Danh sách kiểm tra ISO 27001: 10 bước để tuân thủ
Danh sách kiểm tra kiểm soát ISO 27001 này cung cấp một khuôn khổ, nhưng quy trình chứng nhận có vẻ khác nhau đối với mỗi công ty và hệ thống công nghệ riêng biệt của họ. Một số khác biệt trong quy trình chứng nhận xuất hiện dựa trên quy mô của công ty, tài liệu hiện có và hệ thống quản lý bảo mật thông tin (ISMS) của bạn.
- Bổ nhiệm
Một số công ty chọn trưởng nhóm triển khai nội bộ và yêu cầu nhân viên tạo tài liệu bảo mật và tiến hành kiểm tra nội bộ. Những người khác thích một nhà tư vấn hoặc nhà thầu bên ngoài. Bước đầu tiên trong danh sách kiểm tra ISO 27001 của bạn là đưa ra quyết định quan trọng này dựa trên chuyên môn của nhân viên và khả năng của bạn để chuyển hướng các nhóm khỏi các ưu tiên hiện tại sang công việc bảo mật chuyên sâu và lâu dài.
- Tiến hành phân tích lỗ hổng
Phân tích lỗ hổng xem xét ISMS và tài liệu hiện có của bạn, đồng thời so sánh chúng với các tiêu chuẩn ISO 27001 và bạn có thể hiểu rõ hơn về những gì cần tìm kiếm, nếu tự tiến hành, với danh sách kiểm tra phân tích lỗ hổng ISO 27001.
Bạn sẽ rời khỏi phân tích với các lỗ hổng tuân thủ sẽ xác định quy trình chuẩn bị của bạn và mốc thời gian để đạt được sự tuân thủ. Nếu không có lộ trình được cá nhân hóa này, các công ty có thể dành thời gian và tiền bạc cho các dự án không liên quan trực tiếp đến chứng nhận.
- Phát triển và ghi lại các phần ISMS cần thiết để chứng nhận
Các công ty lần đầu tiên được chứng nhận sẽ cần thiết lập các phần của ISMS của họ và xác định các khu vực cần được bảo vệ. ISMS của bạn sẽ bao gồm tất cả các chính sách và quy trình ISO 27001 nội bộ áp dụng cho an ninh mạng. Nó bao gồm con người, quy trình và công nghệ, vì vậy nó cần phải xem xét thông tin được truy cập như thế nào, khi nào và bởi ai.
Bạn sẽ tìm thấy tất cả các vị trí lưu trữ dữ liệu, ghi lại cách dữ liệu được truy cập và đưa ra các chính sách để bảo vệ dữ liệu tại các điểm tiếp xúc này (gợi ý: bạn có thể tìm thấy các mẫu ISO 27001 cho phần lớn công việc mà bạn sẽ cần trình bày trong buổi kiểm tra của mình). Xem xét cả dữ liệu vật lý và kỹ thuật số trong bước này.
- Tiến hành đánh giá rủi ro nội bộ
Bây giờ bạn đã biết tất cả về dữ liệu của mình, đã đến lúc ghi lại những rủi ro đã biết đối với dữ liệu đó. Danh sách kiểm tra quản lý tài sản ISO 27001, danh sách kiểm tra an ninh mạng ISO 27001, danh sách kiểm tra kiểm toán bảo mật tường lửa ISO 27001 hoặc danh sách kiểm tra đánh giá rủi ro ISO 27001 có thể giúp bạn xác định và ghi lại những rủi ro này.
Khả năng chúng xảy ra như thế nào? Tác động sẽ nghiêm trọng như thế nào nếu chúng xảy ra? Bạn sẽ quyết định như thế nào? Quá trình bắt đầu với việc xác định cách bạn sẽ xác định và đánh giá rủi ro. Ma trận rủi ro có thể giúp bạn ưu tiên các rủi ro có khả năng xảy ra cao và tác động lớn để sắp xếp chúng cho phù hợp. Đối với mỗi rủi ro, hãy phát triển một kế hoạch ứng phó và chỉ định các thành viên trong nhóm chịu trách nhiệm theo dõi. Đối với các trung tâm dữ liệu bên ngoài, danh sách kiểm tra kiểm tra trung tâm dữ liệu theo tiêu chuẩn ISO 27001 có thể giúp bạn ghi lại các quy trình kiểm soát chất lượng và bảo mật.
- Viết Tuyên bố về Khả năng Áp dụng (SoA)
Đã đến lúc tìm hiểu các hướng dẫn của ISO 27001. Trong Phụ lục A, bạn sẽ tìm thấy danh sách 114 biện pháp kiểm soát khả thi. Chọn những giải pháp giải quyết các rủi ro bạn đã xác định trong đánh giá rủi ro của mình. Sau đó viết một tuyên bố về những biện pháp kiểm soát mà bạn sẽ áp dụng. Bạn sẽ cần tài liệu này cho quá trình kiểm toán.
- Thực hiện các biện pháp kiểm soát của bạn
Bây giờ bạn đã so sánh các chính sách và hệ thống của mình với các biện pháp kiểm soát ISO 27001 và áp dụng các biện pháp kiểm soát cho ISMS của riêng bạn, đã đến lúc các hệ thống tại nơi làm việc của bạn phản ánh những gì bạn đã ghi lại.
Bạn có thể cần cập nhật phần mềm, quy trình hoặc chính sách liên quan đến cách mọi người xử lý dữ liệu. Ví dụ: nếu bạn đã xác minh rằng tổ chức của mình sẽ sử dụng mật mã để bảo vệ tính bí mật của thông tin, bạn sẽ cần thêm lớp đó vào ngăn xếp của mình.
- Đào tạo nhóm nội bộ về ISMS và kiểm soát bảo mật của bạn
Đào tạo là một cạm bẫy phổ biến trong quá trình triển khai, mặc dù bảo mật dữ liệu liên quan đến nhiều mô tả công việc và các hoạt động hàng ngày của nhiều nhân viên. Đào tạo thường xuyên là một cách để thể hiện cam kết của bạn đối với an ninh mạng và xây dựng văn hóa an toàn với nhóm của bạn. Nhân viên nên được đào tạo về ISMS, rủi ro bảo mật, “tại sao” đằng sau các quy trình và hệ lụy của việc không duy trì tuân thủ.
- Thực hiện kiểm toán nội bộ
Đánh giá nội bộ chuẩn bị cho bạn đánh giá chính thức và kiểm tra các hệ thống mới của bạn. Điều khiển của bạn có hoạt động không? Điều này có thể được thực hiện bởi một nhóm nội bộ không tham gia thiết lập và ghi lại ISMS của bạn hoặc một người đánh giá độc lập bên ngoài.
Đánh giá nội bộ cho bạn biết và cho bạn cơ hội thực hiện các thay đổi trước khi đánh giá chính thức. Để bắt đầu, hãy thử sử dụng danh sách kiểm tra tự đánh giá ISO 27001 hoặc danh sách kiểm tra đánh giá nội bộ ISO 27001.
- Nhờ một chuyên gia đánh giá trưởng theo tiêu chuẩn ISO 27001 được công nhận tiến hành đánh giá chứng nhận ISO 27001
Bạn sẽ cần một đánh giá viên ISO 27001 được công nhận từ một cơ quan công nhận được công nhận để tiến hành đánh giá hai bước: trước tiên, họ sẽ xem xét tài liệu và các biện pháp kiểm soát của bạn. Xử lý trước phần đánh giá này bằng cách làm việc thông qua danh sách kiểm tra đánh giá giai đoạn 1 của ISO 27001.
Tiếp theo, kiểm toán viên sẽ thực hiện kiểm toán trang web. Họ sẽ thực hiện kiểm tra các biện pháp kiểm soát của bạn để đảm bảo rằng họ đang được theo dõi. Bạn đã đoán ra rồi: bạn cũng có thể vượt qua bước này với danh sách kiểm tra giai đoạn 2 của ISO 27001. Bạn sẽ nhận được danh sách các điểm không phù hợp lớn và nhỏ cho từng bước và sau khi các điểm không tuân thủ chính được giải quyết, bạn sẽ được cấp chứng nhận ISO 27001.
- Kế hoạch duy trì chứng nhận
Chứng nhận ISO 27001 có thời hạn ba năm, nhưng bạn sẽ tiến hành đánh giá rủi ro và kiểm tra giám sát hàng năm đồng thời chuẩn bị tài liệu mới cho đợt kiểm tra gia hạn của mình vào năm thứ ba. Ngoài việc cập nhật các chính sách và hệ thống cũng như quản lý ISMS của bạn, còn có chương trình đào tạo nhân viên liên tục được lên lịch hàng năm.
Nhìn chung, các bước bạn cần để thực hiện các nguyên tắc của ISO 27001 có thể được chia thành nhiều danh sách kiểm tra nhỏ hơn. Tùy thuộc vào nhu cầu của tổ chức của bạn, hãy tận dụng các tài nguyên như danh sách kiểm tra Phụ lục A của ISO 27001, danh sách kiểm tra bằng chứng ISO 27001, danh sách kiểm tra phân tích lỗ hổng ISO 27001 hoặc danh sách kiểm tra đánh giá giám sát ISO 27001.