Mục lục
SƠ LƯỢC VỀ CẢI TIẾN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
Tổ chức phải liên tục cải tiến tính phù hợp, đầy đủ và hiệu quả của hệ thống quản lý an toàn thông tin.
Cải tiến liên tục là một khía cạnh chính của ISMS trong nỗ lực đạt được và duy trì tính phù hợp, đầy đủ và hiệu quả của bảo mật thông tin vì nó liên quan đến các mục tiêu của tổ chức. Các tổ chức có ISMS hoạt động phải liên tục cố gắng cải tiến hệ thống quản lý của họ. Đây là điều cơ bản đối với tất cả các hệ thống quản lý và ISMS cũng không phải là ngoại lệ.
Các cải tiến có thể đến từ một số nguồn. Bao gồm các:
• Kiểm toán nội bộ;
• Kết quả từ các đánh giá của Ban Giám đốc;
• Đánh giá bên ngoài;
• Sự cố an ninh;
• Đánh giá và kiểm tra bảo mật;
• Đề xuất, bao gồm đề xuất từ các bên quan tâm.
Các cải tiến được đề xuất nên được xem xét nhưng không cần thực hiện. Tổ chức lựa chọn những cải tiến mà tổ chức cảm thấy sẽ làm tăng giá trị cho ISMS. Các đề xuất từ đánh giá viên nội bộ và bên ngoài cũng không cần thiết phải thực hiện nhưng cần được xem xét. Tổ chức đặt ra khung thời gian để thực hiện các cải tiến đã thỏa thuận.
TẠI SAO PHẢI THỰC HIỆN CẢI TIẾN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO ISO 27001
Các tổ chức không bao giờ tĩnh, cũng như bối cảnh của chúng. Ngoài ra, các mối đe dọa đối với hệ thống thông tin và cách thức mà chúng có thể bị xâm phạm, đang thay đổi nhanh chóng. Vào cuối ngày, không có ISMS nào vẫn hoàn hảo; nó luôn cần được thiết lập để cải tiến liên tục; tuy nhiên, tổ chức và bối cảnh của nó không thay đổi.Liên tục nói về cách ISMS là một phương pháp tiếp cận có hệ thống bao gồm các quy trình, công nghệ và con người giúp chúng tôi bảo vệ và quản lý thông tin của tổ chức thông qua quản lý rủi ro hiệu quả. Đó là một chủ đề thảo luận trong tất cả các khóa đào tạo của chúng tôi và chúng tôi đảm bảo rằng các học viên của chúng tôi cũng sẽ thấm nhuần những hiểu biết tương tự. Nó đã trở thành bản chất thứ hai. Chúng tôi liên tục tìm cách cải tiến. Đó không chỉ là yêu cầu của ISMS mà là nhu cầu của mọi tổ chức.
Cải tiến tiếp theo sau các đánh giá là một nguyên tắc thiết yếu đối với bất kỳ tổ chức nào. Tạo một quy trình được lập thành văn bản để ghi lại các đề xuất cải tiến và sự không phù hợp sẽ giúp tổ chức của bạn thực hiện hành động, cải thiện dịch vụ của bạn và loại bỏ các vấn đề
NỘI DUNG YÊU CẦU CỦA CẢI TIẾN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO ISO 27001
Các cải tiến sẽ được thực hiện:
– Đánh giá nội bộ thường xuyên
– Thực hiện đánh giá quản lý thường xuyên và phù hợp (Điều khoản 9.3 ISO 27001)
– Đánh giá bên ngoài thường xuyên
– Thực hiện các đề xuất từ các bên liên quan vào hệ thống quản lý thông tin theo thị hiếu của họ
– Lưu giữ hồ sơ về việc tổ chức có tuân thủ các chính sách quy định hay không
– Đánh giá lại tính bảo mật kiểm soát
– Phù hợp các hoạt động của tổ chức với các yêu cầu của ISO 27001
Lãnh đạo cao nhất cũng có thể đặt ra các mục tiêu để cải tiến liên tục, chẳng hạn như đo lường tính hiệu quả, chi phí hoặc độ chín của quy trình. Quản lý hệ thống thông tin được coi là một thành phần quan trọng của hoạt động kinh doanh. Để luôn cập nhật với sự phát triển, ISMS được đánh giá định kỳ để đảm bảo nó hoạt động, hiệu quả và nhất quán với các mục tiêu của tổ chức.
Các yêu cầu để thực hiện đánh giá là gì?
1. Tính phù hợp của ISMS được đánh giá bằng cách xem xét các vấn đề bên ngoài và bên trong, cũng như các yêu cầu của các bên liên quan, đồng thời giải quyết các mục tiêu an toàn thông tin đã vạch ra và các rủi ro an toàn thông tin đã xác định thông qua cả việc lập kế hoạch và triển khai ISMS.
2. Sử dụng tính đầy đủ của ISMS để đánh giá mức độ đáp ứng của các quy trình, thực hành và quy trình ISMS đáp ứng các mục tiêu, thực hành và quy trình của tổ chức.
3. Tính hiệu quả của ISMS, về việc liệu kết quả dự kiến có đạt được hay không, mong muốn của các bên liên quan có được đáp ứng, rủi ro an toàn thông tin được kiểm soát để đáp ứng các mục tiêu, sự không phù hợp được xử lý và các nguồn lực cần thiết cho sự phát triển , cải tiến liên tục và duy trì ISMS hỗ trợ những kết quả đó.
Cũng bao gồm trong đánh giá có thể là tổng quan về hiệu quả của ISMS và các thành phần của nó. Điều này có thể bao gồm việc đánh giá xem hệ thống có đang sử dụng hiệu quả các nguồn lực của nó hay không và liệu có thể thực hiện các cải tiến để đạt được hiệu quả cao hơn hay không. Sự không phù hợp cũng có thể được quản lý bằng các hành động khắc phục để xác định các lĩnh vực cần cải tiến.
LÀM THẾ NÀO ĐỂ SOẠN THẢO CẢI TIẾN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO ISO 27001
Tất cả những gì cần thiết trong khi thực hiện đánh giá?
- Tính phù hợp của ISMS, xem xét các vấn đề bên ngoài và nội bộ, yêu cầu của các bên liên quan, các mục tiêu an toàn thông tin đã thiết lập và các rủi ro an toàn thông tin đã xác định được giải quyết một cách thích hợp thông qua việc lập kế hoạch và thực hiện ISMS và các biện pháp kiểm soát an toàn thông tin.
- Tính đầy đủ của ISMS để tìm ra sự phù hợp của các quy trình ISMS và bảo mật thông tin đáp ứng các mục tiêu, thông lệ và quy trình cuối cùng của công ty.
- Tính hiệu quả của ISMS, xem xét nếu kết quả dự định của ISMS đạt được, mong muốn của các bên liên quan được đáp ứng, các rủi ro an toàn thông tin được quản lý để đáp ứng các mục tiêu an toàn thông tin, sự không phù hợp được quản lý, trong khi các nguồn lực cần thiết cho cơ sở, việc thực hiện, duy trì và cải tiến liên tục ISMS tương xứng với những kết quả đó.
Việc đánh giá cũng có thể bao gồm tổng quan về hiệu quả của ISMS và các thành phần của nguồn lực của nó, đánh giá xem việc sử dụng các nguồn lực của họ có phù hợp hay không, nếu có khả năng mất năng suất hoặc cơ hội đạt được hiệu quả cao hơn. Lĩnh vực cải tiến cũng có thể được xác định trong khi quản lý sự không phù hợp bằng các hành động khắc phục.
Sau khi các lĩnh vực cải tiến được xác định, tổ chức phải nhất quán trong việc duy trì chúng bằng cách:
- Đánh giá chúng để xác định xem chúng có đáng để theo đuổi hay không;
- Lập kế hoạch và thực hiện các hành động để đối phó với các cơ hội đảm bảo rằng lợi ích được thực hiện và sự không phù hợp không xảy ra hoặc nên lập kế hoạch cho các hành động khắc phục sự không phù hợp;
- Đánh giá hiệu quả của các hành động.
TRÁCH NHIỆM SOẠN THẢO PHÊ DUYỆT CHÍNH SÁCH CẢI TIẾN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO ISO 27001
Trách nhiệm soạn thảo chính sách cải tiến hệ thống quản lý an toàn thông tin theo ISO 27001 sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra. Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ
CẢI TIẾN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN ĐƯỢC ÁP DỤNG NHƯ THẾ NÀO?
Cải tiến hệ thống quản lý an toàn thông tin được viết trong điều khoản 10.2 – Cải tiến liên tục của bộ tài liệu ISO 27001: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc cải tiến hệ thống ATTT và kế hoạch để đạt được mục tiêu đó.
TÓM LƯỢC KHẲNG ĐỊNH YÊU CẦU CỦA CẢI TIẾN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO ISO 27001
Là kết quả của các sửa chữa và hành động khắc phục, có thể xác định được các cơ hội mới để cải tiến. Những điều này nên được điều trị cho phù hợp. Cần lưu giữ đủ thông tin dạng văn bản để chứng minh rằng tổ chức đã hành động thích hợp để đối phó với sự không phù hợp và đã giải quyết các hậu quả liên quan.
Tất cả các bước quan trọng của quản lý sự không phù hợp (bắt đầu từ phát hiện và sửa chữa) và, nếu đã bắt đầu, quản lý hành động khắc phục (phân tích nguyên nhân, xem xét, quyết định về việc thực hiện các hành động, xem xét và thay đổi các quyết định được thực hiện cho chính ISMS) phải được lập thành văn bản. Ngoài ra, thông tin dạng văn bản còn được yêu cầu để đưa vào bằng chứng về việc các hành động được thực hiện có đạt được các hiệu quả dự kiến hay không.
Một số tổ chức duy trì sổ đăng ký để theo dõi sự không phù hợp và các hành động khắc phục. Thường có một sổ đăng ký (ví dụ, một cho mọi khu vực chức năng hoặc quy trình) và trên các phương tiện khác nhau (giấy, tệp, ứng dụng, v.v.). Nếu trường hợp này thường xảy ra, thì chúng phải được thiết lập và kiểm soát dưới dạng thông tin dạng văn bản và chúng phải cho phép đánh giá toàn diện tất cả sự không phù hợp và các hành động khắc phục để đảm bảo đánh giá đúng mức độ cần thiết của các hành động.
Do đó, các bên liên quan cần nhận ra rằng bản thân sự kiện không phù hợp trong một tổ chức không phải là ngày tận thế, nhưng nó sẽ gây ra hậu quả nghiêm trọng hơn nếu sự không phù hợp không được xác định, giải quyết, sửa chữa và ngăn chặn đúng cách trong tương lai.
ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Mr. Nhất Duy: 0932 321 236
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…