ISO 27002:2022 , kiểm soát 5.4, Trách nhiệm của ban quản lý bao gồm nhu cầu của ban quản lý nhằm đảm bảo rằng tất cả nhân viên đều tuân thủ mọi chính sách và quy trình cụ thể về chủ đề bảo mật thông tin như được xác định trong chính sách bảo mật thông tin đã thiết lập của tổ chức.
Kiểm soát là gì 5.4 Trách nhiệm của ban quản lý
Chính sách bảo mật thông tin là gì?
Chính sách bảo mật thông tin là một văn bản chính thức cung cấp định hướng quản lý, mục tiêu và nguyên tắc để bảo vệ thông tin của một tổ chức. Một chính sách bảo mật thông tin hiệu quả phải được điều chỉnh theo nhu cầu cụ thể của một tổ chức và được ban quản lý cấp cao hỗ trợ để đảm bảo phân bổ nguồn lực phù hợp.
Chính sách này truyền đạt các nguyên tắc chung về cách ban quản lý muốn nhân viên xử lý dữ liệu nhạy cảm và cách công ty sẽ bảo vệ tài sản thông tin của mình .
Chính sách thường bắt nguồn từ luật pháp, quy định và thông lệ tốt nhất mà tổ chức phải tuân thủ. Chính sách bảo mật thông tin thường được ban quản lý cấp cao của tổ chức tạo ra, với sự tham gia của đội ngũ bảo mật CNTT.
Các chính sách cũng nên bao gồm khuôn khổ để xác định vai trò và trách nhiệm cũng như mốc thời gian để xem xét định kỳ.
Bảng Thuộc tính
Thuộc tính là một cách để phân loại các loại điều khiển khác nhau. Các thuộc tính này cho phép bạn căn chỉnh các điều khiển của mình với các tiêu chuẩn của ngành. Trong control 5.4, chúng là:
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Nhận dạng | #Quản trị | #Quản trị và Hệ sinh thái |
Mục đích của Control 5.4 là gì?
Biện pháp kiểm soát 5.4 được thiết kế để đảm bảo rằng ban quản lý hiểu rõ trách nhiệm của mình trong bảo mật thông tin và thực hiện các bước để đảm bảo tất cả nhân viên đều nhận thức và thực hiện đầy đủ nghĩa vụ bảo mật thông tin của mình.
Kiểm soát 5.4 Giải thích
Thông tin là tài sản có giá trị và phải được bảo vệ khỏi mất mát, hư hỏng hoặc sử dụng sai mục đích. Tổ chức phải đảm bảo thực hiện các biện pháp thích hợp để bảo vệ tài sản này. Để làm được như vậy, ban quản lý phải đảm bảo rằng tất cả nhân viên đều áp dụng tất cả chính sách bảo mật thông tin, chính sách và quy trình cụ thể theo chủ đề của tổ chức.
Kiểm soát 5.4 bao gồm mục đích và hướng dẫn thực hiện để xác định trách nhiệm quản lý liên quan đến bảo mật thông tin trong một tổ chức theo khuôn khổ của ISO 27001 .
Kiểm soát này nhằm đảm bảo rằng ban quản lý tham gia vào chương trình bảo mật thông tin và tất cả nhân viên và nhà thầu đều biết và tuân thủ chính sách bảo mật thông tin của tổ chức. Không ai được miễn trừ khỏi việc tuân thủ bắt buộc các chính sách bảo mật, chính sách và quy trình cụ thể theo chủ đề của tổ chức.
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Chìa khóa để đáp ứng các yêu cầu kiểm soát này là đảm bảo rằng ban quản lý có thể buộc tất cả nhân viên có liên quan tuân thủ các chính sách, tiêu chuẩn và quy trình bảo mật thông tin của tổ chức.
Bước đầu tiên là sự ủng hộ và tham gia của ban quản lý. Ban quản lý phải chứng minh cam kết của mình bằng cách thực hiện tất cả các chính sách và quy trình đã đề ra. Ví dụ, nếu bạn yêu cầu nhân viên tham gia các khóa đào tạo nhận thức về an ninh hàng năm , thì các nhà quản lý phải làm gương và hoàn thành các khóa học đó trước.
Tiếp theo là truyền đạt tầm quan trọng của bảo mật thông tin cho mọi người trong công ty, bất kể vai trò của họ. Điều này bao gồm hội đồng quản trị, giám đốc điều hành và ban quản lý, cũng như nhân viên. Mọi người phải hiểu vai trò của mình trong việc duy trì bảo mật dữ liệu nhạy cảm như được đề cập trong chương trình ISMS của công ty .
Sự khác biệt giữa ISO 27002:2013 và ISO 27002:2022
ISO 27002:2022 kiểm soát 5.4 Trách nhiệm quản lý trước đây được gọi là kiểm soát 7.2.1 Trách nhiệm quản lý trong ISO 27002:2013. Đây không phải là kiểm soát mới mà là cách diễn giải chặt chẽ hơn của phiên bản 2013.
Trong khi control 5.4 và control 7.2.1 bao gồm chung một vấn đề, có một số khác biệt mà các tổ chức và nhà quản lý doanh nghiệp cần lưu ý. Những khác biệt này được đề cập trong hướng dẫn triển khai control.
Kiểm soát 5.4 ISO 27002:2013-2022 Hướng dẫn triển khai so sánh
Trong ISO 27002: 2013, trách nhiệm quản lý bao gồm đảm bảo rằng nhân viên và nhà thầu:
a) Được thông báo đầy đủ về vai trò và trách nhiệm bảo mật thông tin của mình trước khi được cấp quyền truy cập vào thông tin bí mật hoặc hệ thống thông tin;
b) Được cung cấp hướng dẫn để nêu rõ kỳ vọng về bảo mật thông tin liên quan đến vai trò của họ trong
Tổ chức;
c) Có động lực thực hiện các chính sách bảo mật thông tin của tổ chức;
d) Đạt được mức độ nhận thức về an ninh thông tin liên quan đến vai trò và trách nhiệm của họ trong tổ chức;
e) Tuân thủ các điều khoản và điều kiện tuyển dụng, bao gồm chính sách bảo mật thông tin của tổ chức và các phương pháp làm việc phù hợp;
f) Tiếp tục có các kỹ năng và trình độ phù hợp và được đào tạo thường xuyên;
g) Được cung cấp kênh báo cáo ẩn danh để báo cáo các hành vi vi phạm chính sách hoặc thủ tục bảo mật thông tin (“tố cáo”).
Ban quản lý phải thể hiện sự ủng hộ đối với các chính sách, quy trình và biện pháp kiểm soát bảo mật thông tin và đóng vai trò làm gương.
Phiên bản Control 5.4 thân thiện hơn với người dùng và yêu cầu trách nhiệm quản lý phải đảm bảo rằng nhân viên và nhà thầu:
a) Được thông báo đầy đủ về vai trò và trách nhiệm bảo mật thông tin của mình trước khi được cấp quyền truy cập vào thông tin của tổ chức và các tài sản liên quan khác;
b) Được cung cấp hướng dẫn nêu rõ kỳ vọng về bảo mật thông tin đối với vai trò của họ trong tổ chức;
c) Có trách nhiệm thực hiện chính sách bảo mật thông tin và các chính sách cụ thể theo chủ đề của tổ chức;
d) Đạt được mức độ nhận thức về an ninh thông tin liên quan đến vai trò và trách nhiệm của họ trong tổ chức;
e) Tuân thủ các điều khoản và điều kiện tuyển dụng, hợp đồng hoặc thỏa thuận, bao gồm chính sách bảo mật thông tin của tổ chức và các phương pháp làm việc phù hợp;
f) Tiếp tục có các kỹ năng và trình độ bảo mật thông tin phù hợp thông qua đào tạo chuyên môn liên tục;
g) Khi có thể, được cung cấp một kênh bảo mật để báo cáo các hành vi vi phạm chính sách bảo mật thông tin, các chính sách hoặc thủ tục cụ thể về chủ đề bảo mật thông tin (“tố giác”). Điều này có thể cho phép báo cáo ẩn danh hoặc có các điều khoản đảm bảo rằng chỉ những người cần xử lý các báo cáo đó mới biết danh tính của người báo cáo;
h) Được cung cấp đủ nguồn lực và thời gian lập kế hoạch dự án để thực hiện các quy trình và biện pháp kiểm soát liên quan đến an ninh của tổ chức.
Như bạn có thể thấy, ISO 27002:2022 yêu cầu cụ thể rằng để thực hiện các quy trình và biện pháp kiểm soát liên quan đến an ninh của tổ chức, người lao động và nhà thầu phải được cung cấp các nguồn lực cần thiết cũng như thời gian lập kế hoạch dự án.
Các từ ngữ trong một số hướng dẫn triển khai của ISO 27002:2013 so với ISO 27002:2020 cũng bị ảnh hưởng. Trong khi hướng dẫn C của phiên bản 2013 nêu rằng nhân viên và nhà thầu phải “có động lực” áp dụng các chính sách ISMS của công ty, thì năm 2022 sử dụng từ “bắt buộc”
Ai là người chịu trách nhiệm cho quá trình này?
Câu trả lời cho câu hỏi này khá đơn giản: ban quản lý! Ban quản lý có trách nhiệm đảm bảo triển khai ISMS (Hệ thống quản lý bảo mật thông tin) phù hợp.
Điều này thường được hỗ trợ bằng việc bổ nhiệm một người quản lý an ninh thông tin có trình độ và kinh nghiệm phù hợp, người sẽ chịu trách nhiệm trước ban quản lý cấp cao về việc phát triển, triển khai, quản lý và liên tục cải tiến ISMS.
