TRÁCH NHIỆM ĐỐI VỚI TÀI SẢN
Mục lục
Theo định nghĩa, tài sản là một nguồn lực có giá trị kinh tế mà một doanh nghiệp hoặc tổ chức sở hữu, với kỳ vọng rằng nó sẽ mang lại lợi ích trong tương lai. Tài sản có thể được coi là thứ mà trong tương lai có thể tạo ra dòng tiền, giảm chi phí hoặc cải thiện doanh số bán hàng, bất kể đó là thiết bị sản xuất, tòa nhà, xe tải hay bằng sáng chế. Tài sản được báo cáo trên bảng cân đối kế toán của công ty và được mua hoặc tạo ra để tăng giá trị của công ty hoặc mang lại lợi ích cho hoạt động của công ty. Khi bạn nhìn vào nó như thế này, thật đáng ngạc nhiên là các doanh nghiệp có thể có trong tay những nguồn tài nguyên quý giá như vậy và lại quá sai lầm khi quản lý chúng.
Vì vậy, bước đầu tiên là xác định tài sản của bạn. Tạo “bản kiểm kê tài sản” hay nói cách khác là Sổ đăng ký tài sản. Điều này rất đơn giản để thực hiện và một khi khách hàng nhìn thấy một đăng ký Nội dung trong tất cả các vinh quang của nó, họ nhanh chóng bắt đầu hiểu cách họ có thể sử dụng đăng ký cho nhiều mục đích của hệ thống quản lý. Các nhiệm vụ chẳng hạn như
và nhiều người khác đều có thể hoạt động và đơn giản với Sổ đăng ký tài sản.
Mục tiêu trong Phụ lục này là xác định các tài sản thông tin trong phạm vi của hệ thống quản lý và xác định trách nhiệm bảo vệ thích hợp
Có hai lý do tại sao trách nhiệm đồi với tài sản lại quan trọng:
1) Tài sản thường được sử dụng để thực hiện đánh giá rủi ro – mặc dù không bắt buộc theo ISO 27001: 2013, tài sản thường là yếu tố chính để xác định rủi ro, cùng với các mối đe dọa và lỗ hổng bảo mật.
2) Nếu tổ chức không biết ai chịu trách nhiệm về tài sản nào, thì sự hỗn loạn sẽ xảy ra – xác định chủ sở hữu tài sản và giao cho họ trách nhiệm bảo vệ tính bí mật, tính toàn vẹn và tính sẵn có của thông tin là một trong những khái niệm cơ bản trong ISO 27001.
Để quản lý hiệu quả tài sản của tổ chức, trước tiên bạn phải hiểu mình có những tài sản gì và tổ chức của bạn lưu giữ chúng ở đâu. Một số ví dụ về nội dung là phần cứng CNTT, phần mềm, dữ liệu, tài liệu hệ thống và phương tiện lưu trữ. Các tài sản hỗ trợ như hệ thống không khí của trung tâm dữ liệu, UPS và các dịch vụ nên được đưa vào bản kiểm kê. Tất cả tài sản phải được hạch toán và có chủ sở hữu. Nếu được quản lý không phù hợp, tài sản có thể trở thành nợ phải trả.
Bởi vì tài sản có thể là nhiều thứ và phục vụ nhiều chức năng, có thể sẽ có nhiều hơn một quy trình hoặc hệ thống kiểm kê được sử dụng để nắm bắt phạm vi tài sản tồn tại trong một tổ chức. Đảm bảo rằng bạn kết nối với các khu vực khác để xem dạng kiểm kê phần cứng đã tồn tại. Đừng bắt đầu từ con số không. Mỗi hệ thống hàng tồn kho không được trùng lặp một cách không cần thiết các hàng tồn kho khác có thể tồn tại.
Để thực hiện trách nhiệm đối với tài sản theo ISO 27001 tổ chức của bạn sẽ áp dụng quy trình quản lý tài sản trong bộ tài liệu gồm các nội dung:
– Lập danh mục các tài sản thông tin hiện có trong phạm vi của hệ thống quản lý an ninh thông tin. ( sử dụng chung biểu mẫu đánh giá rủi ro)
– Tài sản thông tin được nhận dạng như: tài liệu hồ sơ, dữ liệu, phần mềm ứng dụng, thiết bị phần cứng, dịch vụ mạng, thiết bị phụ trợ khác.
– Danh mục này sẽ được cập nhật định kỳ hàng năm hoặc khi có thay đổi tài sản thông tin như thêm mới hoặc loại bỏ.
Việc xác nhận quyền quản trị và quản lý tài sản thông tin sẽ được ghi nhận trong Danh mục tài sản thông tin và phiếu giao tài sản thông tin.
Khi được giao quản lý tài sản thông tin, người quản lý tài sản thông tin phải có trách nhiệm quản lý, bảo vệ an toàn tài sản thông tin này và phải tuân thủ các quy định về an ninh thông tin của hệ thống quản lý an ninh thông tin.
Khi nhân viên nghỉ việc hoặc hết quyền quản lý tài sản thông tin thì tiến hành giao lại cho trung tâm. Quy định bàn giao như sau:
1. Hồ sơ tài liệu bàn giao lại cho cấp quản lý trực tiếp.
2. Các dữ liệu, tài khoản quản trị thiết bị công nghệ thông tin, phần mềm ứng dụng, thư điện tử do trung tâm cấp,… giao lại cho cấp quản lý trực tiếp.
3. Các phần cứng như: máy tính, USB, thiết bị phụ trợ,….thì lập phiếu bàn giao lại cho cấp quản lý trực tiếp.
4. Các tài sản vật lý khác như thẻ nhân viên, chìa khóa…thì lập phiếu giao tài sản cho bộ phận Hành chính.
Trách nhiệm soạn thảo sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra. Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ.
Trách nhiệm đối với tài sản được viết trong Phụ lục A.8.1 –của bộ tài liệu ISO 27001: Tổ chức cần xác định được mục đích và nội dung trong việc thực hiện trách nhiệm đối với tài sản theo ISO 27001, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc trách nhiệm đối với tài sản và kế hoạch để đạt được mục tiêu đó.
Khi bạn đã bắt đầu kiểm kê các tài sản tiềm năng và vị trí của chúng, hãy bắt đầu xác định người chịu trách nhiệm cho từng tài sản. Chủ sở hữu là một người, hoặc các cá nhân hoặc bộ phận, được giao trách nhiệm chính thức về bảo mật của một tài sản. Chủ sở hữu có trách nhiệm bảo mật tài sản trong suốt vòng đời của tài sản. Tại điểm mấu chốt này của bài tập, điều quan trọng là phải hiểu sự phân biệt giữa các thuật ngữ “chủ sở hữu” và “người giám sát” tài sản.
Người quản lý có trách nhiệm đảm bảo rằng tài sản được quản lý một cách thích hợp trong suốt vòng đời của nó, tuân theo các quy tắc do chủ sở hữu tài sản đặt ra. Người giám sát thường là một chuyên gia về chủ đề (SME) hoặc “chủ sở hữu” của quy trình kinh doanh đối với một tài sản thông tin cụ thể. Chủ sở hữu tài sản thông tin, Chủ sở hữu dữ liệu nếu bạn sẽ có trách nhiệm điều hành trực tiếp đối với việc quản lý một hoặc nhiều loại dữ liệu. Hãy nghĩ về nó dưới góc độ của một bộ phận bảo mật thông tin. Bạn có “chủ sở hữu”, người chịu trách nhiệm giải thích và đảm bảo sự tuân thủ. Đó sẽ là Giám đốc hoặc CISO. Sau đó là người giám sát, người chịu trách nhiệm về các hoạt động hàng ngày và quản lý các công cụ và quy trình bảo vệ tài sản thông tin.
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Mr. Nhất Duy: 0932 321 236
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…
GRI Standards đang trở thành thước đo quan trọng trong hành trình phát triển bền…
Chiến lược ESG đóng vai trò then chốt trong việc định hướng phát triển bền…
Bài viết này phân tích chi tiết quy định kiểm kê khí nhà kính (KNK)…
Hướng dẫn lập báo cáo ESG giúp doanh nghiệp xây dựng báo cáo theo chuẩn…
Trước áp lực từ quy định pháp luật và xu hướng kinh tế xanh, nhiều…
Tiêu chuẩn ESG là gì mà được rất nhiều doanh nghiệp quan tâm hiện nay?…
This website uses cookies.