Hồ sơ là một khái niệm mơ hồ khiến một số tổ chức gặp khó khăn trong việc phân loại và quản lý vì mục đích tuân thủ.
Hồ sơ, trong phạm vi CNTT, là một thuật ngữ khác để chỉ dữ liệu và thông tin mà một tổ chức lưu giữ và/hoặc sử dụng để thực hiện các hoạt động kinh doanh hàng ngày, bao gồm (nhưng không giới hạn ở):
- Sự kiện cá nhân
- Giao dịch
- Quy trình làm việc
- Các hoạt động
- Chức năng
ISO định nghĩa hồ sơ trong phạm vi tiêu chuẩn của họ là “bất kỳ tập hợp thông tin nào, bất kể cấu trúc hoặc hình thức”, bao gồm “một tài liệu, một tập hợp dữ liệu hoặc các loại thông tin khác được tạo ra, thu thập và quản lý trong quá trình kinh doanh”, bao gồm siêu dữ liệu của hồ sơ.
Mục đích của Kiểm soát 5.33
Bất kỳ tổ chức nào cũng có nghĩa vụ đảm bảo rằng dữ liệu mình nắm giữ – bao gồm nhưng không giới hạn ở bất kỳ cá nhân, thông tin tài chính hoặc lĩnh vực hoạt động nào – được giữ an toàn và bảo mật , đồng thời các quy trình nội bộ vẫn tuân thủ mọi yêu cầu hiện hành.
Điều khiển 5.33 liên quan đến việc bảo vệ hồ sơ kinh doanh trước 5 sự kiện chính:
- Sự mất mát
- Sự phá hủy
- Sự làm giả
- Truy cập trái phép
- Phát hành hoặc công bố trái phép
Bảng Thuộc tính
Kiểm soát 5.33 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách tạo ra các hướng dẫn và quy trình – bao gồm lịch trình lưu giữ – đáp ứng các yêu cầu pháp lý, quy định, quy định và hợp đồng của tổ chức liên quan đến việc bảo vệ và tính khả dụng của mọi hồ sơ mà tổ chức lưu giữ.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Xác định #Bảo vệ | #Pháp lý và Tuân thủ #Quản lý Tài sản #Bảo vệ Thông tin | #Phòng thủ |
Hướng dẫn chung về Kiểm soát 5.33
Tiêu chuẩn kiểm soát 5.33 thừa nhận rằng nhu cầu của một tổ chức là khác nhau khi nói đến số lượng và loại hồ sơ cần thiết để thực hiện công việc kinh doanh từ ngày này sang ngày khác.
Do đó, Control 5.33 phân loại quản lý hồ sơ thành 4 thuộc tính chính:
- Tính xác thực
- Độ tin cậy
- Chính trực
- Khả năng sử dụng
Trong phạm vi các thuộc tính này, Kiểm soát 5.33 yêu cầu các tổ chức:
- Soạn thảo và công bố các hướng dẫn liên quan đến bốn chức năng chính, cùng với các chính sách cụ thể theo chủ đề đáp ứng bản chất cơ bản của hồ sơ đang được đề cập:
a) Lưu trữ hồ sơ
b) Xử lý hồ sơ theo chuỗi lưu ký
c) Xử lý hồ sơ
d) Ngăn chặn thao túng - Duy trì lịch trình lưu giữ hồ sơ chức năng, nêu rõ thời hạn lưu giữ các loại hồ sơ khác nhau, liên quan đến chức năng kinh doanh riêng của từng hồ sơ.
- Tạo các thủ tục lưu trữ và xử lý có tính đến:
a) bất kỳ luật hiện hành nào liên quan đến việc lưu giữ hồ sơ thương mại
b) kỳ vọng của “cộng đồng và xã hội” về cách một tổ chức nên xử lý hồ sơ của mình - Thực hiện các thủ tục hủy hồ sơ một cách an toàn và phù hợp ngay khi hồ sơ không còn cần thiết nữa (sau khi hết thời gian lưu giữ).
- Phân loại hồ sơ để bảo vệ (bao gồm thời gian lưu giữ phù hợp và phương tiện lưu trữ được sử dụng) dựa trên rủi ro bảo mật của chúng và nhiều loại khác nhau, bao gồm (nhưng không giới hạn ở):
a) Hồ sơ kế toán
b) Giao dịch kinh doanh
c) Hồ sơ nhân sự
d) Hồ sơ pháp lý - Đảm bảo rằng mọi quy trình lưu trữ đều đáp ứng được khung thời gian có thể chấp nhận được để truy xuất, trong trường hợp tổ chức được bên thứ ba yêu cầu xuất trình hoặc để sử dụng nội bộ.
- Khi sử dụng phương tiện điện tử để lưu trữ hồ sơ, hãy cân nhắc và giảm thiểu khả năng truy cập hoặc truy xuất hồ sơ bị hạn chế do các sửa đổi về công nghệ, bao gồm cả việc lưu giữ thông tin mật mã (xem Kiểm soát 8.24).
- Tuân thủ hướng dẫn của nhà sản xuất khi lưu trữ hoặc xử lý hồ sơ trên hoặc thông qua phương tiện điện tử, bao gồm cả việc cân nhắc đầy đủ đến khả năng suy giảm tự nhiên của phương tiện đó.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022-5.33 thay thế 27002:2013-18.1.3 (Bảo vệ hồ sơ), với nhiều nội dung bổ sung dưới dạng các điểm hướng dẫn riêng lẻ và quy trình chung cần tuân thủ.
Trong bản kiểm soát năm 2022, ISO thừa nhận tầm quan trọng của việc xác định những gì cấu thành nên hồ sơ kinh doanh. 27002:2022-5.33 chứa nhiều ví dụ về những gì ISO coi là hồ sơ (xem ở trên), không có trong 27002:2013-18.1.3.
Tiêu chuẩn kiểm soát 5.33 cũng tập trung sự chú ý của tổ chức vào hai điểm hướng dẫn chính không có trong tiêu chuẩn năm 2013 (hướng dẫn 1 và 2 ở trên), từ đó tạo thành cơ sở cho chính sách lưu trữ hồ sơ của tổ chức – cụ thể là lịch trình lưu giữ quy định thời gian lưu giữ hồ sơ và bất kỳ yêu cầu cụ thể nào về phương tiện truyền thông.
Siêu dữ liệu cũng lần đầu tiên xuất hiện trong quản lý hồ sơ. 27002:2013-18.1.3 không đề cập đến siêu dữ liệu, trong khi 27002:2022-5.33 coi siêu dữ liệu là một “thành phần thiết yếu”.
