Hành động cải tiến đề xuất từ các phát hiện đánh giá ISO/IEC 27001:2022 - 01
Hành động cải tiến đề xuất từ các phát hiện đánh giá ISO/IEC 27001:2022 – Ghi nhận từ thực tế 01
Tiếp nối bài viết Doanh nghiệp cần lưu ý gì qua đánh giá ISO/IEC 27001:2022? – Ghi nhận từ thực tế 01, dưới đây là các hành động cải tiến đề xuất cho từng nhóm phát hiện.
Mục tiêu nhằm giúp doanh nghiệp và đối tác tư vấn chủ động lập kế hoạch xử lý, cải tiến hệ thống ISMS theo hướng thực chất và bền vững.
Các hành động cải tiến đề xuất:
1. Chính sách và tổ chức ISMS (5.2, A.5.1, 5.3, A.5.2, A.5.3)
• Rà soát và cập nhật nội dung chính sách ISMS để cụ thể hoá theo rủi ro, mục tiêu và yêu cầu nội bộ.
• Tập hợp các chính sách theo nhóm chủ đề (quản lý truy cập, tài sản, sự cố, mật khẩu…) vào một bộ tài liệu dễ tham chiếu.
• Làm rõ trách nhiệm an toàn thông tin trên sơ đồ tổ chức và mô tả công việc.
2. Quản lý mối đe dọa và tuân thủ (A.5.6, A.5.7, A.5.31, 9.1)
• Thiết lập quy trình thu thập, phân tích thông tin tình báo về mối đe dọa từ nhiều nguồn.
• Lập kế hoạch và thực hiện đánh giá tuân thủ ISMS định kỳ, lưu trữ đầy đủ minh chứng.
• Triển khai hoạt động quét lỗ hổng và đánh giá thâm nhập theo lịch trình, lưu lại báo cáo.
3. Quản lý nhà cung cấp (A.5.20, A.5.21, A.5.23)
• Thiết lập tiêu chí lựa chọn và đánh giá định kỳ nhà cung cấp, lồng ghép yêu cầu ATTT trong hợp đồng.
• Cập nhật thông tin về thời hạn chứng chỉ bảo mật và sự thay đổi nhà cung cấp.
• Hoàn thiện danh sách nhà cung cấp dịch vụ CNTT, đảm bảo tính kịp thời và đầy đủ.
4. Hoạt động quản lý sự cố và BCM (A.5.24, A.5.30)
• Thiết lập hệ thống ghi nhận và phân tích sự cố an toàn thông tin, từ các sự cố nhỏ đến sự cố nghiêm trọng.
• Lập kế hoạch diễn tập và thực hiện diễn tập khôi phục kinh doanh định kỳ.
5. Quản lý môi trường CNTT và dự án (A.8.25, A.8.31)
• Phân tách môi trường phát triển, kiểm thử và sản xuất nhằm kiểm soát rủi ro chuyển giao mã nguồn.
• Rà soát và cập nhật WBS, timeline dự án sau khi hoàn thành, lưu trữ vào hệ thống quản lý dự án.
6. Quản lý tài sản và dữ liệu (A.5.9, A.8.8, A.8.11)
• Thiết lập hồ sơ kiểm kê tài sản thông tin và quy định quản lý vòng đời tài sản.
• Chuẩn hóa tên thiết bị trong hệ thống quản lý lỗ hổng.
• Triển khai biện pháp che dữ liệu (data masking) đối với dữ liệu nhạy cảm.
7. Quản lý nhân sự và đào tạo (A.8.13, A.8.15, A.5.17)
• Xây dựng và phổ biến kế hoạch sao lưu dữ liệu định kỳ, nêu rõ tần suất thực hiện.
• Phân công cụ thể người phụ trách kiểm tra log hệ thống, thiết lập tần suất kiểm tra.
• Kiểm tra và củng cố tuân thủ quy định mật khẩu theo chính sách kỹ thuật nội bộ.
8. Quản lý vật lý và môi trường (A.8.17, A.7.8, A.7.11)
• Đồng bộ thời gian hệ thống camera và các thiết bị CNTT để hỗ trợ truy vết sự cố chính xác.
• Bổ sung tiêu lệnh hướng dẫn PCCC tại các vị trí thiết bị cứu hỏa.
• Trang bị UPS cho tủ thiết bị mạng và camera nhằm duy trì hoạt động trong trường hợp mất điện.
Bài học rút ra:
Việc xác định rõ ràng các hành động cải tiến cho từng phát hiện đánh giá là chìa khóa để doanh nghiệp:
• Củng cố sự phù hợp với tiêu chuẩn ISO/IEC 27001:2022
• Nâng cao hiệu quả vận hành ISMS
• Giảm thiểu rủi ro và tăng cường niềm tin từ khách hàng, đối tác
NQA luôn đồng hành cùng doanh nghiệp trong hành trình xây dựng, duy trì và cải tiến hệ thống ISMS một cách thực chất, hiệu quả và bền vững.
Soạn bởi:
Nguyễn Đăng Quang
Lead Auditor ISO/IEC 27001 & LA ISO 9001, 14001, 22301, 27001, 45001, 50001
Completed training in TISAX Assessor
Lưu ý: Bài viết này thuộc bản quyền của tác giả. Vui lòng không sao chép, trích dẫn hoặc đăng tải lại trên bất kỳ kênh thông tin nào dưới mọi hình thức.
📞 NQA Việt Nam hỗ trợ gì cho bạn?
• Đào tạo chuyên sâu về ISO/IEC 27001 và quyền riêng tư
• Chứng nhận ISO 27001 được UKAS công nhận
📞 Hotline: 0912 300 560
🌐 Website: https://nqa.com.vn