Phân tích những điểm không phù hợp NC trong ISO 27001

PHÂN TÍCH NHỮNG ĐIỂM KHÔNG PHÙ HỢP (NC) TRONG ISO 27001

Thời gian đọc bài: 1 phút
Đăng bài: TonyPI

21 tháng 9 năm 2020, NQA Global

Là một tổ chức chứng nhận, NQA không thể cung cấp dịch vụ tư vấn hệ thống quản lý. Chúng tôi phải độc lập và không thiên vị.

Chúng tôi đã xuất bản một Hướng dẫn triển khai ISO 27001 tuyệt hảo nhưng chúng tôi không thể cho bạn biết cách làm thế nào để triển khai và duy trì ISMS của mình. Nhưng chúng tôi có thể cho bạn biết mọi thứ thường xảy ra sai ở đâu trong quá trình đánh giá và cách chúng thường có thể dẫn đến sự không tuân thủ.

►►► Xem thêm chứng nhận ISO 27001 là gì ? LINK

Trong loạt blog này, tôi sẽ xem xét từng điều khoản của ISO 27001 và thảo luận về những điểm không phù hợp (NC) điển hình mà các đánh giá viên của chúng tôi phát hiện. Có một số yếu tố phổ biến làm cơ sở cho hầu hết các điểm không phù hợp (NC). Có thể tránh được một số trong số chúng bằng cách chú ý đến các yêu cầu của tiêu chuẩn. Đây là hai ví dụ:

1. Thiếu tài liệu bắt buộc ISMS

Có 17 điều khoản và 10 Phụ lục A kiểm soát trong đó yêu cầu lưu giữ thông tin dạng văn bản hoặc tài liệu liên quan. Đánh giá viên sẽ mong đợi thấy bằng chứng về những điều này và sự thiếu vắng của chúng gần như chắc chắn sẽ dẫn đến điểm không phù hợp (NC). Ngoài ra, có một số kiểm soát không bắt buộc tài liệu nhưng mục đích là giống nhau, chẳng hạn như chính sách mã hóa, chính sách bàn làm việc sạch, nhật ký sự kiện và chính sách truyền dữ liệu. Điểm không phù hợp phổ biến là A.12.1.1 yêu cầu các quy trình vận hành phải được lập thành văn bản.

2. Không tuân thủ các quy trình cụ thể ISMS

Đôi khi, thậm chí một HTQL ATTT (ISMS) chuẩn chỉ cũng được phát hiện ra các điểm không phù hợp (NC) khi đánh giá viên đến thăm tầng cửa hàng. Người vận hành quy trình tiết lộ rằng họ không tuân theo một quy trình bảo mật thông tin xác định hoặc họ không biết rằng quy trình đó có tồn tại. Nó có thể là gửi các email nhạy cảm không an toàn, cho phép mọi người điều chỉnh, không xem lại nhật ký hệ thống - có rất nhiều ví dụ. Một trong những nguyên nhân của điều này có thể là do tổ chức chưa truyền đạt hoặc tích hợp ISMS vào tổ chức một cách hiệu quả - đánh giá viên sẽ cố gắng tìm hiểu lý do tại sao để xác định hệ thống quản lý bị lỗi ở đâu. Một số người không tuân theo các quy trình vì họ không có các nguồn lực cần thiết để thực hiện đúng. Một lần nữa, đánh giá viên sẽ xác định điều này vì đây là yêu cầu của lãnh đạo cấp quản lý cao nhất để đảm bảo các nguồn lực sẵn có.

Điều khoản 4, Bối cảnh của Tổ chức ISMS

Gần một nửa số NC được NQA đưa ra liên quan đến Điều khoản 4 là do ISMS không xác định đầy đủ các vấn đề bên ngoài và bên trong ảnh hưởng đến mục đích của tổ chức. Tại sao bạn cần liệt kê các vấn đề? Chà, trừ khi bạn biết các vấn đề ảnh hưởng đến tổ chức của mình, bạn sẽ không thể tích hợp quản lý rủi ro vào hoạt động của mình - bạn không thể quản lý rủi ro nếu bạn không hiểu tổ chức của mình và bối cảnh của nó.

Quản lý rủi ro có thể khó khăn nếu tổ chức của bạn thiếu kiến thức bảo mật, điều này tôi sẽ thảo luận trong một blog trong tương lai. Nhưng bằng cách biết các vấn đề có thể ảnh hưởng đến bạn, bạn đang đặt nền tảng để quản lý rủi ro của mình. Liệt kê các vấn đề là yêu cầu của Điều 4.1 và là một phần của việc xác định phạm vi của ISMS, do đó, sự thiếu sót ở đây cũng ảnh hưởng đến định nghĩa phạm vi được yêu cầu trong Điều 4.3.

Nó có nghĩa là gì, các vấn đề? Các vấn đề bên ngoài là môi trường mà tổ chức hoạt động. Chúng được xác định bởi những gì tổ chức làm và cách chúng ảnh hưởng đến các mục tiêu của tổ chức. Ví dụ: các vấn đề bên ngoài của nhà bán lẻ sẽ rất khác với của trường học. Trong khi các vấn đề nội bộ cũng ảnh hưởng đến các mục tiêu của tổ chức, chúng tự áp đặt, chẳng hạn như văn hóa và cấu trúc. ISO 31000: 2018 bao gồm các hướng dẫn và ví dụ hữu ích mà bạn có thể xem xét.

Điều khoản 4.3, Phạm vi áp dụng hệ thống quản lý an toàn thông tin ISMS

Phạm vi là điểm không phù hợp (NC) phổ biến nhất tiếp theo, trong đó nó bị thiếu hoàn toàn khỏi HTQL ATTT (ISMS) hoặc không đầy đủ. Điều khoản 4.3 xác định chính xác những gì được yêu cầu, nhưng lưu ý các phụ thuộc trong điều khoản 4.1 và 4.2. Phạm vi rất quan trọng vì nó xác định ranh giới của ISMS. Đôi khi, trong quá trình đánh giá, khi đánh giá viên trở nên quen thuộc với tổ chức, có thể thấy rõ điều gì đó còn thiếu trong phạm vi. Hoặc có lẽ việc đánh giá rủi ro liệt kê các tài sản thông tin nằm ngoài phạm vi. Hoặc có phạm vi rõ ràng nhưng chưa được đưa vào.

Hiểu được nhu cầu và mong đợi của các bên quan tâm từ Điều 4.2 thường khiến mọi người chú ý. Nhưng tiêu chuẩn muốn bạn xem xét rõ ràng các yêu cầu về bảo mật thông tin của các bên quan tâm. Sau đó, nó lưu ý một cách hữu ích rằng các yêu cầu của họ có thể là hợp pháp, theo quy định hoặc hợp đồng, về cơ bản cho bạn biết những gì được yêu cầu.

Các đánh giá viên có kinh nghiệm của chúng tôi thường xuyên phát hiện ra một số luật thiết yếu còn thiếu - có nhiều quy chế có hàm ý bảo mật thông tin, ngay cả khi thoạt nhìn không rõ ràng. Cũng lưu ý rằng trong quá trình đánh giá Giai đoạn 2, đánh giá viên cũng sẽ xem xét Phụ lục A-18 yêu cầu rõ ràng tất cả các yêu cầu pháp lý, quy định và hợp đồng có liên quan phải được lập thành văn bản.

►►► Xem thêm đào tạo ISO 27001 : LINK

Làm cách nào để đánh giá viên của chúng tôi đánh giá ISMS của bạn theo Phần 4? Như bạn mong đợi, họ thông thạo các vấn đề hiện tại và luật pháp hiện hành, họ đã lắng nghe bạn và quản lý cao nhất của bạn mô tả về tổ chức, họ là các chuyên gia bảo mật có kinh nghiệm và có thể họ đã kiểm toán các tổ chức tương tự khác. Họ sẽ biết những gì mong đợi, cả nói chung và theo yêu cầu của tiêu chuẩn. Tiêu chuẩn đặt ra các yêu cầu tối thiểu về tài liệu, do đó, bất kỳ điều gì bị thiếu thường sẽ dẫn đến không phù hợp.

Trong blog tiếp theo của tôi, tôi sẽ xem xét những lý do điển hình khiến sự không phù hợp phát sinh trong Điều khoản 5.

Được ủy quyền bởi: Tim Pinnell, Giám đốc Đảm bảo An toàn Thông tin NQA

LIÊN HỆ

Ms.Huyền – Phụ trách Dịch vụ Khách hàng

Mobile: 091 203 5885