+84 912 300 560 
     

Thứ 2 - Thứ 6: 8h30 - 17h30 
+84-24 3622 8852
     
 

Các điểm không phù hợp trong điều khoản 9 ISO 27001

CÁC ĐIỂM KHÔNG PHÙ HỢP TRONG ĐIỀU KHOẢN 9 TIÊU CHUẨN ISO 27001


Thời gian đọc bài 2 phút
Đăng bài TonyPI

Trong bài viết này, tôi xem xét các điểm không tuân thủ thường được tìm thấy trong Điều khoản 9 của ISO 27001: 2013, Đánh giá việc thực hiện.

Kể từ Phụ lục SL (và thực sự là trước đó), việc đánh giá việc thực hiện đã trở nên phổ biến trên tất cả các tiêu chuẩn của hệ thống quản lý. Những phát hiện này cũng được tìm thấy trong các cuộc đánh giá theo các tiêu chuẩn khác của Phụ lục SL, điểm khác biệt duy nhất là việc đánh giá và thực hiện các kiểm soát của Phụ lục A là duy nhất đối với ISO 27001: 2013.

►►► Xem thêm chứng nhận ISO 27001 là gì ? LINK

Phần 9 Đánh giá việc thực hiện là bước 'Kiểm tra' của chu trình Kế hoạch - Thực hiện - Kiếm tra - Cải tiến (PDCA). Thông tin này hiển thị các điều khoản của các tiêu chuẩn SL Phụ lục khác nhau được điều chỉnh theo các bước PDCA. Đây là lúc doanh nghiệp kiểm tra hai yếu tố quan trọng nhất:
1. Việc thực hiện an toàn bảo mật thông tin của doanh nghiệp
2. Hiệu lực của hệ thống quản lý an toàn thông tin ISMS 
Đó là thời điểm mà doanh nghiệp kiểm tra chính mình, và nó cần phải khách quan và công bằng nhất có thể để nhận được nhiều giá trị nhất từ việc áp dụng ISMS. Tất cả các doanh nghiệp đều thực hiện kiểm tra các chức năng hoạt động khác nhau, chẳng hạn như mục tiêu bán hàng và dịch vụ khách hàng, vì vậy vấn đề bảo mật cũng cần được xem xét kỹ lưỡng như nhau.
Có 3 phần của điều khoản mà tôi đánh giá theo thứ tự. 

9.1 Giám sát, Đo lường, Phân tích và Đánh giá


Phụ lục SL là các tiêu chuẩn dựa trên tư duy rủi ro và các quá trình. Điều này có nghĩa là việc giám sát việc thực hiện của bảo mật thông tin phải:
1. Dựa trên các quá trình có tương tác lẫn nhau trong phạm vi của hệ thống quản lý
2. Ưu tiên đối với các quá trình và tài sản thông tin quan trọng nhất đối với doanh nghiệp, ví dụ: rủi ro cao hơn.
Tiêu chuẩn yêu cầu tổ chức xem xét những gì cần được giám sát và đo lường, cách thức giám sát, khi nào và ai sẽ thực hiện giám sát và khi nào và ai sẽ thực hiện đánh giá kết quả. Trong một số trường hợp, những điểm không phù hợp lớn đã được nêu ra vì không có bằng chứng cho thấy 9.1 đã được tuân thủ.


Nhưng sự không phù hợp thường phát sinh do có rất ít yêu cầu đo lường được xác định. Cùng với điều này, đánh giá viên của chúng tôi thường thấy rằng các mục được xác định có chỉ số hoặc KPIS không phù hợp. Điều này cũng có thể gợi ý rằng các mục tiêu an toàn thông tin chưa được xác định đầy đủ, vì có yêu cầu sự đo lường đối với chúng.
Vì điều này tư duy dựa trên rủi ro nên có mối liên hệ giữa các rủi ro được xác định trong Điều 6 với các quá trình và kiểm soát an toàn thông tin cần được giám sát. Ví dụ, nếu có một số biện pháp kiểm soát an ninh quan trọng để giảm thiểu rủi ro cao thì tổ chức có lợi ích là giám sát chặt chẽ việc thực hiện các biện pháp kiểm soát đó. Trong khi đó, nó có thể lựa chọn một cách hợp lý là không giám sát chặt chẽ các biện pháp kiểm soát nhằm giải quyết các rủi ro thấp hơn.
Chúng tôi cũng thấy các trường hợp đo lường việc thực hiện hệ thống quản lý đã được xác định nhưng không có gì đối với các biện pháp kiểm soát bảo mật và ngược lại. Và cuối cùng, chúng ta thường thấy rằng các chỉ số đo lường việc thực hiện toàn diện được đưa ra nhưng không có phép đo nào diễn ra. 

9.2 Đánh giá nội bộ (Internal Audit)


Nhiều sự không phù hợp được nêu ra đối với đánh giá nội bộ hơn đối với bất kỳ điều khoản nào khác trong ISO 27001: 2013. Không thực hiện đánh giá nội bộ hoặc bỏ sót các địa điểm trong phạm vi làm phát sinh những điểm không phù hợp lớn. Điều này có thể do doanh nghiệp không lập kế hoạch cho bất kỳ cuộc đánh giá nào hoặc đã lập kế hoạch nhưng không thực hiện. Việc thiếu đánh giá nội bộ có thể ngăn doanh nghiệp tiến triển từ Giai đoạn 1 đến Giai đoạn 2 và ngăn cản việc trao chứng nhận sau Giai đoạn 2.


Tiêu chuẩn quy định rằng các cuộc đánh giá nội bộ phải được thực hiện theo các khoảng thời gian đã được lên kế hoạch, nhưng nó không đề xuất một tần suất thích hợp. Tuy nhiên, chứng nhận hệ thống quản lý hoạt động trong chu kỳ ba năm, vì vậy chúng tôi mong đợi tất cả các yêu cầu của hệ thống quản lý được đề cập và các biện pháp kiểm soát Tuyên bố Áp dụng SoA được lấy mẫu trên cơ sở rủi ro.
Những sự không phù hợp nhỏ phát sinh khi chương trình đánh giá không đáp ứng với rủi ro hoặc thiếu sự bao quát về phạm vi. Đặc biệt, tất cả các địa điểm thực tế trong phạm vi phải được đánh giá và không thể bỏ sót các cơ sở bên ngoài trong chương trình. Đôi khi chúng ta thấy các chương trình đánh giá cho tất cả hệ thống quản lý nhưng không có các kiểm soát của Phụ lục A và ngược lại. Việc bỏ sót các yếu tố của chương trình mà không lên lịch lại trong chu kỳ ba năm cũng có thể làm tăng các phát hiện.

►►► Xem thêm đào tạo đánh giá nội bộ ISO 27001 : LINK

Thông thường, hồ sơ đánh giá không đầy đủ, ở chỗ chúng không ghi lại đầy đủ các quan sát đánh giá và bất kỳ phát hiện nào phát sinh. Cuối cùng, đôi khi chúng tôi nhận thấy rằng sự vô tư (không thiên vị) của đánh giá viên là không phù hợp. Việc tìm kiếm một đánh giá viên vô tư (không thiên vị) trong một tổ chức nhỏ có thể khó khăn, nhưng nguyên tắc là ai đó không nên tự đánh dấu bài tập về nhà của mình, vì vậy có thể cần nhiều hơn một đánh giá viên để đảm bảo không có xung đột lợi ích. 

9.3 Xem xét của lãnh đạo (Management Review)


Tiêu chuẩn liệt kê tất cả các mục bắt buộc phải được xem xét trong quá trình xem xét của lãnh đạo. Nguyên nhân lớn nhất của sự không phù hợp là do một số mục bắt buộc không được thảo luận. Có yêu cầu đầu vào và đầu ra như các mục thường trực trong chương trình sẽ đảm bảo chúng luôn được thảo luận.


Sự không phù hợp lớn phát sinh khi chưa có xem xét của ban lãnh đạo.
Chất lượng và độ chính xác của các báo cáo là rất quan trọng. Nếu đánh giá viên của chúng tôi không thể xác định những gì đã được thảo luận và kết quả của cuộc thảo luận thì họ không có bằng chứng khách quan. Ví dụ: chỉ cần ghi 'N / A' đối với một yếu tố bắt buộc sẽ làm tăng sự không phù hợp.
Đánh giá viên thường sẽ xem xét chương trình đánh giá nội bộ trước khi xem nội dung xem xét của ban lãnh đạo. Họ sẽ mong đợi thấy cuộc đánh giá nội bộ được thảo luận tại cuộc xem xét của ban lãnh đạo, thuận tiện trong đánh giá theo điều khoản.
Trạng thái của các hành động và khả năng xác định nguồn gốc của chúng hoặc tiến độ kết thúc là rất quan trọng. Các hành động lâu dài không được nêu rõ có thể là dấu hiệu của việc thiếu cải tiến liên tục. Do đó, điều quan trọng là phải quản lý các hành động - một số có thể là các dự án dài hạn và do đó yêu cầu xem xét ít thường xuyên hơn hoặc thậm chí chuyển toàn bộ các hành động, nhưng những quyết định này cần được ghi lại.

Trong bài viết tiếp theo, tôi sẽ xem xét Điều khoản 10 - Cải tiến.

Đọc bài tin trước về loạt bài này, ISO 27001 - Không phù hợp trong Điều khoản 7, tại đây.

Được ủy quyền bởi: Tim Pinnell, Giám đốc Đảm bảo An toàn Thông tin NQA 

Bạn đang quan tâm dịch vụ đào tạo của NQA nhưng chưa biết hoặc chưa rõ khóa học nào phù hợp. Xem thêm thông tin tại Các khóa học ISO sẽ giúp bạn chọn được khóa học phù hợp.

LIÊN HỆ
Ms.Huyền – Phụ trách Dịch vụ Khách hàng

Mobile: 091 203 5885



SẴN SÀNG ĐỂ BẮT ĐẦU HÀNH TRÌNH ĐẠT CHỨNG NHẬN ISO 27001 ?


Chúng tôi sẽ cung cấp cho bạn một thông tin rõ ràng về chi phí chứng nhận ISO 27001 phiên bản mới.

  

Nếu bạn chưa sẵn sàng? Gọi cho chúng tôi theo số 091 203 5885 hoặc yêu cầu gọi lại để thảo luận về các yêu cầu chứng nhận ISO 27001 phiên bản mới của bạn.






Các tin khác
Đăng kí Nhận Email
Thông tin công ty

NQA Việt Nam


Phòng 401, Số 1 Đào Duy Anh,
Tòa nhà Ocean Park, Phương Mai,
Quận Đống Đa, Hà Nội


Tổng đài hỗ trợ khách hàng

+84-24 3622 8852

Email: contact@nqa.com.vn
            dtthuy@nqa.com.vn