Mục lục
SƠ LƯỢC VỀ TRÁCH NHIỆM ĐỐI VỚI TÀI SẢN THEO ISO 27001
Theo định nghĩa, tài sản là một nguồn lực có giá trị kinh tế mà một doanh nghiệp hoặc tổ chức sở hữu, với kỳ vọng rằng nó sẽ mang lại lợi ích trong tương lai. Tài sản có thể được coi là thứ mà trong tương lai có thể tạo ra dòng tiền, giảm chi phí hoặc cải thiện doanh số bán hàng, bất kể đó là thiết bị sản xuất, tòa nhà, xe tải hay bằng sáng chế. Tài sản được báo cáo trên bảng cân đối kế toán của công ty và được mua hoặc tạo ra để tăng giá trị của công ty hoặc mang lại lợi ích cho hoạt động của công ty. Khi bạn nhìn vào nó như thế này, thật đáng ngạc nhiên là các doanh nghiệp có thể có trong tay những nguồn tài nguyên quý giá như vậy và lại quá sai lầm khi quản lý chúng.
Vì vậy, bước đầu tiên là xác định tài sản của bạn. Tạo “bản kiểm kê tài sản” hay nói cách khác là Sổ đăng ký tài sản. Điều này rất đơn giản để thực hiện và một khi khách hàng nhìn thấy một đăng ký Nội dung trong tất cả các vinh quang của nó, họ nhanh chóng bắt đầu hiểu cách họ có thể sử dụng đăng ký cho nhiều mục đích của hệ thống quản lý. Các nhiệm vụ chẳng hạn như
- Sự bảo trì,
- Xác định vị trí thiết bị bị thiếu,
- Ưu tiên rủi ro,
- Phân loại tài sản cho các mục đích rủi ro
- Và thậm chí để xác định mục tiêu
và nhiều người khác đều có thể hoạt động và đơn giản với Sổ đăng ký tài sản.
TẠI SAO PHẢI THỰC HIỆN TRÁCH NHIỆM ĐỐI VỚI TÀI SẢN THEO ISO 27001
Mục tiêu trong Phụ lục này là xác định các tài sản thông tin trong phạm vi của hệ thống quản lý và xác định trách nhiệm bảo vệ thích hợp
Có hai lý do tại sao trách nhiệm đồi với tài sản lại quan trọng:
1) Tài sản thường được sử dụng để thực hiện đánh giá rủi ro – mặc dù không bắt buộc theo ISO 27001: 2013, tài sản thường là yếu tố chính để xác định rủi ro, cùng với các mối đe dọa và lỗ hổng bảo mật.
2) Nếu tổ chức không biết ai chịu trách nhiệm về tài sản nào, thì sự hỗn loạn sẽ xảy ra – xác định chủ sở hữu tài sản và giao cho họ trách nhiệm bảo vệ tính bí mật, tính toàn vẹn và tính sẵn có của thông tin là một trong những khái niệm cơ bản trong ISO 27001.
MỘT SỐ YÊU CẦU CẦN PHẢI CÓ TRONG THỰC HIỆN TRÁCH NHIỆM ĐỐI VỚI TÀI SẢN THEO ISO 27001
Để quản lý hiệu quả tài sản của tổ chức, trước tiên bạn phải hiểu mình có những tài sản gì và tổ chức của bạn lưu giữ chúng ở đâu. Một số ví dụ về nội dung là phần cứng CNTT, phần mềm, dữ liệu, tài liệu hệ thống và phương tiện lưu trữ. Các tài sản hỗ trợ như hệ thống không khí của trung tâm dữ liệu, UPS và các dịch vụ nên được đưa vào bản kiểm kê. Tất cả tài sản phải được hạch toán và có chủ sở hữu. Nếu được quản lý không phù hợp, tài sản có thể trở thành nợ phải trả.
- Phân loại tài sản của bạn. Bắt đầu bằng cách xác định các danh mục riêng biệt của các loại tài sản trong tổ chức. Mỗi danh mục phải có khoảng không quảng cáo hoặc cấu trúc phân loại riêng dựa trên tài sản mà danh mục đó có thể chứa. (Hạng mục: Phần cứng Trung tâm Dữ liệu)
- Tạo danh sách nội dung cho từng danh mục. Tạo danh sách tài sản của một tổ chức và các vị trí tương ứng của chúng là bước khởi đầu trong hành trang của bạn. Thông thường, quá trình làm như vậy giúp xác định các nội dung bổ sung mà trước đây chưa được xem xét. (Danh mục: Phần cứng của Trung tâm Dữ liệu; Nội dung: Bộ chuyển mạch Mạng lõi)
- Thêm vị trí cho từng nội dung. Vị trí có thể là một vị trí thực tế như lớp học, trung tâm dữ liệu hoặc văn phòng. Nó cũng có thể là các tài liệu nghiên cứu hợp tác trên một lượt chia sẻ tệp hoặc thông tin tài chính được lưu trữ trong cơ sở dữ liệu. (Hạng mục: Phần cứng của Trung tâm Dữ liệu; Nội dung: Bộ chuyển mạch Mạng lõi; Vị trí: Phòng số 001)
Bởi vì tài sản có thể là nhiều thứ và phục vụ nhiều chức năng, có thể sẽ có nhiều hơn một quy trình hoặc hệ thống kiểm kê được sử dụng để nắm bắt phạm vi tài sản tồn tại trong một tổ chức. Đảm bảo rằng bạn kết nối với các khu vực khác để xem dạng kiểm kê phần cứng đã tồn tại. Đừng bắt đầu từ con số không. Mỗi hệ thống hàng tồn kho không được trùng lặp một cách không cần thiết các hàng tồn kho khác có thể tồn tại.
LÀM THẾ NÀO ĐỂ THỰC HIỆN TRÁCH NHIỆM ĐỐI VỚI TÀI SẢN THEO ISO 27001
Để thực hiện trách nhiệm đối với tài sản theo ISO 27001 tổ chức của bạn sẽ áp dụng quy trình quản lý tài sản trong bộ tài liệu gồm các nội dung:
KIỂM KÊ TÀI SẢN
– Lập danh mục các tài sản thông tin hiện có trong phạm vi của hệ thống quản lý an ninh thông tin. ( sử dụng chung biểu mẫu đánh giá rủi ro)
– Tài sản thông tin được nhận dạng như: tài liệu hồ sơ, dữ liệu, phần mềm ứng dụng, thiết bị phần cứng, dịch vụ mạng, thiết bị phụ trợ khác.
– Danh mục này sẽ được cập nhật định kỳ hàng năm hoặc khi có thay đổi tài sản thông tin như thêm mới hoặc loại bỏ.
PHÂN QUYỀN SỬ DỤNG TÀI SẢN
Việc xác nhận quyền quản trị và quản lý tài sản thông tin sẽ được ghi nhận trong Danh mục tài sản thông tin và phiếu giao tài sản thông tin.
CHẤP NHẬN SỬ DỤNG TÀI SẢN
Khi được giao quản lý tài sản thông tin, người quản lý tài sản thông tin phải có trách nhiệm quản lý, bảo vệ an toàn tài sản thông tin này và phải tuân thủ các quy định về an ninh thông tin của hệ thống quản lý an ninh thông tin.
HOÀN TRẢ TÀI SẢN
Khi nhân viên nghỉ việc hoặc hết quyền quản lý tài sản thông tin thì tiến hành giao lại cho trung tâm. Quy định bàn giao như sau:
1. Hồ sơ tài liệu bàn giao lại cho cấp quản lý trực tiếp.
2. Các dữ liệu, tài khoản quản trị thiết bị công nghệ thông tin, phần mềm ứng dụng, thư điện tử do trung tâm cấp,… giao lại cho cấp quản lý trực tiếp.
3. Các phần cứng như: máy tính, USB, thiết bị phụ trợ,….thì lập phiếu bàn giao lại cho cấp quản lý trực tiếp.
4. Các tài sản vật lý khác như thẻ nhân viên, chìa khóa…thì lập phiếu giao tài sản cho bộ phận Hành chính.
TRÁCH NHIỆM SOẠN THẢO PHÊ DUYỆT
Trách nhiệm soạn thảo sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra. Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ.
TRÁCH NHIỆM ĐỐI VỚI TÀI SẢN THEO ISO 27001 ĐƯỢC ÁP DỤNG NHƯ THẾ NÀO?
Trách nhiệm đối với tài sản được viết trong Phụ lục A.8.1 –của bộ tài liệu ISO 27001: Tổ chức cần xác định được mục đích và nội dung trong việc thực hiện trách nhiệm đối với tài sản theo ISO 27001, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc trách nhiệm đối với tài sản và kế hoạch để đạt được mục tiêu đó.
TÓM LƯỢC KHẲNG ĐỊNH YÊU CẦU TRONG VIỆC THỰC HIỆN TRÁCH NHIỆM ĐỐI VỚI TÀI SẢN THEO TIÊU CHUẨN ISO 27001
Khi bạn đã bắt đầu kiểm kê các tài sản tiềm năng và vị trí của chúng, hãy bắt đầu xác định người chịu trách nhiệm cho từng tài sản. Chủ sở hữu là một người, hoặc các cá nhân hoặc bộ phận, được giao trách nhiệm chính thức về bảo mật của một tài sản. Chủ sở hữu có trách nhiệm bảo mật tài sản trong suốt vòng đời của tài sản. Tại điểm mấu chốt này của bài tập, điều quan trọng là phải hiểu sự phân biệt giữa các thuật ngữ “chủ sở hữu” và “người giám sát” tài sản.
Người quản lý có trách nhiệm đảm bảo rằng tài sản được quản lý một cách thích hợp trong suốt vòng đời của nó, tuân theo các quy tắc do chủ sở hữu tài sản đặt ra. Người giám sát thường là một chuyên gia về chủ đề (SME) hoặc “chủ sở hữu” của quy trình kinh doanh đối với một tài sản thông tin cụ thể. Chủ sở hữu tài sản thông tin, Chủ sở hữu dữ liệu nếu bạn sẽ có trách nhiệm điều hành trực tiếp đối với việc quản lý một hoặc nhiều loại dữ liệu. Hãy nghĩ về nó dưới góc độ của một bộ phận bảo mật thông tin. Bạn có “chủ sở hữu”, người chịu trách nhiệm giải thích và đảm bảo sự tuân thủ. Đó sẽ là Giám đốc hoặc CISO. Sau đó là người giám sát, người chịu trách nhiệm về các hoạt động hàng ngày và quản lý các công cụ và quy trình bảo vệ tài sản thông tin.
ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Mr. Nhất Duy: 0932 321 236
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…