ISO 27002:2022, Kiểm soát 7.5 – Bảo vệ chống lại các mối đe dọa vật lý và môi trường

Các mối đe dọa đối với tài sản thông tin không chỉ ở dạng kỹ thuật số: Cơ sở hạ tầng vật lý quan trọng lưu trữ tài sản thông tin của một tổ chức cũng phải đối mặt với các mối đe dọa về môi trường và vật lý có thể dẫn đến mất mát, phá hủy, trộm cắp và xâm phạm tài sản thông tin và dữ liệu nhạy cảm.

Những mối đe dọa này có thể bao gồm các sự kiện tự nhiên như động đất, lũ lụt và cháy rừng. Chúng cũng có thể bao gồm các thảm họa do con người gây ra như bất ổn dân sự và hoạt động tội phạm.

Tiêu chuẩn Kiểm soát 7.5 đề cập đến cách các tổ chức có thể đánh giá, xác định và giảm thiểu rủi ro đối với cơ sở hạ tầng vật lý quan trọng do các mối đe dọa về vật lý và môi trường.

Mục đích của Kiểm soát 7.5

Kiểm soát 7.5 cho phép các tổ chức đo lường những tác động tiêu cực tiềm ẩn của các mối đe dọa về môi trường và vật lý và giảm thiểu và/hoặc loại bỏ những tác động này bằng cách áp dụng các biện pháp thích hợp.

Bảng Thuộc tính

Kiểm soát 7.5 là loại kiểm soát mang tính phòng ngừa, yêu cầu các tổ chức phải loại bỏ và/hoặc giảm thiểu hậu quả có thể phát sinh từ các rủi ro bên ngoài như thiên tai và sự cố do con người gây ra.

Quyền sở hữu kiểm soát 7.5

Tiêu chuẩn kiểm soát 7.5 yêu cầu các tổ chức phải tiến hành đánh giá rủi ro chuyên sâu trước khi bắt đầu bất kỳ hoạt động nào tại cơ sở vật chất và triển khai các biện pháp cần thiết tương xứng với mức độ rủi ro đã xác định.

Do đó, các giám đốc an ninh phải chịu trách nhiệm xây dựng, quản lý, triển khai và xem xét toàn bộ quy trình.

Hướng dẫn chung về tuân thủ

Tiêu chuẩn kiểm soát 7.5 chỉ định quy trình ba bước để xác định và loại bỏ rủi ro do các mối đe dọa về vật lý và môi trường:

• Bước 1: Hoàn thành đánh giá rủi ro

Các tổ chức nên tiến hành đánh giá rủi ro để xác định các thảm họa vật lý và môi trường tiềm ẩn có thể xảy ra tại từng cơ sở vật lý cụ thể, sau đó đo lường những tác động có thể phát sinh do các mối đe dọa vật lý và môi trường đã xác định.

Do mỗi cơ sở vật chất và cơ sở hạ tầng tại đó sẽ phải chịu các điều kiện môi trường và yếu tố rủi ro vật chất khác nhau nên loại mối đe dọa và mức độ rủi ro được xác định sẽ khác nhau tùy theo từng cơ sở và vị trí của cơ sở đó.

Ví dụ, trong khi một cơ sở có thể dễ bị cháy rừng nhất thì một cơ sở khác có thể nằm ở khu vực thường xuyên xảy ra động đất.

Một yêu cầu quan trọng khác được nêu trong biện pháp kiểm soát 7.5 là đánh giá rủi ro này phải được thực hiện trước khi bắt đầu hoạt động tại cơ sở vật chất.

• Bước 2: Xác định và triển khai các biện pháp kiểm soát

Dựa trên loại mối đe dọa và mức độ rủi ro được xác định ở bước đầu tiên, các tổ chức nên áp dụng các biện pháp kiểm soát phù hợp, có tính đến hậu quả có thể xảy ra do các mối đe dọa về môi trường và vật lý.

Để minh họa, Kiểm soát 7.5 cung cấp các ví dụ về các biện pháp kiểm soát có thể được áp dụng cho các mối đe dọa sau:

Cháy: Các tổ chức nên triển khai hệ thống báo cháy khi phát hiện cháy hoặc kích hoạt hệ thống chữa cháy có khả năng bảo vệ phương tiện lưu trữ và hệ thống thông tin khỏi bị hư hại.

Lũ lụt: Hệ thống phải được triển khai và cấu hình để phát hiện lũ lụt ở những khu vực lưu trữ tài sản thông tin. Ngoài ra, các công cụ như máy bơm nước phải sẵn sàng để sử dụng trong trường hợp lũ lụt.

Sét điện: Máy chủ và hệ thống quản lý thông tin quan trọng cần được bảo trì và bảo vệ để tránh sự cố mất điện.

Chất nổ và vũ khí: Các tổ chức nên tiến hành kiểm tra và thanh tra ngẫu nhiên tất cả cá nhân, vật phẩm và phương tiện ra vào cơ sở hạ tầng quan trọng.

• Bước 3: Giám sát

Do loại mối đe dọa và mức độ rủi ro có thể thay đổi theo thời gian, các tổ chức nên liên tục theo dõi đánh giá rủi ro và xem xét lại các biện pháp kiểm soát mà họ đã triển khai nếu cần.

Hướng dẫn bổ sung

Mục 7.5 liệt kê bốn cân nhắc cụ thể mà các tổ chức cần lưu ý.

Tư vấn với chuyên gia

Mỗi loại mối đe dọa cụ thể về môi trường và vật lý, dù là chất thải độc hại, động đất hay hỏa hoạn, đều có bản chất, rủi ro và biện pháp đối phó riêng.

Do đó, các tổ chức nên tìm kiếm lời khuyên của chuyên gia về cách xác định, loại bỏ và/hoặc giảm thiểu rủi ro phát sinh từ những mối đe dọa này.

Lựa chọn vị trí cho cơ sở

Việc xem xét địa hình, mực nước và chuyển động kiến ​​tạo tại địa điểm tiềm năng để xây dựng cơ sở có thể giúp xác định và loại bỏ rủi ro ngay từ đầu.

Hơn nữa, các tổ chức nên cân nhắc đến những rủi ro do thảm họa do con người gây ra ở khu vực đô thị được chọn như bất ổn chính trị và hoạt động tội phạm.

Lớp bảo mật bổ sung

Ngoài các biện pháp kiểm soát cụ thể được thực hiện, các phương pháp lưu trữ thông tin an toàn như két sắt có thể tăng thêm một lớp bảo mật chống lại các thảm họa như hỏa hoạn và lũ lụt.

Phòng ngừa tội phạm thông qua thiết kế môi trường

Kiểm soát 7.5 khuyến nghị các tổ chức cân nhắc khái niệm này khi triển khai các biện pháp kiểm soát để tăng cường an ninh cho cơ sở. Phương pháp này có thể được sử dụng để loại bỏ các mối đe dọa đô thị như hoạt động tội phạm, bất ổn dân sự và khủng bố.

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022/7.5 thay thế 27002:2013/(11.1.4)

Trong khi phiên bản năm 2013 đề cập đến cách các tổ chức nên áp dụng các biện pháp phòng ngừa phù hợp chống lại các mối đe dọa về vật chất và môi trường thì phiên bản năm 2022 toàn diện hơn nhiều về các bước tuân thủ cụ thể mà các tổ chức nên thực hiện.

Nhìn chung, có hai điểm khác biệt chính:

• Phiên bản 2022 cung cấp hướng dẫn về việc tuân thủ

Phiên bản năm 2013 không có hướng dẫn nào về cách các tổ chức xác định và loại bỏ rủi ro do các mối đe dọa về môi trường và vật lý.

Phiên bản năm 2022, theo hợp đồng, mô tả quy trình ba bước mà các tổ chức phải tuân theo, bao gồm cả việc thực hiện đánh giá rủi ro.

• Phiên bản 2022 khuyến nghị các tổ chức cân nhắc triển khai thêm các biện pháp

Trong hướng dẫn bổ sung, phiên bản năm 2022 đề cập đến các biện pháp như sử dụng két an toàn và phòng ngừa tội phạm thông qua các khái niệm thiết kế môi trường có thể được sử dụng để tăng cường khả năng bảo vệ chống lại các mối đe dọa.

Ngược lại, phiên bản năm 2013 không đề cập đến các biện pháp bổ sung như vậy.