HƯỚNG DẪN THỰC HIỆN PHÂN TÍCH BỐI CẢNH TỔ CHỨC HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001:2013

HƯỚNG DẪN THỰC HIỆN PHÂN TÍCH BỐI CẢNH TỔ CHỨC HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001:2013

Tổng quát về hướng dẫn thực hiện phân tích bối cảnh tổ chức theo ISO 27001:2013

Tiêu chuẩn ISO 27001:2013 có quy định điều khoản 4.1. Hiểu tổ chức và bối cảnh của tổ chức. Điều khoản này yêu cầu xác định bối cảnh tổ chức đã gây ra nhiều nhầm lẫn vì nó khá mơ hồ. Vậy bạn phải xem xét những điều gì ở mục này để bảo mật thông tin giúp đạt được các mục tiêu kinh doanh? Bài viết này sẽ trình bày những điều cần được xem xét đối với các vấn đề bên trong và bên ngoài theo ISO 27001:2013. Chúng ta cùng SIS CERT tìm hiểu nhé.

Làm thế nào để thực hiện phân tích bối cảnh tổ chức theo ISO 27001:2013

1. Tại sao phải thực hiện phân tích bối cảnh tổ chức theo ISO 27001:2013

Bối cảnh tổ chức bao gồm các vấn đề bên ngoài và nội bộ liên quan đến Hệ thống quản lý an toàn thông tin (ISMS). Bên cạnh việc là một yêu cầu của tiêu chuẩn (điều 4.1), việc nhận thức được bối cảnh tổ chức có thể cung cấp cho tổ chức một cái nhìn rõ ràng hơn về các vấn đề liên quan nhất (tích cực hoặc tiêu cực) đối với an toàn thông tin, cho phép tổ chức xác định đúng mục đích của ISMS, đưa ra và phân bổ các nguồn lực của nó ở những nơi chúng sẽ mang lại kết quả tốt hơn. Từ đó, điều chỉnh bảo mật thông tin với định hướng chiến lược của công ty theo tiêu chuẩn ISO 27001.

2. Các nội dung chính cần phải có trong phân tích bối cảnh tổ chức theo ISO 27001:2013

Điều khoản 4.1 Hiểu Tổ chức & Bối cảnh của Tổ chức nêu rõ:

Tổ chức phải xác định các vấn đề bên trong và bên ngoài có liên quan đến mục đích và khả năng ảnh hưởng của tổ chức để đạt được kết quả dự kiến của của hệ thống quản lý an ninh thông tin.

Hiểu một cách đơn giản, với tư cách là một tổ chức, bạn cần hiểu những vấn đề / rủi ro nào có thể ảnh hưởng đến doanh nghiệp của bạn và hệ thống ISMS cả từ bên trong và bên ngoài tổ chức. Để đảm bảo bạn có được cái nhìn tổng thể về những thứ bạn cần nhìn chúng theo cả cách tích cực và tiêu cực.

Tiêu chuẩn không yêu cầu chúng ta xác định mà yêu cầu chúng ta “hiểu”, tức có khả năng biết chúng, giải thích chúng, đánh giá chúng về tác động và mức độ ảnh hưởng, lý tưởng là tìm ra cách giảm thiểu hoặc ngăn ngừa rủi ro ảnh hưởng đến tổ chức từ quan điểm an toàn thông tin.

3. Làm thế nào để soạn thảo bảng phân tích bối cảnh tổ chức phù hợp theo ISO 27001:2013

Tiêu chuẩn có quy định khi xác định các vấn đề liên quan đến việc thiết lập bối cảnh bên trong và bên ngoài của tổ chức được xem xét theo ISO 31000:2009. Qua đây thấy, theo điều 5.3.1 của ISO 31000, hai loại vấn đề cần được xem xét:

Các vấn đề nội bộ: các yếu tố chịu sự kiểm soát trực tiếp của tổ chức

Các vấn đề bên ngoài: các yếu tố mà tổ chức không thể kiểm soát được, nhưng tổ chức có thể lường trước và thích ứng với

Về các vấn đề nội bộ là:

Cơ cấu tổ chức: Biết được vai trò, trách nhiệm giải trình và hệ thống phân cấp trong tổ chức sẽ giúp xác định vị trí của ISMS.

Mục tiêu của tổ chức: Các giá trị, sứ mệnh và tầm nhìn của tổ chức, được thể hiện trong văn hóa, chính sách, mục tiêu và chiến lược nội bộ của tổ chức, có thể giúp xác định các chính sách, mục tiêu và chiến lược an toàn thông tin của tổ chức. Điều quan trọng cần lưu ý là những yếu tố này bị ảnh hưởng rất nhiều bởi nhân viên và những người khác làm việc trong tổ chức. Nhận thức và ý kiến ​​của họ cũng cần được xem xét.

Cách thức tổ chức thực hiện mọi việc: Biết cách các quy trình hoạt động (cả tách biệt và kết nối với nhau), cách thông tin lưu chuyển và cách đưa ra quyết định sẽ giúp việc tích hợp các quy trình và kiểm soát an toàn thông tin với hoạt động kinh doanh và hoạt động quản lý trở nên dễ dàng hơn.

Tài nguyên hiện có: Biết được thiết bị, công nghệ, hệ thống, vốn, thời gian, nhân sự và kiến ​​thức bạn đã có trong tổ chức của mình có thể giúp bạn hướng dẫn các hoạt động mua lại, cũng như phát triển không chỉ các giải pháp mà còn cả các năng lực cần thiết để bảo mật thông tin.

Các mối quan hệ hợp đồng: Hiểu được mối quan hệ với nhà cung cấp và khách hàng có thể cho phép một tổ chức bao gồm, trong phạm vi ISMS của mình, các biện pháp kiểm soát cần thiết để quản lý tốt hơn các yêu cầu của khách hàng và nhà cung cấp.

Về các vấn đề bên ngoài:

Xu hướng thị trường và khách hàng: Sự gia tăng trong việc áp dụng các dịch vụ đám mây là một ví dụ điển hình về một xu hướng cần được xem xét đối với ISMS.

Nhận thức và giá trị của các bên quan tâm bên ngoài: Mối quan hệ với các bên bên ngoài không chỉ giới hạn trong hợp đồng. Họ có những nền văn hóa riêng cần được quan tâm, cũng như niềm tin của những người làm việc với họ.

Các luật và quy định hiện hành: Một ví dụ điển hình là tất cả các công việc được thực hiện bởi các tổ chức để tuân thủ GDPR của EU, có hiệu lực vào tháng 5 năm 2018.

Điều kiện kinh tế và chính trị: Các cuộc bầu cử, khi các xu hướng chính sách công có thể thay đổi và những thay đổi về tỷ giá hối đoái nội tệ, cần được theo dõi.

Các xu hướng và đổi mới công nghệ: Các công nghệ hoặc cải tiến đột phá có thể khiến các biện pháp kiểm soát bảo mật trở nên vô dụng hoặc cung cấp các cách thức mới để bảo vệ thông tin.

4. Trách nhiệm soạn thảo, phê duyệt bối cảnh tổ chức

Trách nhiệm soạn thảo bối cảnh tổ chức sẽ do thư ký ISO soạn thảo. Trưởng ban ISO sẽ xem xét, rà lại. Lãnh đạo cao nhất sẽ phê duyệt, ký đóng dấu và ban hành nội bộ.

5. Mẫu phân tích bối cảnh tổ chức an ninh thông tin tham khảo

Mẫu phân tích bối cảnh tổ chức về an ninh thông tin (tham khảo)

Bối cảnh tổ chức tham khảo

Tóm lược và khẳng định yêu cầu của việc hướng dẫn thực hiện phân tích bối cảnh tổ chức theo ISO 27001:2013

Bằng cách hiểu rõ bối cảnh tổ chức, bạn có thể triển khai một ISMS mạnh mẽ sẽ đáp ứng nhu cầu và mong đợi của tổ chức, khách hàng và các bên quan tâm khác, đồng thời đảm bảo rằng nó sẽ xử lý các rủi ro liên quan nhất, giảm thiểu sự xuất hiện và tác động của các sự cố và tăng việc sử dụng các cơ hội.

ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT

Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh

Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh

Hotline: 0918 991 146

Liên hệ nhân viên kinh doanh:

Mr. Nhất Duy: 0932 321 236

Ms. Quỳnh Như: 0827 796 518

Ms. Thu Thúy: 0774 416 158

Email: info@isosig.com; Website: www.isosig.com

Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất

Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…