Để xây dựng thành công Hệ thống Quản lý an ninh thông tin (Information Security Management System – ISMS),
I.Các bước thiết lập Hệ thống quản lý an ninh thông tin
Các bước nêu sau đây có thể hoàn thành trong khoảng thời gian từ 6 - 8 tháng, tùy thuộc vào tình hình thực tế của Quý cơ quan, cũng như nguồn lực và quyết tâm của Ban Lãnh đạo.
1.Tiến hành phân tích, đánh giá thực trạng (Gap Analysis) tình hình thực tế Hệ thống so với các yêu cầu của tiêu chuẩn ISO 27001, báo cáo Ban lãnh đạo những điểm phù hợp cũng như những điểm yếu của hệ thống, từ đó có thể đề xuất các kế hoạch, biện pháp cụ thể để xây dựng Hệ thống theo yêu cầu của tiêu chuẩn.
2.Thành lập Ban chỉ đạo và triển khai dự án ISO (Ban ISO) - Ban ISO bao gồm các cán bộ chủ chốt, đại diện cho các bộ phận, phòng ban chức năng khác nhau. Quý cơ quan cần bổ nhiệm một cán bộ cao cấp chịu trách nhiệm về việc triển khai hệ thống, trách nhiệm của ban và quyền hạn của mỗi thành viên cũng cần được quy định rõ ràng.
3.Thuyết trình, đào tạo cho các cấp lãnh đạo và nhân viên nhằm trang bị cho họ kiến thức về hệ thống theo tiêu chuẩn ISO 27001. Các kiến thức cơ bản để xây dựng, vận hành, kiểm tra và cải tiến hệ thống.
4.Xác định phạm vi của Hệ thống ISMS, phạm vi ở đây được hiểu về mặt địa lý và các hoạt động mang tính nền tảng của mỗi tổ chức.
5.Xác định chính sách, mục tiêu An ninh thông tin, các chính sách và mục tiêu này do lãnh đạo cao nhất đề ra và phê chuẩn.
6.Phân tích, đánh giá rủi ro, lên kế hoạch xử lý rủi ro (Risk Treatment Plan): đây là bước quan trọng nhất và là nền tảng của mỗi hệ thống ISMS. Quý cơ quan cần xây dựng phương pháp phân tích rủi ro, xác định các tài sản thông tin, nhận dạng và đánh giá rủi ro đối với các tài sản đó. Sau khi hoàn thành quá trình phân tích rủi ro này, Quý cơ quan có thể xây dựng các biện pháp để kiểm soát, xử lý rủi ro, các biện pháp này có thể tham khảo ISO 27002 hoặc áp dụng các biện pháp mang tính đặc thù của Quý cơ quan.
7.Xây dựng các quy trình/quy định bắt buộc theo yêu cầu tiêu chuẩn ISO 27001. Hệ thống ISMS được xây dựng trên mô hình PDCA (Plan – Do – Check – Act) do đó cũng yêu cầu các tài liệu cơ bản như: kiểm soát tài liệu, hồ sơ; quy trình đánh giá nội bộ; xem xét của lãnh đạo; quy trình khắc phục và phòng ngừa …
8.Ban hành, phổ biến và áp dụng thử các tài liệu trong toàn cơ quan.
9.Tiếp tục soát xét, chỉnh sửa, phê duyệt và ban hành chính thức các tài liệu tiêu chuẩn.
10.Đào tạo đánh giá viên nội bộ và thực hiện việc đánh giá nội bộ, xem xét của lãnh đạo.
11.Khắc phục các điểm chưa phù hợp, cải tiến và hoàn thiện Hệ thống ISMS.
12.Tiến hành đánh giá thử để xác định mức độ sẵn sàng của Hệ thống ISMS.
13.Tiến hành khắc phục các điểm chưa phù hợp và tiến tới đăng ký chứng nhận.
14.Công bố chính thức các biện pháp áp dụng (Statement Of Applicability - SoA). Đây là các kiểm soát và mục tiêu kiểm soát theo Phụ lục A ISO 27001, đây cũng là căn cứ để đơn vị đánh giá cấp chứng nhận.
15.Đánh giá chứng nhận.
Sau khi hoàn thành các bước trên và xây dựng thành công Hệ thống ISMS theo tiêu chuẩn ISO 27001, Quý cơ quan sẽ có các tài liệu sau:
-Tài liệu Chính sách mục tiêu, phạm vi hệ thống ISMS.
-Tài liệu hướng dẫn phân tích rủi ro, các kế hoạch xử lý rủi ro.
-Các tài liệu quy trình bắt buộc của tiêu chuẩn như: quy trình đào tạo, đánh giá nội bộ, kiểm soát tài liệu hồ sơ ...
-Các quy trình, quy định, chính sách, hướng dẫn để vận hành Hệ thống ISMS: các tài liệu này là các kiểm soát và mục tiêu kiểm soát về ANTT đã được văn bản hoá (bao gồm 39 mục tiêu an ninh cần kiểm soát và 133 biện pháp kiểm soát) như quy trình backup, chính sách kiểm soát an ninh mạng, kế hoạch đảm bảo hoạt động liên tục (BCP) …