Quản lý an toàn thông tin

Tiểu ban kỹ thuật SC 27 (IT Security techniques – Các kỹ thuật an toàn) thuộc ISO/IEC JTC 1 là Tiểu ban chịu trách nhiệm đối với việc phát triển tiêu chuẩn ISO/IEC 27001.

vào hoạt động phát triển tiêu chuẩn ISO

Cor.1 2014

Cor2. 2015

Cor.1 2014

Cor2. 2015

Quy phạm thực hành các biện pháp kiểm soát an toàn thông tin

Hệ thống quản lý an toàn thông tin – Hướng dẫn

Quản lý an toàn thông tin – Theo dõi, đo lường, phân tích, đánh giá

Quản lý rủi ro an toàn thông tin

Các yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin

Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin

Hướng dẫn đánh giá các biện pháp kiểm soát ATTT

Việc áp dụng ISO/IEC 27001 theo lĩnh vực cụ thể – Các yêu cầu

Quản lý an toàn thông tin đối với thông tin liên lạc trong nội bộ tổ chức và giữa các ngành

Cor.1 2018

Hướng dẫn quản lý an toàn thông tin đối với các tổ chức viễn thông dựa trên ISO/IEC 27002

Hướng dẫn thực hiện tích hợp ISO/IEC 27001 và ISO/IEC 20000-1

Quản trị về ATTT

Kinh tế tổ chức

Hướng dẫn về an ninh mạng (Guidelines for cybersecurity)

27035-1:2016

Quản lý sự cố ATTT – Phần 1: Nguyên tắc quản lý sự cố

27035-2:2016

Quản lý sự cố ATTT – Phần 2: Hướng dẫn lập kế hoạch và chuẩn bị ứng phó sự cố

hệ thống quản lý

thay đổi

(quy định)

Tổ chức phải xác định các vấn đề bên ngoài và nội bộ có liên quan đến mục đích của tổ chức và ảnh hưởng đến khả năng của tổ chức để đạt được các kết quả dự kiến của ISMS

·       Khi thực hiện các hoạt động của mình, tổ chức phải thường xuyên xem xét, phân tích về chính mình và thế giới quanh mình. Việc phân tích này có liên quan đến các vấn đề bên ngoài và nội bộ có ảnh hưởng đến ATTT và bằng cách nào ATTT được quản lý, cũng như có liên quan đến các mục tiêu của tổ chức.

·       Có 3 mục đích của việc phân tích, gồm:

ü  Để hiểu về bối cảnh, từ đó xác định phạm vi áp dụng ISMS;

ü  Để hiểu về các rủi ro và cơ hội;

ü  Để đảm bảo ISMS phù hợp với sự thay đổi của các vấn đề bên ngoài và nội bộ.

·       Những vấn đề bên ngoài là những gì nằm ngoài sự kiểm soát của tổ chức, có thể về các khía cạnh môi trường sau, tùy theo sự ưu tiên và tình huống cụ thể của từng tổ chức:

a)      Văn hóa và xã hội (ví dụ: nhu cầu của xã hội đối với các dịch vụ do tổ chức cung cấp);

b)      Chính trị, pháp luật, chế định (ví dụ: các quy định của pháp luật khi sử dụng các dịch vụ về IT do bên ngoài cung cấp);

c)      Tài chính và vĩ mô (ví dụ: nhu cầu của xã hội đối với các dịch vụ do tổ chức cung cấp);

d)      Công nghệ (ví dụ: các tiến bộ kỹ thuật của các công cụ tấn công (hack) và việc sử dụng mã hóa);

e)      Tự nhiên (ví dụ: các đặc điểm tự nhiên về khả năng của các tai họa như cháy, lũ lụt, động đất);

f)       Cạnh tranh.

·       Các vấn đề nội bộ là những gì thuộc sự kiểm soát của tổ chức, có thể về các khía cạnh sau:

g)      Văn hóa của tổ chức;

h)      Chính sách, mục tiêu và chiến lược để đạt được mục tiêu;

i)       Việc quản trị, cơ cấu tổ chức, các vai trò, trách nhiệm;

j)       Các tiêu chuẩn, hướng dẫn và các mô hình mẫu được tổ chức chấp nhận;

k)      Các mối quan hệ hợp đồng có thể trực tiếp ảnh hưởng các quá trình thuộc phạm vi áp dụng ISMS của tổ chức;

l)       Các quá trình và thủ tục;

m)   Năng lực, xét về các nguồn lực và tri thức (ví dụ: vốn, thời gian, nhân sự, quá trình, các hệ thống và công nghệ);

n)      Cơ sở hạ tầng và môi trường vật lý;

o)      Các hệ thống thông tin, các dòng thông tin và các quá trình ra quyết định (cả chính thức và không chính thức);

p)      Các cuộc đánh giá trước đó và các kết quả đánh giá rủi ro trước đó.

Các kết quả của việc xác định các vấn đề bên ngoài và nội bộ (tức là xác định bối cảnh) sẽ được sử dụng để xác định phạm vi của ISMS (điều 4.3), để xác định hành động giải quyết rủi ro và cơ hội (điều 6.1) và để phục vụ cho hoạt động xem xét của lãnh đạo (điều 9.3).

·       Căn cứ trên việc hiểu rõ về mục đích của tổ chức (ví dụ như từ “Sứ mệnh” và Kế hoạch kinh doanh của tổ chức), cũng như các kết quả dự kiến của ISMS của tổ chức, tổ chức phải:

ü  Xem xét môi trường bên ngoài để xác định các vấn đề bên ngoài liên quan;

ü  Xem xét các khía cạnh nội bộ để xác định các vấn đề nội bộ liên quan.

·       Để xác định các vấn đề liên quan đó, tổ chức có thể đặt câu hỏi “Liệu từng vấn đề từ a) đến p) như liệt kê trên sẽ ảnh hưởng đến các mục tiêu ATTT của tố chức như thế nào?”. Dưới đây là 3 ví dụ minh họa đối với các vấn đề nội bộ:

ü  Ví dụ 1 (liên quan đến việc quản trị và cơ cấu tổ chức, mục i)): Khi thiết lập ISMS, việc quản trị điều hành và cơ cấu tổ chức hiện tại phải được đưa vào xem xét. Ví dụ như tổ chức có thể có mô hình cơ cấu tổ chức trong ISMS dựa trên cơ cấu tổ chức đã được xác định trong các hệ thống quản lý hiện có khác, và có thể kết hợp các chức năng chung như việc xem xét của lãnh đạo và hoạt động đánh giá.

ü  Ví dụ 2 (liên quan đến chính sách, mục tiêu và chiến lược, mục h)): Việc phân tích các chính sách, mục tiêu và các chiến lược hiện có, có thể chỉ ra điều mà tổ chức dự định sẽ đạt được và cách thức mà các mục tiêu ATTT sẽ được lồng ghép cùng với các mục tiêu kinh doanh để đảm bảo các kết quả thành công.

ü  Ví dụ 3 (liên quan các hệ thống thông tin và các dòng thông tin, mục o)): Khi xác định các vấn đề nội bộ, tổ chức phải xác định, ở mức độ chi tiết nhất định, các dòng thông tin giữa các hệ thống thông tin khác nhau của mình.

·       Các vấn đề, cả bên ngoài lẫn nội bộ, sẽ thay đổi theo thời gian, các vấn đề và ảnh hưởng của chúng lên phạm vi, những hạn chế và các yêu cầu của ISMS phải được xem xét thường xuyên.

·       Các thông tin dạng văn bản cho hoạt động xác định bối cảnh và kết quả đầu ra chỉ bắt buộc dưới hình thức và mức độ mà tổ chức xác định là cần thiết để đảm bảo tính hiệu lực của ISMS của mình (theo điều 7.5.1.b của ISO/IEC 27001:2013).

·       Tổ chức phải xác định các bên quan tâm liên quan đến ISMS của tổ chức và các yêu cầu của họ về vấn đề ATTT.

·       Bên quan tâm được hiểu là cá nhân hay tổ chức có thể có ảnh hưởng, hoặc chịu ảnh hưởng bởi một quyết định hoặc hoạt động của tổ chức đang xét. Bên quan tâm có thể bao gồm những bên từ bên ngoài và từ nội bộ của tổ chức, có thể có những nhu cầu, mong đợi cụ thể đối với ATTT của tổ chức.

·       Bên quan tâm từ bên ngoài có thể gồm:

ü  Cơ quan quản lý nhà nước;

ü  Các cổ đông, kể và chủ sở hữu và nhà đầu tư;

ü  Các nhà cung cấp, kể cả thầu phục, tư vấn và đối tác từ bên ngoài;

ü  Các hiệp hội ngành nghề;

ü  Các đối thủ cạnh tranh;

ü  Khách hàng và người tiêu dùng;

ü  Các nhóm hoạt động.

·       Các bên quan tâm từ nội bộ có thể gồm:

ü  Những người có quyền ra quyết định, kể cả lãnh đạo cao nhất;

ü  Chủ thể của các quá trình, chủ thể các hệ thống và chủ thể thông tin;

ü  Các chức năng hỗ trợ như các nguồn lực về IT, về nhân sự;

ü  Nhân viên/ người lao động, người dùng (users);

ü  Chuyên gia về ATTT.

·       Kết quả xác định các bên quan tâm sẽ được sử dụng để xác định phạm vi của ISMS (điều 4.3) và hoạch định hành động giải quyết rủi ro, cơ hội (điều 6.1).

·       Cần tiến hành các bước sau đây:

ü  Xác định các bên quan tâm từ bên ngoài;

ü  Xác định các bên quan tâm từ nội bộ;

ü  Xác định yêu cầu của các bên quan tâm đó.

·       Vì nhu cầu, mong đợi của các bên quan tâm sẽ thay đổi theo thời gian, các thay đổi này có thể có ảnh hưởng lên phạm vi, các hạn chế và các yêu cầu trong ISMS của tổ chức, do đó tổ chức cần phải xem xét, theo dõi để cập nhật thường xuyên về các thay đổi này.

·       Kết quả đầu ra của điều 4.2 có thể được tổ chức lập thành văn bản tới mức cần thiết để đảm bảo tính hiệu lực của hệ thống ISMS (theo điều 7.5.1.b).

·       Tổ chức phải xác định các ranh giới và khả năng áp dụng ISMS để thiết lập phạm vi áp dụng ISMS.

·       Phạm vi ISMS sẽ xác định rõ ISMS sẽ được áp dụng “ở đâu” và cho “cái gì” đối với tổ chức, cũng như làm rõ “ở đâu” và “cái gì” sẽ không được áp dụng.

·       Theo đó, phạm vi ISMS sẽ giúp xác định các hoạt động nào được thực hiện trong ISMS. Ví dụ, việc đánh giá rủi ro và xử lý rủi ro, cũng như việc xác định các biện pháp kiểm soát sẽ không thể mang lại kết quả có giá trị nếu như tổ chức không hiểu được chính xác ISMS của mình được áp dụng cho điều gì, hoạt động nào.

·       Các yếu tố sau đây có thể ảnh hưởng đến việc xác định phạm vi của ISMS:

ü  Các vấn đề bên ngoài và nội bộ (đã mô tả ở điều 4.1);

ü  Các bên quan tâm và yêu cầu của họ (đã mô tả ở điều 4.2);

ü  Tính sẵn sàng của các hoạt động kinh doanh, nghiệp vụ mà ISMS sẽ đề cập đến;

ü  Các chức năng hỗ trợ, ví dụ như quản lý nhân lực; dịch vụ IT và các ứng dụng phần mềm; việc quản lý cơ sở hạ tầng, các tòa nhà, các khu vực vật lý, các dịch vụ và tiện ích thiết yếu);

ü  Tất cả các chức năng có nguồn gốc từ bên ngoài, kể cả những phần khác cùng thuộc tổ chức hoặc thuộc nhà cung cấp độc lập.

·       Tổ chức cần tiến hành các bước sau để thiết lập phạm vi của ISMS:

ü  Xác định phạm vi sơ bộ: nên được tiến hành bởi một nhóm nhỏ những người đại diện lãnh đạo (ví dụ lãnh đạo công ty và lãnh đạo cấp phòng ban trong công ty);

ü  Tinh chỉnh phạm vi: các đơn vị chức năng trong và ngoài phạm vi sơ bộ cần được xem xét khi xác định ranh giới/ giao diện giữa bên trong và ngoài phạm vi, tương ứng với các hoạt động sản xuất/ kinh doanh thuộc phạm vi ISMS;

ü  Xác định phạm vi chính thức: lãnh đạo tổ chức sẽ đánh giá, xem xét lại phạm vi đã được tinh chỉnh nói trên;

ü  Phê duyệt phạm vi ISMS: Lãnh đạo cao nhất phê duyệt chính thức văn bản xác định phạm vi của ISMS.

·       Thông tin dạng văn bản xác định phạm vi của ISMS phải bao gồm:

ü  Phạm vi, ranh giới và các giao diện về mặt tổ chức;

ü  Phạm vi, ranh giới và các giao diện về mặt công nghệ thông tin; và

ü  Phạm vi, ranh giới và các giao diện về mặt vật lý.

·       Tổ chức phải thiết lập, thực hiện, duy trì và cải tiến thường xuyên ISMS.

·       Điều này đưa ra yêu cầu chung đối với việc thiết lập, thực hiện, duy trì và cải tiến thường xuyên một hệ thống quản lý ATTT để qua đó đáp ứng đầy đủ các yêu cầu khác trong tiêu chuẩn ISO/IEC 27001:2013.

·       Việc tổ chức triển khai thực hiện tất cả các yêu cầu của ISO/IEC 27001:2013 chính là cơ sở để đáp ứng yêu cầu 4.4 này.

·       Lãnh đạo cao nhất phải chứng minh vai trò lãnh đạo và sự cam kết đối với ISMS.

·       Vai trò và sự cam kết của lãnh đạo cao nhất của tổ chức là thiết yếu để thực hiện thành công ISMS. “Lãnh đạo cao nhất” theo định nghĩa trong ISO/IEC 27000:2018, đó là người hay nhóm người chỉ đạo và kiểm soát một tổ chức về ISMS ở cấp độ cao nhất. Theo đó, lãnh đạo cao nhất có trách nhiệm toàn diện thể đối với ISMS, chỉ đạo điều hành ISMS theo cách tương tự như điều hành các lĩnh vực khác trong tổ chức, ví dụ như phân bổ và kiểm soát về ngân sách để triển khai ISMS. Lãnh đạo cao nhất có thể trao quyền và cung cấp các nguồn lực cho các hoạt động trong ISMS, tuy nhiên vẫn phải duy trì trách nhiệm tổng thể của mình đối với ISMS.

ü  Ví dụ, trường hợp một tổ chức thực hiện, vận hành ISMS có thể là một đơn vị con trong một tổ chức lớn hơn. Khi đó, lãnh đạo cao nhất là người hay nhóm người chỉ đạo và kiểm soát đơn vị con đó.

·       Lãnh đạo cao nhất cũng tham gia vào hoạt động xem xét của lãnh đạo (điều 9.3) và thúc đẩy cải tiến liên tục (điều 10.2).

·       Lãnh đạo cao nhất phải chứng minh về vai trò lãnh đạo và sự cam kết thông qua việc:

ü  Đảm bảo rằng Chính sách ATTT và các Mục tiêu ATTT được thiết lập và tương thích với định hướng chiến lược của tổ chức;

ü  Đảm bảo rằng các yêu cầu của ISMS và các biện pháp kiểm soát sẽ được tích hợp vào các quá trình kinh doanh của tổ chức. Cách thức để đạt được điều này phải được bố trí sao cho phù hợp với bối cảnh cụ thể của tổ chức. Ví dụ, một tổ chức ở đó có đã có phân định vai trò chủ thể quá trình thì có thể giao trách nhiệm thực hiện các yêu cầu liên quan trong ISMS cho người hay nhóm người đó. Sự hỗ trợ của lãnh đạo cao nhất cũng cần thiết để giúp vượt qua những trở ngại, vướng mắc trước các thay đổi về quá trình và các biện pháp kiểm soát;

ü  Đảm bảo sự sẵn có của các nguồn lực để thực hiện ISMS có hiệu lực. Các nguồn lực cần thiết cho các giai đoạn thiết lập, thực hiện, duy trì và cải tiến ISMS, cũng như các nguồn lực để thực hiện các biện pháp kiểm soát, có thể bao gồm những loại nguồn lực sau:

v  Nguồn lực tài chính;

v  Nguồn nhân lực;

v  Nhà xưởng, thiết bị, tiện ích…;

v  Cơ sở hạ tầng kỹ thuật.

Các nguồn lực cần thiết phụ thuộc vào bối cảnh của tổ chức, ví dụ như quy mô, mức độ phức tạp, các yêu cầu nội bộ và bên ngoài. Khi lãnh đạo tiến hành xem xét về ISMS, phải cung cấp thông tin cho thấy các nguồn lực đã thỏa đáng cho ISMS của tổ chức chưa.

ü  Lãnh đạo cao nhất phải truyền đạt nhu cầu quản lý ATTT trong tổ chức và nhu cầu của việc đáp ứng các yêu cầu của ISMS. Có thể thực hiện điều này qua việc cung cấp các ví dụ thực tế để minh họa nhu cầu thực sự của ATTT trong bối cảnh của tổ chức và qua việc truyền đạt các yêu cầu về ATTT trong tổ chức;

ü  Lãnh đạo cao nhất phải đảm bảo rằng ISMS sẽ đạt được các kết quả dự kiến bằng cách hỗ trợ việc thực hiện các quá trình quản lý ATTT, cụ thể thông qua việc yêu cầu và xem xét các báo cáo về tình hình thực hiện và tính hiệu lực của ISMS. Các báo cáo đó có thể thu được từ hoạt động đo lường (điều 6.2, 9.1), hoạt động xem xét của lãnh đạo và các báo cáo đánh giá. Lãnh đạo cao nhất cũng có thể đạt ra các mục tiêu thực hiện cho những nhân sự chủ chốt trong ISMS;

ü  Lãnh đạo cao nhất phải chỉ đạo và hỗ trợ các nhân sự trong tổ chức có liên quan trực tiếp đến ATTT và ISMS. Nếu việc này làm không tốt có thể gây tác động xấu đến hiệu lực của ISMS. Các phản hồi từ lãnh đạo cao nhất có thể bao gồm việc các hoạt động đã được hoạch định được đồng bộ với chiến lược của tổ chức như thế nào, cũng như đối với việc thiết lập ưu tiên cho các hoạt động khác nhau trong ISMS;

ü  Lãnh đạo cao nhất phải đánh giá các nhu cầu nguồn lực khi tiến hành xem xét của lãnh đạo và thiết lập mục tiêu cải tiến liên tục và việc giám sát tính hiệu lực của các hoạt động đã hoạch định;

ü  Lãnh đạo cao nhất phải hỗ trợ các nhân sự có vai trò và trách nhiệm đã được phân công, xác định trong ISMS, theo đó họ được khích lệ để có thể chỉ đạo, hỗ trợ các hoạt động về ATTT ở phạm vi trách nhiệm của họ.

·       Trong những trường hợp, khi tổ chức thực hiện ISMS là một phần thuộc một tổ chức lớn hơn (ví dụ công ty mẹ), sự lãnh đạo và cam kết có thể được cải thiện bằng sự cam kết, tham gia với người hay nhóm người có quyền kiểm soát và chỉ đạo ở tổ chức lớn hơn (công ty mẹ). Nếu họ hiểu những gì có trong việc thực hiện một ISMS thì họ có thể hỗ trợ cho lãnh đạo cao nhất trong phạm vi của ISMS để giúp họ chứng minh vai trò lãnh đạo và cung cấp cam kết cho ISMS. Ví dụ: nếu các bên quan tâm từ bên ngoài phạm vi của ISMS (ví dụ như công ty mẹ của tổ chức áp dụng ISMS) có tham gia vào việc ra quyết định liên quan đến các Mục tiêu ATTT và tiêu chí về rủi ro và họ có nhận thức về các kết quả tích cực sẽ thu được từ ISMS, khi đó các quyết định của họ liên quan đến phân bổ các nguồn lực sẽ được đồng bộ với các yêu cầu của ISMS.

·        Lãnh đạo cao nhất phải thiết lập Chính sách ATTT.

·       Chính sách ATTT mô tả tầm quan trọng chiến lược của ISMS đối với một tổ chức và phải đảm bảo được duy trì dưới dạng thông tin bằng văn bản. Chính sách ATTT sẽ định hướng cho các hoạt động ATTT trong cả tổ chức, nêu rõ những nhu cầu đối với ATTT là gì trong bối cảnh thực tế của tổ chức.

·       Chính sách ATTT phải bao gồm các công bố ngắn gọn ở cấp độ cao về dự định và sự định hướng về ATTT trong một tổ chức, có thể cụ thể theo phạm vi của ISMS hoặc  mở rộng hơn.

·       Tất cả các chính sách khác, các thủ tục, các hoạt động và các mục tiêu liên quan đến ATTT phải nhất quán với Chính sách ATTT.

·       Chính sách ATTT phải phản ánh được tình huống kinh doanh của tổ chức, văn hóa, những vấn đề và mối quan tâm đến ATTT. Mức độ của Chính sách ATTT phải phù hợp với mục đích và văn hóa của tổ chức sao cho cân bằng giữa tính dễ đọc và sự đầy đủ về nội dung của chính sách, đồng thời cũng giúp những đối tượng/ người sử dụng Chính sách có thể tự nhận diện được mình trong định hướng chiến lược về ATTT có trong Chính sách.

·       Chính sách ATTT có thể bao gồm các mục tiêu ATTT hoặc mô tả về cơ sở bằng cách nào thiết lập mục tiêu ATTT (nghĩa là, ai sẽ thiết lập Mục tiêu ATTT và bằng cách nào triển khai mục tiêu trong phạm vi của tổ chức). Ví dụ: ở các tổ chức quy mô lớn, các mục tiêu ở cấp độ cao cần được thiết lập bởi lãnh đạo cấp cao của toàn tổ chức. Từ đó, dựa trên khuôn khổ được đặt ra trong Chính sách ATTT, các mục tiêu sẽ được cụ thể hóa để có thể định hướng cho tất cả các bên quan tâm.

·       Chính sách ATTT phải đưa ra sự tuyên bố rõ ràng của lãnh đạo cao nhất về cam kết đối với việc đáp ứng các yêu cầu về ATTT; về việc lãnh đạo cao nhất sẽ hỗ trợ cho cải tiến liên tục mọi hoạt động.

·       Chính sách ATTT phải được truyền đạt đến tất cả những người trong phạm vi ISMS, do đó, định dạng và ngôn ngữ sử dụng trong Chính sách phải phù hợp để những đối tượng liên quan có thể hiểu được dễ dàng.

·       Lãnh đạo cao nhất phải quyết định việc truyền đạt Chính sách ATTT đến những bên quan tâm nào. Theo đó, Chính sách ATTT có thể được viết theo cách thích hợp để có thể truyền đạt/ công bố ra cho các bên quan tâm từ bên ngoài. Ví dụ, các bên quan tâm từ bên ngoài có thể là khách hàng, nhà cung cấp, nhà thầu/ thầu phụ và các cơ quan quản lý. Nếu Chính sách ATTT được đảm bảo sẵn có cho bên ngoài thì nội dung của nó không được chứa các thông tin có yêu cầu bảo mật.

·       Chính sách ATTT có thể được thiết lập riêng rẽ hoặc có thể được kết hợp chung trong Chính sách tổng thể về các vấn đề khác nhau của tổ chức (ví dụ: chất lượng, môi trường và ATTT).

·       Lãnh đạo cao nhất phải đảm bảo các trách nhiệm, quyền hạn của các vai trò liên quan trong ISMS được xác định và được truyền đạt trong toàn tổ chức.

·       Lãnh đạo cao nhất phải đảm bảo các vai trò, trách nhiệm, quyền hạn về ATTT được xác định và được truyền đạt. Mục đích là nhằm phân công rõ ràng các trách nhiệm, quyền hạn trong việc đảm bảo sự phù hợp của ISMS theo các yêu cầu của ISO/IEC 27001, và đảm bảo việc báo cáo kết quả thực hiện ISMS đến lãnh đạo cao nhất.

·       Lãnh đạo cao nhất là người phải đảm bảo việc xác định, truyền đạt về các vai trò, trách nhiệm, quyền hạn để ISMS đáp ứng yêu cầu tiêu chuẩn. Tuy nhiên, điều này không có nghĩa là lãnh đạo cao nhất phải trực tiếp phân định vai trò, trách nhiệm, quyền hạn mà có thể trao quyền để thực hiện việc đó. Lãnh đạo cao nhất nên phê duyệt các vai trò, trách nhiệm, quyền hạn chủ chốt trong ISMS.

·       Các trách nhiệm, quyền hạn liên quan các hoạt động ATTT bao gồm:

ü  Điều phối việc xây dựng, thực hiện, duy trì, báo cáo kết quả thực hiện và cải tiến ISMS;

ü  Cố vấn về đánh giá rủi ro ATTT và xử lý rủi ro ATTT;

ü  Thiết kế các quá trình và các hệ thống ATTT;

ü  Thiết lập các tiêu chuẩn về việc xác định, cấu hình và thực hiện các biện pháp kiểm soát ATTT;

ü  Quản lý sự cố về ATTT;

ü  Xem xét và đánh giá ISMS.

·       Ngoài các vai trò trực tiếp liên quan đến ATTT, các trách nhiệm, quyền hạn về ATTT cũng cần bao gồm các vai trò khác, ví dụ, các trách nhiệm về ATTT có thể được kết hợp trong các vai trò sau:

ü  Các chủ thể thông tin;

ü  Các chủ thể quá trình;

ü  Các thủ thể tài sản (ví dụ: các chủ thể về các ứng dụng, các cơ sở hạ tầng);

ü  Các chủ thể rủi ro;

ü  Các bộ phận chức năng hoặc nhân sự về an toàn thông tin để hỗ trợ trong ISMS;

ü  Người quản lý dự án;

ü  Người quản lý đường truyền (line);

ü  Người dùng (users).

·       Thông tin dạng văn bản về các vai trò, trách nhiệm, quyền hạn về ATTT ở hình thức nào và tới mức độ nào cần thiết là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (điều 7.5.1.b – ISO/IEC 27001:2013).

·       Khi tiến hành hoạch định ISMS, tổ chức phải xác định các rủi ro và cơ hội, có xét đến các vấn đề/ bối cảnh (điều 4.1) và các yêu cầu (điều 4.2).

·       Đối với các rủi ro và cơ hội liên quan đến các kết quả dự kiến của ISMS, tổ chức phải xác định chúng dựa trên kết quả xác định bối cảnh bên ngoài và nội bộ (đã thực hiện theo điều 4.1) và các yêu cầu của các bên quan tâm (đã thực hiện ở điều 4.2). Từ đó, tổ chức tiến hành hoạch định ISMS của mình để:

a)      Đảm bảo rằng sẽ đạt được các kết quả dự kiến từ việc thực hiện ISMS, các rủi ro ATTT sẽ được các chủ thể rủi ro hiểu và được xử lý tới mức có thể chấp nhận (ví dụ về rủi ro: các quá trình và trách nhiệm không rõ ràng; nhận thức của nhân viên kém; thiếu sự quan tâm của lãnh đạo,..);

b)      Ngăn ngừa hoặc giảm các tác động không mong muốn của rủi ro đối với kết quả dự kiến của ISMS (ví dụ về rủi ro: việc quản lý rủi ro kém hoặc nhận thức kém về các rủi ro);

c)      Đạt được sự cải tiến liên tục (xem điều 10.2), ví dụ như thông qua cơ chế thích hợp để phát hiện và khắc phục các điểm yếu trong các quá trình quản lý hoặc tranh thủ được cơ hội để cải thiện về ATTT (ví dụ về rủi ro: việc quản lý kèm đối với hệ thống tài liệu và các quá trình của ISMS).

·       Khi tổ chức theo đuổi các cơ hội trong các hoạt động của mình, các hoạt đồng này sẽ có tác động đến bối cảnh của tổ chức hoặc các nhu cầu, mong đợi của các bên quan tâm và có thể làm thay đổi các rủi ro đối với tổ chức. Ví dụ về cơ hội: tập trung kinh doanh vào các lĩnh vực sản phẩm/ dịch vụ; thiết lập chiến lược marketing cho từng vùng miền, hoặc mở rộng quan hệ kinh doanh với các tổ chức khác.

·       Việc hoạch định ở điều 6.1.1 bao gồm việc xác định về:

d)      Các hành động để giải quyết rủi ro và cơ hội;

e)      Cách thức để:

v  Tích hợp và thực hiện các hành động giải quyết rủi ro, cơ hội vào các quá trình của ISMS;

v  Đánh giá hiệu lực của các hành động này.

·       Tổ chức phải:

f)       Xác định các rủi ro và cơ hội có thể ảnh hưởng đến việc đạt được các mục a), b), c), có xét đến bối cảnh của tổ chức và các yêu cầu của các bên quan tâm;

g)      Xây dựng một kế hoạch để thực hiện các hành động đã xác định và để đánh giá tính hiệu lực của các hành động đó. Các hành động giải quyết rủi ro, cơ hội cần được tích hợp vào các quá trình trong ISMS và trong hệ thống thông tin dạng văn bản của ISMS. Các hành động này cũng phải được liên kết đến các mục tiêu ATTT mà theo đó, các rủi ro ATTT được đánh giá và được xử lý.

·       Hình thức và mức độ của các thông tin dạng văn bản cho hoạt động này và kết quả đầu ra là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (điều 7.5.1.b – ISO/IEC 27001:2013).

Tổ chức phải xác định và áp dụng quá trình đánh giá rủi ro ATTT.

·       Tổ chức phải xác định quá trình đánh giá rủi ro ATTT, ở đó:

a)      Thiết lập và duy trì:

ü  Các tiêu chí chấp nhận rủi ro;

ü  Chuẩn mực để tiến hành đánh giá rủi ro ATTT, bao gồm tiêu chí đánh giá hậu quả và khả năng xảy ra, và các quy tắc để xác định mức độ của rủi ro;

b)      Đảm bảo rằng việc đánh giá rủi ro ATTT sẽ cho ra các kết quả nhất quán, có giá trị và có thể so sánh.

·       Quá trình đánh giá rủi ro ATTT theo đó được xác định theo các quá trình con sau đây:

c)      Nhận biết rủi ro ATTT:

ü  Nhận biết rủi ro gắn với các tổn thất về tính bảo mật (C), tính toàn vẹn (I) và tính sẵn có (A) của các tài sản thông tin thuộc phạm vi của ISMS;

ü  Nhận biết chủ thể của rủi ro, tức là xác định và chỉ định người/ nhóm người có trách nhiệm và quyền hạn tương ứng để quản lý các rủi ro đã nhận diện.

d)      Phân tích rủi ro ATTT:

ü  Đánh giá về các hậu quả tiềm tàng nếu các rủi ro đã nhận diện xảy ra, tức là các tác động trực tiếp lên chức năng/ việc kinh doanh của tổ chức, ví dụ như gây tổn thất về tài chính; hoặc tác động gián tiếp như gây thiết hại uy tín. Việc đánh giá hậu quả có thể theo cách định tính hoặc định lượng.

ü  Đánh giá về khả năng xảy ra của rủi ro đã nhận diện, theo cách định tính (ví dụ khả năng, hay tần suất xảy ra) hoặc cách định lượng (cho điểm);

ü  Xác định mức độ của rủi ro đã nhận diện dựa trên sự kết hợp hai yếu tố hậu quả và khả năng xảy ra;

e)      Đánh giá rủi ro ATTT:

ü  So sánh các kết quả phân tích rủi ro với tiêu chí chấp nhận rủi ro đã thiết lập;

ü  Thiết lập thứ tự ưu tiên cho các rủi ro đã phân tích đối với việc xử lý rủi ro, tức là xác định tính khẩn cấp để xử lý đối với các rủi ro đã được xem là không thể chấp nhận, và thứ tự nếu một số rủi ro nào đó cần được xử lý.

·       Theo đó, áp dụng quá trình đánh giá rủi ro vào thực tế.

·       Tổ chức phải lưu giữ thông tin dạng văn bản về quá trình đánh giá rủi ro ATTT cũng như kết quả của việc thực hiện nó theo yêu cầu ở 6.1.2.a) đến e).

·       Hướng dẫn thiết lập tiêu chí chấp nhận rủi ro (điều 6.1.2.a):

ü  Để thiết lập tiêu chí chấp nhận rủi ro, tổ chức phải dựa trên việc xem xét bối cảnh ATTT của mình, xem xét các yêu cầu liên quan ATTT của các bên quan tâm. Các tiêu chí này, một mặt phải phù hợp với những ưu tiên đối với rủi ro và sự nhận thức về rủi ro của lãnh đạo cao nhất, mặt khác phải giúp đề ra được quá trình quản lý rủi ro khả thi và thích hợp.

ü  Các tiêu chí chấp nhận rủi ro phải được thiết lập có sự liên kết đến các kết quả đầu ra dự kiến của ISMS.

ü  Sau khi thiết lập tiêu chí đánh giá hậu quả và khả năng xảy ra của các rủi ro ATTT, tổ chức cũng phải lập phương pháp kết hợp chúng lại để qua đó xác định được mức độ rủi ro. Hậu quả và khả năng xảy ra có thể được thể hiện theo cách định tính,định lượng hoặc bán định lượng.

ü  Tiêu chí chấp nhận rủi ro liên quan đến đánh giá rủi ro (ở bước đánh giá rủi ro/ risk evaluation), khi tổ chức xem xét liệu có chấp nhận một rủi ro nào đó hay không), và các hoạt động xử lý rủi ro (khi tổ chức xem xét liệu việc xử lý rủi ro được đề nghị là đã đủ để đạt được mức chấp nhận rủi ro hay chưa).

ü  Tiêu chí chấp nhận rủi ro có thể được dựa trên mức tối đa để chấp nhận rủi ro, theo kết quả xem xét về lợi ích – chi phí, hoặc theo những hậu quá đối với tổ chức.

ü  Lãnh đạo cao nhất phải phê duyệt các tiêu chí chấp nhận rủi ro.

·       Hướng dẫn cách thức để cho ra các kết quả đánh giá rủi ro có tính nhất quán, có giá trị sử dụng và có thể so sánh được (6.1.2.b):

ü  Quá trình đánh giá rủi ro phải dựa trên các phương pháp và công cụ được thiết kế chi tiết tới mức nhất định để từ đó giúp cho ra kết quả nhất quán, có giá trị sử dụng và có thể so sánh được.

ü  Dù theo phương pháp nào, quá trình đánh giá rủi ro ATTT phải đảm bảo rằng:

v  Tất cả các rủi ro, đến mức độ chi tiết cần thiết, đều được xem xét;

v  Các kết quả là nhất quán và có thể tái lập (tức là, việc nhận diện rủi ro, việc phân tích và đánh giá rủi ro có thể được hiểu bởi một bên thứ ba và các kết quả là tương đương khi những người khác nhau tiến hành đánh giá rủi ro trong cùng bối cảnh); và

v  Các kết quả đánh giá rủi ro lặp lại là có thể so sánh được (tức là, có thể hiểu được nếu các mức độ rủi ro tăng lên hay giảm xuống).

ü  Sự không nhất quán hoặc tương phản nhau trong các kết quả khi toàn bộ hay phần của quá trình đánh giá rủi ro ATTT được lặp lại có thể cho thấy rằng phương pháp đánh giá rủi ro là không thỏa đáng.

·       Hướng dẫn nhận biết rủi ro ATTT (6.1.2.c):

ü  Nhận biết rủi ro là quá trình tìm ra, ghi nhận và mô tả về rủi ro. Việc này liên quan đến xác định nguồn gốc rủi ro, các sự kiện, nguyên nhân của chúng và những hậu quả tiềm tàng của chúng.

ü  Mục đích của việc nhận diện rủi ro là nhằm xác định được một danh mục đầy đủ của các rủi ro dựa trên các sự kiện có thể tạo ra, làm tăng thêm, ngăn chặn, suy giảm, gia tốc hay làm chậm trễ việc đạt được các mục tiêu ATTT.

ü  Hai phương pháp tiếp cận hay được sử dụng để nhận diện rủi ro ATTT như sau:

v  Phương pháp dựa trên sự kiện: xem xét các nguồn rủi ro theo cách chung. Các sự kiện được xem xét có thể đã xảy ra trong quá khứ hoặc có thể được tiên đoán xảy ra trong tương lai. Đối với trường hợp đầu thì chúng có thể liên quan đến các dữ liệu trong lịch sử, còn trường hợp sau thì dựa trên phân tích lý thuyết và ý kiến của chuyên gia;

v  Phương pháp dựa trên việc nhận biết các tài sản (thông tin), các mối đe dọa và các điểm yếu: xem xét hai dạng khác nhau của nguồn rủi ro: các tài sản thông tin có các điểm yếu cố hữu của chúng và các mối đe dọa có thể khai thác được điểm yếu. Các sự kiện tiềm ẩn được xem xét ở đây là các cách thức mà những mối đe dọa có thể khai thác được một điểm yếu nhất định của một tài sản thông tin và từ đó tác động đến mục tiêu của tổ chức.

ü  Cả hai phương pháp tiếp cận trên đều nhất quán với các nguyên tắc và hướng dẫn chung về quản lý rủi ro theo ISO 31000.

ü  Các phương pháp nhận diện rủi ro khác cũng có thể được áp dụng nếu chúng được chứng minh tính hữu ích thực tế và nếu cũng đảm bảo được các yêu cầu ở điều 6.1.2.b).

·       Hướng dẫn phân tích rủi ro ATTT (6.1.2.d):

ü  Mục đích của phân tích rủi ro là để xác định được mức độ rủi ro. Tiêu chuẩn ISO/IEC 27001 yêu cầu, vởi mỗi rủi ro đã nhận diện, cần tiến hành phân tích rủi ro đó căn cứ trên việc đánh giá các hậu quả nảy sinh từ rủi ro và khả năng xảy ra để từ đó xác định mức độ rủi ro.

ü  Các kỹ thuật phân tích rủi ro dựa trên hậu quả và khả năng xảy ra có thể là:

v  Định tính, qua cách sử dụng thang đánh giá định tính (ví dụ: Cao, Vừa, Thấp);

v  Định lượng, bằng cách sử dụng thang các giá trị bằng số (ví dụ: chi phí tính bằng tiền, tần suất hay khả năng/ xác suất xảy ra); hoặc

v  Bán định lượng, bằng cách sử dụng thang định tính được gán các giá trị.

ü  Dù theo kỹ thuật phân tích rủi ro nào thì cũng phải xem xét về tính khách quan của nó. Ví dụ: khi chủ thể rủi ro tiến hành đánh giá định tính (cao/vừa/thấp) hay định lượng (3/2/1) thì phải có cơ sở lý giải cho việc gán các mức độ đó cho hậu quả hay khả năng xảy ra của một rủi ro nhất định.

ü  Có một số phương pháp phân tích rủi ro. Hai phương pháp đã được đề cập ở trên (phương pháp dựa trên sự kiện và phương pháp dựa trên nhận biết tài sản, các mối đe dọa và các điểm yếu) có thể thích hợp đối với việc phân tích rủi ro ATTT. Quá trình nhận diện và phân tích rủi ro có thể hiệu quả nhất khi được thực hiện với sự trợ giúp của chuyên gia đối với rủi ro đang xét.

·       Hướng dẫn đánh giá (evaluation) rủi ro ATTT (6.1.2.e):

ü  Việc đánh giá các rủi ro đã phân tích liên quan đến việc sử dụng các quá trình ra quyết định của tổ chức để so sánh mức độ rủi ro của từng rủi ro với tiêu chí chấp nhận đã định trước để xác định các giải pháp xử lý rủi ro.

ü  Đây là bước cuối cùng của hoạt động đánh giá rủi ro để kiểm tra xác nhận xem các rủi ro đã qua bước phân tích có thể được chấp  nhận chiếu theo tiêu chí chấp nhận đã xác định ở mục 6.1.2.a) không, hay cần có việc xử lý tiếp theo. Công việc ở mục 6.1.2.d) cung cấp thông tin về độ lớn của rủi ro nhưng không phải là thông tin về tính khẩn cấp của việc thực hiện các giải pháp xử lý rủi ro. Tùy theo bối cảnh ở đó rủi ro xảy ra mà chúng có thể có những mức độ ưu tiên để xử lý khác nhau. Từ đó, đầu ra của bước này là một Danh mục các rủi ro lập theo thứ tự ưu tiên. Tổ chức cần lưu giữ các thông tin tiếp theo về các rủi ro này từ bước nhận diện và phân tích rủi ro để hỗ trợ các quyết định đối với việc xử lý rủi ro.

·       Tổ chức phải xác định và áp dụng quá trình xử lý rủi ro ATTT.

·       Xử lý rủi ro ATTT là quá trình tổng thể của việc lựa chọn các giải pháp xử lý rủi ro, xác định các biện pháp kiểm soát thích hợp, vạch ra kế hoạch xử lý rủi ro và đạt được sự thống nhất của các chủ thể rủi ro về kế hoạch xử lý rủi ro.

·       Tổ chức phải lưu hồ sơ về kết quả thực hiện các bước trong quá trình xử lý rủi ro ATTT từ 6.1.3.a) đến 6.1.3.f), cũng như kết quả của việc áp dụng chúng.

·       Hướng dẫn về các giải pháp/ tùy chọn xử lý rủi ro ATTT (điều 6.1.3.a)

ü  Các giải pháp/ tùy chọn để xử lý rủi ro gồm:

v  Tránh rủi ro, bằng cách quyết định không bắt đầu hoặc không tiếp tục thực hiện hoạt động phát sinh rủi ro hoặc bằng cách loại bỏ nguồn gốc rủi ro (ví dụ như đóng cổng giao tiếp thương mại điện tử / closing an e-commerce portal);

v  Nhận lấy rủi ro hoặc tăng rủi ro lên để theo đuổi một cơ hội kinh doanh nào đó (ví dụ như mở một cổng thương mại điện tử/ opening an e-commerce portal);

v  Thay đổi rủi ro bằng cách thay đổi khả năng xảy ra (ví dụ như làm giảm các điểm yếu) hoặc thay đổi hậu quả (ví dụ như đa dạng hóa các tài sản thông tin) hoặc thay đổi cả hai khía cạnh này;

v  Chia sẻ rủi ro với các bên khác như bảo hiểm, thuê thầu phụ hoặc tài trợ rủi ro; và

v  Giữ lại rủi ro dựa trên tiêu chí chấp nhận rủi ro hoặc có quyết định được thông báo (ví dụ như tiếp tục duy trì cổng thương mại điện tử hiện có).

ü  Mỗi rủi ro riêng rẽ phải được xử lý tương ứng với các mục tiêu ATTT, bởi một hoặc nhiều hơn các giải pháp này nhằm đáp ứng được tiêu chí chấp nhận rủi ro.

·       Hướng dẫn xác định các biện pháp kiểm soát (điều 6.1.3.b):

ü  Tổ chức cần hết sức chú ý khi xác định các biện pháp kiểm soát ATTT. Việc này phải dựa trên kết quả đánh giá rủi ro ATTT đã thực hiện ở bước trước. Nếu tổ chức thực hiện bước đánh giá rủi ro không tốt thì sẽ không có cơ sở để lựa chọn các biện pháp kiểm soát ATTT.

ü  Việc xác định biện pháp kiểm soát thích hợp sẽ đảm bảo được:

v  Tất cả các biện pháp kiểm soát cần thiết sẽ được đưa vào áp dụng, cũng như sẽ không lựa chọn các biện pháp không cần thiết;

v  Việc thiết kế ra biện pháp kiểm soát cần thiết sẽ thỏa mãn cả chiều rộng và chiều sâu của việc quản lý rủi ro ATTT.

ü  Nếu lựa chọn biện pháp kiểm soát không hợp lý, có thể dẫn tới hiệu quả quản lý rủi ro thấp và tốn kém chi phí, nguồn lực không cần thiết.

ü  Tổ chức có thể áp dụng nhiều biện pháp kiểm soát để đạt được việc xử lý rủi ro như yêu cầu, ví dụ như nếu giải pháp được chọn là “Thay đổi hậu quả của một sự kiện ATTT cụ thể” nào đó, thì các biện pháp kiểm soát có thể bao gồm việc phát hiện ngay tức thời sự kiện ATTT, cũng như biện pháp để ứng phó với sự kiện và biện pháp để khôi phục sau sự kiện đó.

ü  Khi xác định biện pháp kiểm soát, tổ chức cũng cần chú ý đến các biện pháp kiểm soát cần thiết đối với các dịch vụ từ nhà cung cấp bên ngoài như các ứng dụng, các quá trình và chức năng do bên ngoài cung cấp. Đơn cử như, các biện pháp kiểm soát này là bắt buộc bằng cách nhập vào các yêu cầu ATTT trong thỏa thuận với các nhà cung cấp này, kể cả các cách thức để có thông tin về mức độ đáp ứng các yêu cầu này (ví dụ như quyền để đánh giá).

·       Hướng dẫn để so sánh các biện pháp kiểm soát với biện pháp kiểm soát nêu trong Phụ lục A của ISO/IEC 27001:2013 (điều 6.1.3.c):

ü  Phụ lục A của tiêu chuẩn ISO/IEC 27001:2013 là một danh mục toàn diện của các mục tiêu kiểm soát và biện pháp kiểm soát. Khi sử dụng Phụ lục này, người sử dụng được định hướng nhằm đảm bảo rằng sẽ không bỏ sót những biện pháp kiểm soát cần thiết. Tuy nhiên, tiêu chuẩn cũng khuyến cáo về việc, danh mục ở Phụ lục A cũng không phải là tuyệt đối toàn diện, theo đó các mục tiêu kiểm soát và biện pháp kiểm soát khác có thể được áp dụng bổ sung vào Phụ lục A nếu cần. Đồng thời, cũng không có nghĩa là mọi biện pháp kiểm soát trong Phụ lục A đều phải áp dụng bởi một tổ chức nhất định nào đó. Khi một biện pháp kiểm soát trong Phụ lục A không thể thực hiện hoặc không góp phần giải quyết rủi ro ATTT thì tổ chức sẽ loại bỏ việc áp dụng nó và có lý giải cho việc loại bỏ đó.

·       Hướng dẫn lập bản “Thông báo việc áp dụng” – SoA (điều 6.1.3d):

ü  SoA có các nội dung sau:

v  Tất cả các biện pháp kiểm soát cần thiết (đã xác định theo điều 6.1.3.b) và 6.1.3.c)), và với từng biện pháp kiểm soát:

o   Lý giải cho việc áp dụng; và

o   Kể cả khi biện pháp đó có được thực hiện hay không (ví dụ: đã thực hiện đầy đủ; đang thực hiện; chưa thực hiện); và

v  Lý giải về việc loại trừ/ không áp dụng đối với biện pháp kiểm soát nào được nêu trong Phụ lục A, ISO/IEC 27001:2013.

ü  Việc lý giải cho việc áp dụng một biện pháp kiểm soát có thể dựa trên hiệu quả của biện pháp đó để điều chỉnh một rủi ro ATTT. Việc tham chiếu đến hồ sơ kết quả đánh giá rủi ro và kế hoạch xử lý rủi ro ATTT trong bản SoA cũng được xem là thích hợp cho việc lý giải.

ü  Đối với việc loại trừ/ không áp dụng một biện pháp kiểm soát ở Phụ lục A thì có thể bao gồm:

v  Biện pháp kiểm soát được xác định là không cần thiết để thực hiện các giải pháp xử lý rủi ro ATTT đã lựa chọn;

v  Biện pháp kiểm soát là không thể áp dụng vì nó nằm ngoài phạm vi áp dụng ISMS của tổ chức (ví dụ, mục A.14.2.7 của Phụ lục A – “Việc phát triển được thuê ngoài” là không thể áp dụng được nếu tổ chức tự phát triển các hệ thống của tổ chức mình chứ không thuê ngoài); và

v  Biện pháp kiểm soát bị cản trở bởi một biện pháp kiểm soát tùy chỉnh (ví dụ, mục A.8.3.1 về “Quản lý các phương tiện lưu trữ di động/ management of removable media” có thể loại trừ nếu tổ chức đã có biện pháp kiểm soát tùy chỉnh là “cấm sử dụng các phương tiện lưu trữ di động”).

·       Hướng dẫn lập Kế hoạch xử lý rủi ro/ RTP (điều 6.1.3.e):

ü  Tiêu chuẩn ISO/IEC 27001:2013 không quy định cụ thể cấu trúc hay nội dung của một bản RTP. Tuy nhiên, kế hoạch phải được lập trên cơ sở các đầu ra của việc thực hiện các điều khoản từ 6.1.3.a) đến 6.1.3.c). Theo đó, RTP phải lập thành tài liệu cho mỗi rủi ro được xử lý:

v  Các giải pháp/ tùy chọn xử lý được lựa chọn;

v  Các biện pháp kiểm soát cần thiết; và

v  Tình trạng thực hiện.

ü  Các nội dung hữu ích khác có thể đưa vào RTP:

v  Chủ thể rủi ro; và

v  Rủi ro còn lại mong đợi sau khi thực hiện các hành động.

ü  Với mỗi hành động đã được yêu cầu trong RTP thì đều phải làm rõ trách nhiệm thực hiện và thời hạn thực hiện cụ thể.

Theo đó, tài liệu RTP có thể được trình bày theo dạng bảng, trong đó có cột liệt kê các rủi ro đã nhận biết; cột xác định các biện pháp kiểm soát, cột xác định trách nhiệm (bộ phận/ họ & tên người thực hiện thực hiện biện pháp), cột xác định thời gian thực hiện/ hoàn thành và cột để theo dõi tình trạng thực hiện theo mục tiêu đề ra.

Sau đây là một ví dụ minh họa cho RTP đối với quá trình xử lý rủi ro “Mất trộm điện thoại di động“.

(a)   Hậu quả của rủi ro đó là làm mất đi tính sẵn có (A) và tiềm ẩn việc tiết lộ thông tin không mong muốn (tức mất đi tính bảo mật/ C). Nếu việc đánh giá rủi ro cho thấy mức độ rủi ro là “không thể chấp nhận” được, thì tổ chức có thể quyết định hành động xử lý rủi ro là “thay đổi khả năng xảy ra”, hoặc “thay đổi hậu quả của rủi ro”.

(b)   Để thay đổi “Khả năng xảy ra” của việc “mất hoặc bị trộm điện thoại di động”, tổ chức có thể xác định một biện pháp kiểm soát thích hợp là “bắt buộc nhân viên thông qua việc tuân thủ Chính sách về thiết bị di động để cẩn trọng khi sử dụng điện thoại di động và thường xuyên kiểm tra tránh mất mát.

(c)   Để thay đổi “Hậu quả” của việc mất hoặc bị trộm điện thoại di động, tổ chức có thể xác định biện pháp kiểm soát như:

–          thiết lập quá trình quản lý sự cố, theo đó người sử dụng điện thoại di động có thể báo cáo về việc mất điện thoại;

–          áp dụng giải pháp quản lý thiết bị di động (Mobile Device Management – MDM) để theo đó xóa (delete) nội dung/ thông tin trong điện thoại nếu bị mất;

–          thiết lập và thực hiện kế hoạch sao lưu (back-up) cho điện thoại di động để khôi phục dữ liệu.

(d)    Khi xây dựng SoA (điều 6.1.3.d), tổ chức có thể đưa các biện pháp kiểm soát đã chọn vào (tức là Chính sách kiểm soát thiết bị di động và MDM), lý giải cho việc đưa vào dựa trên tác động của chúng đối với khả năng xảy ra và hậu quả của việc điện thoại di động bị mất hoặc bị trộm, từ đó giúp giảm các rủi ro còn sót lại.

(e)   Khi đối chiếu các biện pháp kiểm soát này với biện pháp liệt kê trong Phụ lục A, có thể thấy rằng Chính sách đối với thiết bị di động là nhất quán với mục A.6.2.1 trong Phụ lục A, còn biện pháp kiểm soát MDM thì lại không trực tiếp liên quan, mà nó phải được xem như biện pháp kiểm soát bổ sung. Nếu MDM và các biện pháp kiểm soát khác được xác định như những biện pháp kiểm soát cần thiết trong RTP của tổ chức, chúng phải được đưa vào trong SoA.

(f)     Nếu tổ chức muốn giảm thêm rủi ro này thì có thể cân nhắc mục A.9.1.1 của Phụ lục A (Chính sách kiểm soát truy cập), ở đó tổ chức đã thiếu biện pháp kiểm soát việc truy cập đến điện thoại di động và tổ chức sẽ điều chỉnh lại Chính sách kiểm soát thiết bị di động của mình để quy định việc sử dụng mã PIN trên tất cả các điện thoại di động. Việc này theo đó sẽ kiểm soát tiếp theo để thay đổi hậu quả của việc mất hoặc bị trộm điện thoại di động.

(g)   Khi lập RTP, tổ ch từức phải đưa các hành động để thực hiện Chính sách kiểm soát thiết bị di động và MDM vào và ấn định rõ trách nhiệm và khung thời gian thực hiện.

·       Hướng dẫn để có sự chấp nhận của các chủ thể rủi ro (điều 6.1.3.f):

ü  Khi RTP được lập ra, tổ chức phải có được sự cho phép/ thông qua của các chủ thể rủi ro. Sự cho phép đó phải dựa trên tiêu chí chấp nhận rủi ro đã định hoặc những sự nhượng bộ đã được lý giải nếu có bất cứ sai lệch nào tiêu chí đó.

ü  Tổ chức phải lập hồ sơ về sự chấp nhận của chủ thể rủi ro về các rủi ro còn sót lại và việc phê duyệt RTP của lãnh đạo.

·       Tổ chức phải thiết lập các Mục tiêu ATTT và lập kế hoạch để đạt được các mục tiêu đó ở các cấp độ chức năng của mình.

·       Mục tiêu ATTT giúp thực hiện các mục tiêu chiến lược của tổ chức, cũng như để thực hiện Chính sách ATTT. Từ đó, các mục tiêu của ISMS là những Mục tiêu ATTT đối với các đặc tính về Tính bảo mật (C), Tính toàn vẹn (I) và Tính sẵn có (A) của các tài sản thông tin trong phạm vi của ISMS. Các Mục tiêu ATTT cũng giúp quy định cụ thể và đo lường kết quả thực hiện các biện pháp kiểm soát ATTT và các quá trình phù hợp với Chính sách ATTT (theo điều 5.2).

·       Tổ chức phải hoạch định, thiết lập và ban hành Mục tiêu ATTT tương ứng với các chức năng và cấp độ trong tổ chức.

·       Các yêu cầu trong ISO/IEC 27001 liên quan đến các Mục tiêu ATTT được áp dụng cho tất cả các Mục tiêu ATTT. Nếu Chính sách ATTT có đưa luôn nội dung các mục tiêu vào, thì chúng phải đáp ứng các tiêu chí trong điều 6.2. Nếu Chính sách chỉ đề ra khuôn khổ để lập ra các mục tiêu, thì các mục tiêu được lập ra theo khuôn khổ đó phải đáp ứng các yêu cầu của điều 6.2.

·       Khi lập Mục tiêu ATTT, phải chú ý đến kết quả của việc xác định bối cảnh ở điều 4.1 và kết quả xác định nhu cầu, mong đợi của các bên quan tâm ở điều 4.2.

·       Các kết quả của việc đánh giá rủi ro và xử lý rủi ro cũng sẽ được sử dụng làm đầu vào cho việc xem xét thường xuyên các mục tiêu để đảm bảo rằng chúng là thích hợp với bối cảnh hoạt động của tổ chức.

·       Các Mục tiêu ATTT là đầu vào cho đánh giá rủi ro: các tiêu chí chấp nhận rủi ro và các tiêu chí để thực hiện đánh giá rủi ro ATTT ở điều 6.1.2 sẽ có xem xét đến các Mục tiêu ATTT này và theo đó đảm bảo được các mức độ rủi ro sẽ nhất quán với chúng.

·       Theo ISO/IEC 27001, các Mục tiêu ATTT phải:

ü  Nhất quán với Chính sách ATTT;

ü  Đo lường được khi có thể, nghĩa là có thể xác định được liệu có đạt hay không đạt được một mục tiêu;

ü  Kết nối với các yêu cầu về ATTT thích hợp và các kết quả từ đánh giá rủi ro và xử lý rủi ro;

ü  Được truyền đạt; và

ü  Được cập nhật khi thích hợp.

·       Tổ chức phải lưu giữ Mục tiêu ATTT dưới dạng thông tin bằng văn bản.

·       Khi hoạch định cách thức để đạt được Mục tiêu ATTT, tổ chức phải xác định cho được:

ü  Phải thực hiện điều gì/ biện pháp nào;

ü  Cần có các nguồn lực nào;

ü  Ai chịu trách nhiệm;

ü  Khi nào thì hoàn thành; và

ü  Cách thức đánh giá kết quả thực hiện.

·       Chính sách ATTT phải nêu các Mục tiêu ATTT hoặc tạo khuôn khổ để thiết lập ra các mục tiêu. Các Mục tiêu ATTT có thể được thể hiện theo các cách khác nhau, nhưng dù cách nào thì cũng phải đáp ứng được yêu cầu về tính đo lường được (khi có thể) như nêu ở điều 6.2.b.

·       Ví dụ, các Mục tiêu ATTT có thể được thể hiện theo:

ü  Các trị số với giới hạn của chúng, ví dụ như “Không quá một giới hạn nhất định về…”, và “Đạt cấp độ 4 về ..”;

ü  Các chỉ tiêu đo lường về kết quả hoạt động về ATTT;

ü  Các chỉ tiêu đo lường về tính hiệu lực của ISMS (theo điều 9.1);

ü  Sự tuân thủ với yêu cầu ISO/IEC 27001;

ü  Sự tuân thủ với các quy trình/ thủ tục/ chính sách kiểm soát ATTT trong ISMS của tổ chức;

ü  Nhu cầu hoàn thành các kế hoạch, hành động;

ü  Đạt được tiêu chí rủi ro.

·       Đối với việc hoạch định để đạt được các Mục tiêu ATTT, có thể sử dụng bất kỳ phương pháp hay cơ chế nào miễn là giúp triển khai và đạt được mục tiêu ATTT của tổ chức, trong đó kết quả đầu ra của hoạch định phải làm rõ:

ü  Các hoạt động sẽ thực hiện;

ü  Các nguồn lực cần thiết để thực hiện các hoạt động;

ü  Trách nhiệm;

ü  Khung thời gian và mốc hoàn thành các hoạt động;

ü  Phương pháp và phép đo để đánh giá xem các kết quả có đạt được các mục tiêu không, và bao gồm cả thời gian để thực hiện các đánh giá đó.

·       Đối với yêu cầu lưu giữ thông tin dạng văn bản Mục tiêu ATTT, có thể là:

ü  Các kế hoạch, các hành động, các nguồn lực, trách nhiệm, thời hạn và phương pháp đánh giá; và

ü  Các yêu cầu, các nhiệm vụ, nguồn lực, trách nhiệm, tần suất và phương pháp đánh giá.

·       Tổ chức phải xác định và cung cấp các nguồn lực để thiết lập, thực hiện, duy trì và cải tiến thường xuyên ISMS.

·       Các nguồn lực là nền tảng để thực hiện bất kỳ hoạt động nào. Các loại nguồn lực có thể gồm:

ü  Nhân sự để định hướng và thực hiện các hoạt động;

ü  Thời gian để tiến hành các hoạt động và thời gian để giải quyết các kết quả trước khi chuyển qua một bước khác;

ü  Tài chính để thực hiện hoạt động;

ü  Thông tin để hỗ trợ cho việc ra quyết định, đo lường kết quả thực hiện và để cải thiện tri thức; và

ü  Cơ sở hạ tầng và các phương tiện khác cần có, như công nghệ, các công cụ, vật liệu, bất kể chúng là sản phẩm của công nghệ thông tin hay không.

·       Các nguồn lực phải nhất quán với nhu cầu của ISMS và từ đó đáp ứng được khi cần.

·       Tổ chức phải:

ü  xác định các nguồn lực nào là cần thiết cho các hoạt động trong ISMS xét về số lượng lẫn chất lượng (năng lực và khả năng);

ü  tìm kiếm/ thu nhận nguồn lực yêu cầu;

ü  cung cấp nguồn lực;

ü  duy trì nguồn lực trong toàn bộ các quá trình của ISMS và các hoạt động cụ thể;

ü  xem xét các nguồn lực được cung cấp so với nhu cầu của ISMS và có hiệu chỉnh khi cần.

·       Hình thức và mức độ của các thông tin dạng văn bản cho hoạt động này và kết quả đầu ra là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (điều 7.5.1.b – ISO/IEC 27001:2013).

·       Tổ chức phải xác định năng lực của các nhân sự cần thiết cho kết quả thực hiện ATTT và đảm bảo những người đó có năng lực.

·       Năng lực là khả năng áp dụng kiến thức và kỹ năng để đạt được kết quả dự kiến. Năng lực chịu ảnh hưởng của tri thức, kinh nghiệm và trí khôn.

·       Năng lực có thể là cụ thể (ví dụ như về công nghệ hay các lĩnh vực quản lý cụ thể như quản lý rủi ro) hoặc chung chung (ví dụ như các kỹ năng mềm, đáng tin cậy, các chủ đề về công nghệ hay quản lý cơ bản).

·       Năng lực liên quan đến những người làm việc dưới sự kiểm soát của tổ chức, nghĩa là, năng lực phải được quản lý đối với những người bao gồm cả nhân viên của tổ chức và cả người khác khi cần (ví dụ: người của nhà thầu/ bên cung cấp dịch vụ có liên quan đến ATTT cho tổ chức).

·       Tổ chức có thể thu nhận được năng lực và kỹ năng cao hơn hay mới hơn qua cả nguồn bên ngoài và nội bộ thông qua kinh nghiệm, đào tạo (ví dụ mở khóa đào tạo, hội thảo…), qua học hỏi, thuê chuyên gia bên ngoài.

·       Đối với các năng lực chỉ có nhu cầu tạm thời cho một hoạt động cụ thể hoặc trong một thời gian ngắn, ví dụ như để bù lại sự thiếu hụt nhân sự nội bộ tạm thời, tổ chức có thể thuê mướn hay hợp đồng với bên ngoài, khi đó năng lực của người được thuê phải được mô tả và được kiểm tra xác nhận bởi tổ chức.

·       Tổ chức phải:

ü  Xác định năng lực cần thiết cho mỗi vai trò trong ISMS và quyết định về việc văn bản hóa điều đó (ví dụ như đưa vào bản Mô tả công việc);

ü  Phân công các vai trò trong ISMS cho những người có năng lực được yêu cầu bằng cách:

v  Xác định ai trong tổ chức có được các năng lực (dựa trên giáo dục, kinh nghiệm hoặc chứng chỉ); hoặc

v  Hoạch định và thực hiện các hành động để những người đó có được năng lực như yêu cầu (ví dụ qua đào tạo, giảng dạy, phân công lại nhân sự hiện có); hoặc

v  Nhận người mới có năng lực (ví dụ như thuê mướn, hợp đồng).

ü  Đánh giá tính hiệu lực của các hành động nêu trên.

Ví dụ 1: xem xét lại liệu người đã qua đào tạo thì đã thu nhận được năng lực yêu cầu hay chưa;

Ví dụ 2: phân tích năng lực của những người được thuê/ hợp đồng sau một thời gian họ đến làm việc cho tổ chức;

Ví dụ 3: Kiểm tra xác nhận xem kế hoạch thu nhận nhân sự mới đã được hoàn tất như mong đợi không.

ü  Kiểm tra xác nhận rằng nhân sự có năng lực đáp ứng yêu cầu ở vai trò, vị trí của họ trong ISMS; và

ü  Đảm bảo rằng năng lực sẽ phát theo thời gian khi cần để đáp ứng được mong đợi.

·       Tổ chức phải có bằng chứng dạng thông tin văn bản (hồ sơ) cho thấy năng lực được đáp ứng.

7.3 Nhận thức

·       Những người làm việc dưới sự kiểm soát của tổ chức phải có nhận thức về Chính sách ATTT, về sự đóng góp của họ vào hiệu lực của ISMS, những lợi ích khi kết quả thực hiện ATTT được cải thiện cũng như hậu quả khi không phù hợp với các yêu cầu của ISMS.

·       Sự nhận thức của những người làm việc dưới sự kiểm soát của tổ chức có nghĩa là họ có sự hiểu biết cần thiết và sự tham gia vào việc thực hiện các yêu cầu về ATTT.

·       Nhận thức liên quan đến việc những người này sẽ biết, hiểu và chấp nhận để:

ü  Hỗ trợ thực hiện các mục tiêu được công bố trong Chính sách ATTT; và

ü  Tuân thủ các quy định để làm đúng nhiệm vụ hàng ngày của họ nhằm hỗ trợ đảm bảo ATTT.

·       Ngoài ra, những người làm việc dưới sự kiểm soát của tổ chức cũng cần phải biết, hiểu và chấp nhận hậu quả của việc không phù hợp với các yêu cầu của ISMS. Các hậu quả có thể là tiêu cực về ATTT hoặc những hậu quả đối với con người.

·       Những người này phải có nhận thức về Chính sách ATTT và biết được nơi để có thể tìm thấy văn bản đó. Nhiều nhân viên trong một tổ chức không cần phải biết các nội dung chi tiết của Chính sách. Thay vào đó, họ phải biết, hiểu, chấp nhận và thực hiện các Mục tiêu ATTT và các yêu cầu được rút ra từ Chính sách có ảnh hưởng đến vai trò, công việc của họ. Các yêu cầu này có thể được đưa vào trong các văn bản (quy trình, quy định, chính sách kiểm soát) về ATTT để họ tuân thủ khi thực hiện công việc của mình.

·       Tổ chức phải:

ü  Có chương trình với nội dung cụ thể để truyền đạt đến các đối tượng cụ thể (nội bộ, bên ngoài) về Chính sách ATTT và các yêu cầu của ISMS;

ü  Đưa các nhu cầu, mong đợi về ATTT vào trong các tài liệu đào tạo và nhận thức để gắn các nhu cầu này vào trong các hoạt động nghiệp vụ tương ứng;

ü  Kiểm tra xác nhận việc đã thu được kiến thức và hiểu biết sau những lần truyền đạt nâng cao nhận thức; hoặc ngẫu nhiên giữa những lần truyền đạt;

ü  Kiểm tra xác nhận lại xem những người được truyền đạt có hành động theo đúng những gì được truyền đạt hay không và có thể sử dụng những điển hình mẫu/ gương “tốt” và những hành vi “xấu” để tăng cường hiệu quả truyền đạt nâng cao nhận thức.

·       Hình thức và mức độ của các thông tin dạng văn bản cho hoạt động này và kết quả đầu ra là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (điều 7.5.1.b – ISO/IEC 27001:2013).

7.4 Trao đổi thông tin

·       Tổ chức phải xác định các nhu cầu đối với việc trao đổi thông tin nội bộ và bên ngoài liên quan đến ISMS.

·       Trao đổi thông tin là một quá trình chủ chốt trong ISMS. Việc trao đổi thông tin thỏa đáng là cần thiết với các bên quan tâm trong nội bộ và bên ngoài.

·       Trao đổi thông tin có thể là giữa các bên trong nội bộ ở các cấp độ trong tổ chức hoặc giữa tổ chức với các bên quan tâm ở bên ngoài. Việc trao đổi thông tin có thể được kích hoạt trong tổ chức hoặc bởi bên quan tâm từ bên ngoài.

·       Tổ chức phải xác định:

ü  Nội dung trao đổi thông tin là gì, ví dụ: về Chính sách ATTT, Mục tiêu, các thủ tục về ATTT, sự thay đổi của các văn bản này, kiến thức về các rủi ro ATTT, các yêu cầu đối với các nhà cung cấp và phản hồi về kết quả thực hiện về ATTT;

ü  Các thời điểm tốt/ tối ưu về thời gian cho các hoạt động trao đổi thông tin;

ü  Những ai tham gia vào các hoạt động trao đổi thông tin, và với đối tượng nhắm đến cho việc trao đổi thông tin nào;

ü  Ai sẽ kích hoạt các hoạt động trao đổi thông tin, ví dụ nội dung cụ thể có thể yêu cầu việc trao đổi thông tin được kích hoạt bởi một người hoặc một tổ chức cụ thể; và

ü  Những quá trình nào đang định hướng hoặc đang kích hoạt các hoạt động trao đổi thông tin, và những quá trình nào được nhắm đến hoặc chịu ảnh hưởng bởi hoạt động trao đổi thông tin.

·       Việc trao đổi thông tin có thể xảy ra thường xuyên hoặc khi phát sinh nhu cầu, và nó có thể là chủ động hay thụ động.

·       Việc trao đổi thông tin dựa trên các quá trình, các kênh trao đổi hay các thể thức trao đổi. Tổ chức có thể lựa chọn để đảm bảo nội dung được trao đổi sẽ được tiếp nhận một cách đầy đủ, được hiểu đúng và khi thích hợp, được thực thi thích hợp.

·       Tổ chức phải xác định nội dung trao đổi thông tin là gì, ví dụ:

ü  Kế hoạch và kết quả quản lý rủi ro đến các bên quan tâm khi cần và khi thích hợp, trao đổi về việc nhận diện, phân tích, đánh giá, xử lý các rủi ro;

ü  Các mục tiêu ATTT;

ü  Các Mục tiêu ATTT đã đạt được, kể cả những vấn đề có thể hỗ trợ định vị thị trường (ví dụ: chứng chỉ ISO/IEC 27001 được cấp; phàn nàn về sự phù hợp với luật bảo vệ dữ liệu cá nhân);

ü  Các sự cố hoặc khủng hoảng, ở đó sự minh mạch thường là vấn đề quan trọng để bảo toàn và tăng sự tin cậy và lòng tin vào khả năng của tổ chức trong việc quản lý ATTT và giải quyết các tình huống không mong muốn;

ü  Các vai trò, trách nhiệm và quyền hạn;

ü  Thông tin được trao đổi giữa các chức năng và vai trò theo yêu cầu của các quá trình trong ISMS;

ü  Các thay đổi đối với ISMS;

ü  Các vấn đề khác được xác định bằng cách xem xét các biện pháp kiểm soát và các quá trình thuộc phạm vi của ISMS;

ü  Các vấn đề (ví dụ các thông báo sự cố hay khủng hoảng) có yêu cầu phải trao đổi thông tin với cơ quan quản lý hoặc với các bên quan tâm khác; và

ü  Các yêu cầu hoặc các trao đổi thông tin khác từ các bên quan tâm bên ngoài như khách hàng, khách hàng tiềm năng, người sử dụng dịch vụ hoặc các cơ quan thẩm quyền.

·       Tổ chức phải xác định yêu cầu trao đổi thông tin về các vấn đề có liên quan:

ü  Ai được phép để trao đổi thông tin nội bộ và với bên ngoài (ví dụ trong những trường hợp đặc biệt như rò rỉ dữ liệu), phân công các vai trò cụ thể cùng quyền hạn thích hợp. Ví dụ: các nhân viên trao đổi thông tin chính thức (người phát ngôn) có thể được xác định cùng với quyền hạn thích hợp. Họ có thể là một nhân viên làm nhiệm vụ quan hệ công chúng (PR) đối với các trao đổi thông tin với bên ngoài và một nhân viên an toàn đối với trao đổi thông tin nội bộ;

ü  Các yếu tố kích hoạt hoặc tần suất trao đổi thông tin (ví dụ, đối với trao đổi thông tin về một sự kiện, yếu tố kích hoạt là việc nhận diện một sự kiện về ATTT);

ü  Nội dung của các thông điệp cho các bên quan tâm chính (ví dụ: khách hàng, cơ quan quản lý, công chúng, các người dùng quan trọng) dựa trên các kịch bản tác động. Việc trao đổi thông tin sẽ hiệu quả hơn khi các thông điệp được chuẩn bị và được phê duyệt trước bởi cấp lãnh đạo thích hợp như là một phần trong kế hoạch trao đổi thông tin, kế hoạch ứng phó với sự cố hoặc kế hoạch liên tục kinh doanh;

ü  Các bên nhận thông tin dự định: trong một số trường hợp, phải lập ra danh sách bên nhận thông tin (ví dụ đối với việc trao đổi thông tin về các thay đổi dịch vụ hoặc khi xảy ra các khủng hoảng);

ü  Các phương tiện và kênh trao đổi thông tin: phải được xác định để đảm bảo rằng các thông điệp được trao đổi là chính thống và bởi người có thẩm quyền thích hợp. Các kênh trao đổi thông tin phải xác định mọi nhu cầu để bảo vệ tính bảo mật, tính toàn vẹn của thông tin được truyền đi; và

ü  Quá trình đã định và cách thức để đảm bảo các thông điệp được gửi và được nhận, được hiểu một cách chính xác.

·       Phải phân loại và thực hiện trao đổi thông tin phù hợp với yêu cầu của tổ chức.

·       Hình thức và mức độ của các thông tin dạng văn bản cho hoạt động này và kết quả đầu ra là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (điều 7.5.1.b – ISO/IEC 27001:2013).

7.5 Thông tin dạng văn bản/ 7.5.1 Khái quát

·       Hệ thống thông tin dạng văn bản thuộc ISMS của tổ chức bao gồm những loại thông tin văn bản theo yêu cầu của tiêu chuẩn và theo nhu cầu quản lý của tổ chức để đảm bảo tính hiệu lực của ISMS.

·       Việc lập thanh thông tin dạng văn bản là để giúp xác định và truyền đạt các mục tiêu ATTT, chính sách, hướng dẫn, các biện pháp kiểm soát ATTT, các quy trình đến những người liên quan trong hệ thống ISMS. Bên cạnh đó, việc lập thành thông tin dạng văn bản cũng cần thiết cho hoạt động đánh giá ISMS và duy trì tính ổn định của hệ thống khi có sự thay đổi về nhân sự. Ngoài ra, thông tin dạng văn bản cũng cần thiết cho việc ghi lại các hành động, quyết định và kết quả thực hiện các quá trình trong ISMS và kết quả thực hiện các biện pháp kiểm soát ATTT.

·       Thông tin dạng văn bản có thể gồm:

ü  Thông tin về các Mục tiêu ATTT, các rủi ro, các yêu cầu và tiêu chuẩn;

ü  Thông tin về các quá trình và thủ tục phải được thực hiện; và

ü  Các hồ sơ về đầu vào (ví dụ các cuộc xem xét của lãnh đạo) và các kết quả của quá trình (kể cả các kế hoạch và các kết quả của các hoạt động điều hành).

·       Có nhiều hoạt động trong ISMS dẫn đến việc sử dụng/ tạo ra thông tin dạng văn bản, trong nhiều trường hợp, trở thành đầu vào cho hoạt động khác.

·       Tiêu chuẩn ISO/IEC 27001 yêu cầu bộ thông tin dạng văn bản bắt buộc và chứa các yêu cầu chung và các yêu cầu văn bản bổ sung nếu cần thiết để đảm bảo tính hiệu lực của ISMS. Số lượng văn bản phụ thuộc vào quy mô của tổ chức. Nói chung, các văn bản bắt buộc và văn bản bổ sung có chứa các thông tin đủ để cho phép thực hiện các yêu cầu về đánh giá kết quả thực hiện như quy định ở Điều 9 của tiêu chuẩn.

·       Ngoài các văn bản bắt buộc phải có theo yêu cầu tiêu chuẩn, tổ chức phải xác định những văn bản bổ sung nào là cần thiết để đảm bảo tính hiệu lực của ISMS,.

·       Các ví dụ về các thông tin dạng văn bản được xem là cần thiết để đảm bảo tính hiệu lực của ISMS như sau:

ü  Các kết quả của việc xác định bối cảnh của tổ chức (xem điều 4);

ü  Các vai trò, trách nhiệm, quyền hạn trong tổ chức (xem điều 5);

ü  Các báo cáo của các bước khác nhau của việc quản lý rủi ro ATTT (xem điều 6);

ü  Kết quả xác định và cung cấp các nguồn lực (xem điều 7.1);

ü  Năng lực cần thiết (xem điều 7.2);

ü  Việc hoạch định và các kết quả của các hoạt động nâng cao nhận thức (xem điều 7.3);

ü  Việc hoạch định và các kết quả của hoạt động trao đổi thông tin (xem điều 7.4);

ü  Các thông tin dạng văn bản có nguồn gốc từ bên ngoài cần thiết cho ISMS (xem điều 7.5.3);

ü  Quá trình kiểm soát thông tin dạng văn bản (xem điều 7.5.3);

ü  Các chính sách, quy định, chỉ dẫn để định hướng và thực hiện các hoạt động đảm bảo ATTT;

ü  Các quá trình và thủ tục được sử dụng để thực hiện, duy trì và cải tiến ISMS và tình trạng tổng thể về ATTT (xem điều 9);

ü  Các kế hoạch hành động; và

ü  Bằng chứng về các kết quả của các quá trình trong ISMS (ví dụ: quản lý sự cố, kiểm soát truy cập, tính liên tục về ATTT, việc bảo trì thiết bị, …).

·        Thông tin dạng văn bản có thể có nguồn gốc từ nội bộ và từ bên ngoài.

7.5.2 Tạo và cập nhật

·       Tổ chức phải đảm bảo việc nhận biết, mô tả thích hợp về việc định dạng và phương tiện, cũng như việc xem xét và phê duyệt khi tạo ra và cập nhật thông tin dạng văn bản.

·       Tổ chức phảo xác định chi tiết cách cấu trúc thông tin dạng văn bản và xác định phương pháp văn bản hóa thích hợp.

·       Việc xem xét và phê duyệt bởi cấp lãnh đạo thích hợp sẽ đảm bảo sự chính xác, phù hợp của văn bản, và theo thể thức thích hợp và cụ thể cho những đối tượng thực hiện dự kiến. Việc thường xuyên xem xét cũng sẽ đảm bảo các thông tin dạng văn bản tiếp tục phù hợp và thỏa đáng.

·       Tổ chức có thể lưu giữ thông tin dạng văn bản dưới bất kỳ hình thức nào, ví dụ theo cách văn bản truyền thống (dạng bản cứng và bản điện tử), trên trang thông tin điện tử (web), trong cơ sở dữ liệu, nhật ký máy tính (computer logs), các báo cáo được máy tính tạo ra, dạng âm thanh và video. Ngoài ra, thông tin dạng văn bản có thể bao gồm các quy định về các nội dung (ví dụ Chính sách ATTT) hoặc các hồ sơ thực hiện (ví dụ các báo cáo của một đợt đánh giá) hoặc kết hợp của cả hai. Các hướng dẫn sau đây áp dụng trực tiếp cho các tài liệu truyền thống và phải được diễn dịch một cách thích hợp khi áp dụng cho các hình thức khác của thông tin dạng văn bản.

·       Tổ chức phải tạo ra một thư mục thông tin dạng văn bản đã được cấu trúc, có liên kết các phần khác nhau của thông tin dạng văn bản, bằng cách:

ü  Xác định cấu trúc của hệ thống thông tin dạng văn bản;

ü  Xác định cấu trúc/ bố cục chuẩn của thông tin dạng văn bản;

ü  Tạo các dạng thức mẫu (template) cho các loại thông tin dạng văn bản khác nhau;

ü  Xác định trách nhiệm đối với việc biên soạn, phê duyệt, phát hành và quản lý thông tin dạng văn bản;

ü  Xác định và lập thành tài liệu đối với việc sửa đổi và phê duyệt lại nhằm đảm bảo tiếp tục phù hợp, thỏa đáng của văn bản.

·       Phải xác định cách tiếp cận của hệ thống văn bản, bao gồm các thuộc tính chung của mỗi tài liệu để giúp nhận biết rõ ràng và duy nhất. Các thuộc tính này thường bao gồm: loại văn bản (ví dụ như chính sách, quy định, chỉ dẫn, hướng dẫn, kế hoạch, biểu mẫu và quy trình), mục đích và phạm vi, tiêu đề, ngày ban hành, phân nhóm, số tham chiếu/ mã hiệu, phiên bản sửa đổi và lịch sử sửa đổi. Việc nhận diện người biên soạn và những người chịu trách nhiệm hiện tại đối với văn bản, việc áp dụng và phát triển văn bản, cũng như những người phê duyệt hoặc thẩm quyền phê duyệt cũng phải được đưa vào.

·       Yêu cầu về định dạng/ thể thức văn bản có thể bao gồm cả việc xác định ngôn ngữ thể hiện, định dạng file, phần mềm để xây dựng văn bản và các nội dung đồ họa, hình ảnh. Các yêu cầu về phương tiện lưu trữ dạng vật lý hay điện tử phải đảm bảo sẵn có.

·       Nội dung và thể thức lập văn bản phải thích hợp đối với đối tượng sử dụng và phạm vi của hệ thống văn bản ISMS.

·       Tránh in, sao văn bản và cần áp dụng cách tham chiếu qua lại giữa các văn bản thay vì nêu lặp lại cùng nội dung ở các văn bản khác nhau.

·       Phương pháp quản lý văn bản cũng phải đảm bảo việc xem xét kịp thời các thông tin dạng văn bản và việc phê duyệt lại các thay đổi lên thông tin dạng văn bản. Các tiêu chí để xem xét thích hợp có thể là quy định về tần suất của việc xem xét hoặc về nội dung được xem xét. Chuẩn mực để phê duyệt cũng phải được xác định, nhằm đảm bảo thông tin dạng văn bản là chính xác, phù hợp cho việc sử dụng và ở dạng thích hợp cho người sử dụng.

7.5.3 Kiểm soát thông tin dạng văn bản

·       Tổ chức phải quản lý các thông tin dạng văn bản của ISMS trong suốt vòng đời của văn bản và đảm bảo sẵn có ở nơi và thời điểm yêu cầu.

·       Sau khi được phê duyệt, hệ thống thông tin dạng văn bản phải được phổ biến, truyền đạt đến các đối tượng liên quan. Phải đảm bảo chúng sẵn có ở nơi cần là khi cần, đồng thời phải bảo vệ tính toàn vẹn, tính bảo mật và tính thực tế trong suốt vòng đời của văn bản.

Hướng dẫn:

·       Tổ chức cần tạo ra thư mục được cấu trúc cho các thông tin dạng văn bản trong ISMS nhằm thuận lợi cho việc tiếp cận đến chúng.

·       Việc quản lý các thay đổi của hệ thóng thông tin dạng văn bản phải đảm bảo rằng chỉ những người có thẩm quyền mới có quyền thay đổi và phân phối văn bản theo các hình thức thích hợp đã được xác định. Phải bảo vệ các thông tin dạng văn bản để đảm bảo giá trị sử dụng và tính xác thực của chúng.

·       Tổ chức phải phân phối và đảm bảo sự sẵn có của thông tin dạng văn bản cho các bên liên quan được phép. Theo đó, phải xác định rõ các bên liên quan thích hợp đối với từng loại thông tin dạng văn bản (hoặc từng nhóm thông tin dạng văn bản), xác định cách thức phân phối, tiếp cận, truy cập và sử dụng (ví dụ một trang web với cơ chế kiểm soát truy cập thích hợp). Việc phân phối phải phù hợp với các yêu cầu liên quan để bảo vệ và xử lý các thông tin được phân loại).

·       Tổ chức phải thiết lập thời gian lưu giữ thích hợp cho các thông tin dạng văn bản ứng với giá trị sử dụng dự kiến và các yêu cầu khác có liên quan. Theo đó, phải đảm bảo rằng thông tin dạng văn bản là rõ ràng cho việc sử dụng trong thời gian lưu giữ (ví dụ: sử dụng định dạng có thể đọc bằng các phần mềm có sẵn, hoặc kiểm tra xác nhận xem văn bản giấy có bị hư hỏng trong thời gian lưu hay không).

·       Tổ chức cũng phải quy định cách xử lý như thế nào mỗi khi hết hạn lưu giữ thông tin dạng văn bản.

·       Tổ chức phải quản lý các văn bản có nguồn gốc tư bên ngoài (ví dụ như từ khách hàng, đối tác, nhà cung cấp, văn bản pháp luật,…).

·       Hình thức và mức độ của các thông tin dạng văn bản cho hoạt động này và kết quả đầu ra là do tổ chức quyết định để đảm bảo tính hiệu lực của ISMS (điều 7.5.1.b – ISO/IEC 27001:2013).

·       Tổ chức phải lập kế hoạch, thực hiện và kiểm soát các quá trình nhằm đáp ứng các yêu cầu về ATTT và để đạt được các mục tiêu ATTT của tổ chức.

·       Phải lưu giữ các thông tin dạng văn bản cần thiết để cung cấp lòng tin rằng các quá trình đã được thực hiện như đã hoạch định.

·       Tổ chức phải kiểm soát các thay đổi đã được hoạch định và tiến hành xem xét hậu quả của các thay đổi ngoài dự kiến, cũng như đảm bảo việc nhận biết, xác định và kiểm soát các quá trình có nguồn từ bên ngoài.

·       Các quá trình được tổ chức áp dụng để đáp ứng các yêu cầu về ATTT của mình cần được hoạch định, và mỗi khi được thực hiện thì phải được kiểm soát, nhất là khi có các thay đổi.

·       Căn cứ theo kết quả của giai đoạn hoạch định (điều 6.1, 6.2), tổ chức sẽ tiến hành hoạch định và thực hiện các hoạt động để triển khai các quá trình cần thiết nhằm thỏa mãn các yêu cầu về ATTT.

·       Các quá trình để thỏa mãn các yêu cầu về ATTT bao gồm:

ü  Các quá trình thuộc ISMS (ví dụ xem xét của lãnh đạo, đánh giá nội bộ);

ü  Các quá trình theo yêu cầu để thực hiện kế hoạch xử lý rủi ro ATTT (RTP);

·       Tổ chức phải làm rõ trách nhiệm đối với việc hoạch định và kiểm soát bất kỳ quá trình có nguồn gốc từ bên ngoài nào để đạt được các mục tiêu ATTT của mình. Theo đó, phải:

ü  Xác định các quá trình có nguồn bên ngoài, có xét đến đến các rủi ro ATTT liên quan đến nguồn bên ngoài đó; và

ü  Đảm bảo kiểm soát được các quá trình có nguồn bên ngoài (tức là, phải được hoạch định, được giám sát và được xem xét) theo cách thức sao cho đảm bảo chúng được thực hiện như dự kiến (cũng có xét đến các mục tiêu ATTT và kế hoạch xử lý rủi ro ATTT).

·       Sau khi hoàn thành việc thực hiện, các quá trình bên ngoài đó phải được quản lý, giám sát và xem xét để đảm bảo rằng chúng tiếp tục đáp ứng các yêu cầu đã xác định (xem kết quả của điều 4.2).

·       Các thay đổi xảy ra trong quá trình thực hiện ISMS có thể là theo hoạch định của tổ chức hoặc ngoài dự kiến. Bất cứ khi nào tổ chức thực hiện sự thay đổi lên ISMS, kể cả theo kế hoạch hoặc ngoài dự kiến, tổ chức phải đánh giá các hậu quả tiềm tàng của sự thay đổi nhằm kiểm soát được các tác động bất lợi của chúng.

·       Tổ chức có thể có được lòng tin về hiệu lực thực hiện các kế hoạch bằng cách lập văn bản các hoạt động và sử dụng các thông tin dạng văn bản làm đầu vào cho việc đánh giá kết quả thực hiện theo quy định ở Điều 9.

·       Các quá trình đã được xác định từ kết quả áp dụng Điều 6 phải được thực hiện, áp dụng và kiểm tra xác nhận trong toàn tổ chức. Tổ chức phải xem xét và thực hiện những nội dung sau:

ü  Các quá trình cụ thể để quản lý ATTT (như quản lý rủi ro, quản lý sự cố, quản lý tính liên tục, đánh giá nội bộ, xem xét của lãnh đạo);

ü  Các quá trình nảy sinh từ các biện pháp kiểm soát ATTT theo Kế hoạch xử ý rủi ro ATTT (RTP);

ü  Cơ chế về việc báo cáo (nội dung, tần suất, định dạng, trách nhiệm, …) về ATTT, ví dụ các báo cáo sự có, các báo cáo về đo lường mức độ thực hiện các mục tiêu ATTT, các báo cáo về các hoạt động đã thực hiện; và

ü  Cơ chế cho các cuộc họp (tần suất, thành phần tham dự, mục đích, thẩm quyền) về ATTT. Các hoạt động ATTT phải được điều phối bởi địa diện các đơn vị phòng ban khác nhau trong tổ chức ứng với các vai trò và chức năng, nhiệm vụ để quản lý ATTT có hiệu quả.

·       Đối với các thay đổi theo hoạch định, tổ chức phải:

ü  Lập kế hoạch thực hiện, phân công nhiệm vụ, trách nhiệm, thời hạn hoàn thành và các nguồn lực;

ü  Thực hiện các thay đổi theo kế hoạch;

ü  Theo dõi việc thực hiện các thay đổi để khẳng định chúng được thực hiện như kế hoạch; và

ü  Thu thập và lưu giữ các thông tin dạng văn bản về việc thực hiện các thay đổi làm bằng chứng việc thực hiện chúng theo kế hoạch (ví dụ như các trách nhiệm, thời hạn hoàn thành và đánh giá hiệu lực thực hiện).

·       Đối với các thay đổi ngoài dự kiến, tổ chức phải:

ü  Xem xét hậu quả của chúng;

ü  Xác định liệu có bất kỳ tác động bất lợi nào đã xảy ra hoặc có thể xảy ra trong tương lai;

ü  Hoạch định và thực hiện các hành động để giảm nhẹ các tác động bất lợi khi cần; và

ü  Thu thập, lưu giữ các thông tin dạng văn bản về các thay đổi ngoài dự kiến đó và các hành động đã thực hiện để giảm nhẹ các tác động bất lợi.

·       Nếu có phần nào đó hoặc quá trình nào đó của tổ chức được giao cho nhà cung cấp bên ngoài, tổ chức phải:

ü  Xác định tất cả các mối quan hệ với bên ngoài;

ü  Thiết lập các giao diện thích hợp với các nhà cung cấp;

ü  Xác định các vấn đề liên quan ATTT trong các thỏa thuận với nhà cung cấp;

ü  Theo dõi và xem xét các dịch vụ của nhà cung cấp để đảm bảo chúng được thực hiện như dự kiến và các rủi ro về ATTT liên quan đáp ứng các tiêu chí chấp nhận rủi ro của tổ chức; và

ü  Quản lý các thay đổi đối với dịch vụ của nhà cung cấp khi cần thiết.

·       Tổ chứ phải thực hiện đánh giá rủi ro ATTT và lưu giữ các thông tin dạng văn bản về kết quả thực hiện.

·       Khi đánh giá rủi ro ATTT, tổ chức thực hiện các quá trình nêu ở Điều 6.1.2. Việc đánh giá này được tiến hành theo lịch trình được xác định trước, cũng như khi có các thay đổi quan trọng hoặc các sự cố ATTT. Các kết quả đánh giá rủi ro ATTT phải được lưu giữ dưới dạng thông tin bằng văn bản để có bằng chứng các quá trình ở Điều 6.1.2 được thực hiện như quy định.

·       Các thông tin dạng văn bản từ đánh giá rủi ro ATTT là thiết yếu cho việc xử lý rủi ro ATTT và có ý nghĩa quan trọng đối với việc đánh giá kết quả thực hiện (xem Điều 9).

·       Tổ chức phải có kế hoạch cho việc đánh giá rủi ro ATTT. Khi có bất kỳ sự thay đổi quan trọng nào đối với ISMS (hoặc bối cảnh của tổ chức) hoặc các sự cố ATTT đã xảy ra, tổ chức phải xác định:

ü  Điều gì trong các thay đổi đó, hoặc các sự cố đòi hỏi phải có việc đánh giá bổ sung rủi ro ATTT; và

ü  Bằng cách nào việc đánh giá đó đước kích hoạt để thực hiện.

·       Tổ chức phải nêu được mức độ chi tiết của việc từng bước nhận diện rủi ro ở các lần đánh giá tiếp theo trên quan điểm cải tiến liên tục ISMS. Việc đánh giá rủi ro ATTT thường phải được tiến hành hàng năm ít nhất một lần.

·       Tổ chức phải thực hiện Kế hoạch xử lý rủi ro ATTT (RTP) và lưu giữ các thông tin dạng văn bản về kết quả xử lý.

·       Để xử lý các rủi ro ATTT, tổ chức phải thực hiện quá trình xử lý rủi ro ATTT như yêu cầu ở Điều 6.1.3. Trong quá trình triển khai ISMS, bất cứ khi nào việc đánh giá rủi ro được cập nhật theo Điều 8.2, tổ chức phải áp dụng việc xử lý rủi ro theo 6.1.3 và cập nhật vào Kế hoạch xử lý rủi ro. Kế hoạch xử lý rủi ro được cập nhật theo đó lại được thực hiện.

·       Tổ chức phải lưu giữ các thông tin dạng văn bản về kết quả xử lý rủi ro ATTT làm bằng chứng thực hiện các quá trình nêu ở Điều 6.1.3.

·       Quá trình xử lý rủi ro ATTT phải được thực hiện sau mỗi lần tiến hành đánh giá rủi ro ATTT theo Điều 8.2, hoặc khi việc thực hiện kế hoạch xử lý rủi ro hoặc một phần của kế hoạch đó không đạt được yêu cầu đề ra.

·       Tổ chức phải theo dõi tiến độ thực hiện kế hoạch xử lý rủi ro.

·       Tổ chức phải đánh giá kết quả thực hiện về ATTT và hiệu lực của ISMS.

·       Mục đích của theo dõi và đo lường là để giúp tổ chức xem xét liệu có đạt được các kết quả mong đợi của các hoạt động về ATTT, kể cả đánh giá và xử lý rủi ro hay không.

·       Việc theo dõi giúp xác định tình trạng của một hệ thống, một quá trình hay một hoạt động, trái lại, đo lường là một quá trình để xác định một giá trị. Theo đó, việc theo dõi có thể đạt được thông qua một loạt các phép đo lường trong một quãng thời gian.

·       Để theo dõi và đo lường, tổ chức phải thiết lập:

ü  Theo dõi, đo lường CÁI GÌ;

ü  AI, KHI NÀO thực hiện theo dõi, đo lường; và

ü  CÁC PHƯƠNG PHÁP được sử dụng để cho ra kết quả có giá trị (tức là, có thể so sánh được và có thể tái lập).

·       Để phân tích và đánh giá, tổ chức phải thiết lập:

ü  AI,  KHI NÀO phân tích và đánh giá các kết quả thu được từ theo dõi, đo lường; và

ü  CÁC PHƯƠNG PHÁP được sử dụng để cho ra các kết quả có giá trị.

·       Có hai khía cạnh của việc đánh giá:

ü  Đánh giá kết quả thực hiện về ATTT: để xác định xem tổ chức có đang thực hiện như mong đợi không, trong đó có việc xác định mức độ các quá trình trong ISMS đáp ứng tốt tới đâu những gì đã quy định; và

ü  Đánh giá tính hiệu lực của ISMS: để xác định xem tổ chức có đang thực hiện những gì cần làm không, trong đó có việc xác định mức độ đạt được các mục tiêu ATTT.

·       Việc xác định nhu cầu thông tin là một thực hành tốt khi hoạch định cho việc theo dõi, đo lường, phân tích và đánh giá. Một nhu cầu thông tin thường được thể hiện về vấn đề hay tuyên bố nhằm giúp tổ chức đánh giá kết quả thực hiện về ATTT và hiệu lực của ISMS. Nói cách khác, việc theo dõi và đo lường phải được tiến hành để đạt được nhu cầu thông tin đã xác định.

·       Tổ chức cần cẩn trọng khi xác định các thuộc tính để đo lường. Sẽ là không thực tế, tốn kém chi phí và phản tác dụng khi đo lường quá nhiều, hoặc đo lường các thuộc tính không đúng. Bên cạnh vấn đề chi phí của đo lường, phân tích và đánh giá quá nhiều các thuộc tính, còn có khả năng là các vấn đề chủ yếu có thể bị che đậy hoặc bị trộn lẫn với nhau.

·       Có 02 dạng đo lường tổng quát:

ü  Đo lường kết quả thực hiện: thể hiện các kết quả đã hoạch định dưới dạng các đặc điểm của hoạt động đã hoạch định, ví dụ như đếm số người tham dự, các mốc hoàn thành công việc, hoặc mức độ thực hiện các biện pháp kiểm soát ATTT; và

ü  Đo lường hiệu lực: thể hiện kết quả thực hiện những hoạt động đã hoạch định có trong các mục tiêu ATTT của tổ chức.

·       Tổ chức có thể phân công các vai trò riêng biệt cho những người tham gia vào việc theo dõi, đo lường, phân tích và đánh giá. Các vai trò này có thể là khách hàng của phép đo, người hoạch định phép đo, người xem xét phép đo, chủ thể thông tin, người thu thập thông tin, người phân tích thông tin và người trao đổi thông tin của đầu vào và đầu ra của phép đo.

·       Các trách nhiệm đối với việc theo dõi và đo lường và đối với việc phân tích, đánh giá thường được phân công cho các nhân sự riêng rẽ có năng lực khác nhau được yêu cầu.

·       Tổ chức phải thực hiện đánh giá nội bộ để cung cấp thông tin về sự phù hợp của ISMS theo các yêu cầu.

·       Đánh giá ISMS theo tần suất đã hoạch định qua hình thức đánh giá nội bộ sẽ cung cấp sự đảm bảo về tình trạng của ISMS cho lãnh đạo cao nhất. Có một số nguyên tắc của đánh giá, gồm tính nhất quán, báo cáo đúng, cẩn trọng nghề nghiệp, tính bảo mật, tính độc lập và cách tiếp cận dựa trên bằng chứng (tham khảo tiêu chuẩn ISO 19011:2018).

·       Các cuộc đánh giá nội bộ cung cấp thông tin về sự phù hợp của ISMS với các yêu cầu của tổ chức quy định trong ISMS, cũng như yêu cầu của ISO/IEC 27001. Các yêu cầu của chính tổ chức bao gồm:

ü  Các yêu cầu được công bố trong Chính sách và các thủ tục về ATTT;

ü  Các yêu cầu được lập ra theo khuôn khổ thiết lập các mục tiêu ATTT, kể cả các kết quả của quá trình xử lý rủi ro;

ü  Các yêu cầu của pháp luật và quy định hợp đồng; và

ü  Các yêu cầu về thông tin dạng văn bản.

·       Chuyên gia đánh giá cũng đánh giá xem ISMS có được thực hiện và duy trì có hiệu lực hay không.

·       Chương trình đánh giá phải mô tả khuôn khổ chung đối với một số cuộc đánh giá, được hoạch định trong một quãng thời gian cụ thể (ví dụ hàng năm) và hướng đến những mục đích cụ thể. Chương trình đánh giá khác với kế hoạch đánh giá, ở đó mô tả các hoạt động và sắp xếp cho một cuộc đánh giá cụ thể. Chuẩn mực đánh giá là tập hợp các chính sách, thủ tục hay các yêu cầu được sử dụng làm gốc để theo đó các bằng chứng đánh giá được so sánh, nghĩa là, các chuẩn mực đánh giá mô tả điều mà chuyên gia đánh giá mong đợi sẽ được đáp ứng.

·       Một cuộc đánh giá có thể nhận diện các điểm không phù hpwj, các rủi ro và các cơ hội. Sự không hù hợp được quản lý theo các yêu cầu ở Điều 10.1. Các rủi ro và cơ hội được quản lý theo các yêu cầu ở Điều 4.1 và 6.1.

·       Tổ chức phải lưu giữ thông tin dạng văn bản về chương trình đánh giá và kết quả đánh giá.

·       Quản lý Chương trình đánh giá:

ü  Chương trình đánh giá xác định cơ cấu và trách nhiệm cho việc hoạch định, thực hiện, lâp báo cáo và theo dõi các hoạt động đánh giá riêng rẽ. Theo đó, chương trình đánh giá phải đảm bảo rằng các cuộc đánh giá đã được tiến hành là thích hợp, có phạm vi thỏa đáng, giảm thiểu các tác động lện các hoạt động của tổ chức và duy trì chất lượng cần thiết của cuộc đánh giá. Chương trình đánh giá cũng phải đảm bảo năng lực của các nhóm đánh giá, duy trì các hồ sơ đánh giá thích hợp, và theo dõi, xem xét các hoạt động, rủi ro và hiệu lực của cuộc đánh giá. Ngoài ra, chương trình đánh giá cũng phải đảm bảo rằng ISMS (các quá trình, các chức năng và các biện pháp kiểm soát) sẽ được đánh giá trong khung thời gian quy định. Cuối cùng, chương trình đánh giá phải gồm các thông tin dạng văn bản về loại hình đánh giá, thời gian, các địa điểm và lịch trình của cuộc đánh giá.

ü  Mức độ và tần suát của các cuộc đánh giá nội bộ phải dựa trên quy mô và bản chất hoạt động của tổ chức, cũng như trên bản chất, chức năng, tính phức tạp và mức độ chín muồi của ISMS (cách tiếp cận đánh giá dựa trên rủi ro).

ü  Tổ chức phải xem xét hiệu lực của các biện pháp kiểm soát đã thực hiện trong phạm vi của đánh giá nội bộ. Chương trình đánh giá phải được thiết kế để đảm bảo sự bao quát tất cả các biện pháp kiểm soát cần thiết và bao gồm việc đánh giá tính hiệu lực của các biện pháp kiểm soát đã lựa chọn theo thời gian. Các biện pháp kiểm soát trọng yếu (theo chương trình đánh giá) phải được đưa vào trong từng cuộc đánh giá, trái lại, các biện pháp kiểm soát được thực hiện để quản lý các rủi ro ở cấp độ thấp hơn có thể được đánh giá với tần suất thưa hơn.

ü  Chương trình đánh giá cũng phải xem xét các quá trình và các biện pháp kiểm soát đã được thực hiện một thời gian nhất định để có thể đánh giá được bằng chứng thích hợp.

ü  Các cuộc đánh giá nội bộ về ISMS có thể được thực hiện hiệu quả theo cách kết hợp với các cuộc đánh giá khác của tổ chức (đánh giá tích hợp). Một chương trình đánh giá có thể bao gồm các đánh giá liên quan đến một hoặc nhiều hệ thống quản lý theo tiêu chuẩn, được thực hiện riêng rẽ hay kết hợp.

ü  Chương trình đánh giá phải bao gồm các thông tin dạng văn bản về: chuẩn mực đánh giá; phương pháp đánh giá; việc lựa chọn nhóm đánh giá; các quá trình xử lý tính bảo mật, an toàn thông tin, các đồ cung cấp về sức khỏe và an toàn cho chuyên gia đánh giá, và các vấn đề tương tự khác.

·       Năng lực và lựa chọn chuyên gia đánh giá: tổ chức phải

ü  Xác định các yêu cầu năng lực của chuyên gia đánh giá của tổ chức;

ü  Lựa chọn chuyên gia đánh giá nội bộ và bên ngoài theo năng lực phù hợp;

ü  Sẵn có quá trình để theo dõi kết quả thực hiện của chuyên gia đánh giá và nhóm đánh giá; và

ü  Bao gồm nhân sự trong nhóm đánh giá nội bộ đến từ bộ phận thích hợp và có kiến thức về ATTT cụ thể.

ü  Phải lựa chọn chuyên gia đánh giá trên cơ sở xem xét về năng lực, tính độc lập và được đào tạo thích hợp. Việc này đôi lúc là khó khăn đối với tổ chức có quy mô nhỏ. Vì vậy, khi nguồn lực nội bộ là hạn chế, việc sử dụng chuyên gia đánh giá bên ngoài phải được áp dụng. Khi đó, tổ chức phải đảm bảo chuyên gia ngoài có kiến thức đầy đủ về bối cảnh của tổ chức, các thông tin này sẽ do các nhân sự của tổ chức cung cấp.

ü  Tổ chức phải cân nhắc về việc các nhân sự của tổ chức tham gia vào đánh giá nội bộ có thể có hiểu biết về bối cảnh của tổ chức, nhưng lại có thể không hiểu biết tốt về cách thực hiện đánh giá. Trong trường hợp đó, tổ chức có thể lập ra nhóm đánh giá bao gồm cả nhân sự đánh giá của mình và chuyên gia đánh giá từ bên ngoài.

·       Tiến hành đánh giá:

ü  Khi tiến hành cuộc đánh giá, trưởng nhóm đánh giá phải chuẩn bị kế hoạch đánh giá, có xem xét đến kết quả các cuộc đánh giá trước đó và nhu cầu của các hành động tiếp theo đối với các điểm không phù hợp và các rủi ro không thể chấp nhận đã được báo cáo trước đó. Kế hoạch đánh giá phải được lưu giữ dưới dạng thông tin văn bản và có bao gồm chuẩn mực, phạm vi và phương pháp đánh giá.

ü  Nhóm đánh giá phải xem xét:

–       Sự thỏa đáng và tính hiệu lực của các quá trình và các biện pháp kiểm soát đã định;

–       Việc hoàn thành các mục tiêu ATTT;

–       Việc tuân thủ các yêu cầu xác định ở điều khoản từ 4 ~ 10 của ISO/IEC 27001:2013;

–       Việc tuân thủ các yêu cầu về ATTT của chính tổ chức;

–       Tính nhất quán của bản Thông báo việc áp dụng (SoA) theo các kết quả của quá trình xử lý rủi ro ATTT;

–       Tính nhất quán của kế hoạch xử lý rủi ro ATTT thực tế với các rủi ro đã được đánh giá và các tiêu chí chấp nhận rủi ro;

–       Sự tương thích (tùy quy mô và sự phức tạp của tổ chức) của đầu vào xem xét của lãnh đạo với các đầu ra; và

–       Các tác động của các đầu ra xem xét của lãnh đạo (kể cả các nhu cầu cải tiến) lên tổ chức.

ü  Mức độ và độ tin cậy của việc theo dõi sẵn có đối với tính hiệu lực của các biện pháp kiểm soát được tạo ra bởi ISMS (xem Điều 9.1) có thể cho phép chuyên gia đánh giá giảm bớt khối lượng công việc đánh giá của chính họ, với điều kiện họ đã xác nhận về tính hiệu lực của các phương pháp đo lường.

ü  Nếu đầu ra của đánh giá bao gồm các điểm không phù hợp, bên được đánh giá phải lập kế hoạch hành động cho từng điểm không phù hợp và được chấp nhận bởi trưởng nhóm đánh giá. Các hoạt động tiếp theo sau đánh giá có thể gồm:

–       Mô tả sự không phù hợp đã phát hiện;

–       Mô tả nguyên nhân của sự không phù hợp;

–       Mô tả việc khắc phục tức thời và hành động khắc phục để loại bỏ sự không phù hợp đã phát hiện trong thời hạn xác định; và

–       Các nhân sự chịu trách nhiệm thực hiện kế hoạch.

ü  Các báo cáo đánh giá, kèm theo kết quả đánh giá phải được gửi đến cho lãnh đạo cao nhất.

ü  Tổ chức phải xem xét các kết quả của các cuộc đánh giá trước đó và điều chỉnh chương trình đánh giá để quản lý tốt hơn các khu vực có thể có các rủi ro cấp độ cao hơn nảy sinh từ các vấn đề không phù hợp.

·       Lãnh đạo cao nhất phải định kỳ xem xét ISMS.

·       Mục đích của xem xét của lãnh đạo là nhằm đảm bảo ISMS tiếp tục phù hợp, thỏa đáng và có hiệu lực. Phù hợp hàm ý việc tiếp tục nhất quán với các mục tiêu của tổ chức. Thỏa đáng và hiệu lực hàm ý đến thiết kế phù hợp và gắn kết về mặt tổ chức của ISMS, cũng như hiệu lực thực hiện các quá trình và biện pháp kiểm soát được quy định trong ISMS.

·       Việc xem xét của lãnh đạo là quá trình được tiến hành ở các cấp độ khác nhau trong tổ chức. Các hoạt động này có thể khác nhau từ các cuộc họp hàng ngày, hàng tuần hoặc hàng tháng ở cấp đơn vị cho đến các thảo luận đơn giản của các báo cáo. Lãnh đạo cao nhất chịu trách nhiệm cuối cùng đối với hoạt động xem xét của lãnh đạo, với các đầu vào đến từ tất cả các cấp độ trong tổ chức.

·       Lãnh đạo cao nhất phải yêu cầu và tiến hành xem xét thường xuyên kết quả thực hiện của ISMS. Có nhiều cách theo đó lãnh đạo cao nhất có thể xem xét về ISMS, như việc tiếp nhận và xem xét các phép đo lường và các báo cáo, các hình thức trao đổi thông tin bằng điện tử và các cập nhật thông tin bằng lời trực tiếp.

·       Các đầu vào chủ yếu để xem xét là các kết quả đo lường về ATTT như nêu ở Điều 9.1, các kết quả của các cuộc đánh giá nội bộ nếu ở Điều 9.2 và các kết quả đánh giá rủi ro và tình trạng thực hiện kế hoạch xử lý rủi ro. Khi xem xét các kết quả đánh giá rủi ro ATTT và tình trạng của kế hoạch xử lý rủi ro ATTT, lãnh đạo phải khẳng định về các rủi ro còn lại là đáp ứng các tiêu chí chấp nhận rủi ro, và về việc kế hoạch xử lý rủi ro đã xác định tất cả các rủi ro tương ứng và các giải pháp xử lý rủi ro.

·       Tất cả các khía cạnh của ISMS phải được xem xét bởi lãnh đạo theo tần suất hoạch định, ít nhất là hàng năm, bằng cách thiết lập lịch trình phù hợp cho cuộc họp xem xét của lãnh đạo. Các hệ thống ISMS mới thiết lập hoặc chưa đạt được sự chín muồi thì phải được lãnh đạo xem xét theo tần suất dày hơn để giúp tăng cường hiệu lực thực hiện.

·       Chương trình xem xét của lãnh đạo phải xác định các chủ đề sau:

ü  Tình trạng của các hành động từ các lần xem xét của lãnh đạo trước đó;

ü  Các thay đổi từ bên ngoài và nội bộ (xem điều 4.1) có liên quan đến ISMS;

ü  Phản hồi về kết quả thực hiện ATTT, kể cả các xu hướng, về:

–       Sự không phù hợp và các hành động khắc phục;

–       Các kết quả theo dõi và đo lường;

–       Các kết quả đánh giá; và

–       Việc thực hiện các mục tiêu ATTT.

ü  Phản hồi từ các bên quan tâm, kể cả các đề xuất cải tiến, các yêu cầu thay đổi và các khiếu nại;

ü  Các kết quả đánh giá rủi ro ATTT và tình trạng của việc thực hiện kế hoạch xử lý rủi ro ATTT; và

ü  Các cơ hội để cải tiến liên tục, kể cả các cải tiến hiệu quả của cả ISMS và các biện pháp kiểm soát ATTT.

·       Các đầu vào cho xem xét của lãnh đạo phải cụ thể đến mức cần thiết, căn cứ theo các mục tiêu đã thiết lập đối với các cấp lãnh đạo liên quan đến việc xem xét. Ví dụ, lãnh đạo cao nhất phải đánh giá tóm tắt tất cả các nội dung, dựa theo các mục tiêu ATTT hoặc các mục tiêu ở cấp độ cao hơn.

·       Các đầu ra từ việc xem xét của lãnh đạo phải bao gồm các quyết định liên quan đến các cơ hội cải tiến liên tục và bất kỳ nhu cầu thay đổi đối với ISMS. Các đầu ra cũng có thể bao gồm các bằng chứng về các quyết định liên quan đến:

ü  Các thay đổi về Chính sách và Mục tiêu ATTT, ví dụ các thay đổi nảy sinh từ các thay đổi của các vấn đề bên ngoài và nội bộ và yêu cầu của các bên quan tâm;

ü  Các thay đổi của các tiêu chí chấp nhận rủi ro và các tiêu chí để thực hiện đánh giá rủi ro ATTT (xem điều 6.1.2);

ü  Các hành động, nếu cần, tiếp theo việc đánh giá kết quả thực hiện ATTT;

ü  Các thay đổi về nguồn lực hay ngân sách cho ISMS;

ü  Kế hoạch xử lý rủi ro ATTT hoặc bản SoA được cập nhật; và

ü  Các cải tiến cần thiết đối với các hoạt động theo dõi và đo lường.

·       Tổ chức phải lưu giữ các  thông tin dạng văn bản của xem xét của lãnh đạo, làm bằng chứng cho thấy đã có sự xem xét đối với tất cả các nội dung được yêu cầu ở ISO/IEC 27001:2013, ngay cả khi việc xem xét có thể không đòi hỏi phải có hành động cần thiết nào.

·       Khi có nhiều cuộc xem xét của lãnh đạo được thực hiện ở các cấp độ khác nhau trong tổ chức thì chúng phải được liên kết với nhau theo cách thích hợp.

·       Tổ chức phải đối ứng các vấn đề không phù hợp, đánh giá chúng, thực hiện việc khắc phục và hành động khắc phục khi cần thiết.

·       Sự không phù hợp là sự không đáp ứng một yêu cẩu của ISMS. Yêu cầu là nhu cầu hoặc mong đợi được tuyên bố, ngầm hiểu hay bắt buộc. Có các dạng không phù hợp như sau:

ü  Không đáp ứng một yêu cầu (toàn bộ hay một phần) của ISO/IEC 27001 trong ISMS;

ü  Thực hiện không đúng hoặc không phù hợp với mọt yêu cầu, quy định hay biện pháp kiểm soát được nêu trong ISMS; và

ü  Không tuân thủ một phần hay toàn bộ với yêu cầu của pháp luật, hợp đồng hay thỏa thuận với khách hàng.

·       Một số ví dụ về sự không phù hợp:

ü  Nhân sự không thực hiện các quy trình hay chính sách theo quy định;

ü  Nhà cung cấp không chung cấp các sản phẩm, dịch vụ đã thỏa thuận/ hợp đồng;

ü  Các dự án không chuyển giao kết quả như mong đợi; và

ü  Không thực hiện các biện pháp kiểm soát như quy định.

·       Có thể nhận diện sự không phù hợp qua các cách sau:

ü  Thiếu các hoạt động được tiến hành trong phạm vi của ISMS;

ü  Các biện pháp kiểm soát không hiệu quả không được xử lý một cách thích hợp;

ü  Phân tích các sự cố ATTT, cho thấy việc không đáp ứng một yêu cầu của ISMS;

ü  Khiếu nại của khách hàng;

ü  Cảnh báo từ người dùng hoặc nhà cung cấp;

ü  Các kết quả theo dõi và đo lường không đáp ứng với các tiêu chí chấp nhận; và

ü  Không đạt được các mục tiêu.

·       Việc khắc phục nhằm giải quyết tức thời sự không phù hợp và hậu quả của nó (Điều 10.1.a., tiêu chuẩn ISO/IEC 27001:2013).

·       Hành động khắc phục nhằm loại bỏ nguyên nhân của sự không phù hợp và ngăn ngừa sự tái diễn (Điều 10.1.b. đến g., tiêu chuẩn ISO/IEC 27001:2013).

·       Các sự cố ATTT không nhất thiết ám chỉ đã xảy ra sự không phù hợp, nhưng chúng có thể là một chỉ thị/ dấu hiệu của sự không phù hợp. Các cuộc đánh giá nội bộ, bên ngoài và các khiếu nại của khách hàng là những nguồn quan trọng có thể giúp nhận biết sự không phù hợp.

·       Việc đối ứng với sự không phù hợp phải căn cứ theo một quá trình xử lý đã được định sẵn. Quá trình đó phải bao gồm:

ü   Nhận biết mức độ và tác động của sự không phù hợp;

ü  Quyết định về việc khắc phục để giới hạn tác động của sự không phù hợp. Việc khắc phục có thể bao gồm việc chuyển sang trạng thái trước đó hoặc các trạng thái thích hợp khác. Tổ chức phải cẩn trọng để việc khắc phục không làm cho tình huống trở nên xấu hơn;

ü  Trao đổi thông tin với các nhân sự liên quan để đảm bảo rằng việc khắc phục được thực hiện;

ü  Thực hiện việc khắc phục đã quyết định;

ü  Theo dõi tình hình để đảm bảo sự khắc phục đã có hiệu quả như dự kiến và không gây ra các tác động phụ ngoài dự kiến;

ü  Tiếp tục hành động để khắc phục sự không phù hợp nếu nó vẫn chưa được giải quyết; và

ü  Trao đổi thông tin với các bên quan tâm liên quan, khi thích hợp.

·       Việc khắc phục chỉ giải quyết tức thời sự không phù hợp và hậu quả của nó, chứ chưa ngăn ngừa sự tái diễn, vì thế, tổ chức phải xem xét nhu cầu có hành động khắc phục sự không phù hợp, có thể cùng lúc hoặc sau khi hoàn thành việc khắc phục. Tổ chức phải thực hiện các bước sau đây:

ü  Quyết định xem, liệu có cần thực hiện một hành động khắc phục, theo đúng tiêu chí đã lập (ví dụ, tác động của sự không phù hợp, tính lặp lại của sự không phù hợp,..);

ü  Xem xét sự không phù hợp, cần cân nhắc về:

–       Liệu sự không phù hợp tương tự đã được ghi nhận?

–       Tất cả hậu quả và tác dụng phụ gây ra bởi sự không phù hợp; và

–       Việc khắc phục đã thực hiện.

ü  Thực hiện phân tích kỹ lưỡng nguyên nhân gốc của sự không phù hợp, cần cân nhắc về:

–       Sai lỗi là gì, yếu tố kích hoạt hay tình huống cụ thể nào đã dẫn tới sự không phù hợp (ví dụ như sai lỗi do con người, phương pháp, quá trình hay thủ tục, phần cứng hay các phần mềm, đo lường sai, do môi trường,..); và

–       Mô hình và chuẩn mực có thể giúp nhận biết các tình huống tương tự trong tương lai.

ü  Thực hiện phân tích các hậu quả tiềm tàng ảnh hưởng đến ISMS, cần cân nhắc về:

–       Liệu những sự không phù hợp tương tự có tồn tại ở các nơi/ khu vực khác, ví dụ như qua việc sử dụng các mô hình và chuẩn mực đã có khi phân tích nguyên nhân; và

–       Liệu các nơi khác/ khu vực khác có đúng với các mô hình và chuẩn mực đã xác định không, theo đó vấn đề còn lại chỉ là thời gian trước khi xảy ra sự không phù hợp tương tự.

ü  Các định các hành động cần thiết để khắc phục nguyên nhân, đánh giá xem các hành động này có tương ứng với các hậu quả và tác động của sự không phù hợp không, và kiểm tra xem chúng sẽ không có tác động phụ có thể dẫn tới các sự không phù hợp khác hoặc các rủi ro ATTT quan trọng mới không;

ü  Hoạch định cho các hành động khắc phục, xác định tính ưu tiên, nếu có thể, đối với các khu vực ở đó có khả năng tái diễn cao hơn và hậu quả của sự không phù hợp là nghiêm trọng hơn. Việc hoạch định phải bao gồm người chịu trách nhiệm cho hành động khắc phục và thời hạn hoàn thành hành động khắc phục;

ü  Triển khai các hành động khắc phục theo kế hoạch; và

ü  Đánh giá hành động khắc phục xem chúng có thực sự giải quyết được nguyên nhân của sự không phù hợp không, và liệu đã ngăn ngừa tài diễn sự không phù hợp liên quan không. Việc đánh giá này phải đảm bảo tính khách quan, công bằng, dựa trên bằng chứng rõ ràng và được lập thành văn bản. Việc đánh giá này cũng phải được truyền đạt, thông báo đến các vai trò và các bên quan tâm thích hợp.

·       Kết quả thực hiện khắc phục và hành động khắc phục sẽ dẫn tới các cơ hội mới để không ngừng cải tiến ISMS, vì thế chúng phải được tiến hành một cách nghiêm túc, bài bản.

·       Tổ chức phải lưu giữ đầy đủ các thông tin dạng văn bản để chứng tỏ tổ chức đã giải quyết sự không phù hợp mọt cách đúng đắn và đã xử lý các hậu quả liên quan. Tất cả các bước quan trọng của việc quản lý vấn đề không phù hợp (phân tích nguyên nhân, xem xét, quyết định thực hiện các hành động, xem xét và quyết định về các thay đổi đối với ISMS) đều phải được lập thành văn bản. Ngoài ra, cũng phải kèm theo các bằng chứng cho thấy các hành động đã thực hiện đã đạt được hiệu quả như dự kiện.

·       Một số tổ chức lập ra các biểu/ sổ để đăng ký, theo dõi sự không phù hợp và các hành động khắc phục. Việc này có thể thực hiện thành nhiều biểu/ sổ (ví dụ như lập, theo dõi theo cấp phòng ban, hay theo quá trình) và bằng các phương tiện khác nhau (lập sổ trên giấy, mở file điện tử để theo dõi hay bằng ứng dụng phần mềm). Nếu vậy, các biểu sổ này phải được thiết lập và được kiểm soát như là các thông tin dạng văn bản và phải giúp hiểu được đầy đủ về tất cả các điểm không phù hợp và các hành động khắc phục để đảm bảo việc đánh giá chính xác nhu cầu có các hành động.

·       Tiêu chuẩn ISO/IEC 27001 không đề cập cụ thể bất cứ yêu cầu đối với “hành động phòng ngừa”. Lý do là vì, một trong những mục đích chính của một hệ thống quản lý chính thức là để tạo ra công cụ phòng ngừa rồi. Theo đó, các tiêu chuẩn về các hệ thống quản lý do ISO ban hành đều có chung yêu cầu về việc đánh giá “các vấn đề bên ngoài và nội bộ có liên quan đến mục đích của tổ chức và có ảnh hưởng đến khả năng của tỏ chức để đạt được các kết quả dự kiến” ở Điều 4.1, và để “xác định các rủi ro và cơ hội cần được giải quyết để: đảm bảo ISMS có thể đạt được các kết quả dự kiến; để ngăn ngừa, giảm các kết quả không mong muốn; để đạt được sự cải tiến liên tục” ở Điều 6.1. Bởi vậy, hai yêu cầu này được xem xét để bao quát cho khái niệm “hành động phòng ngừa” và cũng cho ta cái nhìn rộng hơn về các rủi ro và cơ hội.

·       Tổ chức phải cải tiến thường xuyên sự phù hợp, thỏa đáng và tính hiệu lực của ISMS.

·       Tổ chức và bối cảnh của tổ chức không bao giờ ở trạng thái tĩnh hoàn toàn. Bên cạnh đó, các rủi ro đối với hệ thống thông tin, các cách thức mà theo đó chúng có thể bị xâm phạm cũng gia tăng nhanh chóng. Cuối cùng, không có hệ thống ISMS nào là tuyệt hảo mà luôn luôn có cách gì đó để hệ thống được tốt hơn, ngay cả khi nếu tổ chức và bối cảnh của tổ chức không có sự thay đổi.

·       Khi tổ chức cải tiến liên tục bằng phương pháp tiếp cận có hệ thống thì sẽ giúp ISMS hiệu quả hơn, từ đó giúp cải thiện về ATTT cho tổ chức. Việc quản lý ATTT sẽ giúp cho các hoạt động tác nghiệp của tổ chức trở nên chủ động chứ không bị động, nghĩa là hầu hết các nguồn lực được sử dụng để xác định và giải quyết các vấn đề. Lãnh đạo cao nhất có thể thiết lâp ra các mục tiêu cho cải tiến liên tục, ví dụ thông qua việc đo lường tính hiệu lực, chi phí hoặc độ chín muồi của các quá trình.

·       Kết quả là, tổ chức sẽ xem ISMS như là một phần không ngừng được phát triển, học hỏi để tiến bộ và gắn kết với các hoạt động kinh doanh của mình. Để giữ cho ISMS luôn đi song hành với các thay đổi, tổ chức phải thường xuyên đánh giá xét về mục đích, hiệu lực, đồng bộ với các mục tiêu của tổ chức.

·       Cải tiến liên tục ISMS đòi hỏi việc hệ thống ISMS và các yếu tố của hệ thống đều phải được đánh giá xét về các vấn đề bên ngoài và nội bộ (điều 4.1), các yêu cầu của các bên quan tâm (điều 4.2) và kết quả của việc đánh giá kết quả thực hiện (điều 9). Việc đánh giá phải bao gồm sự phân tích về:

ü  Sự thích hợp của ISMS: xem xét liệu các vấn đề bên ngoài và nội bộ, các yêu cầu của các bên quan tâm, các mục tiêu ATTT đã thiết lập và các rủi ro ATTT đã nhận biết đã được đánh giá đầy đủ trong quá trình hoạch định và thực hiện ISMS và các biện pháp kiểm soát ATTT hay không;

ü  Tính thỏa đáng của ISMS: xem xét liệu các quá trình của ISMS và các biện pháp kiểm soát ATTT có tương thích với mục đích tổng thể, các hoạt động và các quá trình của tổ chức không; và

ü  Tính hiệu lực của ISMS: xem xét liệu các kết quả dự kiến của ISMS đã dạt được chưa, các yêu cầu của các bên quan tâm đã được đáp ứng chưa, các rủi ro ATTT đã được quản lý để đạt các mục tiêu ATTT chưa, các vấn đề không phù hợp đã được quản lý chưa, các nguồn lực cần thiết để thiết lập, thực hiện, duy trì và cải tiến liên tục ISMS có tương xứng với các kết quả không.

·       Việc đánh giá có thể bao gồm việc phân tích hiệu quả của ISMS và các yếu tố của nó, xem xét liệu việc sử dụng các nguồn lực có thích hợp không, liệu các rủi ro mà nếu không hiệu quả thì sẽ dẫn tới việc mất đi tính hiệu lực hoặc liệu có được cơ hội để tăng hiệu quả lên không.

·       Có thể nhận diện các cơ hội cải tiến qua việc quản lý sự không phù hợp và hành động khắc phục. Mỗi khi xác định được cơ hội cải tiến, tổ chức phải (theo điều 6.1.1):

ü  Đánh giá cơ hội để khẳng định có đáng để khai thác nó hay không;

ü  Xác định các thay đổi đối với ISMS và các yếu tố của hệ thống để đạt được sự cải tiến;

ü  Hoạch định và thực hiện các hành động để khai thác được cơ hội bằng cách đảm bảo các lợi ích sẽ thu được và các vấn đề không phù hợp sẽ không xảy ra; và

ü  Đánh giá tính hiệu lực của các hành động.

–     Các yêu cầu của tổ chức đối với C-I-A của tài sản thông tin.

–     Các yêu cầu của tổ chức nhằm xác định các yêu cầu pháp luật, hợp đồng và ATTT.

–     Danh mục xác định các tài sản thông tin của các quá trình chính;

–     Các quá trình trọng yếu / phân loại tài sản thông tin;

–     Tình trạng kiểm soát ATTT hiện tại và các biện pháp kiểm soát hiện có; đánh giá mức độ hiệu quả và xác định biện pháp kiểm soát bổ sung.

Tích hợp vào hệ thống các bản Mô tả công việc.

• HTVB: hệ thống văn bản
• SoA (Statement of Applicability): Bản Thông báo việc áp dụng
• C/ Confidentiality: Tính bảo mật; I/ Integrity: Tính nhất quán; A/ Availability: Tính sẵn có

tiêu biểu theo từng giai đoạn triển khai ISMS

QUYẾT ĐỊNH

V/v: Thành lập Ban điều hành Dự án xây dựng và áp dụng

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn

ISO/IEC 27001:2013

GIÁM ĐỐC CÔNG TY ABC

Căn cứ Điều lệ tổ chức và hoạt động của Công ty ABC, ban hành theo Quyết định số  ….

Căn cứ yêu cầu của tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin theo ISO/IEC 27001:2013 – Điều 5: Sự lãnh đạo;

Theo đề nghị của ….,

QUYẾT ĐỊNH:

Điều 1. Thành lập Ban điều hành dự án xây dựng và áp dụng Hệ thống quản lý an toàn thông tin theo ISO/IEC 27001 của Công ty ABC (sau đây gọi tắt là Ban ISO/IEC 27001), gồm các ông/ bà có tên sau đây:

1. Ông … : Giám đốc – Trưởng ban điều hành;

2. Ông …..: Phó Giám đốc – Phó Trưởng ban thường trực/ Đại diện Lãnh đạo về An toàn thông tin;

3. Ông …..: …………………… – Uỷ viên thường trực;

4. Bà …….:….. – Ủy viên.

….

Điều 2. Ban điều hành dự án có nhiệm vụ, quyền hạn chung như sau:

–    Tham mưu cho Giám đốc quyết định phạm vi, ranh giới thích hợp cho hệ thống an toàn thông tin phù hợp với đặc điểm sản xuất – kinh doanh, cơ cấu tổ chức, địa điểm áp dụng, các tài sản thông tin và công nghệ trong phạm vi áp dụng;

–    Phối hợp với các chuyên gia tư vấn lập và thống nhất kế hoạch xây dựng hệ thống tài liệu; trực tiếp phổ biến, đào tạo phương pháp áp dụng các tài liệu của hệ thống quản lý an toàn thông tin theo ISO/IEC 27001 cho những người có trách nhiệm liên quan (kể cả nhân viên trong nội bộ và các bên liên quan bên ngoài khi cần);

–    Chủ trì, trực tiếp hoặc phân công trách nhiệm biên soạn các tài liệu của hệ thống quản lý an toàn thông tin theo yêu cầu của ISO/IEC 27001;

–    Chủ trì phân công, huy động nguồn lực cần thiết và điều hành để thực hiện quá trình phân loại tài sản thông tin và đánh giá rủi ro an toàn thông tin đối với các tài sản thông tin thuộc phạm vi của hệ thống quản lý ISO/IEC 27001;

–    Phối hợp chặt chẽ với các chuyên gia tư vấn trong suốt quá trình triển khai áp dụng;

–    Được phép sử dụng và điều động nhân lực ở các đơn vị thuộc phạm vi triển khai trong quá trình thực hiện nhiệm vụ;

–    Trưởng ban điều hành có quyền áp dụng các biện pháp khen thưởng, các hình thức kỷ luật cần thiết để đảm bảo tiến độ và chất lượng công việc theo yêu cầu, kế hoạch triển khai;

–    Phó Trưởng ban thường trực chịu trách nhiệm phân công nhiệm vụ cụ thể cho các ủy viên để đảm bảo kế hoạch xây dựng, áp dụng ISO/IEC 27001 được tổ chức thực hiện đúng tiến độ, có chất lượng.

Điều 3. Các Ông/ Bà trong công ty và các ông bà có tên tại Điều 1 căn cứ quyết định thi hành.

Quyết định này có hiệu lực kể từ ngày ký.

QUYẾT ĐỊNH                                                                                              V/v: Phân công trách nhiệm Đại diện Lãnh đạo về

an toàn thông tin theo ISO/IEC 27001

GIÁM ĐỐC CÔNG TY ABC

Căn cứ Điều lệ tổ chức và hoạt động của Công ty ABC, theo Quyết định số….;

Căn cứ yêu cầu của tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin ISO/IEC 27001 (điều khoản 5.3);

Theo đề nghị của ….,

QUYẾT ĐỊNH:

Điều 1. Phân công Ông/Bà  ZZZ –   ……. vai trò Đại diện lãnh đạo về an toàn thông tin (Information Security Management System) theo ISO/IEC 27001.

Điều 2. Ông/Bà ZZZ có nhiệm vụ, quyền hạn sau:

–    Chuẩn bị đầy đủ các điều kiện cần thiết để hệ thống quản lý an toàn thông tin được thiết lập, thực hiện, duy trì theo đúng các yêu cầu của tiêu chuẩn ISO/IEC 27001.

–    Định kỳ hoặc đột xuất báo cáo trực tiếp cho Giám đốc Công ty ABC biết về kết quả hoạt động của hệ thống quản lý an toàn thông tin, mọi nhu cầu cải tiến và đề xuất việc cung cấp nguồn lực cho hoạt động, thực hiện các biện pháp kiểm soát rủi ro an toàn thông tin.

–    Đảm bảo thực hiện các biện pháp cần thiết để thúc đẩy các đơn vị, trong Công ty nhận thức được đầy đủ các nhu cầu và mong đợi của các bên quan tâm, yêu cầu của pháp luật, cũng như các quy định thuộc hệ thống quản lý an toàn thông tin của Công ty.

–    Đại diện cho lãnh đạo công ty trao đổi thông tin với các tổ chức bên ngoài các vấn đề về an toàn thông tin, kể cả với tổ chức chứng nhận hệ thống quản lý an toàn thông tin.

–    Có quyền đề nghị Giám đốc Công ty ABC thực hiện các quyết định cần thiết để nâng cao hiệu lực và hiệu quả thực hiện các quy định trong hệ thống quản lý an toàn thông tin.

Điều 3. Các Ông/ Bà Trưởng/phó các đơn vị, bộ phận trong Công ty ABC và các Ông/Bà có tên ở Điều 1 căn cứ quyết định thi hành.căn cứ quyết định thi hành.

Quyết định này có hiệu lực kể từ ngày ký.

QUYẾT ĐỊNH                                                                                                                            V/v: Thành lập Tổ Thư ký dự án xây dựng và áp dụng

Hệ thống hệ thống quản lý an toàn thông tin theo yêu cầu

của ISO/IEC 27001

GIÁM ĐỐC CÔNG TY ABC

Căn cứ Điều lệ tổ chức và hoạt động của Công ty, ban hành theo Quyết định ….;

Căn cứ yêu cầu của tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin theo ISO/IEC 27001:2013 – Điều 5: Sự lãnh đạo;

Theo đề nghị của Phó Trưởng ban thường trực – Ban điều hành xây dựng và áp dụng Hệ thống quản lý an toàn thông tin theo ISO/IEC 27001,

QUYẾT ĐỊNH:

Điều 1. Thành lập Tổ Thư ký dự án xây dựng và áp dụng Hệ thống hệ thống quản lý an toàn thông tin theo yêu cầu của ISO/IEC 27001 (sau đây gọi tắt là Tổ Thư ký ISO/IEC 27001), gồm các Ông/Bà có tên sau đây:

1.    Ông …: …. – Tổ trưởng Tổ Thư ký ISO/IEC 27001;

2.    Ông …..: -…… – Thư ký ISO/IEC 27001…..

Điều 2. Tổ Thư ký ISO/IEC 27001 có nhiệm vụ, quyền hạn sau:

–    Làm đầu mối tập hợp, theo dõi, kiểm soát tiến độ viết và hoàn chỉnh các tài liệu do các đơn vị trong công ty biên soạn thuộc hệ thống quản lý an toàn thông tin, trình Giám đốc phê duyệt ban hành theo đúng kế hoạch tổng thể của dự án;

–    Đầu mối quản lý, kiểm soát việc phát hành, phân phối tài liệu, lưu trữ các hồ sơ thuộc hệ thống quản lý an toàn thông tin theo yêu cầu của ISO/IEC 27001;

–    Trực tiếp tham gia quá trình thiết lập hệ thống tài liệu quản lý an toàn thông tin theo yêu cầu của ISO/IEC 27001, theo phân công của Ban điều hành ISO/IEC 27001;

–    Được quyền yêu cầu các cá nhân, đơn vị thực hiện việc áp dụng và duy trì hệ thống quản lý hệ thống an toàn thông tin theo yêu cầu của ISO/IEC 27001 và kịp thời kiến nghị các biện pháp thích hợp đến Giám đốc Công ty để xem xét quyết định nhằm tăng cường hiệu lực, hiệu quả công việc trong phạm vi dự án;

–    Trong quá trình hoạt động, Thư ký ISO/IEC 27001 chịu sự chỉ đạo và điều hành trực tiếp của Phó Trưởng ban thường trực Ban điều hành ISO/IEC 27001.

Điều 3. Các ông/bà có tên ở Điều 1 căn cứ quyết định thi hành.

Quyết định này có hiệu lực kể từ ngày ký.

GIÁM ĐỐC

Nơi nhận:

CHÍNH SÁCH AN TOÀN THÔNG TIN

CỦA CÔNG TY ABC

A. MỤC ĐÍCH VÀ YÊU CẦU:

1.    Chính sách an toàn thông tin này nhằm định hướng và đưa ra các cam kết đối với việc thực hiện các biện pháp kiểm soát rủi ro, nhằm bảo vệ các tài sản thông tin của Công ty, của khách hàng và các bên quan tâm khỏi các mối đe dọa từ nội bộ, bên ngoài do cố ý hay vô tình trong quá trình sản xuất – kinh doanh dịch vụ XYZ của công ty ABC

2.    Chính sách này đảm bảo rằng:

a)    Thông tin sẽ được bảo vệ để chống lại việc truy cập trái phép.

b)    Tính bảo mật (Confidentiality) của thông tin sẽ được đảm bảo.

c)    Tính toàn vẹn (Integrity) của thông tin sẽ được duy trì.

d)    Tính sẵn có (Availability) của thông tin đối với các quá trình kinh doanh sẽ được duy trì.

e)    Các yêu cầu pháp luật và chế định, ràng buộc hợp đồng với khách hàng sẽ được đáp ứng.

f)     Các Kế hoạch đảm bảo tính liên tục của kinh doanh sẽ được thiết lập, duy trì và thử nghiệm.

g)       Đảm bảo việc đào tạo về an toàn thông tin cho mọi nhân viên liên quan để nhân sự có đủ năng lực cần thiết tham gia thực hiện hệ thống quản lý an toàn thông tin có hiệu quả.

h)       Tất cả các lỗ hổng về an toàn thông tin thực tế hay nghi ngờ sẽ được báo cáo đến Lãnh đạo an toàn thông tin của công ty và sẽ được điều tra kỹ lưỡng để phòng ngừa, ngăn chặn, xử lý một cách thỏa đáng, hiệu quả.

3.    Các thủ tục và các chính sách an toàn cụ thể sẽ được thiết lập để hỗ trợ triển khai các cam kết trong Chính sách tổng thể này, bao gồm các mục tiêu kiểm soát và các biện pháp kiểm soát an toàn phù hợp với yêu cẩu tiêu chuẩn ISO/IEC 27001 và tương thích với các kết quả đánh giá rủi ro an toàn thông tin của công ty.

4.    Công ty sẽ duy trì và huy động sự tham gia đóng góp của tất cả cán bộ, nhân viên vào việc cải tiến liên tục hệ thống quản lý an toàn thông tin phù hợp tiêu chuẩn ISO/IEC 27001.

B. TRÁCH NHIỆM:

1.    Giám đốc Công ty sẽ đảm bảo truyền đạt chính sách này để mọi cán bộ, nhân viên đều có nhận thức và tuân thủ.

2.    Đại diện lãnh đạo an toàn thông tin chịu trách nhiệm hỗ trợ, tham mưu cho Giám đốc công ty trong quá trình hoạch định, triển khai chính sách.

3.    Tất cả các trưởng đơn vị/ bộ phận trong công ty trực tiếp chịu trách nhiệm tổ chức thực hiện chính sách này và đảm bảo sự tuân thủ của mọi nhân viên ở đơn vị/ bộ phận của mình.

4.    Mỗi cán bộ, nhân viên phải có các trách nhiệm đối với an toàn thông tin và xem đây là một phần của công việc được giao.

5.    Chính sách này được xem xét ít nhất hàng năm bởi Giám đốc công ty để đảm bảo luôn thích hợp.

Để đảm bảo sự phù hợp và hiệu lực, hiệu quả liên tục của hệ thống quản lý an toàn thông tin (ISMS) theo định hướng trong Chính sách An toàn thông tin đã công bố, Công ABC đã thiết lập các Mục tiêu an toàn thông tin cho giai đoạn năm YYYY như dưới đây.

1.    NỘI DUNG MỤC TIÊU:

2.    TRÁCH NHIỆM TỔ CHỨC TRIỂN KHAI:

2.1.                       Giám đốc công ty, Đại diện Lãnh đạo ATTT sẽ áp dụng các hình thức thích hợp và hiệu quả để truyền đạt Mục tiêu an toàn thông tin hàng năm của công ty đến toàn thể nhân viên, nhằm đảm bảo mọi người đều thấu hiểu và thực hiện.

2.2.                       Đại diện Lãnh đạo ATTT chịu trách nhiệm đảm bảo xây dựng kế hoạch cụ thể để thực hiện Mục tiêu ATTT hàng năm; phân công trách nhiệm theo dõi, đánh giá tiến độ thực hiện, tổng hợp báo cáo định kỳ hàng quý đến Giám đốc.