Tổng quát về hướng dẫn thực hiện quản lý đào tạo theo ISO 27001:2013

Tiêu chuẩn ISO 27001:2013 có quy định về điều khoản 7.2 Năng lực hay nói cách khác là nhấn mạnh việc quản lý đào tạo như thế nào? Tổ chức ra sao để có thể tìm ra nhân sự đáp ứng được những vị trí cần cho an ninh thông tin. Vậy làm cách nào để thực hiện quản lý đào tạo theo ISO 27001? Đó chính là nội dung bài viết hôm nay của SIS CERT.

Làm thế nào để thực hiện quản lý đào tạo theo ISO 27001:2013

1. Tại sao phải thực hiện quản lý đào tạo theo ISO 27001:2013

Thứ nhất, quản lý đào tạo là một trong những yêu cầu của yêu chuẩn. Tổ chức phải cam kết cung cấp đào tạo, giáo dục hoặc cố vấn cho bất kỳ cá nhân nào được giao nhiệm vụ duy trì an ninh thông tin.

Thứ hai, mục đích ở đây là để chứng minh một mức độ kiến thức và năng lực an toàn thông tin đầy đủ và tương xứng. Bởi đây có thể là các nguồn lực bên trong hoặc bên ngoài. Ví dụ, bạn một cố vấn bảo mật thông tin đến công ty trong một khoảng thời gian ngắn. Vậy yêu cầu về năng lực của cá nhân này như thế nào? Cần bằng cấp, chứng chỉ gì để có thể phù hợp hay nói cách khác là phải xác định và thống nhất năng lực như thế nào là thích hợp. Sau đó, bạn lên kế hoạch, mô tả và tìm kiếm những nhân sự có năng lực cần tìm, nếu không thì đào tạo họ.

2. Các nội dung chính cần phải có trong quản lý đào tạo theo ISO 27001:2013

Điều khoản 7.2 Năng lực nêu rõ:

Tổ chức phải

a) xác định các năng lực cần thiết của các nhân sự đang làm việc dưới sự kiểm soát của

mình có tác động đến kết quả an ninh thông tin;

b) đảm bảo rằng các nhân sự này có năng lực cơ bản về giáo dục, đào tạo hoặc kinh nghiệm

thích hợp

c) khi thích hợp, có những hành động để có được các năng lực cần thiết, và đánh giá hiệu

lực của các hành động được tiến hành; và

d) giữ lại các thông tin dạng văn bản thích hợp như là bằng chứng về năng lực.

Tiêu chuẩn ISO/IEC 27001 cho điều khoản 7.2 năng lực về cơ bản nói rằng tổ chức sẽ đảm bảo rằng tổ chức có:

• Xác định năng lực của những người thực hiện công việc trên ISMS có thể ảnh hưởng đến hoạt động của nó
• Những người được coi là có năng lực trên cơ sở giáo dục, đào tạo hoặc kinh nghiệm có liên quan
• Nếu cần, thực hiện hành động để đạt được năng lực cần thiết và đánh giá hiệu quả của các hành động
• Bằng chứng được lưu giữ về những điều trên cho mục đích đánh giá

Trên cơ sở các yêu cầu này, có thể dễ dàng nghĩ rằng câu trả lời cho 7.2 có thể là thuê một chuyên gia bảo mật thông tin – nhưng điều đó không phải lúc nào cũng cần thiết. Có rất nhiều kỹ năng và kinh nghiệm cần thiết để thực hiện thành công và quản lý liên tục ISMS được chứng nhận ISO 27001, ngoài chuyên môn về bảo mật vật lý, an ninh mạng, bảo mật máy tính hoặc các hình thức bảo mật thông tin khác.

Chúng bao gồm: thương mại, pháp lý, nhân sự, công nghệ thông tin, cũng như chuyên môn về sản phẩm và dịch vụ có liên quan cho công việc trong phạm vi. Xây dựng và vận hành ISMS thường là một công việc hợp tác của nhóm. Điều quan trọng nhất là sự hiểu biết về tổ chức, mục đích và mục tiêu của tổ chức, văn hóa, đánh giá rủi ro và các yêu cầu thể hiện trong các điều 4.1, 4.2, 4.3, 6.1, 6.2.

3. Làm thế nào để soạn thảo quy trình quản lý đào tạo phù hợp theo ISO 27001:2013

Tổ chức nên thực hiện các bước:

Bước 1:

Xác định năng lực mong đợi cho mọi vai trò trong ISMS và chọn xem nó có phải được lập thành văn bản hay không (ví dụ trong bản mô tả công việc);

Bước 2:

Chỉ định các vai trò trong ISMS cho những người có năng lực cụ thể bằng cách:

• Xác định những người trong tổ chức có năng lực (ví dụ: dựa trên trình độ học vấn, kinh nghiệm hoặc chứng chỉ của họ);
• Lập kế hoạch và thực hiện các hành động nhằm sở hữu những người trong tổ chức có được năng lực (ví dụ: thông qua việc cung cấp huấn luyện, cố vấn, phân công lại các nhân viên hiện tại);
• Thu hút những người mới có năng lực (ví dụ: thông qua tuyển dụng hoặc ký hợp đồng);
• Đánh giá hiệu quả của các hành động

Bước 3:

Xác minh rằng những người đó có đủ năng lực cho các vai trò của họ;

Bước 4:

Đảm bảo rằng năng lực phát triển theo thời gian khi cần thiết và đáp ứng được kỳ vọng.

Bước 5:

Thông tin dạng văn bản thích hợp được yêu cầu làm bằng chứng về năng lực. Do đó, tổ chức cần lưu giữ tài liệu về năng lực cần thiết ảnh hưởng đến việc thực hiện an toàn thông tin và cách thức mà năng lực này được đáp ứng bởi những người có liên quan.

4. Trách nhiệm soạn thảo, phê duyệt quản lý đào tạo

Trách nhiệm soạn thảo quản lý đào tạo sẽ do thư ký ISO soạn thảo. Trưởng ban ISO sẽ xem xét, rà lại. Lãnh đạo cao nhất sẽ phê duyệt, ký đóng dấu và ban hành nội bộ.

5. Mẫu quy trình quản lý đào tạo an ninh thông tin tham khảo

Mẫu quản lý đào tạo an ninh thông tin (tham khảo)

Tóm lược và khẳng định yêu cầu của việc hướng dẫn thực hiện quản lý đào tạo theo ISO 27001:2013

Nguồn lực liên quan đến an ninh thông tin chính là thành phần không thể thiếu khi một tổ chức muốn xây dựng ISMS theo tiêu chuẩn ISO 27001:2013 hiệu quả. Do đó, quy trình quản lý đào tạo được xây dựng để lên kế hoạch, mô tả công việc, tìm kiếm ứng viên, luân chuyển nếu thấy nhân sự phù hợp là điều cần thiết.

ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT

Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh

Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh

Hotline: 0918 991 146

Liên hệ nhân viên kinh doanh:

Mr. Nhất Duy: 0932 321 236

Ms. Quỳnh Như: 0827 796 518

Ms. Thu Thúy: 0774 416 158

Email: info@isosig.com; Website: www.isosig.com

Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất

Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…