Thiết lập ISMS (Hệ thống an toàn thông tin)
-
- · Xác định phạm vi, giới hạn của ISMS dưới dạng các đặc thù công việc, tổ chức, vị trí, tài sản và công nghệ
-
- · Xác định chính sách ISMS
-
- · Xác định cách thức đánh giá rủi ro của tổ chức
-
- · Xác định phương pháp đánh giá rủi ro phù hợp với ISMS, và các yêu cầu đã xác định về qui chế, luật định và an toàn thông tin
-
- · Xây dựng các tiêu chí chấp nhận rủi ro và xác định mức rủi ro có thể chấp nhận được
-
- · Xác định rủi ro
-
- · Phân tích và định lượng rủi ro.
-
- · Xác định và đánh giá các phương án lựa chọn để xử lý rủi ro.
-
- · Lựa chọn các mục tiêu kiểm soát và phương pháp kiểm soát để xử lý rủi ro
Thực hiện và vận hành hệ thống ISMS
-
- · Xây dựng kế hoạch xử lý rủi ro
-
- · Thực hiện kế hoạch xử lý rủi ro nhằm đạt được các mục tiêu kiểm soát đã được xác định
-
- · Thực hiện các phương pháp kiểm soát đã được lựa chọn
-
- · Xác định cách thức đo lường tính hiệu lực của các phương pháp kiểm soát
-
- · Thực hiện các chương trình đào tạo và nhận thức
-
- · Quản lý các nguồn lực của ISMS.
-
- · Thực hiện các thủ tục và các phương pháp kiểm soát nhằm phát hiện nhanh chóng các sự kiện về an toàn và đối phó với các sự cố về an toàn
Giám sát và xem xét ISMS
Tiến hành giám sát và xem xét các thủ tục cũng như các kiểm soát khác nhằm:
-
- · Phát hiện kịp thời các sai sót trong kết quả xử lý.
-
- · Cố gắng nhận biết nhanh chóng và có hiệu quả các các vi phạm và các sự cố an toàn thông tin.
-
- · Cho phép nhà quản lý xác định xem các hoạt động an toàn có được hiệu quả như mong đợi.
-
- · Giúp phát hiện các sự kiện an toàn và qua đó phòng ngừa những sự cố an toàn
-
- · Xác định xem những hành động được tiến hành để xử lý các vi phạm an toàn thông tin có hiệu quả không.
Duy trì và cải tiến hệ thống ISMS
Tiến hành các cải tiến đã xác định trong ISMS
-
- · Thực hiện các hành động khắc phục và phòng ngừa. Áp dụng các bài học từ kinh nghiệm an toàn của các tổ chức khác và của chính tổ chức mình.
-
- · Trao đổi các hành động và các cải tiến cho tất cả các bên quan tâm
-
- · Đảm bảo các cải tiến đạt được những mục tiêu đã dự định.
Bằng việc đáp ứng các yêu cầu nêu ra trong tiêu chuẩn, các tổ chức có thể thiết lập và vận hành một hệ thống an toàn thông tin hiệu quả nhằm phòng ngừa được các rủi ro về thông tin có thể xảy ra, tránh được những tổn thất do sự mất an toàn về thông tin và tạo được sự tin cậy của khách hàng cũng như những bên liên quan khác.