2.4.1. Cam kết của ban quản lý
Ban quản lý phải cam kết sẽ cung cấp các dẫn chứng để thiết lập, triển khai, điều hành, giám sát, đánh giá, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin bằng:
1/. Thiết lập chính sách cho hệ thống bảo đảm an toàn thông tin.
2/. Đảm bảo rằng các mục tiêu và kế hoạch của hệ thống an toàn thông tin đã được xây dựng.
3/. Xây dựng vai trò và trách nhiệm của an toàn thông tin.
4/. Trao đổi với tổ chức về các mục tiêu bảo đảm an toàn thông tin và làm cho phù hợp với các chính sách an toàn thông tin, các trách nhiệm dưới luật và cần thiết tiếp tục cải tiến.
5/. Thông tin cho toàn bộ tổ chức biết về tầm quan trọng của các mục tiêu an toàn thông tin cần đạt được, sự tuân thủ chính sách an toàn thông tin, trách nhiệm trước pháp luật và sự cần thiết phải nâng cấp, cải thiện hệ thống một cách thường xuyên.
6/. Cung cấp đầy đủ tài nguyên cho các quá trình thiết lập, triển khai, điều hành, giám sát, kiểm tra, bảo trì và nâng cấp hệ thống quản lý ATTT (xem 2.4.2.1). 7/. Xác định chỉ tiêu cho các rủi ro và mức độ rủi ro có thể chấp nhận được.
8/. Đảm bảo chỉ đạo quá trình kiểm toán nội bộ hệ thống quản lý ATTT (xem 2.5). 9/. Chỉ đạo việc xem xét sự quản lý của hệ thống quản lý ATTT (xem 2.6).
32
2.4.2. Quản lý nguồn lực
2.4.2.1. Cấp phát nguồn lực
Tổ chức phải xác định và cung cấp các nguồn lực cần thiết:
1/. Thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý ATTT.
2/. Đảm bảo rằng các quy trình bảo đảm an toàn thông tin hỗ trợ cho các yêu cầu nghiệp vụ.
3/. Xác định và áp dụng các yêu cầu pháp lý và quy định cũng như các ràng buộc về an toàn thông tin phải tuân thủ.
4/. Duy trì đầy đủ an toàn bảo mật bằng cách áp dụng tất cả các biện pháp quản lý đã được triển khai.
5/. Thực hiện xem xét và có các biện pháp xử lý khi cần thiết. 6/. Nâng cao năng lực của hệ thống quản lý ATTT khi cần thiết.
2.4.2.2. Đào tạo, nhận thức và năng lực
Tổ chức phải đảm bảo những người có trách nhiệm trong hệ thống quản lý ATTT phải có đầy đủ năng lực để thực hiện các nhiệm vụ được giao bằng cách: 1/. Xác định các kỹ năng cần thiết để thực hiện hiệu quả công việc được giao.
2/. Cung cấp các khóa đào tạo hoặc tuyển chọn người đã có năng lực để có thể thỏa mãn yêu cầu.
3/. Đánh giá mức độ hiệu quả của các hoạt động đã thực hiện.
4/. Lưu giữ hồ sơ về việc học vấn, quá trình đào tạo, các kỹ năng, kinh nghiệm và trình độ chuyên môn (xem 4.3.3).
Tổ chức cũng cần đảm bảo rằng tất cả những cá nhân liên quan đều nhận thức được tầm quan trọng của các hoạt động đảm bảo an toàn thông tin và hiểu cách góp phần thực hiện các mục tiêu của hệ thống quản lý ATTT.
33
2.5. KIỂM TRA NỘI BỘ HỆ THỐNG ATTT
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xác định các mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục trong hệ thống quản lý ATTT: 1/. Theo các yêu cầu của tiêu chuẩn này, pháp lý và các quy định liên quan. 2/. Theo các các yêu cầu trong đảm bảo an toàn thông tin.
3/. Phải đảm bảo hiệu quả trong triển khai và duy trì. 4/. Hoạt động diễn ra đúng như mong muốn.
Các chương trình kiểm tra sẽ được lên kế hoạch và cần xem xét đến các vấn đề như hiện trạng và ý nghĩa của các quy trình và phạm vi được kiểm tra. Các chỉ tiêu, phạm vi, tần suất và biện pháp sẽ được xác định. Sự lựa chọn người tiến hành kiểm tra (kiểm tra viên) và cách hướng dẫn, chỉ đạo kiểm tra sẽ đảm bảo tính khách quan, công bằng cho quá trình kiểm tra. Kiểm tra viên không nên tự kiểm tra công việc của mình.
Các trách nhiệm và yêu cầu cho việc lập kế hoạch và hướng dẫn kiểm tra, báo cáo kết quả và lưu giữ hồ sơ (xem 2.3.3.3) phải được xác định rõ ràng trong một thủ tục dưới dạng văn bản.
Ban quản lý chịu trách nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo các hoạt động được thực hiện đúng thời hạn nhằm loại bỏ các vi phạm. Các hoạt động tiếp theo sẽ bao gồm việc thẩm tra các hoạt động đã thực hiện và lập báo cáo về kết quả thẩm tra này (xem 2.7).
Tiêu chuẩn ISO 19011:2002, ”Guidelines for quality and/or environemental management system auditing” có thể cung cấp thông tin hỗ trợ cho việc triển khai việc kiểm tra nội bộ hệ thống quản lý ATTT[4].
34
2.6. BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT 2.6.1. Khái quát 2.6.1. Khái quát
Ban quản lý sẽ xem xét hệ thống quản lý ATTT của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần trong năm) để luôn luôn đảm bảo tính chất phù hợp, đầy đủ và hiệu quả. Sự xoát xét này bao gồm đánh giá các cơ hội cho việc nâng cấp và sự cần thiết phải thay đổi của hệ thống quản lý ATTT, bao gồm các chính sách an toàn thông tin và mục tiêu an toàn thông tin. Các kết quả của việc xem xét sẽ được lưu giữ và biên soạn thành tài liệu (xem 2.3.3.3).
2.6.2. Đầu vào của việc xem xét
Đầu vào cho ban quản lý xem xét hệ thống quản lý ATTT bao gồm: 1/. Các kết quả kiểm tra và xem xét hệ thống quản lý ATTT.
2/. Thông tin phản hồi từ các bộ phận có liên quan.
3/. Các kỹ thuật, sản phẩm hoặc thủ tục có thể được sử dụng trong tổ chức nhằm nâng cao hiệu quả và năng lực của hệ thống quản lý ATTT.
4/. Hiện trạng trạng của các hành động ngăn ngừa và khắc phục, sửa chữa.
5/. Các lỗ hổng hoặc nguy cơ mất an toàn thông tin không được đề cập một cách thấu đáo trong lần đánh giá rủi ro trước.
6/. Các kết quả đánh giá năng lực của hệ thống. 7/. Các hoạt động tiếp theo lần xem xét trước.
8/. Các thay đổi có ảnh hưởng đến hệ thống quản lý ATTT. 9/. Các kiến nghị nhằm cải thiện hệ thống.
35
2.6.3. Đầu ra của việc xem xét
Ban quản lý sau khi xem xét hệ thống quản lý ATTT sẽ cần đưa ra các quyết định và hoạt động trong việc:
1/. Nâng cao năng lực của hệ thống quản lý ATTT. 2/. Cập nhật kế hoạch đánh giá và xử lý rủi ro.
3/. Sửa đổi các thủ tục và biện pháp quản lý có ảnh hưởng cần thiết đến bảo đảm an toàn thông tin nhằm đối phó lại với các sự kiện có thể gây tác động đến hệ thống quản lý ATTT, bao gồm:
a/. Các yêu cầu trong hoạt động nghiệp vụ. b/. Các yêu cầu an toàn bảo mật.
c/. Các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp vụ của tổ chức.
d/. Các yêu cầu về pháp lý và quy định.
e/. Các ràng buộc theo các hợp đồng đã ký kết f/. Mức độ rủi ro và/hoặc chỉ tiêu chấp nhận rủi ro. 4/. Các nhu cầu cần thiết về tài nguyên.
36
2.7. NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT 2.7.1. Nâng cấp thƣờng xuyên 2.7.1. Nâng cấp thƣờng xuyên
Tổ chức phải thường xuyên nâng cao tính hiệu lực của hệ thống quản lý ATTT thông qua việc tận dụng chính sách đảm bảo an toàn thông tin, các mục tiêu đảm bảo an toàn thông tin, các kết quả kiểm tra, kết quả phân tích các sự kiện đã xảy ra, các hành động ngăn ngừa và khắc phục cũng như các kết quả xem xét của ban quản lý (xem 2.6).
2.7.2. Hành động khắc phục
Tổ chức phải thực hiện loại bỏ các nguyên nhân của các vi phạm với yêu cầu của hệ thống quản lý ATTT. Các thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xác định rõ các yêu cầu sau:
1/. Xác định các vi phạm.
2/. Tìm ra nguyên nhân của các vi phạm trên.
3/. Đánh giá các hành động cần thiết nhằm ngăn chặn các vi phạm xuất hiện trở lại. 4/. Quyết định và triển khai các hành động khắc phục cần thiết.
5/. Lập hồ sơ các kết quả khi thực hiện các hành động trên. 6/. Xem xét lại các hành động khắc phục đã được thực hiện.
37
2.7.3. Hành động phòng ngừa
Tổ chức cần xác định các hành động để tránh các nguyên nhân gây ra các vi phạm tiềm ẩn có thể phát sinh với hệ thống quản lý ATTT để có các biện pháp bảo vệ và phòng ngừa. Các hành động bảo vệ và phòng ngừa cần được thực hiện phù hợp với các tác động mà các vi phạm này có thể gây ra. Các thủ tục dưới dạng văn bản để bảo vệ, phòng ngừa cần xác định rõ các yêu cầu sau:
1/. Xác định các vấn đề vi phạm tiềm ẩn và nguyên nhân gây ra chúng.
2/. Đánh giá sự cần thiết của các hành động ngăn chặn các vi phạm này xuất hiện. 3/. Xác định và triển khai các hành động trên.
4/. Lập hồ sơ về các hành động này (xem 2.3.3.3). 5/. Xem xét các hành động đã được thực hiện trên.
Tổ chức cần nhận biết các rủi ro đã thay đổi và xác định các hành động phù hợp đáp ứng lại các thay đổi này. Mức ưu tiên của các hành động bảo vệ và phòng ngừa sẽ được xác định dựa trên kết quả của quá trình đánh giá rủi ro.
Hành động nhằm ngăn chặn trước các vi phạm thường hiệu quả và kinh tế hơn là đi khắc phục sự cố do các vi phạm gây ra.
38
Phụ lục A: Các mục tiêu quản lý và biện pháp quản lý
Các mục tiêu và biện pháp quản lý trong bảng A được xây dựng từ các điều số 5 đến 15 trong tiêu chuẩn quốc tế ISO/IEC 17799:2005[5]. Nội dung trong bảng A là chưa hoàn toàn đầy đủ nên tổ chức có thể tham khảo thêm các mục tiêu và biện pháp quản lý khác. Việc lựa chọn các mục tiêu và biện pháp quản lý trong bảng dưới đây sẽ được coi như một phần trong quá trình thiết lập hệ thống quản lý ATTT (xem 2.3.3.1).
Bảng A: Các mục tiêu và biện pháp quản lý
A.5 Chính sách an toàn bảo mật
A.5.1 Chính sách an toàn thông tin
Mục tiêu: Nhằm cung cấp định hướng quản lý và hỗ trợ bảo đảm an toàn thông tin thỏa mãn với các yêu cầu trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định phải tuân thủ.
A.5.1.1 Tài liệu chính sách an toàn thông tin
Biện pháp quản lý
Một tài liệu về chính sách an toàn thông tin cần phải được phê duyệt bởi ban quản lý và được cung cấp, thông báo tới mọi nhân viên cũng như các bộ phận liên quan.
A.5.1.2 Xem xét lại chính sách an toàn thông tin
Biện pháp quản lý
Chính sách an toàn thông tin cần thường xuyên được xem xét theo đúng kế hoạch định trước hoặc nếu khi có những thay đổi lớn xuất hiện để luôn đảm bảo sự phù hợp, đầy đủ và thực sự có hiệu lực.
39
A.6 Sự tổ chức của bảo đảm an toàn thông tin
A.6.1 Tổ chức nội bộ
Mục tiêu:Nhằm quản lý an toàn thông tin bên trong tổ chức A.6.1.1 Ban quản lý đối cam kết
về bảo đảm an toàn thông tin
Biện pháp quản lý
Ban quản lý cần chủ động hỗ trợ bảo đảm an toàn thông tin trong tổ chức bằng các định hướng rõ ràng, các cam kết minh bạch, các nhiệm vụ rõ ràng và nhận thức rõ được trách nhiệm về bảo đảm an toàn thông tin.
A.6.1.2 Phối hợp bảo đảm an toàn thông tin
Biện pháp quản lý
Các hoạt động bảo đảm an toàn thông tin cần phải được phối hợp bởi các thành phần đại diện cho các bộ phận trong tổ chức với vai trò và nhiệm vụ cụ thể. A.6.1.3 Phân định trách nhiệm
bảo đảm an toàn thông tin
Biện pháp quản lý
Tất cả các trách nhiệm bảo đảm an toàn thông tin cần phải được xác định một cách rõ ràng.
A.6.1.4 Quy trình cấp phép cho chức năng xử lý thông tin
Biện pháp quản lý
Một quy trình quản lý cấp phép cho chức năng xử lý thông tin phải được xác định rõ và thi hành.
40 A.6.1.5 Các thỏa thuận bí mật Biện pháp quản lý
Các yêu cầu cho các thỏa thuận bí mật phản ánh các nhu cầu của tổ chức để bảo vệ thông tin sẽ được xác định rõ và thường xuyên xem xét lại.
A.6.1.6 Liên lạc với những cơ quan/tổ chức có thẩm quyền thẩm quyền
Biện pháp quản lý
Phải duy trì các kênh liên lạc cần thiết với các cơ quan có thẩm quyền.
A.6.1.7 Liên lạc với các với các nhóm có quyền lợi đặc biệt
Biện pháp quản lý
Giữ liên lạc với các nhóm có quyền lợi đặc biệt, các diễn đàn và hiệp hội an toàn thông tin.
A.6.1.8 Tự xem xét về an toàn thông tin
Biện pháp quản lý
Cách tiếp cận của tổ chức đối với việc quản lý và triển khai hoạt động đảm bảo an toàn thông tin (chẳng hạn như: các mục tiêu và biện pháp quản lý, các chính sách, các quá trình và các thủ tục đảm bảo an toàn thông tin) cần phải được tự xem xét theo định kỳ hoặc khi xuất hiện những thay đổi quan trọng liên quan đến an toàn thông tin.
41
A.6.2 Các thành phần bên ngoài
Mục tiêu: Nhằm duy trì an toàn thông tin và chức năng xử lý thông tin của tổ chức được truy cập, xử lý, truyền tới hoặc quản lý bởi các thành phần bên ngoài tổ chức. A.6.2.1 Xác định các rủi ro liên
quan đến các bộ phận ngoài
Biện pháp quản lý
Các rủi ro đối thông tin và các chức năng xử lý thông tin của tổ chức từ các quy trình nghiệp vụ liên quan đến các thành phần bên ngoài cần được nhận biết và triển khai biện pháp quản lý thích hợp khi cấp quyền truy cập cho các thành phần này.
A.6.2.2 Xem xét an toàn an ninh khi thương thảo với khách hàng
Biện pháp quản lý
Tất cả các yêu cầu về an toàn an ninh đã được xác định cần phải được xem xét trước khi cho phép khách hàng truy cập tới các tài sản hoặc thông tin của tổ chức. A.6.2.3 Xem xét an toàn an ninh
trong các thỏa thuận với bên thứ 3
Biện pháp quản lý
Các thỏa thuận với bên thứ 3 liên quan đến truy cập, xử lý, truyền thông hoặc quản lý thông tin hay chức năng xử lý thông tin hoặc các sản phẩm, dịch vụ phụ trợ để có điều kiện thuận tiện để xử lý thông tin cần phải được xem xét nhằm thỏa mãn với mọi yêu cầu an toàn an ninh một cách thỏa đáng.
42
A.7 Quản lý tài sản
A.7.1 Trách nhiệm đối với tài sản
Mục tiêu: Hoàn thành và duy trì các biện pháp bảo vệ thích hợp đối với tài sản của tổ chức.
A.7.1.1 Kê khai tài sản Biện pháp quản lý
Tất cả mọi tài sản cần được xác định một cách rõ ràng và cần thực hiện và duy trì việc kê khai mọi tài sản quan trọng.
A.7.1.2 Quyền sở hữu tài sản Biện pháp quản lý
Tất cả mọi thông tin và tài sản liên quan tới chức năng xử lý thông tin sẽ được phân bổ bởi bộ phận có chức năng của tổ chức.
A.7.1.3 Sử dụng hợp lý tài sản Biện pháp quản lý
Các quy tắc cho việc sử dụng hợp lý các tài sản và thông tin liên quan tới các chức năng xử lý thông tin cần được xác định, tài liệu hóa và triển khai.
43
A.7.2 Phân loại thông tin
Mục tiêu: Nhằm đảm bảo rằng thông tin sẽ có mức độ bảo vệ thích hợp