ISO 27002:2022, Kiểm soát 5.11 – Hoàn trả tài sản

Kiểm soát 5.11, Trả lại tài sản là gì?

Tài sản thông tin là bất kỳ loại dữ liệu hoặc thông tin nào có giá trị đối với một tổ chức. Tài sản thông tin có thể bao gồm tài liệu vật lý, tệp và cơ sở dữ liệu kỹ thuật số, chương trình phần mềm và thậm chí cả các mặt hàng vô hình như bí mật thương mại và sở hữu trí tuệ.

Tài sản thông tin có thể có giá trị theo nhiều cách khác nhau. Chúng có thể chứa thông tin nhận dạng cá nhân (PII) về khách hàng, nhân viên hoặc các bên liên quan khác có thể bị kẻ xấu sử dụng để kiếm lợi tài chính hoặc đánh cắp danh tính. Chúng có thể chứa thông tin nhạy cảm về tài chính, nghiên cứu hoặc hoạt động của tổ chức bạn, thông tin này sẽ mang lại lợi thế cạnh tranh cho đối thủ cạnh tranh của bạn nếu họ có thể có được thông tin đó.

Đây là lý do tại sao nhân viên và nhà thầu bị chấm dứt hợp đồng với một tổ chức phải trả lại tất cả tài sản mà họ đang sở hữu.

Thuộc tính của Kiểm soát 5.11

Tiêu chuẩn ISO 27002:2022 mới bao gồm các bảng thuộc tính không có trong tiêu chuẩn trước đó năm 2013. Các biện pháp kiểm soát được phân loại dựa trên các thuộc tính của chúng. Bạn cũng có thể sử dụng các thuộc tính này để đối chiếu lựa chọn biện pháp kiểm soát của mình với các thuật ngữ và thông số kỹ thuật thường dùng trong ngành.

Các thuộc tính để kiểm soát 5.11 là:

Mục đích của Kiểm soát 5.11 là gì?

Kiểm soát 5.11 được thiết kế để bảo vệ tài sản của tổ chức như một phần của quá trình thay đổi hoặc chấm dứt việc làm, hợp đồng hoặc thỏa thuận. Mục đích của kiểm soát này là ngăn chặn những cá nhân không được phép giữ lại tài sản (ví dụ: thiết bị, thông tin, phần mềm, v.v.) thuộc về tổ chức.

Khi nhân viên và nhà thầu rời khỏi tổ chức của bạn, bạn phải đảm bảo rằng họ không mang theo bất kỳ dữ liệu nhạy cảm nào. Bạn thực hiện điều đó bằng cách xác định bất kỳ mối đe dọa tiềm ẩn nào và theo dõi hoạt động của người dùng trước khi họ rời đi.

Kiểm soát này nhằm đảm bảo rằng cá nhân không có quyền truy cập vào hệ thống CNTT và mạng khi chúng bị chấm dứt. Các tổ chức nên thiết lập một quy trình chấm dứt chính thức để đảm bảo rằng cá nhân không thể truy cập vào bất kỳ hệ thống CNTT nào sau khi họ rời khỏi tổ chức. Điều này có thể được thực hiện bằng cách thu hồi tất cả các quyền, vô hiệu hóa tài khoản và xóa quyền truy cập khỏi khuôn viên tòa nhà.

Cần có các thủ tục để đảm bảo rằng nhân viên, nhà thầu và các bên liên quan khác trả lại tất cả các tài sản của tổ chức không còn cần thiết cho mục đích kinh doanh hoặc sắp được thay thế. Các tổ chức cũng có thể muốn thực hiện kiểm tra cuối cùng đối với khu vực làm việc của cá nhân để đảm bảo rằng tất cả thông tin nhạy cảm đã được trả lại.

Ví dụ:

• Sau khi phân tách, các thiết bị thuộc sở hữu của tổ chức sẽ được thu thập (ví dụ: phương tiện lưu động, máy tính xách tay).
• Nhà thầu trả lại thiết bị và thông tin khi kết thúc hợp đồng.

Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu

Để đáp ứng các yêu cầu kiểm soát 5.11, quy trình thay đổi hoặc chấm dứt phải được chính thức hóa để bao gồm việc trả lại tất cả các tài sản vật chất và điện tử đã phát hành trước đó thuộc sở hữu hoặc được ủy thác cho tổ chức.

Quá trình này cũng phải đảm bảo rằng mọi quyền truy cập, tài khoản, chứng chỉ số và mật khẩu đều bị xóa. Việc chính thức hóa này đặc biệt quan trọng trong những trường hợp có sự thay đổi hoặc chấm dứt đột ngột, chẳng hạn như tử vong hoặc từ chức, để ngăn chặn việc truy cập trái phép vào tài sản của tổ chức có thể dẫn đến vi phạm dữ liệu .

Quá trình này phải đảm bảo rằng tất cả tài sản đều được ghi chép lại và tất cả đều được trả lại/xử lý theo cách an toàn.

Theo quy định 5.11 của ISO 27002:2022, tổ chức phải xác định rõ ràng và ghi lại tất cả thông tin và tài sản liên quan khác cần trả lại, bao gồm:

a) thiết bị đầu cuối của người dùng;

b) thiết bị lưu trữ di động;

c) thiết bị chuyên dụng;

d) phần cứng xác thực (ví dụ như chìa khóa cơ, mã thông báo vật lý và thẻ thông minh) cho hệ thống thông tin, địa điểm và kho lưu trữ vật lý;

e) bản sao vật lý của thông tin.

Điều này có thể đạt được thông qua danh sách kiểm tra chính thức có chứa tất cả các mục cần thiết phải trả lại/xử lý và được người dùng hoàn thành khi chấm dứt, cùng với bất kỳ chữ ký cần thiết nào xác nhận rằng tài sản đã được trả lại/xử lý thành công.

Sự khác biệt giữa ISO 27002:2013 và ISO 27002:2022

Phiên bản sửa đổi năm 2022 mới của ISO 27002 đã được công bố vào ngày 15 tháng 2 năm 2022 và là bản nâng cấp của ISO 27002:2013.

Kiểm soát 5.11 trong ISO 27002: 2022 không phải là kiểm soát mới, mà là bản sửa đổi của kiểm soát 8.1.4 – trả lại tài sản trong ISO 27002:2013.

Cả hai biện pháp kiểm soát về cơ bản đều giống nhau với ngôn ngữ và cách diễn đạt gần giống nhau có trong hướng dẫn triển khai. Tuy nhiên, biện pháp kiểm soát 5.11 trong ISO 27002:2022 đi kèm với một bảng thuộc tính cho phép người dùng khớp biện pháp kiểm soát với những gì họ đang triển khai. Ngoài ra, biện pháp kiểm soát 5.11 trong ISO 27002:2022 liệt kê các tài sản có thể nằm trong số những gì cần được trả lại khi kết thúc việc làm hoặc chấm dứt hợp đồng.

Bao gồm:

a) thiết bị đầu cuối của người dùng;

b) thiết bị lưu trữ di động;

c) thiết bị chuyên dụng;

d) phần cứng xác thực (ví dụ như chìa khóa cơ, mã thông báo vật lý và thẻ thông minh) cho hệ thống thông tin, địa điểm và kho lưu trữ vật lý;

e) bản sao vật lý của thông tin.

Danh sách này không có trong phiên bản 2013.

Những thay đổi này có ý nghĩa gì đối với bạn?

Tiêu chuẩn ISO 27002:2022 được cập nhật dựa trên phiên bản năm 2013. Ủy ban giám sát tiêu chuẩn không thực hiện bất kỳ cập nhật hoặc sửa đổi đáng kể nào đối với các phiên bản trước. Do đó, bất kỳ tổ chức nào hiện đang tuân thủ ISO 27002:2013 đều đã tuân thủ tiêu chuẩn mới. Nếu công ty của bạn có kế hoạch duy trì tuân thủ ISO 27002, bạn sẽ không cần phải thực hiện nhiều thay đổi đáng kể đối với hệ thống và quy trình của mình.

Tuy nhiên, bạn có thể tìm hiểu thêm về cách những sửa đổi để kiểm soát 5.11 này sẽ tác động đến tổ chức của bạn trong hướng dẫn về ISO 27002:2022 của chúng tôi.