Workshop "Cơ chế điều chỉnh biên giới Carbon, lộ trình và hướng dẫn khai báo CBAM"
Để hỗ trợ các doanh nghiệp nắm vững các yêu cầu và quy trình khai báo CBAM, KNA CERT tổ chức Workshop chuyên sâu về Cơ chế Điều chỉnh Biên giới Carbon và cung c...
Bảo mật thông tin là một trong những yêu cầu vô cùng quan trọng với mỗi một doanh nghiệp, không phân biệt quy mô, loại hình và khu vực. Nếu doanh nghiệp của bạn còn đang gặp khó khăn trong việc xây dựng một hệ thống quản lý an toàn thông tin (ISMS) đạt chuẩn ISO 27001:2013 thì bài viết dưới đây sẽ giúp bạn nắm rõ được quy trình này với 2 giai đoạn chính:
Bước 1: Liệt kê tài sản
Tài sản của một doanh nghiệp phân chia thành 6 hình thức tồn tại là:
Doanh nghiệp cần lưu trữ và tập hợp đầy đủ các loại danh sách, văn bản, hợp đồng trên các thiết bị phần mềm (máy tính) và phần cứng (giấy tờ, sổ sách). Trong đó phải đề cập tới những loại tài sản mà doanh nghiệp sở hữu và sử dụng.
Trong một doanh nghiệp thì không phải tài sản nào cũng cần bảo mật, các doanh nghiệp khác nhau sẽ có thông tin cần bảo mật khác nhau, thậm chí tùy từng thời điểm mà phạm vi bảo mật có thể thay đổi để phù hợp với tình hình thực tiễn. Việc xác định được đầy đủ các loại tài sản sẽ giúp doanh nghiệp dễ dàng khoanh vùng phạm vi triển khai hệ thống ISMS, lựa chọn xem đâu là phần tài sản cần bảo vệ và loại bỏ những thông tin chưa cần thiết lập hệ thống bảo vệ.
Bước 2: Định giá tài sản
Doanh nghiệp tiến hành đánh giá giá trị với các loại tài sản nằm trong danh mục cần bảo mật tức thì dựa trên chi phí ban đầu để sở hữu từng loại tài sản và những phí tổn nếu doanh nghiệp làm mất, thất thoát hoặc bại lộ chúng.
Mấu chốt của giai đoạn này nằm ở chỗ làm sao để định giá tài sản cho vừa phải và phù hợp. Bởi lẽ nó không chỉ đơn giản là việc xác định một tài sản có giá bao nhiêu tiền (định lượng) mà còn phải xác định các hệ quả, hệ lụy mà tài sản đó đem lại liên quan tới các vấn đề uy tín, hình ảnh của doanh nghiệp, thất thoát khách hàng, đánh mất thị trường,... (định tính). Có những tài sản để sở hữu nó thì doanh nghiệp không tổn kém mấy chi phí nhưng nếu mất đi thì sẽ gây ra những thiệt hại vô cùng to lớn không phải chỉ đong đếm bằng tiền mà xong.
Những lúc như vậy thì việc tìm tới các chuyên gia tư vấn là một giải pháp khá hữu hiệu. Các chuyên gia sẽ chuyển giá hợp lý giữa định tính và định lượng, đưa ra mức định giá vừa phải khi xem xét trong hệ tham chiếu của bối cảnh thị trường chung và so với các doanh nghiệp khác.
Bước 3: Xác định các hiểm nguy
Doanh nghiệp tiến hành liệt kê các rủi ro, đe dọa đối với những tài sản cần bảo mật. Những nguy hiểm này có thể rất cụ thể tới từ tương lai gần như việc quên mật khẩu, bị hack tài khoản, thất lạc chìa khóa, mất công cụ làm việc (điện thoại, máy tính,...). Cho tới những hiểm nguy xa vời có thể xảy ra hoặc không xảy ra như khủng hoảng, thiên tai hay ngày tận thế.
Bước 4: Tính toán các nguy cơ
Xác định các cặp đánh giá khả năng xảy ra trên thực tế theo mô hình “loại tài sản – hiểm nguy với tài sản đó”. Xác suất của hiểm nguy cần được cụ thể bằng các thông tin như xảy ra bao nhiêu lần trong tháng, bao nhiêu lần trong năm. Xác định được những đánh giá này càng rõ ràng thì càng dễ lượng hóa nguy cơ.
Trên thực tế, doanh nghiệp có thế phân chia đánh giá các mức độ rủi ro theo định tính (từ nguy cơ cao tới nguy cơ thấp) hoặc đánh giá theo định lượng (chia thành các giá trị số cụ thể và cho điểm)
Bước 5: Tính toán thiệt hại
Có nhiều cách xác định thiệt hại khác nhau tùy vào từng doanh nghiệp, ví dụ như áp dụng công thức:
Thiệt hại = Xác xuất xảy ra sự cố + Giá trị tài sản bị mất + Hậu quả của sự cố
Bước 6: Biện pháp giảm thiểu nguy cơ
Sau khi xác định được thiệt hại, doanh nghiệp có 3 sự lựa chọn:
Bước 7: Đánh giá chi phí cho giải pháp và đưa ra quyết định
Doanh nghiệp trả lời câu hỏi “Đầu tư bao nhiêu để giảm thiệt hại xuống bao nhiêu?”, “Sau khi thực hiện giải pháp thì doanh nghiệp có chấp nhận được nguy cơ và thiệt hại còn lại hay không?”. Nếu câu trả lời là “Không” thì cần rà soát lại tất cả những công đoạn ở trên cho tới khi câu trả lời là “Có” thì có nghĩa là doanh nghiệp đã hoàn thành xong một kế hoạch xây dựng an ninh thông tin.
Bước 8: Triển khai hệ thống bảo mật thông tin (ISMS)
Doanh nghiệp tiến hành thực hiện các họat động xoay quanh 3 nội dung chính là:
Tuy nhiên để đánh giá hệ thống bảo mật này đã hoàn thiện hay chưa, có đáng tin cậy hay không thì lại cần có sự khảo sát của các tổ chức đánh giá chứng chỉ, mà cụ thể là hệ thống phải đạt chứng nhận ISO 27001.
Bước 1: Gửi yêu cầu Đăng ký chứng nhận ISO 27001:2013
Bước 2: Lập kế hoạch xây dựng hệ thống quản lý an toàn thông tin
Xây dựng hệ thống đảm bảo an toàn thông tin tại doanh nghiệp một cách cụ thể (liệt kê tài sản và định giá tài sản, xác định hiểm nguy và khả năng xảy ra, tính toán thiệt hại và lựa chọn giải pháp)
Bước 3: Xây dựng hệ thống tài liệu và triển khai áp dụng
Xây dựng, chuẩn bị đầy đủ các tài liệu liên quan (chính sách, quy định, quy trình về an toàn thông tin). Thực hiện triển khai đưa văn bản, tài liệu vào áp dụng thực tế tại doanh nghiệp.
Bước 4: Thực hiện tự đánh giá trong nội bộ tổ chức
Đánh giá thực trạng nội bộ doanh nghiệp, xem có điểm nào không phù hợp với các văn bản đã ban hành trước đó không. Nếu có thì phải tìm biện pháp khắc phục.
Bước 5: Đánh giá độc lập và cấp chứng nhận
Mời đơn vị độc lập để tiến hành đánh giá thực tế xem doanh nghiệp đã tuân thủ các tiêu chí của tiêu chuẩn ISO 27001 hay chưa, Nếu đạt yêu cầu thì doanh nghiệp sẽ được cấp giấy chứng nhận. Giấy chứng nhận này có hiệu lực trong vòng 3 năm. Sau 3 năm nếu vẫn có nhu cầu thì doanh nghiệp sẽ phải trải qua đánh giá chứng nhận lại.
Gửi bạn bản: Tiêu chuẩn ISO 27001:2013 PDF