Kiểm soát 6.4 là gì?
ISO 27002:2022 , Kiểm soát 6.4. Quy trình kỷ luật đề cập đến nhu cầu các tổ chức phải đưa ra một số hình thức quy trình kỷ luật để có tác dụng răn đe, nhằm ngăn chặn nhân viên vi phạm an ninh thông tin.
Quá trình này cần được thông báo chính thức và đưa ra hình phạt thích đáng cho nhân viên và các bên liên quan khác vi phạm chính sách bảo mật thông tin .
Giải thích về vi phạm an ninh thông tin
Vi phạm chính sách bảo mật thông tin là vi phạm các quy tắc hoặc luật lệ quản lý việc xử lý thông tin đúng cách. Các chính sách bảo mật thông tin được các tổ chức thiết lập để bảo vệ dữ liệu bí mật, độc quyền và cá nhân, chẳng hạn như hồ sơ khách hàng và số thẻ tín dụng. Các chính sách bảo mật thông tin cũng bao gồm các chính sách bảo mật máy tính giúp đảm bảo tính an toàn và toàn vẹn của dữ liệu được lưu trữ trên máy tính.
Ví dụ, nếu bạn không được cấp trên cho phép sử dụng email công ty để gửi email cá nhân, việc làm đó có thể dẫn đến vi phạm chính sách của công ty. Ngoài ra, nếu bạn mắc lỗi khi sử dụng thiết bị hoặc phần mềm của công ty và gây hư hỏng cho thiết bị hoặc phần mềm đó hoặc dữ liệu được lưu trữ trên đó, thì điều đó cũng có thể được coi là vi phạm chính sách bảo mật thông tin.
Nếu một nhân viên vi phạm chính sách bảo mật thông tin của tổ chức , người đó có thể phải chịu kỷ luật hoặc chấm dứt hợp đồng lao động. Trong một số trường hợp, công ty có thể chọn không chấm dứt hợp đồng lao động với nhân viên vi phạm chính sách sử dụng máy tính của mình, nhưng thay vào đó, thực hiện các biện pháp thích hợp khác để ngăn chặn các hành vi vi phạm chính sách của công ty trong tương lai.
Bảng Thuộc tính
Các điều khiển có thể được nhóm lại bằng các thuộc tính. Khi bạn xem các thuộc tính của điều khiển, bạn có thể dễ dàng liên hệ nó với các yêu cầu và thuật ngữ đã thiết lập của ngành. Các thuộc tính sau đây nằm trong điều khiển 6.4.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa #Sửa chữa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ #Phản hồi | #An ninh nguồn nhân lực | #Quản trị và Hệ sinh thái |
Mục đích của Kiểm soát 6.4 là gì?
Mục đích của quá trình kỷ luật là đảm bảo nhân viên và các bên liên quan hiểu được hậu quả của việc vi phạm chính sách bảo mật thông tin.
Ngoài việc đảm bảo rằng nhân viên và các bên liên quan khác hiểu được hậu quả của việc vi phạm chính sách bảo mật thông tin, biện pháp kiểm soát 6.4 được thiết kế để ngăn chặn và hỗ trợ xử lý những người vi phạm các chính sách này.
Một yếu tố chính của chương trình bảo mật thông tin hiệu quả là khả năng thực hiện các hành động kỷ luật phù hợp đối với nhân viên vi phạm chính sách và quy trình bảo mật thông tin. Theo cách này, nhân viên nhận thức được hậu quả của việc vi phạm các chính sách và quy trình đã thiết lập, do đó giảm khả năng vi phạm dữ liệu cố ý hoặc vô tình.
Sau đây là các ví dụ về các hoạt động có thể được bao gồm khi triển khai biện pháp kiểm soát này:
- Tiến hành các buổi đào tạo định kỳ về những thay đổi chính sách;
- Thiết kế các biện pháp kỷ luật đối với hành vi không tuân thủ chính sách bảo mật thông tin;
- Cung cấp một bản sao về quy trình kỷ luật của tổ chức cho mỗi nhân viên;
- Đảm bảo các thủ tục kỷ luật được thực hiện nhất quán trong những tình huống tương tự.
Các hành động kỷ luật nêu trong khuôn khổ/tài liệu phải được thực hiện ngay sau khi sự cố xảy ra, để ngăn chặn những người khác có ý định vi phạm chính sách của tổ chức.
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Để đáp ứng các yêu cầu kiểm soát 6.4, hành động kỷ luật phải được thực hiện khi có bằng chứng về việc không tuân thủ các chính sách, thủ tục hoặc quy định của tổ chức. Điều này bao gồm việc không tuân thủ luật pháp và quy định áp dụng cho tổ chức.
Theo quy định 6.4, quy trình kỷ luật chính thức phải đưa ra phản hồi theo từng mức độ, trong đó xem xét các yếu tố sau:
- Bản chất (ai, cái gì, khi nào, như thế nào), mức độ nghiêm trọng và hậu quả của vi phạm;
- Cho dù hành vi phạm tội là cố ý (có ác ý) hay vô ý (vô tình);
- Cho dù đây là lần vi phạm đầu tiên hay thứ hai;
- Người vi phạm có được đào tạo đầy đủ hay không.
Hành động này phải tính đến mọi nghĩa vụ pháp lý, lập pháp, quản lý, hợp đồng và doanh nghiệp có liên quan, cũng như mọi tình huống liên quan khác.
Những thay đổi và khác biệt so với ISO 27002:2013
Nếu bạn quen thuộc với ISO 27002:2013, bạn sẽ biết rằng mặc dù danh tính/số kiểm soát đã thay đổi, kiểm soát 6.4 trong ISO 27002:2022 không hẳn là kiểm soát mới. Thay vào đó, nó là phiên bản sửa đổi của kiểm soát 7.2.3 trong ISO 27002:2013.
Nói như vậy, không có sự khác biệt đáng kể nào giữa hai điều khiển trong cả hai phiên bản của ISO 27002. Sự khác biệt nhỏ mà bạn sẽ nhận thấy là số điều khiển đã được thay đổi từ 7.23 thành 6.4. Ngoài ra, trong phiên bản 2022 của tiêu chuẩn, bảng thuộc tính và tuyên bố mục đích đã được đưa vào. Hai tính năng này không có trong phiên bản 2013.
Ngoài cách diễn đạt khác nhau, các biện pháp kiểm soát này về cơ bản là giống hệt nhau về mặt nội dung và ngữ cảnh. Thuật ngữ thân thiện với người dùng đã được sử dụng trong ISO 27002:2022 để đảm bảo rằng người dùng tiêu chuẩn có thể hiểu rõ hơn về nội dung của nó.
Ai là người chịu trách nhiệm cho quá trình này?
Trong hầu hết các trường hợp, quy trình kỷ luật được xử lý bởi người quản lý phòng ban hoặc đại diện nhân sự . Không có gì lạ khi đại diện nhân sự giao phó trách nhiệm xử lý kỷ luật cho người khác trong tổ chức , chẳng hạn như chuyên gia an ninh thông tin.
Mục đích chính của hành động kỷ luật là bảo vệ tổ chức khỏi mọi hành vi vi phạm tiếp theo của nhân viên. Nó cũng nhằm mục đích ngăn ngừa các sự cố tương tự tái diễn bằng cách đảm bảo rằng tất cả nhân viên đều hiểu được tầm quan trọng của các hành vi vi phạm an ninh thông tin.
Để đảm bảo rằng hành động kỷ luật được thực hiện đối với một nhân viên đã vi phạm chính sách hoặc quy trình của tổ chức, điều quan trọng là phải có các hướng dẫn rõ ràng để xử lý các tình huống như vậy. Các hướng dẫn này phải bao gồm các hướng dẫn cụ thể về cách tiến hành điều tra và các hành động cần thực hiện sau khi hoàn tất điều tra.
Những thay đổi này có ý nghĩa gì đối với bạn?
Nếu bạn đang thắc mắc những thay đổi này có ý nghĩa gì đối với mình, sau đây là bản tóm tắt ngắn gọn về những điểm quan trọng nhất:
- Đây không phải là thay đổi đáng kể nên bạn không cần phải chứng nhận lại.
- Bạn có thể giữ chứng nhận hiện tại của mình cho đến khi hết hạn (nếu vẫn còn hiệu lực).
- Không có thay đổi lớn nào về nội dung của ISO 27002.
- Trọng tâm là cập nhật tiêu chuẩn để phù hợp với các tiêu chuẩn và thông lệ tốt nhất hiện hành.
Cấu trúc của tiêu chuẩn vẫn không thay đổi. Tuy nhiên, một số biện pháp kiểm soát đã được sửa đổi để làm rõ ý nghĩa của chúng hoặc cải thiện tính nhất quán với các phần khác của tiêu chuẩn.
Tuy nhiên, nếu bạn có ý định lấy chứng chỉ ISMS , bạn có thể cần kiểm tra các quy trình bảo mật của mình để xác minh rằng chúng tuân thủ tiêu chuẩn đã sửa đổi.
Để tìm hiểu thêm về cách tiêu chuẩn ISO 27002 mới có thể ảnh hưởng đến hoạt động bảo mật thông tin và chứng nhận ISO 27001 của bạn , vui lòng xem hướng dẫn ISO 27002:2022 miễn phí của chúng tôi.
