Kiểm soát 5.1 là gì?
Chính sách bảo mật thông tin cung cấp cho nhân viên, ban quản lý và các bên bên ngoài (ví dụ: khách hàng và nhà cung cấp) một khuôn khổ để quản lý thông tin điện tử, bao gồm cả mạng máy tính.
Mục đích của chính sách bảo mật thông tin là giảm nguy cơ mất dữ liệu hoặc bị đánh cắp từ các mối đe dọa bên trong và bên ngoài. Chính sách bảo mật thông tin cũng đảm bảo rằng tất cả nhân viên đều nhận thức được trách nhiệm của mình trong việc bảo vệ dữ liệu do tổ chức của họ nắm giữ.
Chính sách bảo mật thông tin cũng có thể được sử dụng để chứng minh sự tuân thủ luật pháp và quy định, đồng thời giúp đáp ứng các tiêu chuẩn như ISO 27001.
Giải thích về các mối đe dọa an ninh mạng và an ninh thông tin
Các mối đe dọa an ninh mạng là bất kỳ cuộc tấn công độc hại nào có thể xảy ra nhằm truy cập dữ liệu bất hợp pháp, phá vỡ hoạt động kỹ thuật số hoặc làm hỏng thông tin. Các mối đe dọa mạng có thể xuất phát từ nhiều tác nhân khác nhau, bao gồm gián điệp doanh nghiệp và tin tặc, nhóm khủng bố, quốc gia thù địch và tổ chức tội phạm.
Một số mối đe dọa an ninh mạng và an ninh thông tin phổ biến nhất là:
- Phần mềm độc hại: vi-rút, phần mềm gián điệp và các chương trình độc hại khác.
- Email lừa đảo: tin nhắn có vẻ như đến từ nguồn đáng tin cậy nhưng chứa liên kết và tệp đính kèm cài đặt phần mềm độc hại.
- Phần mềm tống tiền: phần mềm độc hại ngăn người dùng truy cập dữ liệu của họ cho đến khi họ trả tiền chuộc.
- Kỹ thuật xã hội: kẻ tấn công thao túng người dùng cung cấp thông tin nhạy cảm, thường bằng cách tỏ ra đáng tin cậy.
- Tấn công đánh cắp dữ liệu cá voi: email lừa đảo được thiết kế để trông giống như chúng được gửi từ những cá nhân có địa vị cao trong một tổ chức.
Mục đích của Kiểm soát 5.1 là gì?
Mục đích của chính sách bảo mật thông tin là đảm bảo sự hỗ trợ của ban quản lý trong việc bảo vệ thông tin nhạy cảm của công ty bạn khỏi bị đánh cắp và truy cập trái phép.
Kiểm soát 5.1 bao gồm hướng dẫn kiểm soát, mục đích và triển khai để thiết lập chính sách bảo mật thông tin trong một tổ chức theo khuôn khổ được định nghĩa bởi ISO 27001.
Kiểm soát 5.1 nêu rằng các tổ chức cần có các chính sách cấp cao và cấp thấp về cách họ quản lý bảo mật thông tin của mình. Ban quản lý cấp cao của tổ chức cần phê duyệt các chính sách, cần được xem xét thường xuyên và cũng xem xét nếu có thay đổi trong môi trường bảo mật thông tin.
Cách tiếp cận tốt nhất là họp thường xuyên ít nhất một lần một tháng, với các cuộc họp bổ sung được lên lịch khi cần thiết. Nếu có thay đổi đối với các chính sách, ban quản lý phải phê duyệt trước khi thực hiện. Các chính sách cũng nên được chia sẻ với các bên liên quan nội bộ và bên ngoài.
Thuộc tính của Kiểm soát 5.1
Thuộc tính là phương tiện phân loại các điều khiển. Chúng cho phép bạn nhanh chóng căn chỉnh lựa chọn điều khiển của mình với ngôn ngữ và tiêu chuẩn chung của ngành. Trong điều khiển 5.1, chúng là.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật | #Nhận dạng | #Quản trị | #Quản trị và Hệ sinh thái |
| #Chính trực | #Khả năng phục hồi | |||
| #Khả dụng |
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Chính sách bảo mật thông tin phải cung cấp cơ sở và được hỗ trợ bởi các quy trình vận hành chi tiết mô tả cách bảo mật thông tin sẽ được quản lý trong thực tế.
Chính sách này phải được ban quản lý cấp cao phê duyệt, những người phải đảm bảo rằng chính sách này được truyền đạt tới nhân viên và cung cấp cho các bên quan tâm.
Chính sách này đưa ra định hướng về cách tiếp cận của tổ chức trong việc quản lý bảo mật thông tin và có thể được sử dụng làm khuôn khổ để phát triển các quy trình vận hành chi tiết hơn.
Chính sách là yếu tố thiết yếu trong việc thiết lập và duy trì hệ thống quản lý bảo mật thông tin (ISMS), theo yêu cầu của bộ tiêu chuẩn ISO/IEC 27000, nhưng ngay cả khi tổ chức không có ý định triển khai chứng nhận chính thức theo ISO 27001 hoặc bất kỳ tiêu chuẩn nào khác thì một chính sách được xác định rõ ràng vẫn rất quan trọng.
Những thay đổi và khác biệt so với ISO 27002:2013
Trong ISO 27002: 2022, kiểm soát 5.1 Chính sách bảo mật thông tin không phải là kiểm soát mới mà là kết quả của việc hợp nhất các kiểm soát 5.1.1 Chính sách bảo mật thông tin và 5.1.2 Đánh giá chính sách bảo mật thông tin từ phiên bản ISO 27002 năm 2013.
Trong ISO 27002:2022, kiểm soát 5.1 đã được cập nhật để bao gồm mô tả về mục đích của nó và hướng dẫn triển khai mở rộng. Nó cũng đi kèm với một bảng thuộc tính cho phép người dùng đối chiếu các kiểm soát với các thuật ngữ trong ngành.
Trong ISO 27002:2022, biện pháp kiểm soát 5.1 nêu rõ rằng các chính sách bảo mật thông tin và chính sách theo chủ đề cụ thể phải được ban quản lý xác định, phê duyệt, công bố, truyền đạt và xác nhận bởi các nhân viên có liên quan và các bên quan tâm.
Chính sách bảo mật thông tin của một tổ chức phải phản ánh quy mô, loại hình và mức độ nhạy cảm của tài sản thông tin của tổ chức đó. Chính sách này cũng phải phù hợp với các tiêu chuẩn của ngành và các quy định hiện hành của chính phủ.
Mặc dù bản chất của bản kiểm soát này tương tự như 5.1.1 của ISO 27002: 2013, phiên bản 2022 nêu rõ rằng các chính sách bảo mật thông tin này phải được xem xét thường xuyên và cũng như nếu có thay đổi trong môi trường bảo mật thông tin. Điều khoản này được đề cập trong điều khoản 5.1.2 của ISO 27002: 2013.
ISO 27002: 2013 và ISO 27002: 2022 nêu rằng cấp cao nhất của tổ chức phải xác định chính sách bảo mật mà ban quản lý cấp cao phê duyệt và nêu cách họ sẽ giám sát việc bảo vệ thông tin của mình. Tuy nhiên, các yêu cầu được bao gồm trong chính sách của cả hai phiên bản đều khác nhau.
So sánh Hướng dẫn thực hiện Kiểm soát 5.1 2013 – 2022
Trong ISO 27002:2013, các chính sách bảo mật thông tin phải giải quyết các yêu cầu được tạo ra bởi:
- Chiến lược kinh doanh.
- Quy định, luật lệ và hợp đồng.
- Môi trường đe dọa an ninh thông tin hiện tại và dự kiến.
Chính sách bảo mật thông tin phải bao gồm các tuyên bố liên quan đến:
- Định nghĩa về an ninh thông tin, mục tiêu và nguyên tắc hướng dẫn mọi hoạt động liên quan đến
an ninh thông tin. - Phân công trách nhiệm chung và cụ thể về quản lý an ninh thông tin cho
các vai trò được xác định. - Quy trình xử lý sai lệch và ngoại lệ.
Nhưng các yêu cầu đối với ISO 27002:2022 thì toàn diện hơn một chút.
Chính sách bảo mật thông tin phải xem xét các yêu cầu bắt nguồn từ:
- Chiến lược kinh doanh và yêu cầu.
- Quy định, luật lệ và hợp đồng.
- Các rủi ro và mối đe dọa về an ninh thông tin hiện tại và dự kiến.
Chính sách bảo mật thông tin phải bao gồm các tuyên bố liên quan đến:
- Định nghĩa về bảo mật thông tin.
- Mục tiêu bảo mật thông tin hoặc khuôn khổ để thiết lập mục tiêu bảo mật thông tin.
- Nguyên tắc hướng dẫn mọi hoạt động liên quan đến an ninh thông tin.
- Cam kết đáp ứng các yêu cầu hiện hành liên quan đến bảo mật thông tin.
- Cam kết cải tiến liên tục hệ thống quản lý an ninh thông tin.
- Phân công trách nhiệm quản lý an ninh thông tin cho các vai trò được xác định.
- Thủ tục xử lý miễn trừ và ngoại lệ.
Đồng thời, các chính sách theo chủ đề cụ thể đã được làm lại trong ISO 27002:2022 để bao gồm; quản lý sự cố bảo mật thông tin, quản lý tài sản, bảo mật mạng, quản lý sự cố bảo mật thông tin và phát triển an toàn. Một số chính sách trong ISO 27002:2013 đã bị xóa hoặc hợp nhất để tạo thành một khuôn khổ toàn diện hơn.
