9.3 Xem xét của lãnh đạo
9.3.1 Quy định chung
Lãnh đạo cao nhất phải xem xét hệ thống quản lý an toàn thông tin của tổ chức theo các khoảng thời gian đã hoạch định để đảm bảo hệ thống luôn phù hợp, thỏa đáng và hiệu quả.9.3.2 Đầu vào xem xét của lãnh đạo
Xem xét của lãnh đạo phải bao gồm việc xem xét:
a) tình trạng của các hành động từ các cuộc xem xét của lãnh đạo trước đó;
b) những thay đổi về các vấn đề bên ngoài và nội bộ có liên quan đến hệ thống quản lý an toàn thông tin;
c) những thay đổi về nhu cầu và mong đợi của các bên quan tâm liên quan đến hệ thống quản lý an toàn thông tin;
d) phản hồi về hiệu suất an toàn thông tin, bao gồm các xu hướng trong:
1) sự không phù hợp và hành động khắc phục;
2) kết quả theo dõi và đo lường;
3) kết quả đánh giá;
4) hoàn thành các mục tiêu an toàn thông tin;
e) phản hồi từ các bên quan tâm;
f) kết quả đánh giá rủi ro và tình trạng của kế hoạch xử lý rủi ro;
g) cơ hội cải tiến liên tục.9.3.3 Kết quả xem xét của lãnh đạo
Kết quả của việc xem xét của lãnh đạo phải bao gồm các quyết định liên quan đến các cơ hội cải tiến liên tục và mọi nhu cầu thay đổi đối với hệ thống quản lý an ninh thông tin.Thông tin dạng văn bản phải sẵn có làm bằng chứng về kết quả xem xét của lãnh đạo.
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
Phần này phác thảo các yêu cầu đối với ban lãnh đạo cao nhất để tiến hành đánh giá thường xuyên hệ thống quản lý an ninh thông tin (ISMS) của tổ chức để đảm bảo rằng nó vẫn phù hợp, đầy đủ và hiệu quả.
Quá trình xem xét của ban quản lý nên xem xét đầu vào từ nhiều nguồn khác nhau, bao gồm trạng thái của các cuộc xem xét của ban quản lý trước đó, những thay đổi về các vấn đề bên trong và bên ngoài liên quan đến ISMS, phản hồi về hiệu suất bảo mật thông tin, phản hồi từ các bên quan tâm và kết quả đánh giá và xử lý rủi ro các kế hoạch.
Dựa trên việc xem xét, các quyết định nên được đưa ra liên quan đến các cơ hội cải tiến liên tục và bất kỳ thay đổi nào cần thiết cho ISMS. Kết quả xem xét của lãnh đạo phải được lập thành văn bản và thông tin được lập thành văn bản này phải sẵn có làm bằng chứng về kết quả xem xét của lãnh đạo.
Ví dụ về quy trình 9.3 Xem xét của lãnh đạo
Đây là mẫu cho Quy trình Xem xét của Quản lý:
1.0 Mục đích
Mục đích của quy trình này là xác định quy trình tiến hành đánh giá quản lý thường xuyên đối với Hệ thống quản lý bảo mật thông tin (ISMS) nhằm đảm bảo tính phù hợp, thỏa đáng và hiệu quả liên tục của nó.
Phạm vi 2.0
Quy trình này áp dụng cho tất cả các hoạt động và quy trình trong phạm vi ISMS.
3.0 Trách nhiệm
Các vai trò và trách nhiệm sau đây được thiết lập cho quá trình xem xét của lãnh đạo:
Lãnh đạo cao nhất: Chịu trách nhiệm tiến hành xem xét của lãnh đạo và đảm bảo rằng các hành động thích hợp được thực hiện dựa trên kết quả xem xét.
Giám đốc An ninh Thông tin: Chịu trách nhiệm cung cấp thông tin cần thiết cho việc xem xét của ban quản lý và đảm bảo rằng các hành động được thực hiện để giải quyết các cơ hội cải tiến đã xác định.
Các nhân sự liên quan khác: Chịu trách nhiệm cung cấp đầu vào và thông tin để hỗ trợ quá trình xem xét của lãnh đạo khi cần thiết.
4.0 Quy trình
Quá trình xem xét của lãnh đạo phải bao gồm các bước sau:
4.1 Lập kế hoạch xem xét của lãnh đạo
Lãnh đạo cao nhất phải xác định tần suất, chương trình nghị sự và người tham dự các cuộc họp xem xét của lãnh đạo.
Người quản lý an toàn thông tin phải tổng hợp dữ liệu và báo cáo liên quan để xem xét.
4.2 Tiến hành Xem xét của Lãnh đạo
Lãnh đạo cao nhất phải tiến hành xem xét của lãnh đạo, bao gồm cả việc xem xét các đầu vào như được định nghĩa trong phần 9.3.2 của tiêu chuẩn ISO 27001.
Kết quả xem xét của lãnh đạo phải được lập thành văn bản và lưu hồ sơ.
4.3 Các hành động tiếp theo
Lãnh đạo cao nhất phải xác định bất kỳ cơ hội cải tiến nào và đưa ra các quyết định liên quan đến nhu cầu thay đổi ISMS.
Người quản lý an toàn thông tin phải chịu trách nhiệm đảm bảo rằng các hành động tiếp theo được thực hiện để giải quyết các cơ hội cải tiến đã xác định.
5.0 Hồ sơ
Hồ sơ xem xét của lãnh đạo, bao gồm dữ liệu đầu vào, kết quả xem xét và các hành động tiếp theo, phải được lưu giữ trong một khoảng thời gian xác định như được xác định trong các thủ tục kiểm soát tài liệu của tổ chức.
6.0 Tần suất đánh giá
Việc xem xét của lãnh đạo phải được tiến hành ít nhất một lần mỗi năm hoặc theo quy định của ban lãnh đạo tổ chức.
Đây chỉ là một mẫu và phải được tùy chỉnh để phù hợp với nhu cầu cụ thể của tổ chức bạn.
Ví dụ kế hoạch Xem xét của lãnh đạo
Đây là một ví dụ về Kế hoạch Đánh giá Quản lý:
Kế hoạch xem xét của lãnh đạo
Tổ chức: Tập đoàn XYZ
Phạm vi: Hệ thống quản lý an ninh thông tin
Tần suất: Hàng năm
Người tham gia:
CEO
CIO
CISO
Giám đốc An ninh Thông tin
Quản lý chất lượng
Đánh giá viên nội bộ
Chương trình họp:
Xem xét các hành động và trạng thái xem xét của ban quản lý trước đó
Xem xét các thay đổi trong các vấn đề bên ngoài và nội bộ có liên quan đến hệ thống quản lý an ninh thông tin
Xem xét các thay đổi về nhu cầu và mong đợi của các bên quan tâm có liên quan đến hệ thống quản lý an toàn thông tin
Xem xét hiệu suất bảo mật thông tin, bao gồm các xu hướng về sự không phù hợp và hành động khắc phục, kết quả giám sát và đo lường, kết quả kiểm toán và việc thực hiện các mục tiêu bảo mật thông tin
Xem xét phản hồi từ các bên quan tâm
Rà soát kết quả đánh giá rủi ro và thực trạng phương án xử lý rủi ro
Thảo luận về các cơ hội cải tiến liên tục
Ra quyết định liên quan đến các cơ hội cải tiến liên tục và mọi nhu cầu thay đổi đối với hệ thống quản lý bảo mật thông tin
Tài liệu:
Biên bản họp xem xét của lãnh đạo
Các hạng mục hành động và trách nhiệm thực hiện các quyết định được đưa ra trong quá trình rà soát
Kế hoạch Đánh giá Quản lý này cung cấp một khuôn khổ để tiến hành đánh giá hàng năm đối với hệ thống quản lý an ninh thông tin nhằm đảm bảo tính phù hợp, thỏa đáng và hiệu quả liên tục của hệ thống. Nó phác thảo chương trình nghị sự, những người tham gia và các yêu cầu tài liệu cho việc xem xét và giúp đảm bảo rằng các quyết định liên quan đến các cơ hội cải tiến liên tục và những thay đổi đối với hệ thống quản lý được đưa ra dựa trên quy trình xem xét kỹ lưỡng và toàn diện.
Ví dụ về mẫu biên bản họp xem xét của lãnh đạo
Đây là một mẫu thông tin cho biên bản xem xét quản lý của Hệ thống Quản lý An ninh Thông tin:
Biên bản họp xem xét của lãnh đạo Hệ thống Quản lý An ninh Thông tin [công ty]
Ngày họp: [Ngày] Thời gian họp: [Giờ]
Địa điểm họp: [Địa điểm]
Người tham dự:
[Tên], [Chức vụ]
[Tên], [Chức vụ]
[Tên], [Chức vụ]
[Tên], [Chức vụ]
[Tên], [Chức vụ]
Chương trình:
Đánh giá các hoạt động và tình trạng của cuộc họp xem xét quản lý trước đó
Thay đổi về các vấn đề ngoại vi và nội bộ
Thay đổi về nhu cầu và mong đợi của các bên liên quan đến hệ thống quản lý an ninh thông tin
Phản hồi về hiệu suất an ninh thông tin
Phiếu bất thường và hành động điều chỉnh: [Tóm tắt]
Kết quả giám sát và đo lường: [Tóm tắt]
Kết quả kiểm toán: [Tóm tắt]
Hoàn thành các mục tiêu an ninh thông tin: [Tóm tắt]
Phản hồi từ các bên liên quan
Bên liên quan 1: [Tóm tắt phản hồi]
Bên liên quan 2: [Tóm tắt phản hồi]
Kết quả của đánh giá rủi ro và tình trạng kế hoạch xử lý rủi ro [Tóm tắt]
Cơ hội để liên tục cải tiến
Quyết định liên quan đến cơ hội cải tiến liên tục và thay đổi đối với hệ thống quản lý an ninh thông tin
Hành động:
Mục hành động 1: [Phân công], [Ngày đáo hạn]
Mục hành động 2: [Phân công], [Ngày đáo hạn]
Mục hành động 3: [Phân công], [Ngày đáo hạn]
Cuộc họp tiếp theo: [Ngày], [Giờ], [Địa điểm]
Chấm dứt: [Giờ]
Được chuẩn bị bởi: [Tên], [Chức vụ]
Được xem xét bởi: [Tên], [Chức vụ]
Được phê chuẩn bởi: [Tên], [Chức vụ]
