8.1 Lập kế hoạch và kiểm tra giám sát tác nghiệp
Tổ chức phải lập kế hoạch, thực hiện và kiểm soát các quá trình cần thiết để đáp ứng các yêu cầu và để thực hiện các hành động được xác định trong Điều 6, bằng cách:
- thiết lập tiêu chí cho các quá trình;
- thực hiện kiểm soát các quá trình phù hợp với các tiêu chí.
Thông tin dạng văn bản phải sẵn có ở mức độ cần thiết để tin tưởng rằng các quá trình đã được thực hiện theo kế hoạch.Tổ chức phải kiểm soát các thay đổi đã hoạch định và xem xét các hậu quả của những thay đổi ngoài ý muốn, thực hiện hành động để giảm thiểu mọi tác động bất lợi, nếu cần.
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
Tổ chức phải đảm bảo rằng các quy trình, sản phẩm hoặc dịch vụ do bên ngoài cung cấp có liên quan đến hệ thống quản lý an toàn thông tin được kiểm soát.
Điều khoản này yêu cầu tổ chức lập kế hoạch, triển khai và kiểm soát các quy trình hoạt động của mình để đáp ứng các yêu cầu của hệ thống quản lý an ninh thông tin (ISMS) và các hành động được xác định trong Điều khoản 6, trong đó nêu rõ quy trình lập kế hoạch. Điều này liên quan đến việc thiết lập các tiêu chí cho các quy trình và thực hiện kiểm soát các quy trình theo các tiêu chí đó. Tổ chức cũng phải đảm bảo rằng thông tin dạng văn bản luôn sẵn có để xác minh rằng các quá trình đã được thực hiện theo kế hoạch.
Ngoài ra, tổ chức phải kiểm soát các thay đổi theo kế hoạch đối với ISMS và xem xét hậu quả của những thay đổi ngoài ý muốn, thực hiện các hành động cần thiết để giảm thiểu mọi tác động bất lợi. Điều này nhấn mạnh tầm quan trọng của việc giám sát bất kỳ thay đổi nào có thể ảnh hưởng đến hiệu quả của ISMS.
Cuối cùng, tổ chức phải đảm bảo rằng mọi quy trình, sản phẩm hoặc dịch vụ do bên ngoài cung cấp có liên quan đến ISMS đều được kiểm soát. Điều này bao gồm đảm bảo rằng các nhà cung cấp dịch vụ và nhà cung cấp bên thứ ba đáp ứng các yêu cầu bảo mật cần thiết và tuân thủ các chính sách và thủ tục của tổ chức.
Một ví dụ về 8.1 Lập kế hoạch và kiểm soát hoạt động có thể là một tổ chức triển khai một hệ thống phần mềm mới sẽ xử lý dữ liệu nhạy cảm của khách hàng. Tổ chức sẽ cần lập kế hoạch, thực hiện và kiểm soát các quy trình cần thiết để đảm bảo tính bảo mật của dữ liệu khách hàng.
Để đáp ứng các yêu cầu, tổ chức có thể thiết lập tiêu chí cho các quy trình như kiểm soát truy cập, mã hóa dữ liệu và sao lưu thường xuyên. Tổ chức sẽ cần thực hiện kiểm soát các quá trình theo các tiêu chí đã thiết lập để đảm bảo rằng chúng đang được thực hiện theo kế hoạch.
Thông tin dạng văn bản như chính sách bảo mật, quy trình và hướng dẫn phải có sẵn để đảm bảo độ tin cậy rằng các quy trình đang được tuân thủ theo kế hoạch.
Ngoài ra, tổ chức nên kiểm soát các thay đổi đã lên kế hoạch đối với hệ thống, chẳng hạn như cập nhật phần mềm hoặc thay đổi cấu hình bảo mật và xem xét hậu quả của những thay đổi ngoài ý muốn. Bất kỳ tác động bất lợi nào cũng cần được giảm thiểu thông qua hành động thích hợp.
Tổ chức cũng cần đảm bảo rằng mọi quy trình, sản phẩm hoặc dịch vụ được cung cấp bên ngoài có liên quan đến hệ thống quản lý an toàn thông tin đều được kiểm soát. Điều này có thể được thực hiện bằng cách thiết lập các tiêu chí để lựa chọn nhà cung cấp và nhà cung cấp dịch vụ bên thứ ba và thường xuyên giám sát việc tuân thủ các yêu cầu bảo mật của họ.
Ví dụ mẫu quy trình 8.1 Lập kế hoạch và kiểm tra giám sát tác nghiệp theo iso 27001:2022
đây là một ví dụ về quy trình lập kế hoạch và kiểm soát hoạt động:
Xác định các yêu cầu: Tổ chức cần xác định các yêu cầu đối với các quá trình và hoạt động của mình, có tính đến nhu cầu của các bên liên quan và các mục tiêu của tổ chức.
Thiết lập tiêu chí: Tổ chức nên thiết lập tiêu chí cho từng quy trình và hoạt động đáp ứng các yêu cầu đã xác định. Các tiêu chí này có thể bao gồm tiêu chuẩn chất lượng, mục tiêu hiệu suất và các biện pháp liên quan khác.
Thực hiện kiểm soát: Tổ chức nên thực hiện các biện pháp kiểm soát cho từng quy trình và hoạt động để đảm bảo đáp ứng các tiêu chí đã thiết lập. Điều này có thể bao gồm giám sát, đo lường và phân tích dữ liệu hiệu suất, cũng như các hành động khắc phục để giải quyết bất kỳ sự không phù hợp nào.
Thông tin tài liệu: Tổ chức nên lập tài liệu thông tin liên quan đến từng quy trình và hoạt động, bao gồm các tiêu chí đã thiết lập, biện pháp kiểm soát và dữ liệu hiệu suất. Tài liệu này nên có sẵn cho mục đích xem xét và kiểm toán.
Kiểm soát các thay đổi: Tổ chức nên kiểm soát các thay đổi đã được lên kế hoạch đối với các quy trình và hoạt động của mình, đảm bảo rằng mọi hậu quả không mong muốn đều được xác định và giải quyết trước khi thực hiện. Điều này có thể bao gồm quy trình quản lý thay đổi bao gồm tham vấn các bên liên quan và đánh giá rủi ro.
Kiểm soát các quy trình, sản phẩm và dịch vụ do bên ngoài cung cấp: Tổ chức cần đảm bảo rằng mọi quy trình, sản phẩm hoặc dịch vụ do bên ngoài cung cấp có liên quan đến hệ thống quản lý an ninh thông tin của mình đều được kiểm soát. Điều này có thể liên quan đến việc đánh giá nhà cung cấp, xem xét hợp đồng và giám sát hoạt động của nhà cung cấp.
Xem xét và Cải tiến: Tổ chức nên thường xuyên xem xét các quá trình lập kế hoạch và kiểm soát hoạt động của mình để đảm bảo hiệu quả liên tục của chúng và xác định các cơ hội để cải tiến. Điều này có thể bao gồm kiểm toán nội bộ, đánh giá quản lý và phân tích dữ liệu hiệu suất.