Yêu cầu của hệ thống quản lý an toàn thông tin đối với hoạt động thiết lập, triển khai, duy trì và cải tiến liên tục theo Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019?

Nội dung chính

• Yêu cầu của hệ thống quản lý an toàn thông tin đối với hoạt động thiết lập, triển khai, duy trì và cải tiến liên tục theo Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019?
• Mục đích của việc đánh giá rủi ro an toàn thông tin là gì?
• Xử lý rủi ro an toàn thông tin như thế nào?

Yêu cầu của hệ thống quản lý an toàn thông tin đối với hoạt động thiết lập, triển khai, duy trì và cải tiến liên tục theo Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019?

Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019 (ISO/IEC 27001:2013) về Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu ban hành kèm theo Quyết định 2940/QĐ-BKHCN năm 2019 có hiệu lực từ ngày 08/10/2019

Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019 quy định các yêu cầu đối với hoạt động thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin. Việc chấp nhận một hệ thống quản lý an toàn thông tin là quyết định chiến lược của tổ chức.

Việc thiết lập và thực hiện một hệ thống quản lý an toàn thông tin của tổ chức chịu ảnh hưởng bởi nhu cầu và mục tiêu của tổ chức, các yêu cầu về an toàn, các quy trình của tổ chức được sử dụng và bởi quy mô và cấu trúc của tổ chức. Tất cả những yếu tố ảnh hưởng này dự kiến sẽ thay đổi theo thời gian.

Hệ thống quản lý an toàn thông tin đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin bằng cách áp dụng quy trình quản lý rủi ro và mang lại niềm tin cho các bên liên quan rằng các rủi ro được quản lý đầy đủ.

Điều quan trọng là hệ thống quản lý an toàn thông tin là một phần và được tích hợp các quy trình của tổ chức và với cấu trúc quản lý tổng thể và an toàn thông tin được xem xét trong thiết kế các quy trình, các hệ thống thông tin và các kiểm soát. Dự kiến rằng việc triển khai một hệ thống quản lý an toàn thông tin sẽ có quy mô phù hợp với nhu cầu của tổ chức.

Yêu cầu của hệ thống quản lý an toàn thông tin đối với hoạt động thiết lập, triển khai, duy trì và cải tiến liên tục theo Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019? (Hình từ Internet)

Mục đích của việc đánh giá rủi ro an toàn thông tin là gì?

Theo tiết 6.1.2 Tiểu mục 6.1 Mục 6 Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019 quy định về đánh giá rủi ro an toàn thông tin như sau:

Tổ chức phải xác định và áp dụng một quy trình đánh giá rủi ro an toàn thông tin nhằm:

[1] Thiết lập và duy trì các tiêu chí về rủi ro an toàn thông tin bao gồm:

- Các tiêu chí chấp nhận rủi ro;

- Các tiêu chí để thực hiện đánh giá rủi ro an toàn thông tin;

[2] Đảm bảo rằng đánh giá rủi ro an toàn thông tin được lặp lại tạo ra kết quả nhất quán, hợp lệ và có khả năng so sánh;

[3] Xác định các rủi ro an toàn thông tin:

- Áp dụng quy trình đánh giá rủi ro an toàn thông tin để xác định các rủi ro liên quan đến việc mất tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin trong phạm vi của hệ thống quản lý an toàn thông tin;

- Xác định chủ thể rủi ro;

[4] Phân tích các rủi ro an toàn thông tin:

- Đánh giá các hậu quả tiềm ẩn nếu các rủi ro an toàn thông tin xảy ra;

- Đánh giá khả năng xảy ra của các rủi ro an toàn thông tin;

- Xác định các mức độ rủi ro;

[5] Đánh giá các rủi ro an toàn thông tin:

- So sánh kết quả phân tích rủi ro với tiêu chí rủi ro được đưa ra trong mục [1];

- Ưu tiên các rủi ro được phân tích để xử lý rủi ro.

Tổ chức phải lưu giữ thông tin dạng văn bản về quy trình đánh giá rủi ro an toàn thông tin.

Xử lý rủi ro an toàn thông tin như thế nào?

Theo tiết 6.1.3 Tiểu mục 6.1 Mục 6 Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019 quy định về xử lý rủi ro an toàn thông tin như sau:

Tổ chức phải xác định và áp dụng một quy trình xử lý rủi ro an toàn thông tin để:

[1] Lựa chọn các tùy chọn xử lý rủi ro an toàn thông tin phù hợp, có tính đến các kết quả đánh giá rủi ro;

[2] Xác định tất cả các biện pháp kiểm soát cần thiết để thực hiện các phương án xử lý rủi ro an toàn thông tin đã được lựa chọn;

Lưu ý: Tổ chức có thể thiết kế các biện pháp kiểm soát theo yêu cầu, hoặc nhận diện chúng từ bất kỳ nguồn nào.

[3] So sánh các biện pháp kiểm soát với các điều đưa ra trong Phụ lục A ban hành kèm theo Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019 (sau đây họi là Phụ lục A) và xác minh rằng không có biện pháp kiểm soát cần thiết nào bị bỏ qua.

Lưu ý 1: Phụ lục A chứa một danh sách tổng hợp các mục tiêu kiểm soát và các biện pháp kiểm soát. Người dùng tiêu chuẩn được trỏ tới Phụ lục A để đảm bảo không bỏ qua các kiểm soát cần thiết.

Lưu ý 2: Các mục tiêu kiểm soát mặc định bao gồm trong các biện pháp kiểm soát đã lựa chọn. Các mục tiêu kiểm soát và các biện pháp kiểm soát được liệt kê trong Phụ lục A là không đầy đủ hết mọi khía cạnh và có thể được bổ sung khi cần thiết.

[4] Đưa ra một Bản tuyên bố về khả năng áp dụng, bao gồm:

- Các biện pháp kiểm soát cần thiết;

- Các lý giải cho việc đưa các biện pháp đó vào;

- Bất kể các biện pháp kiểm soát cần thiết có được triển khai hay không; và

- Các lý giải cho việc bỏ qua các biện pháp kiểm soát trong Phụ lục A.

[5] Xây dựng một kế hoạch xử lý rủi ro an toàn thông tin;

[6] Đạt được sự chấp thuận của chủ sở hữu rủi ro về kế hoạch xử lý rủi ro an toàn thông tin và chấp nhận các rủi ro an toàn thông tin còn tồn tại.

Tổ chức phải lưu giữ lại thông tin dạng văn bản về quy trình xử lý rủi ro an toàn thông tin.

Lưu ý: Quy trình xử lý và đánh giá rủi ro an toàn thông tin trong tiêu chuẩn gắn với các nguyên tắc và hướng dẫn chung được cung cấp trong TCVN 31000:2011 (đã hết hiệu lực)

Trân trọng!