Doanh nghiệp cần lưu ý gì qua đánh giá ISO/IEC 27001:2022 - 01
Doanh nghiệp cần lưu ý gì qua đánh giá ISO/IEC 27001:2022? – Ghi nhận từ thực tế 01
Trong quá trình thực hiện đánh giá hệ thống quản lý an toàn thông tin (ISMS) theo tiêu chuẩn chứng nhận ISO/IEC 27001:2022, NQA đã ghi nhận nhiều điểm thực tiễn mà các tổ chức, doanh nghiệp có thể tham khảo nhằm cải tiến hệ thống lâu dài và hạn chế rủi ro trong các kỳ đánh giá tiếp theo.
Những phát hiện này phản ánh tình hình áp dụng thực tế tại doanh nghiệp và là nguồn tham khảo hữu ích cho các đối tác tư vấn cũng như khách hàng đang và sẽ xây dựng hệ thống ISO/IEC 27001:2022.
Một số phát hiện tiêu biểu có thể kể đến như sau:
• 5.2 – Chính sách an toàn thông tin chưa rõ ràng: Một số doanh nghiệp ban hành chính sách ISMS nhưng nội dung còn chung chung, thiếu gắn kết với rủi ro và yêu cầu vận hành thực tế.
• A.5.1 – Thiếu tập hợp chính sách theo nhóm chủ đề: Các chính sách như quản lý truy cập, quản lý tài sản, quản lý sự cố ATTT còn phân tán trong nhiều tài liệu, gây khó khăn cho việc quản lý tổng thể.
• 5.3, A.5.2, A.5.3 – Chưa làm rõ trách nhiệm an toàn thông tin: Sơ đồ tổ chức có đề cập trách nhiệm nhưng cần thể hiện rõ hơn vai trò và nhiệm vụ liên quan đến ISMS.
• A.5.6 – Hạn chế trong việc cập nhật thông tin lỗ hổng bảo mật: Doanh nghiệp chỉ sử dụng nguồn từ Microsoft, cần chủ động bổ sung thêm nguồn thông tin khác để tăng tính cập nhật.
• A.5.31 – Thiếu cập nhật kết quả đánh giá tuân thủ nội bộ: Hoạt động đánh giá compliance chưa đầy đủ theo yêu cầu mới nhất, ảnh hưởng đến việc theo dõi hiệu lực hệ thống.
• 9.1 – Chưa đầy đủ hồ sơ quét lỗ hổng và báo cáo mục tiêu ISMS: Các bằng chứng về penetration testing, patch management còn thiếu hoặc chưa hoàn thiện.
• A.5.23 – Chưa cập nhật đầy đủ danh mục nhà cung cấp dịch vụ CNTT: Các dịch vụ như domain, Hennge, Slack, Chaptop chưa được quản lý tập trung.
• A.5.30 – Thiếu minh chứng diễn tập kinh doanh liên tục (BCM): Doanh nghiệp cần thực hiện và lưu hồ sơ các bài tập giả định về khôi phục sau sự cố.
• A.5.20 – Quản lý nhà cung cấp cần hoàn thiện:
• Chưa có đánh giá định kỳ nhà cung cấp.
• Thiếu tiêu chí an toàn thông tin trong lựa chọn nhà cung cấp.
• Chưa ký NDA với các nhà cung cấp cũ.
• A.5.21 – Quản lý vòng đời nhà cung cấp còn hạn chế:
• Thiếu thông tin về thời hạn chứng chỉ bảo mật.
• Chưa cập nhật thay đổi thông tin nhà cung cấp.
• A.8.31 – Chưa đầy đủ phân tách môi trường phát triển, kiểm thử và vận hành: Các môi trường chưa được quản lý riêng biệt, gây rủi ro lẫn lộn dữ liệu.
• A.8.25 – Quản lý tiến độ dự án chưa cập nhật kịp thời: Các tài liệu như WBS, timeline chưa được cập nhật sau khi kết thúc dự án.
• A.8.13 – Thiếu kế hoạch sao lưu dữ liệu với tần suất rõ ràng: Doanh nghiệp cần thể hiện rõ kế hoạch backup định kỳ để đảm bảo an toàn dữ liệu.
• A.5.17 – Quản lý mật khẩu chưa tuân thủ quy định kỹ thuật: Mật khẩu sử dụng trong bàn giao máy tính không đáp ứng yêu cầu về độ phức tạp theo tiêu chuẩn nội bộ.
• A.8.15 – Chưa phân công và kiểm tra log hệ thống: Thiếu người phụ trách và quy định tần suất kiểm tra log đối với các hệ thống quan trọng.
• A.8.17 – Đồng bộ thời gian camera chưa chính xác: Thời gian trên hệ thống camera lệch so với thực tế, gây khó khăn khi cần truy vết sự cố.
• A.7.8 – Thiếu tiêu lệnh hướng dẫn PCCC phù hợp tại văn phòng: Các thiết bị phòng cháy chữa cháy cần được bổ sung tiêu lệnh sử dụng rõ ràng.
• A.7.11 – Chưa có UPS bảo vệ cho tủ thiết bị mạng (camera): Hệ thống camera nên được trang bị UPS để đảm bảo hoạt động liên tục trong trường hợp mất điện.
• A.5.7 – Thiếu lưu trữ và phân tích thông tin tình báo mối đe dọa: Các nguồn thông tin về threat intelligence cần được hệ thống hoá và lưu trữ đầy đủ.
• A.5.9 – Quản lý tài sản thông tin chưa hoàn thiện: Hồ sơ kiểm kê tài sản cần được thiết lập và duy trì cập nhật.
• A.5.24 – Ghi nhận và lưu trữ sự cố an toàn thông tin còn thiếu sót: Các sự cố như mất kết nối internet cần được lập hồ sơ đầy đủ.
• A.8.8 – Cần chuẩn hóa tên thiết bị trong hệ thống quản lý lỗ hổng: Các tên máy tính đã kết nối dịch vụ MS365 cần được đổi tên rõ ràng, thống nhất.
• A.8.11 – Thiếu bằng chứng che dữ liệu (data masking): Các biện pháp bảo vệ dữ liệu nhạy cảm chưa được triển khai đầy đủ.
• A.8.17 – Chưa thiết lập đồng bộ múi giờ cho thiết bị trên Intune: Cần thiết lập chuẩn múi giờ để đồng bộ với các hệ thống kiểm soát chung.
Bài học kinh nghiệm cho các tổ chức và đối tác tư vấn
Việc chủ động khắc phục các phát hiện trên sẽ giúp doanh nghiệp:
• Tăng cường tính hiệu lực và hiệu quả của hệ thống ISMS
• Giảm thiểu rủi ro vận hành và tuân thủ
• Tạo lợi thế trong việc duy trì và mở rộng các cơ hội kinh doanh
• Nâng cao sự tin cậy với khách hàng và đối tác quốc tế
Xem thêm : Hành động cải tiến theo các phát hiện đánh giá ISO27001 - 01
Thông qua các kỳ đánh giá thực tiễn, NQA cam kết đồng hành cùng các tổ chức và đối tác tư vấn trong hành trình xây dựng hệ thống quản lý an toàn thông tin đạt chuẩn quốc tế. Để tìm hiểu thêm về lộ trình chứng nhận ISO/IEC 27001:2022 phù hợp với doanh nghiệp bạn, hãy liên hệ với chúng tôi ngay hôm nay.
Soạn bởi:
Nguyễn Đăng Quang
Lead Auditor ISO/IEC 27001 & LA ISO 9001, 14001, 22301, 27001, 45001, 50001
Completed training in TISAX Assessor
Lưu ý: Bài viết này thuộc bản quyền của tác giả. Vui lòng không sao chép, trích dẫn hoặc đăng tải lại trên bất kỳ kênh thông tin nào dưới mọi hình thức.
📞 NQA Việt Nam hỗ trợ gì cho bạn?
• Đào tạo chuyên sâu về ISO/IEC 27001 và quyền riêng tư
• Chứng nhận ISO 27001 được UKAS công nhận
📞 Hotline: 0912 300 560
🌐 Website: https://nqa.com.vn