Chứng nhận ISO 27001

Áp dụng điều khoản 9.1 Theo dõi, đo lường, phân tích và đánh giá theo ISO/IEC 27001:2022 vào tổ chức của bạn như thế nào?

9.1 Theo dõi, đo lường, phân tích và đánh giá

Tổ chức phải xác định:
a) những gì cần được theo dõi và đo lường, bao gồm các quy trình và biện pháp kiểm soát an toàn thông tin;
b) các phương pháp theo dõi, đo lường, phân tích và đánh giá, nếu có thể áp dụng, để đảm bảo các kết quả hợp lệ. Các phương pháp được chọn phải tạo ra các kết quả có thể so sánh được và có thể lặp lại để được coi là hợp lệ;
c) thời điểm thực hiện theo dõi và đo lường;
d) ai sẽ giám sát và đo lường;
e) khi nào kết quả theo dõi và đo lường được phân tích và đánh giá; f) ai sẽ phân tích và đánh giá các kết quả này.
Thông tin dạng văn bản phải có sẵn làm bằng chứng về kết quả.
Tổ chức phải đánh giá hiệu suất an toàn thông tin và hiệu quả của hệ thống quản lý an toàn thông tin.

“dịch từ tiêu chuẩn ISO/IEC 27001:2022”

Trong điều khoản này, tổ chức được yêu cầu thiết lập một hệ thống giám sát, đo lường, phân tích và đánh giá các quy trình và kiểm soát an toàn thông tin. Tổ chức cần xác định những gì cần được theo dõi và đo lường và quyết định các phương pháp theo dõi và đo lường để đảm bảo rằng các kết quả là hợp lệ, có thể so sánh và tái sản xuất. Tổ chức cũng phải quyết định khi nào việc theo dõi và đo lường sẽ được thực hiện, ai sẽ thực hiện chúng và khi nào kết quả sẽ được phân tích và đánh giá. Tổ chức được yêu cầu phải có sẵn thông tin dạng văn bản để cung cấp bằng chứng về kết quả.

Hơn nữa, tổ chức phải đánh giá hiệu suất của hệ thống quản lý an toàn thông tin và hiệu quả của nó. Điều khoản này nhấn mạnh tầm quan trọng của việc theo dõi, đo lường, phân tích và đánh giá liên tục hệ thống quản lý an ninh thông tin để đảm bảo rằng nó vẫn hiệu quả và phù hợp với nhu cầu của tổ chức.

7

Ví dụ về ma trận các thông số cần Theo dõi, đo lường, phân tích và đánh giá

Đây là một ma trận ví dụ về việc giám sát, đo lường, phân tích và đánh giá:

Cái gì cần được giám sát và đo lườngPhương pháp giám sát và đo lườngKhi nào sẽ thực hiện việc giám sát và đo lườngAi sẽ giám sát và đo lườngKhi nào kết quả sẽ được phân tích và đánh giáAi sẽ phân tích và đánh giá kết quả
Tuân thủ các chính sách và thủ tục an ninh thông tinChecklist đánh giá nội bộHàng nămĐánh giá viên nội bộHàng quýQuản lý an ninh thông tin
Hiệu lực của kiểm soát truy cậpThử nghiệm xâm nhập và quét điểm yếuHàng thángNhà thầu bên thứ 3Hàng thángNhóm an ninh IT
Thời gian phản ứng với sự cốHệ thống truy phiếuHàng ngàyHelpdesk staffHàng tuầnTrưởng bộ phân vận hành IT
Sự tuân thủ của nhân viên đối với đào tạo nhận thức về an ninhĐiều tra mô phỏng lừa đảo trực tuyến2 năm một lầnNhóm an ninh thông tinHàng thángQuản lý nhân sự

Ma trận này phác thảo những gì cần được giám sát và đo lường, phương pháp giám sát và đo lường, khi nào cần thực hiện việc giám sát và đo lường, ai sẽ giám sát và đo lường, khi nào kết quả sẽ được phân tích và đánh giá, và ai sẽ phân tích và đánh giá kết quả. Nó cung cấp một khung làm việc rõ ràng để giám sát và đánh giá hiệu quả của hệ thống quản lý an ninh thông tin của tổ chức.

le vantam

Recent Posts

Tiêu chuẩn ISO 3834-3: Yêu cầu chất lượng đối với hàn nóng chảy kim loại

Tiêu chuẩn ISO 3834-3 là một trong những tiêu chuẩn quan trọng về quản lý…

3 tuần ago

Tiêu chuẩn ISO 3834-2: Chất lượng toàn diện đối với hàn nóng chảy kim loại

Tiêu chuẩn ISO 3834-2 là phần quan trọng nhất trong bộ tiêu chuẩn ISO 3834,…

3 tuần ago

Tiêu chuẩn ISO 3834 là gì? Tìm hiểu chi tiết

Tiêu chuẩn ISO 3834 là bộ quy định quốc tế cốt lõi giúp doanh nghiệp…

3 tuần ago

Cơ chế điều chỉnh biên giới Carbon CBAM là gì?

Chiến lược thực hiện mục tiêu giảm phát thải của Liên minh Châu Âu (EU),…

3 tuần ago

Cách đạt chứng nhận mỹ phẩm thuần chay cho doanh nghiệp

Chứng nhận mỹ phẩm thuần chay hiện là công cụ pháp lý và thương mại…

1 tháng ago

Tích hợp ISO 9001, ISO 14001 và ISO 45001

Tích hợp ISO 9001, ISO 14001 và ISO 45001 là xu hướng quản trị hiện…

1 tháng ago

This website uses cookies.