Kiểm soát 5.2: Vai trò và trách nhiệm bảo mật thông tin là gì?
ISO 27002:2022 , kiểm soát 5.2 — vai trò và trách nhiệm bảo mật thông tin — là một trong những kiểm soát quan trọng nhất trong ISO 27002:2022. Đây là bản sửa đổi của kiểm soát 6.1.1 trong ISO 27002:2013 và xác định cách các tổ chức nên xác định và phân bổ vai trò và trách nhiệm bảo mật thông tin.
Giải thích về vai trò và trách nhiệm của an ninh thông tin
Người đứng đầu tổ chức, các giám đốc an ninh thông tin (CISO), quản lý dịch vụ CNTT (ITSM), chủ sở hữu hệ thống và người dùng hệ thống đều đóng góp vào sự vững chắc của an ninh thông tin. Phần này tóm tắt và thảo luận về trách nhiệm của những người nắm giữ các vai trò này .
Người lãnh đạo của tổ chức phải gánh chịu phần lớn trách nhiệm
Bảo mật thông tin là trách nhiệm của bạn với tư cách là CEO của cơ quan. Ngoài ra, bạn còn là cơ quan công nhận của tổ chức.
Bảo mật thông tin là trách nhiệm của CISO
Các hoạt động thực hành tốt trong lĩnh vực an ninh và quản trị là trách nhiệm của CISO. Việc có vị trí này đảm bảo an ninh thông tin được quản lý đúng cách ở cấp cao nhất của tổ chức.
Quản lý dịch vụ CNTT (ITSM) chịu trách nhiệm thực hiện các biện pháp bảo mật cũng như cung cấp chuyên môn
ITSM là viên chức cấp cao trong công ty. Quản trị viên hệ thống làm việc phối hợp với giám đốc an ninh thông tin để thực hiện các chỉ thị chiến lược của giám đốc điều hành.
Chủ sở hữu hệ thống có trách nhiệm bảo trì và vận hành chúng
Mỗi hệ thống đều cần có chủ sở hữu. Do đó, mỗi chủ sở hữu hệ thống có trách nhiệm đảm bảo tuân thủ các quy tắc quản trị CNTT và đáp ứng các nhu cầu kinh doanh.
Người dùng hệ thống bảo vệ hệ thống bằng cách tuân thủ các chính sách và thủ tục
Người dùng hệ thống có nhiều khả năng tuân thủ các quy tắc và thủ tục bảo mật hơn nếu có một nền văn hóa bảo mật mạnh mẽ. Mọi hệ thống đều có những nguy cơ tiềm ẩn và người dùng phải chịu trách nhiệm giảm thiểu những nguy cơ đó.
Việc giải quyết vấn đề kiểm soát này rất quan trọng để đảm bảo rằng mỗi nhân viên hiểu được trách nhiệm của mình khi bảo vệ dữ liệu , hệ thống và mạng. Phải thừa nhận rằng, đây là một thách thức đối với nhiều công ty, đặc biệt là các công ty nhỏ, nơi nhân viên thường đảm nhiệm nhiều hơn một vai trò.
Bảng Thuộc tính
Một phần thuộc tính hiện đã được đưa vào phiên bản mới nhất của ISO 27002. Định nghĩa thuộc tính là một cách để phân loại các điều khiển. Những điều này cho phép bạn dễ dàng so sánh lựa chọn điều khiển của mình với thuật ngữ công nghiệp thông thường. Các thuộc tính cho điều khiển 5.2 là:
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Nhận dạng | #Quản trị | #Quản trị và Hệ sinh thái #Khả năng phục hồi |
Mục đích của Kiểm soát 5.2 là gì?
Mục đích của kiểm soát 5.2 là thiết lập một cấu trúc được xác định, phê duyệt và hiểu rõ để triển khai, vận hành và quản lý bảo mật thông tin trong tổ chức. Đây là một cấu trúc tổ chức chính thức phân công trách nhiệm về bảo mật thông tin trong toàn bộ tổ chức.
Giải thích về Kiểm soát 5.2
Kiểm soát 5.2 đề cập đến việc triển khai, vận hành và quản lý các vai trò và trách nhiệm về bảo mật thông tin trong một tổ chức theo khuôn khổ được định nghĩa bởi ISO 27001.
Kiểm soát nêu rõ rằng các vai trò và trách nhiệm về bảo mật thông tin phải được xác định rõ ràng và mọi người liên quan phải hiểu rõ vai trò của mình. Thông thường, tài sản được chỉ định cho một chủ sở hữu được chỉ định, người chịu trách nhiệm chăm sóc hàng ngày.
Tuy nhiên, tùy thuộc vào quy mô của tổ chức và nguồn lực sẵn có, bảo mật thông tin có thể được xử lý bởi một nhóm chuyên trách hoặc các trách nhiệm bổ sung được giao cho nhân viên hiện tại.
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Việc phân bổ vai trò và trách nhiệm cho bảo mật thông tin là rất quan trọng để đảm bảo bảo mật thông tin của tổ chức được duy trì và nâng cao. Để đáp ứng các yêu cầu kiểm soát này, việc phân bổ vai trò phải được chính thức hóa và ghi chép lại, ví dụ, dưới dạng bảng biểu hoặc dưới dạng sơ đồ tổ chức.
- Tổ chức phải xác định trách nhiệm và nghĩa vụ giải trình về bảo mật thông tin trong tổ chức và phân công chúng cho các chức năng hoặc vai trò quản lý cụ thể.
- Việc kiểm soát này sẽ đảm bảo tính rõ ràng về các vai trò và trách nhiệm khác nhau trong tổ chức, nhằm đảm bảo ban quản lý chú ý đúng mức đến vấn đề bảo mật thông tin.
- Khi thích hợp, cần cung cấp thêm đào tạo cho từng địa điểm và cơ sở xử lý thông tin để giúp hoàn thành các nhiệm vụ này.
Mục đích ở đây là đảm bảo rằng các vai trò, trách nhiệm và thẩm quyền rõ ràng được phân công và hiểu rõ trong toàn bộ tổ chức. Để đảm bảo phân chia nhiệm vụ hiệu quả, các vai trò và trách nhiệm phải được ghi chép, truyền đạt và áp dụng nhất quán trong toàn bộ tổ chức.
Sự khác biệt giữa ISO 27002:2013 và 27002:2022
Như đã chỉ ra, kiểm soát 5.2 trong ISO 27002:2022, Vai trò và trách nhiệm bảo mật thông tin, không phải là kiểm soát mới. Đây chỉ đơn giản là kiểm soát đã sửa đổi được tìm thấy trong ISO 27002:2013 dưới dạng kiểm soát 6.1.1.
Mục đích của Kiểm soát 5.2 đã được xác định và các hướng dẫn triển khai mới đã được đưa vào bản sửa đổi gần đây nhất của ISO 27002. Mặc dù bản chất của hai kiểm soát này về cơ bản là giống nhau, nhưng có một số cải tiến nhỏ trong phiên bản 2022.
Ví dụ, ISO 27002:2022 nêu rằng Cá nhân đảm nhiệm chức năng bảo mật thông tin cụ thể phải có năng lực về kiến thức và kỹ năng theo yêu cầu của vai trò và được hỗ trợ để theo kịp tiến độ liên quan đến vai trò và cần thiết để hoàn thành nghĩa vụ của vai trò. Điểm này không phải là một phần của phiên bản 2013.
Ngoài ra, hướng dẫn triển khai của cả hai phiên bản đều hơi khác nhau. Chúng ta hãy so sánh các phần của hai phiên bản dưới đây:
ISO 27002:2013 nêu rõ các lĩnh vực mà cá nhân phải chịu trách nhiệm. Các lĩnh vực này là:
a) Các tài sản và quy trình bảo mật thông tin phải được xác định và định nghĩa;
b) Cần chỉ định thực thể chịu trách nhiệm cho từng tài sản hoặc quy trình bảo mật thông tin và ghi lại chi tiết về trách nhiệm này;
c) Các cấp độ ủy quyền phải được xác định và ghi chép lại;
d) Để có thể hoàn thành trách nhiệm trong lĩnh vực an ninh thông tin, những cá nhân được bổ nhiệm phải có năng lực trong lĩnh vực này và được trao cơ hội cập nhật thông tin mới nhất;
e) Việc phối hợp và giám sát các khía cạnh bảo mật thông tin trong mối quan hệ với nhà cung cấp phải được xác định và ghi chép lại.
ISO 27002:2022 cô đọng hơn. Nó chỉ nêu rằng tổ chức phải xác định và quản lý trách nhiệm cho:
a) Bảo vệ thông tin và các tài sản liên quan khác;
b) Thực hiện các quy trình bảo mật thông tin cụ thể;
c) Các hoạt động quản lý rủi ro an ninh thông tin và đặc biệt là chấp nhận các rủi ro còn lại (ví dụ đối với chủ sở hữu rủi ro);
d) Tất cả nhân sự sử dụng thông tin của tổ chức và các tài sản liên quan khác.
Tuy nhiên, cả hai phiên bản kiểm soát đều cho rằng các tổ chức có thể chỉ định một người quản lý bảo mật thông tin để chịu trách nhiệm chung về việc phát triển và triển khai bảo mật thông tin và hỗ trợ xác định các biện pháp kiểm soát.
Ai là người chịu trách nhiệm cho quá trình này?
Người quản lý an ninh thông tin thường được các công ty bổ nhiệm để giám sát việc tạo ra và thực hiện các biện pháp bảo mật và hỗ trợ phát hiện các mối đe dọa và biện pháp kiểm soát tiềm ẩn.
Việc cung cấp nguồn lực và đưa ra các biện pháp kiểm soát thường sẽ do từng người quản lý thực hiện. Một thông lệ thường gặp là chỉ định một cá nhân cho mỗi tài sản, sau đó người này sẽ chịu trách nhiệm về vấn đề bảo mật liên tục của tài sản.
