Bộ tài liệu ISO 27001 là gì?
Thế nào là tài liệu?
Tài liệu là thông tin và phương tiện chứa đựng thông tin đó dựa theo tiêu chuẩn ISO/IEC 27001:2013.
Tài liệu được hiểu là những văn bản có tính pháp quy hoặc những văn bản pháp quy dùng để giải quyết, xử lý công việc thuộc chức năng nhiệm vụ của một đơn vị nào đó.
Theo tiêu chuẩn ISO 27001, Bộ tài liệu ISO 27001 là những thông tin được hiển thị bằng các văn bản có tính pháp quy hoặc các văn bản pháp quy về hệ thống an ninh thông tin.
Trong đó:
- ISMS hay chính là hệ thống quản lý an ninh thông tin được dùng để giám sát và quản lý hệ thống thông tin, giúp đảm bảo an toàn, hạn chế rủi ro, nâng cao tính bảo mật cho hệ thống thông tin trong doanh nghiệp.
- ISO 27001 được tổ chức tiêu chuẩn hóa quốc tế xây dựng và ban hành về hệ thống quản lý an toàn thông tin. Dựa theo tiêu chuẩn ISO 27001 sẽ đưa ra các yêu cầu mà một ISMS cần để các thông tin trong doanh nghiệp, các đơn vị được đảm bảo về tính bảo mật, tính toàn vẹn và tính sẵn sàng.
Lợi ích của việc xây dựng bộ tài liệu ISO 27001 cho hệ thống quản lý an toàn thông tin
Việc doanh nghiệp xây dựng bộ tài liệu ISO 27001 cho hệ thống an ninh thông tin mang lại rất nhiều lợi ích, bao gồm:
- Giúp doanh nghiệp, đơn vị kiểm soát và theo dõi ISMS dễ dàng hơn.
- Đảm bảo hệ thống an ninh thông tin được duy trì hiệu lực và có những biện pháp cải tiến khi cần.
- Đảm bảo tính bảo mật thông tin cho đối tác và khách hàng.
- Nâng cao hình ảnh, uy tín của doanh nghiệp.
- Tăng sức cạnh tranh so với các đối thủ khác trên thị trường.
- Nâng cao nhận thức của toàn bộ nhân viên trong doanh nghiệp về hệ thống an ninh thông tin
- Nhân viên trong doanh nghiệp hiểu rõ hơn về quyền hạn, trách nhiệm của mình trong việc đảm bảo an ninh thông tin.
Bộ tài liệu ISO 27001 bắt buộc theo yêu cầu
Khi doanh nghiệp thiết lập hệ thống an ninh thông tin ISMS thì cần xây dựng một số tài liệu và hồ sơ bắt buộc, bao gồm:
Về tài liệu bắt buộc
Với bản sửa đổi năm 2013 của ISO /IEC 27001 nhiều người đang tự hỏi những tài liệu nào là bắt buộc trong phiên bản 2013 này. Về tài liệu bắt buộc cụ thể sẽ là:
1. Phạm vi của QMS
|
9. Quản lý sử dụng tài sản
|
2. Chính sách và mục tiêu bảo mật thông tin
|
10. Chính sách kiểm soát truy cập
|
3. Phương pháp đánh giá rủi ro và xử lý rủi ro
|
11. Quy trình vận hành quản lý CNTT
|
4. Tuyên bố về khả năng áp dụng
|
12. Nguyên tắc an toàn kỹ thuật của Hệ thống
|
5. Kế hoạch xử lý rủi ro
|
13. Chính sách bảo mật đối với nhà cung cấp
|
6. Báo cáo đánh giá rủi ro và xử lý rủi ro
|
14. Quy trình quản lý sự cố
|
7. Định nghĩa về vai trò và trách nhiệm trong bảo mật
|
15. Quy trình đảm bảo triển khai liên tục
|
8. Quản lý tài sản
|
16. Yêu cầu pháp lý và hợp đồng
|
Về hồ sơ bắt buộc
- Hồ sơ về đào tạo, năng lực, kinh nghiệm và trình độ của nhân sự.
- Hồ sơ kết quả giám sát và đo lường.
- Hồ sơ kế hoạch đánh giá nội bộ.
- Hồ sơ kết quả đánh giá nội bộ.
- Hồ sơ kết quả xem xét lãnh đạo.
- Hồ sơ kết quả của hành động khắc phục.
- Hồ sơ nhật ký hoạt động của người dùng và sự cố bảo mật.
Khi doanh nghiệp nắm rõ về tài liệu và hồ sơ bắt buộc thì có thể dễ dàng áp dụng thành công hệ thống quản lý chất lượng ISO 27001 và đạt được chứng nhận ISO 27001. Với chứng nhận này giúp doanh nghiệp đạt được những lợi ích như: Tăng sự tin tưởng của các bên liên quan, tăng lợi nhuận, tăng cơ hội hợp tác.
Những tài liệu ISO 27001 hay dùng nhưng không bắt buộc
Bên cạnh những bộ tài liệu ISO 27001 bắt buộc phải có, doanh nghiệp cũng được khuyên là nên chuẩn bị những tài liệu sau để hệ thống quản lý an toàn thông tin được tối ưu hơn. Cụ thể:
1. Quy trình kiểm soát tài liệu
|
10. Thủ tục làm việc trong khu vực an toàn
|
2. Quy trình kiểm soát hồ sơ
|
11. Chính sách về bảo vệ máy tính và bàn làm việc
|
3. Quy trình đánh giá nội bộ
|
12. Thay đổi chính sách quản lý
|
4. Quy trình hành động khắc phục
|
13. Chính sạch dự phòng
|
5. Mang chính sách thiết bị của riêng bạn (BYOD)
|
14.Chính sách trao đổi thông tin
|
6. Thiết bị di động và chính sách làm việc từ xa
|
15. Phân tích tác động kinh doanh
|
7. Chính sách phân loại thông tin
|
16. Kế hoạch tập huấn và kiểm tra
|
8. Chính sách mật khẩu
|
17. Kế hoạch bảo trì và xem xét
|
9. Chính sách xử lý và tiêu hủy dữ liệu
|
18. Chiến lược đảm bảo kinh doanh liên tục
|
Nội dung cơ bản của tài liệu phổ biến trong ISO 27001
Để giúp doanh nghiệp hiểu rõ hơn về những hồ sơ và bộ tài liệu ISO 27001 được sử dụng trong ISMS, ISOCERT đã tổng hợp một số nội dung cơ bản, khái quát của chúng ngay dưới đây:
Phạm vi của ISMS
Phạm vi doanh nghiệp bắt đầu áp dụng ISO 27001
Chính sách và mục tiêu bảo mật thông tin
Mục tiêu chính và chính sách của hệ thống an ninh thông tin.
Đánh giá rủi ro và phương pháp xử lý rủi ro cùng báo cáo
Doanh nghiệp cần thực hiện đánh giá rủi ro và phương pháp xử lý rủi ro sau đó báo cáo đầy đủ và chi tiết về kết quả của việc đánh giá và xử lý rủi ro.
Tuyên bố về khả năng áp dụng
Tài liệu này thể hiện tình hình thực tế của đơn vị cũng như các biện pháp kiểm soát được áp dụng và cách mà doanh nghiệp thực hiện.
Kế hoạch xử lý rủi ro
Tài liệu này đưa ra các kế hoạch triển khai hoặc những biện pháp kiểm soát để xử lý các rủi ro có thể phát sinh trong quá trình vận hành hệ thống an ninh thông tin.
Vai trò và trách nhiệm bảo mật
Tài liệu về vai trò và trách nhiệm bảo mật cành được mô tả chi tiết, chính xác thì càng đạt hiệu quả cao.
Kiểm kê tài sản
Doanh nghiệp nên kiểm kê tài sản thành 1 bản danh sách giúp kiểm soát dễ dàng hơn.
Chính sách về việc cho phép sử dụng tài sản
Tài liệu chính sách về việc cho phép sử dụng tài sản thể hiện các nghĩa vụ, quy tắc cho việc thỏa thuận và thông qua hoạt động dùng tài sản.
Chính sách kiểm soát truy cập
Sau khi kết thúc quá trình đánh giá và xử lý rủi ro thì doanh nghiệp sẽ tiến hành xây dựng tài liệu chính sách kiểm soát truy cập.
Quy trình vận hành quản lý công nghệ thông tin
Đây là tài liệu miêu tả các thủ tục, quá trình về hoạt động vận hành quản lý an toàn thông tin.
Nguyên tắc kỹ thuật hệ thống an toàn
Tài liệu về nguyên tắc kỹ thuật hệ thống an toàn bao gồm các kỹ thuật về bảo mật như dữ liệu đầu vào, kỹ thuật xác thưc,...và sau đó được ghi chép lại dưới dạng thủ tục hoặc tiêu chuẩn.
Chính sách bảo mật nhà cung cấp
Tài liệu về chính sách bảo mật nhà cung cấp bao gồm các nội dung như cách đánh giá rủi ro, các cách sàng lọc và kiểm soát các nhà cung cấp tiềm năng...
Quy trình quản lý sự cố
Tài liệu về quy trình quản lý sự cố giúp tổ chức xác định được cách phòng ngừa, cách báo cáo và phân loại các điểm yếu cũng như các sự cố bảo mật trong hệ thống an ninh thông tin.
Kế hoạch đảm bảo sự liên tục hệ thống
Tài liệu về kế hoạch đảm bảo sự liên tục của hệ thống bao gồm các kế hoạch về việc ứng phó sự cố, việc đảm bảo kinh doanh liên tục, cách khắc phục sự cố cho khách hàng...
Yêu cầu pháp lý, quy định và hợp đồng
Tài liệu này liên quan đến những yêu cầu về pháp lý, hợp đồng, quy định giúp cho việc quản lý an toàn thông tin hiệu quả.
Hồ sơ đào tạo, kỹ năng, kinh nghiệm và trình độ nhân sự
Đây là tài liệu được lưu giữ và duy trì bởi bộ phận nhân sự bao gồm các hoạt động đào tạo, kinh nghiệm, kỹ năng của từng nhân sự trong nội bộ doanh nghiệp.
Kết quả giám sát và đo lường
Tài liệu về kết quả giám sát và đo lường thường được mô tả dưới dạng là các chỉ số hiệu suất chính (KPI) trong từng quy trình/ hoạt động của ISMS.
Chương trình – Kế hoạch đánh giá nội bộ
Tài liệu này miêu tả các chương trình, kế hoạch đánh giá nội bộ bao gồm các nội dung và mục đích liên quan.
Kết quả đánh giá nội bộ
Tài liệu về kết quả đánh giá nội bộ bao gồm các quan sát thực tế, các điểm không khắc phục và hành động khắc phục sự không phù hợp.
Kết quả của xem xét lãnh đạo
Tài liệu về kết quả của xem xét lãnh đạo thường được xây dựng bằng biên bản của cuộc họp.
Kết quả của hành động khắc phục
Tài liệu về kết quả của hành động khắc phục liên quan đến danh sách liệt kê các trách nhiệm, nhiệm vụ cùng thời hạn được quy định để xử lý vấn đề đang gặp phải.
Nhật ký hoạt động của người dùng và sự kiện bảo mật
Tài liệu về nhật ký hoạt động của người dùng và sự kiện bảo mật được lưu giữ bằng văn bản dạng giấy hoặc ở dạng kỹ thuật số.
Thủ tục kiểm soát tài liệu
Tài liệu về kiểm soát tài liệu thông thường được xây dựng đầu tiên trong ISMS giúp tổ chức thống nhất về các quy tắc xây dựng, ghi chép tài liệu hệ thống.
Quy trình quản lý hồ sơ
Tài liệu này bao gồm nơi lưu trữ hồ sơ, thời gian lưu trữ, cách bảo quản...
Quy trình đánh giá nội bộ
Tài liệu này mô tả quá trình đánh giá nội bộ trong doanh nghiệp một cách trình tự và hiệu quả hơn.
Quy trình hành động khắc phục
Tài liệu mô tả về quy trình khắc phục các điểm không phù hợp trong hệ thống an ninh thông tin.
Mọi thắc mắc của quý khách hàng về dịch vụ bộ tài liệu ISO 27001, xin vui lòng liên hệ tới hotline: 0976389199 (hoàn toàn miễn phí) để được các chuyên gia của ISOCERT tư vấn chi tiết trong thời gian sớm nhất.\
Tham khảo thêm các dịch vụ mà ISOCERT cung cấp:
Bình luận