Kiểm soát ISO 27002:2022 5.3 — Phân chia nhiệm vụ, trước đây gọi là kiểm soát 6.1.2 trong ISO 27002:2013 định nghĩa hệ thống trong đó các nhiệm vụ xung đột và các lĩnh vực trách nhiệm xung đột được tách biệt.
Kiểm soát 5.3 Phân chia nhiệm vụ là gì?
Giải thích về các nhiệm vụ và lĩnh vực trách nhiệm xung đột
Mỗi tổ chức đều có một bộ chính sách và quy trình (P&P) quản lý hoạt động nội bộ của mình. P&P được cho là phải được ghi chép lại, nhưng thường thì không.
Nếu các P&P này không rõ ràng hoặc không được truyền đạt tốt, kết quả là sự nhầm lẫn giữa các nhân viên về các lĩnh vực trách nhiệm của họ. Điều này có thể trở nên tồi tệ hơn khi các nhân viên có trách nhiệm chồng chéo hoặc các lĩnh vực trách nhiệm xung đột.
Xung đột có thể xảy ra khi hai hoặc nhiều nhân viên có trách nhiệm tương tự hoặc khác nhau đối với một nhiệm vụ cụ thể. Khi điều này xảy ra, các nhân viên có thể làm cùng một việc hai lần hoặc làm những việc khác nhau làm mất đi nỗ lực của nhau. Điều này lãng phí tài nguyên của công ty và làm giảm năng suất, ảnh hưởng đến cả lợi nhuận và tinh thần của công ty.
Để đảm bảo tổ chức của bạn không gặp phải vấn đề này, điều quan trọng là phải hiểu những lĩnh vực trách nhiệm xung đột là gì, tại sao chúng xảy ra và làm thế nào bạn có thể ngăn chặn chúng xảy ra trong tổ chức của mình. Về cơ bản, điều này có nghĩa là phân chia nhiệm vụ để những người khác nhau đảm nhiệm các vai trò khác nhau trong tổ chức .
Bảng Thuộc tính
Các điều khiển được phân loại theo các thuộc tính của chúng. Các thuộc tính giúp bạn căn chỉnh lựa chọn điều khiển của mình với các tiêu chuẩn và ngôn ngữ của ngành. Trong điều khiển 5.3, các thuộc tính này là:
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #Quản trị #Quản lý danh tính và quyền truy cập | #Quản trị và Hệ sinh thái |
Mục đích của Control 5.3 là gì?
Mục đích của việc kiểm soát 5.3 Phân chia nhiệm vụ trong ISO 27002 là giảm thiểu rủi ro gian lận, sai sót và bỏ qua các biện pháp kiểm soát bảo mật thông tin bằng cách đảm bảo phân tách các nhiệm vụ xung đột.
Giải thích về Kiểm soát 5.3
Kiểm soát 5.3 bao gồm hướng dẫn thực hiện phân chia nhiệm vụ và trách nhiệm trong một tổ chức theo khuôn khổ của ISO 27001 .
Nguyên tắc này bao gồm việc chia nhỏ các nhiệm vụ chính thành các nhiệm vụ phụ và giao cho những người khác nhau. Điều này tạo ra một hệ thống kiểm tra và cân bằng có thể giảm nguy cơ xảy ra lỗi hoặc gian lận.
Kiểm soát được thiết kế để ngăn chặn một cá nhân có thể thực hiện, che giấu và biện minh cho các hành động không phù hợp, do đó giảm nguy cơ gian lận hoặc lỗi. Nó cũng ngăn chặn một cá nhân có thể vượt qua các biện pháp kiểm soát bảo mật thông tin.
Nếu một nhân viên có tất cả các quyền cần thiết cho một nhiệm vụ cụ thể thì nguy cơ gian lận hoặc lỗi cao hơn vì một người có thể làm mọi thứ mà không cần bất kỳ sự kiểm tra và cân bằng nào. Tuy nhiên, nếu không có một người nào có tất cả các quyền truy cập cần thiết cho một nhiệm vụ cụ thể, điều này sẽ làm giảm nguy cơ một nhân viên có thể gây ra thiệt hại đáng kể hoặc tổn thất tài chính.
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Nhiệm vụ và phạm vi trách nhiệm không được phân định rõ ràng có thể dẫn đến gian lận, sử dụng sai mục đích, truy cập không phù hợp và các sự cố bảo mật khác .
Ngoài ra, cần phân chia nhiệm vụ để giảm thiểu rủi ro liên quan đến khả năng thông đồng giữa các cá nhân. Những rủi ro này tăng lên khi không có đủ biện pháp kiểm soát để ngăn ngừa hoặc phát hiện thông đồng.
Để đáp ứng các yêu cầu kiểm soát 5.3 trong ISO 27002:2022, tổ chức phải xác định nhiệm vụ và lĩnh vực trách nhiệm nào cần được phân tách và áp dụng các biện pháp kiểm soát phân tách khả thi.
Trong trường hợp không thể kiểm soát như vậy, đặc biệt là đối với các tổ chức nhỏ có ít nhân viên, có thể sử dụng giám sát hoạt động, theo dõi kiểm toán và giám sát quản lý . Đối với các tổ chức lớn hơn, có thể sử dụng các công cụ tự động để xác định và phân tách các vai trò để không giao các vai trò xung đột cho mọi người.
Sự khác biệt giữa ISO 27002:2013 và ISO 27002:2022
Kiểm soát số 5.3 Phân chia nhiệm vụ trong ISO 27002:2022 không phải là kiểm soát mới. Nó chỉ đơn giản là phiên bản cải tiến của kiểm soát 6.1.2 Phân chia nhiệm vụ có trong ISO 27002:2013.
Những điều cơ bản của Phân chia nhiệm vụ giống nhau trong cả kiểm soát 5.3 ISO 27002:2022 và kiểm soát 6.1.2 ISO 27002:2013. Tuy nhiên, phiên bản mới mô tả một tập hợp các hoạt động yêu cầu phân chia khi triển khai kiểm soát này.
Các hoạt động này là:
a) khởi xướng, phê duyệt và thực hiện thay đổi;
b) yêu cầu, phê duyệt và thực hiện quyền truy cập;
c) thiết kế, triển khai và xem xét mã;
d) phát triển phần mềm và quản lý hệ thống sản xuất;
e) sử dụng và quản lý các ứng dụng;
f) sử dụng ứng dụng và quản lý cơ sở dữ liệu;
g) thiết kế, kiểm tra và đảm bảo kiểm soát an ninh thông tin .
Ai là người chịu trách nhiệm cho quá trình này?
Có nhiều người chịu trách nhiệm phân công nhiệm vụ trong ISO 27002. Đầu tiên, một thành viên cấp cao của nhóm quản lý phải tham gia để đảm bảo rằng đánh giá rủi ro ban đầu đã được hoàn thành.
Sau đó, các quy trình bao gồm các bộ phận khác nhau của tổ chức nên được phân bổ cho các nhóm nhân viên đủ tiêu chuẩn khác nhau. Để ngăn chặn nhân viên gian lận phá hoại an ninh công ty, điều này thường được thực hiện bằng cách phân công nhiệm vụ cho các đơn vị làm việc khác nhau và phân chia các hoạt động bảo trì và vận hành liên quan đến CNTT.
Cuối cùng, việc phân công nhiệm vụ không thể được thiết lập đúng đắn nếu không có chương trình kiểm toán CNTT phù hợp, chiến lược quản lý rủi ro hiệu quả cũng như môi trường kiểm soát phù hợp.
