Kiểm soát 5.9 Kiểm kê thông tin và các tài sản liên quan khác là gì?
Kiểm soát 5.9 trong ISO 27002:2022 đã sửa đổi mô tả cách lập và duy trì danh mục thông tin và các tài sản liên quan khác, bao gồm cả chủ sở hữu.
Giải thích về kiểm kê tài sản thông tin
Để thực hiện các hoạt động của mình, tổ chức cần biết mình có những tài sản thông tin nào để sử dụng.
Bản kiểm kê tài sản thông tin (IA) là danh sách mọi thứ mà một tổ chức lưu trữ, xử lý hoặc truyền tải. Nó cũng bao gồm vị trí và các biện pháp kiểm soát bảo mật cho từng mục. Mục tiêu là xác định từng phần dữ liệu. Bạn có thể coi nó như là tương đương kế toán tài chính đối với bảo vệ dữ liệu.
IA có thể được sử dụng để xác định các lỗ hổng trong chương trình bảo mật của bạn và cung cấp thông tin cho các đánh giá rủi ro mạng khi bạn có thể có các lỗ hổng có thể dẫn đến vi phạm. Nó cũng có thể được sử dụng làm bằng chứng trong quá trình kiểm toán tuân thủ rằng bạn đã thực hiện thẩm định cần thiết để xác định dữ liệu nhạy cảm của mình, giúp bạn tránh bị phạt tiền và hình phạt.
Bản kiểm kê tài sản thông tin cũng phải bao gồm thông tin chi tiết về người sở hữu từng tài sản và người quản lý tài sản đó. Nó cũng phải bao gồm thông tin về giá trị của từng mục trong bản kiểm kê và mức độ quan trọng của nó đối với sự thành công của hoạt động kinh doanh của tổ chức.
Điều quan trọng là phải cập nhật thông tin tồn kho để phản ánh những thay đổi trong tổ chức.
Tại sao tôi cần lập danh mục tài sản thông tin?
Quản lý tài sản thông tin có lịch sử lâu đời trong lập kế hoạch duy trì hoạt động kinh doanh (BCP), phục hồi sau thảm họa (DR) và lập kế hoạch ứng phó sự cố.
Bước đầu tiên trong bất kỳ quy trình nào trong số đó bao gồm việc xác định các hệ thống, mạng, cơ sở dữ liệu, ứng dụng, luồng dữ liệu và các thành phần khác quan trọng cần được bảo vệ. Nếu bạn không biết những gì cần được bảo vệ hoặc nơi nó nằm, thì bạn không thể lập kế hoạch bảo vệ nó!
Bảng Thuộc tính
Các điều khiển được phân loại bằng các thuộc tính. Sử dụng các thuộc tính này, bạn có thể nhanh chóng so sánh lựa chọn điều khiển của mình với các thuật ngữ và thông số kỹ thuật thường dùng trong ngành.
Bảng này bổ sung cho công việc mà nhiều khách hàng hiện đang thực hiện như một phần của đánh giá rủi ro và SOA của họ bằng cách xác định tính bảo mật , tính toàn vẹn và tính khả dụng – và các yếu tố khác. Trong control 5.9, các thuộc tính là:
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Nhận dạng | #Quản lý tài sản | #Quản trị và Hệ sinh thái #Bảo vệ |
Mục đích của Control 5.9 là gì?
Mục đích của biện pháp kiểm soát này là xác định thông tin của tổ chức và các tài sản liên quan khác để bảo vệ an ninh thông tin và chỉ định quyền sở hữu phù hợp.
Kiểm soát 5.9 bao gồm hướng dẫn kiểm soát, mục đích và triển khai để tạo ra kho thông tin và các tài sản liên quan khác theo khuôn khổ ISMS theo định nghĩa của ISO 27001.
Việc kiểm soát đòi hỏi phải kiểm kê tất cả thông tin và các tài sản liên quan khác, phân loại chúng thành các danh mục riêng biệt, xác định chủ sở hữu và ghi lại các biện pháp kiểm soát đã hoặc nên áp dụng.
Đây là bước quan trọng để đảm bảo mọi tài sản thông tin đều được bảo vệ đầy đủ.
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Để đáp ứng các yêu cầu của ISO 27002:2022 mới , bạn cần xác định thông tin và các tài sản liên quan khác trong tổ chức của mình. Sau đó, bạn nên xác định tầm quan trọng của các mục này về mặt bảo mật thông tin. Nếu phù hợp, tài liệu nên được lưu giữ trong các kho lưu trữ chuyên dụng hoặc hiện có.
Cách tiếp cận để xây dựng kho lưu trữ sẽ khác nhau tùy thuộc vào quy mô và mức độ phức tạp của tổ chức, các biện pháp kiểm soát và chính sách hiện có cũng như các loại thông tin và tài sản liên quan khác mà tổ chức sử dụng.
Theo kiểm soát 5.9, danh mục thông tin và các tài sản liên quan khác phải chính xác, cập nhật, nhất quán và phù hợp với các danh mục khác. Các tùy chọn để đảm bảo tính chính xác của danh mục thông tin và các tài sản liên quan khác bao gồm:
a) tiến hành đánh giá thường xuyên thông tin đã xác định và các tài sản liên quan khác so với danh mục tài sản;
b) tự động thực hiện cập nhật hàng tồn kho trong quá trình cài đặt, thay đổi hoặc xóa tài sản.
Vị trí của tài sản phải được đưa vào kiểm kê một cách thích hợp.
Một số tổ chức có thể cần duy trì nhiều kho lưu trữ cho các mục đích khác nhau. Ví dụ, một số tổ chức có kho lưu trữ dành riêng cho giấy phép phần mềm hoặc cho thiết bị vật lý như máy tính xách tay và máy tính bảng.
Những người khác có thể có một kho duy nhất bao gồm tất cả các thiết bị vật lý, bao gồm các thiết bị mạng như bộ định tuyến và bộ chuyển mạch. Điều quan trọng là bất kỳ kho nào như vậy đều được xem xét thường xuyên để đảm bảo rằng chúng được cập nhật để có thể được sử dụng để hỗ trợ các hoạt động quản lý rủi ro .
Bạn có thể tìm hiểu thêm thông tin về việc đáp ứng các yêu cầu kiểm soát 5.9 trong tài liệu ISO 27002:2022 mới.
Sự khác biệt giữa ISO 27002:2013 và ISO 27002:2022
Trong ISO 27002: 2022, 57 biện pháp kiểm soát từ ISO 27002: 2013 đã được hợp nhất thành 24 biện pháp kiểm soát. Vì vậy, bạn sẽ không tìm thấy biện pháp kiểm soát 5.9 là Kiểm kê thông tin và các tài sản liên quan khác trong phiên bản 2013. Thay vào đó, trong phiên bản 2022, đó là sự kết hợp của biện pháp kiểm soát 8.1.1 Kiểm kê tài sản và biện pháp kiểm soát 8.1.2 Quyền sở hữu tài sản.
Mục đích kiểm soát 8.1.1 Kiểm kê tài sản là để đảm bảo rằng tất cả tài sản thông tin đều được xác định, ghi chép và xem xét thường xuyên, đồng thời có các quy trình và thủ tục thích hợp để đảm bảo việc kiểm kê này an toàn.
Kiểm soát 8.1.2 Quyền sở hữu tài sản có trách nhiệm đảm bảo rằng tất cả các tài sản thông tin do họ kiểm soát đều được xác định và sở hữu đúng cách. Biết ai sở hữu những gì có thể giúp bạn xác định tài sản nào bạn cần bảo vệ và bạn cần phải chịu trách nhiệm với ai.
Trong khi cả hai biện pháp kiểm soát trong ISO 27002:2013 đều tương tự như biện pháp kiểm soát 5.9 trong ISO 27002:2022, biện pháp sau đã được mở rộng để cho phép diễn giải thân thiện hơn với người dùng. Ví dụ, hướng dẫn triển khai quyền sở hữu tài sản trong biện pháp kiểm soát 8.1.2 nêu rằng chủ sở hữu tài sản phải:
a) Đảm bảo tài sản được kiểm kê;
b) Đảm bảo tài sản được phân loại và bảo vệ phù hợp;
c) Xác định và định kỳ xem xét các hạn chế và phân loại quyền truy cập vào các tài sản quan trọng, có tính đến các chính sách kiểm soát quyền truy cập hiện hành;
d) Đảm bảo xử lý đúng cách khi tài sản bị xóa hoặc phá hủy.
4 điểm này đã được mở rộng thành 9 điểm trong phần quyền sở hữu của quyền kiểm soát 5.9.
Chủ sở hữu tài sản phải chịu trách nhiệm quản lý tài sản một cách phù hợp trong toàn bộ vòng đời của tài sản, đảm bảo rằng:
a) Thông tin và các tài sản liên quan khác được kiểm kê;
b) Thông tin và các tài sản liên quan khác được phân loại và bảo vệ phù hợp;
c) Việc phân loại được xem xét định kỳ;
d) Các thành phần hỗ trợ tài sản công nghệ được liệt kê và liên kết, chẳng hạn như cơ sở dữ liệu, lưu trữ, thành phần phần mềm và các thành phần phụ;
e) Các yêu cầu về việc sử dụng thông tin và các tài sản liên quan khác (xem 5.10) được thiết lập;
f) Các hạn chế tiếp cận phải phù hợp với phân loại và có hiệu lực cũng như được xem xét định kỳ;
g) Thông tin và các tài sản liên quan khác, khi bị xóa hoặc xử lý, sẽ được xử lý theo cách an toàn và được loại khỏi kho;
h) Họ tham gia vào việc xác định và quản lý rủi ro liên quan đến tài sản của họ;
i) Họ hỗ trợ nhân sự có vai trò và trách nhiệm quản lý thông tin của họ .
Việc kết hợp hai điều khiển này thành một giúp người dùng hiểu rõ hơn.
Những thay đổi này có ý nghĩa gì đối với bạn?
Các sửa đổi mới nhất của ISO 27002 không ảnh hưởng đến chứng nhận hiện tại của bạn đối với các tiêu chuẩn ISO 27001. Các bản nâng cấp ISO 27001 là bản duy nhất có ảnh hưởng đến các chứng nhận hiện có và các tổ chức công nhận sẽ hợp tác với các tổ chức cấp chứng chỉ để phát triển một chu kỳ chuyển đổi nhằm cung cấp cho các tổ chức có chứng chỉ ISO 27001 đủ thời gian để chuyển từ phiên bản này sang phiên bản khác.
Nói như vậy, các bước sau đây cần được thực hiện để đáp ứng phiên bản đã sửa đổi:
- Đảm bảo công ty của bạn tuân thủ yêu cầu mới bằng cách xem xét sổ đăng ký rủi ro và các hoạt động quản lý rủi ro của mình.
- SoA cần được sửa đổi để phản ánh những thay đổi trong Phụ lục A.
- Chính sách và quy trình của bạn cần được cập nhật để tuân thủ các quy định mới.
Các phương pháp hay nhất và chất lượng mới để lựa chọn kiểm soát sẽ có sẵn trong thời gian chuyển đổi sang tiêu chuẩn mới, cho phép quá trình lựa chọn hiệu quả và hiệu suất hơn.
Vì lý do này, bạn nên tiếp tục áp dụng phương pháp tiếp cận dựa trên rủi ro để đảm bảo chỉ những biện pháp kiểm soát phù hợp và hiệu quả nhất mới được lựa chọn cho doanh nghiệp của bạn .
