27001 vào ISMS của doanh nghiệp. Triển khai ISO 27001 theo từng giai đoạn được hướng dẫn sẽ giúp doanh nghiệp, tổ chức có thể thực hiện quản lý an tồn thơng tin theo ISO 27001 một cách hiệu quả nhất. ISO 27001 được triển khai theo chu trình PDCA (Plan - Do - Check - Act) - Chu trình phù hợp với tất cả các tiêu chuẩn quốc tế có thể
kiểm tra được: ISO 18001, 9001 và 14001. ISO/IEC 27001:2013 quy định các bước PDCA sau đây:
• Xác định chính sách ISMS
• Xác định phạm vi của ISMS
• Thực hiện đánh giá rủi ro bảo mật
• Quản lý rủi ro đã xác định
• Chọn các điều khiển sẽ được triển khai và áp dụng
• Chuẩn bị SoA
3.2.1. Xác định Mục tiêu Kinh doanh
Cấp quản lý cần xác định mục tiêu ưu tiên và các bên liên quan phải tham gia. Các mục tiêu chính có thể bắt nguồn từ sứ mệnh, kế hoạch chiến lược và mục tiêu CNTT của cơng ty.
Ví dụ như:
• Tăng doanh thu và lợi nhuận bằng cách cung cấp mức bảo mật cao nhất cho dữ liệu nhạy cảm của khách hàng
• Nhận dạng tài sản thông tin và đánh giá rủi ro hiệu quả
• Đảm bảo với khách hàng và đối tác về cam kết của tổ chức đối với bảo mật thông tin, quyền riêng tư và bảo vệ dữ liệu ...
3.2.2. Cam kết hỗ trợ của quản lý
Quản lý phải cam kết thiết lập, lập kế hoạch, thực hiện, vận hành, giám sát, xem xét, duy trì, cải tiến ISMS. Sự hỗ trợ của ban quan lý được thể hiện ở các hoạt động sau:
• Mục tiêu và kế hoạch an tồn thơng tin
• Thơng báo cho tổ chức về tầm quan trọng của việc tn thủ chính sách bảo mật thơng tin
• Đủ nguồn lực để quản lý, phát triển, duy trì và triển khai ISMS
• Xác định mức độ rủi ro có thể chấp nhận được
• Đánh giá của ban quản lý về ISMS theo các khoảng thời gian đã định
• Đảm bảo nhân viên có liên quan được đào tạo thích hợp.
• Bổ nhiệm người có năng lực để đảm nhiệm vai trò và trách nhiệm mà họ được giao
Phạm vi ISMS bao gồm các quy trình, đơn vị kinh doanh và các nhà cung cấp hoặc nhà thầu bên ngoài thuộc phạm vi thực hiện phải được chỉ định để chứng nhận xảy ra. Phạm vi nên được quản lý và có thể chỉ nên bao gồm các bộ phận của tổ chức.
Lợi ích của việc xác định phạm vi:
• Phạm vi được lựa chọn giúp đạt được các mục tiêu kinh doanh xác định.
• Quy mơ hoạt động tổng thể của tổ chức là một tham số tích hợp cần thiết để xác định mức độ phức tạp của quy trình tn thủ.
• Để tìm ra quy mơ hoạt động thích hợp, tổ chức cần xem xét số lượng nhân viên, quy trình kinh doanh, địa điểm làm việc và các sản phẩm hoặc dịch vụ được cung cấp (Phạm vi)
3.2.4. Quản lý rủi ro
Để đáp ứng các yêu cầu của ISO / IEC 27001, các công ty cần xác định rủi ro và phương pháp đánh giá rủi ro. Các điểm cần xem xét:
• Phương pháp được sử dụng để đánh giá rủi ro đối với tài sản thơng tin được xác định
• Những rủi ro nào là khơng thể chấp nhận được và do đó, cần được giảm thiểu
• Quản lý rủi ro tồn đọng thơng qua các chính sách, thủ tục và kiểm sốt được cân nhắc kỹ lưỡng
Sau khi xác định được rủi ro gây ra vấn đề, cân nhắc phương pháp xử lý rủi ro:
1. Xử lý rủi ro bằng cách áp dụng các biện pháp kiểm sốt bảo mật thơng tin được quy định trong ISO 27001
2. Chấm dứt rủi ro bằng cách tránh hoàn toàn
3. Chia sẻ rủi ro (với hợp đồng bảo hiểm hoặc thông qua thỏa thuận với các bên khác)
4. Chấp nhận rủi ro (nếu nó khơng gây ra mối đe dọa đáng kể) Mọi rủi ro mà doanh nghiệp xử lý phải được ghi lại trong SoA.
3.2.5. Thiết lập các chính sách và thủ tục để kiểm soát rủi ro
Đối với các biện pháp kiểm sốt được thơng qua được trình bày trong SoA, tổ chức sẽ cần các tuyên bố về chính sách hoặc một thủ tục chi tiết và tài liệu trách nhiệm để xác định vai trò của người dùng nhằm thực hiện nhất quán và hiệu quả chính sách và thủ tục. Tài liệu về các chính sách và thủ tục là một yêu cầu của ISO / IEC 27001. Danh sách các chính sách và thủ tục áp dụng phụ thuộc vào cấu trúc, địa điểm và tài sản của tổ chức.
3.2.6. Phân bổ nguồn lực và đào tạo nhân viên
Quy trình ISMS nêu bật một trong những cam kết quan trọng đối với ban quản lý: đủ nguồn lực để quản lý, phát triển, duy trì và thực hiện ISMS. Cần phải kiểm tra xem nhân viên có thể vận hành hoặc tương tác với các biện pháp kiểm sốt và họ có nhận thức được các nghĩa vụ bảo mật thơng tin của mình khơng. Điều cần thiết là phải lập hồ sơ đào tạo để kiểm toán.
3.2.7. Giám sát việc thực hiện ISMS
Khơng thể biết ISMS của doanh nghiệp mình có hoạt động hay khơng trừ khi xem xét và đánh giá định kỳ hệ thống này. Việc đánh giá định kỳ cần thực hiện ít nhất 1 lần mỗi năm để theo dõi sự phát triển của các rủi ro và xác định rủi ro mới xuất hiện. Mục tiêu chính của q trình xem xét là để xem liệu ISMS của bạn có thực sự ngăn chặn các sự cố bảo mật hay khơng. Để hồn thành chu trình PDCA, các lỗ hổng được xác định trong đánh giá nội bộ phải được giải quyết bằng cách xác định các biện pháp kiểm soát khắc phục, phòng ngừa cần thiết và sự tn thủ của cơng ty dựa trên phân tích lỗ hổng.
3.2.8. Chuẩn bị cho Đánh giá chứng nhận
Khi ISMS đã có, các tổ chức nên xem xét đăng ký chứng nhận ISO 27001 từ một tổ chức chứng nhận được cơng nhận. Đánh giá viên bên ngồi trước tiên sẽ kiểm tra các tài liệu ISMS để xác định phạm vi và nội dung của ISMS. Mục tiêu của việc sốt xét và đánh giá là có đầy đủ bằng chứng và các tài liệu soát xét/ đánh giá được gửi đến chuyên gia đánh giá để xem xét. Các bằng chứng và tài liệu sẽ chứng minh hiệu quả và hiệu lực của ISMS được triển khai trong tổ chức và các đơn vị kinh doanh của nó.
3.2.9. Đánh giá định kỳ
Việc đánh giá định kỳ xác nhận tổ chức vẫn tuân thủ tiêu chuẩn sau khi nhận được chứng nhận. Như với bất kỳ tiêu chuẩn ISO nào khác, ISO 27001 tuân theo chu trình PDCA và hỗ trợ ban quản lý ISMS biết được doanh nghiệp đã tiến triển tốt như thế nào trong chu trình này. Điều này ảnh hưởng trực tiếp đến thời gian và ước tính chi phí liên quan đến việc đạt được sự tuân thủ.
3.4. Quy trình chứng nhận hệ thống quản lý an ninh thơng tin theotiêu chuẩn iso 27001:2013 tiêu chuẩn iso 27001:2013
Sau khi quá trình vận hành triển khai và đánh giá nội bộ đã hồn tất. Doanh nghiệp cần phải lựa chọn cho mình một tổ chức để đánh giá cấp chứng chỉ ISO 27001.
Quy trình, thủ tục chứng nhận hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001 gồm các bước sau: