Bộ tài liệu ISO 27001

Nếu tổ chức muốn đạt được chứng nhận ISO 27001, một điều cực kỳ quan trọng đó là mọi thứ liên quan đến hệ thống quản lý an toàn thông tin (ISMS) đều được thành lập tài liệu, duy trì tốt và dễ tìm. Các chuyên gia đánh giá chứng nhận ISO rất tin tưởng vào việc quản lý tốt và duy trì một hệ thống quản lý an toàn thông tin có cấu trúc tốt.

Bộ tài liệu ISO 27001 là gì?

Bộ tài liệu ISO 27001 là những tài liệu có tính pháp quy về hệ thống an ninh thông tin theo yêu cầu của tiêu chuẩn ISO 27001.

Để phù hợp với tiêu chuẩn ISO / IEC 27001: 2013 (ISO 27001), ISMS (hệ thống quản lý bảo mật thông tin) của doanh nghiệp phải được lập thành tài liệu thích hợp. Các quy trình, thủ tục và hồ sơ phải mô tả chính xác cách tiếp cận của tổ chức đối với bảo mật thông tin.

Danh sách tài liệu và hồ sơ theo ISO 27001:2013

Một câu hỏi thường được đặt ra về tài liệu quản lý an toàn thông tin, đó là "bao nhiêu là đủ?". Câu trả lời của chúng tôi đó là vấn đề nằm ở "chất lượng" chứ không phải "số lượng".

Miễn là doanh nghiệp, tổ chức tuân thủ danh sách tài liệu theo yêu cầu của tiêu chuẩn cũng như chứng minh rằng mình không cần tài liệu dài dòng thì điều này không ảnh hưởng đến kết quả đánh giá chứng nhận ISO 27001 của các đánh giá viên.

Danh sách tài liệu bắt buộc và hồ sơ theo yêu cầu của ISO 27001:2013

► Tài liệu bắt buộc

1. Phạm vi của ISMS

2. Mục tiêu và chính sách an toàn thông tin

3. Đánh giá rủi ro và phương pháp xử lý rủi ro

4. Tuyên bố về khả năng áp dụng

5. Kế hoạch xử lý rủi ro

6. Báo cáo đánh giá rủi ro

7. Định nghĩa các vai trò và trách nhiệm bảo mật

8. Kiểm kê tài sản

9. Việc sử dụng tài sản được chấp nhận

10. Chính sách kiểm soát truy cập

11. Các quy trình vận hành để quản lý CNTT

12. Các nguyên tắc kỹ thuật hệ thống an toàn

13. Chính sách bảo mật của nhà cung cấp

14. Quy trình quản lý sự cố

15. Các thủ tục liên tục trong kinh doanh

16. Các yêu cầu luật định, quy định và hợp đồng

Phạm vi của ISMS

Tuyên bố phạm vi xác định cho hệ thống quản lý an toàn thông tin. Việc xác định này đòi hỏi phải có quyết định về việc tài sản thông tin nào sẽ được bảo vệ. Trong các tổ chức lớn, đây có thể là một quá trình phức tạp. Tài liệu về phạm vi không cần quá dài dòng chi tiết, nhưng cần giải thích chính xác phạm vi của ISMS. Nếu phạm vi không chính xác, việc đánh giá ISO 27001 có thể gặp rủi ro.

Mục tiêu và chính sách an toàn thông tin

Chính sách bảo mật thông tin phải là sự phản ánh ở cấp độ hội đồng quản trị về quan điểm của tổ chức về bảo mật thông tin.

Điều khoản 5.2 của ISO 27001 nêu rõ rằng chính sách phải:

• Phù hợp với mục đích của tổ chức.

• Bao gồm các mục tiêu an toàn thông tin hoặc cung cấp khuôn khổ để thiết lập chúng.

• Bao gồm cam kết đáp ứng các yêu cầu hiện hành liên quan đến bảo mật thông tin.

• Bao gồm cam kết cải tiến liên tục ISMS.

Mục tiêu và chính sách an toàn thông tin phải nhất quán với nhau. Tiêu chuẩn ISO 27001 cũng yêu cầu mọi người làm việc dưới sự kiểm soát của tổ chức phải biết về chính sách bảo mật thông tin này.

Đánh giá rủi ro và phương pháp xử lý rủi ro

Theo Điều 6.1.2 của tiêu chuẩn ISO 27001, quy trình đánh giá rủi ro an toàn thông tin phải:

• Thiết lập và duy trì các tiêu chí rủi ro an toàn thông tin nhất định.

• Đảm bảo rằng các đánh giá rủi ro lặp lại "tạo ra kết quả nhất quán, hợp lệ và có thể so sánh được"

• "Xác định các rủi ro liên quan đến việc mất tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin trong phạm vi của hệ thống quản lý an toàn thông tin" và xác định chủ nhân của những rủi ro đó;

• Phân tích và đánh giá rủi ro an toàn thông tin theo các tiêu chí nhất định.

Tuyên bố về khả năng áp dụng

Tuyên bố về khả năng áp dụng (SoA) là một trong những tài liệu quan trọng nhất trong bộ tài liệu ISO 27001.

SoA cần:

• Xác định các biện pháp kiểm soát được lựa chọn để giải quyết các rủi ro đã xác định;

• Giải thích lý do tại sao các biện pháp này được chọn.

• Nêu rõ chúng đã được thực hiện hay chưa.

• Giải thích lý do tại sao một (hoặc nhiều) mục kiểm soát trong Phụ lục A của ISO 27001 bị bỏ qua.

► Hồ sơ bắt buộc

1. Hồ sơ đào tạo, kỹ năng, kinh nghiệm và trình độ

2. Kết quả theo dõi và đo lường

3. Chương trình đánh giá nội bộ

4. Kết quả đánh giá nội bộ

5. Kết quả xem xét của lãnh đạo

6. Kết quả của các hành động khắc phục

7. Nhật ký các hoạt động của người dùng, ngoại lệ và sự kiện bảo mật

Danh sách tài liệu không bắt buộc

Có rất nhiều tài liệu không bắt buộc có thể được sử dụng để triển khai ISO 27001. Dưới đây là danh sách tài liệu không bắt buộc được sử dụng phổ biến nhất

1. Quy trình kiểm soát tài liệu

2. Kiểm soát quản lý hồ sơ

3. Quy trình đánh giá nội bộ

4. Quy trình thực hiện hành động khắc phục

5. Chính sách mang theo thiết bị của riêng bạn (BYOD)

6. Thiết bị di động và chính sách làm việc từ xa

7. Chính sách phân loại thông tin

8. Chính sách mật khẩu

9. Chính sách thải bỏ và tiêu hủy

10. Quy trình làm việc trong khu vực an toàn

11. Xóa bàn làm việc và chính sách màn hình rõ ràng

12. Chính sách quản lý thay đổi

13. Chính sách dự phòng

14. Chính sách chuyển giao thông tin

15. Phân tích tác động kinh doanh

16. Kế hoạch luyện tập và kiểm tra

17. Kế hoạch bảo trì và xem xét

18. Chiến lược kinh doanh liên tục

  Tin liên quan: Các giai đoạn triển khai ISO 27001

Trên đây là những thông tin chính về bộ tài liệu ISO 27001. Mọi thắc mắc của quý doanh nghiệp liên quan đến bộ tài liệu ISO 27001 nói riêng và chứng nhận ISO 27001 nói chung, xin vui lòng liên hệ với chuyên gia TQC theo số Hotline 0969.416.668 (miền bắc) / 0968.799.816 (miền trung) / 0988.397.156 (miền nam) để được tư vấn chi tiết nhất.