Mục lục
SƠ LƯỢC VỀ KIỂM SOÁT SỰ THAY ĐỔI AN TOÀN THÔNG TIN THEO ISO 27001
Thay đổi là cần thiết trong lĩnh vực công nghệ thông tin, chủ yếu là do thường xuyên phải cập nhật máy chủ, hệ thống, v.v. Nhưng rủi ro (nhìn từ quan điểm bảo mật thông tin) phát sinh khi các thay đổi được thực hiện một cách thiếu kiểm soát, tức là tính bảo mật , tính toàn vẹn và tính khả dụng của hệ thống, ứng dụng, thông tin… có thể dễ dàng bị đe dọa.
Vì chúng tôi cần cải tiến ISMS liên tục, vì đó là triết lý của chu trình PDCA (Plan-Do-Check-Act) của Hệ thống Quản lý An toàn Thông tin theo ISO 27001, chúng tôi cần thay đổi (cập nhật phần mềm, phần cứng, v.v.) . Khi một thay đổi diễn ra, câu hỏi đặt ra là – làm thế nào để quản lý nó. Cách tốt nhất cho việc này là có một quy trình, quy trình này thiết lập các bước mà chúng ta cần tuân theo.
Các thay đổi trong quy trình này là những thay đổi sau:
– Các thay đổi thiết bị phần cứng (thay đổi, nâng cấp, trang bị mới thiết bị phần cứng,…);
– Thay đổi ứng dụng (mở rộng tính năng ứng dụng, giao diện người dùng…);
– Thay đổi về tổ chức hoạt động (quy mô, cơ cấu hoạt động của tổ chức,…);
– Thay đổi các quá trình hoạt động(các hoạt động quản trị đảm bảo cho hạ tầng mạng, phần mềm ứng dụng, thư điện tử, truy cập internet hoạt động thông suốt, ổn định).
TẠI SAO PHẢI KIỂM SOÁT SỰ THAY ĐỔI AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001
Tổ chức, thủ tục kinh doanh, phương tiện xử lý thông tin và hệ thống có ảnh hưởng đến an toàn thông tin cần được kiểm soát. Quản lý thay đổi được kiểm soát thích hợp là điều cần thiết trong hầu hết các môi trường để đảm bảo rằng các thay đổi là phù hợp, hiệu quả, được ủy quyền thích hợp và được thực hiện theo cách để giảm thiểu cơ hội cho sự thỏa hiệp độc hại hoặc ngẫu nhiên. Quản lý thay đổi áp dụng trên toàn tổ chức, các quy trình, cơ sở xử lý thông tin, mạng, hệ thống và ứng dụng của tổ chức. Nhật ký đánh giá được yêu cầu để cung cấp bằng chứng về việc sử dụng đúng các thủ tục thay đổi. Kiểm toán viên sẽ muốn chỉ ra rằng các thủ tục thay đổi không cần phải quá phức tạp, nhưng cần phải phù hợp với bản chất của sự thay đổi đang được xem xét. Bạn có thể chỉ cần nắm bắt bằng chứng về các sửa đổi và thay đổi kiểm soát phiên bản khi bạn thực hiện hoặc vận hành quản lý thay đổi phức tạp hơn nhiều và bao gồm đào tạo lại và liên lạc cũng như đầu tư đáng kể hơn và các quy trình đăng ký
CÁC YÊU CẦU TRONG QUY TRÌNH KIỂM SOÁT SỰ THAY ĐỔI AN TOÀN THÔNG TIN THEO ISO 27001
Những thay đổi đối với tổ chức. các quy trình kinh doanh, phương tiện xử lý thông tin và hệ thống ảnh hưởng đến an toàn thông tin cần được kiểm soát.
Đặc biệt, các mục sau đây cần được xem xét:
- Xác định và ghi lại những thay đổi đáng kể;
- Lập kế hoạch và thử nghiệm các thay đổi
- Đánh giá các tác động tiềm tàng, bao gồm cả tác động an toàn thông tin, của những thay đổi đó;
- Thủ tục phê duyệt chính thức cho những thay đổi được đề xuất;
- Xác minh rằng các yêu cầu bảo mật thông tin đã được đáp ứng;
- Thông báo các chi tiết thay đổi cho tất cả những người có liên quan;
Các thủ tục dự phòng, bao gồm các thủ tục và trách nhiệm hủy bỏ và phục hồi từ những thay đổi không thành công và các sự kiện không lường trước được;
cung cấp quy trình thay đổi khẩn cấp để cho phép thực hiện nhanh chóng và có kiểm soát các thay đổi cần thiết để giải quyết sự cố.
Cần có các thủ tục và trách nhiệm quản lý chính thức để đảm bảo kiểm soát thỏa đáng tất cả các thay đổi. Khi các thay đổi được thực hiện, nhật ký đánh giá có chứa tất cả các thông tin liên quan phải được lưu giữ. Kiểm soát không đầy đủ các thay đổi đối với các cơ sở và hệ thống đánh giá thông tin là nguyên nhân phổ biến dẫn đến các lỗi hệ thống hoặc bảo mật. Những thay đổi đối với môi trường hoạt động, đặc biệt là khi chuyển một hệ thống từ giai đoạn phát triển sang giai đoạn vận hành, có thể ảnh hưởng đến độ tin cậy của các ứng dụng.
LÀM THẾ NÀO ĐỂ KIỂM SOÁT SỰ THAY ĐỔI AN TOÀN THÔNG TIN THEO ISO 27001
Các nôi dung bao gồm
- Nhu cầu thay đổi
Tất cả nhân viên của công ty khi nhận thấy nhu cầu thay đổi trong hệ thống thông tin thì lập phiếu yêu cầu thay đổi và gởi cho cấp quản lý.
- Đánh giá nhu cầu thau đổi
Cấp quản lý có trách nhiệm xem xét, đánh giá các nhu cầu thay đổi :
- Hoãn hoặc từ chối yêu cầu thay đổi nếu thay đổi đó không có hiệu quả.
– Hoãn yêu cầu thay đổi và sẽ xem xét yêu cầu này trong tương lai;
– Loại bỏ yêu cầu và dừng lại ở bước này.
- Đối với yêu cầu thay đổi được chấp nhận, chỉ định người thích hợp để phân tích yêu cầu thay đổi.
– Phân tích các rủi ro, tác động tiềm ẩn;
– Ghi nhận vào phiếu yêu cầu thay đổi.
- Phân tích nhu cầu thay đổi
– Người được phân công thực hiện đánh giá rủi ro đối với yêu cầu thay đổi. (Tham khảo quy trình đánh giá rủi ro)
– Ghi nhận vào phiếu yêu cầu thay đổi sau khi thực hiện đánh giá rủi ro.
- Phê duyệt yêu cầu thay đổi
Cấp quản lý trình nội dung thay đổi cho ban giám đốc xem xét, quyết định:
- Quyết định chấp thuận thay đổi. Nếu thay đổi có rủi ro cao thì phải có các giải pháp giảm rủi ro kèm theo.
- Không chấp nhận thay đổi thì kết thúc công việc.
- Thực hiện thay đổi
– Người được phân công lập kế hoạch và thực hiện sự thay đổi.
– Câp nhật lại danh mục tài sản và bảng đánh giá rủi ro (nếu có).
– Cấp quản lý giám sát quá trình thực hiện và báo cáo kết quả lên ban giám đốc.
– Lưu hồ sơ hoàn thành yêu cầu thay đổi
TRÁCH NHIỆM SOẠN THẢO PHÊ DUYỆT CHÍNH SÁCH KIỂM SOÁT SỰ THAY ĐỔI AN TOÀN THÔNG TIN THEO ISO 27001
Trách nhiệm soạn thảo kiểm soát sự thay đổi theo ISO 27001 sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra. Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ.
KIỂM SOÁT SỰ THAY ĐỔI THEO ISO 27001 ĐƯỢC ÁP DỤNG NHƯ THẾ NÀO?
Kiểm soát sự thay đổi theo tiêu chuẩn ISO 27001: 2013 có trong Phụ lục A kiểm soát “A.12.1.2 Quản lý thay đổi,” yêu cầu kiểm soát các thay đổi đối với tổ chức, quy trình kinh doanh, phương tiện xử lý thông tin và hệ thống ảnh hưởng đến an ninh thông tin. Như bạn có thể thấy, yêu cầu tồn tại, nhưng không có hướng dẫn cụ thể nào về cách triển khai kiểm soát (ví dụ: Thủ tục thay đổi không phải là tài liệu bắt buộc), vì vậy trong bài viết này, tôi sẽ đề xuất một trong những cách để quản lý các thay đổi.
TÓM LƯỢC KHẲNG ĐỊNH YÊU CẦU CỦA QUẢN LÝ SỰ THAY ĐỔI THEO ISO 27001
Tất cả các mối đe dọa có thể phát triển trong một tổ chức, các thủ tục kinh doanh, các phương tiện xử lý thông tin và hệ thống ảnh hưởng đến an toàn thông tin cần được kiểm soát. Với các thay đổi, bạn có thể chỉ cần nắm bắt bằng chứng về các sửa đổi đã được thay đổi. Cần có các thủ tục và trách nhiệm quản lý chính thức để đảm bảo kiểm soát thỏa đáng tất cả các thay đổi. Khi các thay đổi được thực hiện, nhật ký đánh giá có chứa tất cả các thông tin liên quan phải được lưu giữ.
Những thay đổi trong công nghệ là rất thường xuyên và những thay đổi cũng ảnh hưởng đến hệ thống ISMS của chúng tôi (không chỉ vì mục đích cải tiến mà còn trong hoạt động kinh doanh hàng ngày). Tuy nhiên, nếu chúng ta không quản lý chúng theo một quy trình, chúng ta có thể thấy bất ngờ có thể (thường) liên quan đến sự cố bảo mật thông tin hoặc gián đoạn hoạt động kinh doanh, điều này cũng có thể ảnh hưởng đến khách hàng của chúng ta. Vì vậy, nếu bạn quản lý các thay đổi, tôi chắc chắn rằng bạn có thể cải thiện tổ chức của mình, bởi vì quản lý các hoạt động trong bất kỳ loại hình kinh doanh nào là cách tốt nhất để cải thiện nó – điều đó cũng có nghĩa là việc kiểm soát các thay đổi sẽ giảm bớt các vấn đề đau đầu và chi phí.
ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Mr. Nhất Duy: 0932 321 236
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…