Những lưu ý khi triển khai ISO 27001

Tôi đã tham gia triển khai ISO 27001 và note lại cho các bạn sắp triển khai mấy ý như sau:

A4- Quản lý rủi ro: Phương pháp luận để đánh giá, xử lý rủi ro. Cách xác định rủi ro cho các tài sản trong tổ chức
Kinh nghiệm: tự xác định cho phù hợp với tổ chức mình. Có thể đánh giá rủi ro theo nhóm tài sản (những tài sản có khả năng có rủi ro giống nhau).
A11-Phân quyền truy cập: triển khai việc phân quyền truy cập cho cán bộ truy cập vào tài sản  nơi lưu tài sản -> update việc phân quyền, quản lý account cán bộ. Xác định được với cán bộ nào thì được truy cập vào tài sản nào…

A13-quản lý sự cố: khó khăn trong việc đào tạo cán bộ nhận biết sự cố BMTT đường tiếp nhận sự cố -> xử lý sự cố -> update trong database

A14-Quản lý tính liền mạch kinh doanh: quản lý tính liền mạch kinh doanh của tổ chức: BCM (Bussiness Continuity Management), BCP (Bussiness Continuity Plan), BIA (Bussiness Impact Analysis), DRP (Disaster Recovery Plan)

A15-sự phù hợp: có cán bộ hiểu biết/am hiểu về luật pháp liên quan tới BMTT.
http://www.comptechdoc.org/independent/security/policies/password-policy.html
http://www.sans.org/security-resources/policies/computer.php