Tranh luận: Đánh Giá Và Quản Lý Rủi Ro An Toàn Thông Tin Trong Iso 27001

Trong các yêu cầu của Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2013 thì đánh giá và quản lý rủi ro an toàn thông tin được xem là nội dung quan trọng cần được chú ý.


YÊU CẦU VỀ QUY TRÌNH ĐÁNH GIÁ RỦI RO THEO ISO 27001

• Thiết lập và duy trì các tiêu chí cụ thể về rủi ro an toàn thông tin.

• Đảm bảo rằng các đánh giá rủi ro lặp lại “tạo ra các kết quả nhất quán, hợp lệ và có thể so sánh được”.

• Xác định các rủi ro liên quan đến việc mất tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin trong phạm vi của hệ thống quản lý an toàn thông tin.

• Xác định chủ sở hữu của những rủi ro đó.

• Phân tích, đánh giá rủi ro an toàn thông tin theo các tiêu chí cụ thể.

5 BƯỚC ĐỂ ĐÁNH GIÁ RỦI RO ISO 27001 HIỆU QUẢ

Bước 1: Thiết lập khuôn khổ quản lý rủi ro

Đây là các quy tắc điều chỉnh cách bạn dự định xác định rủi ro, người bạn sẽ chỉ định quyền sở hữu rủi ro, cách rủi ro tác động đến tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin và phương pháp tính toán tác động ước tính và khả năng rủi ro xảy ra. Một phương pháp luận đánh giá rủi ro chính thức cần giải quyết bốn vấn đề và phải được lãnh đạo cao nhất phê duyệt:

• Tiêu chí bảo mật cơ bản

• Quy mô rủi ro

• Thèm ăn rủi ro

• Đánh giá rủi ro dựa trên kịch bản hoặc tài sản

Bước 2: Xác định rủi ro

Xác định các rủi ro có thể ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin là phần tốn nhiều thời gian nhất của quá trình đánh giá rủi ro. Quản trị CNTT khuyến nghị tuân theo quy trình đánh giá rủi ro dựa trên tài sản. Phát triển một danh sách các tài sản thông tin là một nơi tốt để bắt đầu. Sẽ dễ dàng nhất để làm việc từ danh sách tài sản thông tin hiện có bao gồm bản cứng của thông tin, tệp điện tử, phương tiện di động, thiết bị di động và vô hình, chẳng hạn như tài sản trí tuệ.

Bước 3: Phân tích rủi ro

Xác định các mối đe dọa và lỗ hổng bảo mật áp dụng cho từng tài sản. Ví dụ, mối đe dọa có thể là 'trộm thiết bị di động' và lỗ hổng bảo mật có thể là 'thiếu chính sách chính thức cho thiết bị di động'. Chỉ định các giá trị tác động và khả năng xảy ra dựa trên tiêu chí rủi ro của bạn.

Bước 4: Đánh giá rủi ro

Bạn cần cân nhắc từng rủi ro với các mức rủi ro có thể chấp nhận được đã xác định trước của mình và ưu tiên những rủi ro nào cần được giải quyết theo thứ tự.

Bước 5: Chọn các phương án xử lý rủi ro

Có 4 cách được đề xuất để xử lý rủi ro:

1. 'Tránh' rủi ro bằng cách loại bỏ nó.

2. 'Sửa đổi' rủi ro bằng cách áp dụng các biện pháp kiểm soát bảo mật.

3. 'Chia sẻ' rủi ro cho bên thứ ba (thông qua bảo hiểm hoặc thuê ngoài).

4. 'Giữ lại' rủi ro (nếu rủi ro nằm trong tiêu chí chấp nhận rủi ro đã thiết lập).


XEM XÉT, GIÁM SÁT VÀ ĐÁNH GIÁ ĐỂ LIÊN TỤC CẢI TIẾN ISMS

Tiêu chuẩn ISO 27001 yêu cầu tổ chức phải liên tục xem xét, cập nhật và cải tiến hệ thống quản lý an ninh thông tin (ISMS) để đảm bảo hệ thống này hoạt động tối ưu và điều chỉnh theo môi trường đe dọa thay đổi liên tục. Một khía cạnh của việc xem xét và thử nghiệm là đánh giá nội bộ. Điều này đòi hỏi người quản lý ISMS phải đưa ra một bộ báo cáo cung cấp bằng chứng cho thấy các rủi ro đang được xử lý một cách phù hợp.

Một cách hiệu quả hơn nữa để tổ chức có được sự đảm bảo rằng hệ thống ISMS của họ đang hoạt động như dự định là đạt được chứng nhận ISO 27001.


Để được tư vấn ISO 27001 cụ thể hơn, quý doanh nghiệp vui lòng liên hệ với Chúng Tôi theo số hotline 0948.690.698.