Tội phạm mạng gây ra mối đe dọa nghiêm trọng đối với các công ty thuộc mọi ngành và quy mô - điều này đã được biết đến rộng rãi. Mối đe dọa bao gồm từ gián điệp, phá hoại đến tống tiền. Tuy nhiên, mối nguy không chỉ đến từ Internet. Chính nhân viên của bạn cũng có thể là một yếu tố rủi ro nghiêm trọng. Đặc biệt nếu công ty của bạn chưa thực hiện các biện pháp thích hợp - hãy xem Phụ lục A.7 của ISO 27001.

Loading...

Hệ thống quản lý an toàn thông tin có cấu trúc tốt (ISMS) phù hợp với tiêu chuẩn ISO 27001 cung cấp cơ sở để triển khai hiệu quả chiến lược an toàn thông tin tổng thể. Cách tiếp cận có hệ thống giúp bảo vệ dữ liệu bí mật của công ty khỏi bị mất và sử dụng sai mục đích, đồng thời xác định một cách đáng tin cậy các rủi ro tiềm ẩn đối với công ty, phân tích và kiểm soát chúng thông qua các biện pháp thích hợp. Điều này liên quan nhiều hơn đến các khía cạnh của bảo mật CNTT. Việc thực hiện các biện pháp trong Phụ lục A của tiêu chuẩn đặc biệt có giá trị đối với thực tiễn.

ISO/IEC 27001:2013 - Công nghệ thông tin - Quy trình bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu.

Phụ lục A của ISO 27001: Có liên quan đến thực tế

Ngoài phần các yêu cầu theo định hướng của hệ thống quản lý (chương 4 đến chương 10), Phụ lục A của tiêu chuẩn ISO có một danh sách bao quát 35 mục tiêu đo lường (kiểm soát) với 114 biện pháp cụ thể về một loạt các khía cạnh an ninh trong 14 chương.

Ghi chú : Các tuyên bố được gọi là "biện pháp" trong Phụ lục A thực chất là các mục tiêu (kiểm soát) riêng lẻ. Chúng mô tả kết quả tuân thủ tiêu chuẩn của các biện pháp phù hợp (riêng lẻ) sẽ như thế nào.

Các công ty nên sử dụng các biện pháp kiểm soát này làm cơ sở cho việc cấu trúc chính sách bảo mật thông tin của cá nhân họ, chuyên sâu hơn. Đối với chủ đề nhân sự, mục tiêu đo lường "An ninh nhân sự" trong Phụ lục A.7 được đặc biệt quan tâm.

"Các biện pháp không dựa trên sự mất lòng tin của nhân viên, mà dựa trên các quy trình nhân sự được cấu trúc rõ ràng."

Các quy trình nhân sự đảm bảo trong tất cả các giai đoạn của công việc rằng các trách nhiệm và nhiệm vụ được giao liên quan đến bảo mật thông tin và việc tuân thủ được giám sát. Do đó, việc vi phạm chính sách bảo mật thông tin - cả có chủ đích và ngoài ý muốn - không phải là không thể xảy ra, nhưng chúng còn khó khăn hơn nhiều. Và nếu điều tồi tệ nhất xảy đến, một ISMS hiệu quả sẽ cung cấp cho tổ chức các cơ chế thích hợp để xử lý vi phạm.

Kiến thức giá trị : Hướng dẫn đánh giá DQS 

Hướng dẫn đánh giá của chúng tôi ISO 27001 - Phụ lục A do các chuyên gia hàng đầu tạo ra như một công cụ hỗ trợ triển khai thực tế và phù hợp lý tưởng để hiểu rõ hơn các yêu cầu tiêu chuẩn đã chọn. Nguyên tắc này đề cập đến ISO 27001:2013 và sẽ sớm được cập nhật thành ISO 27001 sửa đổi được xuất bản vào ngày 25 tháng 10 năm 2022. 

 

 

 

 

Bảo mật thông tin không phải là sai lầm

Hoàn toàn không phải là vấn đề nếu một công ty ban hành các hướng dẫn thích hợp để làm cho việc truy cập trái phép từ bên trong trở nên khó khăn hơn hoặc tốt hơn là ngăn chặn hoàn toàn việc đó. Một điều rõ ràng là: Nếu việc chấm dứt hợp đồng của một nhân viên sắp xảy ra hoặc đã được thông báo, sự không hài lòng của họ có thể dẫn đến việc đánh cắp dữ liệu có chủ đích. Điều này xảy ra đặc biệt khi nhân viên bị chấm dứt hợp đồng tin rằng họ có quyền sở hữu đối với dữ liệu dự án. Ngược lại,một đơn xin việc của một nhân viên mới cũng có nguy cơ.

Các tình huống khác cho thấy hành vi cẩu thả hoặc đơn giản là liều lĩnh, có thể gây ra hậu quả nghiêm trọng tương tự. Ví dụ, nó xảy ra rằng toàn bộ bộ phận CNTT không tuân thủ các quy tắc của riêng họ - quá cồng kềnh, quá tốn thời gian. Trong văn phòng, đó là việc xử lý bất cẩn mật khẩu hoặc điện thoại thông minh không được bảo vệ. Nhưng cũng có thể bất cẩn kết nối USB, mở tài liệu trên màn hình, tài liệu bí mật trong văn phòng trống - danh sách có thể còn dài hơn nữa.

 

Phụ lục A.7 của ISO 27001 - An ninh nhân sự

Các công ty đã triển khai hệ thống quản lý an ninh thông tin (ISMS) phù hợp với tiêu chuẩn ISO 27001 đang có lợi thế hơn ở đây. Họ biết các yêu cầu và Phụ lục A.7 phù hợp với thực tiễn của tiêu chuẩn được quốc tế công nhận. Bởi vì ISO 27001 có rất nhiều điều để cung cấp ở đây: Mặc dù các thước đo tham chiếu đề cập trực tiếp đến các yêu cầu tiêu chuẩn, chúng luôn hướng tới thực tiễn trực tiếp của công ty.

Các công ty có hệ thống ISMS hiệu quả đã quen thuộc với các mục tiêu quy định trong A.7 mà phải được thực hiện với quan điểm về an ninh nhân sự để tuân thủ đầy đủ các tiêu chuẩn - trong tất cả các giai đoạn của công việc.

 

Tiêu chuẩn ISO 27001 nói gì trong Phụ lục A.7?

Các biện pháp trước khi làm việc

Tổ chức phải đảm bảo rằng một nhân viên mới hiểu được trách nhiệm  của họ và phù hợp với vai trò của họ trước khi làm việc - theo Phụ lục A.7.1. Trong phần yêu cầu (Chương 7.2), tiêu chuẩn nói về "năng lực".

Là một biện pháp tham chiếu hướng đến mục tiêu, người nộp đơn xin việc trước tiên nhận được giấy chứng nhận bảo mật tuân thủ các nguyên tắc đạo đức và luật hiện hành. Việc kiểm tra này phải phù hợp với các yêu cầu nghiệp vụ, việc phân loại thông tin cần thu thập và các rủi ro có thể xảy ra (A.7.1.1). Để có thể đạt được điều này, cần đảm bảo hoặc xác minh những điều sau: 

  • Quy trình thu thập thông tin (cách thức và điều kiện nào)
  • Danh sách các tiêu chí pháp lý và đạo đức cần tuân thủ
  • Việc kiểm tra an ninh phải phù hợp, liên quan đến rủi ro và nhu cầu của công ty
  • Tính hợp lý và xác thực của C.V... và các tài liệu khác
  • Mức độ đáng tin cậy và năng lực của ứng viên cho vị trí dự định

Hợp đồng thỏa thuận

Bước tiếp theo là về việc làm và các điều khoản hợp đồng. Vì vậy, biện pháp tham chiếu này trong Phụ lục A của ISO / IEC 27001 bao gồm thỏa thuận hợp đồng về trách nhiệm của nhân viên đối với công ty và ngược lại (A.7.1.2). Việc thực hiện thành công yêu cầu này bao gồm, việc đáp ứng các điểm sau:

  • Việc nhân viên (nhà thầu) ký thỏa thuận bảo mật với quyền truy cập thông tin bí mật
  • Một nghĩa vụ theo hợp đồng mà phía nhân viên (nhà thầu) phải tuân thủ, ví dụ: các vấn đề về bản quyền hoặc bảo vệ dữ liệu
  • Một điều khoản hợp đồng về trách nhiệm của nhân viên (nhà thầu) khi xử lý thông tin bên ngoài

Trong quá trình làm việc - Trách nhiệm của lãnh đạo cao nhất.

Nhân viên phải nhận thức được trách nhiệm bảo mật thông tin của họ. Đây là mục tiêu của A.7.2, và quan trọng hơn, nhân viên phải tuân thủ những trách nhiệm này.

Biện pháp đầu tiên (A.7.2.1) nhằm vào nghĩa vụ của ban lãnh đạo trong việc khuyến khích nhân viên của mình thực hiện bảo mật thông tin theo các chính sách và thủ tục đã thiết lập. Để đạt được điều này, các điểm sau đây phải được quy định ở mức tối thiểu:

  • Lãnh đạo cao nhất khuyến khích nhân viên thực hiện theo cách nào? Rủi ro ở đâu?
  • Làm thế nào để đảm bảo rằng nhân viên nhận thức được các hướng dẫn đã thực hiện để xử lý vấn đề an toàn thông tin?
  • Làm thế nào để kiểm tra xem nhân viên có tuân thủ các nguyên tắc xử lý bảo mật thông tin hay không?
  • Làm thế nào để họ thúc đẩy nhân viên của mình thực hiện các chính sách và thủ tục cũng như áp dụng chúng một cách an toàn?

Tạo ra nhận thức

Trong chương 7.3 "Nhận thức", ISO 27001 yêu cầu những người thực hiện các hoạt động liên quan phải nhận thức được những điều sau

  • Chính sách bảo mật thông tin của tổ chức
  • Đóng góp của họ vào hiệu quả của hệ thống quản lý an toàn thông tin (ISMS)
  • Lợi ích của việc cải thiện kết quả thực hiện bảo mật thông tin
  • Hậu quả của việc không đáp ứng các yêu cầu của ISMS

Các nhân viên mới đặc biệt cần thông tin thường xuyên về chủ đề này, ví dụ, qua e-mail hoặc qua mạng nội bộ, ngoài các cuộc họp tóm tắt bắt buộc về các vấn đề bảo mật thông tin. Đào tạo cụ thể (đặc biệt là về các kế hoạch và bài tập khẩn cấp), hội thảo theo chủ đề cụ thể và các chiến dịch nâng cao nhận thức (ví dụ: thông qua áp phích) tăng cường nhận thức về hệ thống quản lý an toàn thông tin.

Ví dụ, biện pháp tham chiếu A.7.2.1 trong Phụ lục A của ISO 27001 cũng nhằm nâng cao nhận thức phù hợp về an toàn thông tin. Các tổ chức phải đào tạo và giáo dục nhân viên của họ và, nếu thích hợp, các nhà thầu của họ về các chủ đề chuyên môn có liên quan. Các chính sách và thủ tục tương ứng phải được cập nhật thường xuyên. Các khía cạnh sau, trong số những khía cạnh khác, phải được tính đến:

  • Cách thức mà lãnh đạo cao nhất, về phần mình, cam kết bảo mật thông tin
  • Bản chất của giáo dục và đào tạo 
  • Tần suất mà các chính sách và thủ tục được xem xét và cập nhật
  • Các công cụ khác được sử dụng
  • Các biện pháp cụ thể để nhân viên làm quen với các chính sách và thủ tục bảo mật thông tin nội bộ

MẸO: Đảm bảo giao tiếp hoạt động tốt với nhiều kênh để truyền tải kiến thức. Điều này là do nhận thức về ISMS và các khía cạnh liên quan theo yêu cầu của tiêu chuẩn có liên quan chặt chẽ đến việc chuyển giao kiến thức.

Quy trình khiển trách

Phụ lục 7.2.3: Biện pháp này quy định cách thức mà tổ chức sẽ xử lý khiển trách trong trường hợp vi phạm an toàn thông tin. Cơ sở cho điều này là một quá trình hành động khắc phục. Nó sẽ được chính thức xác định, thiết lập và công bố. Những điều sau đây phải được đảm bảo:

  • Các tiêu chí phải tồn tại theo đó phân loại mức độ nghiêm trọng của vi phạm chính sách an toàn thông tin
  • Quy trình xử lý kỷ luật không được vi phạm luật hiện hành
  • Quy trình xử lý kỷ luật phải có các biện pháp thúc đẩy nhân viên thay đổi hành vi theo hướng tích cực trong dài hạn

Kết thúc công việc - Trách nhiệm

Phụ lục A.7.3 của ISO 27001 quy định mục tiêu là một quá trình chấm dứt hoặc thay đổi hiệu quả để bảo vệ lợi ích của tổ chức. Mục tiêu này tập trung vào các trách nhiệm chấm dứt hoặc thay đổi công việc. Theo đó, các trách nhiệm và nghĩa vụ liên quan đến an toàn thông tin vẫn còn sau khi chấm dứt hoặc thay đổi công việc phải được xác định, thông báo và thực thi. Nên xem xét các khía cạnh sau:

  • Các thỏa thuận trong hợp đồng lao động về cách người lao động giải quyết các trách nhiệm và nghĩa vụ liên quan đến bảo mật thông tin sau khi thôi việc
  • Cơ chế giám sát để đảm bảo tuân thủ các thỏa thuận này
  • Các thủ tục để thực thi sự tuân thủ với các trách nhiệm và nhiệm vụ liên tục

 

An ninh mạng thông qua bảo mật nhân sự có hệ thống

Mối đe dọa từ bên trong là có thật - và hầu hết các công ty đều nhận thức được điều đó. Theo một nghiên cứu bảo mật (Balabit 2018), những nhân viên có quyền truy cập trên phạm vi rộng đặc biệt dễ bị tấn công. Và với các nhân viên tham gia vào 50% tổng số vi phạm bảo mật, 69% các chuyên gia CNTT phản hồi coi việc vi phạm dữ liệu nội bộ là rủi ro lớn nhất. Tuy nhiên, rất ít việc được thực hiện về nó. Trên thực tế, rất khó để buộc tội nhân viên nội bộ. Đặc biệt là trong các doanh nghiệp vừa và nhỏ (SME), nơi mà mọi người quen biết nhau, họ thường đặt một niềm tin nhất định - đôi khi gây ra những hậu quả không hài lòng. Quản lý an toàn thông tin có cấu trúc tốt cung cấp cơ sở để đảm bảo an toàn cho thông tin cần bảo vệ.

ISO 27001 - Phụ lục A

Hướng dẫn đánh giá DQS
Hưởng lợi từ các câu hỏi đánh giá  xuất sắc và bằng chứng khả thi về các hành động đã chọn. Hướng dẫn dựa trên ISO / IEC 27001: 2017.

Nó không chỉ là một danh sách đánh giá !
Được tạo bởi các chuyên gia của chúng tôi.

Kết luận: ISO 27001 trong thực tế - Phụ lục A

Trong Phụ lục A.7, ISO / IEC 27001 đưa ra các biện pháp tham chiếu về an ninh nhân sự phải được thực hiện như một phần của phần giới thiệu tiêu chuẩn. Các công ty nên sử dụng các biện pháp kiểm soát này làm cơ sở cho việc thiết kế chính sách bảo mật thông tin của cá nhân họ, chuyên sâu hơn. Các biện pháp này không dựa trên sự không tin tưởng của nhân viên, mà dựa trên các quy trình nhân sự được cấu trúc rõ ràng.

 

Chuyên môn và sự tin tưởng

Các công ty được chứng nhận coi trọng hệ thống quản lý là công cụ để quản lý hàng đầu tạo ra sự minh bạch, giảm độ phức tạp và cung cấp bảo mật. Tuy nhiên, các hệ thống quản lý còn làm được nhiều hơn thế: Được đánh giá và chứng nhận bởi một bên thứ ba trung lập và độc lập như DQS tạo ra niềm tin với các bên quan tâm về hiệu quả hoạt động của công ty bạn.

Nhiều tổ chức vẫn trải nghiệm chứng nhận như một kiểm tra tuân thủ. Mặt khác, khách hàng của chúng tôi coi đây là cơ hội để tập trung vào các yếu tố quan trọng thành công và kết quả của hệ thống quản lý của họ. Bởi vì năng lực cốt lõi của chúng tôi nằm trong việc thực hiện các cuộc đánh giá và đánh giá chứng nhận. Điều này khiến chúng tôi trở thành một trong những nhà cung cấp hàng đầu trên toàn thế giới với tuyên bố luôn đặt ra các tiêu chuẩn mới về độ tin cậy, chất lượng và định hướng khách hàng.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Chứng nhận theo tiêu chuẩn ISO 27001

Bạn phải làm bao nhiêu việc để hệ thống quản lý an toàn thông tin của bạn được chứng nhận ISO 27001?

Xin lưu ý: Các bài báo của chúng tôi được viết độc quyền bởi các chuyên gia về hệ thống quản lý nội bộ và các đánh giá viên lâu năm của chúng tôi. Nếu bạn có bất kỳ câu hỏi nào cho các tác giả của chúng tôi về bảo mật thông tin (ISMS), vui lòng liên hệ với chúng tôi. Chúng tôi rất hân hạnh được trao đổi với bạn.

Tác giả
André Saeckel

Giám đốc sản phẩm tại DQS về quản lý bảo mật thông tin. Là một chuyên gia tiêu chuẩn cho lĩnh vực bảo mật thông tin và danh mục bảo mật CNTT (cơ sở hạ tầng quan trọng), André Säckel chịu trách nhiệm về các tiêu chuẩn sau và tiêu chuẩn ngành cụ thể, trong số những tiêu chuẩn khác: ISO 27001, ISIS12, ISO 20000-1, KRITIS và TISAX ( an toàn thông tin trong ngành công nghiệp ô tô). Ông cũng là thành viên của nhóm công tác ISO / IEC JTC 1 / SC 27 / WG 1 với tư cách là đại biểu quốc gia của Viện Tiêu chuẩn hóa Đức DIN.

Loading...