Đảm bảo an ninh thông tin với bộ tiêu chuẩn ISO 27001:2013

Bảo mật thông tin là một trong những yêu cầu vô cùng quan trọng với mỗi một doanh nghiệp, không phân biệt quy mô, loại hình và khu vực. Nếu doanh nghiệp của bạn còn đang gặp khó khăn trong việc xây dựng một hệ thống quản lý an toàn thông tin (ISMS) đạt chuẩn ISO 27001:2013 thì bài viết dưới đây sẽ giúp bạn nắm rõ được quy trình này với 2 giai đoạn chính:



·       Giai đoạn 1: Xây dựng Hệ thống quản lý an toàn thông tin (ISMS)

·       Giai đoạn 2: Đánh giá Hệ thống ISMS và cấp chứng chỉ ISO 27001

1. Quy trình xây dựng Hệ thống quản lý an toàn thông tin (ISMS)

Bước 1: Liệt kê tài sản

Tài sản của một doanh nghiệp phân chia thành 6 hình thức tồn tại là:

·       Thông tin số

·       Giấy tờ tài liệu

·       Phần mềm

·       Phần cứng/ Vật lý

·       Con người

·       Các dịch vụ bổ sung

Doanh nghiệp cần lưu trữ và tập hợp đầy đủ các loại danh sách, văn bản, hợp đồng trên các thiết bị phần mềm (máy tính) và phần cứng (giấy tờ, sổ sách). Trong đó phải đề cập tới những loại tài sản mà doanh nghiệp sở hữu và sử dụng.

Trong một doanh nghiệp thì không phải tài sản nào cũng cần bảo mật, các doanh nghiệp khác nhau sẽ có thông tin cần bảo mật khác nhau, thậm chí tùy từng thời điểm mà phạm vi bảo mật có thể thay đổi để phù hợp với tình hình thực tiễn. Việc xác định được đầy đủ các loại tài sản sẽ giúp doanh nghiệp dễ dàng khoanh vùng phạm vi triển khai hệ thống ISMS, lựa chọn xem đâu là phần tài sản cần bảo vệ và loại bỏ những thông tin chưa cần thiết lập hệ thống bảo vệ.

Bước 2: Định giá tài sản

Doanh nghiệp tiến hành đánh giá giá trị với các loại tài sản nằm trong danh mục cần bảo mật tức thì dựa trên chi phí ban đầu để sở hữu từng loại tài sản và những phí tổn nếu doanh nghiệp làm mất, thất thoát hoặc bại lộ chúng.

Mấu chốt của giai đoạn này nằm ở chỗ làm sao để định giá tài sản cho vừa phải và phù hợp. Bởi lẽ nó không chỉ đơn giản là việc xác định một tài sản có giá bao nhiêu tiền (định lượng) mà còn phải xác định các hệ quả, hệ lụy mà tài sản đó đem lại liên quan tới các vấn đề uy tín, hình ảnh của doanh nghiệp, thất thoát khách hàng, đánh mất thị trường,... (định tính). Có những tài sản để sở hữu nó thì doanh nghiệp không tổn kém mấy chi phí nhưng nếu mất đi thì sẽ gây ra những thiệt hại vô cùng to lớn không phải chỉ đong đếm bằng tiền mà xong.

Những lúc như vậy thì việc tìm tới các chuyên gia tư vấn là một giải pháp khá hữu hiệu. Các chuyên gia sẽ chuyển giá hợp lý giữa định tính và định lượng, đưa ra mức định giá vừa phải khi xem xét trong hệ tham chiếu của bối cảnh thị trường chung và so với các doanh nghiệp khác.

Bước 3: Xác định các hiểm nguy

Doanh nghiệp tiến hành liệt kê các rủi ro, đe dọa đối với những tài sản cần bảo mật. Những nguy hiểm này có thể rất cụ thể tới từ tương lai gần như việc quên mật khẩu, bị hack tài khoản, thất lạc chìa khóa, mất công cụ làm việc (điện thoại, máy tính,...). Cho tới những hiểm nguy xa vời có thể xảy ra hoặc không xảy ra như khủng hoảng, thiên tai hay ngày tận thế.

Bước 4: Tính toán các nguy cơ

Xác định các cặp đánh giá khả năng xảy ra trên thực tế theo mô hình “loại tài sản – hiểm nguy với tài sản đó”. Xác suất của hiểm nguy cần được cụ thể bằng các thông tin như xảy ra bao nhiêu lần trong tháng, bao nhiêu lần trong năm. Xác định được những đánh giá này càng rõ ràng thì càng dễ lượng hóa nguy cơ.

Trên thực tế, doanh nghiệp có thế phân chia đánh giá các mức độ rủi ro theo định tính (từ nguy cơ cao tới nguy cơ thấp) hoặc đánh giá theo định lượng (chia thành các giá trị số cụ thể và cho điểm)

Bước 5: Tính toán thiệt hại

Có nhiều cách xác định thiệt hại khác nhau tùy vào từng doanh nghiệp, ví dụ như áp dụng công thức:

Thiệt hại = Xác xuất xảy ra sự cố + Giá trị tài sản bị mất + Hậu quả của sự cố

Bước 6: Biện pháp giảm thiểu nguy cơ

Sau khi xác định được thiệt hại, doanh nghiệp có 3 sự lựa chọn:

·       Chấp nhận: Không hành động và chấp nhận thiệt hại nếu nguy cơ trở thành hiện thực

·       Giảm thiểu: Thực hiện các biện pháp để giảm thiểu khả năng xảy ra nguy cơ. Việc xây dựng hệ thống ISMS đạt chứng nhận ISO27001:2013 được xem là một trong những biện pháp hữu hiệu.

·       Chuyển tiếp nguy cơ: Tìm cách để chia sẻ nguy cơ với đối tác khác. Mua bảo hiểm là hình thức được nhiều doanh nghiệp lựa chọn nhất để chia sẻ thiệt hại nếu nguy cơ xảy ra.

Bước 7: Đánh giá chi phí cho giải pháp và đưa ra quyết định

Doanh nghiệp trả lời câu hỏi “Đầu tư bao nhiêu để giảm thiệt hại xuống bao nhiêu?”, “Sau khi thực hiện giải pháp thì doanh nghiệp có chấp nhận được nguy cơ và thiệt hại còn lại hay không?”. Nếu câu trả lời là “Không” thì cần rà soát lại tất cả những công đoạn ở trên cho tới khi câu trả lời là “Có” thì có nghĩa là doanh nghiệp đã hoàn thành xong một kế hoạch xây dựng an ninh thông tin.

Bước 8: Triển khai hệ thống bảo mật thông tin (ISMS)

Doanh nghiệp tiến hành thực hiện các họat động xoay quanh 3 nội dung chính là:

·       Thiết lế lại, đầu tư bổ sung các thành phần kỹ thuật

·       Xây dựng các quy định, quy trình, hướng dẫn và triển khai đào tạo

·       Phổ biến các nội dung, đảm bảo mọi nhân viên, cán bộ của doanh nghiệp đều nắm bắt được

Tuy nhiên để đánh giá hệ thống bảo mật này đã hoàn thiện hay chưa, có đáng tin cậy hay không thì lại cần có sự khảo sát của các tổ chức đánh giá chứng chỉ, mà cụ thể là hệ thống phải đạt chứng nhận ISO 27001.

2. Quy trình đánh giá và cấp chứng chỉ ISO 27001:2013

Bước 1: Gửi yêu cầu Đăng ký chứng nhận ISO 27001:2013

Bước 2: Lập kế hoạch xây dựng hệ thống quản lý an toàn thông tin

Xây dựng hệ thống đảm bảo an toàn thông tin tại doanh nghiệp một cách cụ thể (liệt kê tài sản và định giá tài sản, xác định hiểm nguy và khả năng xảy ra, tính toán thiệt hại và lựa chọn giải pháp)

Bước 3: Xây dựng hệ thống tài liệu và triển khai áp dụng

Xây dựng, chuẩn bị đầy đủ các tài liệu liên quan (chính sách, quy định, quy trình về an toàn thông tin). Thực hiện triển khai đưa văn bản, tài liệu vào áp dụng thực tế tại doanh nghiệp.

Bước 4: Thực hiện tự đánh giá trong nội bộ tổ chức

Đánh giá thực trạng nội bộ doanh nghiệp, xem có điểm nào không phù hợp với các văn bản đã ban hành trước đó không. Nếu có thì phải tìm biện pháp khắc phục.

Bước 5: Đánh giá độc lập và cấp chứng nhận

Mời đơn vị độc lập để tiến hành đánh giá thực tế xem doanh nghiệp đã tuân thủ các tiêu chí của tiêu chuẩn ISO 27001 hay chưa, Nếu đạt yêu cầu thì doanh nghiệp sẽ được cấp giấy chứng nhận. Giấy chứng nhận này có hiệu lực trong vòng 3 năm. Sau 3 năm nếu vẫn có nhu cầu thì doanh nghiệp sẽ phải trải qua đánh giá chứng nhận lại.

Nếu có những thắc mắc xin liên hệ đến với thuvientieuchuan.org để được hỗ trợ tối đa. 

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Bộ tiêu chuẩn FSC khác gì so với tiêu chuẩn PEFC ?

Chứng nhận FSC (Forest Stewardship Council) và PEFC (Programme for the Endorsement of Forest Certification) đều là các chứng nhận rừng quan trọng trên thế giới để đảm bảo rằng các sản phẩm gỗ được sản xuất và bán ra thị trường là bền vững và đáp ứng các tiêu chuẩn môi trường và xã hội. Tuy nhiên, có một số sự khác biệt giữa chúng như sau: Người chủ trì: FSC được quản lý bởi Hội đồng FSC quốc tế, trong khi PEFC được điều hành bởi các chương trình quốc gia PEFC. Phạm vi: FSC chủ yếu tập trung vào các khu vực rừng thiên nhiên, trong khi PEFC tập trung vào cả rừng cây trồng và rừng thiên nhiên. Tiêu chuẩn: FSC và PEFC đều đưa ra các tiêu chuẩn về bền vững và quản lý rừng, tuy nhiên chúng có một số khác biệt nhỏ về cách đánh giá và chứng nhận. Quy trình đánh giá: Quá trình đánh giá và chứng nhận của FSC và PEFC có những khác biệt nhỏ về cách tiếp cận và quy trình kiểm tra. Sự công nhận: FSC được công nhận rộng rãi hơn trên toàn cầu và được coi là tiêu chuẩn bền vững cao nhất cho ngành lâm n...
Đọc thêm

Khó khăn trong việc áp dụng tiêu chuẩn ISO 45001:2018 tại các doanh nghiệp Việt Nam

Hình ảnh
  Bên cạnh những doanh nghiệp đủ điều kiện đạt chứng chỉ ISO 45001 , vẫn còn các đơn vị gặp khó khăn khi triển khai ISO 45001 vào hệ thống của mình. ISO 45001 là tiêu chuẩn quốc tế về hệ thống quản lý an toàn sức khỏe nghề nghiệp do Tổ chức tiêu chuẩn hóa ban hành. Nội dung của tiêu chuẩn bao gồm các quy định nghiêm ngặt để tạo ra môi trường làm việc an toàn, lành mạnh. Mặc dù chứng nhận ISO 45001 là cần thiết cho tất cả các tổ chức, đơn vị hoạt động trong mọi lĩnh vực nhưng tại Việt Nam những đối tượng áp dụng tiêuchuẩn ISO 45001 lại chỉ tập trung vào nhóm các doanh nghiệp lớn, công ty có vốn đầu tư nước ngoài, các tổ chức liên doanh. Các doanh nghiệp vừa và nhỏ vẫn còn gặp khá nhiều vướng mắc khi triển khai ISO 45001 . Tồn tại nhiều nguyên nhân khác nhau dẫn tới sự thiếu hiệu quả trong hoạt động xây dựng tiêu chuẩn ISO 45001 tại các cơ sở, có thể chia thành 3 nhóm cơ bản sau: Nguyên nhân đầu tiên là vấn đề nhận thức. Để hệ thống vận hành trơn tru thì điều kiện tiên quyết ...
Đọc thêm

Áp dụng tiêu chuẩn khí thải phương tiện giao thông

Hình ảnh
Để phù hợp với lộ trình áp dụng quy chuẩn kỹ thuật quốc gia về môi trường đối với khí thải phương tiện giao thông vận tải Bộ Khoa học và Công nghệ đã đánh giá việc áp dụng các tiêu chuẩn kỹ thuật về khí thải phương tiện giao thông cơ giới đường bộ. Xem thêm:  các quy trình bắt buộc trong iso 9001-2015 Xác nhận triển khai thực hiện tiêu chuẩn khí thải đối với phương tiện giao thông Bộ Tài nguyên và Môi trường vừa có công văn gửi các Bộ Giao thông vận tải, Công Thương, Khoa học và Công nghệ, Tài chính, Công an, đề nghị báo cáo việc triển khai thực hiện các lộ trình áp dụng tiêu chuẩn khí thải đối với phương tiện giao thông cơ giới đường bộ lưu hành tại Việt Nam. Bởi vậy Bộ Giao thông vận tải phải có trách nhiệm hoàn thành báo cáo đánh giá việc thực hiện các lộ trình áp dụng tiêu chuẩn khí thải phương tiện giao thông cơ giới, đường bộ, xe 2 bánh sản xuất, xe đã qua sử dụng và được Thủ tưởng Chính phủ kí ban hành.           ...
Đọc thêm