Các hoạt động theo yêu cầu tiêu chuẩn ISO 27001

Tổ chức phải xác định các vấn đề bên ngoài và nội bộ có liên quan đến mục đích của tổ chức và ảnh hưởng đến khả năng của tổ chức để đạt được các kết quả dự kiến của ISMS.

Giải thích:

-          Khi thực hiện các hoạt động của mình, tổ chức phải thường xuyên xem xét, phân tích về chính mình và thế giới quanh mình. Việc phân tích này có liên quan đến các vấn đề bên ngoài và nội bộ có ảnh hưởng đến an toàn thông tin theo tiêu chuẩn chứngnhận ISO 27001 và bằng cách nào được quản lý, cũng như có liên quan đến các mục tiêu của tổ chức.

-          Có 3 mục đích của việc phân tích, gồm:

+ Để hiểu về bối cảnh, từ đó xác định phạm vi áp dụng ISMS

+ Để hiểu về các rủi ro và cơ hội

+ Để đảm bảo ISMS phù hợp với sự thay đổi của các vấn đề bên ngoài và nội bộ

-          Những vấn đề bên ngoài là những gì nằm ngoài sự kiểm soát của tổ chức, có thể về các khía cạnh môi trường sau, tùy theo sự ưu tiên và tình huống cụ thể của từng tổ chức.


Văn hóa và xã hội (ví dụ: nhu cầu của xã hội đối với các dịch vụ do tổ chức cung cấp). Chính trị, pháp luật, chế định (ví dụ: các quy định của pháp luật khi sử dụng các dịch vụ về IT do bên ngoài cung cấp). Tài chính và vĩ mô (ví dụ: nhu cầu của xã hội đối với các dịch vụ do tổ chức cung cấp)

Công nghệ (ví dụ: các tiến bộ kỹ thuật của các công cụ tấn công (hack) và việc sử dụng mã hóa). Tự nhiên (ví dụ: các đặc điểm tự nhiên về khả năng của các tai họa như cháy, lũ lụt, động đất). Cạnh tranh.

Các vấn đề nội bộ là những gì thuộc sự kiểm soát của tổ chức, có thể về các khía cạnh sau: Văn hóa của tổ chức. Chính sách, mục tiêu và chiến lược để đạt được mục tiêu. Việc quản trị, cơ cấu tổ chức, các vai trò, trách nhiệm. Các tiêu chuẩn, hướng dẫn và các mô hình mẫu được tổ chức chấp nhận. Các mối quan hệ hợp đồng có thể trực tiếp ảnh hưởng các quá trình thuộc phạm vi áp dụng ISMS của tổ chức. Các quá trình và thủ tục. Năng lực, xét về các nguồn lực và tri thức (ví dụ: vốn, thời gian, nhân sự, quá trình, các hệ thống và công nghệ). Cơ sở hạ tầng và môi trường vật lý. Các hệ thống thông tin, các dòng thông tin và các quá trình ra quyết định (cả chính thức và không chính thức). Các cuộc đánh giá trước đó và các kết quả đánh giá rủi ro trước đó

Các kết quả của việc xác định các vấn đề bên ngoài và nội bộ (tức là xác định bối cảnh) sẽ được sử dụng để xác định phạm vi của ISMS để xác định hành động giải quyết rủi ro và cơ hội và để phục vụ cho hoạt động xem xét của lãnh đạo.

Hướng dẫn:

-          Căn cứ trên hiểu rõ về mục đích của tổ chức (ví dụ như từ “sứ mệnh” và kế hoạch kinh doanh của tổ chức), cũng như các kết quả dự kiến của ISMS của tổ chức, tổ chức phải:

+ xem xét môi trường bên ngoài để xác định các vấn đề bên ngoài liên quan

+ xem xét các khía cạnh nội bộ để xác định các vấn đề nội bộ liên quan

-          Để xác định các vấn đề liên quan đó, tổ chức có thể đặt câu hỏi “liệu từng vấn đề từ a đến p như liệt kê trên sẽ ảnh hưởng đến các mục tiêu ATTT của tổ chức như thế nào?” Dưới đây là 3 ví dụ minh họa đối với các vấn đề nội bộ:

+ Ví dụ 1 (liên quan đến việc quản trị và cơ cấu tổ chức): Khi thiết lập ISMS, việc quản trị điều hành và cơ cấu tổ chức hiện tại phải được đưa vào xem xét. Ví dụ như tổ chức có thể có mô hình cơ cấu tổ chức trong ISMS dựa trên cơ cấu tổ chức đã được xác định trong các hệ thống quản lý hiện có khác, và có thể kết hợp các chức năng chung như việc xem xét của lãnh đạo và hoạt động đánh giá.

+ Ví dụ 2 (liên quan đến chính sách, mục tiêu và chiến lược): việc phân tích các chính sách. Mục tiêu và các chiến lược hiện có, có thể chỉ ra điều mà tổ chức dự định sẽ đạt được và cách thức mà các mục tiêu ATTT sẽ được lồng ghép cùng với các mục tiêu kinh doanh để đảm bảo các kết quả thành công.

+ Ví dụ 3 (liên quan các hệ thống thông tin và các dòng thông tin): Khi xác định các vấn đề nội bộ, tổ chức phải xác định, ở mức độ chi tiết nhất định, các vấn đề nội bộ, tổ chức phải xác định, ở mức độ chi tiết nhất định các dòng thông tin giữa các các hệ thống thông tin khác nhau của mình.

-          Các vấn đề, cả bên ngoài lẫn nội bộ, sẽ thay đổi theo thời gian, các vấn đề và ảnh hưởng của chúng lên phạm vi, những hạn chế và các yêu cầu của ISMS phải được xem xét thường xuyên.

-          Các thông tin văn bản cho hoạt động xác định bổi cảnh và kết quả đầu ra chỉ bắt buộc dưới hình thức và mức độ mà tổ chức xác định là cần thiết để đảm bảo tính hiệu lực của ISMS của mình

Các doanh nghiệp nên tham gia các khóa học đào tạo để có thể cải tiến hơn cho quy trình cũng như biết cách ngăn ngừa các rủi ro không đáng có. Áp dụng theo để nhận biết được tiêu chuẩn nào phù hợp với doanh nghiệp của mình. Hiện nay các doanh nghiệp phần lớn là tham gia khóa học đào tạo ISO 22000, ISO 50001, Khóa học ISO 14001,… nhằm nâng cao uy tín cũng như sự hiểu biết củng cố niềm tin cho khách hàng.

Các hoạt động theo yêu cầu tiêu chuẩn: Tổ chức phải xác định các bên quan tâm liên quan đến ISMS của tổ chức và các yêu cầu của họ về vấn đề ATTT.

 

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Cải thiện hình ảnh thương hiệu của tổ chức nhờ ISO 14001

Hình ảnh
Bằng cách đạt được Chứng nhận ISO 14001, bạn có thể chứng minh với các bên liên quan, khách hàng và nhân viên của mình rằng bạn nhận thức được các nghĩa vụ môi trường của mình và đang tìm cách giảm thiểu tác động đến môi trường của mình. Điều quan trọng là bạn phải xác định những rủi ro liên quan đến môi trường vì nó tạo ra những thách thức đáng kể cho các doanh nghiệp. Tiêu chuẩn ISO 14001 đảm bảo rằng bạn hạn chế những rủi ro như vậy và thực hiện hành động giảm thiểu, có nghĩa là doanh nghiệp của bạn được bảo vệ. Nó cũng được chứng minh là giúp các công ty tuân thủ các yêu cầu pháp lý và quy định. Việc có được Chứng nhận ISO 14001 giúp khách hàng tiềm năng yên tâm ngay lập tức rằng bạn đã thực hiện các bước để giảm thiểu tác động của tổ chức mình đối với môi trường. Điều này rất quan trọng khi thị trường ngày càng hiểu biết về các vấn đề xanh với việc các khách hàng tiềm năng đặt nhiều câu hỏi hơn về quy trình sản xuất và bao bì thân thiện với môi trường. Các nhân viên cũng đang
Đọc thêm

Tại sao Hệ thống Quản lý An toàn và Sức khỏe Nghề nghiệp ISO 45001 lại quan trọng?

Hình ảnh
Các tổ chức trên khắp thế giới nhận thấy sự cần thiết phải cung cấp một môi trường làm việc lành mạnh và an toàn, giảm thiểu rủi ro tai nạn và thể hiện sự chủ động trong quản lý rủi ro. Ngay sau đây, KNA Cert sẽ làm rõ thông tin về ứng dụng của iso 45001 cho bạn! ISO 45001 là gì? ISO 45001 là tiêu chuẩn quốc tế mới về quản lý an toàn và sức khỏe nghề nghiệp thay thế tiêu chuẩn OHSAS 18001. Các tiêu chuẩn giảm thiểu rủi ro tại nơi làm việc để cải thiện sự an toàn của nhân viên. Đạt được chứng nhận ISO 45001 cho phép bạn chứng minh rằng doanh nghiệp của bạn vận hành một Hệ thống Quản lý An toàn và Sức khỏe Nghề nghiệp thông lệ tốt nhất - giảm thiểu khả năng xảy ra tai nạn và vi phạm pháp luật, cũng như cải thiện hiệu suất của bạn. cải thiện hiệu suất tổng thể của tổ chức của bạn. Tiêu chuẩn này vượt qua nhiều tiêu chuẩn sức khỏe và an toàn hiện có vì nó đã được phát triển bởi một ủy ban gồm các chuyên gia về sức khỏe và an toàn nghề nghiệp. Nó tính đến các tiêu chuẩn quốc tế khác
Đọc thêm

Tình hình áp dụng iso 14001 tại Việt Nam- những thuận lợi và khó khăn

Hình ảnh
  Chúng ta đều biết rằng tất cả các loại hình doanh nghiệp, tổ chức khi hoạt động đều gây ra các tác động đến môi trường với mức độ ảnh hưởng khác nhau, vấn đề là các doanh nghiệp với quy mô khác nhau cần làm gì để quản lý và giảm thiểu tác động của chúng đến môi trường. Đó là lý do ra đời của tiêu chuẩn ISO 14001 về Hệ thống quản lý môi trường. Được Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) ban hành lần đầu tiên vào năm 1996, tiêu chuẩn ISO 14001 hiện đã có mặt tại 138 quốc gia và vùng lãnh thổ và đã có hơn 140.000 doanh nghiệp / tổ chức được chứng nhận. Sở dĩ có được thành công trong việc phổ biến áp dụng chứng nhận ISO 14001 ở nhiều quốc gia có nền kinh tế khác nhau, có trình độ phát triển và đặc điểm văn hóa khác nhau là do tiêu chuẩn ISO 14001 đã ra đời. nêu các yêu cầu thiết lập hệ thống quản lý các vấn đề môi trường cho một tổ chức / doanh nghiệp, nhưng không nêu rõ làm thế nào để đạt được điều đó. Chính vì sự linh hoạt đó mà các loại hình doanh nghiệp khác nhau, từ doanh nghiệp
Đọc thêm