Triển khai ISO 27001

Triển khai ISO 27001

TRIỂN KHAI ISO 27001

Các công ty sử dụng một hệ thống quản lý an ninh thông tin (ISMS) để thiết lập các chính sách và thủ tục để theo dõi một cách có hệ thống, và nâng cao năng lực an toàn an ninh thông tin.

ISO 27001, tiêu chuẩn hệ thống quản lý an ninh thông tin quy định các yêu cầu về thiết lập, triển khai, duy trì và cải thiện một ISMS. Tiêu chuẩn này được dựa trên hệ thống quản lý Plan-Do-Check-Act, quen thuộc với nhiều tổ chức đã thực hiện các tiêu chuẩn ISO khác.

Plan

Xác định bối cảnh của tổ chức:

Bối cảnh của tổ chức là một yêu cầu mới trong tiêu chuẩn ISO 27001, cho biết một tổ chức phải xem xét cả các vấn đề nội bộ và bên ngoài có thể tác động đến các mục tiêu chiến lược của mình và kế hoạch ISMS. Có sự thay đổi khá nhiều về khái niệm và ứng dụng của điều 4, và các yêu cầu liên quan đến bối cảnh của tổ chức có vẻ hơi mơ hồ, vì vậy điều khoản này thực sự đòi hỏi gì?

Điều 4 của ISO 27001: 2013, Bối cảnh của tổ chức đòi hỏi tổ chức phải đánh giá bản thân và bối cảnh của mình. Điều này có nghĩa là bạn cần xác định các ảnh hưởng của các yếu tố biến động trong tổ chức và chúng ảnh hưởng đến ISMS thế nào, văn hoá, mục tiêu và mục đích của công ty, sự phức tạp của sản phẩm, quy trình và thông tin, quy mô tổ chức, thị trường, khách hàng … .Nó cũng là một phương tiện để phát hiện những rủi ro và cơ hội liên quan đến bối cảnh kinh doanh.

Xác định các bên quan tâm có liên quan:

Việc Xác định các bên có quan tâm là xác định những cá nhân, tố chức bên ngoài và bên trong công ty có ảnh hưởng đến tài sản thông tin ví dụ như: nhân viên, người quản lý, khách hàng, nhà thầu bên ngoài, nhà cung cấp dịch vụ an ninh thông tin….Để xác định các như cầu và mức độ đáp ứng các nhu cầu này của công ty và giúp nhận dạng các rủi ro liên quan.

Xác định phạm vi.

Phạm vi và ranh giới ISMS được xác định sẽ giúp tập trung nỗ lực và nguồn lực. Phạm vi có thể là tòa nhà, nhà máy, cơ sở, địa điểm, công ty, hoặc kết hợp những điều này, nhưng cần bao gồm các hoạt động, cơ sở và các quyết định liên quan đến các tài sản thông tin bao quanh bởi phạm vi.

Phác thảo các trách nhiệm quản lý:

Sự cam kết và sự tham gia của quản lý cấp cao là yếu tố quyết định cho sự thành công của một ISMS. Sự tham gia quản lý vào đầu quá trình này sẽ giúp khuyến khích tiến trình.

Thành lập nhóm triển khai ISO 27001.

Để có được các kỹ năng cần thiết, kiến thức và chuyên môn liên quan, một dự án quản lý an ninh thông tin dựa vào cách tiếp cận nhóm. Một nhóm cung cấp các quan điểm đa dạng, phân phối khối lượng công việc, giảm việc thực hiện, thúc đẩy sự chấp nhận rộng rãi hơn, và cải thiện khả năng duy trì hệ thống. Nhóm nên bao gồm các thành viên từ tất cả các lĩnh vực của công ty liên quan đến hoạt động của công ty từ các bộ phận trực tiếp và gián tiếp trong công ty.

Thiết lập chính sách an ninh thông tin.

Một loạt các chính sách an ninh thông tin theo yêu cầu của iso 27001 được thiết lập sự cam kết của lãnh đạo cấp cao đối với cải tiến hiệu quả an ninh thông tin. Chính sách nên nêu lên các định hướng đảm bảo an toàn an ninh thông tin. Nó có thể bao gồm từ một vài câu cho đến vài đoạn, và nó phải được ghi chép và hiểu bởi tất cả các nhân viên.

Xác định tài sản thông tin quan trọng.

Để đạt được kết quả cải tiến lớn nhất với ít nguồn lực nhất, cơ sở phải xác định tất cả các tài sản thông tin và đánh giá mức quan trọng của tài sản thông tin để đưa ra các kiểm soát phù hợp. Các tài sản an ninh thông tin quan trọng cần đặc biệt chú ý khi thiết lập chỉ tiêu, mục tiêu và kế hoạch hành động về an ninh thông tin, trong quá trình đào tạo và đánh giá năng lực của các nhân viên có liên quan, khi lập kế hoạch cho việc vận hành và bảo dưỡng hiệu quả, và khi giám sát và phân tích hiệu suất.

Đặt các chỉ tiêu và mục tiêu về an ninh thông tin.

Một khi các cơ hội cải tiến an ninh thông tin đã được xác định, các mục tiêu và mục tiêu về an ninh thông tin để đạt được chính sách an ninh thông tin hoặc cam kết thực hiện cần được thiết lập. Các mục tiêu về an ninh phải là các mục tiêu cao cấp hoặc các kết quả cụ thể hướng dẫn xây dựng các chiến lược và hoạt động. Đối với từng mục tiêu, các chỉ tiêu thành công cụ thể, có thể định lượng cần được đề ra để giúp đạt được mục tiêu chung.

Chuẩn bị một kế hoạch hành động.

Kế hoạch hành động quản lý an ninh thông tin là một hướng dẫn dự án toàn diện cần được thông báo cho tất cả các bên có trách nhiệm. Cần xác định các hoạt động cần hoàn thành, các nguồn lực cần thiết, trách nhiệm nhân viên và phương pháp xác minh kết quả.

Do – Thực hiện

Quản lý và kiểm soát tài liệu.

Một ISMS yêu cầu hai loại thông tin được kiểm soát: các tài liệu, đưa ra những kỳ vọng cho hành động và thái độ về quản lý an ninh thông tin; và hồ sơ, cung cấp bằng chứng về kết quả của những nỗ lực đó. Kiểm soát tài liệu đảm bảo rằng các thông tin chính xác có sẵn và giúp quản lý thông tin bên ngoài và lỗi thời. Các hồ sơ chính xác và dễ tiếp cận là rất cần thiết cho các nỗ lực khắc phục và phòng ngừa và để xác nhận các quá trình và kết quả của hệ thống.

Trao đổi thông tin.

Giao tiếp nội bộ là điều cần thiết để quản lý thay đổi. Nó giữ nhân sự liên tục các hoạt động quản lý an ninh thông tin, các thuận lợi, khó khăn, và thành công, tăng cường sự cam kết và sự tham gia. Kế hoạch truyền thông cần bao gồm nhiều con đường để phổ biến thông tin.

Xác nhận năng lực, đào tạo và nhận thức.

Triển khai ISO 27001 yêu cầu các vị trí liên quan đến sử dụng tài sản thông tin quan trọng để có năng lực được xác định, cũng như bằng chứng cho thấy người chịu trách nhiệm về tài sản thông tin có những năng lực đó. Do đó, nhóm phải xác định năng lực cần thiết, đánh giá nhân viên và xây dựng kế hoạch giải quyết nhu cầu đào tạo.

Xác định các yêu cầu mua sắm an ninh thông tin.

Để tuân thủ ISO 27001, một tổ chức phải xác định các chi tiết kỹ thuật để mua tài sản thông tin. Các thông số kỹ thuật có thể bao gồm các yêu cầu về chất lượng và số lượng, đặc tính cấu hình…, chi phí ước tính, lịch trình phân phối, độ tin cậy về bảo mật, và điện thế, dòng điện…. Để đảm bảo rằng kế hoạch mua sắm và ISMS là gắn kết, các nhân viên tham gia mua sắm nên hiểu biết về an ninh thông tin và các kiểm soát có liên quan; các mục tiêu và kế hoạch hành động về an ninh thông tin; kiểm soát hoạt động quan trọng để duy trì các cải tiến được thực hiện trước đó; và các hạng mục bảo dưỡng chính liên quan đến hệ thống an ninh thông tin.

Check- kiểm tra

Xác minh các yêu cầu pháp lý và các yêu cầu khác.

Phải thu thập một bản mô tả các nghĩa vụ về an ninh thông tin của tổ chức và phải bao gồm bất kỳ cam kết pháp lý hoặc tự nguyện nào. Cần phải đưa ra các quy trình để xác định, đánh giá và đánh giá các yêu cầu đó.

Thực hiện kế hoạch giám sát, đo đạc và phân tích.

Một yêu cầu chính của ISO 27001 là tổ chức thành lập kế hoạch giám sát, đo lường và phân tích an ninh thông tin. Các thành phần của kế hoạch phụ thuộc vào quy mô và tính phức tạp của tổ chức và các thiết bị giám sát sẵn có. Thông thường, kế hoạch bao gồm các thông số kỹ thuật của hệ thống, quy trình hoặc thiết bị được theo dõi, phương pháp và tần suất thu thập dữ liệu, quy trình phân tích dữ liệu và yêu cầu kiểm tra, hiệu chuẩn.

Tiến hành đánh giá nội bộ.

Đánh giá là một quá trình có hệ thống, được văn bản hóa để xác nhận rằng ISMS đáp ứng các tiêu chí của tổ chức, được thực hiện và duy trì hiệu quả, hỗ trợ các mục tiêu và cải thiện năng lực về an ninh thông tin thông qua các kiểm soát an ninh. Trong quá trình đánh giá, đánh giá viên phỏng vấn nhân viên, quan sát hoạt động, xem xét tài liệu và kiểm tra hồ sơ và dữ liệu. Nhiều cơ sở tiến hành đánh giá hàng năm.

Act- hành động

Thực hiện xem xét của lãnh đạo.

Tổ chức phải định kỳ rà soát và đánh giá các hoạt động và năng lực an ninh thông tin để xác định cơ hội cải tiến. Thông thường, một đại diện lãnh đạo đảm bảo rằng các thông tin thích hợp được thu thập, tổ chức và trình bày để quản lý có thể tiến hành đánh giá và đưa ra những quyết định sáng suốt.

Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc triển khai ISO 27001 và chứng nhận bởi TNV-SIGMA CERT.