ISO 27001 khoản 4.1 bao gồm những gì?

  1. Trang chủ
  2. ISO 27001
  3. ISO 27001 khoản 4.1 bao gồm những gì?

Khoản 4.1 của các yêu cầu ISO 27001 là về hiểu biết về tổ chức và bối cảnh của nó. Chúng tôi luôn khuyến nghị đây là nơi một tổ chức bắt đầu với việc triển khai ISO 27001. Tại sao? Vâng, chúng tôi tin rằng bảo mật thông tin nên là về việc kinh doanh an toàn hơn thay vì chỉ đánh dấu vào các hộp để đảm bảo thông tin hoặc quản lý rủi ro thông tin. Cách tốt nhất để tập trung sự chú ý của một doanh nghiệp dẫn đầu hệ thống quản lý an ninh thông tin (ISMS) trước tiên là xem xét mục đích và mục tiêu chung của tổ chức. Đó là về cách tiếp cận ‘từ trên xuống’ để bảo mật thông tin cho dù bạn đang tìm kiếm chứng nhận ISO độc lập cho hệ thống quản lý của mình hay chỉ đơn giản là bạn muốn thể hiện sự tuân thủ tốt hơn đối với một tiêu chuẩn được công nhận như ISO / IEC 27001. Từ cách tiếp cận từ trên xuống đó bạn ‘ sau đó sẽ có nhiều khả năng hơn để xác định các vấn đề bên trong và bên ngoài có liên quan có thể ảnh hưởng đến kết quả dự định của  ISMS, vốn là trung tâm của yêu cầu này. Bạn cũng sẽ có một viễn cảnh tốt hơn về một số vấn đề tuân thủ quy định có thể ảnh hưởng đến tổ chức và đảm bảo rằng chúng cũng được xem xét ở cấp cao nhất.

ISO 27001 khoản 4.1

Mục lục chính

Các vấn đề bên trong và bên ngoài có thể ảnh hưởng đến kết quả dự định của hệ thống quản lý bảo mật thông tin là gì?

ISO không thực sự cung cấp nhiều trợ giúp trong việc giải thích về vấn đề bên trong hoặc bên ngoài. Đối với một tổ chức chưa quen với quản lý bảo mật thông tin, nó có thể lãng phí thời gian quý báu vào việc chỉ ra yêu cầu đó. Đó là một trong những lý do tại sao chúng tôi phát triển chương trình Huấn luyện viên ảo ISO 27001,  cung cấp các video hướng dẫn và huấn luyện thực tế, hướng dẫn và danh sách kiểm tra mỗi bước để bổ sung cho chính dịch vụ phần mềm ISMS.online.  

Là một phần của huấn luyện trực tuyến cho khoản 4.1, chúng tôi khuyến khích một cách tiếp cận đơn giản nhưng thực sự hữu ích đối với việc xác định các vấn đề bên trong và bên ngoài, và nó được tóm tắt dưới đây. Bao lâu để dành cho các bài tập và yêu cầu này là một câu hỏi chúng ta thường được hỏi. Nó thực sự đi xuống văn hóa và bản chất của tổ chức, những người liên quan, điểm khởi đầu của nó và giá trị có nguy cơ. Ví dụ, một tổ chức nhỏ được quản lý tốt với mục đích rõ ràng và ít người tham gia có thể đưa ra kết luận về các vấn đề bên trong và bên ngoài ảnh hưởng đến kết quả ISMS trong một tách trà 10 phút (đặc biệt là với tất cả các ví dụ trong Huấn luyện viên ảo). Tuy nhiên, các tổ chức khác có thể mất nhiều thời gian hơn.

 

Cách xác định các vấn đề nội bộ ảnh hưởng đến kết quả của hệ thống quản lý bảo mật thông tin

Xem xét các từ viết tắt IPOPS dưới đây để xác định các vấn đề nội bộ có thể ảnh hưởng đến kết quả của ISMS. Đây có thể là một bài tập bảng trắng, phiên ghi chú sau hoặc đơn giản là ghi lại các ghi chú mà bạn sẽ tải lên sau để thể hiện sự hiểu biết của mình về các vấn đề. Nhận đúng người trong phòng hoặc trên điện thoại và bắt đầu cuộc trò chuyện!

Nhìn vào hình ảnh cho một ví dụ thực sự cơ bản về những gì có thể được thực hiện và có thể được tải lên như một phần của bằng chứng, hoặc viết chi tiết hơn và thử nghiệm thêm với các bên liên quan khác tùy thuộc vào bản chất của tổ chức. Từ góc độ kiểm toán viên bên ngoài UKAS ISO 27001, họ sẽ tìm kiếm sự tin tưởng rằng tổ chức đã hiểu các vấn đề có thể ảnh hưởng đến kết quả của ISMS (và ghi lại chúng) trước khi sử dụng bằng chứng đó để tiếp tục. Điều đó sau đó sẽ giúp xác định các bên quan tâm , đặt phạm vi , ghi lại các mục tiêu của bạn , xây dựng bản kiểm kê tài sản và phân tích rủi ro bảo mật thông tintrước khi phát triển các chính sách và kiểm soát phù hợp phù hợp với tuyên bố về khả năng áp dụng . Tất cả đều là một luồng rất logic và bắt đầu ngay tại đây với bài tập đơn giản này!

ISO 27001 khoản 4.1

Ví dụ về các vấn đề nội bộ ảnh hưởng đến kết quả dự định của hệ thống quản lý bảo mật thông tin

Chúng tôi đã đưa ra một vài ý tưởng và ví dụ bên dưới về các lĩnh vực mà bạn có thể tìm thấy các vấn đề nội bộ ảnh hưởng đến kết quả của ISMS nhưng có nhiều vấn đề có thể được xem xét tùy thuộc vào tổ chức, ngành, quy mô, phạm vi và tính chất của sản phẩm và dịch vụ v.v. Chúng tôi khuyên bạn nên thực tế và đảm bảo rằng nó không trở thành một bài tập chiến lược chính hoặc luận văn luận án khi không cần thiết. Nó không phải là vấn đề mà bạn ‘xô’ vấn đề nội bộ, ý tưởng phân tích danh mục đầu tư đơn giản như thế này là để giúp bộ não kích hoạt các vấn đề nội bộ. Vì vậy, cho dù bạn đặt chúng dưới con người, tổ chức hay ở nơi khác thì ít quan trọng hơn (một số cũng có thể là vấn đề bên ngoài) – đó là việc xác định các vấn đề bên trong hoặc bên ngoài rất quan trọng để bạn có thể xây dựng một hệ thống quản lý bảo mật thông tin phù hợp với mình !

Bạn cũng sẽ xem xét bản chất của tổ chức xung quanh mọi người, ví dụ như triết lý là làm mọi việc trong nhà, thuê ngoài v.v. – những khía cạnh này đều làm phát sinh ‘vấn đề’ có thể ảnh hưởng đến ISMS. Ví dụ: bạn có thể kiểm soát nhân viên nội bộ tốt hơn nhà cung cấp, nhưng có thể có tranh cãi về việc nhà cung cấp có quy trình của họ tham gia vì họ cung cấp dịch vụ mà bạn muốn có .. trước khi mục tiêu kinh doanh của bạn đến trước – điều này đúng trung tâm của việc xác định các vấn đề – điều hành doanh nghiệp theo cách bạn muốn và đảm bảo rằng ISMS bảo vệ thông tin có giá trị của bạn và của các bên quan tâm của bạn.

Sau đó, tất cả các vấn đề liên quan nên được xem xét để phân tích rủi ro chi tiết hơn – không phải tất cả các vấn đề thực sự là rủi ro và một số vấn đề quan trọng hơn các vấn đề khác để bạn có thể chọn ưu tiên xung quanh các vấn đề lớn hơn. Vì vậy, chúng tôi sẽ đề nghị bạn tránh phân tích rủi ro hoặc xem xét sâu sắc về những gì nếu ở giai đoạn tiêu chuẩn iso này và tập trung vào việc xác định các vấn đề.

Thông tin là tài sản là vấn đề nội bộ ảnh hưởng đến kết quả ISMS

  • Thông tin nào được tạo, xử lý, lưu trữ, quản lý và có giá trị thực sự cho tổ chức và các bên quan tâm của nó (phù hợp với phân tích các bên liên quan bạn sẽ làm trong 4.2 tiếp theo )? Dữ liệu cá nhân, ý tưởng khách hàng nhạy cảm và IPR, thông tin tài chính, thương hiệu, cơ sở mã hóa vv? Điều này nằm ngay tại trung tâm của ISMS, nơi các tài sản thông tin là nền tảng cho mọi thứ khác – việc xác định sớm các tài sản này cũng giúp việc quản lý kho tài sản thông tin trở nên dễ dàng cho A8.1 . Sau đó, xem xét các vấn đề tiềm ẩn xung quanh thông tin – đặc biệt là tính bảo mật, tính toàn vẹn và tính sẵn có, có tính đến các lĩnh vực khác bên dưới khi bạn kích hoạt ý tưởng về nơi có thể tìm thấy vấn đề.

Những vấn đề nội bộ liên quan đến con người có thể ảnh hưởng đến kết quả dự định của ISMS

  • Không có gì ngạc nhiên khi bảo mật nguồn nhân lực là một phần quan trọng của ISMS, thực sự Phụ lục A 7 được dành cho nó và tất cả các chính sách, kiểm soát và quản lý tiếp theo có thể sẽ được mọi người chú ý, cả nhân viên nội bộ cũng như các nguồn lực bên ngoài như các nhà cung cấp. Do đó, xem xét bất kỳ vấn đề hiện có của:
    • tuyển dụng, ví dụ như những thách thức trong việc tuyển dụng người có thẩm quyền, doanh thu nhân viên cao / thấp
    • cảm ứng – ví dụ như họ có được đào tạo về bảo mật thông tin ngay bây giờ không, nó có hoạt động không
    • trong quản lý cuộc sống, ví dụ như giữ họ tham gia và thể hiện sự tuân thủ các chính sách và kiểm soát của họ, – nhân viên có thực sự thấy bảo mật thông tin hấp dẫn và thú vị hay đó là một thách thức văn hóa để khiến ai đó khóa máy tính xách tay của họ khi đi vệ sinh.
    • thay đổi vai trò và thoát, ví dụ như là truy cập và loại bỏ các tài sản và dịch vụ thông tin được thực hiện

Các vấn đề nội bộ tổ chức ảnh hưởng đến kết quả ISMS 

  • Các vấn đề mà tổ chức phải đối mặt có thể ảnh hưởng đến kết quả của ISMS là gì? Ví dụ, tăng trưởng nhanh mang đến các vấn đề về nhân viên và cấu trúc có thể ảnh hưởng đến sự hiểu biết và kiến ​​thức về chính sách hoặc mọi thứ thay đổi nhanh chóng, bạn không thể dễ dàng đưa ra các quy trình chi tiết và nhất quán. Có lãnh đạo tổ chức và áp lực hội đồng quản trị hoặc cổ đông sẽ gây ra vấn đề (những điều này có thể tích cực cũng như tiêu cực)? Hoạt động quốc tế sẽ có các chuẩn mực văn hóa khác nhau cho những người liên quan.
    Một vấn đề nội bộ khác liên quan đến mọi người và tổ chức có thể là về thực tế bạn không muốn nhiều người trong số họ làm việc hoặc đấu tranh để tìm những người giỏi nên thay vào đó dựa vào gia công. Điều đó mang lại nhu cầu cho các nhà cung cấp (và nhân viên trong các nhà cung cấp), vì vậy đó là một vấn đề liên quan đến phân tích của các bên quan tâm mà bạn sẽ làm trong  4.2 tiếp theo .

Các vấn đề nội bộ của Sản phẩm & Dịch vụ có thể ảnh hưởng đến kết quả ISMS 

  • Các sản phẩm và dịch vụ được cung cấp bởi tổ chức là gì và loại vấn đề nào nổi lên xung quanh vấn đề có thể gây ra rủi ro thông tin? Ví dụ: nếu tổ chức là nhà đổi mới và bảo vệ IPR rất quan trọng đối với lãnh đạo sản phẩm, thì đó là vấn đề cần được xem xét trong ISMS. Nếu tổ chức phụ thuộc vào tài sản vật chất lớn, ví dụ như nhà sản xuất có thể sẽ mang đến nhiều vấn đề bảo mật vật lý hơn, trong khi đó, nhà cung cấp phần mềm đám mây nhỏ có thể tập trung nhiều hơn vào các vấn đề như bảo vệ IPR khỏi tin tặc kỹ thuật số và các vấn đề xung quanh sự phụ thuộc vào thành công sản phẩm của họ và đảm bảo về nhà cung cấp dịch vụ lưu trữ, vv

Các hệ thống và quy trình là các vấn đề nội bộ ảnh hưởng đến kết quả dự định của ISMS 

  • Mọi người thường nghĩ về máy tính và công nghệ kỹ thuật số khi từ ‘hệ thống’ được sử dụng. Tuy nhiên, các hệ thống thủ công và trên giấy cũng là các lĩnh vực chính cho các vấn đề xuất hiện, vì vậy hãy nhớ xem xét các vấn đề đó. Mỗi khu vực được khóa ở trên sẽ có các hệ thống và quy trình liên quan đến nó – có thể là ẩn (chúng tôi đã luôn làm theo cách đó và không bao giờ ghi lại nó) hoặc có thể được gói trong một khối tài liệu mà không ai có thể theo dõi .have đã xem xét các khu vực IPOP ở trên, hãy suy nghĩ về các hệ thống và xử lý các vấn đề nội bộ xung quanh chúng – ví dụ: nếu bạn đang thuê nhân viên thường xuyên nhưng không có một quy trình và hệ thống chính thức thể hiện sự đánh giá và sàng lọc từ góc độ bảo mật thông tin, bạn có một vấn đề (không phải ít nhất vì Phụ lục A7 của hệ thống quản lý an ninh thông tin ISO 27001.

Cách xác định các vấn đề bên ngoài ảnh hưởng đến hệ thống quản lý bảo mật thông tin bằng phương pháp PESTLE

Một trong những mục yêu thích cũ để phân tích bên ngoài là PESTLE và nó có giá trị sử dụng trong bài tập này, một lần nữa được giữ thực tế và tập trung cho các vấn đề ảnh hưởng đến kết quả ISMS chứ không phải là một công việc chiến lược sâu sắc. Bài tập này thường cần ít lời giải thích hơn và bạn chắc chắn sẽ thấy đủ dễ dàng để xem qua và xem xét từ góc độ bảo mật thông tin. Một lần nữa tránh phân tích quá mức và cố gắng buộc mọi thứ phù hợp vào xô vì lợi ích của nó – một cái gì đó sẽ kích hoạt hoặc nó sẽ không và bạn luôn có thể quay lại với nó sau này. Các vấn đề nội bộ ảnh hưởng đến kết quả của ISMS cũng sẽ kích hoạt các vấn đề bên ngoài – ví dụ: nếu tổ chức quyết định rằng họ sẽ không làm mọi thứ trong nội bộ và cần nhà cung cấp, thì các vấn đề bên ngoài với các nhà cung cấp đó và các khía cạnh liên quan đến PESTLE của họ sẽ xuất hiện.

Các vấn đề chính trị bên ngoài ảnh hưởng đến kết quả từ ISMS

  • Những vấn đề chính trị nào có thể ảnh hưởng đến tổ chức và ảnh hưởng đến kết quả? Các ví dụ có thể bao gồm Brexit và các thay đổi chính sách cụ thể trong một lĩnh vực tác động đến đầu tư hoặc tăng trưởng có thể dẫn đến các cách làm việc khác nhau và các cách tiếp cận khác nhau để quản lý thông tin. Chính trị (và những người chơi phương tiện truyền thông xã hội mạnh mẽ lạm dụng dữ liệu cá nhân) đã mang lại GDPR mang lại những thay đổi về quy định, điều này làm tăng áp lực cho khách hàng, những người buộc các nhà cung cấp phải đạt được hệ thống quản lý bảo mật thông tin chứng nhận ISO 27001 được chứng nhận độc lập để giúp họ quản lý nguồn cung chung rủi ro chuỗi. Đó là một ví dụ về một vấn đề nằm ở nhiều khía cạnh của PESTLE và đó là vấn đề bên ngoài mà hầu hết các tổ chức phải đối mặt.

Các vấn đề kinh tế bên ngoài ảnh hưởng đến kết quả từ ISMS

  • Làm thế nào để kinh tế của thị trường của bạn và chuỗi cung ứng ảnh hưởng đến tổ chức? Điều đó có dẫn đến ít nhiều vấn đề với nhà cung cấp, khách hàng, những góc an toàn thông tin nào có thể bị cắt giảm trong lĩnh vực giảm chi phí và dẫn đến tăng rủi ro hoặc đe dọa (và tất nhiên là cả cơ hội nữa)? Ví dụ có thể là lao động rẻ hơn, ít đào tạo hơn và ít thời gian hơn để thực hiện công việc hoặc không có khả năng chi trả cho các hệ thống công nghệ tốt sẽ giúp cải thiện hoạt động vì tiền cần được ưu tiên ở nơi khác (Mẹo – hãy xem bảng trắng kế hoạch kinh doanh của chúng tôi để được hướng dẫn về lợi nhuận về đầu tư từ bảo mật thông tin.)

Các vấn đề xã hội bên ngoài ảnh hưởng đến kết quả từ ISMS

  • Xã hội hoặc đối tượng của bạn thay đổi nhân khẩu học và ảnh hưởng đến doanh nghiệp của bạn như thế nào – ví dụ luôn luôn là những công dân được kết nối mang đến cơ hội và mối đe dọa, và một thế hệ nhân viên đôi khi quan tâm nhiều hơn đến dữ liệu mang lại những mặt tích cực và tiêu cực.

Các vấn đề bên ngoài về công nghệ ảnh hưởng đến kết quả từ ISMS

  • Làm thế nào để tốc độ thay đổi công nghệ ngày càng tăng tạo ra các vấn đề cho kết quả ISMS? Thay đổi hàng ngày trong các hệ điều hành được vá so với (nói) mỗi năm một lần trong quá khứ? Điều đó dẫn đến nhu cầu quản lý năng động hơn nhiều mà nhiều tổ chức đấu tranh để duy trì, nếu không được quản lý, sẽ làm tăng nguy cơ vi phạm và mất mát trên mạng. Trường hợp trí tuệ nhân tạo, máy học, đám mây và mọi từ thông dụng công nghệ khác tạo ra các vấn đề cho tổ chức của bạn ở bên ngoài?

Các vấn đề bên ngoài hợp pháp ảnh hưởng đến kết quả từ ISMS

  • Một trong những lĩnh vực thất bại phổ biến nhất trong ISO 27001 là không có khả năng làm nổi bật hiệu quả nhận thức và sau đó quản lý các vấn đề pháp lý và quy định ứng dụng. Phần này của PESTLE là điểm khởi đầu tuyệt vời cho Phụ lục A18 về việc tuân thủ- nếu kiểm toán viên của bạn biết nhiều hơn bạn về luật pháp và quy định ảnh hưởng đến tổ chức của bạn (và do đó là ISMS), họ sẽ không bị ấn tượng. Nó vượt xa khả năng bảo vệ dữ liệu, GDPR, giám sát máy tính, quyền con người và luật sở hữu trí tuệ, do đó, hãy xem xét nghiêm túc khu vực này cho bất kỳ thông tin nào trong phạm vi của bạn. Bạn sẽ không nhất thiết cần một luật sư nhưng cho thấy bạn đã xem xét luật pháp hiện hành ảnh hưởng đến tổ chức sẽ khiến việc xử lý rủi ro, chính sách & kiểm soát tạo ra cũng tập trung hơn và phù hợp hơn. Có thể là khẩu vị rủi ro của bạn đối với một thứ gì đó khá cao nhưng nếu luật pháp hoặc quy định hiện hành đặt ra, thì bạn sẽ cần phải phát triển các chính sách và kiểm soát để tuân thủ điều đó thay vì chỉ những gì bạn nghĩ là ổn!

Các vấn đề bên ngoài môi trường ảnh hưởng đến kết quả từ ISMS

  • PESTLE thường coi môi trường là vấn đề xanh, tuy nhiên, đó cũng có thể là “môi trường” rộng lớn hơn của bạn. Những cân nhắc đơn giản xung quanh môi trường có thể có nghĩa là bạn nhắm đến việc sử dụng ít giấy hơn, đi ít hơn – tuyệt vời, những vấn đề đối với ISMS từ đó là gì? Ví dụ, trong việc phát triển ISMS, đây có thể là cơ hội để thay đổi các thực tiễn xung quanh việc in hoặc phát triển các chính sách làm việc di động, v.v. – đây là một vài ý tưởng đơn giản xuất hiện khi bạn nghĩ về các vấn đề về môi trường và du lịch.
  • Các vấn đề ‘môi trường’ rộng hơn có thể là những điều đang diễn ra trong các đối thủ cạnh tranh và các lực lượng rộng lớn hơn ( nghĩ rằng lực lượng của Porters 5 là một ví dụ đơn giản ) – những vấn đề môi trường bên ngoài nào đang xảy ra ở đó có thể ảnh hưởng đến kết quả ISMS của bạn? Bạn biết sức mạnh thương lượng của khách hàng đang gia tăng xung quanh bảo mật thông tin. Tuy nhiên, nếu tất cả các đối thủ cạnh tranh của bạn đều được chứng nhận độc lập với ISO 27001 và bạn chỉ nghĩ về việc tuân thủ đánh dấu / vẫy tay thì đó là vấn đề bên ngoài mà bạn muốn xem xét sâu hơn để cạnh tranh, hãy để an toàn và tin cậy.
Tags:

Bài viết liên quan

Chinese (Simplified)EnglishJapaneseKoreanRussianVietnamese