Danh sách kiểm tra ISO 27001:2013 Hướng dẫn triển khai 9 bước
Mục lục
Bước 1: Tập hợp một nhóm triển khai hệ thống quản lý ATTT
Nhiệm vụ đầu tiên của bạn là chỉ định một trưởng dự án để giám sát việc thực hiện ISMS.
Họ phải có kiến thức toàn diện về bảo mật thông tin cũng như quyền lãnh đạo một nhóm và đưa ra mệnh lệnh cho người quản lý (họ sẽ cần xem xét các bộ phận của họ).
Trưởng dự án sẽ yêu cầu một nhóm người giúp đỡ họ. Quản lý cấp cao có thể tự chọn nhóm hoặc cho phép trưởng nhóm chọn nhân viên của riêng họ.
Sau khi nhóm được tập hợp, họ nên tạo ra một nhiệm vụ dự án. Về cơ bản, đây là một tập hợp các câu trả lời cho các câu hỏi sau:
- Chúng ta đang hy vọng đạt được điều gì?
- Làm cái đó mất bao lâu?
- Nó có giá bao nhiêu?
- Dự án có hỗ trợ quản lý không?
Bước 2: Xây dựng kế hoạch triển khai hệ thống quản lý ATTT
Tiếp theo, bạn cần bắt đầu lập kế hoạch cho chính việc thực hiện.
Nhóm thực hiện sẽ sử dụng nhiệm vụ dự án của họ để tạo ra một phác thảo chi tiết hơn về các mục tiêu, kế hoạch và sổ đăng ký rủi ro an toàn thông tin của họ.
Điều này bao gồm việc thiết lập các chính sách cấp cao cho ISMS thiết lập:
- Vai trò và trách nhiệm.
- Quy tắc cải tiến liên tục của nó.
- Làm thế nào để nâng cao nhận thức về dự án thông qua truyền thông nội bộ và bên ngoài.
Bước 3: Khởi tạo hệ thống quản lý ATTT
Bạn cũng cần tạo một chính sách ISMS.
Điều này không cần phải chi tiết; nó chỉ cần phác thảo những gì nhóm thực hiện của bạn muốn đạt được và cách họ dự định thực hiện.
Sau khi hoàn thành, nó phải được thông qua bởi hội đồng quản trị.
Tại thời điểm này, bạn có thể phát triển phần còn lại của cấu trúc tài liệu của mình. Chúng tôi khuyên bạn nên sử dụng chiến lược bốn cấp:
- Các chính sách ở trên cùng, xác định vị trí của tổ chức về các vấn đề cụ thể, chẳng hạn như sử dụng được chấp nhận và quản lý mật khẩu.
- Các thủ tục để ban hành các yêu cầu của chính sách.
- Hướng dẫn công việc mô tả cách thức nhân viên đáp ứng các chính sách đó.
- Hồ sơ theo dõi các thủ tục và hướng dẫn công việc
Bước 4: Xác định phạm vi hệ thống quản lý ATTT
Bước tiếp theo là hiểu rộng hơn về khuôn khổ của ISMS. Quá trình này được nêu trong các điều 4 và 5 của tiêu chuẩn ISO 27001.
Bước này rất quan trọng trong việc xác định quy mô của ISMS của bạn và mức độ tiếp cận mà nó sẽ có trong các hoạt động hàng ngày của bạn.
Như vậy, bạn phải nhận ra mọi thứ liên quan đến tổ chức của mình để ISMS có thể đáp ứng nhu cầu của tổ chức của bạn.
Phần quan trọng nhất của quá trình này là xác định phạm vi ISMS của bạn . Điều này liên quan đến việc xác định các vị trí nơi thông tin được lưu trữ, cho dù đó là tệp vật lý hay kỹ thuật số, hệ thống hay thiết bị di động.
Xác định đúng phạm vi của bạn là một phần thiết yếu của dự án triển khai ISMS của bạn.
Nếu phạm vi của bạn quá nhỏ, bạn sẽ để lộ thông tin, gây nguy hiểm cho an ninh của tổ chức của bạn. Nhưng nếu phạm vi của bạn quá rộng, ISMS sẽ trở nên quá phức tạp để quản lý.
Bước 5: Xác định đường cơ sở bảo mật của bạn
Đường cơ sở bảo mật của một tổ chức là mức hoạt động tối thiểu cần thiết để tiến hành kinh doanh một cách an toàn.
Bạn có thể xác định đường cơ sở bảo mật của mình với thông tin thu thập được trong đánh giá rủi ro ISO 27001 của bạn .
Điều này sẽ giúp bạn xác định các lỗ hổng bảo mật quan trọng nhất của tổ chức của bạn và kiểm soát ISO 27001 tương ứng để giảm thiểu rủi ro (được nêu trong Phụ lục A của Tiêu chuẩn ).
Bước 6: Thiết lập quy trình quản lý rủi ro
Quản lý rủi ro là trọng tâm của ISMS.
Bất kể quy trình nào bạn chọn, các quyết định của bạn phải là kết quả của việc đánh giá rủi ro . Đây là một quy trình gồm năm bước:
- Thiết lập khung đánh giá rủi ro
- Xác định rủi ro
- Phân tích rủi ro
- Đánh giá rủi ro
- Chọn các tùy chọn quản lý rủi ro
Sau đó, bạn cần thiết lập các tiêu chí chấp nhận rủi ro của mình, tức là thiệt hại mà các mối đe dọa sẽ gây ra và khả năng chúng xảy ra.
Các nhà quản lý thường định lượng rủi ro bằng cách cho điểm chúng trên ma trận rủi ro ; điểm càng cao thì mối đe dọa càng lớn.
Sau đó, họ sẽ chọn một ngưỡng cho thời điểm mà rủi ro phải được giải quyết.
Có bốn cách tiếp cận bạn có thể thực hiện khi giải quyết rủi ro:
- Chịu đựng rủi ro
- Xử lý rủi ro bằng cách áp dụng các biện pháp kiểm soát
- Chấm dứt rủi ro bằng cách tránh hoàn toàn
- Chuyển rủi ro (bằng hợp đồng bảo hiểm hoặc thỏa thuận với các bên khác).
Cuối cùng, ISO 27001 yêu cầu các tổ chức hoàn thành SoA (Tuyên bố về khả năng áp dụng) ghi lại những kiểm soát nào của Tiêu chuẩn mà bạn đã chọn và bỏ qua cũng như lý do bạn thực hiện những lựa chọn đó.
Bước 7: Thực hiện kế hoạch xử lý rủi ro
Thực hiện kế hoạch xử lý rủi ro là quá trình xây dựng các biện pháp kiểm soát an ninh sẽ bảo vệ tài sản thông tin của tổ chức bạn.
Để đảm bảo các biện pháp kiểm soát này có hiệu quả, bạn sẽ cần kiểm tra xem nhân viên có thể vận hành hoặc tương tác với các biện pháp kiểm soát và biết các nghĩa vụ bảo mật thông tin của họ hay không.
Bạn cũng sẽ cần phát triển một quy trình để xác định, xem xét và duy trì các năng lực cần thiết để đạt được các mục tiêu ISMS của mình.
Điều này liên quan đến việc tiến hành phân tích nhu cầu và xác định mức năng lực mong muốn.
Bước 8: Đo lường, giám sát và xem xét
Quá trình xem xét bao gồm việc xác định các tiêu chí phản ánh các mục tiêu mà bạn đã đặt ra trong nhiệm vụ của dự án.
Một số liệu phổ biến là phân tích định lượng, trong đó bạn chỉ định một con số cho bất kỳ thứ gì bạn đang đo lường.
Điều này rất hữu ích khi sử dụng những thứ liên quan đến chi phí tài chính hoặc thời gian.
Giải pháp thay thế là phân tích định tính, trong đó các phép đo dựa trên phán đoán.
Bạn sẽ sử dụng phân tích định tính khi đánh giá phù hợp nhất để phân loại, chẳng hạn như ‘cao’, ‘trung bình’ và ‘thấp’.
Ngoài quy trình này, bạn nên tiến hành đánh giá nội bộ thường xuyên đối với ISMS của mình .
Không có cách cụ thể nào để thực hiện đánh giá ISO 27001, nghĩa là có thể tiến hành đánh giá cho từng bộ phận tại một thời điểm.
Điều này giúp ngăn ngừa tổn thất đáng kể về năng suất và đảm bảo nỗ lực của nhóm của bạn không bị dàn trải quá mỏng trong các nhiệm vụ khác nhau.
Tuy nhiên, bạn nên đặt mục tiêu hoàn thành quy trình càng nhanh càng tốt, vì bạn cần lấy kết quả, xem xét chúng và lập kế hoạch cho cuộc kiểm toán năm sau.
Kết quả đánh giá nội bộ của bạn tạo thành đầu vào cho việc xem xét của ban giám đốc, sẽ được đưa vào quá trình cải tiến liên tục.
Bước 9: Chứng nhận ISMS của bạn
Sau khi ISMS có sẵn, bạn có thể chọn tìm kiếm chứng chỉ ISO 27001, trong trường hợp đó, bạn cần chuẩn bị cho một cuộc đánh giá bên ngoài.
Đánh giá chứng nhận được thực hiện trong hai giai đoạn.
Đánh giá ban đầu xác định xem ISMS của tổ chức đã được phát triển theo các yêu cầu của ISO 27001 hay chưa. Nếu kiểm toán viên hài lòng, họ sẽ tiến hành một cuộc điều tra kỹ lưỡng hơn.
Bạn nên tự tin vào khả năng chứng nhận của mình trước khi tiếp tục vì quá trình này tốn nhiều thời gian và bạn vẫn sẽ bị tính phí nếu thất bại ngay lập tức.
Một điều khác mà bạn cần lưu ý là tổ chức chứng nhận nào sẽ sử dụng.
Có rất nhiều lựa chọn để lựa chọn, nhưng bạn phải đảm bảo rằng chúng được công nhận bởi tổ chức chứng nhận quốc gia, tổ chức này phải là thành viên của IAF (Tổ chức công nhận quốc tế).
Điều này đảm bảo rằng việc xem xét thực sự phù hợp với ISO 27001, trái ngược với các cơ quan chưa được chứng nhận, thường hứa hẹn cung cấp chứng nhận bất kể tư thế tuân thủ của tổ chức.
Chi phí đánh giá chứng nhận có thể sẽ là yếu tố chính khi quyết định chọn tổ chức nào, nhưng đó không phải là mối quan tâm duy nhất của bạn.
Bạn cũng nên xem xét liệu người đánh giá có kinh nghiệm trong ngành của bạn hay không.
Xét cho cùng, hệ thống ISMS luôn là duy nhất đối với tổ chức tạo ra nó và bất kỳ ai đang tiến hành đánh giá đều phải nhận thức được các yêu cầu của bạn.
Liên hệ với SIS CERT để đạt chứng nhận ISO 27001:2013?
Đại diện Việt Nam: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918991146
Liên hệ nhân viên kinh doanh:
Ms. QUỲNH NHƯ: 0827796518
Ms. THÚY: 0774416158
Email: info@isosig.com
Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm, Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar ( Mỹ) hoặc IRCA ( Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất