Trong bài viết này, TQC sẽ giới thiệu các giai đoạn triển khai ISO 27001 để quý doanh nghiệp có thể tham khảo cho dự án của mình.
ISO 27001 được triển khai theo chu trình PDCA (Plan - Do - Check - Act) - Chu trình phù hợp với tất cả các tiêu chuẩn quốc tế có thể kiểm tra được: ISO 18001, 9001 và 14001.
ISO/IEC 27001:2013 quy định các bước PDCA sau đây:
-
Xác định chính sách ISMS
-
Xác định phạm vi của ISMS
-
Thực hiện đánh giá rủi ro bảo mật
-
Quản lý rủi ro đã xác định
-
Chọn các điều khiển sẽ được triển khai và áp dụng
-
Chuẩn bị SoA
Xác định Mục tiêu Kinh doanh
Cấp quản lý cần xác định mục tiêu ưu tiên và các bên liên quan phải tham gia. Các mục tiêu chính có thể bắt nguồn từ sứ mệnh, kế hoạch chiến lược và mục tiêu CNTT của công ty.
Ví dụ như:
-
Tăng doanh thu và lợi nhuận bằng cách cung cấp mức bảo mật cao nhất cho dữ liệu nhạy cảm của khách hàng
-
Nhận dạng tài sản thông tin và đánh giá rủi ro hiệu quả
-
Đảm bảo với khách hàng và đối tác về cam kết của tổ chức đối với bảo mật thông tin, quyền riêng tư và bảo vệ dữ liệu
-
...
Cam kết hỗ trợ của quản lý
Quản lý phải cam kết thiết lập, lập kế hoạch, thực hiện, vận hành, giám sát, xem xét, duy trì, cải tiến ISMS. Sự hỗ trợ của ban quan lý được thể hiện ở các hoạt động sau:
-
Mục tiêu và kế hoạch an toàn thông tin
-
Thông báo cho tổ chức về tầm quan trọng của việc tuân thủ chính sách bảo mật thông tin
-
Đủ nguồn lực để quản lý, phát triển, duy trì và triển khai ISMS
-
Xác định mức độ rủi ro có thể chấp nhận được
-
Đánh giá của ban quản lý về ISMS theo các khoảng thời gian đã định
-
Đảm bảo nhân viên có liên quan được đào tạo thích hợp.
-
Bổ nhiệm người có năng lực để đảm nhiệm vai trò và trách nhiệm mà họ được giao
Xác định phạm vi ISMS
Phạm vi ISMS bao gồm các quy trình, đơn vị kinh doanh và các nhà cung cấp hoặc nhà thầu bên ngoài thuộc phạm vi thực hiện phải được chỉ định để chứng nhận xảy ra. Phạm vi nên được quản lý và có thể chỉ nên bao gồm các bộ phận của tổ chức.
Lợi ích của việc xác định phạm vi:
-
Phạm vi được lựa chọn giúp đạt được các mục tiêu kinh doanh xác định.
-
Quy mô hoạt động tổng thể của tổ chức là một tham số tích hợp cần thiết để xác định mức độ phức tạp của quy trình tuân thủ.
-
Để tìm ra quy mô hoạt động thích hợp, tổ chức cần xem xét số lượng nhân viên, quy trình kinh doanh, địa điểm làm việc và các sản phẩm hoặc dịch vụ được cung cấp (Phạm vi)
Quản lý rủi ro
Để đáp ứng các yêu cầu của ISO / IEC 27001, các công ty cần xác định rủi ro và phương pháp đánh giá rủi ro. Các điểm cần xem xét:
-
Phương pháp được sử dụng để đánh giá rủi ro đối với tài sản thông tin được xác định
-
Những rủi ro nào là không thể chấp nhận được và do đó, cần được giảm thiểu
-
Quản lý rủi ro tồn đọng thông qua các chính sách, thủ tục và kiểm soát được cân nhắc kỹ lưỡng
Sau khi xác định được rủi ro gây ra vấn đề, cân nhắc phương pháp xử lý rủi ro:
-
Xử lý rủi ro bằng cách áp dụng các biện pháp kiểm soát bảo mật thông tin được quy định trong ISO 27001
-
Chấm dứt rủi ro bằng cách tránh hoàn toàn
-
Chia sẻ rủi ro (với hợp đồng bảo hiểm hoặc thông qua thỏa thuận với các bên khác)
-
Chấp nhận rủi ro (nếu nó không gây ra mối đe dọa đáng kể)
Mọi rủi ro mà doanh nghiệp xử lý phải được ghi lại trong SoA.
Thiết lập các chính sách và thủ tục để kiểm soát rủi ro
Đối với các biện pháp kiểm soát được thông qua được trình bày trong SoA, tổ chức sẽ cần các tuyên bố về chính sách hoặc một thủ tục chi tiết và tài liệu trách nhiệm để xác định vai trò của người dùng nhằm thực hiện nhất quán và hiệu quả chính sách và thủ tục.
Tài liệu về các chính sách và thủ tục là một yêu cầu của ISO / IEC 27001. Danh sách các chính sách và thủ tục áp dụng phụ thuộc vào cấu trúc, địa điểm và tài sản của tổ chức.
Phân bổ nguồn lực và đào tạo nhân viên
Quy trình ISMS nêu bật một trong những cam kết quan trọng đối với ban quản lý: đủ nguồn lực để quản lý, phát triển, duy trì và thực hiện ISMS.
Cần phải kiểm tra xem nhân viên có thể vận hành hoặc tương tác với các biện pháp kiểm soát và họ có nhận thức được các nghĩa vụ bảo mật thông tin của mình không. Điều cần thiết là phải lập hồ sơ đào tạo để kiểm toán.
Tham khảo dịch vụ: đào tạo ISO 27001
Giám sát việc thực hiện ISMS
Không thể biết ISMS của doanh nghiệp mình có hoạt động hay không trừ khi xem xét và đánh giá định kỳ hệ thống này. Việc đánh giá định kỳ cần thực hiện ít nhất 1 lần mỗi năm để theo dõi sự phát triển của các rủi ro và xác định rủi ro mới xuất hiện. Mục tiêu chính của quá trình xem xét là để xem liệu ISMS của bạn có thực sự ngăn chặn các sự cố bảo mật hay không.
Để hoàn thành chu trình PDCA, các lỗ hổng được xác định trong đánh giá nội bộ phải được giải quyết bằng cách xác định các biện pháp kiểm soát khắc phục, phòng ngừa cần thiết và sự tuân thủ của công ty dựa trên phân tích lỗ hổng.
Chuẩn bị cho Đánh giá chứng nhận
Khi ISMS đã có, các tổ chức nên xem xét đăng ký chứng nhận ISO 27001 từ một tổ chức chứng nhận được công nhận.
Đánh giá viên bên ngoài trước tiên sẽ kiểm tra các tài liệu ISMS để xác định phạm vi và nội dung của ISMS. Mục tiêu của việc soát xét và đánh giá là có đầy đủ bằng chứng và các tài liệu soát xét/ đánh giá được gửi đến chuyên gia đánh giá để xem xét. Các bằng chứng và tài liệu sẽ chứng minh hiệu quả và hiệu lực của ISMS được triển khai trong tổ chức và các đơn vị kinh doanh của nó.
► Xem ngay: Bộ tài liệu ISO 27001
Đánh giá định kỳ
Việc đánh giá định kỳ xác nhận tổ chức vẫn tuân thủ tiêu chuẩn sau khi nhận được chứng nhận. Như với bất kỳ tiêu chuẩn ISO nào khác, ISO 27001 tuân theo chu trình PDCA và hỗ trợ ban quản lý ISMS biết được doanh nghiệp đã tiến triển tốt như thế nào trong chu trình này. Điều này ảnh hưởng trực tiếp đến thời gian và ước tính chi phí liên quan đến việc đạt được sự tuân thủ.
Trên đây là một số chia sẻ về các giai đoạn triển khai ISO 27001. Nếu doanh nghiệp có nhu cầu đào tạo ISO 27001 chuyên sâu, hãy liên hệ với TQC ngay hôm nay để tham gia khóa đào tạo nhận thức và diễn giải yêu cầu của ISO 27001, đào tạo kỹ năng đánh giá nội bộ, kỹ năng giải quyết rủi ro, áp dụng ISMS theo tiêu chuẩn ISO 27001...
Liên hệ Hotline 0969.416.668 (miền bắc) / 0968.799.816 (miền trung) / 0988.397.156 (miền nam) để được đào tạo, hỗ trợ đăng ký ISO 27001 nhanh gọn, chuyên nghiệp!