục để giáo dục nhân viên về các phương pháp an ninh thông tin tốt nhất và đảm bảo rằng họ hiểu rõ vai trò và trách nhiệm của mình.
Chính sách Kiểm toán và Giám sát – Tài liệu chính sách mô tả các thủ tục và điều khiển để giám sát và kiểm toán hệ thống thông tin và dữ liệu của tổ chức để phát hiện và ngăn chặn các vi phạm bảo mật.
Kế hoạch Phản ứng sự cố – Một kế hoạch chi tiết mô tả các thủ tục để phản ứng với sự cố bảo mật, bao gồm việc xác định sự cố, kiểm soát, điều tra và khôi phục.
Kế hoạch Phục hồi sau Thảm họa – Một kế hoạch chi tiết mô tả các thủ tục để phục hồi các hệ thống và dữ liệu quan trọng trong trường hợp xảy ra thảm họa hoặc sự cố gây mất ổn định khác.
Những chính sách và thủ tục này cần được định kỳ xem lại và cập nhật để đảm bảo tính phù hợp, đầy đủ và hiệu quả của chúng.