C ả ải ti itiế ếnn
2. Quy định ISMS
Mục tiêu / Mục
đích Ở góc độ khởi động, phải có quyết định rõ ràng về việc áp dụng tiêu chuẩn về tuân thủ hoặc để được chứng nhận ISO 27001.
Phạm vi Những đơn vị hành chính và những hoạt động nào sẽ được đưa vào cơ cấu quản lý an toàn thông tin?
Câu trả lời cho câu hỏi này là tập hợp tương đối các hoạt động quan trọng nhất của tổ chức.
Ranh giới / Giới
hạn Các giới hạn của phạm vi áp dụng ISMS được xác định theo: • Các đặc trưng riêng của tổ chức (quy mô, phạm vi phấn đấu, v.v...);
Giao tiếp Tổ chức phải tính đến việc giao tiếp với các hệ thống, các tổ chức khác và các nhà cung ứng bên ngoài. Lưu ý: Mọi giao tiếp với các dịch vụ hoặc hoạt động không hoàn toàn nằm trong phạm vi giới hạn của ISMS cần được xem xét trong quá trình nộp đơn xin chứng nhận ISMS và là một phần của việc đánh giá rủi ro an toàn
thông tin của tổ chức; ví dụ: việc chia sẻ các thiết bị như máy vi tính, các hệ thống viễn thông,
v.v…
Tính phụ thuộc
Hệ thống ISMS phải tôn trọng một số yêu cầu an toàn nhất định. Các yêu cầu này có thể có tính pháp lý hoặc thương mại. Ví dụ: một tổ chức
thuộc ngành y tế có thể phải tuân thủ Luật Trách nhiệm Giải trình và Chuyển đổi Bảo hiểm Y tế (HIPAA).
Ngoại lệ và Điều chỉnh Bất kỳ thành phần hoặc miền (một phần của mạng hoặc đơn vị hành chính) đã được định rõ, nhưng chưa được bảo vệ bởi một chính sách hoặc các biện pháp an toàn, phải được nhận diện và giải thích sự ngoại lệ của nó.
Các biện pháp an toàn trong Kế hoạch Chiến lược phải xét đến điều kiện thực tế hoặc tương lai gần của tổ chức để đạt được các mục tiêu nhiệm vụ do lãnh đạo cấp cao đề ra. Việc mua lại công ty mới, sáp nhập với các công ty hiện hữu, cắt giảm quy mô và quyết định thuê ngoài các hệ thống thông tin là một vài ví dụ trong các mục tiêu đó.
Môi trường trong Tổ
chức Môi trường trong tổ chức giúp củng cố các biện pháp được thực hiện để đạt được các mục tiêu cụ
Quy định ISMS
Soát xét hệ thống tài liệu hiện tại để đánh giá phạm vi của các biện pháp an toàn hiện tại, như sổ tay hướng dẫn Quản lý Chất lượng ISO 9000, sổ tay hướng dẫn Quản lý Môi trường ISO 14001 và sổ tay hướng dẫn Chính sách An toàn.
Trưởng phòng ban liên quan đến ISMS phải phác thảo tất cả tài liệu liên quan đến an toàn dữ liệu trong phòng ban
mình.
Sau đây là danh sách các tài liệu có thể có: 1. Các tài liệu về chính sách an toàn;
2. Các tiêu chuẩn và thủ tục của chính sách (hành chính hoặc kỹ thuật); chính hoặc kỹ thuật);
3. Các báo cáo đánh giá rủi ro;4. Các kế hoạch xử lý rủi ro; 4. Các kế hoạch xử lý rủi ro;
5. Các tài liệu cho biết sự tồn tại của các công cụ
kiểm soát và quản lý an toàn thông tin trong ISMS; ví dụ: các báo cáo đánh giá, hồ sơ đánh giá, báo cáo sự