Các tài liệu và hồ sơ theo yêu cầu Tiêu chuẩn ISO 27001:2013

Checklist – Các tài liệu bắt buộc theo yêu cầu của tiêu chuẩn ISO/IEC 27001 (2013 Revision)

 TIÊU CHUẨN ISO 27001 – HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN  

ISO 27001 là một tiêu chuẩn quốc tế được ban hành bởi Tổ chức tiêu chuẩn hóa quốc tế (ISO). ISO 27001 mô tả cách quản lý bảo mật thông tin trong một công ty. Phiên bản mới nhất của tiêu chuẩn này đã được xuất bản vào năm 2013 – ISO / IEC 27001: 2013. Phiên bản đầu tiên của tiêu chuẩn được xuất bản năm 2005. ISO 27001:2005 được phát triển dựa trên tiêu chuẩn BS 7799-2 của Anh.

ISO 27001 có thể được thực hiện trong bất kỳ loại tổ chức nào. ISO 27001 sẽ cung cấp phương pháp để thực hiện quản lý bảo mật thông tin trong một tổ chức.

Xem thêm bài viết: Tìm hiểu về Tiêu chuẩn ISO 27001:2013 

  CẤU TRÚC CỦA TIÊU CHUẨN ISO 27001  

ISO/IEC 27001 được chia thành 11 phần gồm. 10 Điều khoản và 01 Phụ lục A. Phần 1 đến 3 là phần giới thiệu (và không bắt buộc để thực hiện). Điều khoản 4 đến 10 là các yêu cầu bắt buộc. Nghĩa là tất cả các yêu cầu của ISO phải được thực hiện trong một tổ chức. Nếu Doanh nghiệp đạt được chứng nhận tiêu chuẩn ISO 27001.

Các biện pháp kiểm soát  ở Phụ lục A chỉ được thực hiện nếu được tuyên bố là có thể áp dụng trong “Tuyên bố về khả năng áp dụng”.

Theo Phụ lục SL của Tổ chức Tiêu chuẩn quốc tế về Chỉ thị ISO / IEC. Các tiêu đề của tiêu chuẩn ISO 27001 giống như trong ISO 22301:2012,  ISO 9001: 2015 mới và các tiêu chuẩn quản lý khác, cho phép tích hợp dễ dàng hơn các tiêu chuẩn này .

Điều khoản 1: Phạm vi
Điều khoản 2: Tham chiếu tiêu chuẩn
Điều khoản  3: Điều khoản và định nghĩa
Điều khoản  4: Bối cảnh của tổ chức
Điều khoản  5: Lãnh đạo
Điều khoản 6: Lập kế hoạch
Điều khoản 7: Hỗ trợ
Điều khoản 8: Hoạt động
Điều khoản 9: Đánh giá hiệu suất
Điều khoản 10: Cải tiến
Phụ lục A
Phụ lục này cung cấp một danh mục gồm 114  biện pháp bảo vệ được đặt trong 14 phần. (phần A.5 đến A.18)

Doanh nghiệp có thể dowload tiêu chuẩn ISO 27001:2013 tại đây: ( Click here )

NHỮNG TÀI LIỆU VÀ HỒ SƠ THEO YÊU CẦU TIÊU CHUẨN ISO 27001:2013

Dưới đây là danh sách các tài liệu tiêu chuẩn ISO 27001:2013 và hồ sơ tối thiểu theo yêu cầu của tiêu chuẩn ISO/IEC 27001 2013:

Các tài liệu bắt buộc theo tiêu chuẩn ISO 27001:2013

Tài liệu tiêu chuẩn ISO 27001

Các Hồ sơ bắt buộc theo tiêu chuẩn ISO 27001:2013

Hồ sơ của Tiêu chuẩn ISO 27001

* Các kiểm soát ở Phụ lục A có thể được loại trừ. Nếu một tổ chức kết luận không có rủi ro hoặc các yêu cầu khác đã thực hiện kiểm soát.

Đây không phải là một danh sách các tài liệu và hồ sơ cố định có thể được sử dụng trong quá trình thực hiện ISO 27001. Tiêu chuẩn cho phép bất kỳ tài liệu nào khác được sử dụng thêm vào nhằm cải thiện mức độ bảo mật thông tin.

CÁC TÀI LIỆU KHÔNG BẮT BUỘC NHƯNG HAY ĐƯỢC SỬ DỤNG TRONG ISO 27001

Các tài liệu này mặc dù không bắt buộc theo tiêu chuẩn. Tuy nhiên chúng thường được Doanh nghiệp. Có thể là:

NỘI DUNG CƠ BẢN CỦA CÁC TÀI LIỆU VÀ HỒ SƠ PHỔ BIẾN NHẤT

Phạm vi của ISMS

Tài liệu này thường tương đối ngắn gọn. Doanh nghiệp cần xác định phạm vi ngay khi bắt đầu triển khai ISO 27001.
Thông thường, Doanh nghiệp ban hành nó là 01 tài liệu độc lập. Trong mọt số trường hợp, nó có thể được tích hợp trong chính sách bảo mật thông tin.

Chính sách và mục tiêu bảo mật thông tin

Chính sách bảo mật thông tin cũng là 01 tài liệu ngắn. Chính sách này sẽ  mô tả mục đích chính của ISMS. Mục tiêu cho ISMS thường là một tài liệu độc lập. Nhưng chúng cũng có thể được hợp nhất vào chính sách bảo mật thông tin.

Đánh giá rủi ro và phương pháp xử lý rủi ro & báo cáo

Đánh giá rủi ro và phương pháp xử lý thường là một tài liệu dài từ 4 đến 5 trang. Nó cần được viết trước khi Doanh nghiệp thực hiện đánh giá rủi ro và xử lý rủi ro.
Báo cáo đánh giá và xử lý rủi ro lại được viết sau khi thực hiện đánh giá rủi ro và xử lý rủi ro . Báo cáo sẽ ghi lại tất cả các kết quả của việc thực hiện đánh giá và xử lý rủi ro.

Tuyên bố về khả năng áp dụng

Tuyên bố về khả năng áp dụng (hoặc SoA) được viết dựa trên kết quả xử lý rủi ro. Đây là tài liệu quan trọng nhất trong ISMS. Bởi vì nó mô tả không chỉ các biện pháp kiểm soát nào từ Phụ lục A được áp dụng mà còn cả cách chúng sẽ được thực hiện và tình trạng hiện tại của Doanh nghiệp.
Tuyên bố về khả năng áp dụng như một tài liệu mô tả hồ sơ bảo mật của 01 công ty.

Kế hoạch xử lý rủi ro

Về cơ bản, đây là một kế hoạch hành động về cách triển khai các biện pháp kiểm soát được xác định bởi SoA. Nó được tách ra dựa trên Tuyên bố về khả năng áp dụng. Sau đó sẽ được sử dụng và cập nhật trong quá trình thực hiện ISMS. Tài liệu này có thể được hợp nhất vào kế hoạch triển khai dự án.

Vai trò và trách nhiệm bảo mật

Phương pháp tốt nhất là mô tả chúng trong tất cả các chính sách và thủ tục. Việc mô tả càng chính xác, càng rõ ràng càng tốt.  Doanh nghiệp không nên ghi chung chung như “nên được thực hiện”. Mà thay vào đó hãy sử dụng như “ISOCERT sẽ thực hiện việc backup dữ liệu vào mỗi 8h sáng hàng ngày.”

Một số công ty thích mô tả vai trò bảo mật và trách nhiệm trong các mô tả công việc của các vị trí. Tuy nhiên, điều này có thể dẫn đến Doanh nghiệp sẽ phải ban hành nhiều văn bản.
Vai trò và trách nhiệm bảo mật cho bên thứ ba nên được xác định trong hợp đồng.

Kiểm kê tài sản

Cách tốt nhất để kiểm kê tài sản là trực tiếp từ kết quả đánh giá rủi ro ban đầu. Trong quá trình đánh giá rủi ro, tất cả các tài sản và chủ sở hữu của chúng phải được xác định bằng mọi cách. Sau đó Doanh nghiệp chỉ cần sao chép kết quả từ đó.
Doanh nghiệp sẽ có 01 Danh sách các tài sản cần kiểm soát.

Chính sách về việc cho phép sử dụng tài sản

Chính sách sử dụng hoặc thỏa thuận truy cập được chấp nhận phải được thông qua. Nhằm đảm bảo việc sử dụng thống nhất mạng, tài sản thông tin và các tài nguyên điện tử khác của tổ chức.

Các quy tắc, nghĩa vụ và tiêu chuẩn được mô tả trong chính sách này và các chính sách / thủ tục khác nên áp dụng cho tất cả nhân viên, công nhân tạm thời, nhà thầu độc lập, nhà cung cấp và người dùng điện tử khác bất cứ nơi nào họ có thể sử dụng.

Chính sách kiểm soát truy cập

Trong tài liệu này, bạn chỉ có thể bao gồm phía doanh nghiệp phê duyệt quyền truy cập vào một số thông tin và hệ thống nhất định. Doanh nghiệp có thể chọn xác định các quy tắc truy cập khác nhau. Tài liệu này được xây dựng sau khi hoàn thành quá trình đánh giá rủi ro và xử lý rủi ro.

Quy trình vận hành quản lý CNTT

Doanh nghiệp có thể viết một tài liệu duy nhất. Hoặc một loạt các quy trình và thủ tục khác. Nếu doanh nghiệp là một công ty nhỏ bạn nên sử dụng ít tài liệu hơn.

Thông thường, Doanh nghiệp có thể có tất cả các lĩnh vực từ các phần A .12 và A .13 – Phụ lục A.  Ví dụ như: quản lý thay đổi, dịch vụ của bên thứ ba, sao lưu, bảo mật mạng, mã độc, xử lý và hủy, chuyển thông tin, giám sát hệ thống, v.v.
Tài liệu này cũng được xây dựng sau khi bạn hoàn thành đánh giá rủi ro và quá trình xử lý rủi ro.

Nguyên tắc kỹ thuật hệ thống an toàn

Đây là một yêu cầu mới trong ISO 27 001: 2013. Nó yêu cầu các tài liệu kỹ thuật về bảo mật phải được ghi lại dưới dạng thủ tục hoặc tiêu chuẩn. Kỹ thuật này phải kết hợp với tất cả các phần khác như kinh doanh, dữ liệu, ứng dụng và Công nghệ. Kỹ thuật có thể bao gồm xác thực dữ liệu đầu vào, gỡ lỗi, kỹ thuật xác thực, kiểm soát giao dịch an toàn, v.v.

Chính sách bảo mật nhà cung cấp

Tài liệu này bao gồm các cách kiểm,  sàng lọc các nhà cung cấp tiềm năng. Xác định cách đánh giá rủi ro của nhà cung cấp. Các điều khoản bảo mật nào được đưa vào hợp đồng với nhà cung cấp. Cách giám sát việc thực hiện các điều khoản bảo mật hợp đồng, cách thay đổi hợp đồng, cách đóng quyền truy cập sau khi hợp đồng bị chấm dứt, v.v.

Quy trình Quản lý sự cố

Đây là một thủ tục quan trọng  trong Hệ thống. Nó nhằm xác định cách báo cáo, phân loại và xử lý các điểm yếu và sự cố bảo mật được.
Quy trình này cũng xác định cách  xây dựng biện pháp phòng ngừa từ các sự cố bảo mật thông tin. Nhằm có thể ngăn chặn được các sự cố tiếp tục xảy ra. Thủ tục này cũng liên quan tới Quy trình đảm bảo kinh doanh liên túc. Nếu một sự cố đã gây ra sự gián đoạn kéo dài cho Doanh nghiệp.

Kế hoạch đảm bảo sự liên tục hệ thống

Chính sách bảo đảm liên tục - Tiêu chuẩn ISO 27001

Đây thường là các kế hoạch đảm bảo kinh doanh liên tục, kế hoạch ứng phó sự cố, kế hoạch khắc phục cho khách hàng của tổ chức và kế hoạch khắc phục thảm họa (kế hoạch khắc phục cho cơ sở hạ tầng CNTT). Doanh nghiệp tham khảo trong tiêu chuẩn ISO 22301 về tính liên tục trong kinh doanh.

Yêu cầu pháp lý, quy định và hợp đồng

Danh sách các yêu cầu này nên được lập càng sớm trong dự án càng tốt. Các tài liệu này thường đưa ra những yêu cầu cụ thể cho việc quản lý an toàn thông tin. Danh sách này không chỉ bao gồm các trách nhiệm tuân thủ với các yêu cầu nhất định. Chúng còn liên quan tới thời hạn thực hiện, thời hạn hoàn thành.

Hồ sơ đào tạo, kỹ năng, kinh nghiệm và trình độ nhân sự.

Những hồ sơ này thường được duy trì bởi bộ phận nhân sự. Hoặc bất kỳ ai thường duy trì hồ sơ của nhân viên đều có thể thực hiện. Về cơ bản, doanh nghiệp cần có một kho lưu trữ, tệp lưu trữ về tất cả các hoạt động này. Hồ sơ về đào tạo nhân sự; Hồ sơ thể hiện kinh nghiệm, kỹ năng, trình độ nhân sự.

Kết quả giám sát và đo lường

Cách dễ nhất để mô tả cách đo các điều khiển là thông qua các chính sách và pocedures xác định từng điều khiển – thông thường, mô tả này có thể được viết ở cuối mỗi tài liệu và mô tả đó xác định các loại KPI (chỉ số hiệu suất chính) cần được đo cho từng điều khiển hoặc nhóm điều khiển.
Khi phương pháp đo này được áp dụng, y ou phải thực hiện phép đo tương ứng. Điều quan trọng là phải báo cáo những kết quả này thường xuyên cho những người chịu trách nhiệm làm giảm bớt chúng.

Chương trình – Kế hoạch đánh giá nội bộ

Chương trình đánh giá nội thường đưa ra thời gian về đánh giá 1 năm/lần. Đối với một công ty nhỏ, đây chỉ có thể là một cuộc đánh giá đơn thuần. Còn với một tổ chức lớn hơn, đây có thể là nhiều lần, ví dụ, 10 lần đánh giá nội bộ.
Kế hoạch này sẽ xác định ai sẽ thực hiện đánh giá, phương pháp, tiêu chí đánh giá v.v.

Kết quả đánh giá nội bộ

Đánh giá viên nội bộ phải lập báo cáo đánh giá nội bộ. Bao gồm các kết quả đánh giá (quan sát và hành động khắc phục). Báo cáo phải được làm ngay sau khi thực hiện đánh giá nội bộ. Trong một số trường hợp, đánh giá viên nội bộ sẽ không kiểm tra xem tất cả các hành động khắc phục. Họ chỉ tập trung vào những điểm cốt lõi, quan trọng nhất của Hệ thống.

Kết quả của Xem xét lãnh đạo

Xem xét lãnh đạo thường ở dạng biên bản cuộc họp. Kết quả quả này có thể không bao gồm tât cả các vấn đề, cũng như tất cả các quyết định đã được đưa ra. Mà cũng chỉ tập trung vào các vấn đề cốt lõi của Hệ thống. Biên bản có thể ở dạng văn bản giấy hoặc điện tử.

Kết quả của Hành động khắc phục

Đây là kết quả thực hiện của hành động khắc phục (CAR). Doanh nghiệp nên đưa hồ sơ này vào 01 bộ phận trợ giúp nào đó. Bởi vì thông thường các kết quả hành động khắc phục chỉ đơn giản là liệt kê trách nhiệm, nhiệm vụ và thời hạn được xác định để xử lý vấn đề.

Nhật ký hoạt động của người dùng và sự kiện bảo mật

Chúng thường được giữ ở hai dạng:
(1) ở dạng kỹ thuật số, được ghi tự động hoặc bán tự động dưới dạng nhật ký của CNTT và các hệ thống khác, và
(2) ở dạng giấy, trong đó mọi bản ghi đều được ghi chép thủ công.

Thủ tục kiểm soát tài liệu

Kiểm soát tài liệu tiêu chuẩn ISO 27001 là một thủ tục độc lập, dài 2 hoặc 3 trang. Nếu bạn đã thực hiện một số tiêu chuẩn khác như ISO 9001, ISO 14001, ISO 22301 hoặc tương tự. Doanh nghiệp có thể sử dụng 01 quy trình quản lý tài liệu cho tất cả. Thông thường, đây thường là tài liệu được viết đầu tiên trong Hệ thống. Vì quy trình này sẽ hướng dẫn, thông nhất quy tắc về việc viết tài liệu Hệ thống.

Quy trình Quản lý hồ sơ

Quy trình là quy định cách kiểm soát các hồ sợ được tạo ra khi thực hiện chính sách hoặc thủ tục (hoặc tài liệu khác).
Các kiểm soát hồ sơ thường được viết vào cuối mỗi tài liệu. Nó sẽ mô tả nơi lưu trữ hồ sơ, ai có quyền truy cập, cách bảo quản, thời gian lưu trữ, v.v.

Quy trình Đánh giá nội bộ

Quy trình này hướng dẫn Doanh nghiệp thực hiện đánh giá nội bộ. Giống như quy trình kiểm soát tài liệu, quy trình đánh giá nội bộ có thể sử dụng chung cho bất kỳ hệ thống ISO nào.

Quy trình Hành động khắc phục

Quy trình này không nên dài hơn 2 hoặc 3 trang. Quy trình này sẽ mô tả, hướng dẫn cách thức xử lý, báo cáo, kiểm tra việc thực hiện các hành đông khắc phục.
Hồ sơ về Hành động khắc phục cũng cần được lưu trữ. Vì kết quả hành động khắc phục có thể giúp doanh nghiệp kiểm soát tốt hơn về sau.

Trên đây là giải thích ngắn gọn về các tài liệu và hồ sơ trong ISO 27001. Để xây dựng và hiểu rõ hơn cách vận hành các tài liệu này; Doanh nghiệp cần tìm hiểu kỹ hơn về ISO 27001. Hoặc Doanh nghiệp có thể thuê 01 đơn vị tư vấn, đào tạo về ISO 27001.

ISOCERT cũng cung cấp các tài liệu tham khảo liên quan tới ISO 27001 tại website này. Doanh nghiệp vui lòng tham khảo chuyên mục khác của chúng tôi.

TÀI LIỆU MẪU VỀ ISO 27001

Chúng tôi xin giới thiệu Danh sách các chính sách và quy trình được xây dựng cơ bản của 01 Doanh nghiệp. Đây chỉ là phần ban đầu để Doanh nghiệp có thể hình dung các tài liệu tiêu chuẩn ISO 27001, hồ sơ khi áp dụng ISO 27001. Để có thể xây dựng cụ thể các tài liệu này; Doanh nghiệp thực sự cần có người hỗ trợ .

Danh mục cơ bản bao gồm:

TÀI LIỆU VỀ ĐÁNH GIÁ RỦI RO – ISO 27001

  1. Đánh giá rủi ro và phương pháp xử lý rủi ro
  2. Bảng đánh giá rủi ro
  3. Bảng xử lý rủi ro
  4. Báo cáo đánh giá và điều trị rủi ro
  5. Tuyên bố về khả năng áp dụng
  6. Kế hoạch xử lý rủi ro

TÀI LIỆU HỆ THỐNG QUẢN LÝ – ISO 27001

  1. Thủ tục kiểm soát tài liệu và hồ sơ
  2. Thủ tục xác định yêu cầu khách hàng
  3. Danh sách các yêu cầu pháp lý, quy định, hợp đồng và các yêu cầu khác
  4. Tài liệu phạm vi ISMS
  5. Chính sách bảo mật thông tin
  6. Kế hoạch đào tạo và nhận thức
  7. Báo cáo đo lường
  8. Biên bản xem xét lãnh đạo
  9. Thủ tục hành động khắc phục
  10. Mẫu hành động khắc phục

TÀI LIỆU KIỂM SOÁT AN NINH THÔNG TIN – ISO 27001

  1. Chính sách về thiết bị cá nhân mang theo (BYOD – Bring Your Own Device)
  2. Chính sách thiết bị di động và Teleworking
  3. Tuyên bố bảo mật
  4. Tuyên bố chấp nhận tài liệu ISMS
  5. Kiểm kê tài sản
  6. Chính sách bảo mật CNTT
  7. Chính sách phân loại thông tin
  8. Chính sách kiểm soát truy cập
  9. Chính sách mật khẩu
  10. Chính sách sử dụng mã hóa
  11. Chính sách bảo vệ bàn làm việc và màn hình máy tính
  12. Chính sách xử lý và tiêu hủy dữ liệu
  13. Thủ tục làm việc trong khu vực an toàn
  14. Quy trình bảo mật cho phòng CNTT
  15. Thay đổi chính sách quản lý
  16. Chính sách sao lưu
  17. Chính sách trao đổi thông tin
  18. Chính sách phát triển an toàn
  19. Đặc điểm kỹ thuật của hệ thống thông tin
  20. Chính sách bảo mật với nhà cung cấp
  21. Điều khoản bảo mật cho nhà cung cấp và đối tác
  22. Quy trình quản lý sự cố
  23. Nhật ký sự cố

TÀI LIỆU CHÍNH SÁCH KINH DOANH LIÊN TỤC

  1. Chính sách liên tục kinh doanh
  2. Phương pháp phân tích tác động kinh doanh
  3. Bảng câu hỏi phân tích tác động kinh doanh

TÀI LIỆU CHIẾN LƯỢC KINH DOANH LIÊN TỤC – ISO 27001

  1. Chiến lược kinh doanh liên tục
  2. Danh sách các hoạt động
  3. Ưu tiên phục hồi cho các hoạt động kinh doanh
  4. Mục tiêu thời gian phục hồi cho các hoạt động kinh doanh
  5. Ví dụ về các tình huống sự cố kinh doanh
  6. Kế hoạch chuẩn bị cho việc kinh doanh liên tục.
  7. Chiến lược phục hồi hoạt động.

TÀI LIỆU KẾ HOẠCH KINH DOANH LIÊN TỤC

  1. Kế hoạch kinh doanh liên tục
  2. Kế hoạch ứng phó sự cố
  3. Nhật ký sự cố
  4. Danh sách các trang web kinh doanh
  5. Kế hoạch vận chuyển
  6. Địa chỉ liên lạc quan trọng
  7. Kế hoạch khắc phục thảm họa
  8. Kế hoạch phục hồi hoạt động

TÀI LIỆU HOẠT ĐỘNG KINH DOANH LIÊN TỤC – KHÁC

  1. Kế hoạch phòng ngừa và kiểm tra
  2. Mẫu – Báo cáo bài tập và kiểm tra
  3. Kế hoạch đánh giá và bảo trì BCMS
  4. Mẫu đánh giá sau sự cố

TÀI LIỆU ĐÁNH GIÁ NỘI BỘ

  1. Thủ tục kiểm toán nội bộ
  2. Chương trình kiểm toán nội bộ hàng năm
  3. Báo cáo kiểm toán nội bộ
  4. Danh sách kiểm tra nội bộ

Để tìm hiểu thêm về tài liệu tiêu chuẩn ISO 27001 và cách triển khai ISO 27001.Vui lòng truy cập các bài viết khác của chúng tôi hoặc gọi ngay cho chúng tôi để được tư vấn tốt nhất!

LIÊN HỆ: 0984.422225 hoặc 02466.82.05.05

CHÚNG TÔI Ở ĐÂY ĐỂ PHỤC VỤ BẠN !


Recommended For You

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *