9.2 đánh giá nội bộ
9.2.1 Tổng quát
Tổ chức phải tiến hành đánh giá nội bộ theo các khoảng thời gian đã hoạch định để cung cấp thông tin về việc liệu hệ thống quản lý an toàn thông tin có:
a) phù hợp với
1) các yêu cầu riêng của tổ chức đối với hệ thống quản lý an toàn thông tin của mình;2) các yêu cầu của tài liệu này;
b) được thực hiện và duy trì hiệu quả.9.2.2 Chương trình đánh giá nội bộ
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
Tổ chức phải hoạch định, thiết lập, thực hiện và duy trì (các) chương trình đánh giá, bao gồm tần suất, phương pháp, trách nhiệm, yêu cầu hoạch định và báo cáo.
Khi thiết lập (các) chương trình đánh giá nội bộ, tổ chức phải xem xét tầm quan trọng của các quá trình liên quan và kết quả của các cuộc đánh giá trước đó.
Tổ chức sẽ:
a) xác định chuẩn mực và phạm vi đánh giá cho từng cuộc đánh giá;
b) lựa chọn chuyên gia đánh giá và tiến hành các cuộc đánh giá đảm bảo tính khách quan và công bằng của quá trình đánh giá;
c) đảm bảo rằng kết quả của các cuộc đánh giá được báo cáo cho ban lãnh đạo có liên quan;
Thông tin dạng văn bản phải sẵn có làm bằng chứng về việc thực hiện (các) chương trình đánh giá và kết quả đánh giá.
Phần 9.2 của tiêu chuẩn ISO 27001 tập trung vào quy trình đánh giá nội bộ hệ thống quản lý bảo mật thông tin của một tổ chức. Tổ chức được yêu cầu tiến hành đánh giá nội bộ theo các khoảng thời gian đã lên kế hoạch để đảm bảo rằng hệ thống quản lý bảo mật thông tin của mình tuân thủ các yêu cầu của chính mình và các yêu cầu được nêu trong tiêu chuẩn ISO 27001. Đánh giá nội bộ cũng cần xác định xem hệ thống quản lý an ninh thông tin có được triển khai và duy trì hiệu quả hay không.
Tổ chức được yêu cầu lập kế hoạch, thiết lập, thực hiện và duy trì chương trình đánh giá, bao gồm tần suất, phương pháp, trách nhiệm, yêu cầu lập kế hoạch và báo cáo. Chương trình đánh giá cần xem xét tầm quan trọng của các quá trình liên quan và kết quả của các cuộc đánh giá trước đó. Các tiêu chí và phạm vi đánh giá cho từng cuộc đánh giá cần được tổ chức xác định và các đánh giá viên phải được lựa chọn để đảm bảo tính khách quan và công bằng của quá trình đánh giá.
Kết quả của các cuộc đánh giá cần được báo cáo cho ban lãnh đạo có liên quan và thông tin dạng văn bản phải sẵn có làm bằng chứng về việc thực hiện chương trình đánh giá và các kết quả đánh giá. Phần này nhấn mạnh tầm quan trọng của việc tiến hành đánh giá nội bộ để đảm bảo tính hiệu quả của hệ thống quản lý bảo mật thông tin của tổ chức và để xác định các khu vực cần cải thiện.
Ví dụ về quy trình đánh giá nội bộ
Đây là mẫu cho quy trình đánh giá nội bộ:
Mục đích
Mục đích của quy trình này là phác thảo các bước để tiến hành đánh giá nội bộ hệ thống quản lý an ninh thông tin của tổ chức nhằm đảm bảo tuân thủ các yêu cầu của tổ chức cũng như yêu cầu của các tiêu chuẩn và quy định có liên quan.
Phạm vi
Quy trình này áp dụng cho tất cả các cuộc đánh giá nội bộ được thực hiện trong hệ thống quản lý bảo mật thông tin của tổ chức.
Trách nhiệm
Quản lý: Chịu trách nhiệm đảm bảo rằng chương trình kiểm toán nội bộ được thiết lập, thực hiện và duy trì theo quy trình này.
Nhóm kiểm toán: Chịu trách nhiệm tiến hành kiểm toán, chuẩn bị báo cáo kiểm toán và truyền đạt kết quả kiểm toán cho ban quản lý có liên quan.
Thủ tục
4.1 Lập kế hoạch kiểm toán nội bộ
Chương trình đánh giá phải được ban lãnh đạo thiết lập và duy trì.
Chương trình đánh giá phải xác định tần suất, phương pháp, trách nhiệm, yêu cầu lập kế hoạch và yêu cầu báo cáo.
Phạm vi của mỗi cuộc đánh giá phải được xác định, bao gồm tiêu chí và phạm vi đánh giá.
Đoàn đánh giá sẽ được lựa chọn, có tính đến tầm quan trọng của quá trình được đánh giá và kết quả của các cuộc đánh giá trước đó.
4.2 Tiến hành Đánh giá Nội bộ
Kiểm toán viên phải tiến hành kiểm toán đảm bảo tính khách quan và công bằng.
Nhóm đánh giá phải xem xét các tài liệu liên quan, tiến hành phỏng vấn và thực hiện các chuyến thăm địa điểm khi cần thiết để thu thập bằng chứng đánh giá.
Đoàn đánh giá phải ghi lại những phát hiện của họ và chuẩn bị báo cáo đánh giá.
Đoàn đánh giá phải thông báo kết quả đánh giá cho ban lãnh đạo có liên quan.
4.3 Hành động khắc phục
Ban quản lý phải đảm bảo rằng hành động khắc phục được thực hiện đối với bất kỳ sự không phù hợp nào được xác định trong quá trình đánh giá.
Ban quản lý phải theo dõi và xác minh tính hiệu quả của các hành động khắc phục đã thực hiện.
4.4 Báo cáo đánh giá
Báo cáo đánh giá phải được chuẩn bị và thông báo cho ban quản lý có liên quan.
Báo cáo đánh giá phải bao gồm phạm vi đánh giá, tiêu chí đánh giá, các phát hiện và khuyến nghị cải tiến.
Tài liệu
Thông tin dạng văn bản phải sẵn có làm bằng chứng về việc thực hiện chương trình đánh giá nội bộ và kết quả đánh giá.
Lưu trữ hồ sơ
Hồ sơ đánh giá nội bộ và kết quả của chúng phải được lưu giữ trong một khoảng thời gian xác định theo các thủ tục quản lý thông tin dạng văn bản của tổ chức.
Rà soát và Cải tiến
Chương trình đánh giá nội bộ phải được xem xét và cải tiến thường xuyên để đảm bảo hiệu quả liên tục của nó trong việc đạt được các mục tiêu của nó.
Ví dụ kế hoạch đánh giá nội bộ
Đây là một ví dụ về kế hoạch kiểm toán nội bộ:
Mục tiêu kiểm tra: Để xác định tính hiệu quả của Hệ thống quản lý bảo mật thông tin (ISMS) hiện có.
Phạm vi: Phạm vi kiểm tra sẽ bao gồm tất cả các quy trình và kiểm soát bảo mật thông tin trong tổ chức.
Tiêu chí đánh giá:
Tuân thủ các chính sách và quy trình bảo mật thông tin của tổ chức
Tuân thủ các yêu cầu của ISO/IEC 27001:2013
Hiệu quả của kiểm soát truy cập
Quy trình quản lý sự cố
Kế hoạch kinh doanh liên tục và khắc phục thảm họa
Phương pháp đánh giá:
Xem xét các chính sách, thủ tục và tài liệu liên quan đến ISMS
Phỏng vấn các bên liên quan chính và chủ sở hữu quy trình
Quan sát các biện pháp kiểm soát an ninh vật lý và logic
Thử nghiệm mẫu các quy trình và kiểm soát bảo mật
Nhóm đánh giá:
Trưởng nhóm đánh giá: John Doe
Thành viên nhóm: Jane Smith
Lịch kiểm tra:
Lập kế hoạch đánh giá: Tuần 1
Thực địa tại chỗ: Tuần 2-4
Viết báo cáo: Tuần 5-6
Đánh giá báo cáo cuối cùng: Tuần 7
Báo cáo:
Báo cáo kiểm toán phải được nộp cho cấp quản lý có liên quan trong vòng 2 tuần sau khi xem xét lần cuối
Báo cáo bao gồm các mục tiêu, phạm vi, phương pháp, phát hiện, kết luận và khuyến nghị kiểm toán
Đánh giá tiếp theo được lên kế hoạch trong 12 tháng để xem xét việc thực hiện các khuyến nghị
Kế hoạch kiểm toán nội bộ này cung cấp một phác thảo rõ ràng về các mục tiêu, phạm vi, tiêu chí, phương pháp, nhóm, lịch trình và các yêu cầu báo cáo cho một cuộc kiểm toán bảo mật thông tin. Nó có thể được điều chỉnh và tùy chỉnh để phù hợp với nhu cầu và yêu cầu cụ thể của các tổ chức khác nhau.
Ví dụ về phiếu kiểm tra đánh giá nội bộ ISMS
Dưới đây là ví dụ về danh sách kiểm tra đánh giá nội bộ ISMS:
1.0 Lãnh đạo
1.1 Lãnh đạo cao nhất có thể hiện vai trò lãnh đạo và cam kết với ISMS không?
1.2 Chính sách bảo mật thông tin của tổ chức đã được thiết lập và truyền đạt chưa?
1.3 Chính sách bảo mật thông tin có được xem xét định kỳ không?
1.4 Có quy trình xác định và quản lý rủi ro bảo mật thông tin không?
1.5 Có quy trình xem xét và phê duyệt các mục tiêu và kế hoạch an toàn thông tin không?
1.6 Vai trò và trách nhiệm đối với bảo mật thông tin có được thiết lập và truyền đạt không?
Lập kế hoạch 2.0
2.1 Tổ chức đã xác định phạm vi của ISMS chưa?
2.2 Tổ chức đã thiết lập các mục tiêu và kế hoạch bảo mật thông tin chưa?
2.3 Tổ chức đã xác định các tiêu chí đánh giá rủi ro chưa?
2.4 Có quy trình thực hiện đánh giá rủi ro không?
2.5 Các biện pháp kiểm soát bảo mật thông tin có được xác định để quản lý rủi ro không?
2.6 Các biện pháp kiểm soát có được lựa chọn dựa trên kết quả đánh giá rủi ro không?
2.7 Các biện pháp kiểm soát có được thực hiện phù hợp với yêu cầu của tổ chức không?
Hỗ trợ 3.0
3.1 Tài nguyên có được phân bổ cho ISMS không?
3.2 Có quy trình đảm bảo năng lực của nhân sự tham gia ISMS không?
3.3 Có quy trình nhận thức và đào tạo liên quan đến bảo mật thông tin không?
3.4 Có quy trình liên lạc liên quan đến bảo mật thông tin không?
3.5 Có quy trình kiểm soát tài liệu liên quan đến ISMS không?
3.6 Có quy trình kiểm soát hồ sơ liên quan đến ISMS không?
Hoạt động 4.0
4.1 Các quy trình vận hành có được thiết lập cho ISMS không?
4.2 Có quy trình giám sát và kiểm soát rủi ro an toàn thông tin không?
4.3 Có quy trình quản lý sự cố không?
4.4 Có quy trình quản lý kinh doanh liên tục không?
4.5 Có quy trình phát triển và bảo trì hệ thống không?
5.0 Đánh giá năng lực
5.1 Có quy trình đánh giá nội bộ ISMS không?
5.2 Kết quả đánh giá nội bộ có được thông báo cho ban quản lý có liên quan không?
5.3 Có quy trình đánh giá quản lý ISMS không?
5.4 Hiệu quả của ISMS có được giám sát và đo lường không?
5.5 Có quy trình cải tiến liên tục ISMS không?
Danh sách kiểm tra này cung cấp tổng quan về các lĩnh vực chính cần được đề cập trong quá trình đánh giá nội bộ ISMS, bao gồm lãnh đạo, lập kế hoạch, hỗ trợ, vận hành và đánh giá hiệu suất. Nó có thể được tùy chỉnh để đáp ứng các nhu cầu và yêu cầu cụ thể của tổ chức.