Tiêu chuẩn quốc gia TCVN 11779:2017 về Công nghệ thông tin - Các kỹ thuật an toàn

A.1  Phạm vi, chính sách và phương pháp tiếp cận đánh giá rủi ro ISMS (TCVN ISO/IEC 27001:2009 4.1 và 4.2.1a) đến c))

Tiêu chí đánh giá

TCVN ISO/IEC 27001:2009 4.1, 4.2.1 a), b) và c)

Các tiêu chuẩn liên quan.

TCVN ISO/IEC 17021:2011 9.2.1 a) tới d)

TCVN 10295:2014 từ 3.1 tới 3.9 (TCVN 9788:2013)

TCVN 10295:2014 7.1,7.2, 7.3 và 7.4

ISO/IEC 27006 3.1, 3.5, 9.1.2 và 9.1.4.2 b) tới d)

Bằng chứng đánh giá

Bằng chứng đánh giá bao gồm:

• Phạm vi của ISMS (4.3.1 b));

• Biểu đồ của tổ chức;

• Chiến lược của tổ chức;

• Bản tuyên bố chính sách nghiệp vụ, quy trình và các hoạt động nghiệp vụ.

• Tài liệu quy định các vai trò và trách nhiệm;

• Cấu hình mạng;

• Thông tin về địa điểm, bao gồm cả danh sách các chi nhánh, nghiệp vụ, văn phòng và các cơ sở vật chất và sơ đồ các tầng của các vị trí.

• Giao diện và sự phụ thuộc của các hoạt động nghiệp vụ được thực hiện bên trong phạm vi của ISMS với bên ngoài phạm vi

• Các điều luật, quy định và hợp đồng liên quan.

• Thông tin chính về các tài sản

• Tài liệu về chính sách ISMS

Hướng dẫn thực hành đánh giá

Hệ thống quản lý an toàn thông tin (theo điều 4 của TCVN ISO/IEC 27001:2009)

Các yêu cầu chung (theo 4.1)

"4.1 Các yêu cầu chung” của TCVN ISO/IEC 27001:2009 chỉ rõ bối cảnh tổng thể của ISMS theo yêu cầu của TCVN ISO/IEC 27001:2009, bao gồm toàn bộ các yêu cầu được nêu trong 4.1. Trong thực hành đánh giá, ISMS phải được xác nhận là:

• Được tổ chức và thực hiện trong bối cảnh các hoạt động nghiệp vụ tổng thể của tổ chức và những rủi ro phải đối mặt;

• Được lập tài liệu để đáp ứng các yêu cầu về hệ thống tài liệu (nêu tại 4.3)

Ngoài ra, cần phải chứng minh ISMS đã được thiết lập, triển khai, vận hành, giám sát, soát xét, duy trì và phát triển, ví dụ: một tổ chức chứng minh rằng họ có đủ năng lực thực hiện các quá trình này.

Thiết lập và quản lý ISMS (theo 4.2)

Thiết lập ISMS (4.2.1)

Phạm vi ISMS (4.2.1a))

Chuyên gia đánh giá cần phải soát xét và xác nhận rằng tổ chức đã xác định phạm vi và giới hạn của ISMS.

Phạm vi của ISMS cần được nhận biết để đảm bảo rằng tất cả các tài sản có liên quan đều được xem xét trong quản lý ISMS và quản lý rủi ro ISMS. Thêm vào đó ranh giới, giao diện và các phụ thuộc cần được nhận biết để giải quyết những rủi ro có thể phát sinh giữa chúng.

Cần thiết phải xác nhận rằng thông tin về tổ chức đã được thu thập để xác định bối cảnh vận hành của tổ chức, mối tương quan của tổ chức với ISMS và các quy trình quản lý rủi ro an toàn thông tin của mình, để xác định phạm vi và giới hạn.

Chuyên gia đánh giá phải xác nhận rằng tổ chức đã xem xét các thông tin sau đây để định rõ phạm vi và giới hạn:

• chiến lược mục tiêu và các chính sách nghiệp vụ của tổ chức;

• quy trình nghiệp vụ;

• chức năng và cơ cấu của tổ chức;

• yêu cầu của luật pháp, hợp đồng và các yêu cầu khác liên quan đến tổ chức;

• các tài sản thông tin chính

• vị trí của tổ chức và đặc điểm địa lý của nó;

• các hạn chế ảnh hưởng đến tổ chức;

• kỳ vọng của các bên liên quan;

• môi trường văn hóa-xã hội;

• các giao diện (ví dụ: trao đổi thông tin với môi trường).

Cần soát xét và xác minh rằng tổ chức cung cấp các lý do cho bất kỳ loại trừ nào ra ngoài phạm vi ISMS. Cũng cần xác nhận rằng tổ chức đang sở hữu có chức năng và quyền quản trị và có thể đảm bảo rằng ISMS được thực hiện liên tục trong suốt vòng đời của nó (TCVN ISO/IEC 27001:2009 tại 4.1 và ISO/IEC 27006 tại 3.5).

Hướng dẫn khác về cách đánh giá phạm vi của ISMS được đưa ra trong 6.2.3.

Chính sách ISMS (4.2.1 b))

Các chuyên gia đánh giá phải xác nhận rằng chính sách ISMS của tổ chức được mô tả cụ thể trên khía cạnh các đặc trưng của nghiệp vụ, tổ chức, vị trí tổ chức, các tài sản và công nghệ. Các chuyên gia đánh giá cũng cần xác nhận rằng chính sách ISMS nhận biết rõ ràng:

• Một khuôn khổ cho việc thiết lập các mục tiêu ISMS (các cơ sở và sự phù hợp cho việc thiết lập các mục tiêu nếu chính sách ISMS và các chính sách an toàn thông tin được mô tả trong một tài liệu), cũng như phương hướng và nguyên tắc hành động xét từ quan điểm quản lý;

• các yêu cầu nghiệp vụ cần thiết, các yêu cầu về pháp lý, yêu cầu về hợp đồng và các yêu cầu khác liên quan đến tổ chức được đánh giá.

• vị trí và giao diện như thế nào mà quản lý rủi ro an toàn thông tin liên kết với quản lý rủi ro tổng thể của tổ chức bao gồm cả trách nhiệm xã hội, quản lý nội bộ, kiểm soát tài chính và an toàn.v.v..

• lý do để quản lý rủi ro, chẳng hạn như những tài sản chính cần được quan tâm để bảo vệ và các khía cạnh của an toàn thông tin, ví dụ: tính bí mật, tính toàn vẹn hoặc tính sẵn sàng cần được đánh giá một cách nghiêm túc nhất khi đánh giá rủi ro ISMS được thực hiện.

• Phê duyệt và cam kết của lãnh đạo cấp cao.

Việc đánh giá chính sách ISMS có thể được thực hiện bằng cách:

• xác nhận rằng chính sách ISMS được đề ra là một tài liệu có chữ ký hoặc con dấu cho thấy rằng lãnh đạo cấp cao đã thiết lập chính sách;

• xác nhận thông qua các tài liệu liên quan rằng các thủ tục về việc thành lập chính sách (ví dụ như cách thức để chính sách được phê chuẩn hay được xem xét trong tổ chức) quy tắc cho các thủ tục được xác định, các quy tắc được lập tài liệu và các phương pháp kiểm soát các tài liệu được quy định;

• phỏng vấn ban quản lý để hiểu cách tiếp cận và cam kết của họ đối với ISMS của tổ chức.

• đánh giá thông qua biên bản và hồ sơ soát xét của ban quản lý, cam kết và sự tham gia của ban quản lý trong việc triển khai, duy trì và cải tiến chính sách ISMS;

• đánh giá liệu ban quản lý có truyền đạt hiệu quả chính sách ISMS, ví dụ bằng cách tập trung trên đối tượng tiếp thu cụ thể tại tất cả các cấp của tổ chức;

• tiến hành các cuộc phỏng vấn với các cá nhân trong phạm vi ISMS để xác minh họ nhận có nhận thức được tầm quan trọng của các mục tiêu an toàn thông tin, phù hợp với chính sách an toàn thông tin và trách nhiệm của mình với an toàn thông tin;

• xem xét các chính sách an toàn thông tin (nếu có) và mối quan hệ của nó với chính sách ISMS;

Việc đánh giá các mục tiêu ISMS có thể được thực hiện bằng cách xác nhận rằng:

• mục tiêu ISMS của tổ chức đã được xác định, được phản ánh trong chính sách ISMS và phù hợp với các mục tiêu nghiệp vụ tổng thể;

• biện pháp kiểm soát ISMS và các quy trình được xác định và được lập tài liệu để đáp ứng các mục tiêu của ISMS;

• các mục tiêu được lập tài liệu một cách thích hợp;

• các mục tiêu ISMS đều được truyền thông một cách thích hợp đến tất cả các cấp của tổ chức;

• tổ chức đã giao cho các cá nhân chịu trách nhiệm những người này là nguồn lực cần thiết để đạt được các mục tiêu.

Khuyến nghị trong các giai đoạn đánh giá soát xét tài liệu thì các chuyên gia đánh giá cần kiểm tra chính sách và mục tiêu ISMS đã được lập;

Chính sách và mục tiêu ISMS yêu cầu phải được soát xét và cập nhật để đáp ứng với bối cảnh thay đổi của quản lý rủi ro. Các chuyên gia đánh giá phải xác nhận rằng việc cải tiến liên tục đã được thực hiện theo bối cảnh môi trường nghiệp vụ.

Các chuyên gia đánh giá phải ghi nhớ rằng sự phù hợp với chính sách ISMS và sự hoàn thành mục tiêu có thể được đo một cách định lượng hay định tính.

Phương pháp đánh giá rủi ro (4.2.1 c))

TCVN ISO/IEC 27001:2009 yêu cầu các tổ chức định rõ một phương pháp đánh giá rủi ro và 4.2.1 d) tới f) đã xác định các thành phần của phương pháp này. TCVN ISO/IEC 27001:2009 không chỉ rõ phương pháp đánh giá rủi ro cần được sử dụng và phương pháp có thể được chấp nhận miễn là nó đáp ứng các yêu cầu trong tiêu chuẩn TCVN ISO/IEC 27001:2009.

Chuyên gia đánh giá cần phải xác minh rằng các phương pháp đánh giá rủi ro phù hợp với các yêu cầu về đánh giá rủi ro trong tiêu chuẩn TCVN ISO/IEC 27001:2009, phù hợp với tổ chức và quản lý rủi ro tổng thể.

Cần xác nhận rằng phương pháp đánh giá rủi ro được triển khai để xác định rủi ro trong các quy trình nghiệp vụ, hoạt động và đưa ra hành động thích hợp để đối phó với những rủi ro.

TCVN 10295:2014 cung cấp hướng dẫn về đánh giá rủi ro và quản lý rủi ro. Chuyên gia đánh giá cần phải nhận thức được rằng có nhiều phương pháp định lượng và định tính hoặc sự kết hợp bất kỳ của phương pháp định tính và định lượng để đánh giá rủi ro, tùy thuộc vào phương pháp được tổ chức quyết định sử dụng.

Các quy trình và thủ tục theo TCVN ISO/IEC 27001:2009 từ 4.2.1 c) tới 4.2.1 j) được yêu cầu để xác định, triển khai và lập tài liệu như là một phương pháp tiếp cận đánh giá rủi ro theo thông báo của ban quản lý như đã được mô tả trong chính sách ISMS của tổ chức (như 4.2.1 b) 4) tiêu chí đối phó với rủi ro sẽ được đánh giá). Phương pháp tiếp cận được xác định bao gồm cách thức để giải quyết việc tuân thủ theo pháp lý, các yêu cầu của hợp đồng và các yêu cầu khác liên quan đến rủi ro và rủi ro mà tổ chức cần xử lý theo chiến lược, theo bối cảnh của nghiệp vụ và đánh giá rủi ro. Trong cuộc đánh giá giá, chuyên gia đánh giá cần phải xác nhận rằng phương pháp tiếp cận này được triển khai và thực hiện theo yêu cầu của tiêu chuẩn TCVN ISO/IEC 27001:2009 4.2.1 b) tới 4.2.1 j).

Chuyên gia đánh giá phải xác nhận rằng các kết quả của đánh giá rủi ro theo phương pháp tiếp cận đánh giá rủi ro trên có thể được so sánh và tái lập.

Nói cách khác, chuyên gia đánh giá phải xác nhận rằng phương pháp tiếp cận cho phép những người chịu trách nhiệm khác nhau về đánh giá rủi ro đạt được kết quả như nhau bất kể là ai và khi nào tiến hành đánh giá rủi ro, cho thấy rằng họ có mức nhất định về năng lực đánh giá rủi ro và đã tiến hành đánh giá trên các tài sản giống nhau theo đúng các quy trình và thủ tục được xác trong phương pháp tiếp cận. Nếu kết quả mang lại là khác nhau, cần cho phép họ xác định xem sự khác nhau là ở đâu và vì sao. Tổ chức cũng cần có phương pháp tiếp cận để có thể có được sự lựa chọn như nhau cho các biện pháp xử lý rủi ro nếu các rủi ro được ước lượng là như nhau, tức là với cùng mức và đặc điểm rủi ro (các tài sản và yêu cầu an toàn).

Các xác nhận này phải được thực hiện bằng cách lấy mẫu dựa trên các hồ sơ báo cáo đánh giá rủi ro để truy vết từ đầu đến cuối theo tuần tự quy trình đánh giá rủi ro với đánh giá tại chỗ về tài sản trong cơ sở vật chất.

Tiêu chí cho việc chấp nhận rủi ro thường chịu ảnh hưởng bởi các chính sách quản lý, mục tiêu, công nghệ, vốn, pháp luật và các quy định liên quan của tổ chức và các bên quan tâm đã được xác định bởi tổ chức. Do đó chuyên gia đánh giá cần soát xét với sự quan tâm đúng mức, hiệu lực của tiêu chí trong điều khoản bởi các thực thể bên trên, cũng như xác nhận rằng chúng đã được tồn tại và định rõ. Chuyên gia đánh giá có thể tham khảo theo 7.3 của tiêu chuẩn TCVN 10295:2014 để biết chi tiết các tiêu chí chấp nhận rủi ro.

A.2  Nhận biết rủi ro, phân tích và đánh giá, xác định lựa chọn xử lý rủi ro và đánh giá (theo TCVN ISO/IEC 27001:2009 4.2.1 d) tới f))

Tiêu chí đánh giá

TCVN ISO/IEC 27001:2009 4.2.1 d), e), f)

Các tiêu chuẩn liên quan.

TCVN 10295:2014 8.2, 8.3, 9, 10

Bằng chứng đánh giá

Bằng chứng đánh giá bao gồm:

• Bản kiểm kê tài sản;

• Các tài liệu về phương pháp luận đánh giá rủi ro;

• Các báo cáo đánh giá rủi ro.

Hướng dẫn thực hành đánh giá

Nhận biết rủi ro (4.2.1 d))

Chuyên gia đánh giá cần soát xét bản kiểm kê tài sản để xác nhận rằng tất cả tài sản quan trọng có liên quan trong phạm vi của ISMS đều có trong bản kê khai, người có trách nhiệm sở hữu được định rõ cho toàn bộ tài sản. Chuyên gia đánh giá nên rà soát để nhận biết các mối đe dọa liên quan đến tài sản, điểm yếu bị dễ bị khai thác từ các mối đe dọa, và lỗi an toàn gây ra do các điểm yếu. ví dụ: các tình huống sự cố nêu trong TCVN 10295:2014.

Phân tích và đánh giá rủi ro (4.2.1e))

Điều quan trọng là kiểm tra xem việc đánh giá rủi ro có giải quyết với toàn bộ tài sản quan trọng trong phạm vi ISMS và việc đánh giá các mối đe dọa/điểm yếu liên quan đến tài sản có được đưa ra cho tổ chức và không chỉ sử dụng danh sách các mối đe dọa/điểm yếu xác định trước đó hay không. Điều này cũng quan trọng để tìm thấy những rủi ro mà về cơ bản đã bị bỏ qua hoặc xem nhẹ. Ví dụ khi mà các biện pháp kiểm soát rủi ro tương ứng có chi phí cao, khó để triển khai hoặc khi mà các rủi ro đã bị hiểu sai.

Chuyên gia đánh giá phải xác nhận bằng việc lấy mẫu rằng tất cả các tài sản quan trọng được liệt kê trong kiểm kê tài sản có được đánh giá rủi ro và xem xét các mẫu về các kịch bản sự cố được đánh giá rủi ro để đánh giá xem chúng có phản ánh các nhu cầu nghiệp vụ và các tác động thích hợp hay không.

Sự sẵn sàng của nhân viên có năng lực là rất quan trọng để ISMS hoạt động hiệu quả. Chuyên gia đánh giá cần đánh giá các bằng chứng cho thấy những rủi ro tầm trung và dài hạn liên quan đến việc mất tính sẵn sàng của nhân viên đã được tổ chức đánh giá đầy đủ và soát xét theo các cập nhật mới nhất và các biện pháp kiểm soát an toàn thông tin thích hợp được triển khai để làm tăng khả năng chịu đựng của tổ chức trước các thiệt hại.

Các tùy chọn xử lý rủi ro (4.2.1 f))

Chuyên gia đánh giá cần soát xét các lựa chọn xử lý rủi ro của tổ chức. Cũng cần soát xét xem liệu các "xử lý" có thích hợp? (ví dụ: sự giảm thiểu thông qua việc áp dụng biện pháp kiểm soát phù hợp, tránh rủi ro, chuyển giao rủi ro cho các bên thứ ba hoặc việc chấp nhận rủi ro một cách có chú ý nếu chúng nằm trong kế hoạch của ban quản lý đã được quy định cho tất cả các rủi ro được xác định. Chuyên gia đánh giá cần phải tìm kiếm những khoảng trống và các bất thường khác, kiểm tra xem những thay đổi gần đây (ví dụ như hệ thống công nghệ thông tin mới hoặc quy trình nghiệp vụ) đã được tích hợp phù hợp trong việc đánh giá rủi ro và các quyết định xử lý rủi ro.

A.3  Lựa chọn các mục tiêu quản lý và biện pháp kiểm soát, phê chuẩn các rủi ro tồn đọng đã được đề xuất, sự cấp quyền của ban quản lý và tuyên bố áp dụng (TCVN ISO/IEC 27001:2009 từ 4.2.1g) tới j)).

Tiêu chí đánh giá

TCVN ISO/IEC 27001:2009 từ 4.2.1 g) tới j), Phụ lục A

Các tiêu chuẩn liên quan

TCVN 10295:2014 9.1, 9.2, 10

ISO/IEC 27006 9.1.2

Bằng chứng đánh giá

Bằng chứng đánh giá bao gồm:

• Các tài liệu về phương pháp luận đánh giá rủi ro;

• Báo cáo đánh giá rủi ro;

• Tài liệu mô tả mức độ giảm thiểu rủi ro qua các biện pháp kiểm soát được chấp nhận (kết quả của việc đánh giá rủi ro);

• Hồ sơ cho thấy sự phê chuẩn các rủi ro tồn đọng của ban quản lý. (đặc biệt là khi rủi ro tồn đọng là cao hơn mức được xác định trong tiêu chí chấp nhận rủi ro, có thể bao gồm cả các điều chỉnh của họ);

• Hồ sơ thể hiện sự cho phép của ban quản lý khi triển khai và vận hành ISMS;

• Bản tuyên bố về khả năng áp dụng.

Hướng dẫn thực hành đánh giá

Lựa chọn mục tiêu quản lý và biện pháp quản lý (4.2.1 g))

Đối với những yêu cầu về an toàn thông tin xuất phát từ các đánh giá rủi ro và các tùy chọn xử lý rủi ro được chọn theo yêu cầu, chuyên gia đánh giá phải soát xét xem các biện pháp kiểm soát thích hợp có được lựa chọn và mục tiêu kiểm soát phải đạt được đã được lập kế hoạch chưa, bằng cách lấy mẫu thích hợp. Chuyên gia đánh giá phải soát xét xem các biện pháp kiểm soát và các mục tiêu được lựa chọn phù hợp với các yêu cầu an toàn thông tin trong các yêu cầu về kiểm soát đã được xác định trong Phụ lục A của TCVN ISO/IEC 27001:2009 (để giải thích các yêu cầu về biện pháp kiểm soát trong Phụ lục A, các thực hành tốt nhất được mô tả là các hướng dẫn triển khai trong TCVN ISO/IEC 27002:2011). Bất kỳ sự khác biệt lớn nào so với yêu cầu của Phụ lục A trong việc lựa chọn biện pháp kiểm soát (ví dụ nếu mục tiêu kiểm soát và biện pháp kiểm soát không được đáp ứng bởi tổ chức hoặc bổ sung mục tiêu hoặc biện pháp kiểm soát được lựa chọn bên ngoài của phụ lục A) nên được xác định và soát xét hợp lý. Ngoài ra, chuyên gia đánh giá phải kiểm tra xem các thực hành có đáp ứng tốt nhất cho các hoạt động nghiệp vụ liên quan mà đã được xem xét trong quy trình lựa chọn biện pháp kiểm soát.

Cần kiểm tra xem mọi yêu cầu an toàn thông tin được chỉ thị rõ ràng bởi chính sách của tổ chức, quy định của ngành, pháp luật, hợp đồng v.v.. có được phản ánh phù hợp trong các tài liệu về biện pháp kiểm soát, mục tiêu kiểm soát và những rủi ro có được giảm thiểu rõ ràng các để đạt các tiêu chí chấp nhận rủi ro. Cần xác minh rằng việc xử lý rủi ro được áp dụng nhiều lần nếu những rủi ro tồn đọng không đạt được yêu cầu theo tiêu chí rủi ro cho phép sau khi đã thực hiện các biện pháp.

Phê chuẩn các rủi ro tồn đọng đã đề xuất của ban quản lý (4.2.1 h))

Cho phép triển khai và vận hành hệ thống ISMS của ban quản lý (4.2.1 i))

Chuyên gia đánh giá phải đánh giá một cách ngắn gọn những rủi ro an toàn thông tin còn lại và xác nhận rằng tổ chức đã có được sự phê chuẩn của ban quản lý với các rủi ro còn lại sau khi lựa chọn các biện pháp xử lý rủi ro. Cũng cần kiểm tra xem ban quản lý đã chính thức xem xét và chấp nhận những rủi ro còn lại chưa, các rủi ro này có thuộc kế hoạch xử lý rủi ro đã được xác định của tổ chức không, các quyết định chấp nhận rủi ro được thực hiện bởi cấp có đầy đủ thẩm quyền của bộ phận ra quyết định và nơi nào mức độ rủi ro còn lại không thể giảm dưới mức tiêu chuẩn chấp nhận, ban quản lý có quyết định chính thức chấp nhận những rủi ro này không và những lý do cho quyết định có được ghi lại không.

Ngoài ra chuyên gia đánh giá phải xác nhận việc ban quản lý đã cho phép việc thực thi và điều hành của ISMS, ví dụ thông qua một biên bản ghi nhớ chính thức, phê duyệt dự án, thư hỗ trợ của Giám đốc điều hành v.v.. nó cần được kiểm tra rằng đây không phải chỉ là hình thức và có bằng chứng rằng ban quản lý thực sự hiểu rõ và hỗ trợ ISMS.

Thông báo áp dụng (4.2.1 j))

Chuyên gia đánh giá cần soát xét thông báo áp dụng của tổ chức đảm bảo rằng các tài liệu, các mục tiêu kiểm soát và các biện pháp kiểm soát được xác minh xem tài liệu nào còn được áp dụng và tài liệu nào không còn được áp dụng. Điều quan trọng là Thông báo áp dụng chứng minh được liên kết giữa các rủi ro đã được xác định và các mục tiêu kiểm soát và biện pháp kiểm soát được lựa chọn và giảm nhẹ chúng. Điều quan trọng là xác minh đưa ra được các biện pháp kiểm soát đã được xác định không còn có thể sử dụng, chuyên gia đánh giá cần xác nhận các thực thể tồn tại phù hợp với tất cả các mục tiêu kiểm soát và biện pháp kiểm soát được liệt kê tại Phụ lục A của TCVN ISO/IEC 27009:2011. Thông báo áp dụng cũng cần bao gồm các biện pháp kiểm soát đang tồn tại. Điều cần thiết là Thông báo áp dụng đã được soát xét và phê chuẩn/phê duyệt bởi một mức thích hợp của ban quản lý với lưu hồ sơ của việc tạo mới, phê chuẩn, sửa đổi và cập nhật v.v.. như là bằng chứng.

A.4  Triển khai và vận hành ISMS (4.2.2)

Tiêu chí đánh giá

TCVN ISO/IEC 27001:2009 4.2.2

Tiêu chuẩn liên quan

TCVN ISO/IEC 27001:2009 Phụ lục A

TCVN ISO/IEC 27002:2011

TCVN 10295:2014 8.2.1.4, 9.1

Bằng chứng đánh giá

Bằng chứng đánh giá bao gồm:

• Kế hoạch xử lý rủi ro và các hồ sơ quá trình trong kế hoạch các dự án.

• Các thủ tục và các hồ sơ đã được lập tài liệu về đo lường hiệu lực biện pháp kiểm soát.

Hướng dẫn thực hành đánh giá

Chuyên gia đánh giá cần phải xác nhận rằng tổ chức có đề ra và triển khai kế hoạch xử lý rủi ro với các tùy chọn về xử lý rủi ro đã được xác định. Điều quan trọng phải xác nhận rằng:

• Kế hoạch xử lý rủi ro đã được triển khai trong đó có xem xét các mức ưu tiên và trách nhiệm như đã được xác định;

• Các tài nguyên phù hợp được cấp phát để hỗ trợ vận hành ISMS (xem tại C.9 bên dưới);

• Mức độ ưu tiên và thời gian cho triển khai xử lý rủi ro tương ứng được xác định rõ ràng;

• Nguồn vốn, vai trò và trách nhiệm cho xử lý rủi ro được xác định;

• Kế hoạch xử lý rủi ro được sử dụng và chủ động cập nhật như là một công cụ quản lý an toàn thông tin.

Chuyên gia đánh giá phải soát xét xem ISMS có được triển khai và vận hành theo các yêu cầu ISMS đã được lập tài liệu không bằng cách lấy mẫu biện pháp kiểm soát (xem 4.2.1 g) và Phụ lục A của TCVN ISO/IEC 27001:2009 về triển khai và thực hiện. Điều này rất cần thiết để tìm kiếm bằng chứng hỗ trợ hoặc bác bỏ mối tương quan giữa các rủi ro được lập tài liệu với các biện pháp đã được lập kế hoạch và triển khai.

Chuyên gia đánh giá phải xác nhận rằng mục đích và cách để đo lường hiệu quả các biện pháp kiểm soát được lựa chọn phải được định nghĩa rõ ràng.

Điều quan trọng là có thể kiểm tra biện pháp kiểm soát nào thực sự giảm thiểu rủi ro hoặc các tác động của sự cố trong phương pháp đo lường hiệu quả của các biện pháp kiểm soát (TCVN 10295:2014 8.2.1.4).

Khi đánh giá việc đo lường ISMS, lưu ý rằng các bài đo có thể đạt được bằng một số cách, trong đó có một số cách phức tạp hơn các cách còn lại. Chuyên gia đánh giá cần phải nhận biết được rằng mặc dù có hướng dẫn về các bài đo ISMS sẵn có, nhưng các yêu cầu của TCVN ISO/IEC 27001:2009 sẽ vẫn được đáp ứng miễn là các tiêu chí để đưa ra kết quả có thể so sánh và tái hiện của việc đánh giá hiệu quả biện pháp kiểm soát phải được xác định và chấp thuận bởi ban quản lý. Điều này quan trọng để đảm bảo các đo lường ISMS đáp ứng các yêu cầu nghiệp vụ của tổ chức, lưu ý các kết quả của quy trình đánh giá và xử lý rủi ro. Các bài đo hiệu lực đảm bảo rằng biện pháp kiểm soát đó giảm thiểu hiệu quả các rủi ro liên quan một cách đáng kể.

Khi đánh giá việc vận hành ISMS, chuyên gia đánh giá phải đánh giá bằng cách nào tổ chức đảm bảo hiệu quả của các biện pháp kiểm soát. Cuối phần này chuyên gia đánh giá phải đánh giá sự mở rộng và đầy đủ của các phép đo ISMS.

A.5  Giám sát và soát xét ISMS (TCVN ISO/IEC 27001:2009 4.2.3)

Tiêu chí đánh giá

TCVN ISO/IEC 27001:2009 4.2.3

Tiêu chuẩn liên quan

TCVN 10295:2014 12.1, 12.2

Bằng chứng đánh giá

Bằng chứng đánh giá gồm:

• Báo cáo sự kiện/sự cố an toàn thông tin;

• Tài liệu cho soát xét của ban quản lý (đầu vào và đầu ra);

• Định nghĩa (thủ tục) đo lường hiệu quả các biện pháp kiểm soát và hồ sơ đo lường, đánh giá các biện pháp kiểm soát;

• Hồ sơ sử dụng các phép đo (bao gồm biện pháp tăng cường các biện pháp kiểm soát, hồ sơ về các hành động khắc phục hoặc phòng ngừa và kế hoạch xử lý rủi ro );

• Tài liệu chứa thông tin về các tài sản thông tin, đánh giá và phân tích rủi ro, kế hoạch xử lý rủi ro, Thông báo áp dụng;

• Kế hoạch hàng năm về an toàn thông tin.

Hướng dẫn thực hành đánh giá

Chuyên gia đánh giá nên soát xét quá trình giám sát và soát xét ISMS sử dụng bằng chứng như các kế hoạch, biên bản của các cuộc họp soát xét, soát xét của ban quản lý/báo cáo đánh giá ISMS nội bộ, sự vi phạm/báo cáo sự cố. Chuyên gia đánh giá nên đánh giá mức độ mà các lỗi quy trình, các điểm yếu về an toàn hoặc những sự cố khác được phát hiện, báo cáo, giải quyết. Điều quan trọng là xác định xem làm cách nào tổ chức soát xét có hiệu quả và chủ động việc triển khai ISMS để đảm bảo các biện pháp kiểm soát an toàn được xác định trong kế hoạch xử lý rủi ro, trong các chính sách v.v.. thực sự đã được thực hiện và vận hành trong thực tế. Chuyên gia đánh giá phải cũng nên soát xét đo lường ISMS và họ sử dụng để cải tiến ISMS liên tục.

Cần phải xác nhận rằng những thay đổi được xem xét tại 4.2.3 d) 1) tới 4.2.3 d) 6) trong TCVN ISO/IEC 27001:2009 đã được phản ánh trong các quy trình để xác định, phân tích, đánh giá và xử lý rủi ro. Ngoài ra cần phải xác nhận rằng các tài liệu và bản ghi ISMS liên quan tới đánh giá rủi ro đã được cập nhật.

Chuyên gia đánh giá phải đặc biệt chú ý tới đánh giá quy trình giám sát và soát xét ISMS. Quy trình này khá khác nhau phụ thuộc vào loại hình và quy mô của tổ chức nhưng các hoạt động này cần phải được chứng minh bởi tổ chức, được trình bày rõ ràng trong TCVN ISO/IEC 27001:2009.

Chuyên gia đánh giá cần đặc biệt quan tâm đến sự thay đổi và liệu tổ chức có xem xét sự thay đổi nội bộ và/hoặc bên ngoài để vận hành chúng và liệu những thay đổi này có ảnh hưởng đến các quy trình ISMS không.

A.6  Duy trì và cải tiến ISMS (xem 4.2.4 và điều 8 của TCVN ISO/IEC 27001:2009)

Tiêu chí đánh giá

TCVN ISO/IEC 27001:2009 4.1, 4.2.4, điều 8

Tiêu chuẩn liên quan

TCVN ISO/IEC 27001:2009 4.2.4 và điều 8

Bằng chứng đánh giá

Bằng chứng đánh giá gồm:

• Báo cáo các cải tiến được xác định từ các hành động được định nghĩa trong TCVN ISO/IEC 27001:2009 4.2.3;

• Báo cáo không phù hợp;

• Báo cáo hành động khắc phục/phòng ngừa;

• Báo cáo sự kiện và báo cáo sự cố an toàn.

• Các biện pháp và các thủ tục đã được lập tài liệu để hỗ trợ ISMS;

• Hồ sơ vận hành ISMS;

• Báo cáo đánh giá rủi ro;

• Thủ tục cho hành động khắc phục và phòng ngừa

• Thông báo áp dụng.

Hướng dẫn thực hành đánh giá

Duy trì và cải tiến ISMS (4.2.4)

Các cải tiến đã được xác định quy định tại 4.2.4 a) của TCVN ISO/IEC 27001:2009 chỉ dẫn các cải tiến mà đã được xác định thông qua quy trình giám sát và soát xét rủi ro trong 4.2.3 của TCVN ISO/IEC 27001:2009. Chuyên gia đánh giá nên soát xét xem các phương tiện và các hồ sơ mà cần thiết cho cải tiến ISMS đã được xác định chưa và cách thức triển khai các cải tiến này. Chuyên gia đánh giá cũng phải tìm kiếm bằng chứng dưới dạng các biên bản ghi nhớ, biên bản, báo cáo, email v.v.. của ban quản lý ghi lại nhu cầu cần cải tiến, cho phép cải tiến và thực hiện cải tiến.

Chuyên gia đánh giá ISMS phải tìm kiếm bằng chứng hữu hình về việc cải tiến chính sách, thủ tục, phương pháp và biện pháp kiểm soát, đánh giá rủi ro mới, soát xét và thay đổi chính sách an toàn thông tin, các hoạt động nghiệp vụ mới gồm các thành phần quan tâm mới, duy trì (không chỉ trong công nghệ thông tin mà cả ước lượng khoảng thời gian cho các cài đặt), năng lực và các hoạt động quản lý sự cố, các thay đổi để thủ tục truyền tải và xử lý thông tin tốt như các thay đổi về luật pháp, công nghệ và tuân thủ an toàn cho các thành phần bên ngoài.

Do đó, khi đánh giá cũng cần phải xác nhận rằng các thủ tục và quy trình triển khai các cải tiến phù hợp với các yêu cầu được quy định trong 4.2.4 b) tới 4.2.4 d) của TCVN ISO/IEC 27001:2009.

Cải tiến ISMS (8)

Cải tiến liên tục (8.1)

Chuyên gia đánh giá nên xác minh bằng cách nào tổ chức có thể phát hiện ISMS đã được cải tiến, làm cách nào để đánh giá các rủi ro đã được kết hợp, làm cách nào để xác định được các yêu cầu liên quan vấn đề giám sát hiệu năng của ISMS.

Chuyên gia đánh giá xác minh bằng cách nào các mục tiêu tổng thể của tổ chức được chuyển dịch thành các yêu cầu an toàn thông tin nội bộ thông qua các quy trình thích hợp và các yêu cầu này được truyền thông và giám sát như thế nào. Bởi vậy, chuyên gia đánh giá phải tìm kiếm bằng chứng chứng minh rằng tổ chức phân tích dữ liệu từ việc giám sát ISMS và sau đó lấy kết quả trước đó để đánh giá hiệu quả ISMS và cải tiến ISMS nếu thấy cần thiết.

Chuyên gia đánh giá phải xác nhận rằng các mục tiêu cải tiến và các ưu tiên phù hợp với mục tiêu ISMS. Tuy nhiên, phải kết luận được rằng không có chính sách và mục tiêu nào liên quan đến cải tiến liên tục mà rõ ràng không tuân thủ tiêu chuẩn.

Nếu ban quản lý có bộ mục tiêu cải tiến và thực tế không có bằng chứng về sự cải tiến, thông tin này phải được phản hồi cho ban quản lý xem xét để ban quản lý có thể quyết định kiểu hành động thích hợp, ví dụ điều chỉnh lại mục tiêu và cung cấp biện pháp khác để tác động đến quy trình.

Nếu tổ chức sử dụng thống kê hiệu năng (ví dụ giảm bớt số sự cố an toàn thông tin) để đo các cải tiến, chuyên gia đánh giá phải đánh giá cẩn thận nếu thực tế các thống kê liên quan tới các rủi ro được xác định hoặc nếu lựa chọn dễ dàng dựa trên tính toán.

Hành động khắc phục (8.2)

Chuyên gia đánh giá cần thu nhận và soát xét thông tin liên quan đến hành động khắc phục ISMS như báo cáo và kế hoạch hành động từ (các) soát xét quản lý ISMS hoặc đánh giá (xem TCVN ISO/IEC 27001:2009 tại 7.3), trong trường hợp ISMS thay đổi các yêu cầu, các đề xuất ngân sách/đầu tư và nghiệp vụ v.v... Chuyên gia đánh giá phải tìm kiếm bằng chứng cho thấy thực tế ISMS đã được cải tiến cơ bản như kết quả phản hồi - kiểm tra tài liệu liên quan tới khép lại các hạng mục kế hoạch hành động...để xác nhận rằng xem các vấn đề không phù hợp và nguyên nhân gốc rễ thực sự có đang được giải quyết một cách hiệu quả bởi ban quản lý trong khoảng thời gian hợp lý không.

Thường có những trường hợp mà phương pháp đưa ra dẫn tới sự không phù hợp nhưng hành động để ngăn chặn việc tái diễn này chưa được đưa ra bởi vì việc phân tích nguyên nhân gốc rễ đã bị thất bại. Báo cáo hành động khắc phục và xác nhận rằng các hành động được ghi lại có hiệu quả có thể được áp dụng thông qua tiến hành quan sát tại chỗ.

Trong các điều khoản quản lý rủi ro ISMS, phân tích nguyên nhân gốc rễ cần phải thực hiện:

• Xác định xem có phải chính do thực tế mà các rủi ro này đã không được xác định;

• Nếu rủi ro đã được xác định, kiểm tra xem các biện pháp kiểm soát (biện pháp) cho các rủi ro có được áp dụng không;

• Nếu các rủi ro được xác định và biện pháp kiểm soát được áp dụng cho rủi ro, kiểm tra xem các biện pháp kiểm soát được áp dụng có phù hợp với rủi ro không;

• Nếu các rủi ro được xác định và các biện pháp kiểm soát phù hợp được áp dụng cho rủi ro, xác minh rằng các biện pháp kiểm soát được triển khai có hiệu quả hoặc thực hiện như mong đợi không.

Một trong các nguyên nhân trên hoặc sự kết hợp các nguyên nhân trên có thể dẫn đến sự không phù hợp. Trong bối cảnh quản lý rủi ro, xảy ra sự không phù hợp có thể được xem xét như là các rủi ro được phơi bày, sự không phù hợp tiềm ẩn có thể được xem xét như là các rủi ro được ước đoán. Chuyên gia đánh giá phải xác minh và xác nhận rằng nguyên nhân gốc rễ về sự không phù hợp đã được xác định với phân tích chi tiết được mô tả như ở bên trên, các hành động dẫn tới sự không phù hợp là thích hợp với hồ sơ và thực tế quan sát tại chỗ.

Hành động phòng ngừa (8.3)

Ngoài việc đưa ra các cải tiến ISMS sinh ra từ sự không phù hợp với thực tế được xác định trước đây, chuyên gia đánh giá phải xác định xem liệu tổ chức có thái độ tích cực hơn hướng tới giải quyết các cải tiến tiềm ẩn, các yêu cầu mới xuất hiện hoặc dự kiến các yêu cầu mới v.v.. Chuyên gia đánh giá phải tìm kiếm bằng chứng về các thay đổi ISMS (như việc thêm, thay đổi, xóa bỏ các biện pháp kiểm soát an toàn thông tin) trong việc đáp ứng với việc nhận biết các rủi ro đã thay đổi đáng kể.

Các điều khoản dưới đây có thể được xem xét khi đánh giá các hành động phòng ngừa:

1) Làm cách nào tổ chức phát hiện ra các sự không phù hợp tiềm ẩn và nguyên nhân gây ra. Ví dụ điển hình gồm:

• Nhận biết các rủi ro mới hoặc bị thay đổi thông qua cập nhật đánh giá rủi ro (TCVN ISO/IEC 27001:2009 4.2.3 d) và 8.3);

• Phân tích xu hướng các đặc điểm ISMS. Một xu hướng xấu đi có thể chỉ báo rằng nếu không đưa ra hành động thích hợp thì sự không phù hợp có thể xảy ra;

• Báo động nhằm cung cấp cảnh báo sớm để tiếp cận các điều kiện vận hành ngoài tầm kiểm soát;

• Giám sát sự cố và phân tích xu hướng của các sự cố;

• Đánh giá sự không phù hợp đã xảy ra trong các hoàn cảnh tương tự nhưng đối với các thành phần khác của ISMS, các bộ phận khác của tổ chức hoặc thậm chí đối với tổ chức khác.

• Quá trình lập kế hoạch cho cả tình huống có thể dự đoán trước (ví dụ do sự mở rộng, bảo trì hoặc do thay đổi nhân sự) và cả những tình huống không thể dự đoán trước (như các thay đổi về pháp lý, xảy ra các vấn đề tự nhiên như: bão, động đất, lũ lụt...).

2) Làm cách nào tổ chức xác định hành động được yêu cầu và làm cách nào để triển khai chúng. Chuyên gia đánh giá phải tìm kiếm bằng chứng chứng minh rằng:

• Tổ chức đã phân tích những nguyên nhân không phù hợp tiềm ẩn (sử dụng biểu đồ phân tích kết quả và các công cụ an toàn thông tin khác có thể thích hợp cho việc này);

• Các hành động được yêu cầu đã được triển khai một cách kịp thời bên trong tất cả các bộ phận liên quan của tổ chức;

• Đã có các xác định rõ ràng về trách nhiệm trong việc nhận biết, đánh giá, triển khai và soát xét các hành động phòng ngừa;

• Đã có sự đào tạo đầy đủ về các biện pháp kiểm soát mới hoặc thay đổi.

3) Chuyên gia đánh giá phải xác nhận rằng:

• Các hồ sơ thích hợp đã được lưu trữ;

• Các hồ sơ là sự phản ánh trung thực kết quả đánh giá;

• Các hồ sơ đã được kiểm soát phù hợp theo 4.3.3 của TCVN ISO/IEC 27001:2009.

4. Soát xét đưa ra các hành động phòng ngừa, chuyên gia đánh giá phải xem xét liệu:

• Hành động đã có hiệu lực (tức là sự không phù hợp đã được ngăn chặn xảy ra và không cần thêm bất kì chi phí nào);

• Có cần thiết để tiếp tục các hành động phòng ngừa theo cách này không;

• Các hành động phòng ngừa cần được thay đổi hoặc liệu có cần lập kế hoạch cho các hành động mới không.

A.7  Hệ thống tài liệu ISMS (TCVN ISO/IEC 27001:2009 4.3)

Tiêu chí đánh giá

TCVN ISO/IEC 27001:2009 4.3.1 tới 4.3.3

Tiêu chuẩn liên quan

Bằng chứng đánh giá

Bằng chứng đánh giá gồm:

• Tài liệu ISMS được mô tả trong TCVN ISO/IEC 27001:2009 4.3.1 a) tới 4.3.1 i).

Hướng dẫn thực hành đánh giá

Yêu cầu về tài liệu (4.3)

Tài liệu ISMS (4.3.1)

Điều quan trọng là xác định các yêu cầu về tài liệu được quy định trong ISMS. Chuyên gia đánh giá phải xem xét các yêu cầu trong tiêu chuẩn TCVN ISO/IEC 27001:2009 tại 4.3.1 và một số nơi ghi trong điều 5 đến điều 8, ngoài Phụ lục A về kiểm soát và cũng là yêu cầu quy định trong tài liệu ISMS của tổ chức.

Chuyên gia đánh giá phải yêu cầu và thu được các thông tin về quá trình hoạt động đánh giá, phỏng vấn các nhân viên ở mọi cấp độ (bao gồm cả nhân viên hành chính, người sở hữu quy trình và người vận hành) và quan sát các hoạt động, hành vi của họ và việc thực hiện quy trình để xác nhận rằng việc thực hiện ISMS và hiệu suất tại chỗ phù hợp với các yêu cầu về tài liệu và quy định.

Bất kỳ tài liệu cần thiết nào trên phương diện quan sát nên được đánh giá nhất quán, tầm quan trọng của thông tin trong đó và vai trò của bất kỳ tài liệu có thể tránh các rủi ro lớn, rủi ro định trước.

Kiểm soát tài liệu ISMS (4.3.2)

Chuyên gia đánh giá nên kiểm tra sự hiện diện và sự tuân thủ theo thủ tục đã được lập tài liệu để kiểm soát các cập nhật tài liệu ISMS, chính sách, thủ tục, hồ sơ, v.v.. Chuyên gia đánh giá cũng cần xác định xem có không việc thay đổi tài liệu ISMS được kiểm soát chính thức, ví dụ: thay đổi được xem xét và chấp thuận trước bởi nhà quản lý, và được ban hành tới tất cả người dùng tài liệu ISMS ví dụ: bằng cách cập nhật bộ tài liệu được duy trì trên mạng nội bộ của tổ chức và/hoặc thông báo rõ ràng tới tất cả người dùng.

Hồ sơ ISMS (4.3.3)

Chuyên gia đánh giá phải đánh giá các biện pháp bảo vệ hồ sơ quan trọng ISMS như soát xét các thông tin an toàn khác nhau và các báo cáo đánh giá, kế hoạch hoạt động, các tài liệu ISMS chính thức (bao gồm các thay đổi tương tự), cấp phép truy nhập/mẫu thay đổi v.v…Điều này là cần thiết để xem xét sự phù hợp của kiểm soát đối với việc xác định, lưu trữ, bảo vệ, thu hồi, thời gian lưu giữ và hủy bỏ các hồ sơ này, trong trường hợp đặc biệt có yêu cầu pháp lý và hợp đồng và các yêu cầu khác liên quan đến việc thực hiện một ISMS phù hợp với TCVN ISO/IEC 27001:2009 (ví dụ như để bảo vệ dữ liệu cá nhân).

A.8  Trách nhiệm quản lý (điều 5 TCVN ISO/IEC 27001:2009)

Tiêu chí đánh giá

TCVN ISO/IEC 27001:2009 5.1, 5.2.1 và 5.2.2

Tiêu chuẩn liên quan

ISO/IEC 27006 9.2.3.2.2 i)

TCVN ISO/IEC 27001:2009 4.2.1 b)5). Phụ lục A.5.1.1, A.6.1.1

TCVN ISO/IEC 17021:2011 9.2.3.2 f)

ISO/IEC 27006 9.2.3.2.2 f)

TCVN 10295:2014 9.2

Bằng chứng đánh giá

Bằng chứng đánh giá bao gồm:

• Chính sách ISMS với ngày được chấp thuận, chữ ký, v.v..;

• Hồ sơ soát xét của chính sách ISMS;

• Kế hoạch an toàn/lập lịch cho các hoạt động ISMS, ví dụ: Kế hoạch xử lý rủi ro, chương trình giáo dục và đào tạo, kế hoạch/ chương trình đánh giá nội bộ, v.v..;

• Biên bản soát xét của ban quản lý cùng với tài liệu vào/ra, biên bản của Ủy ban an toàn thông tin, v.v..;

• Tài liệu về vai trò và trách nhiệm;

• Báo cáo đánh giá nội bộ;

• Báo cáo đánh giá rủi ro;

• Tài liệu phỏng vấn ban quản lý;

• Hồ sơ phê duyệt rủi ro còn tồn tại, phê duyệt kế hoạch xử lý rủi ro, hồ sơ đánh giá quản lý, quyết định ngân sách trên kế hoạch nghiệp vụ và kết quả của việc phê chuẩn các yêu cầu cho quyết định;

• Hồ sơ về xem xét các hoạt động PDCA và các biện pháp;

• Tiêu chí năng lực;

• Nguồn nhân lực và hồ sơ thẩm quyền;

• Chương trình/kế hoạch đào tạo;

• Hồ sơ đào tạo và các báo cáo.

Hướng dẫn thực hành đánh giá

Cam kết của ban quản lý (5.1)

Chuyên gia đánh giá cần xem xét mức độ cam kết quản lý an toàn thông tin, sử dụng bằng chứng như:

• Phê chuẩn chính thức của ban quản lý về chính sách ISMS;

• Chấp nhận quản lý mục tiêu của ISMS và kế hoạch thực hiện, cùng với việc phân bổ nguồn lực đầy đủ và phân công các ưu tiên phù hợp với các hoạt động liên quan (xem 5.2.1);

• Vai trò và trách nhiệm rõ ràng về an toàn thông tin bao gồm quá trình phân bổ và chấp nhận trách nhiệm đối với việc bảo vệ thích hợp các tài sản thông tin có giá trị;

• Biên bản ghi nhớ của ban quản lý, email, biên bản, thuyết trình, giao ban, giới thiệu công việc, v.v.. thể hiện việc hỗ trợ và cam kết với ISMS;

• Tiêu chí chấp nhận rủi ro và chấp nhận chính thức của nó, dẫn tới rủi ro liên quan đến các rủi ro an toàn thông tin;

• Các phạm vi, nguồn lực, sự khởi đầu của đánh giá nội bộ và đánh giá quản lý của ISMS.

Phân bổ nguồn lực ISMS (5.2.1)

Chuyên gia đánh giá phải xác minh rằng các nguồn lực cần thiết để thực hiện, duy trì và cải tiến ISMS được quản lý đầy đủ. Điều này có nghĩa rằng tổ chức cần xác định, lên kế hoạch, luôn sẵn sàng, sử dụng, giám sát và thay đổi các nguồn lực phù hợp theo yêu cầu.

Có khuyến cáo rằng việc quản lý các nguồn lực không được đánh giá riêng lẻ. Không phụ thuộc vào cách tổ chức được cấu trúc và nhận dạng các quá trình của nó, chuyên gia đánh giá có thể kiểm tra tính đầy đủ và quản lý hiệu quả các nguồn lực để đạt được kết quả theo kế hoạch. Điều quan trọng là chuyên gia đánh giá kiểm tra xem tổ chức đã đánh giá hiệu quả trong quá khứ và hiện tại (ví dụ như sử dụng phân tích chi phí lợi nhuận, đánh giá rủi ro) khi quyết định các nguồn lực được phân bổ.

Quản lý các nguồn lực có thể được đánh giá bởi các cuộc phỏng vấn với quản lý và nhân viên có trách nhiệm khác để kiểm tra xem các quy trình phù hợp đều được đưa ra. Điều này là cần thiết, tuy nhiên, cần được hỗ trợ bởi bằng chứng khách quan thu thập trong suốt cuộc đánh giá. Bằng chứng có thể thu được ở các giai đoạn khác nhau của cuộc đánh giá, soát xét đầu vào, hiệu quả và kết quả đầu ra của quy trình. Điều này nên được thực hiện khi đánh giá tất cả các quy trình, hệ thống liên quan và tài liệu hướng dẫn, chẳng hạn như:

• Cam kết và trách nhiệm quản lý;

• Quá trình đánh giá quản lý;

• Quá trình ISMS bao gồm quản lý rủi ro, các hoạt động khắc phục và phòng ngừa và cải tiến liên tục;

• Mô tả công việc;

• Hồ sơ về thời gian và ngân quỹ cho các hoạt động cụ thể ISMS.

Chuyên gia đánh giá nên tránh đưa ra đánh giá chủ quan về tính đầy đủ của các nguồn lực được phân bổ theo tổ chức và nên hạn chế vai trò của họ đến việc đánh giá hiệu quả của quá trình quản lý nguồn lực.

Nhận thức ISMS và đào tạo (5.2.2)

Đánh giá cần xem xét việc đào tạo những người đặc biệt liên quan đến vận hành ISMS và các hoạt động nâng cao nhận thức an toàn thông tin tổng quát mục tiêu là tất cả nhân viên, cần kiểm tra xem năng lực cần thiết và yêu cầu đào tạo/nâng cao nhận thức cho các chuyên gia an toàn thông tin và những người khác với vai trò và trách nhiệm cụ thể được xác định một cách rõ ràng và liệu đào tạo an toàn thông tin và nhu cầu nhận thức được hỗ trợ bởi ngân sách đầy đủ. Chuyên gia đánh giá phải xem xét các báo cáo đánh giá đào tạo và tìm kiếm bằng chứng để khẳng định rằng bất kỳ hành động cải tiến cần thiết trong thực tế đã được thực hiện. Điều này là cần thiết để kiểm tra bằng cách lấy mẫu hồ sơ nhân viên nhân sự, lưu ý đào tạo liên quan đến ISMS v.v.. (nếu có). Các chuyên gia đánh giá phải đánh giá mức độ nhận thức chung của an toàn thông tin bằng cách khảo sát/lấy mẫu, hoặc xem xét các kết quả của các cuộc điều tra/mẫu được tiến hành như một phần của ISMS.

Để đáp ứng yêu cầu về hiệu quả của TCVN ISO/IEC 27001:2009, mỗi tổ chức thường sẽ cần phải làm một số việc sau:

• Xác định những yêu cầu về năng lực của người thực hiện các công việc mà có ảnh hưởng đến an toàn thông tin;

• Xác định những người đã thực hiện công việc có năng lực đạt yêu cầu;

• Quyết định những năng lực bổ sung cần thiết;

• Quyết định làm thế nào để đạt được những năng lực bổ sung, đào tạo nhân sự (bên ngoài hoặc nội bộ), đào tạo lý thuyết hay qua thực tế, thuê mới nhân viên có năng lực, phân công cán bộ có năng lực sẵn có với các công việc khác nhau;

• Xem xét tính hiệu quả của hoạt động thực hiện để đáp ứng năng lực cần thiết;

• Định kỳ soát xét năng lực của nhân viên.

Trong suốt quá trình này, tổ chức phải được duy trì các báo cáo thích hợp về giáo dục, đào tạo, kỹ năng và kinh nghiệm. Tuy nhiên, theo tiêu chuẩn TCVN ISO/IEC 27001:2009 không xác định như thế nào quá trình này sẽ được thực hiện hoặc bản chất chính xác của các báo cáo phải được duy trì.

1.) Khi đánh giá sự tuân thủ của tổ chức với các yêu cầu về đánh giá năng lực và đào tạo, chuyên gia đánh giá sẽ thường tìm kiếm bằng chứng cho thấy các vấn đề sau được giải quyết:

Một tổ chức cần phải xác định những năng lực theo yêu cầu của người thực hiện các công việc ảnh hưởng đến việc bảo mật thông tin.

Mục tiêu của chuyên gia đánh giá phải xác định xem liệu có một hệ thống phương pháp tiếp cận tại chỗ để xác định những năng lực và để xác minh rằng phương pháp tiếp cận có hiệu quả. Kết quả của quá trình này có thể là một bản danh sách, bản đăng ký, cơ sở dữ liệu, kế hoạch nguồn nhân lực, kế hoạch phát triển năng lực, hợp đồng, kế hoạch hoặc dự án sản phẩm, v.v..

Các cuộc thảo luận ban đầu có thể được tổ chức với quản lý để đảm bảo họ hiểu tầm quan trọng của việc xác định năng lực cần thiết. Đây cũng có thể là một nguồn tiềm năng của các thông tin liên quan đến các cái mới, các hoạt động đã thay đổi hoặc các quá trình có thể dẫn đến yêu cầu khác nhau về năng lực trong tổ chức. Một đánh giá năng lực cũng có thể cần thiết khi có một cuộc đấu thầu mới hoặc hợp đồng đang được xem xét. Bằng chứng của điều này có thể được tìm thấy trong hồ sơ có liên quan. Yêu cầu về năng lực có thể được bao gồm trong các văn bản hợp đồng mà các hoạt động của nhà thầu phụ có thể có ảnh hưởng đến quá trình hoặc an toàn thông tin. Chuyên gia đánh giá cần phải xác định xem tổ chức đã xác định mới hoặc thay đổi yêu cầu về năng lực, ví dụ như trong quá trình kiểm tra giám sát.

2.) Các chuyên gia đánh giá cần xem xét các nhân viên có năng lực nơi công việc họ được giao cần thiết để kiểm soát an toàn thông tin.

Các chuyên gia đánh giá phải xác minh rằng một số hình thức của quá trình đánh giá được đặt ra để đảm bảo rằng năng lực phù hợp với hoạt động của tổ chức và rằng các nhân viên có khả năng được lựa chọn chứng minh được năng lực phù hợp. Ngoài ra, quá trình này phải đảm bảo rằng bất kỳ sự thiếu hụt đang gần xảy ra và hiệu quả của nhân viên đang được đo đếm. Nó là cần thiết để xác minh rằng các hoạt động có ảnh hưởng đến an toàn thông tin được thực hiện bởi những người được lựa chọn là có năng lực. Bằng chứng thu được được trong suốt cuộc đánh giá với trọng tâm là các quy trình, các hoạt động, nhiệm vụ và các sản phẩm mà sự can thiệp của con người có thể có ảnh hưởng lớn nhất. Các chuyên gia đánh giá có thể xem xét mô các tả công việc, các hoạt động kiểm tra, thanh tra, hoạt động giám sát, xem xét hồ sơ quản lý, xác định trách nhiệm và quyền hạn, hồ sơ không phù hợp, báo cáo đánh giá, khiếu nại của khách hàng, xác nhận hồ sơ xử lý, v.v..

3.) Tổ chức cần phải đánh giá hiệu quả của các hành động được thực hiện để đáp ứng nhu cầu về năng lực.

Tổ chức có thể sử dụng một số kỹ thuật bao gồm cả đóng vai, thẩm tra, quan sát, đánh giá đào tạo và việc làm hồ sơ và/hoặc các cuộc phỏng vấn (xem TCVN ISO 19011: 2013, Bảng 2 để có thêm ví dụ). Sự phù hợp của một phương pháp đánh giá cụ thể sẽ phụ thuộc vào nhiều yếu tố. Ví dụ, hồ sơ đào tạo có thể được xem để xác minh rằng một khóa đào tạo đã được thực hiện thành công (nhưng lưu ý là chỉ thêm điều này thì không cung cấp bằng chứng cho thấy người được đào tạo có đủ năng lực). Tuy nhiên, cùng một phương pháp này sẽ không được chấp nhận để đánh giá liệu một chuyên gia đánh giá thực hiện một cách thỏa đáng trong một cuộc đánh giá. Thay vào đó, điều này có thể yêu cầu quan sát, thẩm định, các cuộc phỏng vấn, v.v.. Các tổ chức có thể cần phải chứng minh việc đạt được năng lực nhân sự của mình thông qua việc kết hợp giáo dục, đào tạo và/hoặc kinh nghiệm làm việc.

4) Duy trì năng lực.

Chuyên gia đánh giá cần phải xác minh rằng một số hình thức của giám sát hiệu quả quy trình được đặt ra và thực thi. Cách làm này bao gồm tiếp tục một quá trình phát triển chuyên nghiệp (như được mô tả trong TCVN ISO 19011:2013 theo 7.4), thường xuyên đánh giá nhân viên và hoạt động của nhân viên, hoặc thường xuyên kiểm tra, đánh giá của các sản phẩm hoặc hệ thống của cá nhân hoặc nhóm là có trách nhiệm. Những thay đổi đang diễn ra trong các yêu cầu về năng lực có thể cho thấy một tổ chức là chủ động trong việc duy trì trình độ nhân sự.

A.9  Đánh giá ISMS nội bộ và soát xét quản lý ISMS (điều 6 và điều 7 TCVN ISO/IEC 27001:2009)

Điều khoản này cung cấp hướng dẫn để đánh giá bên ngoài, tự kiểm tra hoặc hướng dẫn đánh giá ngang hàng đối với đánh giá nội bộ.

Tiêu chí đánh giá

TCVN ISO/IEC 27001:2009 điều 6, điều 7

Tiêu chuẩn liên quan

TCVN 10295:2014 điều 7, điều 9

ISO/IEC 27006 9.1.2, 9.1.4, 9.2.3.2.2

TCVN ISO/IEC 17021:2011 9.2.3.2, 9.3.2.1

Bằng chứng đánh giá

Bằng chứng đánh giá bao gồm:

• Chương trình đánh giá nội bộ, các kế hoạch, báo cáo và hồ sơ;

• Biên bản soát xét quản lý các tài liệu đầu vào và đầu ra

• Báo cáo đánh giá rủi ro.

Hướng dẫn thực hành đánh giá

Đánh giá ISMS nội bộ (6)

Các chuyên gia đánh giá phải xem xét các cuộc đánh giá ISMS nội bộ của tổ chức, sử dụng các chương trình đánh giá ISMS, kế hoạch, báo cáo đánh giá, kế hoạch hành động v.v.. Cũng cần được xác nhận rằng trách nhiệm thực hiện đánh giá ISMS nội bộ được chính thức giao cho các chuyên gia đánh giá có năng lực, được đào tạo đầy đủ. Các chuyên gia đánh giá cần xác định mức độ mà đánh giá ISMS nội bộ xác nhận rằng ISMS đáp ứng yêu cầu được xác định trong TCVN ISO/IEC 27001:2009 yêu cầu ISMS và pháp luật và hợp đồng yêu cầu và các yêu cầu khác và tổ chức xác định thông qua quy trình đánh giá rủi ro thông qua các yêu cầu cụ thể. TCVN ISO/IEC 27001:2009 tại 6a) - 6d) có thể được mở rộng để hỗ trợ danh sách kiểm tra đánh giá. Các chuyên gia đánh giá cũng nên kiểm tra xem các kế hoạch hành động đã được chấp thuận, hành động khắc phục v.v.. có đang được giải quyết và xác nhận trong khoảng thời gian thỏa thuận, đặc biệt chú ý đến bất cứ hành động quá chậm trễ cho các ví dụ hiện nay.

Các tổ chức có thể tối đa hóa việc sử dụng các nguồn lực sẵn có trong việc tiến hành các hoạt động đánh giá ISMS nội bộ.

Đó phải là bằng chứng cho thấy tổ chức:

• đã xác định các yêu cầu năng lực cho chuyên gia đánh giá để đánh giá ISMS nội bộ;

• đã cung cấp đào tạo phù hợp;

• đã áp dụng một quy trình giám sát hoạt động của chuyên gia đánh giá nội bộ ISMS và các đoàn đánh giá;

• các nhân viên trong đoàn đánh giá có kiến thức phù hợp với chuyên ngành cụ thể (để họ có thể xác định đâu là sự thay đổi trong một quá trình cụ thể hoặc một hoạt động có thể dẫn đến một hệ quả quan trọng đối với an toàn thông tin).

Cần phải xác định chắc chắn rằng tổ chức đã lên kế hoạch đánh giá ISMS nội bộ, và các phương pháp đánh giá đã được xác định, để đảm bảo việc sử dụng hiệu quả các nguồn lực. Điều này cũng sẽ giúp đảm bảo rằng những rủi ro vốn có của sai sót trong quá trình đánh giá và với kết quả đánh giá, đều được giảm thiểu.

Các tổ chức cần phải có một quy trình cho việc tận dụng các kết quả đánh giá trước đó trong việc lập kế hoạch đánh giá ISMS nội bộ trong tương lai. Các chuyên gia đánh giá phải xác minh rằng tổ chức có thể sử dụng thông tin đó khi thiết lập tần suất đánh giá các hoạt động và quy trình.

Bằng cách đưa các yếu tố bên trên vào bản kê khai và kiểm tra xem quy trình đánh giá ISMS nội bộ dẫn đến bất kỳ sự cải tiến rõ rệt nào cho ISMS, chuyên gia đánh giá ISMS sẽ có thể hình thành một phán quyết về việc có tổ chức đã thực hiện một chương trình đánh giá ISMS nội bộ hiệu quả. Chuyên gia đánh giá ISMS cũng cần có khả năng đưa ra phán đoán xem liệu kết quả của đánh giá nội bộ có cung cấp đầy đủ bằng chứng sẽ được sử dụng như một phần của quy trình cải tiến ISMS không.

Soát xét ISMS của ban quản lý (7)

Đánh giá việc soát xét ISMS của ban quản lý (7.1)

TCVN ISO/IEC 27001:2009 đưa ra yêu cầu ban quản lý soát xét ISMS của tổ chức theo đúng kế hoạch về thời gian (ít nhất một lần một năm) để đảm bảo ISMS luôn thích hợp, đầy đủ và hiệu quả. Xác định xem khi nào quản lý trước đây đã xem xét ISMS và khi nào có kế hoạch tiếp theo. Tần số soát xét cần được xác định, ví dụ trong chính sách ISMS hoặc chính sách hướng dẫn ISMS.

Việc soát xét có thể được đưa ra tại một cuộc họp riêng biệt (bất thường) nhưng điều này không phải là yêu cầu của tiêu chuẩn. Có rất nhiều cách, trong đó ban quản lý có thể xem xét ISMS chẳng hạn như tiếp nhận và xem xét các báo cáo, liên lạc điện tử hoặc như là một phần của các cuộc họp thường niên, nơi các vấn đề như ngân sách và mục tiêu cũng được thảo luận.

Quy trình soát xét quy trình của ban quản lý cần được thực hiện để đáp ứng các yêu cầu của tiêu chuẩn và các chuyên gia đánh giá; nó phải là một phần không thể thiếu của quá trình quản lý nghiệp vụ của tổ chức. Soát xét tổng thể của ban quản lý là một quá trình phức tạp được thực hiện ở các cấp độ khác nhau trong tổ chức. Nó luôn luôn là một quá trình hai chiều, được tạo ra bởi nhà quản lý hàng đầu với đầu vào từ tất cả các cấp trong tổ chức. Những hoạt động này có thể thay đổi hàng ngày, hàng tuần, hàng tháng theo các cuộc họp đơn vị thuộc tổ chức đến cả các thảo luận hoặc báo cáo đơn giản.

Chuyên gia đánh giá nên tìm kiếm bằng chứng cho thấy các đầu vào và đầu ra của quá trình soát xét quản lý có liên quan đến quy mô, độ phức tạp của tổ chức và do đó chúng được sử dụng để phát triển ISMS. Chuyên gia đánh giá cũng cần xem xét xem việc quản lý của tổ chức được cấu trúc như thế nào và làm thế nào quá trình xem xét quản lý được sử dụng trong cấu trúc này.

Các hồ sơ về soát xét quản lý đều được yêu cầu nhưng các định dạng của chúng không được quy định. Biên bản cuộc họp là các dạng phổ biến nhất của hồ sơ, nhưng hồ sơ điện tử, biểu đồ thống kê, thuyết trình, v.v.. có thể là một loại hồ sơ được chấp nhận. Điều quan trọng là để đảm bảo rằng có bằng chứng để chứng minh việc xem xét đã được đưa ra đối với tất cả các vấn đề được liệt kê trong tiêu chuẩn ISO/IEC 27001: 2005 quy định tại điều 7, ngay cả khi nó được quyết định rằng không cần thiết phải có hành động.

Quá trình soát xét của ban quản lý cũng có thể bao gồm các yếu tố về lập kế hoạch ISMS ở đó các thay đổi về quy trình và hệ thống đang được xem xét. Nếu điều này xảy ra thì chuyên gia đánh giá cần soát xét xem những điểm sau đây đã được xem xét hay chưa:

• Các thay đổi dự kiến có được đánh giá trước khi thực hiện?

• Trong quá trình chuẩn bị các kế hoạch chiến lược, những vấn đề liên quan đến ISMS có được xem xét?

• Các biện pháp cần thiết có được xác định trước khi thay đổi được thực hiện, ví dụ việc thuê ngoài của một quy trình đã được bắt đầu.

Quản lý soát xét đầu vào (7.2)

Theo 7.2 của TCVN ISO/IEC 27001:2009 quy định các đầu vào của quá trình quản lý soát xét và mọi quyết định, hành động liên quan đến các chủ đề này cần được soát xét. Tuy nhiên, đây không phải là đối tượng duy nhất có thể được đưa vào xem xét. Chúng có thể không được giải quyết riêng lẻ hoặc cùng lúc, nhưng là một phần nội dung của đánh giá tổng thể về nghiệp vụ. Chuyên gia đánh giá cần phải nhận thức rằng đầu vào có thể dưới nhiều hình thức như báo cáo, biểu đồ xu hướng v.v..

Bằng cách xem xét các báo cáo quản lý, biên bản, và các hồ sơ khác và/ hoặc bằng cách phỏng vấn những người có liên quan, cần được kiểm tra những gì đã được xem xét quản lý trước đây. (TCVN ISO/IEC 27001:2009 xác định hạng mục chính như các kết quả khác kiểm tra/ đánh giá, phản hồi và đề nghị cải tiến, thông tin về các điểm yếu và các mối đe dọa, v.v..) Nó là cần thiết để đánh giá phạm vi quản lý, đóng một vai trò tích cực và được tham gia đầy đủ trong việc soát xét.

Quản lý soát xét đầu ra (7.3)

Theo 7.3 của TCVN ISO/IEC 27001:2009 quy định các đầu ra cho soát xét quy trình của ban quản lý và mọi quyết định và hành động liên quan đến các chủ đề 7.3 a) tới 7.3 e) đều cần được soát xét. Chuyên gia đánh giá nên kiểm tra các đầu ra của bất kỳ quản lý soát xét trước đây bao gồm các quyết định quản lý quan trọng, các kế hoạch hành động và các hồ sơ liên quan đến việc xác nhận hành động chấp thuận được tiến hành hợp lệ. Là các đầu ra từ quá trình quản lý soát xét, cần có bằng chứng về các quyết định liên quan đến 7.3 a) tới 7.3 e) như:

• thay đổi chính sách và mục tiêu của ISMS;

• kế hoạch và hành động khả thi cho việc cải tiến;

• sự thay đổi của các nguồn lực;

• các kế hoạch nghiệp vụ được điều chỉnh

• ngân quỹ;

• thông báo áp dụng điều điều chỉnh;

• các bài đo điều chỉnh.

Đầu ra không chỉ liên quan đến những cải tiến hoặc thay đổi mà còn có thể bao gồm các quyết định về các vấn đề quan trọng khác như kế hoạch giới thiệu các công nghệ, các hệ thống hoặc các sản phẩm mới. Nếu cần thiết, xác nhận rằng các hành động đã được khép lại trên thực tế đã được hoàn thành đúng cách, đặc biệt chú ý đến bất cứ hành động mà không được hoàn thành kịp thời hoặc đúng, lúc.