Áp dụng điều khoản 8.2 Đánh giá rủi ro an toàn thông tin theo ISO/IEC 27001:2022 vào tổ chức của bạn như thế nào?

Áp dụng điều khoản 8.2 Đánh giá rủi ro an toàn thông tin theo ISO/IEC 27001:2022 vào tổ chức của bạn như thế nào?

8.2 Đánh giá rủi ro an toàn thông tin

Tổ chức phải thực hiện đánh giá rủi ro an toàn thông tin theo các khoảng thời gian đã hoạch định hoặc khi các thay đổi quan trọng được đề xuất hoặc xảy ra, có tính đến các tiêu chí được thiết lập trong 6.1.2 a).
Tổ chức phải lưu giữ thông tin dạng văn bản về kết quả đánh giá rủi ro an toàn thông tin.

“dịch từ tiêu chuẩn ISO/IEC 27001:2022”

Trong phần 8.2 của tiêu chuẩn ISO 27001, yêu cầu tổ chức thực hiện đánh giá rủi ro bảo mật thông tin một cách thường xuyên hoặc khi có những thay đổi quan trọng được đề xuất hoặc xảy ra. Điều này có nghĩa là tổ chức nên xác định các rủi ro tiềm ẩn có thể ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính sẵn có của các tài sản thông tin của mình, đồng thời đánh giá khả năng xảy ra và tác động tiềm tàng của những rủi ro này.

Các tiêu chí được thiết lập trong phần 6.1.2 a) cần được tính đến khi thực hiện các đánh giá rủi ro này. Các tiêu chí này bao gồm các yêu cầu pháp lý, quy định và hợp đồng, cũng như các chính sách, mục tiêu và hoạt động của tổ chức.

Kết quả đánh giá rủi ro an toàn thông tin phải được lập thành văn bản và lưu giữ dưới dạng thông tin dạng văn bản. Điều này là cần thiết để cung cấp bằng chứng rằng tổ chức đã tiến hành đánh giá rủi ro và đã xác định các rủi ro tiềm ẩn và các biện pháp kiểm soát thích hợp để giảm thiểu chúng. Thông tin dạng văn bản phải bao gồm phạm vi và phương pháp đánh giá rủi ro, các rủi ro đã xác định, phân tích và đánh giá các rủi ro này cũng như các quyết định về xử lý và kiểm soát rủi ro.

Nhìn chung, phần này nhấn mạnh tầm quan trọng của việc thường xuyên đánh giá rủi ro bảo mật thông tin và ghi lại kết quả của những đánh giá này để đảm bảo rằng tài sản thông tin của tổ chức được bảo vệ đầy đủ.

16
Created on By le vantam

Quiz 8.2 Đánh giá rủi ro an toàn thông tin ISO/IEC 27001:2022

Quiz 8.2 Đánh giá rủi ro an toàn thông tin ISO/IEC 27001:2022

1 / 4

8.2 Mục đích của xử lý rủi ro là gì?

2 / 4

8.2 Sự khác biệt giữa rủi ro còn lại và rủi ro cố hữu là gì?

3 / 4

8.2 Sự khác biệt giữa mối đe dọa và lỗ hổng là gì?

4 / 4

8.2 Các bước liên quan đến đánh giá rủi ro an toàn thông tin là gì?

Your score is

The average score is 66%

0%

Có gì khác nhau giữa điều khoản 6.1.2 Đánh giá rủi ro bảo mật thông tin và 8.2 Đánh giá rủi ro bảo mật thông tin?

Điều khoản 6.1.2 là một yêu cầu chung quy định các tiêu chí cần được tính đến khi tiến hành đánh giá rủi ro an toàn thông tin. Nó bao gồm xác định phạm vi và ranh giới của đánh giá rủi ro, xác định và đánh giá rủi ro, và xác định tiêu chí chấp nhận rủi ro.

Mặt khác, Điều khoản 8.2 chỉ định yêu cầu đối với tổ chức để thực hiện đánh giá rủi ro an toàn thông tin theo các khoảng thời gian đã lên kế hoạch hoặc khi các thay đổi quan trọng được đề xuất hoặc xảy ra. Điều khoản này yêu cầu tổ chức tính đến các tiêu chí được thiết lập trong Điều khoản 6.1.2 a) khi tiến hành đánh giá rủi ro và lưu giữ thông tin dạng văn bản về kết quả đánh giá.

Tóm lại, trong khi Điều 6.1.2 cung cấp hướng dẫn về cách tiến hành đánh giá rủi ro an toàn thông tin, thì Điều 8.2 yêu cầu tổ chức thực hiện các đánh giá này theo các khoảng thời gian đã hoạch định hoặc khi các thay đổi quan trọng được đề xuất hoặc xảy ra và lưu giữ thông tin tài liệu về kết quả.

Ví dụ về đánh giá rủi ro an toàn thông tin cho một mối đe dọa

Đây là một ví dụ về đánh giá rủi ro bảo mật thông tin cho một mối đe dọa:

Mối đe dọa: Tấn công mạng vào trang web của công ty

Xác định tài sản và lỗ hổng
Tài sản: Trang web công ty
Lỗ hổng bảo mật: Máy chủ web chưa được vá, thông tin đăng nhập yếu, thiếu tường lửa, giao thức bảo mật lỗi thời
Ước tính khả năng xảy ra mối đe dọa
Dựa trên các cuộc tấn công mạng gần đây vào các trang web tương tự, khả năng xảy ra một cuộc tấn công mạng vào trang web của chúng tôi là rất cao.
Ước tính tác động tiềm năng của mối đe dọa
Tác động tiềm ẩn: Vi phạm dữ liệu, mất thông tin mật của khách hàng, thiệt hại về uy tín, tổn thất tài chính, hành động pháp lý, v.v.
Xác định mức độ rủi ro
Dựa trên đánh giá trên, mức độ rủi ro của một cuộc tấn công mạng vào trang web của công ty là cao.
Xác định và thực hiện các biện pháp kiểm soát
Triển khai tường lửa, cập nhật các giao thức bảo mật, thường xuyên vá lỗi máy chủ web, thực thi thông tin xác thực đăng nhập mạnh mẽ, theo dõi lưu lượng truy cập trang web để phát hiện hoạt động đáng ngờ và tiến hành kiểm tra bảo mật thường xuyên.
Giám sát và xem xét
Thường xuyên theo dõi trang web để phát hiện bất kỳ hoạt động đáng ngờ nào, xem xét và cập nhật các giao thức bảo mật cũng như tiến hành kiểm tra bảo mật thường xuyên để đảm bảo trang web luôn an toàn.

Chat Zalo

0813 233 518

You cannot copy content of this page

Gọi để liên lạc ngay