Các điểm không phù hợp trong điều khoản 7 ISO 27001
CÁC ĐIỂM KHÔNG PHÙ HỢP TRONG ĐIỀU KHOẢN 7 TIÊU CHUẨN ISO 27001
Thời gian đọc bài 2 phút
Đăng bài TonyPI
Trong bài viết này, tôi xem xét các điểm phù hợp thường thấy trong Điều khoản 7 - Hỗ trợ (7. Support). Các phát hiện đều nhất quán bất cứ khi nào chúng phát sinh và thường có cùng nguyên nhân gốc rễ, mà tôi sẽ cung cấp các ví dụ.
►►► Xem thêm chứng nhận ISO 27001 là gì ? LINK
Điều khoản 7.2 Năng lực (7.2 Competence)
Điều khoản này có thể được tóm tắt là: Tìm ra năng lực mà doanh nghiệp của bạn cần để thực hiện bảo mật an toàn thông tin, đảm bảo rằng nhân viên của bạn đáp ứng về năng lực và lưu giữ bằng chứng về năng lực của họ.
Điều quan trọng cần lưu ý là điều này không có nghĩa là bạn cần các chuyên gia bảo mật an toàn thông tin - đoạn a. của 7.2 nêu rõ: 'xác định năng lực cần thiết của (những) người đang thực hiện công việc dưới sự kiểm soát của doanh nghiệp [ISMS] có ảnh hưởng đến hoạt động bảo mật an toàn thông tin của họ'.
Điều này có nghĩa là những người trong phạm vi phải có năng lực trong công việc của họ dựa theo khía cạnh an toàn thông tin. Ví dụ, những người trong bộ phận CNTT phải biết tác động của các hoạt động của họ đối với bảo mật an toàn thông tin, trong khi nhân viên tổng đài phải được đào tạo thích hợp để xác thực danh tính của khách hàng.
Điều đó cũng có nghĩa là Điều khoản 7.3 Nhận thức có liên quan chặt chẽ với nhau, bởi vì mọi người trong phạm vi đều có vai trò bảo mật an toàn thông tin, thông qua kiến thức về các chính sách và thủ tục an toàn thông tin.
Để tuân thủ, doanh nghiệp phải quyết định năng lực cần thiết là gì, một số năng lực đơn giản là nhân viên biết và tuân theo các chính sách bảo mật an toàn thông tin. Mặc dù tiêu chuẩn không yêu cầu các năng lực bắt buộc phải được lập thành văn bản, nhưng bạn nên làm như vậy.
Một phát hiện chung là doanh nghiệp đã không xác định được các năng lực cần thiết. Điều này thường là do nó hoàn toàn không được thực hiện và / hoặc nó đã được kết hợp với việc liệt kê các năng lực hiện có của nhân viên.
Một lần nữa, hãy xác định những năng lực bạn cần và sau đó nếu bạn có chúng, theo đoạn b. đoạn d. yêu cầu rằng cần phải có bằng chứng được lập thành văn bản về năng lực và đây cũng là nơi cho những trường hợp không phù hợp lặp đi lặp lại.
Hồ sơ đào tạo không hoàn thành hoặc không đầy đủ, lý lịch không cập nhật, thiếu chứng chỉ chuyên môn, không thực hiện đào tạo hội nhập ban đầu là những ví dụ điển hình. Đánh giá viên của chúng tôi nhận thấy những điểm không phù hợp này khi tìm kiếm các nguồn tài liệu và khi phỏng vấn nhân viên.
Điều quan trọng cần lưu ý là kinh nghiệm cũng quan trọng như bằng cấp và đào tạo, mặc dù khó ghi lại hơn - CV, đánh giá hiệu suất hàng năm và các hồ sơ liên quan đến công việc khác như sự hướng dẫn đều có thể là bằng chứng khách quan.
Điều khoản 7.3 Nhận thức (7.3 Awareness)
Hầu hết tất cả các doanh nghiệp mà chúng tôi đánh giá đều xác định một số hình thức chương trình nâng cao nhận thức hoặc thông tin liên lạc thường xuyên để đảm bảo nhân viên nhận thức được chính sách an toàn thông tin, vai trò của họ trong ISMS và các tác động của việc không tuân thủ. Điều này thường được xây dựng dựa trên các chương trình của những nhân viên mới tham gia.
Và hầu như tất cả những điểm không phù hợp đều phát sinh trong quá trình phỏng vấn nhân viên. Chúng tôi hỏi nhân viên của khách hàng ba câu hỏi: kiến thức của họ về chính sách bảo mật, vai trò của họ trong ISMS và tầm quan trọng của nó, và đôi khi nhân viên không biết. Đôi khi họ không biết tìm chính sách ở đâu và đôi khi họ không thể nhớ lại nó.
Đây không phải là trường hợp may mắn của đánh giá viên trong việc phát hiện ra sự không phù hợp, thay vào đó, nó cho thấy rằng các hoạt động nhận thức không hiệu quả, điều này gây ra rủi ro bảo mật cho doanh nghiệp.
►►► Xem thêm đào tạo ISO 27001 : LINKĐiều khoản 7.5 Thông tin dạng văn bản
Chúng tôi nhận thấy rằng các doanh nghiệp thường gặp khó khăn trong việc tuân theo các chính sách của riêng họ để tạo và cập nhật thông tin dạng văn bản. Điều này một phần là do khối lượng dữ liệu được xử lý và tốc độ tiến hành hoạt động kinh doanh. Đoạn 7.5.2 đưa ra các yêu cầu bắt buộc để tạo và cập nhật thông tin dạng văn bản và sau đó Đoạn 7.5.3 nói về các biện pháp kiểm soát an toàn đối với thông tin đó.
Các lỗi không tuân thủ điển hình bao gồm nhãn phân loại không chính xác hoặc bị thiếu, quy ước đặt tên, phiên bản hoặc số ngày không nhất quán, các tham chiếu lỗi thời đến tài liệu được áp dụng, tài liệu bị thiếu và tài liệu chưa hoàn chỉnh. Trong một số trường hợp, thông tin đăng ký tài sản và rủi ro được phát hiện là đã lỗi thời hoặc chúng đã được cập nhật nhưng số ngày và phiên bản thì không.
Việc thiếu chính sách lưu giữ thông tin hoặc IRP không được tuân thủ, ví dụ: chúng tôi đã tìm thấy các tài liệu cũ bị lưu lại trên máy chủ hoặc email đã tồn đọng trong nhiều năm, cũng là những nguyên nhân dẫn đến sự không tuân thủ.
Trong bài viết tiếp theo, tôi sẽ xem xét
Điều khoản 9 - Đánh giá Hiệu suất (9. Performance Evaluation). Tôi sẽ không xem xét Điều khoản 8 vì điều đó yêu cầu các doanh nghiệp phải thực hiện các hoạt động của Điều khoản 6.
Tác giả: Tim Pinnell, NQA
Bạn đang quan tâm dịch vụ đào tạo của NQA nhưng chưa biết hoặc chưa rõ khóa học nào phù hợp. Xem thêm thông tin tại Các khóa học ISO sẽ giúp bạn chọn được khóa học phù hợp.LIÊN HỆ
Ms.Huyền – Phụ trách Dịch vụ Khách hàng
Mobile: 091 203 5885
SẴN SÀNG ĐỂ BẮT ĐẦU HÀNH TRÌNH ĐẠT CHỨNG NHẬN ISO 27001 ?
Chúng tôi sẽ cung cấp cho bạn một thông tin rõ ràng về chi phí chứng nhận ISO 27001 phiên bản mới. Nếu bạn chưa sẵn sàng? Gọi cho chúng tôi theo số 091 203 5885 hoặc yêu cầu gọi lại để thảo luận về các yêu cầu chứng nhận ISO 27001 phiên bản mới của bạn.