Đánh giá, xử lý rủi ro trong bảo mật an toàn thông tin mạng với tiêu chuẩn ISO/IEC 27002
Đánh giá, xử lý rủi ro trong bảo mật an toàn thông tin mạng với tiêu chuẩn ISO/IEC 27002
Tiêu chuẩn ISO/IEC 27002 này thiết lập các hướng dẫn và nguyên tắc chung cho hoạt động khởi tạo, triển khai, duy trì và cải tiến công tác quản lý an toàn thông tin trong một cơ quan/tổ chức. Mục tiêu của ISO/IEC 27002 đưa ra hướng dẫn chung nhằm đạt được các mục đích chung đã được chấp nhận trong quản lý an toàn thông tin.
Các mục tiêu và biện pháp quản lý của tiêu chuẩn ISO/IEC27002 được xây dựng nhằm đáp ứng các yêu cầu đã được xác định bởi quá trình đánh giá rủi ro. Tiêu chuẩn ISO/IEC27002 có thể đóng vai trò như một hướng dẫn thực hành trong việc xây dựng các tiêu chuẩn an toàn thông tin cho doanh nghiệp/tổ chức và các quy tắc thực hành quản lý an toàn thông tin hiệu quả và giúp tạo dựng sự tin cậy trong các hoạt động liên của tổ chức.
Các biện pháp quản lý rủi ro bao gồm các chính sách, thủ tục, hướng dẫn, thực hành hoặc cơ cấu cơ quan/tổ chức, trên phương diện hành chính, kỹ thuật, quản lý hoặc bản chất pháp lý.
Đánh giá rủi ro cần phải xác định, định lượng, phân loại cần ưu tiên các rủi ro dựa trên tiêu chí về chấp nhận rủi ro và các mục tiêu phù hợp ứng với từng cơ quan/tổ chức. Các kết quả cần có hướng dẫn và xác định hoạt động quản lý phù hợp, phân loại ưu tiên nhằm phục vụ cho việc quản lý các rủi ro trong an toàn thông tin. Triển khai các biện pháp quản lý đã được chọn nhằm chống lại (hạn chế) các rủi ro này. Quá trình đánh giá các rủi ro và chọn lựa các biện pháp quản lý có thể cần được thực hiện lặp lại nhiều lần nhằm bao quát hết các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin riêng lẻ.
Đánh giá
Đánh giá rủi ro cần phải bao hàm cách tiếp cận một cách có hệ thống trong việc ước lượng độ lớn của các rủi ro (phân tích rủi ro) và quá trình so sánh các rủi ro đã được ước đoán với tiêu chí rủi ro nhằm xác định độ nghiêm trọng của các rủi ro đã được ước lượng.
Đánh giá rủi ro phải được thực hiện định kỳ từ đó nhằm phát hiện những thay đổi về các yêu cầu an toàn và tình huống rủi ro. Ví dụ trong các tài sản, các mối đe dọa, các điểm yếu, các tác động, trong ước lượng rủi ro, và khi xảy ra những thay đổi lớn. Các đánh giá rủi ro này cần được thực hiện một cách có phương pháp nhằm đưa ra các kết quả có khả năng so sánh và tái sử dụng.
Để đánh giá hiệu quả và rủi ro trong an toàn thông tin cần có một phạm vi xác định rõ ràng, và nếu thích hợp thì cần bao hàm cả các mối quan hệ với việc đánh giá rủi ro cho các lĩnh vực khác.
Phạm vi của đánh giá rủi ro có thể là trong toàn bộ cơ quan/tổ chức, các bộ phận của cơ quan/tổ chức, trong một hệ thống thông tin cụ thể nào đó, các thành phần hệ thống nhất định, hoặc các dịch vụ mà ở đó có thể thực hiện đánh giá rủi ro một cách khả thi, thực tế, hữu dụng. Ví dụ về các hệ phương pháp đánh giá rủi ro được đề cập trong tiêu chuẩn ISO/IEC TR 13335-3 (Các hướng dẫn quản lý an toàn công nghệ thông tin: Các kỹ thuật quản lý an toàn công nghệ thông tin).
Xử lý rủi ro
Khi xem xét xử lý rủi ro, cơ quan/tổ chức cần quyết định tiêu chí để xác định liệu các rủi ro có được chấp nhận hay không. Các quyết định rủi ro cần phải được ghi lại. Việc đưa ra quyết định xử lý rủi ro đối với các rủi ro đã được xác định sau đánh giá rủi ro. Dưới đây là những lựa chọn nhằm xử lý rủi ro: Áp dụng cụ thể các biện pháp quản lý thích hợp nhằm giảm bớt rủi ro; Chấp nhận đón nhận các rủi ro một cách khách quan và có dụng ý, chúng thỏa mãn các chính sách và tiêu chí chấp nhận rủi ro của tổ chức; Tránh các rủi ro bằng cách không cho phép các hoạt động sẽ làm phát sinh thêm bất rủi ro nào khác; Chuyển các rủi ro mang tính dây chuyền tới các bên khác.
Đối với các rủi ro mà việc quyết định xử lý rủi ro đã được xác định phải áp dụng các biện pháp quản lý phù hợp thì những biện pháp quản lý này cần được lựa chọn và thực hiện để đáp ứng các yêu cầu được xác định bởi quá trình đánh giá rủi ro. Các cơ quan/tổ chức cần biện pháp quản lý cần đảm bảo rằng các rủi ro được giảm tới một mức chấp nhận, và quan tâm tới các vấn đề sau: (1) Những yêu cầu, các ràng buộc của pháp luật, quy định trong nước và quốc tế; (2) Các mục tiêu của tổ chức; (3) Những yêu cầu và các ràng buộc về vận hành; (4) Các chi phí triển khai, đưa vào vận hành liên quan tới các rủi ro sẽ được giảm thiểu, và duy trì tương quan đối với các yêu cầu và các ràng buộc của tổ chức; (5) Cân bằng đầu tư trong quá trình triển khai, vận hành các biện pháp quản lý để chống lại thiệt hại có thể xảy ra do các lỗi về an toàn.
Các biện pháp quản lý có thể được chọn từ tiêu chuẩn này hoặc từ bộ các biện pháp quản lý khác, hoặc các biện pháp quản lý mới có thể được thiết kế phù hợp với các yêu cầu nhất định của cơ quan/tổ chức. Phải thừa nhận rằng một số những biện pháp quản lý có thể không còn phù hợp đối với từng môi trường cụ thể và hệ thống thông tin nhất định, và có thể không khả thi đối với tất cả các cơ quan/tổ chức.
Các biện pháp trong ISO/IEC 27002 cần được quan tâm ở giai đoạn thiết kế và xác định các yêu cầu đối với các dự án và các hệ thống. Lỗi ở giai đoạn này có thể làm phát sinh rất nhiều chi phí và giảm đáng kể hiệu quả của các giải pháp, và t trường hợp xấu nhất không thể đạt được sự an toàn thông tin một cách thỏa đáng.
Cần lưu ý rằng không tồn tại bộ các biện pháp quản lý nhằm đạt được an toàn tuyệt đối, và cần thực hiện hoạt động quản lý bổ trợ nhằm giám sát, ước lượng, và nâng cao khả năng và tính hiệu quả của các biện pháp quản lý an toàn nhằm hướng đến các mục tiêu của cơ quan/tổ chức.
Viện Chất lượng ISSQ luôn sẵn sàng đồng hành cùng Công ty trong thời kỳ hội nhập và phát triển.
Hãy liên hệ với chúng tôi theo hotline: 0981851111 | 02422661111 hoặc vienchatluong@issq.org.vn | tcvn@issq.org.vn
Ngày 11/05/2022
Tin liên quan
- Thông báo tuyển dụng Chuyên gia đánh giá
- Thông báo tuyển dụng Phụ trách nhân sự
- Thông báo Tuyển dụng Thử nghiệm viên Phòng thử nghiệm Hóa dầu
- Họp tham vấn lần thứ nhất cho hoạt động Hỗ trợ Kỹ thuật “Xây dựng bộ tiêu chuẩn quốc gia (TCVN) về Hệ thống Pin lưu trữ năng lượng tại Việt Nam”
- Thông báo Mời tham gia tham vấn: Hoạt động hỗ trợ kỹ thuật “Xây dựng Bộ tiêu chuẩn quốc gia (TCVN) về Hệ thống pin lưu trữ năng lượng Việt Nam”
- Thông báo tuyển dụng Chuyên viên nội dung
- Thông báo về việc thay đổi nhân sự của Viện ISSQ
- Thông báo mời tham gia tham vấn lần thứ nhất Dự án Hỗ trợ Kỹ thuật "Xây dựng Tiêu chuẩn Quốc gia về Điện gió ngoài khơi tại Việt Nam"
- Chứng nhận ISO 9001 lĩnh vực sản xuất thanh hợp kim nhôm
- Những nội dung chính trong tiêu chuẩn ISO 27001
- Nhiệt liệt chào mừng Ngày Khoa học và Công nghệ Việt Nam 18-5 và kỷ niệm 65 năm Ngày thành lập Bộ KH&CN
- Nguyên tắc áp dụng tiêu chuẩn ISO 13485
- Viện Chất lượng ISSQ đào tạo giám định viên
- Dầu nhờn động cơ đốt trong hợp quy theo QCVN 14:2018/BKHCN
- QCVN 08:2020/BCT - Chứng nhận hợp quy Hàm lượng Chì trong Sơn.
- Viện Chất lượng ISSQ tổ chức họp khởi động dự án Hỗ trợ Kỹ thuật “Xây dựng tiêu chuẩn quốc gia hệ thống lưu trữ năng lượng pin (BESS Việt Nam)
- Khóa đào tạo ISO 9001 - Hệ thống Quản lý Chất lượng.
- Khóa Đào tạo nhận thức chung ISO 14001:2015 - Hệ thống quản lý môi trường
- Lợi ích của chứng nhận ISO 29001:2020 - Hệ thống Quản lý Chất lượng chuyên ngành dầu khí
- Chứng nhận ISO 22000 phù hợp với những doanh nghiệp nào?