8/ Tính toàn vẹn
2.3 THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT
2.3.3. Giám sát và xem xét hệ thống quản lý ATTT
Tổ chức thực hiện các biện pháp sau đây:
1/. Tiến hành giám sát, xem xét lại các thủ tục và biện pháp quản lý an toàn thông tin khác nhằm:
a/. Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.
b/. Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin. c/. Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con
người đã đem lại có đạt mục tiêu đề ra hay không.
d/. Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết.
e/. Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin.
2/. Thường xuyên kiểm tra, xem xét hiệu quả của hệ thống quản lý ATTT (bao gồm việc xem xét tính phù hợp giữa chính sách, các mục tiêu quản lý và xem xét của việc thực hiện các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các đề xuất, kiến nghị cũng như các thông tin phản hồi thu thập được.
3/. Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu về bảo đảm ATTT.
4/. Xem xét lại các đánh giá rủi ro đã tiến hành đồng thời xem xét các rủi ro được bỏ qua cũng như mức độ rủi ro có thể chấp nhận được. Trong đó lưu ý các thay đổi trong:
a/. Tổ chức. b/. Công nghệ.
c/. Mục tiêu và các quá trình nghiệp vụ.
d/. Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định. e/. Tính hiệu quả của các biện pháp quản lý đã thực hiện.
f/. Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội.
5/. Thực hiện việc kiểm tra nội bộ hệ thống quản lý ATTT một cách định kỳ. Kiểm tra nội bộ đôi khi còn được gọi là kiểm tra sơ bộ và được tự thực hiện.
6/. Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống quản lý ATTT để đánh giá mục tiêu đặt ra có còn phù hợp cũng như nâng cấp các và đã xác định các nâng cấp cần thiết cho hệ thống quản lý ATTT (xem 2.6.1).
7/. Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế thu được qua các hoạt động giám sát và đánh giá.
8/. Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng hưởng đến tính hiệu quả hoặc hiệu lực của hệ thống quản lý ATTT (xem 2.3.2.3).