Mục lục
Tổng quát về hướng dẫn thực hiện đánh giá sự tuân thủ theo phụ lục A.18 ISO/IEC 27001:2013
Phụ lục A.18 – Tuân thủ, bao gồm 8 kiểm soát
Phụ lục này đảm bảo rằng các tổ chức xác định các luật và quy định liên quan. Điều này giúp họ hiểu các yêu cầu pháp lý và hợp đồng của họ, giảm thiểu rủi ro không tuân thủ và các hình phạt đi kèm với điều đó.
Bài viết hôm nay của SIS CERT sẽ trả lời cho câu hỏi “Làm thế nào để thực hiện đánh giá sự tuân thủ theo phụ lục A.18 ISO/IEC 27001:2013?”
Làm thế nào để thực hiện đánh giá sự tuân thủ theo phụ lục A.18 ISO/IEC 27001:2013
1. Tại sao phải thực hiện đánh giá sự tuân thủ theo phụ lục A.18 ISO/IEC 27001:2013
Chúng ta phải thực hiện đánh giá sự tuân thủ theo phụ lục A.18 ISO/IEC 27001:2013 bởi:
Thứ nhất, phụ lục A.18.1 về việc tuân thủ các yêu cầu pháp lý và hợp đồng. Mục đích là để tránh vi phạm các nghĩa vụ pháp lý, luật định, quy định hoặc hợp đồng liên quan đến bảo mật thông tin và bất kỳ yêu cầu bảo mật nào.
Thứ hai, phụ lục A.18.2 là về các đánh giá an toàn thông tin. Mục tiêu trong Phụ lục này là đảm bảo rằng an ninh thông tin được thực hiện và vận hành theo các chính sách và thủ tục của tổ chức.
=> Cả hai phụ lục đều là phần quan trọng của hệ thống quản lý bảo mật thông tin (ISMS), đặc biệt nếu bạn muốn đạt được chứng chỉ ISO 27001.
2. Các nội dung chính cần phải có trong đánh giá sự tuân thủ theo phụ lục A.18 ISO/IEC 27001:2013
Phụ lục A.18 tuân thủ theo ISO/IEC 27001:2013 có 8 biện pháp kiểm soát gồm:
+) Phụ lục A.18.1 tuân thủ các yêu cầu pháp lý và hợp đồng.
- Phụ lục A.18.1.1 xác định pháp luật áp dụng & yêu cầu hợp đồng
- Phụ lục A..18.1.2 quyền sở hữu trí tuệ
- Phụ lục A.18.1.3 bảo vệ hồ sơ
- Phụ lục A.18.1.4 quyền riêng tư & bảo vệ thông tin nhận dạng cá nhân
- Phụ lục A.18.1.5 quy định về kiểm soát mật mã
+) Phụ lục A.18.2 đánh giá về bảo mật thông tin
- Phụ lục A.18.2.1 đánh giá độc lập về an ninh thông tin
- Phụ lục A..18.2.2 tuân thủ các tiêu chuẩn và chính sách bảo mật
- Phụ lục A.18.2.3 đánh giá tuân thủ kỹ thuật
3. Làm thế nào để soạn thảo quy trình đánh giá sự tuân thủ
PHỤ LỤC A.18.1 TUÂN THỦ CÁC YÊU CẦU PHÁP LÝ VÀ HỢP ĐỒNG.
PHỤ LỤC A.18.1.1 XÁC ĐỊNH PHÁP LUẬT ÁP DỤNG & YÊU CẦU HỢP ĐỒNG
Để tránh vi phạm các nghĩa vụ pháp lý, luật định, quy định hoặc hợp đồng liên quan đến bảo mật thông tin và bất kỳ yêu cầu bảo mật nào.
PHỤ LỤC A.18.1.2 QUYỀN SỞ HỮU TRÍ TUỆ
Các thủ tục thích hợp cần được thực hiện để đảm bảo tuân thủ các yêu cầu của pháp luật, quy định và hợp đồng liên quan đến quyền sở hữu trí tuệ và việc sử dụng các sản phẩm phần mềm độc quyền.
Để đáp ứng các tiêu chí về hình thức kinh doanh, các nhà quản trị nên thừa nhận tất cả các luật liên quan đến tổ chức của họ. Nếu tổ chức đang hoạt động ở các quốc gia khác, các nhà quản lý ở tất cả các quốc gia có liên quan sẽ đảm bảo tuân thủ. Điều này bao gồm xác định và quản lý các rủi ro về thẩm quyền, quản trị, quyền riêng tư và bảo mật liên quan đến việc sử dụng các nhà cung cấp và nhà cung cấp dịch vụ.
Để bảo vệ bất kỳ tài liệu nào liên quan đến bất kỳ thông tin nào, bạn có thể tuân theo các nguyên tắc dưới đây:
1. Việc sử dụng hợp pháp phần mềm liên quan đến sở hữu trí tuệ;
2. Duy trì ý thức và thực hiện các biện pháp kỷ luật đối với hành vi vi phạm ngay lập tức;
3. Tiến hành đánh giá một cách kịp thời;
4. Cung cấp một chính sách thực thi cho tất cả các nhân viên.
5. Duy trì một hồ sơ thích hợp, nơi có thể truy cập được tài liệu pháp lý.
PHỤ LỤC A.18.1.3 BẢO VỆ HỒ SƠ
Hồ sơ phải được bảo vệ khỏi mất mát, phá hủy, giả mạo, truy cập trái phép và phát hành trái phép, phù hợp với các yêu cầu của nhà lập pháp, quy định, hợp đồng và kinh doanh.
Hồ sơ nên được phân loại thành các loại hồ sơ, ví dụ: hồ sơ kế toán, hồ sơ cơ sở dữ liệu, nhật ký giao dịch, nhật ký kiểm toán và quy trình hoạt động, mỗi loại đều có chi tiết về thời gian lưu giữ và loại phương tiện lưu trữ được phép, ví dụ như giấy, microfiche, từ tính, quang học. Bất kỳ khóa và chương trình mật mã liên quan nào được liên kết với các kho lưu trữ được mã hóa hoặc chữ ký điện tử cũng nên được lưu trữ để cho phép giải mã các bản ghi trong khoảng thời gian mà các bản ghi được lưu giữ. Cần xem xét khả năng hư hỏng của phương tiện được sử dụng để lưu trữ hồ sơ. Quy trình bảo quản và xử lý cần được thực hiện theo khuyến nghị của nhà sản xuất.
PHỤ LỤC A.18.1.4 QUYỀN RIÊNG TƯ & BẢO VỆ THÔNG TIN NHẬN DẠNG CÁ NHÂN
Quyền riêng tư và bảo vệ thông tin nhận dạng cá nhân cần được đảm bảo theo yêu cầu trong luật và quy định liên quan nếu có.
Bất kỳ thông tin nào được xử lý có chứa thông tin nhận dạng cá nhân (PII) đều có thể phải tuân theo các nghĩa vụ của pháp luật và quy định. Tại Úc, Đạo luật Quyền riêng tư 1988 (Cth) bao gồm các luật phản ánh luật của Quy định GDPR.
Quyền riêng tư cho phép các cá nhân thực hiện quyền kiểm soát thông tin cá nhân của họ. Đạo luật về quyền riêng tư là về tính minh bạch và trách nhiệm giải trình của bất kỳ tổ chức nào. Các tổ chức của Úc đã áp dụng các biện pháp để giữ an toàn trước nguy cơ vi phạm dữ liệu. ISMS 27001 là cách an toàn nhất để tránh vi phạm thông tin của bất kỳ ai.
PHỤ LỤC A.18.1.5 QUY ĐỊNH VỀ KIỂM SOÁT MẬT MÃ
Các biện pháp kiểm soát mật mã phải được sử dụng tuân thủ tất cả các thỏa thuận, luật pháp và quy định có liên quan.
Mật mã học được sử dụng để chia sẻ thông tin bí mật trên các hệ thống dựa trên đám mây với mục đích là xác định người dùng và chia sẻ thông tin cần thiết. ISO 27001 Annex: A 10 Cryptography, xác định các biện pháp kiểm soát mật mã, Chính sách về việc sử dụng các biện pháp kiểm soát mật mã và quản lý khóa.
Mỗi tổ chức muốn đạt được ISO 27001, phải thực hiện chính sách Mật mã. Dưới đây là những điều cần cân nhắc khi thiết kế chính sách này:
1. Đào tạo cho những người dùng có liên quan về cách bảo vệ thông tin chung và sử dụng các biện pháp kiểm soát Mật mã.
2. Thủ tục đánh giá rủi ro- Nó phải bao gồm các tính toán cần thiết liên quan đến chất lượng, độ mạnh và loại thuật toán mã hóa.
3. Sử dụng mã hóa để bảo mật thông tin được vận chuyển bằng các thiết bị truyền thông di động hoặc xách tay.
4. Xây dựng chiến lược bảo mật khóa mã hóa.
PHỤ LỤC A.18.2 ĐÁNH GIÁ VỀ BẢO MẬT THÔNG TIN
PHỤ LỤC A.18.2.1 ĐÁNH GIÁ ĐỘC LẬP VỀ AN NINH THÔNG TIN
Các nhà quản lý nên thường xuyên xem xét việc tuân thủ các quy trình và xử lý thông tin trong phạm vi trách nhiệm của họ với các chính sách, tiêu chuẩn bảo mật thích hợp và bất kỳ yêu cầu bảo mật nào khác.
Các nhà quản lý cần xác định các yêu cầu pháp lý trong điều kiện bảo vệ an toàn thông tin. Họ cần thiết lập các thủ tục và chính sách về cách kiểm soát chúng. Các công cụ đo lường và báo cáo tự động cần được xem xét để đánh giá thường xuyên hiệu quả. Nó bao gồm:
• Xác định nguyên nhân của sự không phù hợp;
• Phân tích các hành động để đạt được sự tuân thủ;
• Thực hiện hành động khắc phục thích hợp;
• Kết quả của việc xem xét và các hành động khắc phục do người quản lý thực hiện phải được ghi lại và các hồ sơ này phải được duy trì.
PHỤ LỤC A.18.2.2 TUÂN THỦ CÁC TIÊU CHUẨN VÀ CHÍNH SÁCH BẢO MẬT
Các nhà quản lý sẽ thường xuyên xem xét việc tuân thủ các chính sách, hướng dẫn bảo mật liên quan và các đặc điểm kỹ thuật bảo mật khác của quy trình và xử lý thông tin trong lĩnh vực phụ trách của họ.
Các tổ chức phải tuân theo các nguyên tắc an ninh mạng như sau:
1. Xác định các lý do không tuân thủ;
2. Đánh giá sự cần thiết của các biện pháp tuân thủ;
3. Thực hiện các biện pháp khắc phục hiệu quả;
4. Xem lại các bước đã thực hiện để xác minh tính hiệu quả của chúng và nhận ra bất kỳ thiếu sót hoặc lỗ hổng nào.
PHỤ LỤC A.18.2.3 ĐÁNH GIÁ TUÂN THỦ KỸ THUẬT
Hệ thống thông tin cần được thường xuyên xem xét để tuân thủ các chính sách và tiêu chuẩn an toàn thông tin của tổ chức.
Đánh giá tuân thủ kỹ thuật xoay quanh việc kiểm tra các hệ thống hoạt động để đảm bảo rằng các kiểm soát phần cứng và phần mềm đã được thực hiện một cách chính xác. Kiểm tra thâm nhập và đánh giá lỗ hổng cung cấp ảnh chụp nhanh của hệ thống ở trạng thái cụ thể tại một thời điểm cụ thể. Kiểm tra thâm nhập và đánh giá tính dễ bị tổn thương không thể thay thế cho đánh giá rủi ro. Tuy nhiên, đánh giá rủi ro kỹ thuật yêu cầu kiểm tra toàn bộ tất cả phần mềm đang sử dụng để cung cấp dịch vụ.
4. Trách nhiệm soạn thảo, phê duyệt quy trình đánh giá sự tuân thủ
Trách nhiệm soạn thảo quy trình đánh giá sự tuân thủ sẽ do thư ký ISO soạn thảo. Trưởng ban ISO sẽ xem xét, rà lại. Lãnh đạo cao nhất sẽ phê duyệt, ký đóng dấu và ban hành nội bộ.
5. Mẫu quy trình đánh giá sự tuân thủ tham khảo
Mẫu đánh giá sự tuân thủ an ninh thông tin (tham khảo)
Tóm lược và khẳng định yêu cầu của việc hướng dẫn thực hiện đánh giá sự tuân thủ theo phụ lục A.18 ISO/IEC 27001:2013
Phụ lục A.18 là tất cả về việc tuân thủ các yêu cầu pháp lý và hợp đồng. Các hoạt động xã hội như nền tảng trực tuyến,…có thể cung cấp quyền truy cập cho nhiều tội phạm hoặc tin tặc, những kẻ có thể nhắm mục tiêu vào một số lượng lớn nạn nhân. Ngay cả các nguồn kinh doanh có mục đích sử dụng hợp pháp, như Internet tốc độ cao, chia sẻ tệp ngang hàng và các phương pháp mã hóa, bọn tội phạm thực sự thông minh để thực hiện các hoạt động bất hợp pháp. Do đó, việc đánh giá sự tuân thủ theo phụ lục A.18 giúp tổ chức vận hành và kiểm soát tốt hệ thống an ninh của mình theo đúng yêu cầu pháp luật.
ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Mr. Nhất Duy: 0932 321 236
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…