ISO 27001:2022 Phụ lục A 6.4

Phụ lục A 6.4 của ISO 27001:2022 là gì?

Phụ lục A 6.4 của ISO 27001:2022 yêu cầu các tổ chức phải thiết lập quy trình kỷ luật để có tác dụng ngăn chặn các hành vi vi phạm an ninh thông tin .

Cần phải thông báo chính thức về quy trình này và đưa ra hình phạt phù hợp cho nhân viên và các bên liên quan khác vi phạm chính sách bảo mật thông tin.

Giải thích về vi phạm an ninh thông tin

Vi phạm chính sách bảo mật thông tin cấu thành hành vi vi phạm các quy định quản lý việc xử lý thông tin đúng cách. Các tổ chức thiết lập các chính sách này để bảo vệ dữ liệu bí mật, độc quyền và cá nhân, chẳng hạn như hồ sơ khách hàng và số thẻ tín dụng. Ngoài ra, các chính sách bảo mật máy tính cũng được đưa vào để đảm bảo dữ liệu được lưu trữ trên máy tính vẫn an toàn và nguyên vẹn.

Nếu bạn sử dụng email công ty để gửi thông tin liên lạc cá nhân mà không được sự cho phép của người giám sát, điều này có thể cấu thành hành vi vi phạm chính sách của công ty. Ngoài ra, nếu bạn mắc lỗi khi sử dụng thiết bị hoặc phần mềm của công ty, dẫn đến hư hỏng thiết bị hoặc dữ liệu được lưu trữ trên đó, thì đây cũng là hành vi vi phạm chính sách bảo mật thông tin.

Nếu một nhân viên vi phạm chính sách bảo mật thông tin của tổ chức, có thể sẽ bị kỷ luật hoặc sa thải. Trong một số trường hợp nhất định, doanh nghiệp có thể lựa chọn không sa thải người lao động vi phạm chính sách sử dụng máy tính của mình, nhưng sẽ thực hiện các bước phù hợp khác để ngăn chặn mọi hành vi vi phạm chính sách của công ty.

Mục đích của Phụ lục A 6.4 của ISO 27001:2022

Mục đích của quá trình kỷ luật là đảm bảo nhân viên và các bên liên quan khác nhận ra hậu quả của việc vi phạm chính sách bảo mật thông tin.

Phụ lục A 6.4 được thiết kế nhằm ngăn chặn và hỗ trợ xử lý mọi hành vi vi phạm chính sách bảo mật thông tin, đảm bảo rằng nhân viên và các bên liên quan khác đều nhận thức được hậu quả.

Một chương trình bảo mật thông tin hiệu quả phải bao gồm khả năng áp dụng các biện pháp kỷ luật phù hợp đối với những nhân viên vi phạm các quy định về bảo mật thông tin. Làm như vậy sẽ đảm bảo rằng nhân viên hiểu được những tác động của việc bỏ qua các quy định được xác định trước, do đó làm giảm khả năng rò rỉ dữ liệu cố ý hoặc vô ý.

Ví dụ về các hoạt động có thể được đưa vào khi thực thi biện pháp kiểm soát này là:

• Thực hiện các buổi đào tạo thường xuyên để nhân viên cập nhật về những thay đổi trong chính sách.
• Thiết kế các biện pháp kỷ luật đối với hành vi không tuân thủ chính sách bảo mật thông tin.
• Cung cấp cho mỗi nhân viên một bản sao về quy trình kỷ luật của tổ chức.
• Trong những tình huống tương tự, hãy đảm bảo các quy trình kỷ luật được tuân thủ một cách nhất quán.

Các biện pháp kỷ luật được nêu trong khuôn khổ phải được thực hiện nhanh chóng sau khi xảy ra sự cố, nhằm ngăn chặn mọi hành vi vi phạm chính sách của tổ chức.

Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu

Để đáp ứng các yêu cầu của Phụ lục A 6.4, hành động kỷ luật phải được thực hiện khi có bằng chứng không tuân thủ các chính sách, thủ tục hoặc quy định của tổ chức. Điều này cũng bao gồm bất kỳ luật và quy định nào hiện hành.

Theo Phụ lục A 6.4, quy trình kỷ luật chính thức phải tính đến các yếu tố sau khi áp dụng phương pháp tiếp cận theo từng cấp độ:

• Mức độ vi phạm, bản chất, mức độ nghiêm trọng và hậu quả của nó đều phải được xem xét.
• Cho dù hành vi phạm tội là cố ý hay vô tình.
• Bất kể đây là lần vi phạm đầu tiên hay tái phạm.
• Cần phải xem xét xem người vi phạm có được đào tạo đầy đủ hay không.

Xem xét tất cả các nghĩa vụ pháp lý, lập pháp, quản lý, hợp đồng và doanh nghiệp có liên quan, cũng như bất kỳ yếu tố liên quan nào khác khi thực hiện hành động.

Những thay đổi và khác biệt so với ISO 27001:2013

Phụ lục A 6.4 của ISO 27001:2022 thay thế Phụ lục A 7.2.3 của ISO 27001:2013 trong phiên bản sửa đổi năm 2022 của ISO 27001.

ISO 27001:2022 sử dụng ngôn ngữ thân thiện với người dùng để đảm bảo người dùng tiêu chuẩn có thể hiểu được nội dung của nó. Có một số thay đổi nhỏ về cách diễn đạt, tuy nhiên bối cảnh và nội dung chung vẫn giữ nguyên.

Điểm khác biệt duy nhất bạn có thể nhận thấy là Số kiểm soát Phụ lục A đã được thay đổi từ 7.2.3 thành 6.4. Hơn nữa, tiêu chuẩn năm 2022 có thêm lợi ích là bảng thuộc tính và tuyên bố mục đích không có trong phiên bản năm 2013.

Ai là người chịu trách nhiệm cho quá trình này?

Trong phần lớn các trường hợp, quá trình kỷ luật được giám sát bởi người quản lý phòng ban hoặc đại diện nhân sự. Không có gì lạ khi đại diện nhân sự giao trách nhiệm xử lý kỷ luật cho người khác trong tổ chức, chẳng hạn như chuyên gia bảo mật thông tin.

Mục tiêu chính của hành động kỷ luật là bảo vệ tổ chức khỏi bất kỳ hành vi vi phạm bổ sung nào từ nhân viên. Mục tiêu tiếp theo là ngăn chặn bất kỳ sự cố tương tự nào xảy ra bằng cách đảm bảo rằng tất cả nhân viên đều nhận thức được tầm quan trọng của các vi phạm an ninh thông tin.

Điều cần thiết đối với bất kỳ tổ chức nào là đảm bảo rằng hành động kỷ luật được thực hiện khi một nhân viên vi phạm bất kỳ chính sách hoặc quy trình nào của tổ chức. Để đảm bảo điều này, phải thiết lập hướng dẫn rõ ràng về cách xử lý các tình huống như vậy, bao gồm hướng dẫn về cách tiến hành điều tra và các hành động cần thực hiện sau đó.

Những thay đổi này có ý nghĩa gì đối với bạn?

Nếu bạn đang suy ngẫm về việc những thay đổi này ảnh hưởng đến mình như thế nào, sau đây là bản tóm tắt ngắn gọn về những điểm quan trọng nhất:

• Không cần phải chứng nhận lại; đây chỉ là một thay đổi nhỏ.
• Giữ nguyên chứng nhận hiện tại của bạn cho đến khi hết hạn, miễn là nó vẫn còn hiệu lực.
• Không có thay đổi lớn nào được thực hiện đối với Phụ lục A 6.4 của ISO 27001:2022.
• Mục đích là đưa tiêu chuẩn này phù hợp với các tiêu chuẩn và thông lệ tốt nhất mới nhất.

Nếu bạn muốn đạt được chứng chỉ ISMS , bạn nên đánh giá các biện pháp bảo mật của mình để đảm bảo chúng tuân thủ tiêu chuẩn đã sửa đổi.

Để hiểu rõ hơn về tác động của tiêu chuẩn ISO 27001:2022 mới đối với quy trình bảo mật dữ liệu và chứng nhận ISO 27001 của bạn, vui lòng tham khảo hướng dẫn ISO 27001:2022 miễn phí của chúng tôi.