ISO 27002:2022, Kiểm soát 5.37 – Thủ tục vận hành được lập thành văn bản

Mục đích của Kiểm soát 5.37

Kiểm soát 5.37 đề cập đến khái niệm bảo mật thông tin như một hoạt động vận hành, trong đó các yếu tố cấu thành được thực hiện và/hoặc quản lý bởi một hoặc nhiều cá nhân.

Kiểm soát 5.37 phác thảo một loạt các quy trình vận hành nhằm đảm bảo cơ sở bảo mật thông tin của tổ chức luôn hiệu quả và an toàn, đồng thời phù hợp với các yêu cầu đã được ghi chép.

Bảng Thuộc tính

Kiểm soát 5.37 là biện pháp kiểm soát phòng ngừa và khắc phục nhằm duy trì rủi ro thông qua việc tạo ra một ngân hàng các quy trình liên quan đến các hoạt động bảo mật thông tin của tổ chức .

Quyền sở hữu kiểm soát 5.37

Kiểm soát 5.37 xử lý một tập hợp đa dạng các tình huống có khả năng bao gồm nhiều phòng ban và vai trò công việc trong phạm vi của các quy trình vận hành được ghi chép. Điều đó có nghĩa là, có thể yên tâm cho rằng hầu hết các quy trình sẽ ảnh hưởng đến nhân viên, thiết bị và hệ thống ICT.

Khi điều này xảy ra, quyền sở hữu phải thuộc về một thành viên cấp cao trong nhóm quản lý chịu trách nhiệm về mọi hoạt động liên quan đến CNTT, chẳng hạn như Trưởng phòng CNTT.

Hướng dẫn chung về Kiểm soát 5.37

Cần xây dựng các quy trình cho các hoạt động liên quan đến bảo mật thông tin theo 5 cân nhắc chính về hoạt động:

1. Bất kỳ trường hợp nào của một hoạt động được thực hiện bởi một hoặc nhiều người theo cùng một cách.
2. Khi một hoạt động không được thực hiện thường xuyên.
3. Khi một thủ tục có nguy cơ bị lãng quên.
4. Bất kỳ hoạt động mới nào mà nhân viên chưa quen thuộc và do đó có mức độ rủi ro cao hơn.
5. Khi trách nhiệm thực hiện một hoạt động được chuyển giao cho một nhân viên hoặc nhóm nhân viên khác.

Khi những trường hợp này xảy ra, các quy trình vận hành được ghi chép lại phải nêu rõ:

1. Bất kỳ cá nhân nào chịu trách nhiệm – cả người điều hành đương nhiệm và người điều hành mới.
2. Một bộ hướng dẫn duy trì tính bảo mật trong quá trình cài đặt và cấu hình tiếp theo của bất kỳ hệ thống kinh doanh liên quan nào.
3. Cách thông tin được xử lý trong suốt hoạt động.
4. Các kế hoạch và tác động của BUDR trong trường hợp mất dữ liệu hoặc sự kiện lớn (xem Kiểm soát 8.13).
5. Liên kết các mối phụ thuộc với bất kỳ hệ thống nào khác, bao gồm cả lập lịch.
6. Một quy trình rõ ràng để giải quyết “lỗi xử lý” hoặc các sự kiện khác nhau có khả năng xảy ra (xem Kiểm soát 8.18).
7. Danh sách đầy đủ nhân sự cần liên hệ trong trường hợp xảy ra bất kỳ gián đoạn nào, bao gồm các quy trình leo thang rõ ràng.
8. Cách vận hành bất kỳ phương tiện lưu trữ nào có liên quan đến hoạt động (xem Kiểm soát 7.10 và 7.14).
9. Cách khởi động lại và phục hồi sau lỗi hệ thống.
10. Ghi nhật ký theo dõi kiểm toán, bao gồm tất cả các sự kiện liên quan và nhật ký hệ thống (xem Kiểm soát 8.15 và 8.17).
11. Hệ thống giám sát video theo dõi các hoạt động tại chỗ (xem Kiểm soát 7.4).
12. Một bộ quy trình giám sát mạnh mẽ đáp ứng năng lực hoạt động, tiềm năng hiệu suất và tính bảo mật của hoạt động đó.
13. Hoạt động nên được duy trì như thế nào để đạt được hiệu suất tối ưu.

Tất cả các quy trình trên đều phải được xem xét định kỳ và/hoặc đột xuất khi cần thiết, đồng thời Ban quản lý phải phê chuẩn mọi thay đổi kịp thời để bảo vệ hoạt động bảo mật thông tin trên toàn tổ chức.

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022-5.37 thay thế 27002:2013-12.1.1 (Quy trình vận hành được ghi chép lại).

27002:2022-5.37 mở rộng 27002:2013-12.1.1 bằng cách đưa ra nhiều trường hợp rộng hơn để đảm bảo tuân thủ quy trình tài liệu.

27002:2013-12.1.1 liệt kê các hoạt động xử lý thông tin như quy trình khởi động và tắt máy tính, sao lưu, bảo trì thiết bị, xử lý phương tiện, trong khi 27002:2022-5.37 mở rộng phạm vi kiểm soát sang các hoạt động tổng quát, không giới hạn ở các chức năng kỹ thuật cụ thể.

Ngoài một vài bổ sung nhỏ – chẳng hạn như phân loại những cá nhân chịu trách nhiệm cho một hoạt động – 27002:2022-5.37 chứa các điểm hướng dẫn chung giống như 27002:2013-12.1.1