ISO27002 tuyên bố về khả năng áp dụng (Phần 4)

Bài viết này là phần bốn của loạt bốn bài giải thích về ISO 27002 và tuyên bố về khả năng áp dụng của ISO 27001. Loạt bài viết giải thích ngắn gọn từng điều khiển được đề cập trong các tiêu chuẩn này. Giải thích dựa trên ISO 27002.

—————– Điều 1 —————–

  • Chính sách Bảo mật Thông tin A5
  • Tổ chức An toàn Thông tin A6
  • Bảo mật nguồn nhân lực A7
  • Quản lý tài sản A8

—————– Điều 2 —————-

  • Kiểm soát truy cập A9
  • Mật mã học A10
  • An ninh vật lý và môi trường A11

—————– Điều 3 —————–

  • Hoạt động An ninh A12
  • Bảo mật thông tin liên lạc A13
  • Hệ thống cung cấp, phát triển và bảo trì A14

—————– Điều 4 —————– (bài viết này)

  • Mối quan hệ với nhà cung cấp A15
  • Quản lý sự cố an toàn thông tin A16
  • Các khía cạnh an toàn thông tin của quản lý tính liên tục trong kinh doanh A17
  • Tuân thủ A18

 

Các mối quan hệ với nhà cung cấp

Chính sách bảo mật thông tin cho các mối quan hệ với nhà cung cấp

Vì nhà cung cấp có quyền truy cập vào một số tài sản nhất định, các tổ chức cần thiết lập một chính sách nêu rõ các yêu cầu để giảm thiểu rủi ro. Chính sách này cần được thông báo cho các nhà cung cấp và được thống nhất. Ví dụ về các yêu cầu đó là quy trình hậu cần được xác định trước, nghĩa vụ cho cả hai bên, NDA và tài liệu về quy trình cung cấp.

Giải quyết vấn đề bảo mật trong các thỏa thuận với nhà cung cấp

Mọi nhà cung cấp theo bất kỳ cách nào, trực tiếp hoặc gián tiếp, tiếp xúc với thông tin của tổ chức phải tuân theo các yêu cầu bảo mật thông tin đã đặt ra và đồng ý với chúng. Một khía cạnh dễ bị lãng quên của thỏa thuận là phải làm gì khi nhà cung cấp không thể và sẽ không cung cấp nữa. Điều quan trọng là phải thực hiện một điều khoản về điều đó.

Chuỗi cung ứng công nghệ thông tin và truyền thông

Các thỏa thuận cũng cần nêu rõ các yêu cầu và thỏa thuận về an toàn thông tin đối với các dịch vụ và chuỗi cung ứng CNTT-TT. Ví dụ về các yêu cầu bao gồm là nhu cầu có thể tuân theo các mặt hàng thông qua chuỗi cung ứng và duy trì một mức độ an ninh tối thiểu nhất định.

Giám sát và xem xét các dịch vụ của nhà cung cấp

Mọi người đều mắc sai lầm, và các nhà cung cấp cũng vậy. Cho dù sai lầm thực sự xảy ra do ngẫu nhiên hay là một hành động cố ý, thì kết quả là như nhau: tổ chức không nhận được chính xác những gì đã được thỏa thuận và lòng tin có thể giảm xuống. Vì lý do này, các tổ chức nên theo dõi tốt các nhà cung cấp và đánh giá họ khi có nhu cầu. Bằng cách này, một tổ chức biết được khi nào một nhà cung cấp làm điều gì đó khác thường.

Quản lý các thay đổi đối với dịch vụ của nhà cung cấp

Cũng giống như với các thay đổi hệ thống, ban quản lý cần kiểm soát bất kỳ thay đổi nào trong dịch vụ của nhà cung cấp. Họ cần đảm bảo rằng các chính sách bảo mật thông tin được cập nhật và bất kỳ thay đổi nào trong việc cung cấp dịch vụ đều được quản lý. Một thay đổi nhỏ trong dịch vụ được cung cấp kết hợp với chính sách bảo mật thông tin lỗi thời có thể dẫn đến rủi ro mới lớn.

Quản lý sự cố an toàn thông tin

Trách nhiệm và thủ tục

Các tổ chức cần tạo và lập hồ sơ các thủ tục cho các sự cố an toàn thông tin, và người quản lý nào chịu trách nhiệm về việc gì. Nếu sự cố an toàn thông tin xảy ra, nó có thể được xử lý một cách hiệu quả và nhanh chóng. Sự cố bảo mật xảy ra bất ngờ và có thể gây ra một số hỗn loạn, điều này có thể được giảm thiểu bằng cách có một giao thức để tuân theo.

Báo cáo sự cố an toàn thông tin

Ngay khi sự cố an toàn thông tin xảy ra, sự cố an toàn thông tin cần được báo cáo cho đúng đối tượng quản lý theo đúng cách thức. Điều này chỉ hoạt động khi tất cả các nhân sự liên quan biết vị trí và vai trò của họ trong chuỗi. Nên hướng dẫn nhân viên thận trọng khi mắc sai lầm và giải thích cho họ lý do tại sao kết quả dương tính giả tốt hơn âm tính giả trong trường hợp bảo mật thông tin.

Báo cáo điểm yếu về an toàn thông tin

Sự khác biệt giữa sự cố an toàn thông tin và điểm yếu là nhỏ, nhưng rất quan trọng. Một sự cố đã xảy ra, nhưng một sự yếu kém có thể dẫn đến sự cố xảy ra. Vì trong trường hợp sau, sự cố vẫn có thể được ngăn chặn, nhân viên nên học cách nhận ra điểm yếu và báo cáo chúng ngay lập tức. Tốt nhất là không nên để họ cố gắng chứng minh điểm yếu, vì điều này có thể dẫn đến sự cố thực tế và/hoặc các vấn đề pháp lý.

Đánh giá và quyết định về các sự kiện an toàn thông tin

Các tổ chức cần có một phương pháp đánh giá tài liệu tốt về sự cố an toàn. Khi có sự cố nghi ngờ xảy ra, người có trách nhiệm phải kiểm tra sự cố so với yêu cầu và xác định xem có sự cố an toàn thông tin thực sự hay không. Các kết quả của đánh giá này nên được lập thành văn bản, để chúng có thể được sử dụng để tham khảo trong tương lai.

Ứng phó với các sự cố an toàn thông tin

Điểm này có vẻ đơn giản nhưng vẫn cần đề cập đến. Một khi sự cố an toàn thông tin xảy ra, nó cần được ứng phó để tuân theo các quy trình đã thiết lập. Các biện pháp xác định trước phải được thực hiện và toàn bộ quá trình được ghi lại một cách chính xác.

Rút kinh nghiệm từ sự cố an toàn thông tin

Cho dù sự cố không mong muốn nhưng chúng vẫn có giá trị lớn. Kiến thức thu được từ việc giải quyết một sự cố nên được sử dụng để ngăn ngừa các sự cố tương tự trong tương lai và có thể giúp xác định một vấn đề có thể có hệ thống.

Thu thập bằng chứng

Một khi tai nạn xảy ra, nguyên nhân thường không rõ ràng ngay lập tức. Khi nguyên nhân là một cá nhân hoặc tổ chức, họ nên được xử lý kỷ luật dựa trên ý định và hiệu quả. Để liên kết một sự việc với một nguyên nhân, cần phải thu thập bằng chứng. Trong trường hợp có hành động ác ý, bằng chứng này có thể được sử dụng trong các hành động pháp lý. Để ngăn ngừa việc vô tình hoặc cố ý phá hủy chứng cứ, cần có một thủ tục xác định bằng chứng rõ ràng và an toàn.

Các khía cạnh bảo mật thông tin của quản lý tính liên tục của doanh nghiệp

Lập kế hoạch cho tính liên tục của an toàn thông tin

Các tổ chức nên xác định các yêu cầu của họ về tính liên tục của an toàn thông tin trong trường hợp xảy ra khủng hoảng. Lựa chọn dễ dàng nhất là tiếp tục các hoạt động bảo mật thông tin tiêu chuẩn tốt nhất có thể trong một tình huống bất lợi.

Thực hiện liên tục bảo mật thông tin

Khi các yêu cầu của chương trước đã được xác định và thống nhất trong quản lý, thủ tục, kế hoạch và kiểm soát phải được áp dụng để tiếp tục với mức độ an toàn thông tin có thể chấp nhận được trong trường hợp xảy ra khủng hoảng.

Xác minh, xem xét và đánh giá tính liên tục của bảo mật thông tin

Khi các tổ chức thay đổi, cách tốt nhất để ứng phó với một cuộc khủng hoảng cũng thay đổi. Ví dụ, một tổ chức tăng gấp đôi quy mô trong thời gian một năm rất có thể sẽ được hưởng lợi từ phản ứng khác với một năm trước. Vì lý do này, tính liên tục của bảo mật thông tin được kiểm soát một cách thường xuyên.

Sự sẵn có của các phương tiện xử lý thông tin

Lập kế hoạch rõ ràng về sự sẵn có của các phương tiện xử lý thông tin có thể tiết kiệm chi phí trong các tình huống tối ưu, chắc chắn là không xảy ra các tình huống bất thường. Do đó, các phương tiện xử lý thông tin phải được thiết kế với một lượng dự phòng nhất định, sao cho công suất bất ngờ bổ sung không vượt quá khả năng tối đa.

Tuân thủ

Nhận dạng luật pháp hiện hành và các yêu cầu theo hợp đồng

Các yêu cầu đến từ mọi nơi và ở đó phải được đáp ứng. Do đó, các tổ chức cần có cái nhìn tổng quan về tất cả các yêu cầu mà họ cần tuân thủ và cách thức thực hiện điều này. Vì các yêu cầu có thể thay đổi hoặc được bổ sung, tổng quan về tuân thủ yêu cầu cần phải được cập nhật.

Quyền sở hữu trí tuệ

Quyền sở hữu trí tuệ, cũng là một phần của tuân thủ pháp luật, là một lĩnh vực đáng được quan tâm đặc biệt. Tài sản trí tuệ có thể có giá trị lớn, vì vậy điều quan trọng là phải lập hồ sơ tài sản trí tuệ của chính mình và việc sử dụng tốt tài sản trí tuệ của người khác. (Vô tình) sử dụng sai quyền sở hữu trí tuệ của người khác có thể dẫn đến các vụ kiện lớn và cần được ngăn chặn bằng mọi giá.

Bảo vệ hồ sơ

Bất kỳ hồ sơ nào, dù là hồ sơ kế toán hay nhật ký kiểm toán, đều cần được bảo vệ. Hồ sơ có nguy cơ bị mất, bị xâm nhập hoặc bị truy cập trái phép. Các yêu cầu về bảo vệ hồ sơ có thể đến từ chính tổ chức hoặc từ các nguồn khác như luật pháp hoặc các công ty bảo hiểm. Đối với điều này, các nguyên tắc nghiêm ngặt nên được tạo ra và tuân theo.

Quyền riêng tư và bảo vệ thông tin nhận dạng cá nhân

Tùy thuộc vào quốc gia hoặc không gian kinh tế mà tổ chức đặt trụ sở, các luật khác nhau về bảo vệ dữ liệu cá nhân có thể được áp dụng. Đối với các tổ chức ở Liên minh Châu Âu và/hoặc xử lý dữ liệu cá nhân của công dân Liên minh Châu Âu, Quy định chung về bảo vệ dữ liệu sẽ được áp dụng. Các tổ chức cần đảm bảo nhận thức được các yêu cầu do luật pháp đó đặt ra và tuân thủ nó một cách tôn giáo.

Quy định về kiểm soát mật mã

Cũng giống như chương con trước đó, các khu vực khác nhau trên thế giới có các quy định khác nhau về kiểm soát mật mã. Các tổ chức cần phải nhận thức được các quy tắc và tuân theo chúng.

Rà soát độc lập về an toàn thông tin

Không thể để các tổ chức xem xét một cách khách quan hệ thống an toàn thông tin của chính họ. Vì lý do này, các tổ chức nên được một bên độc lập đánh giá tính bảo mật thông tin của họ một cách thường xuyên hoặc khi có những thay đổi lớn xảy ra. Điều này giữ cho quan điểm của tổ chức về bảo mật thông tin của họ được chính xác và minh bạch.

Tuân thủ các chính sách và tiêu chuẩn bảo mật

Với ​​tất cả các chính sách, tiêu chuẩn và thủ tục bảo mật này, điều quan trọng là các nhà quản lý phải thường xuyên xem xét liệu các hoạt động và/hoặc quy trình mà họ chịu trách nhiệm có tuân thủ đầy đủ hay không. Để điều này được thực hiện một cách chính xác, họ nên biết chính xác các quy tắc và yêu cầu mà họ cần tuân thủ và kiểm tra việc này theo cách thủ công hoặc bằng công cụ báo cáo tự động.

Đánh giá tuân thủ kỹ thuật

Hệ thống thông tin cũng cần được thường xuyên xem xét về tính tuân thủ. Cách dễ nhất và thường tiết kiệm chi phí nhất để làm điều này là sử dụng công cụ tự động. Công cụ này có thể nhanh chóng kiểm tra tất cả các ngóc ngách của hệ thống và báo cáo chính xác những gì đã xảy ra/có thể sai. Kiểm tra lỗ hổng bảo mật như kiểm tra thâm nhập có thể chỉ ra bất kỳ điểm yếu nào một cách hiệu quả, nhưng thực sự có thể gây hại cho hệ thống khi được thực hiện mà không thận trọng.

Giải thích về ISO27002 và tuyên bố về khả năng áp dụng

Giải thích về ISO27002 và tuyên bố về khả năng áp dụng (phần 2)

Giải thích về ISO27002 và tuyên bố về khả năng áp dụng (phần 3)

Ngày 15/4/2022

Tin liên quan