Chính sách an toàn thông tin là tài liệu không thể thiếu khi áp dụng tiêu chuẩn về Hệ thống quản lý an toàn thông tin. Bài viết dưới đây sẽ Phân tích Chính sách an toàn thông tin ISO 27001:2013.
PHẢI THIẾT LẬP, THỰC HIỆN VÀ DUY TRÌ CHÍNH SÁCH AN TOÀN THÔNG TIN
- Yêu cầu thứ nhất
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin
- Phân tích
- “Thiết lập” là bắt buộc phải duy trì Chính sách an toàn thông tin
- “Thực hiện” tức là làm theo những gì đã tuyên bố, đã hoạch định hoặc đã cam kết;
- “Duy trì” là đảm bảo nó luôn ở trạng thái hoạt động và đảm bảo nó luôn phù hợp với những gì đã hoạch định cho nó, tức là phải đảm bảo chính sách luôn có hiệu lực.
- Giải pháp
Lãnh đạo cao nhất phải là người trực tiếp điều hành và chỉ đạo yêu cầu này
CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI PHÙ HỢP VỚI MỤC ĐÍCH CỦA TỔ CHỨC
- Yêu cầu thứ hai của tiêu chuẩn ISO 27001:2013
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin: phù hợp với mục đích và bối cảnh của tổ chức và hỗ trợ định hướng chiến lược của tổ chức.
- Phân tích
Mục đích đơn giản đầu tiên mà mọi doanh nghiệp theo đuổi đó là đảm bảo cho tổ chức tồn tại. Chính sách an toàn thông tin cần phải được thiết lập để thực hiện các công việc của tổ chức, hướng tới việc thỏa mãn yêu cầu của khách hàng. Lý giải một cách đơn giản cho điều này là nếu không có khách hàng thì tổ chức không thể tồn tại. Ngoài ra, mỗi tổ chức khác nhau sẽ theo đuổi những mục tiêu khác nhau. Chính sách an toàn thông tin cần phù hợp với các mục tiêu đã đề ra để không gây rối lọan hệ thống quản lý.
Mặt khác, trong môi trường đầy biến động, mọi thứ đều có thể thay đổi từng ngày, trong đó nhu cầu và mong đợi của khách hàng, yếu tố vô cùng quan trọng ảnh hưởng tới Hệ thống quản lý an toàn thông tin. Vì vậy cần Chính sách an toàn thông tin cần phù hợp với bối cảnh mà tổ chức phải đối mặt để doanh nghiệp không bị lạc hậu hoặc thụt lùi.
Bên cạnh đó, Chính sách an toàn thông tin tốt cũng cần hỗ trợ định hướng chiến lược cho các hoạt động khác của tổ chức để đảm bảo sự phát triển bền vững.
- Giải pháp
- Tổ chức cần phải xác định khách hàng của mình là ai? Họ ở đâu? Họ có mong muốn nhận được những gì và cần gì?
- Lãnh đạo phải thường xuyên xem xét bối cảnh tổ chức và ảnh hưởng của bối cảnh lên Chính sách an toàn thông tin, đồng thời có thể điều chỉnh Chính sách an toàn thông tin để nó luôn phù hợp với tình hình thực tế
- Phải gắn kết Chính sách an toàn thông tin với bối cảnh và mục đích của tổ chức
CHÍNH SÁCH AN TOÀN THÔNG TIN CUNG CẤP KHUÔN KHỔ CHO VIỆC THIẾT LẬP CÁC MỤC TIÊU AN TOÀN THÔNG TIN
- Yêu cầu trong Điều 5.2.b tiêu chuẩn ISO 27001:2013
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin để đưa ra khuôn khổ cho việc thiết lập các mục tiêu an toàn thông tin.
- Phân tích
Chính sách an toàn thông tin là định hướng và triết lý của lãnh đạo cao nhất về an toàn thông tin, có hai cách khác nhau để giải thích của yêu cầu này. Chính sách an toàn thông tin nên lồng ghép Mục tiêu an toàn thông tin liên quan để biết mức độ hiệu lực của chính sách. Mục tiêu an toàn thông tin khi thiết lập cũng cần căn cứ vào Chính sách an toàn thông tin để tạo ra sự thống nhất và đồng bộ trong quá trình triển khai trên thực tế.
Dưới đây là ví dụ về mối liên hệ giữa Chính sách an toàn thông tin và Mục tiêu an toàn thông tin:
Chính sách an toàn thông tin
Mục tiêu an toàn thông tin
Cam kết giao hàng đúng hạn
Đạt 99% đơn hàng đúng hạn
Nâng cao sự thỏa mãn của khách hàng
Có ít hơn 2 khiếu nại của khách hàng về sản phẩm và dịch vụ do lỗi của tổ chức trong 1 năm
Giảm chi phí sản xuất
Giảm 5% chi phí sản xuất / năm
Tỷ lệ phế phẩm, sản phẩm lỗi giảm 2%/năm
Nâng cao doanh thu
Đạt mức doanh thu tăng 20% so với năm trước
- Giải pháp
Mỗi một mệnh đề trong Chính sách phải thiết lập một mục tiêu để kiểm soát nhằm biết được chính sách được thoả mãn hay không.
CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI ĐÁP ỨNG CÁC YÊU CẦU LIÊN QUAN ĐẾN AN TOÀN THÔNG TIN
- Yêu cầu trong Điều 5.2.c tiêu chuẩn ISO 27001:2013
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin bao gồm việc cam kết để đáp ứng các yêu cầu liên quan đến an toàn thông tin.
- Phân tích
Từ “bao gồm” trong ngữ cảnh này nghĩa là “phải có những yêu cầu của tiêu chuẩn ISO 27001:2013 về Hệ thống quản lý an toàn thông tin, yêu cầu của pháp luật hiện hành hoặc yêu cầu của khách hàng về bảo mật thông tin
- Giải pháp
- Xác định các yêu cầu của pháp luật hiện hành về quản lý an toàn thông tin
- Xác định yêu cầu của Tiêu chuẩn ISO 27001:2013
- Xác định yêu cầu của khách hàng và đối tác liên quan về an toàn thông tin sản phẩm, dịch vụ
CHÍNH SÁCH AN TOÀN THÔNG TIN BAO GỒM CAM KẾT CẢI TIẾN LIÊN TỤC HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
- Yêu cầu trong Điều 5.2.d tiêu chuẩn ISO 27001:2013
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin bao gồm việc cam kết cải tiến liên tục Hệ thống quản lý an toàn thông tin.
- Phân tích
Cải tiến Hệ thống quản lý an toàn thông tin là một trong những yêu cầu bắt buộc của tiêu chuẩn ISO 27001:2013. Vì vậy, Chính sách an toàn thông tin phải bao gồm cam kết này.
- Giải pháp
- Cách dễ nhất và rõ ràng nhất để làm điều này là sử dụng những từ chính xác trong chính sách của tổ chức, mặc dù tổ chức có thể diễn giải các cam kết theo cách riêng của tổ chức. Ví dụ như “Công ty cam kết thúc đẩy hoạt động cải tiến liên tục Hệ thống quản lý an toàn thông tin”.
- Đồng thời lãnh đạo phải chứng minh được sự cải thiện trên hệ thống mà công ty đang áp dụng
CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI SẴN CÓ VÀ DUY TRÌ BẰNG THÔNG TIN DẠNG VĂN BẢN
- Yêu cầu trong Điều 5.2.e tiêu chuẩn ISO 27001:2013
Chính sách an toàn thông tin phải sẵn có và được duy trì bằng thông tin dạng văn bản.
- Phân tích
Chính sách an toàn thông tin sẽ không có giá trị nếu không được duy trì bằng thông tin dạng văn bản. Từ “sẵn có” ở đây có nghĩa là phải có để ở nơi phù hợp để người lao động biết. Cụm từ “duy trì dạng văn bản” có nghĩa là một dạng tài liệu phải được xem xét, cập nhật và kiểm soát sự thay đổi. Vì thiết lập và quản lý Chính sách an toàn thông tin là do lãnh đạo cao nhất, nên việc kiểm soát, cập nhật và xem xét phải là do lãnh đạo cao nhất thực hiện.
- Giải pháp
- Lãnh đạo cao nhất thiết lập chính sách dạng văn bản, sau đó phát cho các phòng ban.
- Các văn bản này phải được phê duyệt thỏa đáng trước khi ban hành, được xem xét lại định kỳ, được kiểm soát bản sao và đảm bảo tất cả các bản chính sách hiện hành ở tổ chức là bản mới nhất.
CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI ĐƯỢC TRUYỀN THÔNG TRONG PHẠM VI TỔ CHỨC
- Yêu cầu trong Điều 5.2.f tiêu chuẩn ISO 27001:2013
Chính sách an toàn thông tin phải được truyền thông trong phạm vi tổ chức.
- Phân tích
“Truyền thông” ở đây bao gồm “truyền đạt”, “thấu hiểu” và “áp dụng”
Thứ nhất, chính sách phải được “truyền đạt”, nghĩa là làm cách nào cho toàn bộ tổ chức biết về Chính sách an toàn thông tin.
Thứ hai, chính sách phải được “thấu hiểu”, nghĩa là nói với mọi người về Chính sách, giải thích ý nghĩa của nó và tại sau phải có nó. Đánh giá viên khi hỏi bất cứ người nào thuộc sự quản lý của tổ chức họ phải giải được nội dung chính sách. Tiêu chuẩn không yêu cầu tất cả nhân sự công ty phải thuộc lòng, chỉ cần biết nó ở đâu và ý nghĩa của chính sách là gì.
Cuối cùng là “áp dụng” trong tổ chức, nghĩa là nội dung của chính sách phải triển khai thành các hành động cụ thể.
- Giải pháp
Cách để truyền đạt chính sách:
- Dán bảng thông tin
- Treo áp phích
- In trong các card nhỏ cho người lao động để trong các bảng tên
- In trong sổ tay nhân viên
- Thông tin qua các buổi họp toàn thể
- Dùng loa phát thanh
- Dùng màn hình LCD
- Để trên server yêu cầu mọi người đọc
- In vào tờ giấy rồi truyền tay nhau đọc và ký xác nhận vào đó
- Gửi email
Trình tự áp dụng:
- Thông báo cho người lao động việc ban hành Chính sách an toàn thông tin
- Ban hành chính sách file giấy cho tất cả người lao động
- Hiển thị các chính sách ở những nơi quan trọng để thu hút sự chú ý của mọi người.
- Lên kế hoạch và thực hiện đào tạo hoặc hướng dẫn cho người lao động.
- Kiểm tra sự hiểu biết của họ bằng bất cứ cách nào (ví dụ như hỏi trực tiếp, phỏng vấn …)
- Kiểm tra xem các quyết định quan trọng liên quan đến an toàn thông tin có hướng vào Chính sách an toàn thông tin không? Người ra quyết định có xem xet yếu tố chính sách trước khi đưa ra quyết định không?
- Hành động mỗi khi có sự hiểu lầm hoặc hiểu sai, ví dụ như đào tạo lại…
- Mỗi khi có một sự thay đổi trong chính sách, làm lại từ trên xuống
- Một công cụ để xác định sự hiểu biết của người lao động là đánh giá nội bộ. Kế hoạch đánh giá nội bộ nên bao gồm đánh giá sự thấu hiểu của người lao động về Chính sách an toàn thông tin, điều này là quan trong nhưng thường bị bỏ qua ở một số tổ chức
CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI SẴN CÓ CHO CÁC BÊN LIÊN QUAN
- Yêu cầu trong Điều 5.2.g tiêu chuẩn ISO 27001:2013
Chính sách an toàn thông tin phải sẵn có cho các bên quan tâm liên quan, khi phù hợp.
- Phân tích
Cụm từ “các bên quan tâm liên quan” ở đây hàm ý là các bên liên quan mà tổ chức xác định là có ảnh hưởng tới Hệ thống quản lý an toàn thông tin của tổ chức như khách hàng, nhà cung cấp. Mục đích yêu cầu này là sẵn sàng chia sẻ chính sách cho khách hàng như một sự thể hiện cam kết của tổ chức.
- Giải pháp
- Thể hiện trên trang Website của tổ chức
- Treo chính sách trong một khung hình đẹp tại một vị trí sảnh chính của tổ chức hoặc nơi có thể gây ấn tượng với khách viếng thăm
- Chiếu file powerpoint hoặc một đoạn clip giới thiệu về Chính sách an toàn thông tin của tổ chức khi khách viếng thăm
-
Để tìm hiểu thêm về Chính sách an toàn thông tin ISO 27001:2013, Quý Doanh nghiệp vui lòng liên hệ với KNA CERT theo số hotline: 093.2211.786 hoặc Email: salesmanager@knacert.com