Giải thích về ISO27002 và tuyên bố về khả năng áp dụng

Nhiều người biết đến tiêu chuẩn an toàn thông tin quốc tế ISO27001. Nhưng ISO27002 thường được đề cập cùng với nó là gì? Viện nghiên cứu phát triển tiêu chuẩn chất lượng sẽ giải thích chi tiết hơn về tiêu chuẩn ISO27002 ít được biết đến. Bài viết nhằm nâng cao kiến ​​thức của bạn để hiểu rõ hơn về Hệ thống an toàn thông tin.

 

ISO27002 là gì?

Một trong những chương quan trọng nhất của ISO27001 là xử lý rủi ro, cần được thực hiện một cách có phương pháp. Để tạo ra những hiểu biết sâu sắc về các rủi ro, ISO27001 yêu cầu cái gọi là Tuyên bố về khả năng áp dụng. Tuyên bố này bao gồm một danh sách dài các biện pháp kiểm soát bảo mật thông tin thực tiễn tốt nhất. Các tổ chức nên đặt câu hỏi Có nếu thực tiễn tốt nhất là 'áp dụng được' cho tổ chức. Bạn có thể đặt Không nếu điều khiển không áp dụng được.

Tất cả các yếu tố của ISO 27002 được đề cập trong Phụ lục của ISO 27001. Phụ lục này được gọi là Các mục tiêu và biện pháp kiểm soát tham chiếu. Trong phụ lục, chúng được đánh số từ A5.1.1 cho đến A18.2.3. Tiêu chuẩn ISO 27002 cung cấp các chi tiết bổ sung, được gọi là 'hướng dẫn thực hiện'. Đây là hướng dẫn và do đó không bắt buộc. Tuy nhiên, hướng dẫn sẽ hữu ích để hiểu từng điều khiển.

Cấu trúc bài viết

Quy chuẩn này được chia thành 14 chương, mỗi chương thảo luận về một khía cạnh khác nhau của kiểm soát an toàn thông tin. Chúng tôi thảo luận các chương sau trong các bài viết sau:

—————– Điều 1 —————–

  • Chính sách Bảo mật Thông tin A5
  • Tổ chức An toàn Thông tin A6
  • Bảo mật nguồn nhân lực A7
  • Quản lý tài sản A8

—————– Điều 2 —————–

  • Kiểm soát truy cập A9
  • Mật mã học A10
  • An ninh vật lý và môi trường A11

—————– Điều 3 —————–

  • Hoạt động An ninh A12
  • Bảo mật thông tin liên lạc A13
  • Hệ thống cung cấp, phát triển và bảo trì A14

—————– Điều 4 —————–

  • Mối quan hệ với nhà cung cấp A15
  • Quản lý sự cố an toàn thông tin A16
  • Các khía cạnh an toàn thông tin của quản lý tính liên tục trong kinh doanh A17
  • Tuân thủ A18

Chính sách bảo mật thông tin

Có Chính sách An toàn Thông tin

Cần tạo một tài liệu, chứa đựng cách thức tổ chức quản lý các mục tiêu an toàn thông tin. Tài liệu này cần được ban quản lý phê duyệt và cần có cả chính sách cấp cao và cấp thấp.

Rà soát chính sách An toàn thông tin một cách thường xuyên

Khi các chính sách đã được áp dụng, chúng cần được xem xét thường xuyên. Phương pháp tốt nhất cho việc này là tổ chức một cuộc họp thường xuyên và lên kế hoạch cho một cuộc họp bổ sung ở giữa nếu tình huống yêu cầu. Nếu có bất kỳ thay đổi nào được thực hiện, ban quản lý cần phải chấp thuận.

Tổ chức bảo mật thông tin

Các vai trò và trách nhiệm về an toàn thông tin

Chính sách cần xác định ai chịu trách nhiệm về tài sản, quy trình hoặc hoạt động rủi ro an toàn thông tin nào. Điều quan trọng là việc phân công được thực hiện rõ ràng và cho tất cả các nhiệm vụ.

Phân tách nhiệm vụ

Để ngăn chặn mọi hành vi lạm dụng tài sản của công ty, “quyền” kiểm soát hoàn toàn một hoạt động nhạy cảm không nên nói dối với cùng một người. Cách tốt nhất để thực hiện điều này là ghi nhật ký tất cả các hoạt động và phân chia các nhiệm vụ quan trọng trong việc thực hiện và kiểm tra hoặc phê duyệt và bắt đầu. Điều này ngăn ngừa gian lận và sai sót, ví dụ như trong trường hợp có một người thực hiện và ký tên vào tất cả các tờ séc của công ty.

Liên hệ với cơ quan chức năng

Cần xác định rõ ai chịu trách nhiệm liên hệ với các cơ quan chức năng (ví dụ: cơ quan thực thi pháp luật, cơ quan quản lý, cơ quan giám sát), cơ quan chức năng nào nên được liên hệ (ví dụ khu vực/quốc gia), và điều này cần xảy ra trong trường hợp nào. Phản ứng nhanh chóng và đầy đủ đối với các sự cố có thể làm giảm đáng kể tác động, và thậm chí có thể là bắt buộc theo luật.

Liên hệ với các nhóm lợi ích đặc biệt

Để đảm bảo cập nhật các xu hướng bảo mật thông tin mới nhất và các phương pháp hay nhất, nên duy trì liên hệ tốt với các nhóm lợi ích đặc biệt. Thậm chí, họ có thể được hỏi ý kiến ​​chuyên gia dưới sự kiểm soát chính xác. Ví dụ về các nhóm như vậy là: Information Security NL, PVIB, NGFG và IAPP.

Bảo mật thông tin trong quản lý dự án

Để đảm bảo việc triển khai ISMS thành công trên toàn tổ chức, bảo mật thông tin cần được xem xét và lập thành văn bản trong tất cả các dự án. Nếu bạn có sổ tay hoặc mẫu quản lý dự án, nên bao gồm một chương bảo mật thông tin.

Chính sách về thiết bị di động

Việc sử dụng thiết bị di động có thể gặp nhiều rủi ro, đặc biệt là việc sử dụng thiết bị di động của chính mình. Cập nhật, bảo vệ và không làm mất lòng tin của người dùng. Các tổ chức cần có chính sách liên quan đến việc sử dụng (riêng) các thiết bị di động và cách quản lý các rủi ro gắn liền với chúng.

Chính sách làm việc từ xa/làm việc tại nhà

Cần có một chính sách cho làm việc từ xa. Chính sách phải nêu rõ liệu nó có được phép hay không và trong những điều kiện nào. Ví dụ về các điều kiện/ràng buộc đó có thể là tính bảo mật của địa điểm, thiết bị được phép, loại mạng được phép, yêu cầu phần mềm và các bộ phận của hệ thống tổ chức có thể truy cập từ xa.

An ninh nguồn nhân lực

Sàng lọc trước khi tuyển dụng

Cần có chính sách sàng lọc những nhân viên tương lai. Tỷ lệ thuận với độ nhạy của thông tin mà nhân viên trong tương lai phải được áp dụng và các luật, quy định và đạo đức có liên quan phải được tôn trọng khi làm như vậy. Đối với các vai trò bảo mật thông tin, năng lực và độ tin cậy cần được xác định và lập thành văn bản.

Các điều khoản về việc làm và bảo mật thông tin

Hợp đồng của nhân viên phải có chính sách IS của tổ chức và vai trò của nhân viên trong đó. Các nhân viên trong tương lai cần được biết về điều đó và ký xác nhận tuân thủ điều đó trong hợp đồng của họ.

Trách nhiệm

quản lý Ban quản lý cần đảm bảo rằng tất cả nhân viên và nhà thầu đều nhận thức được và tuân theo chính sách bảo mật thông tin của tổ chức. Họ nên dẫn đầu bằng cách làm ví dụ và cho thấy rằng Bảo mật thông tin vừa hữu ích vừa cần thiết.

Đào tạo nâng cao nhận thức về an ninh

Tất cả nhân viên lẽ ra phải tuân theo một khóa đào tạo nâng cao nhận thức và an ninh IS. Vì không phải tất cả nhân sự đều xử lý cùng một loại thông tin, nên mức độ đào tạo phải phù hợp với đối tượng mục tiêu. Để nâng cao nhận thức và mức độ kiến ​​thức phù hợp, điều quan trọng là phải đào tạo thường xuyên và cho nhân sự chuyển đến vị trí yêu cầu mức độ an toàn thông tin cao hơn.

Quy trình xử lý kỷ luật

Nếu vi phạm an ninh đã xảy ra, cần phải có hình thức kỷ luật chính thức. Mặc dù điều này nghe có vẻ khó khăn, nhưng điều quan trọng là phải ghi lại lý do và nguồn gốc của một vi phạm bảo mật để ngăn chặn sự lặp lại và nói rõ với tất cả nhân viên rằng bảo mật thông tin là điều cần phải coi trọng.

Kết thúc hoặc thay đổi trách nhiệm việc làm

Một số nhiệm vụ và trách nhiệm bảo mật thông tin không kết thúc ngay lập tức vào thời điểm nhân viên làm việc ở một vị trí hoặc kết thúc thỏa thuận với nhà thầu. Những trách nhiệm hoặc nghĩa vụ đó phải được nêu trong một chính sách, được thông báo cho những người có liên quan và được thực thi. Quan trọng nhất, hãy đảm bảo rằng điều khoản không tiết lộ được quy định rõ ràng sẽ tiếp tục kéo dài đến 1-2 năm sau khi tuyển dụng.

Quản lý tài sản

Kiểm kê tài sản

Tổ chức phải xác định được tất cả các tài sản xử lý thông tin và thông tin. Tất cả các tài sản phải được tập hợp trong một bản kiểm kê và cần được bảo quản đúng cách. Biết được có những tài sản nào, tầm quan trọng của chúng, vị trí của chúng và cách chúng được xử lý là điều cần thiết trong việc xác định và dự đoán rủi ro. Nó thậm chí có thể là bắt buộc đối với các nghĩa vụ pháp lý hoặc mục đích bảo hiểm.

Quyền sở hữu tài sản được giao

Tài sản được giao cho 1 cá nhân. Qua đó cá nhân sẽ tự quản lý và có tránh nheiemj cao nhất đối với tài sản đó. Việc theo dõi và chăm sóc trong toàn bộ vòng đời của chúng được sự giám sát chặt chẽ cho. Các tài sản tương tự có thể được nhóm lại và việc giám sát tài sản hàng ngày có thể được giao cho người được gọi là người giám sát, nhưng chủ sở hữu vẫn phải chịu trách nhiệm. Quyền sở hữu tài sản phải được sự đồng ý của cấp quản lý.

Việc sử dụng tài sản được chấp nhận

Cần có các quy tắc tài liệu đầy đủ để truy cập tài sản thông tin. Người sử dụng tài sản phải biết các yêu cầu bảo mật thông tin liên quan đến việc sử dụng tài sản và tuân theo các yêu cầu đó.

Trả lại tài sản

Khi một nhân viên hoặc bên ngoài có thể không còn tiếp cận tài sản đó, ví dụ, do thỏa thuận kết thúc việc làm, họ phải trả lại tài sản cho tổ chức. Cần có một chính sách rõ ràng cho việc này, mà tất cả những người có liên quan phải biết. Các tài sản phi hữu hình quan trọng đối với hoạt động hiện tại, chẳng hạn như kiến ​​thức cụ thể chưa được lập thành văn bản phải được lập thành văn bản và trả lại.

Phân loại tài sản

Một số thông tin được coi là nhạy cảm do giá trị tiền tệ hoặc pháp lý, và phải được giữ bí mật trong khi các thông tin khác ít quan trọng hơn. Tổ chức nên có chính sách về cách xử lý thông tin đã phân loại. Trách nhiệm phân loại tài sản thông tin thuộc về chủ sở hữu của nó. Để phân biệt tầm quan trọng của các tài sản được phân loại khác nhau, có thể hữu ích nếu thực hiện một số cấp độ bảo mật từ không tồn tại đến ảnh hưởng nghiêm trọng đến khả năng tồn tại của tổ chức.

Ghi nhãn thông tin

Như đã thảo luận trong chương trước, không phải tất cả thông tin đều thuộc cùng một loại. Do đó, điều quan trọng là phải dán nhãn tất cả thông tin phù hợp với phân loại của chúng. Khi thông tin được xử lý, lưu trữ hoặc trao đổi, có thể hữu ích khi biết phân loại đối tượng. Đáng buồn thay, điều này cũng có thể hữu ích cho những người không thiện chí. Điều quan trọng là phải nhận thức được rủi ro này.

Xử lý tài sản

Đối với việc xử lý tài sản, cần có những thủ tục nhất định. Nhân sự cần hiểu việc dán nhãn tài sản và biết cách xử lý các mức độ phân loại khác nhau. Vì không có phân loại chung, điều quan trọng là phải có kiến ​​thức về cấp độ phân loại của các bên khác, vì chúng rất có thể sẽ khác với của bạn.

Quản lý phương tiện có thể tháo rời

Ngay cả trong thời đại của cách mạng Công nghiệp 4.0, IOT, Internet vạn vật ngày nay, phương tiện có thể loại bỏ vẫn được sử dụng khá nhiều. Ban quản lý nên thiết lập một quy trình cách thức các phương tiện có thể tháo rời như USB, ổ cứng và CD. Ví dụ về các quy trình như vậy là các hạn chế về nơi lưu giữ các thiết bị này, liệu chúng có được mã hóa hay không, loại nội dung nào có thể được lưu trữ trên chúng hoặc trong các môi trường nhạy cảm hơn, cách giám sát việc sử dụng phương tiện có thể loại bỏ.

Vứt bỏ vật liệu in

Khi vật liệu in không còn cần thiết nữa, nó nên được xử lý đúng cách để tránh rò rỉ. Để đảm bảo rằng không có gì bị mất, điều quan trọng là phải ghi lại việc loại bỏ phương tiện. Phương tiện nhạy cảm cần được xử lý cẩn thận hơn, điều này tốt nhất là do tổ chức tự thực hiện. Một quy trình về cách thức xử lý các phương tiện được phân loại và không được phân loại nhằm giảm thiểu nguy cơ rò rỉ và vô tình phá hủy tài sản thông tin.

Vận chuyển vật chất của phương tiện

Đôi khi, tài sản thông tin cần được vận chuyển một cách vật lý. Ổ cứng hoặc tài liệu cần được gửi bằng chuyển phát nhanh hoặc đường bưu điện, gây ra nguy cơ bị truy cập trái phép hoặc bị hỏng. Để giảm thiểu rủi ro, cần có các hướng dẫn xung quanh việc bảo vệ vật lý của phương tiện. Điều khôn ngoan là nên có một danh sách các phương thức vận chuyển đáng tin cậy đã được xác minh, yêu cầu xác định người vận chuyển và ghi lại phương tiện nào đã được gửi, chứa thông tin gì và nó đã được bảo mật như thế nào.

Ngày 12/4/2022

Tin liên quan