Danh sách kiểm tra ISO 27001:2013 Hướng dẫn triển khai 9 bước
Mục lục
Nhiệm vụ đầu tiên của bạn là chỉ định một trưởng dự án để giám sát việc thực hiện ISMS.
Họ phải có kiến thức toàn diện về bảo mật thông tin cũng như quyền lãnh đạo một nhóm và đưa ra mệnh lệnh cho người quản lý (họ sẽ cần xem xét các bộ phận của họ).
Trưởng dự án sẽ yêu cầu một nhóm người giúp đỡ họ. Quản lý cấp cao có thể tự chọn nhóm hoặc cho phép trưởng nhóm chọn nhân viên của riêng họ.
Sau khi nhóm được tập hợp, họ nên tạo ra một nhiệm vụ dự án. Về cơ bản, đây là một tập hợp các câu trả lời cho các câu hỏi sau:
Tiếp theo, bạn cần bắt đầu lập kế hoạch cho chính việc thực hiện.
Nhóm thực hiện sẽ sử dụng nhiệm vụ dự án của họ để tạo ra một phác thảo chi tiết hơn về các mục tiêu, kế hoạch và sổ đăng ký rủi ro an toàn thông tin của họ.
Điều này bao gồm việc thiết lập các chính sách cấp cao cho ISMS thiết lập:
Bạn cũng cần tạo một chính sách ISMS.
Điều này không cần phải chi tiết; nó chỉ cần phác thảo những gì nhóm thực hiện của bạn muốn đạt được và cách họ dự định thực hiện.
Sau khi hoàn thành, nó phải được thông qua bởi hội đồng quản trị.
Tại thời điểm này, bạn có thể phát triển phần còn lại của cấu trúc tài liệu của mình. Chúng tôi khuyên bạn nên sử dụng chiến lược bốn cấp:
Bước tiếp theo là hiểu rộng hơn về khuôn khổ của ISMS. Quá trình này được nêu trong các điều 4 và 5 của tiêu chuẩn ISO 27001.
Bước này rất quan trọng trong việc xác định quy mô của ISMS của bạn và mức độ tiếp cận mà nó sẽ có trong các hoạt động hàng ngày của bạn.
Như vậy, bạn phải nhận ra mọi thứ liên quan đến tổ chức của mình để ISMS có thể đáp ứng nhu cầu của tổ chức của bạn.
Phần quan trọng nhất của quá trình này là xác định phạm vi ISMS của bạn . Điều này liên quan đến việc xác định các vị trí nơi thông tin được lưu trữ, cho dù đó là tệp vật lý hay kỹ thuật số, hệ thống hay thiết bị di động.
Xác định đúng phạm vi của bạn là một phần thiết yếu của dự án triển khai ISMS của bạn.
Nếu phạm vi của bạn quá nhỏ, bạn sẽ để lộ thông tin, gây nguy hiểm cho an ninh của tổ chức của bạn. Nhưng nếu phạm vi của bạn quá rộng, ISMS sẽ trở nên quá phức tạp để quản lý.
Đường cơ sở bảo mật của một tổ chức là mức hoạt động tối thiểu cần thiết để tiến hành kinh doanh một cách an toàn.
Bạn có thể xác định đường cơ sở bảo mật của mình với thông tin thu thập được trong đánh giá rủi ro ISO 27001 của bạn .
Điều này sẽ giúp bạn xác định các lỗ hổng bảo mật quan trọng nhất của tổ chức của bạn và kiểm soát ISO 27001 tương ứng để giảm thiểu rủi ro (được nêu trong Phụ lục A của Tiêu chuẩn ).
Quản lý rủi ro là trọng tâm của ISMS.
Bất kể quy trình nào bạn chọn, các quyết định của bạn phải là kết quả của việc đánh giá rủi ro . Đây là một quy trình gồm năm bước:
Sau đó, bạn cần thiết lập các tiêu chí chấp nhận rủi ro của mình, tức là thiệt hại mà các mối đe dọa sẽ gây ra và khả năng chúng xảy ra.
Các nhà quản lý thường định lượng rủi ro bằng cách cho điểm chúng trên ma trận rủi ro ; điểm càng cao thì mối đe dọa càng lớn.
Sau đó, họ sẽ chọn một ngưỡng cho thời điểm mà rủi ro phải được giải quyết.
Có bốn cách tiếp cận bạn có thể thực hiện khi giải quyết rủi ro:
Cuối cùng, ISO 27001 yêu cầu các tổ chức hoàn thành SoA (Tuyên bố về khả năng áp dụng) ghi lại những kiểm soát nào của Tiêu chuẩn mà bạn đã chọn và bỏ qua cũng như lý do bạn thực hiện những lựa chọn đó.
Thực hiện kế hoạch xử lý rủi ro là quá trình xây dựng các biện pháp kiểm soát an ninh sẽ bảo vệ tài sản thông tin của tổ chức bạn.
Để đảm bảo các biện pháp kiểm soát này có hiệu quả, bạn sẽ cần kiểm tra xem nhân viên có thể vận hành hoặc tương tác với các biện pháp kiểm soát và biết các nghĩa vụ bảo mật thông tin của họ hay không.
Bạn cũng sẽ cần phát triển một quy trình để xác định, xem xét và duy trì các năng lực cần thiết để đạt được các mục tiêu ISMS của mình.
Điều này liên quan đến việc tiến hành phân tích nhu cầu và xác định mức năng lực mong muốn.
Quá trình xem xét bao gồm việc xác định các tiêu chí phản ánh các mục tiêu mà bạn đã đặt ra trong nhiệm vụ của dự án.
Một số liệu phổ biến là phân tích định lượng, trong đó bạn chỉ định một con số cho bất kỳ thứ gì bạn đang đo lường.
Điều này rất hữu ích khi sử dụng những thứ liên quan đến chi phí tài chính hoặc thời gian.
Giải pháp thay thế là phân tích định tính, trong đó các phép đo dựa trên phán đoán.
Bạn sẽ sử dụng phân tích định tính khi đánh giá phù hợp nhất để phân loại, chẳng hạn như ‘cao’, ‘trung bình’ và ‘thấp’.
Ngoài quy trình này, bạn nên tiến hành đánh giá nội bộ thường xuyên đối với ISMS của mình .
Không có cách cụ thể nào để thực hiện đánh giá ISO 27001, nghĩa là có thể tiến hành đánh giá cho từng bộ phận tại một thời điểm.
Điều này giúp ngăn ngừa tổn thất đáng kể về năng suất và đảm bảo nỗ lực của nhóm của bạn không bị dàn trải quá mỏng trong các nhiệm vụ khác nhau.
Tuy nhiên, bạn nên đặt mục tiêu hoàn thành quy trình càng nhanh càng tốt, vì bạn cần lấy kết quả, xem xét chúng và lập kế hoạch cho cuộc kiểm toán năm sau.
Kết quả đánh giá nội bộ của bạn tạo thành đầu vào cho việc xem xét của ban giám đốc, sẽ được đưa vào quá trình cải tiến liên tục.
Sau khi ISMS có sẵn, bạn có thể chọn tìm kiếm chứng chỉ ISO 27001, trong trường hợp đó, bạn cần chuẩn bị cho một cuộc đánh giá bên ngoài.
Đánh giá ban đầu xác định xem ISMS của tổ chức đã được phát triển theo các yêu cầu của ISO 27001 hay chưa. Nếu kiểm toán viên hài lòng, họ sẽ tiến hành một cuộc điều tra kỹ lưỡng hơn.
Bạn nên tự tin vào khả năng chứng nhận của mình trước khi tiếp tục vì quá trình này tốn nhiều thời gian và bạn vẫn sẽ bị tính phí nếu thất bại ngay lập tức.
Có rất nhiều lựa chọn để lựa chọn, nhưng bạn phải đảm bảo rằng chúng được công nhận bởi tổ chức chứng nhận quốc gia, tổ chức này phải là thành viên của IAF (Tổ chức công nhận quốc tế).
Điều này đảm bảo rằng việc xem xét thực sự phù hợp với ISO 27001, trái ngược với các cơ quan chưa được chứng nhận, thường hứa hẹn cung cấp chứng nhận bất kể tư thế tuân thủ của tổ chức.
Chi phí đánh giá chứng nhận có thể sẽ là yếu tố chính khi quyết định chọn tổ chức nào, nhưng đó không phải là mối quan tâm duy nhất của bạn.
Bạn cũng nên xem xét liệu người đánh giá có kinh nghiệm trong ngành của bạn hay không.
Xét cho cùng, hệ thống ISMS luôn là duy nhất đối với tổ chức tạo ra nó và bất kỳ ai đang tiến hành đánh giá đều phải nhận thức được các yêu cầu của bạn.
Đại diện Việt Nam: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918991146
Liên hệ nhân viên kinh doanh:
Ms. QUỲNH NHƯ: 0827796518
Ms. THÚY: 0774416158
Email: info@isosig.com
Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm, Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar ( Mỹ) hoặc IRCA ( Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
TCFD là gì và vì sao khung công bố thông tin này ngày càng được…
Điểm ESG (ESG score) và xếp hạng rủi ro ESG (ESG Risk Rating) là hai…
GRI Standards đang trở thành thước đo quan trọng trong hành trình phát triển bền…
Chiến lược ESG đóng vai trò then chốt trong việc định hướng phát triển bền…
Bài viết này phân tích chi tiết quy định kiểm kê khí nhà kính (KNK)…
Hướng dẫn lập báo cáo ESG giúp doanh nghiệp xây dựng báo cáo theo chuẩn…
This website uses cookies.