Mục lục
SƠ LƯỢC VỀ MỤC TIÊU AN TOÀN THÔNG TIN THEO ISO 27001
Mục tiêu an toàn thông tin (Điều khoản 6.2) này là một điều khó hiểu và rất khó để làm đúng. Điều này cần suy nghĩ và hiểu biết.
Hầu hết các công ty đều có những mục tiêu thường xuyên mà họ muốn đạt được. Điều này chủ yếu là trong bán hàng, tiếp thị, hoạt động hoặc trong các lĩnh vực hỗ trợ. Các mục tiêu sẽ xoay quanh ngân sách đáp ứng, giao mọi thứ đúng thời hạn hoặc trả lời các câu hỏi trong một khung thời gian nhất định.
Những điều này rất dễ đo lường. Chúng rất dễ xác định. Đối với an toàn thông tin, việc đặt các mục tiêu lại với nhau là một mức độ khó khăn khác.
Mục tiêu như “không có sự cố an toàn thông tin” có lẽ là phổ biến nhất. Có rất nhiều tranh luận xung quanh thuật ngữ “số không”. Trong ngành công nghiệp an toàn, đã có một cuộc tranh luận kéo dài hàng thập kỷ về mục tiêu “không gây hại”. Vì vậy, hãy cẩn thận nếu bạn có mục tiêu đó.
Một lập luận chống lại việc đạt được mục tiêu đó là cách dễ nhất để đạt được mục tiêu đó là nhân viên không ghi lại bất kỳ sự cố nào. Họ sẽ che giấu các sự cố vì họ muốn công ty đạt được mục tiêu. Điều này hoàn toàn ngược lại với những gì ISMS của bạn muốn đạt được.
Lời khuyên của tôi là làm việc thông qua 14 phần của Phụ lục A của ISO 27001 và xác định các mục tiêu của bạn từ việc đánh giá rủi ro và xử lý rủi ro mà bạn có trên sổ đăng ký rủi ro của mình từ blog trước. Lời khuyên này xuất phát từ điều khoản phụ của 6.2. Điều khoản 6.2 c) cho biết:
Tính đến các yêu cầu bảo mật thông tin hiện hành và kết quả từ việc đánh giá rủi ro và xử lý rủi ro.
TẠI SAO PHẢI THIẾT LẬP MỤC TIÊU AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001
Mục tiêu an toàn thông tin giúp thực hiện các mục tiêu chiến lược của tập đoàn cũng như thực hiện chính sách bảo mật tri thức. Do đó, các mục tiêu trong hệ thống ISMS là các mục tiêu bảo mật tri thức về tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu. Các mục tiêu an toàn thông tin cũng giúp xác định và đo lường hiệu suất của các quá trình và kiểm soát bảo mật dữ liệu, phù hợp với chính sách bảo mật tri thức.
Tổ chức có kế hoạch thiết lập và ban hành các mục tiêu an toàn thông tin cho các chức năng và cấp độ liên quan.
Các yêu cầu trong ISO / IEC 27001 liên quan đến các mục tiêu an toàn thông tin được áp dụng cho tất cả hoặc bất kỳ mục tiêu an toàn thông tin nào. Nếu chính sách an toàn tri thức có chứa các mục tiêu, thì các mục tiêu đó bắt buộc phải đáp ứng các tiêu chuẩn. Nếu chính sách có một khuôn khổ để thiết lập các mục tiêu, thì các mục tiêu được tạo ra bởi khuôn khổ đó là bắt buộc để có thể được đáp ứng.
Các yêu cầu cần được xem xét khi thiết lập mục tiêu là những yêu cầu được xác định khi hiểu tổ chức và bối cảnh của tổ chức cũng vì nhu cầu và mong đợi của các bên quan tâm.
Kết quả từ đánh giá rủi ro và xử lý rủi ro được sử dụng làm đầu vào cho quá trình xem xét liên tục các mục tiêu để đảm bảo rằng chúng tiếp tục phù hợp với hoàn cảnh của công ty Mục tiêu an toàn thông tin là đầu vào để đánh giá rủi ro: tiêu chí chấp nhận rủi ro và tiêu chí cho thực hiện đánh giá rủi ro an toàn thông tin có xem xét đến các mục tiêu bảo mật này và do đó đảm bảo rằng các mức độ rủi ro phù hợp với chúng.
CÁC NỘI DUNG CHÍNH CẦN PHẢI CÓ TRONG THIẾT LẬP MỤC TIÊU AN TOÀN THÔNG TIN
Khi bạn tạo và thực hiện một chính sách bảo mật, bạn phải có mục tiêu rõ ràng. Các mục tiêu an ninh thuộc một hoặc nhiều loại sau:
Các mục tiêu an toàn thông tin theo ISO / IEC 27001 là:
- Theo chính sách bảo mật tri thức;
- Có thể đo lường nếu có thể thực hiện được; điều này cho thấy rằng điều quan trọng là phải sẵn sàng để xác định xem một mục tiêu đã được đáp ứng hay chưa;
- Được kết nối với các yêu cầu bảo mật thông tin hiện hành và kết quả từ việc đánh giá rủi ro và xử lý rủi ro;
- được giao tiếp;
- Cập nhật khi thích hợp;
Tổ chức lưu giữ thông tin dạng văn bản về các mục tiêu an toàn tri thức.
Khi lập kế hoạch cách thức để đạt được các mục tiêu an toàn thông tin của mình, tổ chức xác định:
- Những gì sẽ được thực hiện;
- Những nguồn lực nào sẽ được yêu cầu;
- Ai sẽ chịu trách nhiệm;
- Khi nó sẽ được hoàn thành;
- Kết quả sẽ được đánh giá như thế nào;
Yêu cầu trên liên quan đến việc lập kế hoạch là chung và có thể áp dụng cho các kế hoạch khác theo yêu cầu của ISO / IEC 27001. Các kế hoạch cần suy nghĩ cho một ISMS bao gồm:
- Kế hoạch cải thiện ISMS;
- Kế hoạch xử lý các rủi ro đã xác định;
- Các kế hoạch khác cần thiết cho hoạt động hiệu quả (ví dụ: kế hoạch phát triển năng lực và nâng cao nhận thức, giao tiếp, đánh giá hiệu suất, đánh giá nội bộ và đánh giá của ban quản lý).
Các chính sách an toàn thông tin cần nêu rõ các mục tiêu an ninh kiến thức hoặc cung cấp một khuôn khổ cho việc thiết lập các mục tiêu. Các mục tiêu bảo mật thường được thể hiện theo nhiều cách khác nhau. Biểu thức phải phù hợp để đáp ứng nhu cầu có thể đo lường được (nếu có thể thực hiện được) (ISO / IEC 27001: 2013,).
LÀM THẾ NÀO ĐỂ THIẾT LẬP MỤC TIÊU AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001
Khi bạn tạo và thực hiện một chính sách bảo mật, bạn phải có mục tiêu rõ ràng. Các mục tiêu an ninh thuộc một hoặc nhiều loại sau:
Bảo vệ tài nguyên
Kế hoạch bảo vệ tài nguyên của bạn đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập các đối tượng trên hệ thống. Khả năng bảo mật tất cả các loại tài nguyên hệ thống là một điểm mạnh của Hệ thống. Bạn nên xác định cẩn thận các danh mục người dùng khác nhau có thể truy cập vào hệ thống của bạn. Ngoài ra, bạn nên xác định ủy quyền truy cập mà bạn muốn cấp cho các nhóm người dùng này như một phần của quá trình tạo chính sách bảo mật của bạn.
Xác thực
Sự đảm bảo hoặc xác minh rằng tài nguyên (con người hoặc máy móc) ở đầu bên kia của phiên thực sự là những gì nó tuyên bố. Xác thực vững chắc bảo vệ hệ thống chống lại nguy cơ bảo mật do mạo danh, trong đó người gửi hoặc người nhận sử dụng danh tính giả để truy cập hệ thống. Theo truyền thống, các hệ thống đã sử dụng mật khẩu và tên người dùng để xác thực; chứng chỉ kỹ thuật số có thể cung cấp một phương pháp xác thực an toàn hơn đồng thời cung cấp các lợi ích bảo mật khác. Khi bạn liên kết hệ thống của mình với một mạng công cộng như Internet, xác thực người dùng sẽ có những chiều hướng mới. Một điểm khác biệt quan trọng giữa Internet và mạng nội bộ của bạn là khả năng tin cậy danh tính của người dùng đăng nhập. Do đó, bạn nên xem xét nghiêm túc ý tưởng sử dụng các phương pháp xác thực mạnh hơn so với tên người dùng truyền thống và các thủ tục đăng nhập bằng mật khẩu. Người dùng đã xác thực có thể có các loại quyền khác nhau dựa trên cấp độ ủy quyền của họ.
Ủy quyền
Đảm bảo rằng người hoặc máy tính ở đầu bên kia của phiên có quyền thực hiện yêu cầu. Ủy quyền là quá trình xác định ai hoặc cái gì có thể truy cập tài nguyên hệ thống hoặc thực hiện các hoạt động nhất định trên hệ thống. Thông thường, ủy quyền được thực hiện trong bối cảnh xác thực.
Thanh Liêm
Đảm bảo rằng thông tin đến cũng giống như thông tin đã được gửi đi. Hiểu tính toàn vẹn đòi hỏi bạn phải hiểu các khái niệm về tính toàn vẹn của dữ liệu và tính toàn vẹn của hệ thống.
Không bác bỏ
Bằng chứng cho thấy một giao dịch đã xảy ra hoặc bạn đã gửi hoặc nhận một tin nhắn. Việc sử dụng chứng chỉ số và mật mã khóa công khai để ký kết các giao dịch, tin nhắn và tài liệu hỗ trợ tính năng không từ chối. Cả người gửi và người nhận đều đồng ý rằng việc trao đổi diễn ra. Chữ ký điện tử trên dữ liệu cung cấp bằng chứng cần thiết.
Bảo mật
Đảm bảo rằng thông tin nhạy cảm vẫn riêng tư và không bị kẻ nghe trộm nhìn thấy. Tính bảo mật là rất quan trọng đối với bảo mật toàn bộ dữ liệu. Mã hóa dữ liệu bằng cách sử dụng chứng chỉ kỹ thuật số và Lớp cổng bảo mật (SSL) hoặc kết nối mạng riêng ảo (VPN) giúp đảm bảo tính bảo mật khi truyền dữ liệu qua các mạng không đáng tin cậy. Chính sách bảo mật của bạn nên kết luận cách bạn sẽ cung cấp tính bảo mật cho thông tin trong mạng của bạn cũng như khi thông tin rời khỏi mạng của bạn.
Kiểm toán các hoạt động bảo mật
Giám sát các sự kiện liên quan đến bảo mật để cung cấp nhật ký về cả truy cập thành công và không thành công (bị từ chối). Các bản ghi truy cập thành công cho bạn biết ai đang làm gì trên hệ thống của bạn. Các bản ghi truy cập không thành công (bị từ chối) cho bạn biết rằng ai đó đang cố gắng phá vỡ bảo mật của bạn hoặc ai đó đang gặp khó khăn khi truy cập vào hệ thống của bạn.
TRÁCH NHIỆM SOẠN THẢO PHÊ DUYỆT THIẾT LẬP MỤC TIÊU AN TOÀN THÔNG TIN
Trách nhiệm soạn thảo mục tiêu an toàn thông tin sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra. Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ.
MỤC TIÊU AN TOÀN THÔNG TIN ĐƯỢC ÁP DỤNG NHƯ THẾ NÀO?
Thiết lập mục tiêu an toàn thông tin được viết trong điều khoản 6 – Lập kế hoạch của bộ tài liệu ISO 27001: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó.
TÓM LƯỢC VÀ KHẲNG ĐỊNH YẾU CẦU CỦA THIẾT LẬP MỤC TIÊU AN TOÀN THÔNG TIN THEO ISO 27001
Để thiết lập mục tiêu an toàn thông tin tổ chức cần thảo luận những điều sau:
- Mỗi mục tiêu cần được thảo luận chi tiết.
- Kế hoạch về cách thức đạt được từng mục tiêu và khung thời gian của từng mục tiêu cần phải rõ ràng.
- Vai trò của từng thành viên trong nhóm.
- Xác định người chịu trách nhiệm đáp ứng các mục tiêu.
- Mọi thành viên trong nhóm cần nhận được bản in danh sách các mục tiêu và các bước cần thiết để đạt được chúng.
- Kết thúc bằng phần câu hỏi và câu trả lời.
Cuối cùng, hãy luôn nhớ rằng bạn có thể thay đổi mục tiêu của mình nếu chúng không phù hợp với phần còn lại của hệ thống quản lý bảo mật thông tin (ISMS). Mục tiêu của tổ chức bạn có thể phù hợp khi bắt đầu hệ thống nhưng theo thời gian, chúng sẽ phát triển thêm một số điểm nữa khi công nghệ mới, quy định mới và lỗ hổng bảo mật mới được tìm thấy.
- Suy nghĩ kỹ về mục tiêu của bạn.
- Sử dụng các đánh giá rủi ro và xử lý rủi ro khi tạo ra các mục tiêu chất lượng của bạn.
- Bao gồm các thành viên trong nhóm của bạn trong việc thiết lập và thực hiện các mục tiêu
- Giao tiếp là chìa khóa.
- Theo dõi và đánh giá kết quả.
ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Mr. Nhất Duy: 0932 321 236
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…