Chính sách an toàn thông tin là tài liệu không thể thiếu khi áp dụng tiêu chuẩn về Hệ thống quản lý an toàn thông tin. Bài viết dưới đây sẽ Phân tích Chính sách an toàn thông tin ISO 27001:2013.
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin
Lãnh đạo cao nhất phải là người trực tiếp điều hành và chỉ đạo yêu cầu này
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin: phù hợp với mục đích và bối cảnh của tổ chức và hỗ trợ định hướng chiến lược của tổ chức.
Mục đích đơn giản đầu tiên mà mọi doanh nghiệp theo đuổi đó là đảm bảo cho tổ chức tồn tại. Chính sách an toàn thông tin cần phải được thiết lập để thực hiện các công việc của tổ chức, hướng tới việc thỏa mãn yêu cầu của khách hàng. Lý giải một cách đơn giản cho điều này là nếu không có khách hàng thì tổ chức không thể tồn tại. Ngoài ra, mỗi tổ chức khác nhau sẽ theo đuổi những mục tiêu khác nhau. Chính sách an toàn thông tin cần phù hợp với các mục tiêu đã đề ra để không gây rối lọan hệ thống quản lý.
Mặt khác, trong môi trường đầy biến động, mọi thứ đều có thể thay đổi từng ngày, trong đó nhu cầu và mong đợi của khách hàng, yếu tố vô cùng quan trọng ảnh hưởng tới Hệ thống quản lý an toàn thông tin. Vì vậy cần Chính sách an toàn thông tin cần phù hợp với bối cảnh mà tổ chức phải đối mặt để doanh nghiệp không bị lạc hậu hoặc thụt lùi.
Bên cạnh đó, Chính sách an toàn thông tin tốt cũng cần hỗ trợ định hướng chiến lược cho các hoạt động khác của tổ chức để đảm bảo sự phát triển bền vững.
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin để đưa ra khuôn khổ cho việc thiết lập các mục tiêu an toàn thông tin.
Chính sách an toàn thông tin là định hướng và triết lý của lãnh đạo cao nhất về an toàn thông tin, có hai cách khác nhau để giải thích của yêu cầu này. Chính sách an toàn thông tin nên lồng ghép Mục tiêu an toàn thông tin liên quan để biết mức độ hiệu lực của chính sách. Mục tiêu an toàn thông tin khi thiết lập cũng cần căn cứ vào Chính sách an toàn thông tin để tạo ra sự thống nhất và đồng bộ trong quá trình triển khai trên thực tế.
Dưới đây là ví dụ về mối liên hệ giữa Chính sách an toàn thông tin và Mục tiêu an toàn thông tin:
Chính sách an toàn thông tin
Mục tiêu an toàn thông tin
Cam kết giao hàng đúng hạn
Đạt 99% đơn hàng đúng hạn
Nâng cao sự thỏa mãn của khách hàng
Có ít hơn 2 khiếu nại của khách hàng về sản phẩm và dịch vụ do lỗi của tổ chức trong 1 năm
Giảm chi phí sản xuất
Giảm 5% chi phí sản xuất / năm
Tỷ lệ phế phẩm, sản phẩm lỗi giảm 2%/năm
Nâng cao doanh thu
Đạt mức doanh thu tăng 20% so với năm trước
Mỗi một mệnh đề trong Chính sách phải thiết lập một mục tiêu để kiểm soát nhằm biết được chính sách được thoả mãn hay không.
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin bao gồm việc cam kết để đáp ứng các yêu cầu liên quan đến an toàn thông tin.
Từ “bao gồm” trong ngữ cảnh này nghĩa là “phải có những yêu cầu của tiêu chuẩn ISO 27001:2013 về Hệ thống quản lý an toàn thông tin, yêu cầu của pháp luật hiện hành hoặc yêu cầu của khách hàng về bảo mật thông tin
Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì Chính sách an toàn thông tin bao gồm việc cam kết cải tiến liên tục Hệ thống quản lý an toàn thông tin.
Cải tiến Hệ thống quản lý an toàn thông tin là một trong những yêu cầu bắt buộc của tiêu chuẩn ISO 27001:2013. Vì vậy, Chính sách an toàn thông tin phải bao gồm cam kết này.
Chính sách an toàn thông tin phải sẵn có và được duy trì bằng thông tin dạng văn bản.
Chính sách an toàn thông tin sẽ không có giá trị nếu không được duy trì bằng thông tin dạng văn bản. Từ “sẵn có” ở đây có nghĩa là phải có để ở nơi phù hợp để người lao động biết. Cụm từ “duy trì dạng văn bản” có nghĩa là một dạng tài liệu phải được xem xét, cập nhật và kiểm soát sự thay đổi. Vì thiết lập và quản lý Chính sách an toàn thông tin là do lãnh đạo cao nhất, nên việc kiểm soát, cập nhật và xem xét phải là do lãnh đạo cao nhất thực hiện.
Chính sách an toàn thông tin phải được truyền thông trong phạm vi tổ chức.
“Truyền thông” ở đây bao gồm “truyền đạt”, “thấu hiểu” và “áp dụng”
Thứ nhất, chính sách phải được “truyền đạt”, nghĩa là làm cách nào cho toàn bộ tổ chức biết về Chính sách an toàn thông tin.
Thứ hai, chính sách phải được “thấu hiểu”, nghĩa là nói với mọi người về Chính sách, giải thích ý nghĩa của nó và tại sau phải có nó. Đánh giá viên khi hỏi bất cứ người nào thuộc sự quản lý của tổ chức họ phải giải được nội dung chính sách. Tiêu chuẩn không yêu cầu tất cả nhân sự công ty phải thuộc lòng, chỉ cần biết nó ở đâu và ý nghĩa của chính sách là gì.
Cuối cùng là “áp dụng” trong tổ chức, nghĩa là nội dung của chính sách phải triển khai thành các hành động cụ thể.
Cách để truyền đạt chính sách:
Trình tự áp dụng:
Chính sách an toàn thông tin phải sẵn có cho các bên quan tâm liên quan, khi phù hợp.
Cụm từ “các bên quan tâm liên quan” ở đây hàm ý là các bên liên quan mà tổ chức xác định là có ảnh hưởng tới Hệ thống quản lý an toàn thông tin của tổ chức như khách hàng, nhà cung cấp. Mục đích yêu cầu này là sẵn sàng chia sẻ chính sách cho khách hàng như một sự thể hiện cam kết của tổ chức.
-
Để tìm hiểu thêm về Chính sách an toàn thông tin ISO 27001:2013, Quý Doanh nghiệp vui lòng liên hệ với KNA CERT theo số hotline: 093.2211.786 hoặc Email: salesmanager@knacert.com
Link nội dung: https://world-link.edu.vn/chinh-sach-an-toan-thong-tin-la-gi-a68374.html