Bảo mật thông tin là một trong những yêu cầu vô cùng quan trọng với mỗi một doanh nghiệp, không phân biệt quy mô, loại hình và khu vực. Nếu doanh nghiệp của bạn còn đang gặp khó khăn trong việc xây dựng một hệ thống quản lý an toàn thông tin (ISMS) đạt chuẩn ISO 27001:2013 thì bài viết dưới đây sẽ giúp bạn nắm rõ được quy trình này với 2 giai đoạn chính:

• Giai đoạn 1: Xây dựng Hệ thống quản lý an toàn thông tin (ISMS)
• Giai đoạn 2: Đánh giá Hệ thống ISMS và cấp chứng chỉ ISO 27001

Quy trình xây dựng Hệ thống quản lý an toàn thông tin (ISMS)

Bước 1: Liệt kê tài sản

Tài sản của một doanh nghiệp phân chia thành 6 hình thức tồn tại là:

• Thông tin số
• Giấy tờ tài liệu
• Phần mềm
• Phần cứng/ Vật lý
• Con người
• Các dịch vụ bổ sung

Doanh nghiệp cần lưu trữ và tập hợp đầy đủ các loại danh sách, văn bản, hợp đồng trên các thiết bị phần mềm (máy tính) và phần cứng (giấy tờ, sổ sách). Trong đó phải đề cập tới những loại tài sản mà doanh nghiệp sở hữu và sử dụng.

Trong một doanh nghiệp thì không phải tài sản nào cũng cần bảo mật, các doanh nghiệp khác nhau sẽ có thông tin cần bảo mật khác nhau, thậm chí tùy từng thời điểm mà phạm vi bảo mật có thể thay đổi để phù hợp với tình hình thực tiễn. Việc xác định được đầy đủ các loại tài sản sẽ giúp doanh nghiệp dễ dàng khoanh vùng phạm vi triển khai hệ thống ISMS, lựa chọn xem đâu là phần tài sản cần bảo vệ và loại bỏ những thông tin chưa cần thiết lập hệ thống bảo vệ.

Bước 2: Định giá tài sản

Doanh nghiệp tiến hành đánh giá giá trị với các loại tài sản nằm trong danh mục cần bảo mật tức thì dựa trên chi phí ban đầu để sở hữu từng loại tài sản và những phí tổn nếu doanh nghiệp làm mất, thất thoát hoặc bại lộ chúng.

Mấu chốt của giai đoạn này nằm ở chỗ làm sao để định giá tài sản cho vừa phải và phù hợp. Bởi lẽ nó không chỉ đơn giản là việc xác định một tài sản có giá bao nhiêu tiền (định lượng) mà còn phải xác định các hệ quả, hệ lụy mà tài sản đó đem lại liên quan tới các vấn đề uy tín, hình ảnh của doanh nghiệp, thất thoát khách hàng, đánh mất thị trường,... (định tính). Có những tài sản để sở hữu nó thì doanh nghiệp không tổn kém mấy chi phí nhưng nếu mất đi thì sẽ gây ra những thiệt hại vô cùng to lớn không phải chỉ đong đếm bằng tiền mà xong.

Những lúc như vậy thì việc tìm tới các chuyên gia tư vấn là một giải pháp khá hữu hiệu. Các chuyên gia sẽ chuyển giá hợp lý giữa định tính và định lượng, đưa ra mức định giá vừa phải khi xem xét trong hệ tham chiếu của bối cảnh thị trường chung và so với các doanh nghiệp khác.

Bước 3: Xác định các hiểm nguy

Doanh nghiệp tiến hành liệt kê các rủi ro, đe dọa đối với những tài sản cần bảo mật. Những nguy hiểm này có thể rất cụ thể tới từ tương lai gần như việc quên mật khẩu, bị hack tài khoản, thất lạc chìa khóa, mất công cụ làm việc (điện thoại, máy tính,...). Cho tới những hiểm nguy xa vời có thể xảy ra hoặc không xảy ra như khủng hoảng, thiên tai hay ngày tận thế.

Bước 4: Tính toán các nguy cơ

Xác định các cặp đánh giá khả năng xảy ra trên thực tế theo mô hình “loại tài sản – hiểm nguy với tài sản đó”. Xác suất của hiểm nguy cần được cụ thể bằng các thông tin như xảy ra bao nhiêu lần trong tháng, bao nhiêu lần trong năm. Xác định được những đánh giá này càng rõ ràng thì càng dễ lượng hóa nguy cơ.

Trên thực tế, doanh nghiệp có thế phân chia đánh giá các mức độ rủi ro theo định tính (từ nguy cơ cao tới nguy cơ thấp) hoặc đánh giá theo định lượng (chia thành các giá trị số cụ thể và cho điểm)

Bước 5: Tính toán thiệt hại

Có nhiều cách xác định thiệt hại khác nhau tùy vào từng doanh nghiệp, ví dụ như áp dụng công thức:

Thiệt hại = Xác xuất xảy ra sự cố + Giá trị tài sản bị mất + Hậu quả của sự cố

Bước 6: Biện pháp giảm thiểu nguy cơ

Sau khi xác định được thiệt hại, doanh nghiệp có 3 sự lựa chọn:

• Chấp nhận: Không hành động và chấp nhận thiệt hại nếu nguy cơ trở thành hiện thực
• Giảm thiểu: Thực hiện các biện pháp để giảm thiểu khả năng xảy ra nguy cơ. Việc xây dựng hệ thống ISMS đạt ISO 27001:2013 được xem là một trong những biện pháp hữu hiệu.
• Chuyển tiếp nguy cơ: Tìm cách để chia sẻ nguy cơ với đối tác khác. Mua bảo hiểm là hình thức được nhiều doanh nghiệp lựa chọn nhất để chia sẻ thiệt hại nếu nguy cơ xảy ra.

Bước 7: Đánh giá chi phí cho giải pháp và đưa ra quyết định

Doanh nghiệp trả lời câu hỏi “Đầu tư bao nhiêu để giảm thiệt hại xuống bao nhiêu?”, “Sau khi thực hiện giải pháp thì doanh nghiệp có chấp nhận được nguy cơ và thiệt hại còn lại hay không?”. Nếu câu trả lời là “Không” thì cần rà soát lại tất cả những công đoạn ở trên cho tới khi câu trả lời là “Có” thì có nghĩa là doanh nghiệp đã hoàn thành xong một kế hoạch xây dựng an ninh thông tin.

Bước 8: Triển khai hệ thống bảo mật thông tin (ISMS)

Doanh nghiệp tiến hành thực hiện các họat động xoay quanh 3 nội dung chính là:

• Thiết lế lại, đầu tư bổ sung các thành phần kỹ thuật
• Xây dựng các quy định, quy trình, hướng dẫn và triển khai đào tạo
• Phổ biến các nội dung, đảm bảo mọi nhân viên, cán bộ của doanh nghiệp đều nắm bắt được

Tuy nhiên để đánh giá hệ thống bảo mật này đã hoàn thiện hay chưa, có đáng tin cậy hay không thì lại cần có sự khảo sát của các tổ chức đánh giá chứng chỉ, mà cụ thể là hệ thống phải đạt chứng nhận ISO 27001.

ISMS là gì? Tìm hiểu hệ thống quản lý an toàn thông tin

2: Quy trình đánh giá và cấp chứng chỉ ISO 27001:2013

Bước 1: Gửi yêu cầu Đăng ký chứng nhận ISO 27001:2013

Bước 2: Lập kế hoạch xây dựng hệ thống quản lý an toàn thông tin

Xây dựng hệ thống đảm bảo an toàn thông tin tại doanh nghiệp một cách cụ thể (liệt kê tài sản và định giá tài sản, xác định hiểm nguy và khả năng xảy ra, tính toán thiệt hại và lựa chọn giải pháp)

Bước 3: Xây dựng hệ thống tài liệu và triển khai áp dụng

Xây dựng, chuẩn bị đầy đủ các tài liệu liên quan (chính sách, quy định, quy trình về an toàn thông tin). Thực hiện triển khai đưa văn bản, tài liệu vào áp dụng thực tế tại doanh nghiệp.

Bước 4: Thực hiện tự đánh giá trong nội bộ tổ chức

Đánh giá thực trạng nội bộ doanh nghiệp, xem có điểm nào không phù hợp với các văn bản đã ban hành trước đó không. Nếu có thì phải tìm biện pháp khắc phục.

Bước 5: Đánh giá độc lập và cấp chứng nhận

Mời đơn vị độc lập để tiến hành đánh giá thực tế xem doanh nghiệp đã tuân thủ các tiêu chí của tiêu chuẩn ISO 27001 hay chưa, Nếu đạt yêu cầu thì doanh nghiệp sẽ được cấp giấy chứng nhận. Giấy chứng nhận này có hiệu lực trong vòng 3 năm. Sau 3 năm nếu vẫn có nhu cầu thì doanh nghiệp sẽ phải trải qua đánh giá chứng nhận lại.

Gửi bạn bản: Tiêu chuẩn ISO 27001:2013 PDF