8.3 Xử lý rủi ro an toàn thông tin
Tổ chức phải triển khai kế hoạch xử lý rủi ro an toàn thông tin.
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
Tổ chức phải lưu giữ thông tin dạng văn bản về kết quả xử lý rủi ro an toàn thông tin.
Điều 8.3 của tiêu chuẩn ISO 27001 yêu cầu tổ chức triển khai kế hoạch xử lý rủi ro đã được phát triển để đáp ứng với đánh giá rủi ro được thực hiện trong Điều 8.2. Điều này liên quan đến việc xác định và lựa chọn các phương án xử lý rủi ro thích hợp và thực hiện chúng để giảm rủi ro xuống mức có thể chấp nhận được.
Kế hoạch xử lý rủi ro phác thảo các hành động mà tổ chức sẽ thực hiện để giảm thiểu, chuyển giao, tránh hoặc chấp nhận các rủi ro đã xác định. Tổ chức phải đảm bảo rằng các phương án xử lý rủi ro đã chọn nhất quán với chiến lược, mục tiêu quản lý rủi ro tổng thể và nghĩa vụ pháp lý/quy định của mình.
Khi kế hoạch xử lý rủi ro đã được triển khai, tổ chức phải lưu giữ thông tin dạng văn bản về kết quả xử lý rủi ro an toàn thông tin. Điều này bao gồm chi tiết về các phương án xử lý rủi ro được chọn, lý do lựa chọn các phương án đó và bằng chứng cho thấy các phương án được chọn đã được triển khai hiệu quả. Thông tin được lập thành văn bản cung cấp sự đảm bảo rằng tổ chức đã thực hiện các biện pháp phù hợp để quản lý rủi ro bảo mật thông tin và giảm khả năng xảy ra cũng như tác động của các sự cố bảo mật.
Có gì khác nhau giữa điều khoản 6.1.3 Xử lý rủi ro an toàn thông tin và 8.3 Xử lý rủi ro an toàn thông tin?
Không có sự khác biệt giữa 6.1.3 và 8.3 về mục tiêu và yêu cầu của chúng. Cả hai điều khoản đều yêu cầu tổ chức triển khai kế hoạch xử lý rủi ro bảo mật thông tin và lưu giữ thông tin được lập thành văn bản về kết quả xử lý rủi ro bảo mật thông tin. Sự khác biệt chỉ nằm ở vị trí của chúng trong tiêu chuẩn: Điều khoản 6 tập trung vào việc lập kế hoạch cho quy trình quản lý rủi ro, trong khi Điều khoản 8 tập trung vào việc thực hiện và giám sát quy trình quản lý rủi ro.
Ví dụ về Xử lý rủi ro an toàn thông tin cho một mối đe dọa
Dưới đây là ví dụ về xử lý rủi ro bảo mật thông tin đối với một mối đe dọa cụ thể:
Mối đe dọa: Nhiễm phần mềm độc hại thông qua email lừa đảo
Đánh giá rủi ro:
Khả năng xảy ra: Cao
Tác động: Cao
Mức độ rủi ro: Cao
Phương án xử lý rủi ro:
Thực hiện các biện pháp chống lừa đảo như bộ lọc email và giáo dục người dùng và đào tạo nâng cao nhận thức
Tiến hành kiểm tra mô phỏng lừa đảo thường xuyên để xác định các khu vực dễ bị tấn công và nâng cao nhận thức của nhân viên
Thực hiện các chính sách sử dụng email nghiêm ngặt và thực thi các yêu cầu về mật khẩu mạnh
Tiến hành đánh giá lỗ hổng thường xuyên và kiểm tra thâm nhập để xác định các lỗ hổng bảo mật tiềm ẩn
Thực hiện:
Bộ lọc email và đào tạo nâng cao nhận thức bảo mật được triển khai
Các thử nghiệm mô phỏng lừa đảo thường xuyên được tiến hành
Chính sách sử dụng email và yêu cầu mật khẩu được thực thi
Đánh giá lỗ hổng thường xuyên và kiểm tra thâm nhập được tiến hành
Đánh giá xử lý rủi ro:
Đánh giá thường xuyên được tiến hành để đánh giá hiệu quả của các biện pháp đã thực hiện
Các điều chỉnh và cải tiến được thực hiện khi cần thiết dựa trên kết quả đánh giá
Tài liệu:
Tài liệu chi tiết về kế hoạch xử lý rủi ro, việc thực hiện và đánh giá được lưu giữ cho các mục đích kiểm tra và tham khảo trong tương lai.