Professional Documents
Culture Documents
ISO 27001 - 2013 - Các tài liệu và hồ sơ theo yêu cầu - G-GLOBAL
ISO 27001 - 2013 - Các tài liệu và hồ sơ theo yêu cầu - G-GLOBAL
ISO 27001 - 2013 - Các tài liệu và hồ sơ theo yêu cầu - G-GLOBAL
ISO 27001:2013
1. TIÊU CHUẨN ISO 27001 – HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
2. CẤU TRÚC CỦA TIÊU CHUẨN ISO 27001
3. NHỮNG TÀI LIỆU VÀ HỒ SƠ THEO YÊU CẦU TIÊU CHUẨN ISO 27001:2013
4. CÁC TÀI LIỆU KHÔNG BẮT BUỘC NHƯNG HAY ĐƯỢC SỬ DỤNG TRONG ISO
27001
5. NỘI DUNG CƠ BẢN CỦA CÁC TÀI LIỆU VÀ HỒ SƠ PHỔ BIẾN NHẤT
1. Phạm vi của ISMS
2. Chính sách và mục tiêu bảo mật thông tin
3. Đánh giá rủi ro và phương pháp xử lý rủi ro & báo cáo
4. Tuyên bố về khả năng áp dụng
5. Kế hoạch xử lý rủi ro
6. Vai trò và trách nhiệm bảo mật
7. Kiểm kê tài sản
8. Chính sách về việc cho phép sử dụng tài sản
9. Chính sách kiểm soát truy cập
10. Quy trình vận hành quản lý CNTT
11. Nguyên tắc kỹ thuật hệ thống an toàn
12. Chính sách bảo mật nhà cung cấp
13. Quy trình Quản lý sự cố
14. Kế hoạch đảm bảo sự liên tục hệ thống
15. Yêu cầu pháp lý, quy định và hợp đồng
16. Hồ sơ đào tạo, kỹ năng, kinh nghiệm và trình độ nhân sự.
17. Kết quả giám sát và đo lường
18. Chương trình – Kế hoạch đánh giá nội bộ
19. Kết quả đánh giá nội bộ
20. Kết quả của Xem xét lãnh đạo
21. Kết quả của Hành động khắc phục
22. Nhật ký hoạt động của người dùng và sự kiện bảo mật
23. Thủ tục kiểm soát tài liệu
24. Quy trình Quản lý hồ sơ
25. Quy trình Đánh giá nội bộ
26. Quy trình Hành động khắc phục
6. TÀI LIỆU MẪU VỀ ISO 27001
1. TÀI LIỆU VỀ ĐÁNH GIÁ RỦI RO – ISO 27001
2. TÀI LIỆU HỆ THỐNG QUẢN LÝ – ISO 27001
3. TÀI LIỆU KIỂM SOÁT AN NINH THÔNG TIN – ISO 27001
4. TÀI LIỆU CHÍNH SÁCH KINH DOANH LIÊN TỤC
5. TÀI LIỆU CHIẾN LƯỢC KINH DOANH LIÊN TỤC – ISO 27001
6. TÀI LIỆU KẾ HOẠCH KINH DOANH LIÊN TỤC
7. TÀI LIỆU HOẠT ĐỘNG KINH DOANH LIÊN TỤC – KHÁC
8. TÀI LIỆU ĐÁNH GIÁ NỘI BỘ
Checklist – Các tài liệu bắt buộc theo yêu cầu của tiêu chu ẩn ISO/IEC
27001 (2013 Revision)
ISO 27001 là một tiêu chuẩn quốc tế được ban hành bởi Tổ ch ức tiêu
chuẩn hóa quốc tế (ISO). ISO 27001 mô tả cách qu ản lý b ảo m ật thông
tin trong một công ty. Phiên bản mới nhất của tiêu chuẩn này đã được
xuất bản vào năm 2013 – ISO / IEC 27001: 2013. Phiên bản đầu tiên của
tiêu chuẩn được xuất bản năm 2005. ISO 27001:2005 đ ược phát tri ển
dựa trên tiêu chuẩn BS 7799-2 của Anh.
ISO 27001 có thể được thực hiện trong bất kỳ loại tổ chức nào. ISO
27001 sẽ cung cấp phương pháp để thực hiện quản lý bảo mật thông tin
trong một tổ chức.
Xem thêm bài viết: Tìm hiểu về Tiêu chuẩn ISO 27001:2013
ISO/IEC 27001 được chia thành 11 phần gồm. 10 Điều khoản và 01 Phụ
lục A. Phần 1 đến 3 là phần giới thiệu (và không bắt buộc để thực hiện).
Điều khoản 4 đến 10 là các yêu cầu bắt bu ộc. Ngh ĩa là t ất c ả các yêu
cầu của ISO phải được thực hiện trong một tổ chức. Nếu Doanh nghiệp
đạt được chứng nhận tiêu chuẩn ISO 27001.
Các biện pháp kiểm soát ở Phụ lục A chỉ được thực hiện nếu được
tuyên bố là có thể áp dụng trong “Tuyên bố về khả năng áp dụng”.
Theo Phụ lục SL của Tổ chức Tiêu chuẩn quốc tế về Ch ỉ th ị ISO / IEC.
Các tiêu đề của tiêu chuẩn ISO 27001 giống như trong ISO
22301:2012, ISO 9001: 2015 mới và các tiêu chuẩn quản lý khác, cho
phép tích hợp dễ dàng hơn các tiêu chuẩn này .
Doanh nghiệp có thể dowload tiêu chuẩn ISO 27001:2013 tại đây: ( Click here )
Dưới đây là danh sách các tài liệu tiêu chuẩn ISO 27001:2013 và hồ sơ
tối thiểu theo yêu cầu của tiêu chuẩn ISO/IEC 27001 2013:
Các tài liệu bắt buộc theo tiêu chuẩn ISO 27001:2013
Các Hồ sơ bắt buộc theo tiêu chuẩn ISO 27001:2013
* Các kiểm soát ở Phụ lục A có thể được loại trừ. Nếu một tổ chức kết
luận không có rủi ro hoặc các yêu cầu khác đã thực hiện kiểm soát.
Các tài liệu này mặc dù không bắt buộc theo tiêu chu ẩn. Tuy nhiên
chúng thường được Doanh nghiệp. Có thể là:
NỘI DUNG CƠ BẢN CỦA CÁC TÀI LIỆU VÀ HỒ S Ơ PH Ổ BI ẾN
NHẤT
Tài liệu này thường tương đối ngắn gọn. Doanh nghiệp cần xác định
phạm vi ngay khi bắt đầu triển khai ISO 27001.
Thông thường, Doanh nghiệp ban hành nó là 01 tài liệu đ ộc l ập. Trong
mọt số trường hợp, nó có thể được tích hợp trong chính sách b ảo m ật
thông tin.
Chính sách bảo mật thông tin cũng là 01 tài liệu ng ắn. Chính sách này
sẽ mô tả mục đích chính của ISMS. Mục tiêu cho ISMS th ường là m ột
tài liệu độc lập. Nhưng chúng cũng có thể được hợp nhất vào chính sách
bảo mật thông tin.
Tuyên bố về khả năng áp dụng (hoặc SoA) được viết dựa trên kết quả xử
lý rủi ro. Đây là tài liệu quan trọng nhất trong ISMS. B ởi vì nó mô t ả
không chỉ các biện pháp kiểm soát nào từ Phụ lục A được áp dụng mà
còn cả cách chúng sẽ được thực hiện và tình trạng hiện tại của Doanh
nghiệp.
Tuyên bố về khả năng áp dụng như một tài liệu mô tả hồ sơ bảo mật của
01 công ty.
Kế hoạch xử lý rủi ro
Về cơ bản, đây là một kế hoạch hành động về cách triển khai các bi ện
pháp kiểm soát được xác định bởi SoA. Nó được tách ra d ựa trên Tuyên
bố về khả năng áp dụng. Sau đó sẽ được sử dụng và cập nhật trong quá
trình thực hiện ISMS. Tài liệu này có thể được hợp nhất vào k ế ho ạch
triển khai dự án.
Phương pháp tốt nhất là mô tả chúng trong tất cả các chính sách và th ủ
tục. Việc mô tả càng chính xác, càng rõ ràng càng t ốt. Doanh nghiệp
không nên ghi chung chung như “nên được thực hi ện”. Mà thay vào đó
hãy sử dụng như “ISOCERT sẽ thực hiện việc backup dữ liệu vào mỗi 8h
sáng hàng ngày.”
Một số công ty thích mô tả vai trò bảo mật và trách nhi ệm trong các mô
tả công việc của các vị trí. Tuy nhiên, điều này có th ể d ẫn đ ến Doanh
nghiệp sẽ phải ban hành nhiều văn bản.
Vai trò và trách nhiệm bảo mật cho bên th ứ ba nên đ ược xác đ ịnh trong
hợp đồng.
Cách tốt nhất để kiểm kê tài sản là trực tiếp từ kết qu ả đánh giá r ủi ro
ban đầu. Trong quá trình đánh giá rủi ro, t ất c ả các tài s ản và ch ủ s ở
hữu của chúng phải được xác định bằng mọi cách. Sau đó Doanh nghi ệp
chỉ cần sao chép kết quả từ đó.
Doanh nghiệp sẽ có 01 Danh sách các tài sản cần kiểm soát.
Chính sách sử dụng hoặc thỏa thuận truy cập được ch ấp nh ận ph ải đ ược
thông qua. Nhằm đảm bảo việc sử dụng thống nhất mạng, tài s ản thông
tin và các tài nguyên điện tử khác của tổ chức.
Các quy tắc, nghĩa vụ và tiêu chuẩn được mô tả trong chính sách này và
các chính sách / thủ tục khác nên áp dụng cho tất cả nhân viên, công
nhân tạm thời, nhà thầu độc lập, nhà cung cấp và người dùng đi ện t ử
khác bất cứ nơi nào họ có thể sử dụng.
Trong tài liệu này, bạn chỉ có thể bao gồm phía doanh nghi ệp phê duy ệt
quyền truy cập vào một số thông tin và hệ thống nhất định. Doanh nghiệp
có thể chọn xác định các quy tắc truy cập khác nhau. Tài li ệu này đ ược
xây dựng sau khi hoàn thành quá trình đánh giá rủi ro và xử lý rủi ro.
Doanh nghiệp có thể viết một tài liệu duy nhất. Hoặc một lo ạt các quy
trình và thủ tục khác. Nếu doanh nghiệp là một công ty nh ỏ b ạn nên s ử
dụng ít tài liệu hơn.
Thông thường, Doanh nghiệp có thể có tất cả các lĩnh vực từ các phần A
.12 và A .13 – Phụ lục A. Ví dụ như: quản lý thay đổi, dịch vụ của bên
thứ ba, sao lưu, bảo mật mạng, mã độc, xử lý và hủy, chuyển thông tin,
giám sát hệ thống, v.v.
Tài liệu này cũng được xây dựng sau khi bạn hoàn thành đánh giá r ủi ro
và quá trình xử lý rủi ro.
Đây là một yêu cầu mới trong ISO 27 001: 2013. Nó yêu c ầu các tài li ệu
kỹ thuật về bảo mật phải được ghi lại dưới dạng thủ tục ho ặc tiêu chu ẩn.
Kỹ thuật này phải kết hợp với tất cả các phần khác nh ư kinh doanh, d ữ
liệu, ứng dụng và Công nghệ. Kỹ thuật có thể bao gồm xác th ực d ữ li ệu
đầu vào, gỡ lỗi, kỹ thuật xác thực, kiểm soát giao dịch an toàn, v.v.
Tài liệu này bao gồm các cách kiểm, sàng lọc các nhà cung cấp tiềm
năng. Xác định cách đánh giá rủi ro của nhà cung c ấp. Các đi ều kho ản
bảo mật nào được đưa vào hợp đồng với nhà cung cấp. Cách giám sát
việc thực hiện các điều khoản bảo mật hợp đồng, cách thay đ ổi h ợp
đồng, cách đóng quyền truy cập sau khi hợp đồng bị chấm dứt, v.v.
Đây là một thủ tục quan trọng trong Hệ thống. Nó nhằm xác định cách
báo cáo, phân loại và xử lý các điểm yếu và s ự c ố b ảo m ật đ ược.
Quy trình này cũng xác định cách xây dựng biện pháp phòng ngừa từ
các sự cố bảo mật thông tin. Nhằm có thể ngăn chặn được các sự cố tiếp
tục xảy ra. Thủ tục này cũng liên quan tới Quy trình đ ảm b ảo kinh doanh
liên túc. Nếu một sự cố đã gây ra sự gián đoạn kéo dài cho Doanh
nghiệp.
Đây thường là các kế hoạch đảm bảo kinh doanh liên tục, kế hoạch ứng
phó sự cố, kế hoạch khắc phục cho khách hàng của tổ ch ức và k ế ho ạch
khắc phục thảm họa (kế hoạch khắc phục cho cơ sở hạ t ầng CNTT).
Doanh nghiệp tham khảo trong tiêu chuẩn ISO 22301 v ề tính liên t ục
trong kinh doanh.
Danh sách các yêu cầu này nên được lập càng sớm trong d ự án càng
tốt. Các tài liệu này thường đưa ra những yêu cầu cụ th ể cho vi ệc qu ản
lý an toàn thông tin. Danh sách này không ch ỉ bao g ồm các trách nhi ệm
tuân thủ với các yêu cầu nhất định. Chúng còn liên quan tới th ời h ạn
thực hiện, thời hạn hoàn thành.
Những hồ sơ này thường được duy trì bởi bộ phận nhân sự. Ho ặc b ất k ỳ
ai thường duy trì hồ sơ của nhân viên đều có th ể th ực hi ện. V ề c ơ b ản,
doanh nghiệp cần có một kho lưu trữ, tệp lưu trữ về tất cả các ho ạt đ ộng
này. Hồ sơ về đào tạo nhân sự; Hồ sơ thể hiện kinh nghi ệm, k ỹ n ăng,
trình độ nhân sự.
Cách dễ nhất để mô tả cách đo các điều khiển là thông qua các chính
sách và pocedures xác định từng điều khiển – thông th ường, mô t ả này
có thể được viết ở cuối mỗi tài liệu và mô tả đó xác định các loại KPI (chỉ
số hiệu suất chính) cần được đo cho từng điều khiển ho ặc nhóm đi ều
khiển.
Khi phương pháp đo này được áp dụng, y ou ph ải th ực hi ện phép đo
tương ứng. Điều quan trọng là phải báo cáo những k ết qu ả này th ường
xuyên cho những người chịu trách nhiệm làm giảm bớt chúng.
Chương trình đánh giá nội thường đưa ra thời gian về đánh giá 1
năm/lần. Đối với một công ty nhỏ, đây chỉ có thể là một cu ộc đánh giá
đơn thuần. Còn với một tổ chức lớn hơn, đây có thể là nhiều lần, ví dụ, 10
lần đánh giá nội bộ.
Kế hoạch này sẽ xác định ai sẽ thực hiện đánh giá, ph ương pháp, tiêu
chí đánh giá v.v.
Đánh giá viên nội bộ phải lập báo cáo đánh giá nội bộ. Bao g ồm các k ết
quả đánh giá (quan sát và hành động khắc phục). Báo cáo phải được làm
ngay sau khi thực hiện đánh giá nội bộ. Trong một s ố tr ường h ợp, đánh
giá viên nội bộ sẽ không kiểm tra xem tất cả các hành động kh ắc ph ục.
Họ chỉ tập trung vào những điểm cốt lõi, quan trọng nhất của Hệ thống.
Xem xét lãnh đạo thường ở dạng biên bản cuộc họp. Kết quả qu ả này có
thể không bao gồm tât cả các vấn đề, cũng như t ất c ả các quy ết đ ịnh đã
được đưa ra. Mà cũng chỉ tập trung vào các vấn đề cốt lõi c ủa H ệ th ống.
Biên bản có thể ở dạng văn bản giấy hoặc điện tử.
Kiểm soát tài liệu tiêu chuẩn ISO 27001 là một thủ tục độc lập, dài 2
hoặc 3 trang. Nếu bạn đã thực hiện một số tiêu chu ẩn khác nh ư ISO
9001, ISO 14001, ISO 22301 hoặc tương tự. Doanh nghi ệp có th ể s ử
dụng 01 quy trình quản lý tài liệu cho tất cả. Thông thường, đây th ường
là tài liệu được viết đầu tiên trong Hệ thống. Vì quy trình này s ẽ h ướng
dẫn, thông nhất quy tắc về việc viết tài liệu Hệ thống.
Quy trình là quy định cách kiểm soát các hồ sợ được t ạo ra khi th ực
hiện chính sách hoặc thủ tục (hoặc tài liệu khác).
Các kiểm soát hồ sơ thường được viết vào cuối mỗi tài li ệu. Nó s ẽ mô t ả
nơi lưu trữ hồ sơ, ai có quyền truy cập, cách bảo qu ản, th ời gian l ưu tr ữ,
v.v.
Quy trình này hướng dẫn Doanh nghiệp thực hiện đánh giá n ội b ộ. Gi ống
như quy trình kiểm soát tài liệu, quy trình đánh giá nội bộ có thể sử d ụng
chung cho bất kỳ hệ thống ISO nào.
Quy trình này không nên dài hơn 2 hoặc 3 trang. Quy trình này s ẽ mô t ả,
hướng dẫn cách thức xử lý, báo cáo, kiểm tra việc th ực hi ện các hành
đông khắc phục.
Hồ sơ về Hành động khắc phục cũng cần được lưu trữ. Vì kết quả hành
động khắc phục có thể giúp doanh nghiệp kiểm soát tốt hơn về sau.
Trên đây là giải thích ngắn gọn về các tài liệu và hồ sơ trong ISO 27001.
Để xây dựng và hiểu rõ hơn cách vận hành các tài li ệu này; Doanh
nghiệp cần tìm hiểu kỹ hơn về ISO 27001. Hoặc Doanh nghi ệp có th ể
thuê 01 đơn vị tư vấn, đào tạo về ISO 27001.
ISOCERT cũng cung cấp các tài liệu tham khảo liên quan t ới ISO 27001
tại website này. Doanh nghiệp vui lòng tham khảo chuyên mục khác c ủa
chúng tôi.
Chúng tôi xin giới thiệu Danh sách các chính sách và quy trình đ ược
xây dựng cơ bản của 01 Doanh nghiệp. Đây chỉ là phần ban đ ầu đ ể
Doanh nghiệp có thể hình dung các tài li ệu tiêu chuẩn ISO 27001, hồ sơ
khi áp dụng ISO 27001. Để có thể xây dựng cụ thể các tài li ệu này;
Doanh nghiệp thực sự cần có người hỗ trợ .
1. Chính sách về thiết bị cá nhân mang theo (BYOD – Bring Your Own
Device)
2. Chính sách thiết bị di động và Teleworking
3. Tuyên bố bảo mật
4. Tuyên bố chấp nhận tài liệu ISMS
5. Kiểm kê tài sản
6. Chính sách bảo mật CNTT
7. Chính sách phân loại thông tin
8. Chính sách kiểm soát truy cập
9. Chính sách mật khẩu
10. Chính sách sử dụng mã hóa
11. Chính sách bảo vệ bàn làm việc và màn hình máy tính
12. Chính sách xử lý và tiêu hủy dữ liệu
13. Thủ tục làm việc trong khu vực an toàn
14. Quy trình bảo mật cho phòng CNTT
15. Thay đổi chính sách quản lý
16. Chính sách sao lưu
17. Chính sách trao đổi thông tin
18. Chính sách phát triển an toàn
19. Đặc điểm kỹ thuật của hệ thống thông tin
20. Chính sách bảo mật với nhà cung cấp
21. Điều khoản bảo mật cho nhà cung cấp và đối tác
22. Quy trình quản lý sự cố
23. Nhật ký sự cố
TÀI LIỆU CHIẾN LƯỢC KINH DOANH LIÊN TỤC – ISO 27001