Bảo mật thông tin với môi trường làm việc từ xa

Phiên bản sửa đổi mới nhất của ISO 27001:2022 đã được phát hành và tất cả các cuộc đánh giá sau tháng 10, 2023 đều phải theo tuân theo tiêu chuẩn 2022 (DQS là một trong những tổ chức cấp chứng nhận ISO 27001:2022). Bản sửa đổi năm 2022 có bổ sung thêm các điều khoản bao gồm an ninh mạng cho các công việc làm từ xa và các yêu cầu mới để đảm bảo an ninh mạng tại nơi làm việc, ngay cả khi nơi làm việc là tại nhà của bạn. Những sửa đổi này sẽ giúp xoa dịu sự căng thẳng của các nhà điều hành và đội ngũ quản lý, vì bản sửa đổi đã vạch ra các yêu cầu tối thiểu để thiết lập một kế hoạch lành mạnh cho việc bảo mật thông tin.

Một ví dụ của những yêu cầu trong bản sửa đổi 2022 là tổ chức của bạn được yêu cầu phải có một chương trình thu thập thông tin về những mối nguy hại đến Bảo mật thông tin (InforSec). Điều này sẽ hỗ trợ tổ chức vì nhóm CNTT  không thiết lập môi trường làm việc riêng cho những nhân viên làm việc từ xa, vậy nên cần phải có cách để theo dõi các mối nguy hại và sử dụng các kiến thức thu thập được từ việc này để ngăn chặn các vi phạm bảo mật dữ liệu. Và với việc áp dụng ISO 27001, toàn bộ tổ chức sẽ được nâng cao nhận thức vì phải liên tục tham gia và cam kết tuân thủ theo các điều khoản. 

Bằng cách nào mà một cá nhân có thể tuân thủ việc giữ an toàn dữ liệu cho tổ chức khi đang làm việc từ xa? Đầu tiên, chúng tôi có các chương trình đạo tạo bắt buộc về An ninh mạng mà tất cả các nhân viên mới đều phải tham gia và các chương trình tái đào tạo cho các nhân viên lâu năm (DQS Academy hiện có cung cấp các khóa đào tạo trực tuyến và trực tiếp thường niên về nhận thức An ninh mạng). Những khóa đào tạo bắt buộc này, dù chúng được xem như tẻ nhạt đối với các nhân viên thông thường, lại đưa ra được các chỉ dẫn trong việc xử lý những tình huống mà đã có thể là một nỗ lực trong việc tấn công giả mạo, và cung cấp thông tin về những mối đe dọa mới mà có thể giúp giảm thiểu các hành vi rủi ro. Ngoài ra, còn có những việc như luôn kết nối với VPN của tổ chức khi đang làm các công việc liên quan đến kinh doanh, chẳng hạn như hợp đồng, và thay đổi mật khẩu của bộ phát Wi-Fi từ mật khẩu mặc định ban đầu.

Khi nói đển việc di chuyển cùng với các thiết bị của tổ chức, và các thiết bị cá nhân, luôn giữ các thiết bị trong tầm mắt, đừng để chúng không được trông coi và đừng để các thiết bị kết nối thông qua Bluetooth và Wi-Fi bởi những thiết bị này có thể chứa các mối nguy hại chẳng hạn như các phần mềm gián điệp. Trước khi di chuyển, và thường xuyên, các thiết bị nên được cập nhật đến phiên bản mới nhất khi nói đến các phần mềm và bảo mật. Các mối nguy hại mới được tạo ra mỗi ngày, và những bản cập nhật này nên được thực hiện thường xuyên để đảm bảo rằng các thiết bị được bảo vệ một cách tốt nhất. 

Nhưng nếu như mối nguy hại không phải xuất phát từ trong tổ chức, chẳng hạn như với vụ vi phạm dữ liệu của 25&Me? Theo như một bài báo trên Wired, người phát ngôn của công ty 23&Me tuyên bố "Chúng tôi tin rằng kẻ gây ra mối nguy hại, đã vi phạm điều khoản dịch vụ của chúng tôi, truy cập vào tài khoản 23andme.com không phép và đánh cắp thông tin từ những tài khoản đó." Mọi thứ đều có thể xảy ra, kể cả với phần mềm và hệ thống bảo mật tốt nhất. Các mối nguy hại mới có thể xuất hiện mà không báo trước - vậy chuyện gì sẽ xảy ra tiếp theo? Trong ISO 27001:2022, có những gạch đầu dòng giúp các tổ chức lên kế hoạch khi đối mặt với rủi ro. Ngay từ giây phút vấn đề xuất hiện, các kế hoạch này sẽ tự động được đưa đến nơi thích hợp nhất, tìm nguyên nhân, sửa vấn đề, và hơn thế nữa. ISO 27001 không chỉ có các yêu cầu đối với các nhân viên, mà còn là một danh sách dùng để theo dõi các vấn đề xảy ra phía sau, cũng như là thiết lập chỉ dẫn cho khách hàng. 

Vậy, ý chúng tôi khi nói đến ISO 27001:2022, là nó cũng hoạt động như một cách bảo vệ dữ liệu khách hàng? Đúng, nó có nghĩa là nhân viên sẽ xử lý dữ liệu và thông tin được cung cấp bởi khách hàng một cách cẩn trọng, đồng thời khách hàng cũng cần phải tuân thủ các điều khoản để hỗ trợ việc bảo mật dữ liệu. Điều khoản dịch vụ (ToS) và Chính sách bảo mật không chỉ là để tổ chức tự bảo vệ bản thân khỏi các mối nguy hại một cách tốt nhất, mà còn là để có thể hỗ trợ khách hàng tự bảo vệ tài khoản và thông tin của họ. Khi một khách hàng tương tác với sản phẩm của bạn hoặc sử dụng dịch vụ của bạn, họ đã đồng ý với TOS và Chính sách bảo mật (bao gồm cả các ngành nghề kinh doanh mà chúng tôi đã nhắc đến trong bài blog trước) mà có thể bao gồm việc giới hạn một dịch vụ và sản phẩm được sử dụng và cách mà dữ liệu được cung cấp bởi khách hàng được dùng. Ngoài ra, cũng có thể xuất hiện các chỉ dẫn bổ sung về việc thiết lập "bảo mật hai lớp" để có thể bảo vệ dữ liệu khách hàng một cách tốt nhất. Với tư cách là một tổ chức, thậm chí ngay cả khi đã có sự đồng thuận, bạn luôn phải cố để mong đợi điều ít được mong đợi nhất, bởi không phải ai cũng sẽ tuân theo những yêu cầu hoặc sẽ tìm cách lách qua nó, và điều này có thể xuất hiện từ nội bộ cũng như là từ bên ngoài.

ISO 27001 là nơi tốt nhất để bắt đầu khi nói đến việc tìm ra đâu là cách tốt nhất để bảo mật thông tin. Và từ ISO 27001, bạn có thể chuyển tiếp đến ISO 27701, và rồi chuyển sang các hệ thống quản lý như ISO 9001 và ISO 45001. Chúng tôi luôn sẵn lòng giải đáp thắc mắc cho bạn về ISO 27001, dù cho đây là lần đầu bạn áp dụng tiêu chuẩn này hoặc bạn đang có mong muốn nâng cấp ISO 27001:2013. Chúng tôi cũng cung cấp khóa đào tạo đánh giá viên trưởng ISO 27001:2022  thông qua DQS Academy. Hãy liên hệ với bộ phận sales hôm nay qua email headoffice@dqs.com.vn hoặc sử dụng link bên dưới.