Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 về công nghệ thông tin, các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin thế nào?

Nội dung chính

• Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 về công nghệ thông tin, các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin thế nào?
• Vai trò và trách nhiệm đảm bảo an toàn thông tin như thế nào?
• An toàn thông tin trong quản lý dự án ra sao?

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 về công nghệ thông tin, các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin thế nào?

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020 hoàn toàn tương đương với ISO/IEC 27002:2013 cùng các bản sửa chữa ISO/IEC 27002:2013/Cor.1:2014 và ISO/IEC 27002:2013/Cor.2:2015.

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020 do Viện Công nghệ thông tin, Đại học Quốc gia Hà Nội biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020 đưa ra hướng dẫn cho các tiêu chuẩn an toàn thông tin và thực hành quản lý an toàn thông tin bao gồm việc lựa chọn, thực hiện và quản lý các kiểm soát có tính đến môi trường rủi ro an toàn thông tin của các tổ chức.

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020 được thiết kế để được sử dụng bởi các tổ chức có ý định:

- Chọn lựa các kiểm soát trong quá trình thực hiện một hệ thống quản lý an toàn thông tin dựa trên TCVN ISO/IEC 27001

- Thực hiện các kiểm soát an toàn thông tin được chấp nhận chung;

- Phát triển các hướng dẫn quản lý an toàn thông tin của riêng mình.

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 về công nghệ thông tin, các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin thế nào? (Hình từ internet)

Vai trò và trách nhiệm đảm bảo an toàn thông tin như thế nào?

Căn cứ tại tiết 6.1.1 tiểu mục 6.1 Mục 6 Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020, quy định vai trò và trách nhiệm đảm bảo an toàn thông tin gồm có như sau:

- Kiểm soát:

Tất cả các trách nhiệm đảm bảo an toàn thông tin cần được xác định một cách rõ ràng.

- Hướng dẫn thi hành:

+ Việc phân bổ các trách nhiệm về an toàn thông tin cần phù hợp với chính sách an toàn thông tin (xem 5.1.1).Các trách nhiệm về bảo vệ tài sản cá nhân và thực hiện các quy trình an toàn cụ thể cần được xác định rõ ràng.

Nếu cần thiết thì trách nhiệm này cần được bổ sung bằng hướng dẫn chi tiết hơn về các vị trí công việc cụ thể và các phương tiện xử lý thông tin.

Các trách nhiệm trong nội bộ về bảo vệ tài sản và thực hiện các quy trình an toàn đặc biệt, ví dụ lập kế hoạch đảm bảo tính liên tục về nghiệp vụ, cũng cần được xác định rõ.

+ Những cá nhân đã được phân bổ trách nhiệm về an toàn thông tin có thể ủy quyền các nhiệm vụ an toàn cho những người khác thực hiện. Tuy nhiên, họ vẫn phải duy trì trách nhiệm và đảm bảo rằng các nhiệm vụ đã được ủy quyền đều được thực hiện đúng cách thức.

- Phạm vi trách nhiệm của các cá nhân có trách nhiệm cần được quy định rõ ràng, cần quan tâm đến các vấn đề sau:

+ Các tài sản và các quy trình an toàn đối với từng hệ thống cụ thể cần được xác định và định danh rõ ràng;

+ Các thực thể chịu trách nhiệm cho mỗi quy trình an toàn tài sản và thông tin cần được phân công và cần ghi chép lại trách nhiệm một cách chi tiết;

+ Các mức cấp phép cần được xác định rõ và lập tài liệu;

+ Để có thể thực hiện đầy đủ trách nhiệm trong lĩnh vực an toàn thông tin, các cá nhân cần có năng lực trong lĩnh vực này và được cập nhật sự phát triển.

+ Cần xác định và ghi chép lại việc điều phối và giám sát các khía cạnh an toàn các mối quan hệ với nhà cung cấp.

- Thông tin khác:

Trong nhiều tổ chức, một người quản lý an toàn thông tin sẽ được bổ nhiệm nhằm thực hiện trách nhiệm chung trong việc phát triển, triển khai công tác an toàn và hỗ trợ việc tìm ra các biện pháp kiểm soát phù hợp.

Tuy nhiên, trách nhiệm trong việc tìm ra và triển khai các biện pháp kiểm soát sẽ thường thuộc về những người quản lý cụ thể. Một thực tế thường thấy là phải chỉ định ra người sở hữu đối với từng tài sản, người này có trách nhiệm đối với việc bảo vệ tài sản hàng ngày.

An toàn thông tin trong quản lý dự án ra sao?

Căn cứ tại tiết 6.1.5 tiểu mục 6.1 Mục 6 Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020, quy định an toàn thông tin trong quản lý dự án như sau:

- Kiểm soát:

Trong quản lý dự án cần đề cập đến an toàn thông tin, với bất cứ loại dự án nào.

- Hướng dẫn thi hành:

- An toàn thông tin cần được tích hợp vào phương thức quản lý dự án của tổ chức để đảm bảo rằng độ rủi ro an toàn thông tin được xác định và giải quyết như là một phần của dự án.

Từng dự án có những đặc điểm riêng nhưng nhìn chung điều này áp dụng cho hầu hết các dự án, ví dụ cốt lõi của một dự án là quá trình kinh doanh, công nghệ thông tin, quản lý cơ sở và các quy trình hỗ trợ khác.

Phương thức quản lý dự án sử dụng cần quan tâm đến các yêu cầu sau:

+ Các đối tượng cần đảm bảo an toàn thông tin bao gồm các đối tượng trong dự án;

+ Cần tiến hành đánh giá rủi ro an toàn thông tin ở giai đoạn đầu của dự án để xác định kiểm soát cần thiết;

+ Các phương thức áp dụng trong dự án cần được an toàn thông tin trong tất cả các giai đoạn.

- Vấn đề an toàn thông tin cần được soát xét và giải quyết thường xuyên trong tất cả các dự án. Vai trò, trách nhiệm đối với an toàn thông tin cần phải được xác định và phân bổ trong các phương thức quản lý dự án.