Quản lý rủi ro an toàn thông tin được quy định như thế nào theo Tiêu chuẩn quốc gia TCVN 10295 : 2014?

Nội dung chính

• Quản lý rủi ro an toàn thông tin được quy định như thế nào theo Tiêu chuẩn quốc gia TCVN 10295 : 2014?
• Phương pháp tiếp cận quản lý rủi ro an toàn thông tin được quy định như thế nào?
• Tổ chức quản lý rủi ro an toàn thông tin được thực hiện như thế nào?

Quản lý rủi ro an toàn thông tin được quy định như thế nào theo Tiêu chuẩn quốc gia TCVN 10295 : 2014?

Tiêu chuẩn TCVN 10295 : 2014 đưa ra các hướng dẫn về quản lý rủi ro an toàn thông tin được quy định tại Tiêu chuẩn quốc gia TCVN 10295 : 2014 (ISO/IEC 27005 : 2011)

Tiêu chuẩn TCVN 10295 : 2014 có thể áp dụng cho nhiều loại hình tổ chức (như các doanh nghiệp thương mại, các cơ quan chính phủ, các tổ chức phi lợi nhuận) nhằm mục đích quản lý những rủi ro có thể gây hại tới an toàn thông tin của tổ chức.

Cụ thể căn cứ theo Mục 6 Tiêu chuẩn quốc gia TCVN 10295 : 2014 (ISO/IEC 27005 : 2011) quy định về tổng quan và quy trình quản lý rủi ro an toàn thông tin như sau:

Quy trình quản lý rủi ro được xác định trong ISO 31000 được trình bày trong Hình 1.

Hình 1 - Quy trình quản lý rủi ro

Hình 2 thể hiện cách tiêu chuẩn này đã áp dụng quy trình quản lý rủi ro nêu trên như thế nào.

Quy trình quản lý rủi ro an toàn thông tin bao gồm: thiết lập bối cảnh (điều 7), đánh giá rủi ro (điều 8), xử lý rủi ro (điều 9), chấp nhận rủi ro (điều 10), truyền thông và tư vấn rủi ro (điều 11), giám sát và soát xét rủi ro (điều 12).

Hình 2 - Minh họa về quy trình quản lý rủi ro an toàn thông tin

Như minh họa tại Hình 2, quy trình quản lý rủi ro an toàn thông tin là quy trình lặp đối với các hoạt động đánh giá rủi ro, xử lý rủi ro. Một phương pháp tiếp cận lặp để tiến hành đánh giá rủi ro có thể làm việc đánh giá tăng theo chiều sâu và chi tiết hơn sau mỗi lần lặp.

- Phương pháp tiếp cận lặp đi lặp lại này sẽ tạo ra một sự cân bằng tốt giữa việc tối ưu thời gian và việc nỗ lực nhận biết các kiểm soát, trong khi vẫn đảm bảo những rủi ro cao đã được đánh giá một cách phù hợp.

- Bối cảnh được thiết lập đầu tiên, sau đó sẽ tiến hành đánh giá rủi ro. Nếu việc đánh giá này cung cấp đầy đủ thông tin để xác định một cách hiệu quả các hoạt động cần thiết để thay đổi rủi ro tới mức có thể chấp nhận được thì lúc đó nhiệm vụ đánh giá rủi ro được coi là đã hoàn thành và tiếp sau đó là tiến hành xử lý rủi ro.

- Nếu thông tin không đầy đủ thì sẽ lặp lại đánh giá rủi ro với bối cảnh đã được soát xét lại (ví dụ như tiêu chí ước lượng rủi ro, tiêu chí chấp nhận rủi ro hoặc tiêu chí tác động), việc lặp lại đánh giá có thể chỉ tiến hành theo một số phần hạn chế trên toàn bộ phạm vi (xem Hình 2, Điểm Quyết định Rủi ro 1).

- Hiệu quả của việc xử lý rủi ro phụ thuộc chặt chẽ vào kết quả của việc đánh giá rủi ro.

Chú ý việc xử lý rủi ro bao gồm một quy trình theo chu kỳ gồm:

+ Đánh giá một kết quả xử lý rủi ro

+ Quyết định các mức rủi ro còn tồn đọng có thể chấp nhận được không.

+ Đưa ra một phương pháp xử lý rủi ro mới nếu các mức rủi ro không thể chấp nhận được

+ Đánh giá hiệu quả của xử lý rủi ro đó

- Việc xử lý rủi ro có thể sẽ không lập tức đạt được mức rủi ro tồn đọng theo yêu cầu (có thể chấp nhận được). Trong trường hợp này, nếu cần thiết, phải tiến hành đánh giá lại rủi ro với các điều chỉnh về các điều kiện của bối cảnh (như đánh giá rủi ro, mức chấp nhận rủi ro hoặc tiêu chí tác động), tiếp sau đó là bước xử lý rủi ro (xem Hình 2, Điểm Quyết định Rủi ro 2).

- Hoạt động chấp nhận rủi ro phải đảm bảo các rủi ro tồn đọng phải được sự đồng ý cụ thể của ban quản lý của tổ chức. Điều này đặc biệt quan trọng trong trường hợp việc triển khai các biện pháp kiểm soát bị bỏ qua hoặc bị trì hoãn vì các lý do khác nhau như thiếu kinh phí, nhân lực...

- Trong suốt toàn bộ quy trình quản lý rủi ro an toàn thông tin thì việc thông báo kết quả đánh giá rủi ro và xử lý rủi ro tới các cán bộ quản lý và nhân viên vận hành thích hợp là rất quan trọng. Ngay cả trước khi xử lý rủi ro, những thông tin về các rủi ro đã được nhận biết có thể rất quan trọng trong việc quản lý sự cố và có thể giúp giảm thiểu các ảnh hưởng xấu có thể xảy ra.

- Nhận thức của cán bộ quản lý và nhân viên về những rủi ro, bản chất của các biện pháp để giảm nhẹ rủi ro và những phạm vi mà tổ chức quan tâm sẽ giúp xử lý các sự cố và các sự kiện không mong muốn một cách hiệu quả nhất, cần phải tài liệu hóa chi tiết kết quả của tất cả quy trình quản lý rủi ro an toàn thông tin và hai điểm quyết định rủi ro (xem Hình 2).

TCVN ISO/IEC 27001:2009 chỉ ra các biện pháp được triển khai trong phạm vi, giới hạn và bối cảnh của ISMS cần phải căn cứ vào rủi ro. Việc ứng dụng một quy trình quản lý rủi ro an toàn thông tin có thể đáp ứng được yêu cầu này. Có nhiều phương pháp tiếp cận để triển khai thành công quy trình này trong một tổ chức. Tổ chức có thể sử dụng bất cứ phương pháp tiếp cận nào phù hợp nhất với hoàn cảnh của mình cho mỗi một ứng dụng cụ thể của quy trình.

- Trong một ISMS, thiết lập bối cảnh, đánh giá rủi ro, phát triển kế hoạch xử lý rủi ro và chấp nhận rủi ro là tất cả các bước cần thực hiện của giai đoạn “Lập kế hoạch”. Trong giai đoạn “Thực hiện” của ISMS, các hoạt động và biện pháp kiểm soát cần thiết để giảm rủi ro tới mức chấp nhận được được tiến hành theo kế hoạch xử lý rủi ro.

- Trong giai đoạn “Kiểm tra” của ISMS, ban quản lý sẽ phải xác định sự cần thiết trong việc duyệt lại kết quả đánh giá rủi ro và xử lý rủi ro dựa trên các sự cố xảy ra và những thay đổi về hoàn cảnh. Trong giai đoạn “Hành động”, triển khai tất cả các hoạt động cần thiết và cả các hoạt động bổ sung của quy trình quản lý rủi ro an toàn thông tin.

Bảng dưới đây sẽ tổng hợp các hoạt động quản lý rủi ro an toàn thông tin liên quan đến bốn giai đoạn của quy trình ISMS như sau:

Bảng 1 - ISMS và quy trình quản lý rủi ro an toàn thông tin

Quản lý rủi ro an toàn thông tin được quy định như thế nào theo Tiêu chuẩn quốc gia TCVN 10295 : 2014? (Hình từ Internet)

Phương pháp tiếp cận quản lý rủi ro an toàn thông tin được quy định như thế nào?

Căn cứ tại Tiểu mục 7.2 Mục 7 Tiêu chuẩn quốc gia TCVN 10295 : 2014 (ISO/IEC 27005 : 2011) quy định về phương pháp tiếp cận quản lý rủi ro an toàn thông tin như sau:

(1) Phương pháp tiếp cận quản lý rủi ro

- Tùy thuộc vào phạm vi và mục tiêu quản lý rủi ro mà có thể áp dụng nhiều phương pháp tiếp cận khác nhau. Phương pháp tiếp cận cũng có thể khác nhau đối với từng chu trình lặp lại.

- Một phương pháp tiếp cận quản lý rủi ro thích hợp cần phải được lựa chọn hoặc phát triển để giải quyết tiêu chí cơ bản như: tiêu chí ước lượng rủi ro, tiêu chí về tác động, tiêu chí chấp nhận rủi ro.

- Ngoài ra, tổ chức cần phải đánh giá xem những nguồn lực cần thiết có sẵn có hay không để:

+ Thực hiện đánh giá rủi ro và thiết lập kế hoạch xử lý rủi ro

+ Định nghĩa và triển khai các chính sách và thủ tục, bao gồm việc triển khai các biện pháp kiểm soát đã được lựa chọn

+ Giám sát các kiểm soát

+ Giám sát quy trình quản lý rủi ro an toàn thông tin

CHÚ THÍCH: Xem thêm TCVN ISO/IEC 27001:2009 (5.2.1) liên quan tới điều khoản về các nguồn lực cho hoạt động triển khai và vận hành một hệ thống ISMS

(2) Tiêu chí ước lượng rủi ro

Tiêu chí ước lượng rủi ro cần phải được phát triển để ước lượng rủi ro an toàn thông tin của tổ chức liên quan đến:

+ Giá trị chiến lược của quy trình thông tin nghiệp vụ

+ Mức quan trọng đối với tài sản thông tin có liên quan

+ Các yêu cầu về pháp lý và quy định và các trách nhiệm về hợp đồng

+ Tầm quan trọng của tính sẵn sàng, tính bí mật và tính toàn vẹn trong các hoạt động mang tính nghiệp vụ và vận hành

+ Những nhận thức và mong muốn của các bên liên quan và những hậu quả xấu đối với danh tiếng và uy tín của tổ chức

Ngoài ra, tiêu chí ước lượng rủi ro có thể được sử dụng để xác định ưu tiên cho việc xử lý rủi ro.

(3) Tiêu chí tác động

Tiêu chí tác động cần phải được xác định và phát triển theo mức thiệt hại hoặc các khoản chi phí đối với tổ chức mà nguyên nhân gây ra là từ các sự kiện an toàn thông tin mà có liên quan đến:

+ Mức phân loại tài sản thông tin bị tác động

+ Vi phạm an toàn thông tin (làm giảm tính bí mật, tính toàn vẹn và tính sẵn sàng)

+ Yếu kém trong vận hành (nội bộ hoặc các bên thứ ba)

+ Tổn hại về giá trị nghiệp vụ và tài chính

+ Phá vỡ các kế hoạch và thời hạn

+ Thiệt hại về uy tín

+ Vi phạm các yêu cầu về pháp lý, quy định hoặc các cam kết theo hợp đồng

CHÚ THÍCH: Xem thêm TCVN ISO/IEC 27001:2009, 4.2.1 d) 4) liên quan tới việc xác định tiêu chí tác động làm giảm tính bí mật, tính toàn vẹn và tính sẵn sàng.

(4) Tiêu chí chấp nhận rủi ro

- Tiêu chí chấp nhận rủi ro cần phải được xác định và phát triển. Tiêu chí chấp nhận rủi ro thường phụ thuộc vào các chính sách, mục đích, mục tiêu của tổ chức và các lợi ích của các bên liên quan.

- Mỗi tổ chức cần phải xác định mức chấp nhận rủi ro của riêng tổ chức mình. Trong suốt quy trình phát triển cần phải xem xét các vấn đề sau:

+ Tiêu chí chấp nhận rủi ro có thể bao gồm nhiều ngưỡng, dựa theo mức mục tiêu mong muốn về rủi ro, nhưng phụ thuộc vào từng điều kiện thực tế cụ thể để cán bộ quản lý cao cấp có thể chấp nhận mức rủi ro

+ Tiêu chí chấp nhận rủi ro có thể được thể hiện như tỉ lệ lợi nhuận ước lượng (hoặc các lợi ích nghiệp vụ khác) trên rủi ro được ước lượng

+ Các tiêu chí chấp nhận rủi ro khác nhau có thể được áp dụng cho nhiều loại rủi ro khác nhau, ví dụ như những rủi ro mà có thể dẫn tới việc không tuân thủ pháp lý hoặc quy định có thể không được chấp nhận, trong khi việc chấp nhận các rủi ro ở mức cao lại có thể được phép nếu việc chấp nhận này được xác định như là các yêu cầu của hợp đồng.

+ Tiêu chí chấp nhận rủi ro có thể bao gồm những yêu cầu cho việc xử lý bổ sung trong tương lai, ví dụ: một rủi ro có thể được chấp nhận thông qua với cam kết sẽ có hành động làm giảm rủi ro tới mức có thể chấp nhận được trong một khoảng thời gian nhất định

- Tiêu chí chấp nhận rủi ro có thể khác nhau tùy theo thời gian dự tính tồn tại của rủi ro, ví dụ: rủi ro có thể liên quan đến một hoạt động ngắn hạn hoặc tạm thời. Tiêu chí chấp nhận rủi ro được thiết lập như sau:

+ Tiêu chí nghiệp vụ

+ Khía cạnh pháp lý và các quy định

+ Sự vận hành

+ Công nghệ

+ Tài chính

+ Các yếu tố về xã hội và con người.

CHÚ THÍCH: Tiêu chí chấp nhận rủi ro tương tự với “tiêu chí chấp nhận rủi ro và nhận biết mức rủi ro có thể chấp nhận được” và được quy định rõ trong TCVN ISO/IEC 27001:2009, xem 4.2.1 c) 2).

Thông tin chi tiết được trình bày trong Phụ lục A.

Tổ chức quản lý rủi ro an toàn thông tin được thực hiện như thế nào?

Căn cứ tại Tiểu mục 7.4 Mục 7 Tiêu chuẩn quốc gia TCVN 10295 : 2014 (ISO/IEC 27005 : 2011) quy định về phương pháp tiếp cận quản lý rủi ro an toàn thông tin như sau:

- Cần phải thiết lập và duy trì tổ chức cũng như những trách nhiệm của tổ chức đối với quy trình quản lý rủi ro an toàn thông tin. Dưới đây sẽ đưa ra vai trò và trách nhiệm chính của tổ chức đối với quy trình quản lý rủi ro an toàn thông tin:

+ Phát triển quy trình quản lý rủi ro an toàn thông tin phù hợp cho tổ chức.

+ Nhận biết và phân tích về các bên liên quan

+ Xác định rõ vai trò và trách nhiệm của tất cả các bên, kể cả nội bộ và bên ngoài tổ chức

+ Thiết lập những mối quan hệ cần thiết giữa tổ chức với các bên liên quan quản lý rủi ro an toàn thông tin, cũng như những giao diện đối với các chức năng quản lý rủi ro ở mức cao của tổ chức (ví dụ như quản lý rủi ro trong vận hành), cũng như những giao diện đối với những dự án hay các hoạt động có liên quan khác

+ Vạch rõ hướng quyết định tiếp theo

+ Đặc điểm kỹ thuật của hồ sơ cần được lưu trữ

- Tổ chức phải được chấp thuận bởi những người quản lý thích hợp của tổ chức.

CHÚ THÍCH: TCVN ISO/IEC 27001:2009 yêu cầu phải xác định các nguồn lực dự trữ cần thiết để tiến hành thiết lập, triển khai, vận hành, giám sát, soát xét, duy trì và cải tiến một hệ thống ISMS, xem 5.2.1 a). Tổ chức thực hiện các hoạt động quản lý rủi ro có thể được xem như là một trong các nguồn lực cần thiết trong TCVN ISO/IEC 27001:2009.