Quản lý tính liên tục-Phụ lục A.17.1 về tính liên tục của bảo mật thông tin. Mục tiêu trong Phụ lục A kiểm soát này là tính liên tục về an toàn thông tin phải được đưa vào hệ thống quản lý tính liên tục kinh doanh của tổ chức. Đó là một phần quan trọng của hệ thống quản lý bảo mật thông tin (ISMS), đặc biệt nếu bạn muốn đạt được chứng chỉ ISO 27001
Mục lục
Tổng quan về việc thực hiện các khía cạnh an toàn thông tin của quản lý tính liên tục kinh doanh theo phụ lục A.17 ISO/IEC 27001:2013?
Kế hoạch Liên tục Kinh doanh đã được thiết kế linh hoạt để Công ty có thể ứng phó với nhiều tình huống khẩn cấp khác nhau. Có nhiều tình huống khác nhau có thể gặp phải, ví dụ:
- Nhân viên có thể không thể đi làm do hạn chế đi lại (ví dụ, trong trường hợp đại dịch hoặc các cảnh báo cho thấy một vấn đề sức khỏe địa lý tiềm ẩn).
- Bất kỳ tòa nhà nào cần được sơ tán do bom đạn, hỏa hoạn, lũ lụt hoặc các sự cố khác khiến tòa nhà không an toàn để nhân viên tiếp tục sử dụng.
- Cơ sở hạ tầng CNTT ngừng hoạt động bình thường sau khi thiếu điện, tấn công mạng, lỗi phần cứng hoặc lỗi Internet.
- Để Kế hoạch liên tục kinh doanh có thể được ban hành một cách hiệu quả, các Bộ phận cần thực hiện đánh giá ban đầu về rủi ro đối với doanh nghiệp do tình huống khẩn cấp gây ra .
- Các Bộ phận sẽ đánh giá nhu cầu của tất cả các nhóm và bộ phận và đảm bảo rằng các nhóm CNTT và Sản xuất đưa ra các kế hoạch khắc phục thảm họa của họ một cách thích hợp. Trong hầu hết các trường hợp, ưu tiên nên được ưu tiên cho các bộ phận sau: CNTT, Sản xuất và Nhân sự.
Nội dung
Tại sao phải thực hiện các khía cạnh an toàn thông tin của quản lý tính liên tục kinh doanh theo phụ lục A.17 ISO/IEC 27001:2013?
Để giảm thời gian và nỗ lực của phân tích tác động kinh doanh ‘bổ sung’ đối với bảo mật thông tin, nên nắm bắt các khía cạnh an toàn thông tin trong quản lý kinh doanh liên tục thông thường hoặc phân tích tác động kinh doanh của quản lý khắc phục thảm họa. Điều này ngụ ý rằng các yêu cầu về tính liên tục của bảo mật thông tin được xây dựng một cách rõ ràng trong các quy trình quản lý tính liên tục của doanh nghiệp hoặc quản lý phục hồi sau thảm họa.
Các nội dung chính cần phải có thực hiện các khía cạnh an toàn thông tin của quản lý tính liên tục kinh doanh theo phụ lục A.17 ISO/IEC 27001:2013?
PHỤ LỤC. A: 17 CÁC KHÍA CẠNH BẢO MẬT THÔNG TIN CỦA QUẢN LÝ TÍNH LIÊN TỤC CỦA DOANH NGHIỆP
A: 17 xác định các khía cạnh an toàn thông tin của quản lý tính liên tục của doanh nghiệp. Điều này có nghĩa là, làm thế nào bạn có thể tiếp tục làm việc trong doanh nghiệp ngay cả khi mối đe dọa đã được nhận ra và loại bỏ. Đây là giai đoạn phục hồi và liên tục lập kế hoạch trước để bảo vệ doanh nghiệp. Bây giờ chúng ta hãy thảo luận sâu hơn về điều khiển này.
PHỤ LỤC. A: 17.1 TÍNH LIÊN TỤC VỀ BẢO MẬT THÔNG TIN
Mục tiêu chính của điều khoản này là đảm bảo tính liên tục của an ninh thông tin được nhúng trong hệ thống của tổ chức. Trong điều khoản này có 3 điều khiển chính như sau:
PHỤ LỤC. A: 17.1.1- LẬP KẾ HOẠCH BẢO MẬT THÔNG TIN TÍNH LIÊN TỤC:
Kiểm soát này xác định rằng các tổ chức phải chuẩn bị một kế hoạch phục hồi để tránh bất kỳ sự không chắc chắn nào. Bất kỳ tổ chức nào muốn đạt được ISO 27001, cần phải xác định các yêu cầu về bảo mật thông tin. Khuyến nghị rằng các tổ chức có thể nắm bắt các khía cạnh bảo mật và lập kế hoạch để bảo vệ an toàn thông tin.
PHỤ LỤC. A: 17.1.2 THỰC HIỆN LIÊN TỤC BẢO MẬT THÔNG TIN:
Ban quản lý cần thực hiện một loạt các chính sách, giúp duy trì các quy trình và thủ tục dưới dạng tài liệu mật. Tổ chức cần thiết lập, lập hồ sơ, thực hiện và duy trì các quá trình, thủ tục và kiểm soát để đảm bảo mức độ liên tục cần thiết đối với an toàn thông tin trong một tình huống gián đoạn
PHỤ LỤC. A: 17.1.3 XÁC MINH, XEM XÉT VÀ ĐÁNH GIÁ TÍNH LIÊN TỤC CỦA BẢO MẬT THÔNG TIN:
- Các biện pháp kiểm soát ISO 27001 giúp tổ chức thiết lập một môi trường an toàn. Các biện pháp kiểm soát được thực hiện để đảm bảo tính liên tục của an toàn thông tin phải được kiểm tra, xem xét và đánh giá. Các chính sách và thủ tục kiểm soát này bắt buộc phải có ở những nơi:
- Có những mối đe dọa đáng kể đối với sự an toàn hoặc hạnh phúc của các cá nhân hoặc đối với kết cấu hoặc danh tiếng của tổ chức và;
- Sự cố có thể xảy ra hoặc có khả năng dẫn đến việc tạm dừng các
hoạt động bình thường.
- Bạn có thể kiểm soát các mối đe dọa này bằng cách triển khai các điều khiển cơ bản như quản lý quyền truy cập khẩn cấp, thay đổi mật khẩu, kiểm tra hệ thống, v.v
PHỤ LỤC. A: 17,2 DỰ PHÒNG:
Dự phòng mạng được giới thiệu để cải thiện độ tin cậy và đảm bảo tính khả dụng. Để tối đa hóa tính khả dụng với độ phức tạp tối thiểu. Mục đích của dự phòng là để ngăn chặn bất kỳ sự gián đoạn nào trong hoạt động của hệ thống trong trường hợp lỗi kỹ thuật hoặc thảm họa bằng cách duy trì tính liên tục của dịch vụ. Để đảm bảo thời gian hoạt động của toàn bộ môi trường CNTT dự phòng dữ liệu và kết nối internet là rất quan trọng
Làm thế nào để soạn thảo bảng thực hiện các khía cạnh an toàn thông tin của quản lý tính liên tục kinh doanh theo phụ lục A.17 ISO/IEC 27001:2013?
Giai đoạn 1 – Hành động ngay lập tức
- Bước 1: Các phòng ban đánh giá tình hình và quyết định xem kế hoạch khắc phục thảm họa.
- Bước 2: Các kế hoạch khắc phục hậu quả thiên tai được kích hoạt theo yêu cầu của cơ quan quản lý.
- Bước 3: Bộ phận liên hệ với Giám đốc và thông báo cho họ về tình hình và hành động đang diễn ra.
- Bước 4: Thông báo cho bất kỳ đối tác chính nào về tình hình, chẳng hạn như chủ sở hữu tài sản bên thứ ba.
- Bước 5: PR / Marketing thông báo cho khách hàng, báo chí về tình hình. Đại diện PR đăng các thông điệp có liên quan trên trang web, điện thoại và e-mail để tất cả nhân viên và bên thứ ba có thể được thông báo về tình hình.
Giai đoạn 2 – Cuộc họp sau sự cố
- Sau khi tất cả các thông tin liên lạc ban đầu đã được thực hiện
- Bộ phận & Ban quản lý sẽ họp để đánh giá tình hình
- Và phát triển kế hoạch tiếp theo.
- Kế hoạch theo dõi nên bao gồm đánh giá liệu tình hình
- Sẽ kéo dài một giờ, một ngày, một tuần hay hơn một tuần.
- Tùy thuộc vào đánh giá này, các chiến lược khác nhau
- Sẽ được đưa ra để xác định vị trí
- Và duy trì các phương tiện liên lạc để đáp ứng nhu cầu của các phòng ban
- Bộ phận, dịch vụ và bên thứ ba khác nhau
- Nhằm đảm bảo sự tiếp tục của hoạt động kinh doanh và giảm thiểu thiệt hại kinh tế.
Giai đoạn 3 – Đánh giá tình hình liên tục
- Ban giám đốc sẽ triệu tập trực tiếp
- Hoặc trực tuyến và liên tục đánh giá mức độ nghiêm trọng
- Và thời gian của tình huống, thông báo cho tất cả các bên
- Và cung cấp cho tất cả các nhu cầu quan trọng của doanh nghiệp.
- Ban giám đốc cần tiếp tục họp thường xuyên
- Để tiếp tục đánh giá lại tình hình, theo dõi các kế hoạch khắc phục hậu quả thiên tai
- Và liên lạc với các bên liên quan chính cho đến khi tình trạng khẩn cấp kết thúc.
Trách nhiệm soạn thảo và phê duyệt thực hiện các khía cạnh an toàn thông tin của quản lý tính liên tục kinh doanh theo phụ lục A.17 ISO/IEC 27001:2013?
Một tổ chức phải đảm bảo rằng:
- Có một cơ cấu quản lý thích hợp
- Để chuẩn bị, giảm thiểu và ứng phó với một sự kiện gây rối
- Bằng cách sử dụng nhân sự có thẩm quyền, kinh nghiệm và năng lực cần thiết;
- Nhân viên ứng phó sự cố với trách nhiệm
- Quyền hạn và năng lực cần thiết để quản lý sự cố
- Và duy trì an toàn thông tin được đề cử;
- Các kế hoạch, thủ tục ứng phó
- Và phục hồi được lập thành văn bản được phát triển
- Và phê duyệt, nêu chi tiết cách tổ chức sẽ quản lý một sự kiện gián đoạn
- Và sẽ duy trì bảo mật thông tin của mình ở mức xác định trước
- Dựa trên các mục tiêu liên tục về an toàn thông tin đã được ban quản lý phê duyệt.
Theo các yêu cầu về tính liên tục của an toàn thông tin, tổ chức phải thiết lập, lập thành văn bản, thực hiện và duy trì:
- Các biện pháp kiểm soát an toàn thông tin
- Trong phạm vi hoạt động liên tục của doanh nghiệp
- Hoặc các quy trình, thủ tục phục hồi
- Sau thảm họa cũng như các hệ thống và công cụ hỗ trợ;
- Các quy trình, thủ tục và thực hiện các thay đổi
- Để duy trì các biện pháp kiểm soát an toàn thông tin
- Hiện có trong tình huống bất lợi;
- Các biện pháp bù đắp cho các biện pháp kiểm soát an toàn thông tin
- Không thể được duy trì trong tình huống bất lợi.
Thực hiện các khía cạnh an toàn thông tin của quản lý tính liên tục kinh doanh theo phụ lục A.17 ISO/IEC 27001:2013 được phổ biến áp dụng như thế nào?
- Một tổ chức được chuẩn bị tốt nên phát triển một kế hoạch
- Đề cập đến tất cả các dịch vụ chính và quản trị, phân phối và hỗ trợ của chúng.
- Tổ chức cần xem xét hoặc bắt tay vào việc xây dựng một kế hoạch
- Bao gồm các cam kết, thủ tục, công nghệ, nguồn lực, phương pháp luận
- Và thông tin liên lạc cần thiết cho việc lập kế hoạch phát triển, hỗ trợ và triển khai.
Mẫu thực hiện các khía cạnh an toàn thông tin của quản lý tính liên tục kinh doanh theo phụ lục A.17 ISO/IEC 27001:2013 tham khảo?
Mẫu biên bản diễn tập phương án dự phòng đảm bảo nguồn cung cho server tham khảo:
Tóm lược và khẳng định yêu cầu của việc thực hiện các khía cạnh an toàn thông tin của quản lý tính liên tục kinh doanh theo phụ lục A.17 ISO/IEC 27001:2013?
- Một tổ chức cần xác định xem liệu tính liên tục của bảo mật thông tin
- Có được nắm bắt trong quá trình quản lý tính liên tục của doanh nghiệp
- Hay trong quá trình quản lý khắc phục hậu quả sau thảm họa hay không.
- Các yêu cầu về bảo mật thông tin cần được xác định khi lập kế hoạch
- Cho hoạt động kinh doanh liên tục và phục hồi sau thảm họa.
- Trong trường hợp không có kế hoạch kinh doanh liên tục
- Và khắc phục thảm họa chính thức, quản lý an toàn thông tin nên giả định rằng
- Các yêu cầu về an toàn thông tin vẫn giữ nguyên trong các tình huống bất lợi
- So với các điều kiện hoạt động bình thường.
- Ngoài ra, một tổ chức có thể thực hiện phân tích tác động kinh doanh
- Đối với các khía cạnh an toàn thông tin
- Để xác định các yêu cầu an toàn thông tin áp dụng cho các tình huống bất lợi.