Trong bài này, chúng ta xem xét các yêu cầu được nêu trong mục 4.2 tiêu chuẩn ISO 27001: 2013 – Hiểu được nhu cầu và mong đợi của các bên quan tâm. Chúng tôi xem xét các yêu cầu của điều khoản, bạn cần phải làm gì để đáp ứng các yêu cầu này và cung cấp cho các bên quan tâm ví dụ cho việc sử dụng của bạn.
Những hiểu biết về nhu cầu và mong đợi của các bên có liên quan có ý nghĩa gì trong ISO 27001?
Khi thiết lập hệ thống quản lý an ninh thông tin, trước tiên phải hiểu được hoạt động kinh doanh của mình (4.1 Hiểu biết về tổ chức và bối cảnh của nó) trước khi xác định được nhu cầu và mong muốn của các bên liên quan. Điều này đảm bảo rằng hệ thống quản lý được thiết kế để đáp ứng yêu cầu của các bên liên quan, rằng nó phù hợp với mục đích và đạt được những kết quả mong muốn.
Chúng ta sẽ xem xét các trường hợp sử dụng chi tiết, nhưng như một ví dụ nhanh chóng tưởng tượng một trong những bên quan tâm của bạn là khách hàng của bạn, những người ủy thác bảo mật dữ liệu của họ cho bạn hàng ngày. Là một bên quan tâm, họ sẽ mong đợi dữ liệu của họ được an toàn, bảo mật và có thể truy cập dữ liệu mọi lúc. Nếu hệ thống quản lý an ninh thông tin không hỗ trợ các yêu cầu này, sau đó nó sẽ không được coi là phù hợp với mục đích và hầu như chắc chắn sẽ thất bại. Do đó điều quan trọng là nhu cầu và mong đợi của tất cả các bên quan tâm được xác định khi thiết lập hệ thống.
Ai sẽ được bao gồm như một bên quan tâm?
Như đã đề cập ở trên, các bên quan tâm là bất kỳ cá nhân hoặc nhóm cá nhân nào có quan tâm đến hệ thống quản lý và các kết quả của nó. Điều này sẽ bao gồm cả bên trong và bên ngoài, và có thể từ khách hàng thông qua các đánh giá viên nội bộ / bên ngoài. Mỗi thực thể sẽ có những nhu cầu và mong đợi riêng của họ, và những điều này phải được nắm bắt khi thiết lập ISMS.
ISO 27001 Ví dụ về các bên quan tâm
Ví dụ về Các bên quan tâm của ISO 27001 có thể bao gồm các thực thể bên ngoài như khách hàng và đánh gia viên, cũng như các thực thể bên trong như quản lý và nhân viên. Nếu bạn coi 4 thực thể này là một ví dụ, nhu cầu và mong đợi có thể được xác định theo cách sau: 1. Khách hàng mong đợi rằng tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu được đảm bảo ở mọi thời điểm. 2. Đánh giá viên mong đợi rằng một mức độ tương ứng của kiểm soát an ninh được đặt ra ở mọi lúc để bảo vệ tài sản. 3. Người Quản lý mong đợi rằng chứng nhận thực hành tốt nhất được duy trì để cung cấp sự bảo đảm cho hội đồng quản trị. 4. Các nhân viên mong đợi dữ liệu của họ được giữ an toàn ở mọi lúc và nguồn lực sẵn có để hỗ trợ vai trò công việc. Trong thực tế, sẽ có một danh sách dài các bên liên quan phụ thuộc vào loại hình và quy mô tổ chức bạn có thể có. Danh sách các bên liên quan cần được duy trì như là các tài liệu thông tin và liên tục xem xét / cập nhật phù hợp với những thay đổi đối với doanh nghiệp.
Tổ chức chứng nhận TNV- SIGMA CERT là tổ chức thưc hiện đánh giá chứng nhận ISO 27001:2013, sẽ cấp chứng chỉ ISO 27001:2013. Chứng nhận này sau đó được duy trì thông qua các cuộc kiểm tra giám sát thường xuyên theo lịch trình hàng năm của cơ quan đánh giá, với việc tái chứng nhận được thực hiện trên cơ sở ba năm một lần.
Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc đào tạo và đánh giá chứng nhận ISO 27001:2013.