STT YÊU CẦU CÔNG VIỆC CẦN THỰC HIỆN

Một phần của tài liệu Đề xuất áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 270012008 tại Công ty Cổ phần Tập đoàn HIPT (Trang 96 - 103)

VIII Duy trì và cải tiến liên tục

Các yêu cầu của tiêu chuẩn ISO 27001:

STT YÊU CẦU CÔNG VIỆC CẦN THỰC HIỆN

I Hệ thống quản lý ATTT

1 Các yêu cầu

chung

Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì và nâng cấp một (ISMS) đã được tài liệu hóa trong bối cảnh toàn bộ hoạt động của tổ chức và những rủi ro đang phải đối mặt.

2 Thiết lập và quản lý ISMS

Thiết lập ISMS

- Định nghĩa phạm vi và các giới hạn của ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu ….. trong tiêu chuẩn khỏi phạm vi áp dụng.

- Vạch rõ chính sách triển khai ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ.

- Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức.

- Xác định các rủi ro.

- Phân tích và đánh giá các rủi ro.

- Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro.

- Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro.

- Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.

- Được ban quản lý cho phép cài đặt và vận hành ISMS.

Triển khai và điều hành ISMS

- Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an toàn thông tin. Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm.

- Triển khai các biện pháp quản lý được lựa chọn để thỏa mãn các mục tiêu quản lý.

- Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như thế nào trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh được và tái tạo được.

- Triển khai các chương trình đào tạo nâng cao nhận thức

- Quản lý hoạt động ISMS.

- Quản lý các tài nguyên dành cho ISMS.

- Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự kiện ATTT cũng như phản ứng với các sự cố ATTT.

Giám sát và soát xét ISMS

- Tiến hành giám sát, soát xét lại các thủ tục và biện pháp quản lý an toàn thông tin khác.

- Thường xuyên kiểm tra, soát xét hiệu quả của ISMS. - Tính toán hiệu quả của các biện pháp quản lý đã thỏa

mãn các yêu cầu về bảo đảm ATTT.

soát xét các rủi ro được bỏ qua cũng như mức độ rủi ro có thể chấp nhận được.

- Thực hiện việc kiểm tra nội bộ ISMS một cách định kỳ

- Đảm bảo thường xuyên kiểm tra việc quản lý ISMS để đánh giá mục tiêu đặt ra có còn phù hợp cũng như nâng cấp các và đã xác định các nâng cấp cần thiết cho ISMS.

- Cập nhật kế hoạch bảo đảm ATTT theo sát thay đổi của tình hình thực tế thu được qua các hoạt động giám sát và đánh giá.

- Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng hưởng đến tính hiệu quả hoặc hiệu lực của ISMS.

Duy trì và nâng cấp ISMS

- Triển khai các nâng cấp cho ISMS đã xác định.

- Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp.

- Thông báo và thống nhất với các thành phần liên quan về các hoạt động và sự nâng cấp của ISMS.

- Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra.

3 Các yêu cầu về hệ thống tài liệu

 Biện pháp quản lý

- Phê duyệt các tài liệu thỏa đáng trước khi được ban hành.

- Soát xét tài liệu và tiến hành các sửa đổi cần thiết để có thể phê duyệt lại.

- Đảm bảo nhận biết được các thay đổi và tình trạng sửa đổi hiện hành của tài liệu.

- Đảm bảo rằng các phiên bản tài liệu thích hợp luôn có sẵn ở nơi cần sử dụng.

- Đảm bảo rằng các tài liệu phải rõ ràng, dễ đọc và dễ nhận biết.

- Đảm bảo tài liệu phải sẵn sàng đối với người cần, được chuyển giao, lưu trữ và hủy bỏ được áp dụng theo các thủ tục phù hợp.

- Đảm bảo các tài liệu có nguồn gốc bên ngoài được nhận biết.

- Đảm bảo việc phân phối tài liệu phải được quản lý. - Tránh việc vô tình sử dụng phải các tài liệu quá hạn. - Áp dụng các biện pháp định danh phù hợp đối với các

tài liệu cần lưu trữ .

 Biện pháp quản lý hồ sơ

Các hồ sơ sẽ được thiết lập và duy trì để cung cấp các dẫn chứng thể hiện sự phù hợp giữa yêu cầu và các hoạt động điều hành của ISMS. Các hồ sơ sẽ được bảo vệ và quản lý. Hồ sơ phải dễ đọc, dễ nhận biết và có thể sửa được. Các hồ sơ sẽ được giữ theo quy trình.

II Trách nhiệm của ban lãnh đạo

1 Cam kết của

ban lãnh đạo - Thiết lập chính sách cho hệ thống bảo đảm ATTT. - Đảm bảo rằng các mục tiêu và kế hoạch của ISMS đã

được xây dựng.

- Xây dựng vai trò và trách nhiệm của ATTT.

- Trao đổi với tổ chức về các mục tiêu bảo đảm ATTT và làm cho phù hợp với các chính sách ATTT, các trách nhiệm dưới luật và cần thiết tiếp tục cải tiến. - Thông tin cho toàn bộ tổ chức biết về tầm quan trọng

của các mục tiêu ATTT cần đạt được, sự tuân thủ chính sách ATTT, trách nhiệm trước pháp luật và sự cần thiết phải nâng cấp, cải thiện hệ thống một cách thường xuyên.

- Cung cấp đầy đủ tài nguyên cho các quá trình thiết lập, triển khai, điều hành, giám sát, kiểm tra, bảo trì và nâng cấp ISMS.

- Xác định chỉ tiêu cho các rủi ro và mức độ rủi ro có thể chấp nhận được.

- Đảm bảo việc chỉ đạo quá trình kiểm toán nội bộ ISMS.

- Chỉ đạo việc soát xét sự quản lý của ISMS.

2 Quản lý nguồn

lực

 Cấp phát nguồn lực

Tổ chức cần phải xác định và cung cấp các nguồn lực cần thiết nhằm:

- Thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp ISMS.

- Đảm bảo rằng các quy trình bảo đảm ATTT hỗ trợ cho các yêu cầu nghiệp vụ.

- Xác định và áp dụng các yêu cầu pháp lý và quy định cũng như các ràng buộc về an toàn thông tin phải tuân thủ.

- Duy trì đầy đủ an toàn bảo mật bằng cách áp dụng tất cả các biện pháp quản lý đã được triển khai.

- Thực hiện soát xét và có các biện pháp xử lý khi cần thiết.

- Nâng cao năng lực của ISMS khi cần thiết.

Đào tạo, nhận thức và năng lực

hiệu quả công việc được giao.

- Cung cấp các khóa đào tạo hoặc tuyển chọn người đã có năng lực để có thể thỏa mãn yêu cầu.

- Đánh giá mức độ hiệu quả của các hoạt động đã thực hiện.

- Lưu giữ hồ sơ về việc học vấn, quá trình đào tạo, các kỹ năng, kinh nghiệm và trình độ chuyên môn.

III Kiểm tra nộ bộ ISMS

Kiểm tra nội bộ ISMS

- Các chương trình kiểm tra sẽ được lên kế hoạch và cần xem xét đến các vấn đề như hiện trạng và ý nghĩa của các quy trình và phạm vi được kiểm tra.

- Các chỉ tiêu, phạm vi, tần suất và biện pháp sẽ được xác định.

- Sự lựa chọn người tiến hành kiểm tra (kiểm tra viên) và cách hướng dẫn, chỉ đạo kiểm tra sẽ đảm bảo tính khách quan, công bằng cho quá trình kiểm tra. Kiểm tra viên không nên tự kiểm tra công việc của mình. - Các trách nhiệm và yêu cầu cho việc lập kế hoạch và

hướng dẫn kiểm tra, báo cáo kết quả và lưu giữ hồ sơ phải được xác định rõ ràng trong một thủ tục dưới dạng văn bản.

- Ban quản lý chịu trách nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo các hoạt động được thực hiện đúng thời hạn nhằm loại bỏ các vi phạm. Các hoạt động tiếp theo sẽ bao gồm việc thẩm tra các hoạt động đã thực hiện và lập báo cáo về kết quả thẩm tra này.

IV Ban quản lý soát xét ISMS

việc soát xét - Các kết quả kiểm tra và soát xét ISMS.

- Thông tin phản hồi từ các bộ phận có liên quan.

- Các kỹ thuật, sản phẩm hoặc thủ tục có thể được sử dụng trong tổ chức nhằm nâng cao hiệu quả và năng lực của ISMS.

- Hiện trạng trạng của các hành động ngăn ngừa và khắc phục, sửa chữa.

- Các lỗ hổng hoặc nguy cơ mất an toàn thông tin không được đề cập một cách thấu đáo trong lần đánh giá rủi ro trước.

- Các kết quả đánh giá năng lực của hệ thống. - Các hoạt động tiếp theo lần soát xét trước. - Các thay đổi có ảnh hưởng đến ISMS. - Các kiến nghị nhằm cải thiện hệ thống. 2 Đầu ra của việc

soát xét

- Nâng cao năng lực của hệ thống ISMS. - Cập nhật kế hoạch đánh giá và xử lý rủi ro.

- Sửa đổi các thủ tục và biện pháp quản lý có ảnh hưởng cần thiết đến bảo đảm an toàn thông tin nhằm đối phó lại với các sự kiện có thể gây tác động đến ISMS.

- Các nhu cầu cần thiết về tài nguyên.

- Nâng cao phương thức đánh giá mức độ hiệu quả của các biện pháp quản lý.

V Nâng cấp ISMS

1 Nâng cấp

thường xuyên

Tổ chức phải thường xuyên nâng cao tính hiệu lực của ISMS thông qua việc tận dụng chính sách đảm bảo ATTT, các mục tiêu đảm bảo ATTT, các kết quả kiểm tra, kết quả phân tích các sự kiện đã xảy ra, các hành động ngăn ngừa

và khắc phục cũng như các kết quả soát xét của ban quản lý

2 Hành động khắc

Một phần của tài liệu Đề xuất áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 270012008 tại Công ty Cổ phần Tập đoàn HIPT (Trang 96 - 103)

(109 trang)