Mục đích của Kiểm soát 5.26
Kiểm soát 5.26 giúp các tổ chức đảm bảo rằng nhân viên nội bộ và bên ngoài tham gia đầy đủ vào các quy trình và thủ tục quản lý sự cố đã công bố (chủ yếu là những quy trình và thủ tục được tạo trong Kiểm soát 5.24), do đó tối đa hóa khả năng giải quyết nhanh chóng và hiệu quả.
Bảng Thuộc tính
5.26 là biện pháp kiểm soát khắc phục nhằm điều chỉnh rủi ro bằng cách đảm bảo các sự cố bảo mật thông tin được ứng phó thông qua việc tuân thủ chặt chẽ các quy trình của công ty.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Sửa lỗi | #Bảo mật #Toàn vẹn #Khả dụng | #Phục hồi #Phản hồi | #Quản lý sự kiện an ninh thông tin | #Phòng thủ |
Quyền sở hữu kiểm soát 5.26
Quyền kiểm soát 5.26 phải thuộc về một thành viên trong nhóm quản lý cấp cao có thẩm quyền giám sát mọi hoạt động liên quan đến quản lý sự cố, chẳng hạn như Giám đốc điều hành hoặc Trưởng phòng cung cấp dịch vụ .
Chủ sở hữu cũng phải có khả năng quản lý trực tiếp hoặc gián tiếp hiệu suất của nhân viên tham gia phân tích và giải quyết các sự cố liên quan đến bảo mật thông tin, để thúc đẩy quản lý hiệu suất và loại bỏ lỗi.
Hướng dẫn chung về Kiểm soát 5.26
Biện pháp kiểm soát 5.26 nêu rõ rằng các sự cố bảo mật thông tin phải được xử lý bởi một nhóm chuyên trách có “năng lực cần thiết” để giải quyết nhanh chóng và toàn diện mọi sự cố xảy ra (xem Biện pháp kiểm soát 5.24).
Kiểm soát 5.26 nêu ra 10 điểm hướng dẫn chính để đảm bảo tuân thủ các quy trình quản lý sự cố:
- Ngăn chặn và giảm thiểu mọi mối đe dọa phát sinh từ sự kiện ban đầu.
- Thu thập và xác nhận bằng chứng ngay sau khi sự cố bảo mật thông tin xảy ra.
- Leo thang, bao gồm quản lý khủng hoảng, các hoạt động BUDR và các kế hoạch duy trì hoạt động kinh doanh tổng thể (xem Kiểm soát 5.29 và 5.30).
- Ghi lại chính xác mọi hoạt động liên quan đến sự cố, bao gồm cả phản ứng ban đầu, để hỗ trợ cho việc phân tích sau khi xảy ra sự cố.
- Tuân thủ nguyên tắc “cần biết” nghiêm ngặt khi truyền đạt sự tồn tại và diễn biến liên quan đến các sự cố liên quan đến an ninh thông tin.
- Luôn ghi nhớ trách nhiệm của tổ chức đối với các tổ chức bên ngoài (khách hàng, nhà cung cấp, cơ quan công quyền, cơ quan quản lý, v.v.) khi truyền đạt tác động rộng hơn của các sự cố bảo mật thông tin.
- Kết thúc một sự cố theo một bộ tiêu chí hoàn thành nghiêm ngặt.
- Phân tích pháp y (xem Kiểm soát 5.28).
- Xác định nguyên nhân cơ bản của sự cố, sau khi sự cố đó đã được giải quyết, bao gồm ghi chép và truyền đạt đầy đủ tới tất cả các bên liên quan (xem Kiểm soát 5.27).
- Quản lý các lỗ hổng tiềm ẩn dẫn đến các sự kiện và sự cố liên quan đến bảo mật thông tin, bao gồm việc xác định và sửa đổi các quy trình, biện pháp kiểm soát, chính sách và thủ tục nội bộ.
Kiểm soát hỗ trợ
- 5.24
- 5.27
- 5.28
- 5.29
- 5.30
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022-5.26 thay thế 27002:2013-16.1.5 (Phản hồi sự cố an ninh thông tin).
ISO 27002:2022-5.26 tiến xa hơn một vài bước so với 27002:2013-16.1.5, với việc bổ sung bốn lĩnh vực chính cần xem xét:
- nhu cầu ngăn chặn và giảm thiểu các mối đe dọa phát sinh từ sự kiện ban đầu
- các thủ tục leo thang dựa trên quản lý khủng hoảng và tính liên tục của hoạt động kinh doanh
- xác định chính xác lý do tại sao sự cố xảy ra và truyền đạt thông tin cụ thể cho tất cả các bên liên quan
- thực hiện hành động khắc phục để xác định và sửa đổi các quy trình, biện pháp kiểm soát và chính sách nội bộ dẫn đến sự kiện ban đầu
27002:2013-16.1.5 cũng đề cập đến việc khôi phục “mức độ bảo mật bình thường” như là mục tiêu chính của nhóm ứng phó sự cố trong giai đoạn đầu của sự leo thang. 27002:2022-5.26 không đề cập đến điều đó mà thay vào đó tập trung vào nhu cầu chung là ngăn chặn các mối đe dọa.
