Các hoạt động theo yêu cầu tiêu chuẩn ISO 27001
Tổ chức phải xác định các vấn đề bên ngoài và nội bộ có liên quan đến mục đích của tổ chức và ảnh hưởng đến khả năng của tổ chức để đạt được các kết quả dự kiến của ISMS.
Giải thích:
-
Khi
thực hiện các hoạt động của mình, tổ chức phải thường xuyên xem xét, phân tích
về chính mình và thế giới quanh mình. Việc phân tích này có liên quan đến các vấn
đề bên ngoài và nội bộ có ảnh hưởng đến an toàn thông tin
theo tiêu chuẩn chứngnhận ISO 27001 và bằng
cách nào được quản lý, cũng như có liên quan đến các mục tiêu của tổ chức.
-
Có 3
mục đích của việc phân tích, gồm:
+ Để hiểu về bối cảnh, từ đó xác định phạm vi áp dụng ISMS
+ Để hiểu về các rủi ro và cơ hội
+ Để đảm bảo ISMS phù hợp với sự thay đổi của các vấn đề bên ngoài và nội bộ
-
Những
vấn đề bên ngoài là những gì nằm ngoài sự kiểm soát của tổ chức, có thể về các
khía cạnh môi trường sau, tùy theo sự ưu tiên và tình huống cụ thể của từng tổ
chức.
Văn hóa và xã hội
(ví dụ: nhu cầu của xã hội đối với các dịch vụ do tổ chức cung cấp).
Chính trị, pháp luật,
chế định (ví dụ: các quy định của pháp luật khi sử dụng các dịch vụ về IT do
bên ngoài cung cấp). Tài chính và vĩ mô (ví dụ: nhu cầu của xã hội đối với các
dịch vụ do tổ chức cung cấp)
Công nghệ (ví dụ:
các tiến bộ kỹ thuật của các công cụ tấn công (hack) và việc sử dụng mã hóa).
Tự nhiên (ví dụ: các
đặc điểm tự nhiên về khả năng của các tai họa như cháy, lũ lụt, động đất). Cạnh
tranh.
Các vấn đề nội bộ
là những gì thuộc sự kiểm soát của tổ chức, có thể về các khía cạnh sau:
Văn hóa của tổ chức.
Chính sách, mục tiêu
và chiến lược để đạt được mục tiêu. Việc quản trị, cơ cấu tổ chức, các vai trò, trách nhiệm. Các tiêu chuẩn, hướng dẫn và các mô hình mẫu
được tổ chức chấp nhận. Các mối quan hệ hợp đồng có thể trực tiếp ảnh hưởng các
quá trình thuộc phạm vi áp dụng ISMS của tổ chức. Các quá trình và thủ tục. Năng lực, xét về các nguồn lực và tri thức (ví dụ: vốn,
thời gian, nhân sự, quá trình, các hệ thống và công nghệ). Cơ sở hạ tầng và môi trường vật lý. Các hệ thống thông tin, các dòng thông tin và các quá
trình ra quyết định (cả chính thức và không chính thức). Các cuộc đánh giá trước đó và các kết quả đánh giá rủi
ro trước đó
Các kết quả của
việc xác định các vấn đề bên ngoài và nội bộ (tức là xác định bối cảnh) sẽ được
sử dụng để xác định phạm vi của ISMS để xác định hành động giải quyết rủi ro và
cơ hội và để phục vụ cho hoạt động xem xét của lãnh đạo.
Hướng dẫn:
-
Căn
cứ trên hiểu rõ về mục đích của tổ chức (ví dụ như từ “sứ mệnh” và kế hoạch
kinh doanh của tổ chức), cũng như các kết quả dự kiến của ISMS của tổ chức, tổ
chức phải:
+ xem xét môi trường bên ngoài để xác định các vấn đề bên ngoài liên quan
+ xem xét các khía cạnh nội bộ để xác định các vấn đề nội bộ liên quan
-
Để
xác định các vấn đề liên quan đó, tổ chức có thể đặt câu hỏi “liệu từng vấn đề
từ a đến p như liệt kê trên sẽ ảnh hưởng đến các mục tiêu ATTT của tổ chức như
thế nào?” Dưới đây là 3 ví dụ minh họa đối với các vấn đề nội bộ:
+ Ví dụ 1 (liên quan đến việc quản trị và cơ cấu tổ chức): Khi thiết lập
ISMS, việc quản trị điều hành và cơ cấu tổ chức hiện tại phải được đưa vào xem
xét. Ví dụ như tổ chức có thể có mô hình cơ cấu tổ chức trong ISMS dựa trên cơ
cấu tổ chức đã được xác định trong các hệ thống quản lý hiện có khác, và có thể
kết hợp các chức năng chung như việc xem xét của lãnh đạo và hoạt động đánh
giá.
+ Ví dụ 2 (liên quan đến chính sách, mục tiêu và chiến lược): việc phân
tích các chính sách. Mục tiêu và các chiến lược hiện có, có thể chỉ ra điều mà
tổ chức dự định sẽ đạt được và cách thức mà các mục tiêu ATTT sẽ được lồng ghép
cùng với các mục tiêu kinh doanh để đảm bảo các kết quả thành công.
+ Ví dụ 3 (liên quan các hệ thống thông tin và các dòng thông tin): Khi xác
định các vấn đề nội bộ, tổ chức phải xác định, ở mức độ chi tiết nhất định, các
vấn đề nội bộ, tổ chức phải xác định, ở mức độ chi tiết nhất định các dòng
thông tin giữa các các hệ thống thông tin khác nhau của mình.
-
Các
vấn đề, cả bên ngoài lẫn nội bộ, sẽ thay đổi theo thời gian, các vấn đề và ảnh
hưởng của chúng lên phạm vi, những hạn chế và các yêu cầu của ISMS phải được
xem xét thường xuyên.
-
Các
thông tin văn bản cho hoạt động xác định bổi cảnh và kết quả đầu ra chỉ bắt buộc
dưới hình thức và mức độ mà tổ chức xác định là cần thiết để đảm bảo tính hiệu
lực của ISMS của mình
Các doanh nghiệp nên tham gia các khóa học đào tạo để có thể cải tiến hơn
cho quy trình cũng như biết cách ngăn ngừa các rủi ro không đáng có. Áp dụng
theo để nhận biết được tiêu chuẩn nào phù hợp với doanh nghiệp của mình. Hiện
nay các doanh nghiệp phần lớn là tham gia khóa
học đào tạo ISO 22000, ISO 50001, Khóa
học ISO 14001,… nhằm nâng cao uy tín cũng như sự hiểu biết củng cố niềm
tin cho khách hàng.
Các hoạt động theo yêu cầu tiêu chuẩn:
Tổ chức phải xác định
các bên quan tâm liên quan đến ISMS của tổ chức và các yêu cầu của họ về vấn đề
ATTT.
Nhận xét
Đăng nhận xét