Tài liệu là thông tin và phương tiện chứa đựng thông tin đó dựa theo tiêu chuẩn ISO/IEC 27001:2013.
Tài liệu được hiểu là những văn bản có tính pháp quy hoặc những văn bản pháp quy dùng để giải quyết, xử lý công việc thuộc chức năng nhiệm vụ của một đơn vị nào đó.
Theo tiêu chuẩn ISO 27001, Bộ tài liệu ISO 27001 là những thông tin được hiển thị bằng các văn bản có tính pháp quy hoặc các văn bản pháp quy về hệ thống an ninh thông tin.
Trong đó:
Việc doanh nghiệp xây dựng bộ tài liệu ISO 27001 cho hệ thống an ninh thông tin mang lại rất nhiều lợi ích, bao gồm:
Khi doanh nghiệp thiết lập hệ thống an ninh thông tin ISMS thì cần xây dựng một số tài liệu và hồ sơ bắt buộc, bao gồm:
Với bản sửa đổi năm 2013 của ISO /IEC 27001 nhiều người đang tự hỏi những tài liệu nào là bắt buộc trong phiên bản 2013 này. Về tài liệu bắt buộc cụ thể sẽ là:
1. Phạm vi của QMS |
9. Quản lý sử dụng tài sản |
2. Chính sách và mục tiêu bảo mật thông tin |
10. Chính sách kiểm soát truy cập |
3. Phương pháp đánh giá rủi ro và xử lý rủi ro |
11. Quy trình vận hành quản lý CNTT |
4. Tuyên bố về khả năng áp dụng |
12. Nguyên tắc an toàn kỹ thuật của Hệ thống |
5. Kế hoạch xử lý rủi ro |
13. Chính sách bảo mật đối với nhà cung cấp |
6. Báo cáo đánh giá rủi ro và xử lý rủi ro |
14. Quy trình quản lý sự cố |
7. Định nghĩa về vai trò và trách nhiệm trong bảo mật |
15. Quy trình đảm bảo triển khai liên tục |
8. Quản lý tài sản |
16. Yêu cầu pháp lý và hợp đồng |
Khi doanh nghiệp nắm rõ về tài liệu và hồ sơ bắt buộc thì có thể dễ dàng áp dụng thành công hệ thống quản lý chất lượng ISO 27001 và đạt được chứng nhận ISO 27001. Với chứng nhận này giúp doanh nghiệp đạt được những lợi ích như: Tăng sự tin tưởng của các bên liên quan, tăng lợi nhuận, tăng cơ hội hợp tác.
Bên cạnh những bộ tài liệu ISO 27001 bắt buộc phải có, doanh nghiệp cũng được khuyên là nên chuẩn bị những tài liệu sau để hệ thống quản lý an toàn thông tin được tối ưu hơn. Cụ thể:
1. Quy trình kiểm soát tài liệu |
10. Thủ tục làm việc trong khu vực an toàn |
2. Quy trình kiểm soát hồ sơ |
11. Chính sách về bảo vệ máy tính và bàn làm việc |
3. Quy trình đánh giá nội bộ |
12. Thay đổi chính sách quản lý |
4. Quy trình hành động khắc phục |
13. Chính sạch dự phòng |
5. Mang chính sách thiết bị của riêng bạn (BYOD) |
14.Chính sách trao đổi thông tin |
6. Thiết bị di động và chính sách làm việc từ xa |
15. Phân tích tác động kinh doanh |
7. Chính sách phân loại thông tin |
16. Kế hoạch tập huấn và kiểm tra |
8. Chính sách mật khẩu |
17. Kế hoạch bảo trì và xem xét |
9. Chính sách xử lý và tiêu hủy dữ liệu |
18. Chiến lược đảm bảo kinh doanh liên tục |
Để giúp doanh nghiệp hiểu rõ hơn về những hồ sơ và bộ tài liệu ISO 27001 được sử dụng trong ISMS, ISOCERT đã tổng hợp một số nội dung cơ bản, khái quát của chúng ngay dưới đây:
Phạm vi doanh nghiệp bắt đầu áp dụng ISO 27001
Mục tiêu chính và chính sách của hệ thống an ninh thông tin.
Doanh nghiệp cần thực hiện đánh giá rủi ro và phương pháp xử lý rủi ro sau đó báo cáo đầy đủ và chi tiết về kết quả của việc đánh giá và xử lý rủi ro.
Tài liệu này thể hiện tình hình thực tế của đơn vị cũng như các biện pháp kiểm soát được áp dụng và cách mà doanh nghiệp thực hiện.
Tài liệu này đưa ra các kế hoạch triển khai hoặc những biện pháp kiểm soát để xử lý các rủi ro có thể phát sinh trong quá trình vận hành hệ thống an ninh thông tin.
Tài liệu về vai trò và trách nhiệm bảo mật cành được mô tả chi tiết, chính xác thì càng đạt hiệu quả cao.
Doanh nghiệp nên kiểm kê tài sản thành 1 bản danh sách giúp kiểm soát dễ dàng hơn.
Tài liệu chính sách về việc cho phép sử dụng tài sản thể hiện các nghĩa vụ, quy tắc cho việc thỏa thuận và thông qua hoạt động dùng tài sản.
Sau khi kết thúc quá trình đánh giá và xử lý rủi ro thì doanh nghiệp sẽ tiến hành xây dựng tài liệu chính sách kiểm soát truy cập.
Đây là tài liệu miêu tả các thủ tục, quá trình về hoạt động vận hành quản lý an toàn thông tin.
Tài liệu về nguyên tắc kỹ thuật hệ thống an toàn bao gồm các kỹ thuật về bảo mật như dữ liệu đầu vào, kỹ thuật xác thưc,...và sau đó được ghi chép lại dưới dạng thủ tục hoặc tiêu chuẩn.
Tài liệu về chính sách bảo mật nhà cung cấp bao gồm các nội dung như cách đánh giá rủi ro, các cách sàng lọc và kiểm soát các nhà cung cấp tiềm năng...
Tài liệu về quy trình quản lý sự cố giúp tổ chức xác định được cách phòng ngừa, cách báo cáo và phân loại các điểm yếu cũng như các sự cố bảo mật trong hệ thống an ninh thông tin.
Tài liệu về kế hoạch đảm bảo sự liên tục của hệ thống bao gồm các kế hoạch về việc ứng phó sự cố, việc đảm bảo kinh doanh liên tục, cách khắc phục sự cố cho khách hàng...
Tài liệu này liên quan đến những yêu cầu về pháp lý, hợp đồng, quy định giúp cho việc quản lý an toàn thông tin hiệu quả.
Đây là tài liệu được lưu giữ và duy trì bởi bộ phận nhân sự bao gồm các hoạt động đào tạo, kinh nghiệm, kỹ năng của từng nhân sự trong nội bộ doanh nghiệp.
Tài liệu về kết quả giám sát và đo lường thường được mô tả dưới dạng là các chỉ số hiệu suất chính (KPI) trong từng quy trình/ hoạt động của ISMS.
Tài liệu này miêu tả các chương trình, kế hoạch đánh giá nội bộ bao gồm các nội dung và mục đích liên quan.
Tài liệu về kết quả đánh giá nội bộ bao gồm các quan sát thực tế, các điểm không khắc phục và hành động khắc phục sự không phù hợp.
Tài liệu về kết quả của xem xét lãnh đạo thường được xây dựng bằng biên bản của cuộc họp.
Tài liệu về kết quả của hành động khắc phục liên quan đến danh sách liệt kê các trách nhiệm, nhiệm vụ cùng thời hạn được quy định để xử lý vấn đề đang gặp phải.
Tài liệu về nhật ký hoạt động của người dùng và sự kiện bảo mật được lưu giữ bằng văn bản dạng giấy hoặc ở dạng kỹ thuật số.
Tài liệu về kiểm soát tài liệu thông thường được xây dựng đầu tiên trong ISMS giúp tổ chức thống nhất về các quy tắc xây dựng, ghi chép tài liệu hệ thống.
Tài liệu này bao gồm nơi lưu trữ hồ sơ, thời gian lưu trữ, cách bảo quản...
Tài liệu này mô tả quá trình đánh giá nội bộ trong doanh nghiệp một cách trình tự và hiệu quả hơn.
Tài liệu mô tả về quy trình khắc phục các điểm không phù hợp trong hệ thống an ninh thông tin.
Mọi thắc mắc của quý khách hàng về dịch vụ bộ tài liệu ISO 27001, xin vui lòng liên hệ tới hotline: 0976389199 (hoàn toàn miễn phí) để được các chuyên gia của ISOCERT tư vấn chi tiết trong thời gian sớm nhất.