9.1 Theo dõi, đo lường, phân tích và đánh giá
Tổ chức phải xác định:
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
a) những gì cần được theo dõi và đo lường, bao gồm các quy trình và biện pháp kiểm soát an toàn thông tin;
b) các phương pháp theo dõi, đo lường, phân tích và đánh giá, nếu có thể áp dụng, để đảm bảo các kết quả hợp lệ. Các phương pháp được chọn phải tạo ra các kết quả có thể so sánh được và có thể lặp lại để được coi là hợp lệ;
c) thời điểm thực hiện theo dõi và đo lường;
d) ai sẽ giám sát và đo lường;
e) khi nào kết quả theo dõi và đo lường được phân tích và đánh giá; f) ai sẽ phân tích và đánh giá các kết quả này.
Thông tin dạng văn bản phải có sẵn làm bằng chứng về kết quả.
Tổ chức phải đánh giá hiệu suất an toàn thông tin và hiệu quả của hệ thống quản lý an toàn thông tin.
Trong điều khoản này, tổ chức được yêu cầu thiết lập một hệ thống giám sát, đo lường, phân tích và đánh giá các quy trình và kiểm soát an toàn thông tin. Tổ chức cần xác định những gì cần được theo dõi và đo lường và quyết định các phương pháp theo dõi và đo lường để đảm bảo rằng các kết quả là hợp lệ, có thể so sánh và tái sản xuất. Tổ chức cũng phải quyết định khi nào việc theo dõi và đo lường sẽ được thực hiện, ai sẽ thực hiện chúng và khi nào kết quả sẽ được phân tích và đánh giá. Tổ chức được yêu cầu phải có sẵn thông tin dạng văn bản để cung cấp bằng chứng về kết quả.
Hơn nữa, tổ chức phải đánh giá hiệu suất của hệ thống quản lý an toàn thông tin và hiệu quả của nó. Điều khoản này nhấn mạnh tầm quan trọng của việc theo dõi, đo lường, phân tích và đánh giá liên tục hệ thống quản lý an ninh thông tin để đảm bảo rằng nó vẫn hiệu quả và phù hợp với nhu cầu của tổ chức.
Ví dụ về ma trận các thông số cần Theo dõi, đo lường, phân tích và đánh giá
Đây là một ma trận ví dụ về việc giám sát, đo lường, phân tích và đánh giá:
Cái gì cần được giám sát và đo lường | Phương pháp giám sát và đo lường | Khi nào sẽ thực hiện việc giám sát và đo lường | Ai sẽ giám sát và đo lường | Khi nào kết quả sẽ được phân tích và đánh giá | Ai sẽ phân tích và đánh giá kết quả |
Tuân thủ các chính sách và thủ tục an ninh thông tin | Checklist đánh giá nội bộ | Hàng năm | Đánh giá viên nội bộ | Hàng quý | Quản lý an ninh thông tin |
Hiệu lực của kiểm soát truy cập | Thử nghiệm xâm nhập và quét điểm yếu | Hàng tháng | Nhà thầu bên thứ 3 | Hàng tháng | Nhóm an ninh IT |
Thời gian phản ứng với sự cố | Hệ thống truy phiếu | Hàng ngày | Helpdesk staff | Hàng tuần | Trưởng bộ phân vận hành IT |
Sự tuân thủ của nhân viên đối với đào tạo nhận thức về an ninh | Điều tra mô phỏng lừa đảo trực tuyến | 2 năm một lần | Nhóm an ninh thông tin | Hàng tháng | Quản lý nhân sự |
Ma trận này phác thảo những gì cần được giám sát và đo lường, phương pháp giám sát và đo lường, khi nào cần thực hiện việc giám sát và đo lường, ai sẽ giám sát và đo lường, khi nào kết quả sẽ được phân tích và đánh giá, và ai sẽ phân tích và đánh giá kết quả. Nó cung cấp một khung làm việc rõ ràng để giám sát và đánh giá hiệu quả của hệ thống quản lý an ninh thông tin của tổ chức.