CÔNG TY TNHH CHỨNG NHẬN KNA 

Chính sách an toàn thông tin là tài liệu không thể thiếu khi áp dụng tiêu chuẩn về Hệ thống quản lý an toàn thông tin. Bài viết dưới đây sẽ Phân tích Chính sách an toàn thông tin ISO 27001:2013.

PHẢI THIẾT LẬP, THỰC HIỆN VÀ DUY TRÌ CHÍNH SÁCH AN TOÀN THÔNG TIN

  1. Yêu cầu thứ nhất

Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin

  1. Phân tích
  1. Giải pháp

Lãnh đạo cao nhất phải là người trực tiếp điều hành và chỉ đạo yêu cầu này

CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI PHÙ HỢP VỚI MỤC ĐÍCH CỦA TỔ CHỨC

  1. Yêu cầu thứ hai của tiêu chuẩn ISO 27001:2013

Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin: phù hợp với mục đích và bối cảnh của tổ chức và hỗ trợ định hướng chiến lược của tổ chức.

  1. Phân tích

Mục đích đơn giản đầu tiên mà mọi doanh nghiệp theo đuổi đó là đảm bảo cho tổ chức tồn tại. Chính sách an toàn thông tin cần phải được thiết lập để thực hiện các công việc của tổ chức, hướng tới việc thỏa mãn yêu cầu của khách hàng. Lý giải một cách đơn giản cho điều này là nếu không có khách hàng thì tổ chức không thể tồn tại. Ngoài ra, mỗi tổ chức khác nhau sẽ theo đuổi những mục tiêu khác nhau. Chính sách an toàn thông tin cần phù hợp với các mục tiêu đã đề ra để không gây rối lọan hệ thống quản lý.

Mặt khác, trong môi trường đầy biến động, mọi thứ đều có thể thay đổi từng ngày, trong đó nhu cầu và mong đợi của khách hàng, yếu tố vô cùng quan trọng ảnh hưởng tới Hệ thống quản lý an toàn thông tin. Vì vậy cần Chính sách an toàn thông tin cần phù hợp với bối cảnh mà tổ chức phải đối mặt để doanh nghiệp không bị lạc hậu hoặc thụt lùi.

Bên cạnh đó, Chính sách an toàn thông tin tốt cũng cần hỗ trợ định hướng chiến lược cho các hoạt động khác của tổ chức để đảm bảo sự phát triển bền vững.

  1. Giải pháp

CHÍNH SÁCH AN TOÀN THÔNG TIN CUNG CẤP KHUÔN KHỔ CHO VIỆC THIẾT LẬP CÁC MỤC TIÊU AN TOÀN THÔNG TIN

  1. Yêu cầu trong Điều 5.2.b tiêu chuẩn ISO 27001:2013

Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin để đưa ra khuôn khổ cho việc thiết lập các mục tiêu an toàn thông tin.

  1. Phân tích

Chính sách an toàn thông tin là định hướng và triết lý của lãnh đạo cao nhất về an toàn thông tin, có hai cách khác nhau để giải thích của yêu cầu này. Chính sách an toàn thông tin nên lồng ghép Mục tiêu an toàn thông tin liên quan để biết mức độ hiệu lực của chính sách. Mục tiêu an toàn thông tin khi thiết lập cũng cần căn cứ vào Chính sách an toàn thông tin để tạo ra sự thống nhất và đồng bộ trong quá trình triển khai trên thực tế.

Dưới đây là ví dụ về mối liên hệ giữa Chính sách an toàn thông tin và Mục tiêu an toàn thông tin:

Chính sách an toàn thông tin

Mục tiêu an toàn thông tin

Cam kết giao hàng đúng hạn

Đạt 99% đơn hàng đúng hạn

Nâng cao sự thỏa mãn của khách hàng

Có ít hơn 2 khiếu nại của khách hàng về sản phẩm và dịch vụ do lỗi của tổ chức trong 1 năm

Giảm chi phí sản xuất

Giảm 5% chi phí sản xuất / năm

Tỷ lệ phế phẩm, sản phẩm lỗi giảm 2%/năm

Nâng cao doanh thu

Đạt mức doanh thu tăng 20% so với năm trước

  1. Giải pháp

Mỗi một mệnh đề trong Chính sách phải thiết lập một mục tiêu để kiểm soát nhằm biết được chính sách được thoả mãn hay không.

CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI ĐÁP ỨNG CÁC YÊU CẦU LIÊN QUAN ĐẾN AN TOÀN THÔNG TIN

  1. Yêu cầu trong Điều 5.2.c tiêu chuẩn ISO 27001:2013

Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin bao gồm việc cam kết để đáp ứng các yêu cầu liên quan đến an toàn thông tin.

  1. Phân tích

Từ “bao gồm” trong ngữ cảnh này nghĩa là “phải có những yêu cầu của tiêu chuẩn ISO 27001:2013 về Hệ thống quản lý an toàn thông tin, yêu cầu của pháp luật hiện hành hoặc yêu cầu của khách hàng về bảo mật thông tin

  1. Giải pháp

CHÍNH SÁCH AN TOÀN THÔNG TIN BAO GỒM CAM KẾT CẢI TIẾN LIÊN TỤC HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

  1. Yêu cầu trong Điều 5.2.d tiêu chuẩn ISO 27001:2013

Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin bao gồm việc cam kết cải tiến liên tục Hệ thống quản lý an toàn thông tin.

  1. Phân tích

Cải tiến Hệ thống quản lý an toàn thông tin là một trong những yêu cầu bắt buộc của tiêu chuẩn ISO 27001:2013. Vì vậy, Chính sách an toàn thông tin phải bao gồm cam kết này.

  1. Giải pháp

CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI SẴN CÓ VÀ DUY TRÌ BẰNG THÔNG TIN DẠNG VĂN BẢN

  1. Yêu cầu trong Điều 5.2.e tiêu chuẩn ISO 27001:2013

Chính sách an toàn thông tin phải sẵn có và được duy trì bằng thông tin dạng văn bản.

  1. Phân tích

Chính sách an toàn thông tin sẽ không có giá trị nếu không được duy trì bằng thông tin dạng văn bản. Từ “sẵn có” ở đây có nghĩa là phải có để ở nơi phù hợp để người lao động biết. Cụm từ “duy trì dạng văn bản” có nghĩa là một dạng tài liệu phải được xem xét, cập nhật và kiểm soát sự thay đổi. Vì thiết lập và quản lý Chính sách an toàn thông tin là do lãnh đạo cao nhất, nên việc kiểm soát, cập nhật và xem xét phải là do lãnh đạo cao nhất thực hiện.

  1. Giải pháp

CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI ĐƯỢC TRUYỀN THÔNG TRONG PHẠM VI TỔ CHỨC

  1. Yêu cầu trong Điều 5.2.f tiêu chuẩn ISO 27001:2013

Chính sách an toàn thông tin phải được truyền thông trong phạm vi tổ chức.

  1. Phân tích

“Truyền thông” ở đây bao gồm “truyền đạt”, “thấu hiểu” và “áp dụng”

Thứ nhất, chính sách phải được “truyền đạt”, nghĩa là làm cách nào cho toàn bộ tổ chức biết về Chính sách an toàn thông tin.

Thứ hai, chính sách phải được “thấu hiểu”, nghĩa là nói với mọi người về Chính sách, giải thích ý nghĩa của nó và tại sau phải có nó. Đánh giá viên khi hỏi bất cứ người nào thuộc sự quản lý của tổ chức họ phải giải được nội dung chính sách. Tiêu chuẩn không yêu cầu tất cả nhân sự công ty phải thuộc lòng, chỉ cần biết nó ở đâu và ý nghĩa của chính sách là gì.

Cuối cùng là “áp dụng” trong tổ chức, nghĩa là nội dung của chính sách phải triển khai thành các hành động cụ thể.

  1. Giải pháp

Cách để truyền đạt chính sách:

Trình tự áp dụng:

CHÍNH SÁCH AN TOÀN THÔNG TIN PHẢI SẴN CÓ CHO CÁC BÊN LIÊN QUAN

  1. Yêu cầu trong Điều 5.2.g tiêu chuẩn ISO 27001:2013

Chính sách an toàn thông tin phải sẵn có cho các bên quan tâm liên quan, khi phù hợp.

  1. Phân tích

Cụm từ “các bên quan tâm liên quan” ở đây hàm ý là các bên liên quan mà tổ chức xác định là có ảnh hưởng tới Hệ thống quản lý an toàn thông tin của tổ chức như khách hàng, nhà cung cấp. Mục đích yêu cầu này là sẵn sàng chia sẻ chính sách cho khách hàng như một sự thể hiện cam kết của tổ chức.

  1. Giải pháp

-

Để tìm hiểu thêm về Chính sách an toàn thông tin ISO 27001:2013, Quý Doanh nghiệp vui lòng liên hệ với KNA CERT theo số hotline: 093.2211.786 hoặc Email: salesmanager@knacert.com

Link nội dung: https://world-link.edu.vn/chinh-sach-an-toan-thong-tin-la-gi-a68374.html