Bảo mật thông tin là khía cạnh cốt lõi trong hoạt động quản trị dữ liệu của một tổ chức.
Nhiều đến mức cần phải loại bỏ sự tự mãn bằng cách tiến hành đánh giá độc lập thường xuyên về cách một tổ chức quản lý con người, quy trình và công nghệ liên quan đến việc duy trì hoạt động bảo mật thông tin hiệu quả .
Mục đích của Kiểm soát 5.35
Biện pháp kiểm soát 5.35 yêu cầu các tổ chức phải tiến hành đánh giá độc lập về các hoạt động bảo mật thông tin của mình – theo các khoảng thời gian đã định và khi có những thay đổi lớn về hoạt động – để đảm bảo rằng các chính sách quản lý bảo mật thông tin:
- Đầy đủ – Họ có khả năng đạt được sự tuân thủ
- Phù hợp – Họ cố gắng đạt được mục tiêu đúng đắn
- Hiệu quả – Chúng hoạt động như mong đợi
Bảng Thuộc tính
Kiểm soát 5.35 là biện pháp kiểm soát phòng ngừa và khắc phục , giúp kiểm soát rủi ro bằng cách tạo ra các quy trình tạo điều kiện cho việc xem xét thường xuyên các hoạt động quản lý bảo mật thông tin của tổ chức.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa #Sửa chữa | #Bảo mật #Toàn vẹn #Khả dụng | #Xác định #Bảo vệ | #Đảm bảo an ninh thông tin | #Quản trị và Hệ sinh thái |
Quyền sở hữu kiểm soát 5.35
Kiểm soát 5.35 chủ yếu giải quyết các vấn đề hoạt động. Do đó, quyền sở hữu phải thuộc về COO hoặc CISO (nếu có).
Hướng dẫn chung về Kiểm soát 5.35
Mục tiêu bao quát là ban quản lý phải tạo ra và triển khai các quy trình phục vụ cho việc đánh giá độc lập các hoạt động bảo mật thông tin của họ.
Đánh giá nên tập trung vào bất kỳ thay đổi nào cần thiết để cải thiện cách tiếp cận của tổ chức đối với bảo mật thông tin , bao gồm:
- Chính sách bảo mật thông tin .
- Chính sách theo chủ đề cụ thể.
- Các điều khiển liên quan.
Bất kỳ đánh giá nào cũng phải được tiến hành bởi một người bên trong hoặc bên ngoài tổ chức, người không có quyền lợi liên quan đến nội dung họ đang điều tra, chẳng hạn như:
- Kiểm toán viên nội bộ.
- Quản lý phòng ban độc lập.
- Các tổ chức bên thứ ba.
Bất kỳ ai tiến hành đánh giá đều phải có năng lực hoạt động phù hợp để đưa ra phán đoán hợp lý về những phát hiện của mình và (trong trường hợp là nhân viên nội bộ) vai trò công việc của họ không được cản trở họ đưa ra đánh giá hợp lệ và chính đáng.
Kết quả đánh giá phải được ghi lại, lưu trữ đầy đủ và báo cáo cho Người quản lý (hoặc nhóm Người quản lý) đã yêu cầu và trong một số trường hợp là báo cáo cho cấp quản lý cấp cao hoặc chủ sở hữu.
Người đánh giá nên tìm cách xác định xem các hoạt động bảo mật thông tin có tuân thủ “mục tiêu và yêu cầu được ghi chép” của tổ chức được nêu trong chính sách bảo mật thông tin hay bất kỳ chính sách cụ thể nào theo chủ đề hay không.
Bên cạnh các đợt đánh giá định kỳ, có thể cần phải bắt đầu các đợt đánh giá đột xuất. Các đợt đánh giá này có thể được biện minh trên 5 lĩnh vực chính:
- Bất kỳ luật lệ, hướng dẫn hoặc quy định nào ảnh hưởng đến hoạt động bảo mật thông tin của tổ chức đều được sửa đổi.
- Xảy ra các sự cố lớn ảnh hưởng đến an ninh thông tin (mất dữ liệu, xâm nhập, v.v.).
- Một doanh nghiệp mới được thành lập hoặc những thay đổi lớn được thực hiện đối với doanh nghiệp hiện tại.
- Tổ chức áp dụng sản phẩm hoặc dịch vụ mới có liên quan đến bảo mật thông tin hoặc thực hiện những thay đổi cơ bản đối với sản phẩm hoặc dịch vụ hiện tại.
- Những thay đổi lớn được thực hiện đối với ngân hàng kiểm soát, chính sách và quy trình bảo mật thông tin của tổ chức.
Hướng dẫn bổ sung
ISO/IEC 27007 và ISO/IEC TS 27008 có hướng dẫn chi tiết hơn về việc thực hành đánh giá độc lập.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022-5.35 thay thế 27002:2013-18.1.2 (Đánh giá độc lập về bảo mật thông tin).
27002:2022-5.35 có cùng hướng dẫn chung như 27002:2013-18.1.2, nhưng tiến xa hơn một bước khi quy định các ví dụ cụ thể về thời điểm một tổ chức nên tiến hành các đánh giá đột xuất, cùng với các đánh giá định kỳ.
