0976.389.199
Hỏi - đáp: Những câu hỏi thường gặp về tiêu chuẩn ISO 27001:2013

Hỏi - đáp: Những câu hỏi thường gặp về tiêu chuẩn ISO 27001:2013

Ở phần này, những câu hỏi thường gặp về tiêu chuẩn ISO 27001:2013 sẽ giúp bạn bắt đầu triển khai ISO 27001:2013 của mình, bao gồm các khía cạnh quản trị như xác định phạm vi ISMS và lập kế hoạch dự án. Hãy tham khảo những câu trả lời của chúng tôi qua bài viết dưới đây.

Câu 1: Làm thế nào để thu hút sự quản lý của mình, thuyết phục họ rằng chương trình ISMS phải được thiết lập?

Giải đáp: Một nơi tốt để bắt đầu là làm việc để nâng cao nhận thức ở các cấp quản lý, càng cao càng tốt. Có một số cách để thực sự làm điều đó, chẳng hạn như:

  • Trực tiếp làm việc với các bên liên hệ / bạn bè bảo mật cấp cao của bạn, bao gồm các đồng nghiệp về rủi ro, tuân thủ, pháp lý, CNTT, cơ sở vật chất, Kiểm toán nội bộ, v.v. ; Các chức năng của S&M với thông tin thẻ tín dụng của khách hàng; HR với dữ liệu cá nhân về nhân sự … Đã có một số nhận thức về bảo mật thông tin nhưng có thể không quen với các khái niệm ISO 27001:2013, ISMS hay có thể có bảo mật CNTT khá hẹp;
  • Lập chiến lược và kế hoạch cho ISMS phải được liên kết rõ ràng nhất có thể với các chiến lược và kế hoạch của công ty. Các mối liên kết đó càng chặt chẽ và rõ ràng thì ban quản lý càng khó chống lại nhu cầu bảo mật hỗ trợ doanh nghiệp. Hãy làm việc chăm chỉ, cuối cùng nó sẽ thành công lớn - hãy tin tôi;
  • Làm việc với Bộ phận Tài chính về các kế hoạch kinh doanh, phân tích lợi ích - chi phí,  đề xuất ngân sách hoặc bất cứ điều gì cần thiết để có đủ nguồn lực cho ISM cả ở giai đoạn ban đầu thiết kế, phát triển đến triển khai và lâu dài cho các hoạt động bảo mật liên tục và duy trì ISMS. Nếu không có đủ nguồn lực, ISMS sẽ bị hủy diệt. Đây chủ yếu là vấn đề ưu tiên so với các hoạt động và sáng kiến ​​kinh doanh khác, vì vậy bạn sẽ phải thương lượng về thời gian và kinh phí trong bối cảnh kinh doanh - có nghĩa là bạn cần đánh giá cao những gì khác đang diễn ra;
  • Lập bản đồ các mối quan hệ giao tiếp và quyền hạn trong các cấp quản lý của bạn, tức là biểu đồ cấu trúc không chính thức dành cho quản lý “không chỉ là biểu đồ chính thức mà HR đưa ra, mà là biểu đồ cho thấy ai thực sự mặc quần tây, người mà họ tham khảo / dựa vào - thậm chí có thể là RAC; hay còn gọi là loại biểu đồ và đo lường tâm lý nếu bạn có kiến ​​thức, năng lượng và khả năng tiếp cận). Điều này có thể giúp bạn hiểu khách hàng của mình tốt hơn, giao tiếp hiệu quả hơn và phát triển theo hướng của bạn. Nó cũng có thể giúp bạn xác định và đối phó với bất kỳ chất chặn nào. Xác thực những phát hiện và giả định của bạn với một hoặc nhiều nhà quản lý thân thiện;
  • Làm việc với nhóm của bạn, tức là những người bảo mật thông tin, nhân viên hỗ trợ, kiến ​​trúc sư bảo mật và cả những người lập kế hoạch và phương pháp tiếp cận, đồng thời khai thác các mối liên hệ kinh doanh của họ nếu có thể. Việc triển khai ISMS chính thức là một hoạt động quản lý thay đổi cho cả nhóm - không phải là việc dành cho một người đơn độc!;
  • Đưa ra một số thước đo cấp chiến lược hoặc cấp quản lý cơ bản, chẳng hạn như điểm số trưởng thành so với các khuyến nghị trong ISO/IEC 27001 và ISO/IEC 27002, từng phần chi tiết đến mức bạn cần để làm cho các con số có ý nghĩa đối với cấp quản lý;
  • Tìm kiếm và khai thác các cơ hội để giải quyết các điểm chốt bảo mật, các vấn đề bảo mật lâu nay đã gây ra vấn đề cho doanh nghiệp. Nếu bạn có thể giải quyết một số vấn đề này có lợi cho doanh nghiệp;
  • Thiết lập các buổi họp giao ban thường xuyên với các nhà quản lý có liên quan, dẫn đầu và bổ sung bằng các cuộc họp giao ban và hội thảo về an ninh đột xuất cho các cuộc họp quản lý (bao gồm Đánh giá về quản lý ISMS được yêu cầu chính thức bởi ISO/IEC 27001, phần 9), các ủy ban, đội hoặc nhóm về bảo mật và các vấn đề liên quan đến rủi ro (ví dụ hội thảo về rủi ro và tính liên tục trong kinh doanh). Tương tác là mục đích cơ bản, có nghĩa là vừa thông báo cho họ vừa lôi kéo họ theo đuổi, thúc đẩy họ ủng hộ những nỗ lực của bạn và giúp họ bất cứ điều gì họ/doanh nghiệp cần từ bảo mật thông tin; 
  • Giải quyết mọi vấn đề kiểm toán còn tồn tại liên quan đến bảo mật thông tin và bắt đầu xây dựng 'kho' các giai thoại, sự cố, chính sách, thủ tục, cuộc họp giao ban, v.v ... của bạn, dẫn đến một chương trình nâng cao nhận thức về bảo mật toàn diện khi thời điểm chín muồi;
  • Làm việc với các nhà tư vấn hoặc liên hệ bảo mật độc lập, có thể bắt đầu bằng cách sử dụng các chuyên gia bên ngoài (và nội bộ?) Làm diễn giả được mời cho các sự kiện quản lý. Giúp họ tìm và nói về các chủ đề mà ban quản lý quan tâm hiện nay, đồng thời giúp các nhà quản lý suy nghĩ về các nội dung bảo mật. Nếu thích hợp, hãy bật loa trong vài giờ hoặc vài ngày để thực hiện một số công việc thực tế! Họ thường có thể giúp bạn tìm và khai thác các mối quan hệ tốt trong hệ thống phân cấp quản lý và thường có quyền truy cập vào các cấp cao hơn hoàn toàn không phải là các chuyên gia độc lập. Chỉ cần cẩn thận quản lý kỳ vọng của họ, tức là bạn có thể không muốn người quản lý sử dụng họ độc lập với các sáng kiến ​​của bạn.

Mẹo thực hiện: một chút tư duy sáng tạo hoặc tư duy sáng tạo nên được đưa ra một loạt ý tưởng của riêng bạn dọc theo những dòng này, từ đó chọn ra một vài ý tưởng mà bạn thực sự sẽ theo đuổi trong tháng này. Đừng cố gắng làm quá nhiều việc cùng một lúc nếu không sẽ không có gì thu hút được sự chú ý mà nó yêu cầu. Cần phải lập kế hoạch, chuẩn bị và sắp xếp thứ tự ưu tiên để khai thác các kỹ thuật hoạt động tốt nhất trong tổ chức của bạn, đồng thời phát hiện và ứng phó với các cơ hội sẽ nảy sinh đúng hạn khi ISMS của bạn được khởi chạy và dần dần hoàn thiện.

Câu 2: Chúng ta có nên hướng tới sự phù hợp, liên kết, tuân thủ hoặc chứng nhận ISO 27001:2013 không?

Giải đáp: Dưới đây là một số lời khuyên của chúng tôi: 

  • Sự tuân thủ (có nghĩa là mục đích chung để áp dụng các tiêu chuẩn ISO 27001:2013) là điểm khởi đầu cơ bản, có thể đạt được với chi phí thấp đối với bất kỳ tổ chức nào coi trọng vấn đề bảo mật thông tin. Tuy nhiên, mức độ tùy ý quản lý của bạn về những phần cụ thể của bộ ISO 27001:2013 sẽ được sử dụng và quan trọng hơn là chúng sẽ được áp dụng ở mức độ nào. Sự tuân thủ mang lại rất ít sự đảm bảo cho các bên thứ ba về trạng thái bảo mật thông tin của tổ chức. Thực tế là vô nghĩa nếu không có thêm thông tin (ví dụ: Tiêu chuẩn ISO 27001:2013 nào đã được thực hiện và ở mức độ nào? Tổ chức chỉ đơn thuần có kế hoạch áp dụng các tiêu chuẩn ISO 27001:2013 vào một thời điểm nào đó trong tương lai hay đã thực hiện rồi? Tổ chức có thực sự có hệ thống ISMS hoạt động không?...). Tuy nhiên, một số người nhầm lẫn giữa "sự tuân thủ" với "sự đảm bảo": chỉ cần nhớ rằng sự tuân thủ bắt đầu bằng một….
  • Sự phù hợp cũng vô giá trị như sự phù hợp. Nó có thể có ý nghĩa thực tế bất cứ điều gì. Xếp hàng loạt tiêu chuẩn ISO27k thành một hàng ngay ngắn trên giá sách là một trong những hình thức căn chỉnh ...
  • Tuân thủ (có nghĩa là việc áp dụng tiêu chuẩn ISO 27000 một cách nghiêm ngặt, toàn diện và có hệ thống hơn) là cấp độ tiếp theo thường liên quan đến việc tổ chức triển khai ISMS ở một số hình thức (lý tưởng là sử dụng ISO / IEC 27001) cùng với một bộ kiểm soát an toàn thông tin (lý tưởng là sử dụng ISO / IEC 27002). Tổ chức khẳng định rằng nó tuân thủ các tiêu chuẩn nhưng có thể có hoặc không thể cung cấp bất kỳ bằng chứng nào. Giá trị của sự tự khẳng định phụ thuộc phần lớn vào việc liệu tổ chức có đủ năng lực trong việc quản lý an toàn thông tin và đáng tin cậy hay không.
  • Chứng nhận thông thường có nghĩa là chứng nhận chính thức ISMS của tổ chức theo ISO/IEC 27001 bởi một tổ chức chứng nhận được công nhận. Điều này có nghĩa là ISMS của tổ chức đã được đánh giá độc lập bởi các chuyên gia đánh giá chứng nhận ISMS có thẩm quyền để xác nhận rằng hệ thống quản lý đáp ứng tất cả các yêu cầu bắt buộc của ISO/IEC 27001 về cấu trúc hay thiết kế của nó và có bằng chứng rằng hệ thống đang hoạt động đúng. Tuy nhiên, vấn đề chính là liệu điều này có nghĩa là tổ chức có thực sự an toàn theo nghĩa thực tế hay không vì đánh giá viên chứng nhận không nhất thiết phải thăm dò quá sâu về sự hiện diện, thiết kế và hoạt động của các biện pháp kiểm soát an toàn thông tin, mà mối quan tâm chính của họ là để xác nhận hệ thống quản lý chứ không phải bảo mật thông tin. Điều đó nói lên rằng, có một cơ hội chiến đấu là ISMS tuân thủ đầy đủ ISO/IEC 27001 trên thực tế được hỗ trợ bởi một bộ kiểm soát an toàn thông tin hiệu quả và toàn diện hợp lý và tổ chức đang chủ động quản lý và liên tục cải tiến các thỏa thuận bảo mật thông tin của mình.

Chứng nhận ISMS của bạn là một mục tiêu đáng khen ngợi nhưng ngay cả bản thân nó cũng không phải là một mục tiêu. Giá trị thực của ISMS nằm ở việc thực hiện các lợi ích kinh doanh, chủ yếu là giảm số lượng và mức độ nghiêm trọng của các sự cố an toàn thông tin, với điều kiện tiết kiệm chi phí lớn hơn chi phí của ISMS và các biện pháp kiểm soát. Các lợi ích kinh doanh bổ sung bắt nguồn từ việc giảm rủi ro thông tin và tăng cường kiểm soát của ban quản lý đối với chúng, dẫn đến sự tự tin cao hơn. Giá trị của việc đảm bảo với bên thứ ba về tình trạng bảo mật thông tin của tổ chức phụ thuộc vào tình hình thương mại cụ thể. Ngày càng có nhiều tổ chức buộc phải tuân thủ ISO 27001:2013 nếu không được chứng nhận bởi các đối tác kinh doanh, cơ quan quản lý hoặc nghĩa vụ pháp lý. Sau đó, điều này đặt ra câu hỏi về việc liệu ban quản lý có cảm thấy rằng tổ chức trở nên tuân thủ theo các điều khoản và thời gian của chính mình hay chịu áp lực từ bên thứ ba.

Mẹo thực hiện: nếu bạn đã thực sự tuân thủ, chi phí chứng nhận gia tăng tương đối thấp trong khi lợi ích của việc đảm bảo độc lập có thể rất đáng kể. Tại sao bạn không đăng ký chứng nhận? Nếu một bên thứ ba tuyên bố nhưng không thể chứng minh sự tuân thủ, thì điều đó đặt ra câu hỏi hiển nhiên: tại sao họ không có chứng chỉ để chứng minh điều đó?

Câu 3: Cần bao nhiêu thời gian và công sức để triển khai ISMS?

Giải đáp: Bạn có bao nhiêu cái? Đây chỉ là một số yếu tố liên quan:

  • Mức độ hỗ trợ quản lý cấp cao: Chắc chắn, yếu tố số 1 trong cuốn sách của tôi, như đã nói ở trên, nó sẽ làm ảnh hưởng đến hầu hết phần còn lại của danh sách này. Nó phụ thuộc vào sự hiểu biết của ban lãnh đạo về những gì sẽ hoặc có liên quan đến việc thực hiện và đâu là động lực kinh doanh và những kết quả tích cực được dự đoán cho tổ chức khi ISMS được áp dụng và được chứng nhận. Có thể được khắc phục ở một mức độ nào đó bằng các hoạt động nâng cao nhận thức về an toàn thông tin, các trường hợp kinh doanh và báo cáo chung, tập trung cụ thể vào các vấn đề này đối với Nhân viên thực thi và xử lý tích cực các mối quan tâm của họ. Gợi ý: sẽ trả tiền để làm việc trực tiếp với các quản lý cá nhân hơn là giải quyết “quản lý” vô diện.
  • Mức độ hiểu biết và hỗ trợ của quản lý cấp trung/cấp dưới, đặc biệt trong các lĩnh vực như CNTT, Nhân sự, Quản lý rủi ro và Pháp lý/Tuân thủ. Có xu hướng tuân theo số 1 nhưng không nhất thiết phải ở các tổ chức bị rối loạn chức năng. Cũng có thể được giảm thiểu thông qua nhận thức về bảo mật, schmoozing, v.v. Kết bạn và ảnh hưởng đến những người này bằng cách cho họ thấy ISMS sẽ làm cho công việc của họ dễ dàng và hiệu quả hơn như thế nào.
  • Kinh nghiệm, năng lực và sự siêng năng của nhóm triển khai ISMS bao gồm trưởng nhóm (có thể nhưng không nhất thiết là Người quản lý an ninh thông tin) cùng với các loại thành viên trong nhóm. Có thể được thúc đẩy bằng cách đọc và đào tạo, cùng với trang web này và Diễn đàn ISO 27001:2013. Cũng nên xem xét hỗ trợ tư vấn có mục tiêu để hưởng lợi từ kinh nghiệm của người khác. Bao gồm chuyên môn về quản lý dự án và sự thay đổi về chính trị, hãy nhớ điều này KHÔNG được lặp lại KHÔNG phải là một dự án kỹ thuật thuần túy trong CNTT!
  • Mức độ trưởng thành về an toàn thông tin của tổ chức khi bắt đầu dự án và mục tiêu mong muốn của họ khi giai đoạn thực hiện có thể được coi là “kết thúc”. Thường không bị lún và khó ghim. Tệ hơn thế, đó là một bữa tiệc linh động sẽ thay đổi khi dự án tiến hành, thường là do các quy trình đánh giá rủi ro thông tin được cải thiện xác định rủi ro và cơ hội nhưng  thậm chí không được đánh giá cao ngay từ đầu.
  • Mức độ rủi ro thông tin thực tế của tổ chức: Yếu tố này rõ ràng ảnh hưởng đến số lượng và chất lượng của các biện pháp kiểm soát an ninh cần thiế, đó là bản chất của ISMS được yêu cầu. Một tổ chức quân sự hoặc cấp cao trong một thị trường cạnh tranh gay gắt hoặc ngành công nghiệp được quản lý cao có thể sẽ có một hệ thống ISMS khá khác so với một cửa hàng xe đạp.
  • Tải trọng và kinh nghiệm tuân thủ hiện tại: Ví dụ như PCI DSS, quyền riêng tư, FISMA, và đặc biệt là ISO 9001 hoặc chuyên môn về hệ thống quản lý ISO tương tự trong tổ chức. Nhu cầu tuân thủ các luật, quy định, điều khoản hợp đồng, v.v. có liên quan đến an toàn thông tin do bên ngoài áp đặt có thể thúc đẩy dự án triển khai ISMS tiến lên, nhưng đều áp lực này có xu hướng làm chuyển hướng nhiều nguồn lực tự có khỏi các hoạt động triển khai ISMS của họ.
  • Mức độ hiểu biết và hỗ trợ dự án ISMS trong các chức năng đảm bảo liên quan như CNTT, quản lý rủi ro, tài chính, nhân sự, pháp lý / tuân thủ, bảo mật vật lý, kiểm toán, cộng với các chức năng kinh doanh chính. Đừng nhầm lẫn nếu ISMS của bạn không có  hoặc ít nhất là nếu dự án triển khai không thể tạo ra đủ hỗ trợ thực sự từ các chức năng này, thì bạn đã bị thất bại.
  • Sự phù hợp chiến lược giữa ISMS giả định đã tuyên bố, lợi ích thực tế và mục tiêu kinh doanh thực tế đã nêu của tổ chức. Tìm kiếm, tạo và đưa ra các điểm liên kết rõ ràng có thể là chìa khóa để vượt qua mọi va chạm tốc độ trên con đường dẫn đến ISMS và tạo ra các chỉ số thành công của ISMS mà ban quản lý không thể bỏ qua.
  • Số lượng và sức mạnh của những người chặn hoặc rào cản nói chung đều đề cập đến những người có quyền lực trong tổ chức. Nhưng đôi khi các rào cản kỹ thuật và hoặc thương mại có thể đe dọa làm trật bánh của một dự án.
  • Các cấp độ nguồn lực, cộng với cấp độ của các hoạt động và sáng kiến ​​cạnh tranh khác. Điều này bao gồm tiền bạc, những người có kỹ năng, chuyên gia tư vấn, v.v., và ý tôi là mức nỗ lực thực tế dành cho các hoạt động liên quan đến dự án, không chỉ mức ngân sách hoặc mức cam kết. Không có ích gì nếu bạn đang cố gắng dành thời gian cho việc này.
  • Phạm vi của ISMS, ví dụ: các đơn vị kinh doanh, quan hệ với nhà cung cấp được bao gồm hoặc loại trừ. Về mặt trực giác, có lẽ, phạm vi không phải là yếu tố chính vì mức độ nỗ lực cơ bản luôn được yêu cầu để thiết kế và triển khai hệ thống quản lý, bất kể nó được áp dụng rộng rãi như thế nào trong toàn tổ chức. Phạm vi ISMS quá hẹp có thể thực sự tạo ra nhiều công việc hơn cho nhóm thực hiện cũng như hạn chế quá mức giá trị kinh doanh của nó!

Mẹo triển khai: xem công cụ ước tính dự án triển khai là một công cụ bảng tính đơn giản được cung cấp trong Bộ công cụ ISO 27001:2013. Nếu nó thực sự không chính xác, chúng tôi rất hoan nghênh sự hỗ trợ của bạn để cải thiện nó cho những người dùng trong tương lai.

Câu 4: Có cần chỉ định một Giám đốc An ninh Thông tin để triển khai và chạy một ISMS không? Nếu vậy, người đó phải có bằng cấp gì? 

Giải đáp: Câu trả lời là “có”, trên thực tế, ISMS cần một Giám đốc An ninh Thông tin được chỉ định, Giám đốc An ninh Thông tin hoặc người lãnh đạo tương tự để lập kế hoạch, triển khai, chạy và duy trì nó, mặc dù các tiêu chuẩn ISO 27001:2013 không nói rõ điều đó một cách chính xác. Một nguyên tắc chung cho thấy rằng tối thiểu khoảng 1% tổng số nhân viên của một tổ chức nên làm việc thuần túy về bảo mật thông tin (một tỷ lệ lớn hơn trong bất kỳ tổ chức nào mà thông tin là tài sản quan trọng của công ty, do đó an ninh thông tin là một vấn đề kinh doanh quan trọng). Các tổ chức nhỏ có thể không có sự sang trọng của ISM /CISO toàn thời gian nhưng có thể giao các trách nhiệm tương ứng cho Giám đốc CNTT hoặc người khác làm nhiệm vụ bán thời gian. Các tổ chức thuộc mọi quy mô được khuyến khích sử dụng các chuyên gia độc lập (nhà tư vấn, nhà thầu, kiểm toán viên hoặc thậm chí là các nhà cung cấp dịch vụ được quản lý chuyên về tuân thủ, truyền thông, cộng tác và liên tục) khi cần thiết, cho cả đôi tay bổ sung và quan trọng hơn là khối óc, kiến ​​thức chuyên môn của họ , và kinh nghiệm.

Dưới đây là một số gợi ý chung về phẩm chất, trình độ và mức độ kinh nghiệm phù hợp cho ISM / CISO (dựa trên danh sách ban đầu được Wawet đệ trình lên Diễn đàn ISO 27001:2013):

Phải có:

  • Tính chính trực của cá nhân (yêu cầu số 1), tiêu chuẩn đạo đức cao, về cơ bản không thể chê trách và hoàn toàn đáng tin cậy
  • Đam mê bảo mật thông tin và quản lý rủi ro CNTT, với thành tích chuyên nghiệp trong lĩnh vực này thường được chứng minh bằng các chứng chỉ như CISSP hoặc CISM cộng với kinh nghiệm thực hành chạy ISMS ở một số hình thức (lý tưởng nhất là được chứng nhận tuân thủ ISO / IEC 27001)
  • Có thể giải thích một cách thành thạo và tự tin những gì CIA thực sự có ý nghĩa và tại sao điều này lại quan trọng đối với tổ chức

Rất khuyến khích:

  • CNTT chuyên nghiệp hoặc nền tảng kỹ thuật tương tự (ví dụ: cựu quản trị viên mạng / hệ thống CNTT, nhà phân tích, nhà phát triển, người quản lý dự án, hoạt động, người lập kế hoạch / quản lý dự phòng / khắc phục thảm họa CNTT)
  • Kinh nghiệm quản lý dự án và nhân sự, giỏi lập lịch và quản lý thời gian, con người, ngân sách, nhiệm vụ, v.v. và làm việc theo các ưu tiên động
  • Kỹ năng giao tiếp xuất sắc, cả viết và nói, thể hiện khả năng viết tốt và trình bày tự tin, truyền cảm (kiểm tra trong quá trình phỏng vấn)
  • Kinh nghiệm và chuyên môn quản lý kinh doanh, lý tưởng là tài liệu MBA, với kiến ​​thức về tình hình kinh doanh, chiến lược và mục tiêu của tổ chức
  • Kỹ năng kiểm toán CNTT (ví dụ: có thể đánh giá rủi ro, đặt câu hỏi phù hợp và đi sâu vào vấn đề, cộng với viết và trình bày các báo cáo quản lý chính thức), lý tưởng là đủ điều kiện để CISA hoặc tương đương
  • Kinh nghiệm thực tế về thiết kế và triển khai ISMS (ví dụ: thành viên đóng góp tích cực của Diễn đàn ISO 27001:2013)
  • Định hướng theo quy trình và chất lượng (đã thể hiện khả năng xác định và cung cấp các cải tiến quy trình liên tục, kiến ​​thức / kinh nghiệm về ISO 9000 và ITIL/ ISO 20000) cộng với các kỹ năng của con người (ví dụ: thường hòa nhập với tất cả các loại người nhưng đủ tự tin và quyết đoán để tuân thủ luật pháp khi được yêu cầu mà không quá khích)
  • Có tổ chức cao, có cấu trúc và tự động viên, thậm chí "được thúc đẩy"
  • Kỹ năng thương lượng
  • Thực dụng hơn là quan điểm học thuật, lý thuyết hoặc duy tâm công khai
  • Hoạt động tốt trong điều kiện căng thẳng do các ưu tiên xung đột gây ra, thường xuyên bị “gián đoạn”, nguồn lực hạn chế, kỳ vọng không hợp lý / không thực tế và thường là nhận thức tiêu cực về giá trị và vai trò của an toàn thông tin
  • Kiến thức tốt và kinh nghiệm triển khai lý tưởng với các tiêu chuẩn ISO27k
  • Có thể giải thích một cách thành thạo và tự tin sự khác biệt giữa các mối đe dọa, lỗ hổng và tác động, đưa ra các ví dụ có liên quan

Rất vui khi có:

  • Kiến thức về COBIT, FISMA, SOX, PCI-DSS và các bảo mật thông tin, quản trị, quản lý rủi ro hoặc tiêu chuẩn, phương pháp, luật, quy định liên quan, v.v.
  • Có thể hiểu và thảo luận về những ưu và nhược điểm của các phương pháp phân tích rủi ro định lượng và định tính được áp dụng cho bảo mật thông tin
  • Có kinh nghiệm trong việc thiết kế và cung cấp các hoạt động giáo dục, đào tạo và / hoặc nâng cao nhận thức thành công (ví dụ: giảng viên, giáo viên, nhân viên trợ giúp, v.v.)
  • Có kinh nghiệm về quản trị bảo mật, kiến ​​trúc bảo mật, bảo mật vật lý, quản lý rủi ro, tuân thủ, v.v.
  • Bảo mật thông tin hoặc kinh nghiệm tư vấn hoặc kiểm toán CNTT với nhiều tổ chức khác nhau và sự thông thái tích lũy thường đi kèm với bộ râu dài màu xám 

Mẹo triển khai: Rất khó tìm được các chuyên gia bảo mật thông tin giỏi, có năng lực, giàu kinh nghiệm. Nếu bạn có một ISM tiềm năng đã có trong biên chế nhưng anh ấy/cô ấy không đủ kinh nghiệm hoặc trình độ để thực hiện toàn bộ công việc ngay bây giờ, hãy cân nhắc thuê một chuyên gia tư vấn để hỗ trợ dự án triển khai ISMS nhưng cung cấp cho họ bản tóm tắt cụ thể để đào tạo chuyên gia -ISM và dần dần trao lại dây cương. Việc triển khai ISMS quan trọng là một cơ hội học tập và phát triển nghề nghiệp tuyệt vời theo đúng nghĩa của nó!

Câu 5: CISO của chúng tôi có nên báo cáo cho Chất lượng, là một phần của bộ phận Vận hành CNTT hay báo cáo trực tiếp cho Tổng Giám đốc của đơn vị kinh doanh?

Giải đáp: Nói chung, Giám đốc An ninh Thông tin, theo định nghĩa, là một phần của C-suite bao gồm tất cả các CxO - CEO, CIO, CTO, CFO, CRO, C3PO, v.v., nói cách khác, là cấp điều hành cao cấp nhất, các nhà quản lý trong tổ chức. Lý do là tổ chức nói chung phụ thuộc vào thông tin, do đó đòi hỏi phải bảo mật. Mục tiêu của CISO mở rộng trên toàn bộ tổ chức, trong khi các rủi ro liên quan đến thông tin như bảo mật thông tin là một vấn đề kinh doanh chiến lược, đòi hỏi sự tham gia của quản lý cấp cao.

“Chất lượng” theo nghĩa hiện đại của đảm bảo chất lượng cũng là một vấn đề ảnh hưởng đến toàn bộ tổ chức và có các khía cạnh chiến lược ... nhưng chất lượng và an toàn thông tin không được gắn kết chặt chẽ với nhau. Việc ép chúng vào cùng một chức năng cho thấy rằng cả hai đều không được coi trọng.

Hoạt động CNTT nói chung là một chức năng hoặc nhóm trong Bộ phận CNTT có vai trò quan trọng trong việc cung cấp các dịch vụ CNTT nội bộ, nhưng đó chỉ là một phần của bối cảnh rủi ro thông tin và bảo mật. Còn về quản lý tri thức, bảo vệ quyền sở hữu trí tuệ, bí mật thương mại, tuân thủ quyền riêng tư, tính liên tục trong kinh doanh, bảo mật vật lý đối với thông tin, dịch vụ đám mây thương mại và các mối quan tâm khác thì sao? Phần lớn của ngày nay tập trung vào “an ninh mạng”, nghĩa là bảo mật cho các hệ thống CNTT, mạng và dữ liệu máy tính, đó thực sự là một phần quan trọng của danh mục rủi ro và bảo mật, nhưng không phải là tất cả. 

Đơn vị kinh doanh GM có thể là giám đốc điều hành cấp cao nhất trong bộ phận đó của tổ chức, hoặc quản lý không chuyên, hoặc thậm chí là quản lý cấp trung bình thường tùy thuộc vào cách xác định vai trò. Việc người hỏi đề cập đến GM đơn vị kinh doanh ngụ ý rằng có thể có các GM khác trong các đơn vị kinh doanh khác (hoặc các bộ phận, địa điểm, v.v.), và có thể là một nhóm quản lý điều hành cấp cao cho toàn bộ tổ chức hoặc nhóm ... điều này sẽ là nơi lý tưởng cho quan điểm chiến lược của CISO trên toàn bộ khu vực.

 

Cơ cấu tổ chức và các dòng báo cáo, cộng với các mục tiêu cho tất cả các vị trí cấp cao, là một vấn đề đối với quản lý cấp cao, đặc biệt là trong một lĩnh vực quan trọng như rủi ro và bảo mật thông tin. Đây là một phần của quản trị công ty, là trách nhiệm chính và trên thực tế là trách nhiệm giải trình đối với quản lý cấp cao, nếu mọi thứ trở nên tồi tệ (ví dụ: một sự cố tuân thủ nghiêm trọng như vi phạm quyền riêng tư, hoặc một vụ hacker đe dọa doanh nghiệp, lây nhiễm ransomware, gian lận, hoặc bất cứ điều gì ), những câu hỏi khó sẽ được đặt ra cho quản lý cấp cao. Một câu trả lời có nội dung "Chúng tôi không biết: điều này đã được giao cho một số bộ phận tương đối nhỏ của tổ chức và chúng tôi không tự làm khó mình với những câu đố như vậy" rõ ràng là khập khiễng, thiếu thuyết phục và không chuyên nghiệp.

Mẹo triển khai: làm việc với mọi người trong C-suite (đặc biệt là những người trong các lĩnh vực như CNTT, rủi ro, bảo mật, tuân thủ và nhân sự) trước tiên để giúp họ hiểu các vấn đề, sau đó đi đến thống nhất về vai trò, mục tiêu, đường dây báo cáo, liên minh, v.v. nếu CISO là cách tiếp cận phù hợp cho tổ chức của bạn. Sẽ không có ý nghĩa gì nếu làm việc trên bất kỳ khía cạnh nào mà không xem xét các khía cạnh còn lại trong bối cảnh quản trị công ty.

Câu 6: Khi tạo ISMS, có nhất thiết phải bao gồm các thành viên từ các bộ phận không thuộc lĩnh vực CNTT của doanh nghiệp (chủ doanh nghiệp, tài chính, pháp lý, nhân sự, v.v.) không?

Giải đáp: Câu trả lời ngắn gọn là CÓ!

ISO 27001:2013 chắc chắn nhất là về hệ thống quản lý bảo mật thông tin. Tất nhiên, bảo mật CNTT ngày nay chiếm một phần lớn, do có quá nhiều thông tin được truyền đạt, lưu trữ và xử lý trên máy tính, nhưng các tài sản thông tin không được máy tính hóa (tệp, giấy tờ, bản in, kiến ​​thức) vẫn là tài sản có giá trị của công ty đáng được bảo vệ nhiều như dữ liệu máy tính, nếu không muốn nói là nhiều hơn trong trường hợp có nhiều dạng kiến ​​thức độc quyền. Hơn nữa, bộ phận CNTT trung bình không sở hữu và do đó thiếu quyền kiểm soát toàn bộ và toàn bộ dữ liệu máy tính, hệ thống và / hoặc mạng trong toàn bộ tổ chức, vì vậy giới hạn phạm vi của ISMS đối với CNTT sẽ không nhất thiết bảo vệ tất cả dữ liệu cùng một mức độ.

ISO / IEC 27001 là một tiêu chuẩn đơn giản và trang nhã. Việc thiết kế và triển khai một ISMS phù hợp và đáng giá không hề nhỏ vì một số lý do:

  • Bảo mật thông tin vốn đã phức tạp và khó làm tốt, trong khi bảo mật hoàn hảo trên thực tế là không thể đạt được. Trong khi tin tặc, kẻ gian lận và kẻ trộm thông tin chỉ cần tìm thấy một kẽ hở nhỏ trong hệ thống phòng thủ của chúng ta, chúng ta phải bảo vệ tất cả các điểm đồng thời, cả xung quanh và bên trong. Hầu hết các tổ chức có rất nhiều nền tảng kỹ thuật, ứng dụng và kết nối mạng, cộng với một lượng lớn các tài sản thông tin phi CNTT cần bảo vệ. Tất cả chúng ta đều phải đối mặt với một loạt các mối đe dọa từ bên trong và bên ngoài, bao gồm các lỗi thông thường nhưng phổ biến, tai nạn, hỏng hóc thiết bị, lỗi, v.v.
  • Nhu cầu bảo mật thông tin phản ánh việc sử dụng và phụ thuộc vào thông tin, do đó mở rộng ra toàn doanh nghiệp và hơn thế nữa. Không chỉ cần thiết phải có sự tham gia của đại diện của toàn bộ tổ chức mà còn cả các đối tác kinh doanh, đặc biệt khi tổ chức thuê ngoài các quy trình thông tin quan trọng hoặc dựa vào CNTT và dịch vụ từ các bên thứ ba và do đó có lợi ích trực tiếp đến các thỏa thuận bảo mật của họ. Khách hàng, chủ sở hữu, cơ quan quản lý và các bên liên quan khác chia sẻ mối quan tâm tương tự, dẫn đến các nghĩa vụ tuân thủ và quản trị đáng kể.
  • Các mối đe dọa và lỗ hổng bảo mật thông tin liên tục thay đổi. Cũng như đối với thị trường vốn, sự năng động này tạo ra cả rủi ro và cơ hội cho tổ chức, đặc biệt là trong các môi trường cạnh tranh (bao gồm cả an ninh quốc gia và các cơ quan chính phủ!). Các tổ chức nhanh nhẹn, có nhận thức về bảo mật đáp ứng cả hai điều này nhưng việc định vị bảo mật thông tin như một yếu tố thúc đẩy kinh doanh là điều khó bán đối với các nhà quản lý lỗi thời với quan điểm lỗi thời.

Có thể giới hạn phạm vi và áp dụng ISMS trong phạm vi hẹp, có thể chỉ cho bộ phận CNTT hoặc trung tâm dữ liệu. Mặc dù điều này có thể làm mất một phần đáng kể lợi ích của ISMS toàn doanh nghiệp, nhưng nó cũng làm giảm chi phí và thường tăng tốc độ triển khai. Chỉ cần cẩn thận rằng bạn sẽ cần làm rõ các vấn đề bảo mật và có thể áp dụng các biện pháp kiểm soát bổ sung ở ranh giới phạm vi, nghĩa là chi phí ẩn bổ sung. Nhìn chung, nó chưa tối ưu nhưng có thể là một chiến thuật hữu ích để bắt đầu ISMS của bạn và xây dựng một số kinh nghiệm.

Mẹo thực hiện: quản lý cấp cao nên tập trung vào việc xác định các chủ sở hữu tài sản thông tin phù hợp, thường là các nhà quản lý khá cao cấp trong toàn doanh nghiệp, là những người mà họ sẽ chịu trách nhiệm cá nhân về việc bảo vệ đầy đủ tài sản 'của họ' thay mặt cho tổ chức và các bên liên quan. Đến lượt nó, chủ sở hữu tài sản sẽ yêu cầu CNTT, bảo mật thông tin, nhân sự, rủi ro, tuân thủ, pháp lý hoặc bên thứ ba cung cấp sự bảo vệ mà họ yêu cầu, đồng thời giúp họ làm rõ và chỉ rõ các yêu cầu bảo mật của họ ngay từ đầu thông qua một số quy trình đánh giá rủi ro thông tin. Trách nhiệm về an ninh được phân chia một cách tự nhiên thông qua tổ chức nhưng trách nhiệm giải trình được đặt lên hàng đầu. Đây là một khái niệm hữu ích vì những người đứng đầu thường có ngân sách và ảnh hưởng để đảm bảo an ninh xảy ra, hoặc không. Họ cũng có tầm nhìn chiến lược và kiến ​​thức thị trường rộng để xác định giá trị và do đó mức độ bảo vệ cần thiết cho thông tin doanh nghiệp.

Câu 7: Làm cách nào để chúng tôi xác định phạm vi ISMS của mình?

Giải đáp: Trước tiên hãy quyết định ranh giới (tức là những bộ phận nào trong tổ chức của bạn sẽ phải tuân theo ISMS và những bộ phận nào thì không) và khả năng áp dụng của ISMS (nghĩa là ISMS áp dụng và bảo vệ những gì - thường là 'thông tin' hoặc 'tài sản thông tin'), sau đó viết nó ra QED.

 

Xác định phạm vi ISMS là một quyết định kinh doanh quan trọng, được đưa ra tốt nhất bởi các nhà quản lý cấp cao, những người đánh giá cao chức năng của ISMS và hiểu những gì nó mang lại cho doanh nghiệp. Tuy nhiên, thật không may, có một tình huống như gà và trứng ở đây: trước khi ISMS được phê duyệt, thiết kế và triển khai, một số nhà quản lý cấp cao có khả năng nắm được nhiều manh mối về ISMS là gì, chưa nói đến giá trị của nó. .. vì vậy, bạn nên dành chút thời gian và nỗ lực để giải thích mọi thứ theo cách có ý nghĩa kinh doanh. Ví dụ, một trường hợp kinh doanh tốt cho ISMS sẽ mô tả cách tiếp cận theo các thuật ngữ chung, đưa ra các lợi ích kinh doanh dự kiến ​​và chi phí, đồng thời cung cấp cho ban quản lý các lựa chọn khác nhau.

Dưới đây là một loạt các câu hỏi mà ban quản lý thường quan tâm mà bạn có thể muốn xem xét nếu không được giải quyết rõ ràng trong trường hợp kinh doanh và các cuộc trò chuyện, thảo luận, thuyết trình, kế hoạch dự án, v.v. có liên quan:

  • Tại sao chúng ta cần ISMS? Nó sẽ làm gì cho chúng ta? Nó có giá bao nhiêu? Nó sẽ mất bao lâu để bắt đầu? Nó sẽ tiêu tốn tất cả các tài nguyên bảo mật thông tin của chúng tôi?
  • Chúng tôi đã quản lý mà không có ISMS cho đến bây giờ. Vậy tại sao lại thay đổi? Điều gì đã thúc đẩy đề xuất này?
  • Đây không phải là điều mà CNTT nên làm sao? Mức độ phù hợp với phần còn lại của tổ chức là gì? Tại sao bạn thậm chí còn yêu cầu tôi tham gia?
  • Chúng tôi chưa có cái này sao?
  • Lựa chọn của chúng tôi là gì? Vì lý do nào đó, chúng ta PHẢI có ISMS hay đây là một vấn đề chiến lược? Chúng ta có thể thực hiện những cách tiếp cận nào? Tại sao lại đi xuống theo lộ trình ISO 27001:2013 thay vì NIST SP800-53 hoặc PCI DSS hoặc COBIT ... hoặc chỉ tiếp tục như chúng ta đang làm bây giờ?
  • Chúng ta nên đi sâu vào vấn đề này như thế nào? Liệu chúng ta có thể kiếm được ít tiền nhất mà vẫn gặt hái được hầu hết các lợi ích, hay chúng ta cần phải đầu tư nghiêm túc và phá sản? Chúng ta có thể vắt kiệt cơ hội nào khác ngoài cơ hội này?
  • Các bộ phận, chuyên gia, cố vấn và những người có ảnh hưởng khác nghĩ gì về điều này? Ai khác nên tham gia? Tất cả họ có hoàn toàn tham gia và ủng hộ đề xuất này không, hay họ có thể thấy khó chịu nếu điều này tiếp diễn? Liệu chúng ta có thể đương đầu với những thay đổi của quyền lực và các mối quan hệ có khả năng xảy ra không? Những thay đổi có hứa hẹn mang lại lợi ích tổng thể không?
  • Đây có phải là điều mà các đối thủ cạnh tranh của chúng tôi đang làm? Có lợi thế cạnh tranh nào khi làm việc này không? Nó có lợi hơn tất cả những thứ khác mà chúng ta có thể làm không?
  • Những rào cản nào đang có hoặc có thể có, và chúng ta nên làm gì với chúng?
  • Nếu chúng ta quyết định tiếp tục, thì thời điểm tốt nhất để làm điều đó là khi nào? Những gì khác sẽ bị ảnh hưởng? Những rủi ro liên quan đến dự án thực hiện là gì?
  • Ai nên điều hành nó? Họ cần những loại kỹ năng và năng lực nào? Chúng ta có đủ khả năng để chuyển hướng họ từ các nhiệm vụ khác sang việc này không? Còn những người còn lại trong đội thì sao?
  • Chúng ta nên đi như thế nào? Chúng ta có nên giới hạn ISMS ở một số bộ phận nhất định của tổ chức, dù chỉ là hiện tại hay lâu dài? Họ có phải là các bộ phận của tổ chức không nên được đưa vào ISMS vì nhiều lý do khác nhau (ví dụ: vì họ quá bận rộn với các sáng kiến ​​khác, vật lộn với những thách thức khác, sắp được thuê ngoài ...)? 

Vì vậy, bạn thấy rằng phạm vi chỉ là một trong nhiều vấn đề trên bàn.’

Mẹo triển khai: có rất nhiều điều phải nói để làm cho tuyên bố phạm vi chính thức thực tế rất đơn giản, ví dụ là một trong các trường hợp sau:

- “Hệ thống Quản lý An ninh Thông tin (ISMS) bảo vệ thông tin thuộc về hoặc dưới sự quản lý của ACME Inc. của Texas, Hoa Kỳ.”

- “Hệ thống quản lý bảo mật thông tin (ISMS) của ACME bảo vệ các tài sản thông tin nằm trong hoặc liên kết với các văn phòng của ACME ở Roadrunner Gulch, TX và Coyote Valley, NM.”

- “Phạm vi của Hệ thống quản lý bảo mật thông tin (ISMS) của ACME bao gồm Trụ sở chính ở Roadrunner Gulch, TX, Phòng mua sắm ở Coyote Valley, NM và chức năng CNTT ở Mumbai.”

- “Hệ thống Quản lý An ninh Thông tin (ISMS) bảo vệ thông tin thuộc về hoặc dưới sự quản lý của ACME Inc. của Texas, Hoa Kỳ, ngoại trừ các địa điểm của công ty ở nước ngoài.”...........

Câu 8: Có thể giới hạn phạm vi của ISMS chỉ với một bộ phận hoặc đơn vị kinh doanh, ít nhất là ban đầu? Nếu vậy, chúng tôi xử lý các rủi ro thông tin vượt ra ngoài phạm vi ISMS của chúng tôi như thế nào? 

Giải đáp: Việc hạn chế phạm vi của ISMS có thể làm giảm một số nỗ lực và chi phí liên quan đến việc triển khai nhưng cũng làm giảm các lợi ích có thể thực hiện được, do đó giá trị kinh doanh ròng của ISMS cũng có thể thấp hơn. Nó không nhất thiết phải là một lựa chọn dễ dàng như nó có thể xuất hiện lúc đầu, như câu hỏi bổ sung ngụ ý.

Có một số nhược điểm nghiêm trọng đối với ISMS phạm vi hạn chế:

  • Không đạt được lợi ích kinh doanh quý giá của bảo mật thông tin tiêu chuẩn thế giới trong phần còn lại của tổ chức.
  • Sự bất cập trong cách quản lý rủi ro thông tin (phân tích, xử lý, thảo luận…) trong toàn tổ chức.
  • Không phù hợp với các chiến lược kinh doanh và an toàn thông tin, bỏ lỡ chiến lược rộng hơn, thương mại, quản lý rủi ro, giảm tổn thất, tuân thủ, quản trị, cải tiến liên tục và các lợi thế khác tạo nên một tổ chức có an ninh thông tin vững chắc dưới sự kiểm soát của ban quản lý.
  • Các rủi ro thông tin không được quản lý có thể xảy ra trong phần còn lại của tổ chức và có thể là sự thiếu hiểu biết hay đánh giá cao về nhiều rủi ro đó nếu các quy trình phân tích rủi ro an toàn thông tin, không chỉ ISMS, bị giới hạn ở các bộ phận trong phạm vi.
  • Thể hiện sự thiếu cam kết đầy đủ về bảo mật thông tin của ban lãnh đạo cấp cao, rõ ràng đối với bất kỳ ai thực sự bận tâm khi xem xét phạm vi chính thức và SoA.
  • Cần áp dụng các biện pháp kiểm soát an ninh ở ngoại vi của ISMS, bao gồm một số bên trong tổ chức, vì phần còn lại của thế giới là “bên ngoài” ISMS và do đó ở một mức độ nào đó không đáng tin cậy.

Ranh giới phạm vi có thể là một vấn đề, vì theo định nghĩa từ quan điểm ISMS: Mọi thứ bên ngoài phạm vi vốn dĩ ít đáng tin hơn so với bên trong. Các rủi ro thông tin trong phạm vi của ISMS sẽ cần được đánh giá và xử lý, bao gồm các rủi ro ảnh hưởng đến thông tin đi vào hoặc ra khỏi khu vực được xác định và rủi ro thông tin hoàn toàn nằm ngoài phạm vi đó. Các phương pháp điều trị mà bạn chọn để đối phó với những rủi ro ranh giới và thông tin bên ngoài này có thể bao gồm:

  • Kiểm soát rủi ro thông qua Thỏa thuận mức dịch vụ hoặc hợp đồng (với bên thứ ba) quy định các yêu cầu bảo mật nhất định và có thể là các biện pháp kiểm soát kỹ thuật và thủ tục. Ví dụ như một quy trình để xác định và xử lý với sự cố an toàn thông tin ảnh hưởng đến luồng thông tin xuyên biên giới;
  • Cố ý chấp nhận các rủi ro, mặc dù tốt hơn các thỏa thuận dự phòng thích hợp trong trường hợp chúng thành hiện thực;
  • Chia sẻ rủi ro thông qua một số hình thức bảo hiểm hoặc trách nhiệm pháp lý trong hợp đồng, SLA, NDA, v.v.;
  • Tránh rủi ro 

Hơn nữa, mặc dù chi phí gia tăng để mở rộng phạm vi của một ISMS đang hoạt động thường sẽ thấp hơn, nhưng chắc chắn sẽ có chi phí ban đầu để lập kế hoạch và thiết lập ISMS ở bất kỳ quy mô nào, tất cả đều phải được cung cấp trước bởi khu vực trong phạm vi ban đầu và có thể không thể khôi phục lại từ các bộ phận kinh doanh khác sau này.

Nói cách khác, đây là một quyết định đầu tư chiến lược của ban lãnh đạo.

Điều đó nói rằng, có một số lợi thế khi bắt đầu từ quy mô nhỏ: nó tập trung vào dự án và làm cho việc lập kế hoạch trở nên đơn giản hơn. Người quản lý dự án nên có thời gian dễ dàng hơn khi điều hành dự án với một nhóm nhỏ hơn và ít bên liên quan hơn để thỏa mãn. Đó có thể là một cơ hội học hỏi đáng giá, một cơ hội để xây dựng các kỹ năng và tích lũy kinh nghiệm trước khi tiếp tục với phần còn lại của tổ chức. Nó không phải là tất cả xấu.

 

Mẹo triển khai: thay vì giới hạn phạm vi ISMS một cách có chủ ý và có ý thức như bạn đề xuất, thay vào đó, nó có thể đáng nói về mặt “triển khai thí điểm” ở bất kỳ khu vực nào bạn chọn. Thay đổi nhỏ về từ ngữ này ngụ ý rằng, miễn là nó thành công, thí điểm sẽ được mở rộng để trở thành một triển khai toàn diện ...

Câu 9: Tại sao một số tổ chức hạn chế phạm vi ISMS của họ?

Giải đáp: Có ít nhất 23 lý do để loại bỏ phạm vi hoặc hạn chế ISMS đối với các đơn vị kinh doanh, phòng ban, địa điểm cụ thể hoặc bất cứ điều gì:

  • Đó là một thử nghiệm hoặc một điểm khởi đầu, một cách để tích lũy kinh nghiệm, xem cách hoạt động và thiết lập mọi thứ để chuẩn bị cho việc triển khai lớn hơn “vào một thời điểm nào đó trong tương lai”.
  • Đó là một thử nghiệm hoặc một điểm khởi đầu, một cách để tích lũy kinh nghiệm, xem cách hoạt động và thiết lập mọi thứ để chuẩn bị cho một triển khai lớn hơn thực sự được lên kế hoạch như một phần của chiến lược kinh doanh đã được lập thành văn bản và đã được phê duyệt. 
  • Các rủi ro thông tin khác nhau rõ rệt, do đó các yêu cầu về bảo mật thông tin trong các bộ phận khác nhau của tổ chức. Ví dụ: các doanh nghiệp quốc tế có các nghĩa vụ tuân thủ pháp luật và quy định xung đột, hoặc các tổ chức lớn bao gồm nhiều công ty, đơn vị hoạt động.
  • Thiếu thời gian, nhu cầu cấp bách là "được chứng nhận" và chứng chỉ là tất cả những gì quan trọng ngay bây giờ.
  • Quá rủi ro để thực hiện toàn bộ phạm vi,  “chúng tôi có thể không vượt qua được cuộc đánh giá chứng nhận 
  • Các ràng buộc chính trị. Víí dụ: nếu bảo mật thông tin được ban quản lý coi là một vấn đề CNTT, thì đó là vấn đề và CNTT có thể làm những gì mình thích miễn là không ai khác bị ảnh hưởng.
  • Skunk hoạt động, tức là khu vực trong phạm vi đang triển khai ISMS một cách bí mật, dưới sự quan tâm của quản lý cấp cao nói chung, vì nhiều lý do khó hiểu.
  • Yêu cầu của các bên liên quan. Ví dụ: nếu Bộ trưởng hoặc Một khách hàng lớn nhất quyết tuân thủ ISO 27001:2013 được chứng nhận, vì vậy "tất cả những gì được yêu cầu" là giấy da.
  • Yêu cầu của các bên liên quan. Ví dụ: nếu Bộ trưởng hoặc Chủ đầu tư khăng khăng, vì một số lý do bên ngoài rằng phạm vi sẽ bị giới hạn.
  • Ràng buộc về ngân sách hoặc nguồn lực thực sự [vì những lý do chính đáng, không chỉ vì những quyết định tùy tiện của ban quản lý] có nghĩa là dù sao thì ISMS phạm vi hẹp là tất cả những gì có thể đạt được vào lúc này.
  • ISMS là cần thiết để giải quyết một nghĩa vụ tuân thủ cụ thể, hẹp như PCI-DSS hoặc quyền riêng tư.
  • Sự thiếu hiểu biết và hỗ trợ cơ bản từ cấp quản lý (đặc biệt là những người cấp cao / quyền lực) liên quan đến bản chất toàn diện và giá trị của bảo mật thông tin, có thể phản ánh nhận thức bảo mật hạn chế hoặc có thể là những trải nghiệm tồi tệ trong quá khứ.
  • Cận thị, viễn cảnh hạn hẹp, thiếu tham vọng, thiếu kinh nghiệm, thiếu hiểu biết và của các chuyên gia bảo mật thông tin có liên quan.
  • Đơn vị kinh doanh trong phạm vi là một thể thống nhất hoạt động hoàn toàn độc lập, giống như một công ty riêng biệt.
  • Để cắt giảm các góc và thể hiện sự quan tâm đến bảo mật thông tin trong khi chi ít nhất có thể để làm điều đó.
  • “Bởi vì mọi người khác đều làm theo cách đó” được gọi là tâm lý bầy đàn. 
  • Brains-in-neutral - thậm chí chưa bao giờ xảy ra với bất kỳ ai rằng ISMS có thể áp dụng và mang lại lợi ích cho toàn bộ tổ chức.
  • Bởi vì họ sai? Khuyên làm như vậy bởi một số chuyên gia tự xưng, hoặc có thể bởi một nhà tư vấn, cố vấn chuyên môn hoặc đánh giá viên có kinh nghiệm, những người nghi ngờ nghiêm túc về nhu cầu của tổ chức hoặc có khả năng thực hiện một ISMS với phạm vi đầy đủ.
  • Thiếu cam kết thực sự về bảo mật thông tin: ISMS chỉ là một thứ nhất thời, một dòng đẹp mắt trên CV của ai đó hoặc tài liệu quảng cáo tiếp thị.
  • Thiếu tầm nhìn xa và tham vọng, thiếu tự tin. 
  • Ban quản lý thực sự nghi ngờ về giá trị của ISMS, phản ánh sự hiểu lầm và không tin tưởng vào động cơ của những người quảng bá ISMS.
  • Quá nhiều cam kết và sáng kiến ​​khác (bao gồm cả các hệ thống quản lý khác?) Quá tải về quản lý thay đổi và khủng hoảng nguồn cung ứng.
  • Phần còn lại của tổ chức đã có một cái gì đó tốt hơn, hoặc ít nhất là một cách khác để quản lý bảo mật thông tin, được coi là không tương thích với ISO 27001:2013. 
  • Mọi người có thể sáng tạo trong việc nghĩ ra các lý do không nên triển khai ISMS trên toàn bộ tổ chức.

Một số trong số này là những lý do chính đáng và có giá trị trong một số trường hợp hạn chế nhất định, nhưng vẫn có nhiều lý do là giả mạo.

Mẹo thực hiện: xác định phạm vi ISMS một cách thích hợp là một quyết định chiến lược quan trọng cần được đưa ra bởi các nhà quản lý cấp cao, chẳng hạn như thảo luận, so sánh và lựa chọn giữa một tập hợp các tùy chọn phạm vi. Lý tưởng nhất, các lựa chọn nên đưa ra chi phí và lợi ích trong toàn bộ vòng đời của ISMS, ít nhất là vài năm, để cho phép đánh giá ưu và nhược điểm của chúng. 


 

Câu 10: Chúng tôi cần kiểm kê tài sản thông tin của mình. Làm sao chúng ta làm việc đó bây giờ?

Giải đáp: Bạn có chắc không? Hay điều gì khiến bạn lại nói thế?

ISO/IEC 27001 không chính thức yêu cầu bạn phải có danh sách tài sản thông tin, hàng tồn kho, sổ đăng ký hoặc bất cứ thứ gì: đó là một trong những biện pháp kiểm soát được đề xuất trong Phụ lục A. Về mặt kỹ thuật, nó không phải là bắt buộc nghiêm ngặt để chứng nhận mà là được quy định trong chính tiêu chuẩn ISO 27001, bạn có thể quyết định phá vỡ quy ước và không bận tâm đến việc kiểm kê tài sản thông tin nhưng tốt hơn hết, bạn nên sẵn sàng giải thích và biện minh cho quyết định đó với các đánh giá viên chứng nhận! Nó đặt ra những câu hỏi như "Nếu bạn thậm chí không biết mình sở hữu hoặc chịu trách nhiệm về những tài sản thông tin nào, làm thế nào bạn có thể chắc chắn rằng bạn đã đối phó với những rủi ro liên quan? Về lý thuyết, có những cách tiếp cận và tình huống không nhất thiết liên quan đến hàng tồn kho, nhưng trong thực tế, tôi không thể hình dung được bất kỳ tình huống nào mà cách tiếp cận như vậy sẽ hợp lý.

“ISO 27001 Phụ lục A liên kết với ISO / IEC 27002. ISO 27002 đề cập đến ISO / IEC 27005 cho biết:

“Việc xác định tài sản cần được thực hiện ở mức độ chi tiết để cung cấp đầy đủ thông tin cho việc đánh giá rủi ro. Mức độ chi tiết được sử dụng trong việc xác định tài sản sẽ ảnh hưởng đến tổng lượng thông tin thu thập được trong quá trình đánh giá rủi ro. Mức độ có thể được tinh chỉnh trong các lần lặp lại tiếp theo của đánh giá rủi ro. "

Bằng cách đề cập đến các lần lặp lại, có lẽ gợi ý về ý tưởng thực hiện đánh giá cấp cao, trước tiên sẽ đánh giá các danh mục hoặc nhóm tài sản thông tin rộng, sau đó trong các chu kỳ liên tiếp sẽ đi vào chi tiết hơn nếu thích hợp. Ví dụ, bạn có thể:

  • Tiến hành đánh giá rủi ro mức độ cao trên tất cả các tài sản thông tin đã biết của bạn, được gộp lại với nhau một cách thô sơ trong lần chạy đầu tiên;
  • Sắp xếp các nhóm tài sản thông tin theo thứ tự mức độ rủi ro đã được đánh giá;
  • Phân tích tài sản thông tin có rủi ro cao nhất một cách chi tiết hơn, có thể chia nhỏ các danh mục, nhóm để cụ thể hơn;
  • Làm việc có hệ thống theo cách của bạn đối với các hạng mục có rủi ro thấp hơn cho đến khi bắt đầu lại chu kỳ (ví dụ: cập nhật rủi ro thông tin hàng năm).

Ngoài ra, bạn có thể:

  • Tiến hành đánh giá rủi ro cấp cao trên tất cả các tài sản thông tin đã biết của bạn, được phân loại hoặc nhóm một cách thô sơ cho lần chạy đầu tiên;
  • Khắc phục nội dung thông tin thành bốn nhóm: quan trọng, cao, trung bình hoặc thấp;
  • Lập lịch trình các hoạt động phân tích và xử lý rủi ro nhằm giải quyết và xem xét các hạng mục rủi ro trọng yếu hàng quý, mức cao nhất mỗi ba năm một lần, mức trung bình hai lần một năm và mức thấp nhất mỗi năm một lần;
  • Chia nhỏ các nhóm tài sản thông tin thành các phần nhỏ hơn nếu thích hợp;
  • Xem xét và cập nhật phân loại rủi ro có liên quan trong suốt cả năm trong quá trình làm việc và có thể xem lại toàn bộ mỗi năm một lần để lập kế hoạch cho công việc của năm tiếp theo.

Ngoài ra:

  • Bắt đầu bằng cách chỉ định các mức rủi ro, ví dụ: cao, trung bình và thấp, với các tiêu chí xác định;
  • Tìm kiếm các tài sản thông tin của bạn, đánh giá ngắn gọn và gán chúng vào mức độ rủi ro tương ứng; 
  • Hãy xem xét kỹ hơn những người ở mức trung bình, mức cao và để lại mức thấp để tự chống đỡ; 
  • Mỗi năm một lần xem xét lại tiêu chí mức độ rủi ro, xem xét các mục đã phân loại xem có bất thường nào không và quyết định phương pháp tiếp cận, nguồn lực, v.v. cho năm sau; 

Nếu không thì:

- Áp dụng hoặc điều chỉnh cơ bản cách tiếp cận hiện đang được sử dụng ở những nơi khác trong tổ chức để xác định, đánh giá, phân tích và xử lý các loại rủi ro khác (ví dụ: tài chính, chiến lược, thị trường, tuân thủ hoặc rủi ro về sức khỏe và an toàn), với các điều chỉnh phù hợp với nhu cầu cụ thể và bối cảnh rủi ro thông tin.

- Đây không phải là một danh sách xác định toàn diện về các tùy chọn. Bạn có thể thích các biến thể trên hoặc kết hợp của những điều trên, hoặc tùy chọn một cái gì đó hoàn toàn khác. 

- Hãy nhớ rằng, theo ISO 27001:2013, bạn có rất nhiều vĩ độ để áp dụng cách tiếp cận phù hợp với tổ chức cụ thể của mình. Bạn có thể thiết kế và đưa nó vào hiệu lực, đồng thời tạo ra các hồ sơ, tài liệu, bằng chứng hay tài sản thế chấp để đánh giá viên chứng nhận có thể xác nhận rằng bạn có:

  • Xác định một cách tiếp cận hợp lý phù hợp với tình huống của bạn;
  • Thực hiện theo cách tiếp cận như dự định và bạn đã hoàn thành những gì bạn đã đặt ra; 
  • Được điều hành và quản lý toàn bộ quy trình một cách hợp lý, có hệ thống thực hiện các điều chỉnh tốt hoặc các thay đổi quan trọng hơn nếu thích hợp để cải thiện quy trình theo kinh nghiệm (ví dụ: rủi ro trở nên nghiêm trọng hơn hoặc thường xuyên hơn dự kiến, cộng với các sự cố 'xảy ra không hiểu sao 'ngụ ý những thất bại hoặc điểm yếu trong các hoạt động quản lý rủi ro thông tin của bạn) và có lẽ những thay đổi khác đang diễn ra song song (ví dụ: chiến lược công ty trở nên táo bạo hơn và đẩy mạnh hơn khi điều kiện kinh tế có vẻ hứa hẹn, rút ​​lui và cẩn thận hơn khi mọi thứ có vẻ ảm đạm; hoặc áp lực từ các cơ quan chức năng hoặc các bên liên quan phải cẩn thận hơn đối với một số loại rủi ro thông tin, tài sản, sự cố hoặc kiểm soát).

Mẹo thực hiện: về cách thực hiện, điều quan trọng là phân loại hoặc nhóm các tài sản thông tin tương tự lại với nhau. Bởi có thể thực sự đang gặp rủi ro thông tin liên quan đến tài sản thông tin, tức là các mối đe dọa, lỗ hổng bảo mật và tác động kinh doanh, hơn là các tiêu chí được sử dụng để nhóm chúng trong các bối cảnh khác (ví dụ: theo nền tảng / nhà cung cấp, loại, giá trị, độ tuổi , vị trí, mã tài sản hoặc bất cứ thứ gì).

Để bắt đầu, bạn có thể thấy rằng CNTT, Tài chính, Mua sắm, Nhân sự hoặc các chức năng khác đã duy trì danh sách, cơ sở dữ liệu hoặc kiểm kê các tài sản thông tin khác nhau cho các mục đích riêng của chúng, chẳng hạn như:

  • Quản lý và duy trì các phiên bản phần mềm, bản cập nhật, bản vá và có lẽ là giấy phép;
  • Cung cấp phần mềm, phần cứng hoặc hỗ trợ người dùng;
  • Thực hiện sao lưu;
  • Quản lý cấu hình;
  • Quản lý địa chỉ mạng;
  • Quản lý sở hữu trí tuệ (ví dụ: bằng sáng chế, bản quyền, giấy phép);
  • Kế toán và kiểm toán;
  • Quản lý mối quan hệ hoặc nhà cung cấp;
  • Đào tạo; 
  • Vì mục đích bảo hiểm.

Tuy nhiên, hãy hết sức cẩn thận, nếu không bạn có thể dễ dàng nhận thấy mình đang gánh một gánh nặng lớn trong việc hợp nhất, hợp lý hóa, xác minh, cập nhật, duy trì và quản lý các kho thông tin khác nhau cho toàn bộ doanh nghiệp! Cuối cùng, có thể là cách tiếp cận chiến lược hợp lý nhất nhưng đừng để mất mục tiêu chiến thuật, ngắn hạn của bạn để thiết lập và vận hành hệ thống ISMS. Nó có thể trả tiền để lấy thông tin hữu ích từ các chức năng khác mà không hứa sẽ trả lại cho họ bất cứ điều gì!

Câu 11: Bản kiểm kê tài sản thông tin của chúng tôi nên bao gồm những gì / bao nhiêu chi tiết?

Giải đáp: Một bản kiểm kê toàn diện hợp lý về tài sản thông tin của bạn sẽ hữu ích cho các mục đích như:

 

  • Tránh khoảng trống và chồng chéo: Chẳng hạn như các lớp hoặc mục thông tin mà mọi người cho rằng là mối quan tâm của người khác hoặc ngược lại là những thông tin gợi cảm mà mọi người đều muốn tham gia hành động;
  • Đánh giá và xử lý rủi ro: Đảm bảo rằng tất cả các tài sản thông tin đã được đánh giá và xử lý thích hợp;
  • Quyền sở hữu và trách nhiệm giải trình: Làm rõ chính xác ai chịu trách nhiệm bảo vệ tài sản có giá trị và chắc chắn rằng họ biết điều đó;
  • Ưu tiên: Bạn nên nỗ lực nhiều hơn để bảo vệ các tài sản thông tin có giá trị và dễ bị tổn thương nhất, hơn là những tài sản có giá trị tương đối thấp và mạnh mẽ hơn. Nói chung, nó cũng giúp giải quyết sớm các rủi ro thông tin lớn nhất, đặc biệt là vì chương trình bảo mật thông tin sẽ bắt đầu ở mức cao nếu nó xâm nhập thực sự vào hồ sơ rủi ro tổng thể của tổ chức và đánh bật những điều khiến ban quản lý và các bên liên quan khác thức vào ban đêm;
  • Quản lý và khai thác tài sản: Đối với các tổ chức xoay quanh sở hữu trí tuệ, tổng giá trị của tài sản thông tin có thể vượt xa giá trị của tất cả các tài sản khác của doanh nghiệp cộng lại, vì vậy tất nhiên thông tin cần được quản lý cẩn thận. Cũng có thể có lý do kế toán và kinh doanh có chiến lược khác, chẳng hạn như định giá tổ chức để mua bán và sáp nhập, hoặc thương lượng mức giá tốt hơn với các ngân hàng và các tổ chức cho vay khác;
  • Luôn cập nhật những thay đổi quan trọng: Ví dụ như nhận biết khi nào các lớp hoặc loại tài sản thông tin mới ra đời hoặc khi giá trị hoặc rủi ro thay đổi rõ rệt do kết quả của các hoạt động kinh doanh hoặc những thay đổi cơ bản trong tình hình của tổ chức.

Xây dựng, duy trì, sử dụng và quản lý khoảng không quảng cáo tài sản thông tin là một trong những khả năng mà một ISMS trưởng thành có khả năng kết hợp, nhưng nó có thể phải trả giá để bắt đầu ở mức đơn giản hơn, cơ bản hơn và để mọi thứ dần dần phát triển và trưởng thành từ đó, một hoặc hai năm.

Ví dụ: Nội dung thông tin có thể được phân loại theo các tiêu đề chung sau:

  • Tài sản thông tin vô hình (nội dung, dữ liệu, kiến ​​thức, chuyên môn);
  • Nội dung phần mềm (thương mại, ứng dụng đặt riêng hoặc ứng dụng nội bộ / độc quyền, phần mềm trung gian, hệ điều hành, v.v.);
  • Tài sản CNTT vật lý (máy tính, bộ định tuyến, đĩa, cáp, UPS, v.v.);
  • Nội dung dịch vụ CNTT: xem ITIL hoặc ISO 20000 hoặc rộng hơn là nội dung liên quan đến quy trình thông tin bao gồm các mối quan hệ kinh doanh với các nhà cung cấp dịch vụ như dịch vụ Internet, dịch vụ đám mây và các nhà cung cấp dịch vụ lưu trữ trang web của bạn.
  • Tài sản thông tin của con người (“con người là tài sản lớn nhất của chúng ta” đúng theo nghĩa đen khi xem xét giá trị của khả năng, kỹ năng, chuyên môn và sự giàu có của kiến ​​thức và hiểu biết bất thành văn được gọi là kinh nghiệm và trí tuệ).

[Phân loại này dựa trên danh sách ban đầu được gửi tới Diễn đàn ISO 27001:2013. Một phiên bản toàn diện hơn của danh sách này có sẵn trong Bộ công cụ ISO 27001;2013.]

Đừng lo lắng về việc cần có một hành trang đầy đủ trước khi bắt đầu: Bạn có thể bắt đầu đánh giá rủi ro gần như ngay sau khi bạn xác định được một số mục đầu tiên, miễn là bạn chuẩn bị xem lại chúng sau này với kiến ​​thức bổ sung từ đánh giá các tài sản khác. Bạn sẽ định kỳ sửa đổi các đánh giá trong mọi trường hợp khi ISMS và các chu trình PDCA của nó đang hoạt động trơn tru.

Một cách tiếp cận khác liên quan đến việc bắt đầu với các nguồn thông tin quan trọng của tổ chức, những thứ rõ ràng là rất quan trọng đối với hoạt động kinh doanh liên tục và sự tồn tại của tổ chức. Ví dụ: Thương hiệu và tài sản trí tuệ của Disney hoặc cơ sở dữ liệu về người đóng thuế của Kho bạc. Các sự cố bảo mật liên quan đến các tài sản thông tin quan trọng như vậy có khả năng gây ảnh hưởng lớn đến tổ chức, do đó rủi ro có khả năng rất lớn. Tuy nhiên mặt khác, có thể máy tính xách tay của CEO chứa tất cả các kế hoạch chiến lược của công ty rất dễ bị đối thủ đánh cắp. Giá trị vốn hay chi phí thay thế của PC có thể không đáng kể, nhưng thông tin mà nó chứa đựng có thể là "vô giá".

Mẹo triển khai: trong khi bạn hoặc đồng nghiệp của bạn có thể có ý tưởng biên soạn và duy trì một kho lưu trữ tất cả các tài sản thông tin của bạn, đó là một cách tiếp cận tốn kém và có thể là vô ích. May mắn thay, nó không hoàn toàn cần thiết. Một danh sách các tài sản thông tin quan trọng / có giá trị nhất có thể đủ tốt để giúp bạn bắt đầu.

Câu 12: "Quy trình đánh giá rủi ro có nên bao gồm tất cả các tài sản thông tin của chúng tôi không?" 

Phần Hỏi & Đáp trước đã giải quyết một điểm rất giống nhau. Trên thực tế, có lẽ còn quá nhiều công sức để phân tích sâu mọi thứ về rủi ro, vì vậy thay vào đó hãy xem xét một quy trình hai giai đoạn:

  • Đánh giá rủi ro ở mức độ rộng nhưng có thể phân loại được các tài sản thông tin có giá trị nhất của bạn và phân biệt những tài sản đáng được phân tích rủi ro chuyên sâu hơn với những tài sản sẽ được kiểm soát an toàn thông tin cơ sở đề cập đầy đủ;
  • Phân tích rủi ro chi tiết trên các tài sản có rủi ro cao hơn riêng lẻ hoặc các nhóm tài sản liên quan để đưa ra các yêu cầu kiểm soát siêu cơ sở cụ thể.

Ghi lại “mọi thứ quan trọng” bao gồm các quyết định quản lý về quy trình phân loại. Có thêm lời khuyên về hàng tồn kho ở những nơi khác trong Câu hỏi thường gặp.

Mẹo thực hiện: tránh tê liệt phân tích bằng cách nhớ rằng thông tin là tài sản linh hoạt luôn thay đổi. Ngay cả khi về mặt lý thuyết, bạn có thể bao quát hoàn toàn mọi thứ ngày hôm nay, vị trí sẽ khác đi một chút vào ngày mai và về cơ bản sẽ khác trong vài tuần, vài tháng hoặc vài năm. Do đó, hoàn toàn có thể chấp nhận được nếu tiếp tục với một khoảng không quảng cáo “đủ tốt cho hiện tại” với điều kiện ISMS kết hợp các quy trình xem xét và cập nhật như một phần của quá trình cải tiến liên tục.

Câu 13: Điều khiển X có bắt buộc không?

Loại câu hỏi này xuất hiện mọi lúc trên Diễn đàn ISO 27001:2013, do đó lý do nó đủ điều kiện cho Câu hỏi thường gặp này. Để tiết kiệm thêm băng thông trên Diễn đàn, vui lòng chọn một trong các câu trả lời sau:

  • Có, bạn cần X vì nó kiểm soát an ninh cơ bản mà mọi người cần. Bạn sẽ thật cẩu thả, mạo hiểm khi để trang trại không có nó.
  • Không, X là không cần thiết vì chúng tôi không có nó, do đó chúng tôi coi đây không phải là phương pháp hay, phương pháp hay nhất cũng không được khuyến khích.
  • Điều đó phụ thuộc vào việc bạn là một nhà tư vấn với rất nhiều chữ cái sau tên của tôi nhưng bạn phải trả cho tôi tiền để trả lời câu hỏi của bạn.
  • Không, X là không cần thiết vì nó tốn kém hơn những sự cố mà nó ngăn chặn. Trừ khi dù sao chúng ta thực sự không may mắn. Bạn có cảm thấy may mắn không?
  • Bạn cho tôi biết: bạn đã đánh giá rủi ro thông tin và xác định rủi ro đáng lo ngại mà kiểm soát X có thể giảm thiểu chưa? Bạn đã quyết định rằng sẽ tốt hơn nếu thực hiện X so với một số biện pháp xử lý rủi ro khác (tránh rủi ro, chuyển giao rủi ro, chấp nhận rủi ro)? X có phải là biện pháp kiểm soát chi phí hiệu quả nhất trong tình huống này không? X có giảm thiểu rủi ro một cách thích đáng và lý tưởng là những rủi ro khác mà không làm cho tình hình tồi tệ hơn thông qua sự phức tạp bổ sung, chi phí mua sắm quản lý hoặc bất cứ điều gì? X có khả thi không?
  • Có vì NIST / COBIT / SOX / một chú chim nhỏ nói như vậy.
  • Có bởi vì nó là "bắt buộc".
  • Không, bởi vì nó là "tùy chọn" và  không được liệt kê rõ ràng bằng màu đen và trắng là hoàn toàn bắt buộc bởi.
  • Có vì đó là Luật.
  • Chỉ khi các chính sách, kế hoạch, chiến lược, kiến ​​trúc kỹ thuật hoặc tiêu chuẩn nội bộ của bạn nói như vậy.
  • Có nếu có Lợi tức Đầu tư An toàn dương, không nếu ROSI là tiêu cực hoặc nếu ai đó đã gieo rắc “nghi ngờ hợp lý” hoặc có điều gì đó hấp dẫn hơn trong chương trình làm việc của ban quản lý chiều nay.
  • Vâng, hoàn toàn có thể - Tôi là nhà cung cấp bán X. X là tất cả những gì bạn cần. X tốt hơn bánh mì cắt lát. Tôi sẽ bán cả hai quả thận của mình để mua X ...
  • Có bởi vì chúng tôi sẽ nhận được một báo cáo kiểm toán không tốt và / hoặc đau buồn từ HQ nếu chúng tôi không có X.
  • Không nhất thiết bây giờ nhưng nó chắc chắn sẽ được yêu cầu trong tương lai. Hãy tin tôi.
  • Không, vì hiện tại chúng tôi không đủ khả năng chi trả.
  • Không, bởi vì nếu bạn có nó, thì chúng ta cũng phải có nó, nếu không chúng ta sẽ xuất hiện sau thời đại và điều đó thật XẤU.
  • Có bởi vì chúng tôi có nó và bạn đang ở phía sau thời đại

OK, đủ rồi. Mặc dù có thể có một yếu tố sự thật trong tất cả chúng, nhưng câu trả lời đúng nhất là ​​# 5. Bạn sẽ không nghi ngờ gì khi phát hiện ra rằng đó là câu trả lời dài nhất và bao gồm nhiều câu hỏi hơn. Nếu chúng quá khó đối với bạn, chỉ cần chọn giữa câu trả lời # 7 và # 8, hoặc xem xét lời khuyên sau đây.

ISMS được quy định trong ISO / IEC 27001 cho phép ban lãnh đạo quyết định các biện pháp kiểm soát an toàn thông tin nào là cần thiết cho tổ chức, dựa trên đánh giá của họ về các rủi ro thông tin. Nếu họ đã thực hiện phân tích, hiểu rõ rủi ro và đưa ra quyết định quản lý thì đó là quyền của họ.

Tuy nhiên, bất kỳ kiểm toán viên ISMS có năng lực nào cũng có thể quan tâm đến bản chất của việc phân tích rủi ro dẫn đến quyết định loại trừ các kiểm soát phổ biến và muốn tìm hiểu tài liệu về nó để bắt đầu. Đây là tình huống “cho tôi xem” cổ điển của kiểm toán viên!

Cơ sở lý luận cơ bản, theo quan điểm đánh giá là có, ban lãnh đạo có thể quyết định không áp dụng bất kỳ biện pháp kiểm soát an toàn thông tin nào được khuyến nghị trong Phụ lục A của ISO / IEC 27001 hoặc toàn bộ ISO / IEC 27002 mà hầu hết các tổ chức khác cho là cần thiết miễn là họ có thể biện minh cho quyết định đó trên cơ sở hợp lý. Nếu quá trình phân tích rủi ro hoặc quá trình lập luận và ra quyết định của họ có sai sót cơ bản, đánh giá viên sẽ có cơ sở để khiếu nại và có thể từ chối chứng nhận, mặc dù ngay cả khi kết quả này không hoàn toàn chắc chắn.

Đây là một vấn đề phức tạp đối với ISO 27001:2013 vượt xa các ví dụ rõ ràng như loại trừ các biện pháp kiểm soát quản lý sự cố hoặc lập kế hoạch liên tục. Mục tiêu chính của ISO 27001:2013 là đảm bảo rằng ban quản lý thiết kế và triển khai một hệ thống quản lý vững chắc và đáng tin cậy nhằm quản lý và cải thiện an ninh thông tin trên cơ sở liên tục. Tuy nhiên, trạng thái an ninh mục tiêu đó không thể được xác định một cách hợp lý theo quy định trong một tiêu chuẩn quốc tế được áp dụng cho mọi loại hình và quy mô tổ chức. Các biện pháp kiểm soát hoàn toàn phù hợp, nếu không phải là “thiết yếu” đối với một số tổ chức sẽ không phù hợp và có thể có hại (tức là chi phí sẽ lớn hơn lợi ích kinh doanh) đối với những tổ chức khác. Một số biện pháp kiểm soát ngày nay có thể không phù hợp với tình trạng hiện tại của tổ chức đã trưởng thành, nhưng hoàn toàn phù hợp sau vài tháng hoặc vài năm kể từ bây giờ. Do đó, cách tiếp cận ISO 27001:2013 không còn bắt buộc các biện pháp kiểm soát an toàn thông tin cụ thể mà bắt buộc một loạt các biện pháp kiểm soát quản lý bao gồm hệ thống quản lý. Vì những lý do này, ISO / IEC 27001 là tiêu chuẩn chứng nhận, không phải ISO / IEC 27002.

 

Mẹo triển khai: nói đùa sang một bên, câu hỏi này phản bội sự thiếu hiểu biết về cách tiếp cận ISO 27001 đối với Sự sống, Vũ trụ và Mọi thứ. Các yêu cầu về an toàn thông tin phụ thuộc vào ngữ cảnh, do đó, các yêu cầu kiểm soát phải được xác định bởi ban lãnh đạo của tổ chức kiểm tra các rủi ro tốt nhất có thể, xác định các phương án tốt nhất để đối phó với bất kỳ rủi ro nào mà tổ chức xác định được và đưa ra quyết định đầu tư dựa trên các giai đoạn của mặt trăng, tinh thể may mắn, đường ley hoặc bất cứ thứ gì. Nếu ban quản lý quyết định một số biện pháp kiểm soát an toàn thông tin phổ biến đơn giản là không cần thiết hoặc không được biện minh trong hoàn cảnh của họ, thì họ nên chuẩn bị sẵn sàng để đối mặt với quyết định này và xem xét cơ sở lý luận của chúng rất cẩn thận. Trong nhiều trường hợp, họ có thể quyết định thực hiện một cách hạn chế thay vào đó, điều này phần lớn tránh được vấn đề.

Câu 14: Tôi đang đấu tranh để hiểu và áp dụng các đề xuất bảo mật chung của ISO 27002 cho tổ chức của mình. Bất kỳ hướng dẫn hoặc lời khuyên? 

Không có câu trả lời chắc chắn cho câu hỏi của bạn: Tất cả phụ thuộc là câu trả lời tư vấn cổ điển. Sơ đồ và phác thảo phải cung cấp cho bạn một ý tưởng hợp lý về quy trình tổng thể và các tài liệu quan trọng sẽ được yêu cầu hoặc sản xuất. Tuy nhiên, các chi tiết khác nhau ở mỗi tổ chức. Hãy xem Bộ công cụ ISO 27001:2013 để có thêm lời khuyên miễn phí.

Ví dụ: Nếu bạn đã có sổ tay chính sách bảo mật, thì các biện pháp kiểm soát được chỉ định có thể giải quyết tốt hầu hết các rủi ro trong phạm vi của ISO / IEC 27002, trong trường hợp đó, bạn cần phải làm việc nhiều hơn về phía thực hiện và tuân thủ, sau khi xem xét sổ tay hướng dẫn đối với tiền tệ và sự phù hợp.

Nếu tổ chức của bạn chỉ đang trên con đường hướng tới việc có ISMS, có thể bạn sẽ cần phải bắt đầu tìm hiểu về quản lý để điều chỉnh chi phí tài chính và những thay đổi liên quan đến chương trình làm việc phía trước, tức là đang chuẩn bị kế hoạch, trường hợp kinh doanh của bạn và chiến lược. Hãy suy nghĩ về nó, ghi lại nó, lưu hành nó để nhận xét và xây dựng hỗ trợ điều hành. Hãy đối phó với những phản đối không thể tránh khỏi một cách tốt nhất có thể, đừng chỉ phớt lờ chúng. Sau này bạn sẽ không hối tiếc khi dành thời gian kết bạn với ban quản lý cấp cao.

Làm thế nào bạn sẽ có được một ngân sách chuyên dụng đủ để đạt được những gì cần phải làm và làm thế nào bạn sẽ đối phó với sự thiếu hụt có thể xảy ra giữa nguồn tài trợ lý tưởng và thực tế? Nếu bạn xác định chiến lược của mình là một đề xuất đầu tư hoặc trường hợp kinh doanh, bạn sẽ cần theo dõi các chi phí, lợi ích dự kiến ​​và thực tế để chứng minh giá trị ròng của chương trình. Điều này ngụ ý việc thiết kế và triển khai một bộ chỉ số an toàn thông tin toàn diện, có thể là trước hoặc sau khi chương trình tiếp tục. Đừng đánh giá thấp những khó khăn trong việc tạo ra các số liệu hữu ích và nhiều thông tin, cũng như các vấn đề thực tế của việc ước tính Lợi tức đầu tư cho bảo mật thông tin hoặc thực sự là các hoạt động quản lý rủi ro khác.

Mẹo triển khai: Dựa trên kiến ​​thức chuyên môn của ISO 27001:2013, hãy nhận trợ giúp chuyên nghiệp về quản lý chương trình, lập kế hoạch dự án, v.v. trừ khi bạn là người phù hợp với những điều này. Liên lạc với các chuyên gia trong tổ chức, hầu hết mọi người chỉ đơn giản là được tự hào khi được hỏi ý kiến ​​chuyên môn của họ và họ sẽ trả tiền để sử dụng lại các quy trình, biểu mẫu hiện có, v.v. nếu có thể nếu bảo mật thông tin trở nên thực sự gắn liền với văn hóa doanh nghiệp.

 

Bài viết liên quan