ISO 27002:2022, Kiểm soát 5.5 – Liên hệ với các cơ quan chức năng

Tiêu chuẩn kiểm soát 5.5 của ISO 27002:2022 quy định rằng một tổ chức phải thiết lập và duy trì quy trình liên hệ với các cơ quan có thẩm quyền phù hợp với các yêu cầu pháp lý, quy định và hợp đồng mà tổ chức đó hoạt động.

Kiểm soát 5.5 Liên hệ với chính quyền là gì?

Các điều khiển được phân loại bằng các thuộc tính. Sử dụng các thuộc tính này, bạn có thể nhanh chóng khớp lựa chọn điều khiển của mình với các thuật ngữ và thông số kỹ thuật thường dùng trong ngành. Đây là những thuật ngữ và thông số kỹ thuật có trong điều khiển 5.5.

Bảng Thuộc tính

Mục đích của Control 5.5 là gì?

Mục đích của Kiểm soát 5.5 là đảm bảo luồng thông tin phù hợp diễn ra liên quan đến bảo mật thông tin giữa tổ chức và các cơ quan pháp lý, quản lý và giám sát có liên quan. Một diễn đàn thích hợp để đối thoại và hợp tác giữa Công ty và các cơ quan pháp lý, quản lý và giám sát có liên quan phải được thiết lập.

Biện pháp kiểm soát 5.5 bao gồm các yêu cầu, mục đích và hướng dẫn triển khai về cách xác định và báo cáo các sự kiện bảo mật thông tin một cách kịp thời, cũng như người và cách liên hệ trong trường hợp xảy ra sự cố.

Mục tiêu của kiểm soát 5.5 là xác định những bên liên quan nào (ví dụ: cơ quan thực thi pháp luật, cơ quan quản lý, cơ quan giám sát) cần được liên hệ trong trường hợp xảy ra sự kiện bảo mật. Điều quan trọng là bạn đã xác định được những bên liên quan này trước khi sự cố xảy ra.

Liên hệ với Cơ quan chức năng có nghĩa là tổ chức phải thiết lập và thực hiện liên lạc không chính thức với các cơ quan chức năng liên quan đến các vấn đề bảo mật thông tin, bao gồm:

• Liên tục trao đổi với các cơ quan có thẩm quyền để đảm bảo tổ chức nhận thức được các mối đe dọa và lỗ hổng hiện tại.
• Thông báo cho các cơ quan có thẩm quyền về các lỗ hổng được phát hiện trong sản phẩm, dịch vụ hoặc hệ thống của tổ chức.
• Nhận thông tin từ các cơ quan có thẩm quyền về các mối đe dọa và lỗ hổng.

Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu

Mục tiêu chính của biện pháp kiểm soát 5.5 là thiết lập mối quan hệ của tổ chức với các cơ quan thực thi pháp luật liên quan đến việc quản lý rủi ro bảo mật thông tin .

Để đáp ứng các yêu cầu kiểm soát 5.5, dự kiến ​​nếu phát hiện sự cố bảo mật thông tin , tổ chức phải chỉ rõ thời điểm và cơ quan nào (như cơ quan thực thi pháp luật, cơ quan quản lý và cơ quan giám sát) phải được thông báo, cũng như cách thức báo cáo kịp thời các sự cố bảo mật thông tin đã xác định.

Việc trao đổi thông tin với các cơ quan chức năng cũng nên được sử dụng để hiểu rõ hơn về kỳ vọng hiện tại và tương lai của các cơ quan này (ví dụ: các quy định bảo mật thông tin hiện hành).

Yêu cầu này được thiết kế nhằm đảm bảo rằng tổ chức có chiến lược thống nhất về mối quan hệ với các cơ quan thực thi pháp luật và đã xác định được điểm liên hệ phù hợp nhất tại các cơ quan này.

Việc liên hệ với các cơ quan quản lý cũng hữu ích để dự đoán và chuẩn bị cho những thay đổi sắp tới về luật pháp hoặc quy định có liên quan ảnh hưởng đến tổ chức.

Sự khác biệt giữa ISO 27002:2013 và ISO 27002:2022

Kiểm soát 5.5: Liên hệ với các cơ quan chức năng không phải là một bổ sung mới trong ISO 27002:2022. Đây là một kiểm soát hiện có trong ISO 27002:2013 gốc với số kiểm soát 6.1.3. Điều này có nghĩa là số kiểm soát đã được thay đổi trong phiên bản mới của ISO 27002 .

Ngoài việc thay đổi số kiểm soát, cách diễn đạt cũng đã được thay đổi. Trong đó, kiểm soát 5.5 nêu rằng “Tổ chức phải thiết lập và duy trì liên lạc với các cơ quan có thẩm quyền có liên quan”. Kiểm soát 6.1.3 nêu rằng “Cần duy trì liên lạc phù hợp với các cơ quan có thẩm quyền có liên quan”. Thay đổi trong cách diễn đạt này được thiết kế để làm cho kiểm soát này thân thiện hơn với người dùng.

Trong phiên bản 2022, mục đích kiểm soát đã được đưa vào. Tính năng này không có trong phiên bản 2013.

Đồng thời, trong khi bản chất của cả hai biện pháp kiểm soát vẫn giống nhau, vẫn có những khác biệt tinh tế giúp phân biệt chúng với nhau.

Kiểm soát 5.5 trong ISO 27002:2022 bổ sung thêm rằng các liên hệ với các cơ quan chức năng cũng nên được sử dụng để tạo điều kiện hiểu biết về kỳ vọng hiện tại và sắp tới của các cơ quan chức năng này (ví dụ: các quy định bảo mật thông tin hiện hành). Điều này bị thiếu trong phiên bản 2013.

Ai là người chịu trách nhiệm cho quá trình này?

Người chịu trách nhiệm cho vai trò này thường là Giám đốc An ninh Thông tin.

Những cá nhân khác có thể thực hiện chức năng này, nhưng họ phải báo cáo với Quản lý an ninh thông tin để họ có thể giám sát các hoạt động này. Điều này duy trì thông điệp nhất quán và đảm bảo mối quan hệ nhất quán với các cơ quan chức năng.

Những thay đổi này có ý nghĩa gì đối với bạn?

Khi một tiêu chuẩn chứng nhận mới được công bố, thường sẽ có thời gian chuyển đổi. Đối với phần lớn các chu kỳ chứng nhận, thời gian chuyển đổi là từ hai đến ba năm.

Nói như vậy, phiên bản mới nhất của ISO 27002 chắc chắn là cần thiết nếu bạn có ý định triển khai ISMS (và thậm chí có thể cân nhắc chứng nhận ISMS) và bạn cần đảm bảo các biện pháp bảo mật của mình được cập nhật.

Trong số các hoạt động sẽ được thực hiện bao gồm nhưng không giới hạn ở những hoạt động sau:

• Mua tiêu chuẩn mới nhất.
• Kiểm tra tiêu chuẩn mới để xem tiêu chuẩn đã thay đổi như thế nào. Tiêu chuẩn sẽ cung cấp bảng ánh xạ cho thấy tiêu chuẩn mới tương ứng với tiêu chuẩn ISO 27002:2013 như thế nào.
• Tiến hành phân tích rủi ro cũng như phân tích khoảng cách kiểm soát.
  Chọn các biện pháp kiểm soát có liên quan và thay đổi chính sách, tiêu chuẩn và tài liệu ISMS khác của bạn .
• Thực hiện bất kỳ thay đổi cần thiết nào đối với Tuyên bố áp dụng của bạn .
• Bạn nên xem xét lại chương trình kiểm toán nội bộ của mình để phản ánh các biện pháp kiểm soát được cải thiện mà bạn đã chọn.

Vui lòng tham khảo hướng dẫn về ISO 27002:2022 của chúng tôi, nơi bạn có thể khám phá thêm về cách những thay đổi đối với biện pháp kiểm soát 5.5 này sẽ ảnh hưởng đến tổ chức của bạn.