Trong các yêu cầu của Hệ thống quản lý an
toàn thông tin theo tiêu chuẩn ISO 27001:2013 thì đánh giá và quản lý rủi ro an
toàn thông tin được xem là nội dung quan trọng cần được chú ý.
YÊU CẦU
VỀ QUY TRÌNH ĐÁNH GIÁ RỦI RO THEO ISO 27001
• Thiết lập và duy trì các tiêu chí cụ thể
về rủi ro an toàn thông tin.
• Đảm bảo rằng các đánh giá rủi ro lặp lại
“tạo ra các kết quả nhất quán, hợp lệ và có thể so sánh được”.
• Xác định các rủi ro liên quan đến việc mất
tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin trong phạm vi của hệ
thống quản lý an toàn thông tin.
• Xác định chủ sở hữu của những rủi ro đó.
• Phân tích, đánh giá rủi ro an toàn thông
tin theo các tiêu chí cụ thể.
5 BƯỚC
ĐỂ ĐÁNH GIÁ RỦI RO ISO 27001 HIỆU QUẢ
Bước
1: Thiết lập khuôn khổ quản lý rủi ro
Đây là
các quy tắc điều chỉnh cách bạn dự định xác định rủi ro, người bạn sẽ chỉ định
quyền sở hữu rủi ro, cách rủi ro tác động đến tính bảo mật, tính toàn vẹn và
tính sẵn có của thông tin và phương pháp tính toán tác động ước tính và khả
năng rủi ro xảy ra. Một phương pháp luận đánh giá rủi ro chính thức cần giải
quyết bốn vấn đề và phải được lãnh đạo cao nhất phê duyệt:
• Tiêu chí bảo mật cơ bản
• Quy mô rủi ro
• Thèm ăn rủi ro
• Đánh giá rủi ro dựa trên kịch bản hoặc
tài sản
Bước
2: Xác định rủi ro
Xác định
các rủi ro có thể ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính sẵn có của
thông tin là phần tốn nhiều thời gian nhất của quá trình đánh giá rủi ro. Quản
trị CNTT khuyến nghị tuân theo quy trình đánh giá rủi ro dựa trên tài sản. Phát
triển một danh sách các tài sản thông tin là một nơi tốt để bắt đầu. Sẽ dễ dàng
nhất để làm việc từ danh sách tài sản thông tin hiện có bao gồm bản cứng của
thông tin, tệp điện tử, phương tiện di động, thiết bị di động và vô hình, chẳng
hạn như tài sản trí tuệ.
Bước
3: Phân tích rủi ro
Xác định
các mối đe dọa và lỗ hổng bảo mật áp dụng cho từng tài sản. Ví dụ, mối đe dọa
có thể là 'trộm thiết bị di động' và lỗ hổng bảo mật có thể là 'thiếu chính
sách chính thức cho thiết bị di động'. Chỉ định các giá trị tác động và khả
năng xảy ra dựa trên tiêu chí rủi ro của bạn.
Bước
4: Đánh giá rủi ro
Bạn cần
cân nhắc từng rủi ro với các mức rủi ro có thể chấp nhận được đã xác định trước
của mình và ưu tiên những rủi ro nào cần được giải quyết theo thứ tự.
Bước
5: Chọn các phương án xử lý rủi ro
Có 4
cách được đề xuất để xử lý rủi ro:
1. 'Tránh' rủi ro bằng cách loại bỏ nó.
2. 'Sửa đổi' rủi ro bằng cách áp dụng các biện
pháp kiểm soát bảo mật.
3. 'Chia sẻ' rủi ro cho bên thứ ba (thông qua
bảo hiểm hoặc thuê ngoài).
4. 'Giữ lại' rủi ro (nếu rủi ro nằm trong
tiêu chí chấp nhận rủi ro đã thiết lập).
XEM
XÉT, GIÁM SÁT VÀ ĐÁNH GIÁ ĐỂ LIÊN TỤC CẢI TIẾN ISMS
Tiêu chuẩn ISO 27001 yêu cầu
tổ chức phải liên tục xem xét, cập nhật và cải tiến hệ thống quản lý an ninh
thông tin (ISMS) để đảm bảo hệ thống này hoạt động tối ưu và điều chỉnh theo
môi trường đe dọa thay đổi liên tục. Một khía cạnh của việc xem xét và thử nghiệm
là đánh giá nội bộ. Điều này đòi hỏi người quản lý ISMS phải đưa ra một bộ báo
cáo cung cấp bằng chứng cho thấy các rủi ro đang được xử lý một cách phù hợp.
Một
cách hiệu quả hơn nữa để tổ chức có được sự đảm bảo rằng hệ thống ISMS của họ
đang hoạt động như dự định là đạt được chứng
nhận ISO 27001.
Để được
tư vấn ISO 27001 cụ thể hơn, quý
doanh nghiệp vui lòng liên hệ với Chúng Tôi theo số hotline 0948.690.698.
Chú ý: CongMuaBan.vn không bán hàng trực tiếp, quý khách mua hàng xin vui lòng liên lạc với người bán.