PHIẾU HỎI

ĐÁNH GIÁ NỘI BỘ

HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO ISO/IEC 27001:2013

St Vấn đề Kết quả Ghi chú

t
1. Tổ chức và Bối cảnh của tổ chức 4.1

Các vấn đề bên trong và bên ngoài có liên quan đến 4.1
ISMS và tác động đến kết quả mong đợi của nó đã
được xác định chưa?
2. Nhu cầu và mong đợi của các bên quan tâm 4.2
Tổ chức đã xác định các bên quan tâm có liên quan 4.2 a)
đến ISMS chưa?
Các yêu cầu của các bên quan tâm đã được xác định, 4.2 b)
bao gồm các yêu cầu pháp lý, quy định và hợp đồng?
3. Phạm vi của ISMS 4.3

Các ranh giới và khả năng áp dụng của ISMS đã được 4.3
xác định để thiết lập phạm vi của nó, xem xét các vấn
đề bên ngoài và bên trong, các yêu cầu của các bên
quan tâm và các giao diện và phụ thuộc với các tổ
chức khác?
Phạm vi của ISMS được ghi lại? 4.3
4. Cam kết lãnh đạo và quản lý

Tổ chức cam kết lãnh đạo của tổ chức đối với ISMS 5.1
có được thể hiện bởi:

• Thiết lập các mục tiêu và chính sách an toàn thông 5.1 a, g
tin, xem xét định hướng chiến lược của tổ chức và
thúc đẩy cải tiến liên tục?

• Đảm bảo tích hợp các yêu cầu ISMS vào các quy 5.1 b
trình kinh doanh của mình?

• Đảm bảo các nguồn lực có sẵn cho ISMS, và chỉ đạo 5.1 c, e, h
và hỗ trợ các cá nhân, bao gồm cả quản lý, ai đóng
góp cho hiệu quả của nó?

• Truyền đạt tầm quan trọng của quản lý an toàn thông 5.1 d
tin hiệu quả và tuân thủ các yêu cầu của ISMS?
5. Chính sách an toàn thông tin

Có một chính sách an toàn thông tin được thiết lập là 5.2 a,b,c, d
phù hợp, đưa ra một khuôn khổ để thiết lập các mục
tiêu, và thể hiện cam kết đáp ứng các yêu cầu và cải
tiến liên tục?
Là chính sách được ghi lại và truyền đạt cho nhân 5.2 e, f, g
viên và các bên quan tâm có liên quan?

6. Vai trò và trách nhiệm

Các vai trò trong ISMS có được phân công và được 5.3
truyền đạt không?

Các trách nhiệm và quyền hạn về sự tuân thủ các yêu 5.3 a, b
cầu tiêu chuẩn và báo cáo về kết quả thực hiện ISMS
có được giao không?

7. Rủi ro và cơ hội triển khai ISMS

Các vấn đề bên trong và bên ngoài, và các yêu cầu 6.1.1 a,b,c
của các bên quan tâm đã được xem xét để xác định
các rủi ro và cơ hội cần được giải quyết để đảm bảo
rằng ISMS đạt được kết quả của nó,
rằng các tác dụng không mong muốn được ngăn chặn
hoặc giảm bớt, và sự cải thiện liên tục đó có đạt được
không?

Các hành động để giải quyết các rủi ro và cơ hội đã 6.1.1 d,e
được lên kế hoạch và tích hợp vào các quy trình ISMS
và chúng có được đánh giá hiệu quả không?

8. Đánh giá rủi ro an toàn thông tin

Có một quy trình đánh giá rủi ro an toàn thông tin 6.1.2 a
thiết lập các tiêu chí để thực hiện đánh giá rủi ro an
toàn thông tin, bao gồm các tiêu chí chấp nhận rủi ro
đã được xác định?

Là quá trình đánh giá rủi ro an toàn thông tin có thể 6.1.2 b
lặp lại và nó có tạo ra kết quả phù hợp, hợp lệ và có
thể so sánh không?

Có phải quy trình đánh giá rủi ro an toàn thông tin xác 6.1.2 c
định các rủi ro liên quan đến mất tính toàn vẹn, tính
toàn vẹn và tính sẵn có của thông tin trong phạm vi
của ISMS và các chủ sở hữu rủi ro có nhận dạng được
không?

Rủi ro an toàn thông tin được phân tích để đánh giá

khả năng thực tế và hậu quả tiềm ẩn sẽ xảy ra, nếu
chúng xảy ra, và mức độ rủi ro đã được xác định?

Rủi ro an toàn thông tin có được so sánh với các tiêu

chí rủi ro đã được thiết lập và có được xếp thứ tự ưu
tiên?
Thông tin tài liệu về quá trình đánh giá rủi ro an toàn
thông tin có sẵn?
9. Xử lý rủi ro an toàn thông tin

Có một quy trình xử lý rủi ro an toàn thông tin để lựa

chọn các lựa chọn xử lý rủi ro phù hợp cho kết quả
đánh giá rủi ro an toàn thông tin và các biện pháp
kiểm soát được xác định để thực hiện lựa chọn xử lý
rủi ro được chọn không?

Các điều khiển đã được xác định, được so sánh với

ISO/IEC 27001: 2013 Phụ lục A để xác minh rằng
không có kiểm soát cần thiết nào bị bỏ qua?

Có một Tuyên bố về Khả năng áp dụng đã được đưa

ra để minh chứng cho các loại trừ và các bao gồm của
Phụ lục A cùng với trạng thái thực hiện kiểm soát
không?

Một kế hoạch xử lý rủi ro an toàn thông tin đã được

các chủ sở hữu rủi ro xây dựng và phê duyệt, và các
rủi ro an toàn thông tin còn lại có được các chủ sở
hữu rủi ro cho phép không?

Là thông tin tài liệu về quá trình xử lý rủi ro an ninh

thông tin có sẵn?

10. Mục tiêu an toàn thông tin và lập kế hoạch để

đạt được chúng

Các mục tiêu và mục tiêu ISMS đo lường được đã

được thiết lập, ghi lại và truyền đạt trong toàn tổ chức
chưa?

Trong việc thiết lập các mục tiêu của mình, tổ chức đã
xác định những gì cần phải được thực hiện, khi nào và
bởi ai?
11. Tài nguyên và năng lực của ISMS

ISMS có được cung cấp đầy đủ không?

Có một quy trình được xác định và ghi lại để xác định
năng lực cho các vai trò ISMS không?

Là những người đảm nhận vai trò ISMS có thẩm

quyền, và năng lực này có được ghi lại một cách thích
hợp không?

12. Nhận thức và giao tiếp

Có phải tất cả mọi người trong tầm kiểm soát của tổ
chức đều nhận thức được tầm quan trọng của chính
sách an toàn thông tin, đóng góp của họ đối với hiệu
quả của ISMS và những hệ lụy của việc không tuân
thủ?

Tổ chức đã xác định nhu cầu liên lạc nội bộ và bên

ngoài có liên quan đến ISMS, bao gồm những gì cần
liên lạc, khi nào, với ai, và ai, và các quá trình mà
điều này đạt được?

13. Thông tin tài liệu

Tổ chức đã xác định thông tin tài liệu cần thiết cho
hiệu quả của ISMS chưa?

Là thông tin tài liệu ở định dạng thích hợp, và nó đã

được xác định, xem xét và phê duyệt cho phù hợp?

Thông tin tài liệu có được kiểm soát sao cho có sẵn và
được bảo vệ đầy đủ, phân phối, lưu trữ, lưu giữ và
kiểm soát thay đổi, bao gồm các tài liệu có nguồn gốc
bên ngoài mà tổ chức yêu cầu cho ISMS không?

14. Lập kế hoạch hoạt động và kiểm soát

Có một chương trình để đảm bảo ISMS đạt được kết

quả, yêu cầu và mục tiêu của nó đã được phát triển và
thực hiện không?

Là bằng chứng tài liệu được giữ lại để chứng minh

rằng các quy trình đã được thực hiện theo kế hoạch?

Là những thay đổi được lên kế hoạch và kiểm soát, và

những thay đổi ngoài ý muốn được xem xét để giảm
thiểu bất kỳ kết quả bất lợi nào?

Các quy trình thuê ngoài đã được xác định và chúng

có được kiểm soát không?

Các đánh giá rủi ro an toàn thông tin có được thực

hiện theo các khoảng thời gian dự kiến hoặc khi các
thay đổi quan trọng không xảy ra và thông tin được
ghi lại?

Kế hoạch xử lý rủi ro an toàn thông tin đã được thực

hiện và tài liệu thông tin được giữ lại chưa?
15. Theo dõi, đo lường và đánh giá

Là hiệu suất an toàn thông tin và hiệu quả của ISMS

được đánh giá?

Nó đã được xác định những gì cần được theo dõi và

đo lường, khi nào, bởi ai, phương pháp được sử dụng,
và khi nào kết quả sẽ được đánh giá?

Là thông tin tài liệu được giữ lại như là bằng chứng
của kết quả giám sát và đo lường?

16. Đánh giá nội bộ

Các cuộc đánh giá nội bộ được thực hiện định kỳ để

kiểm tra xem ISMS có hiệu quả và phù hợp với cả
ISO / IEC 27001: 2013 và các yêu cầu của tổ chức
không?

Các cuộc đánh giá được thực hiện theo một phương
pháp thích hợp và phù hợp với chương trình kiểm
toán dựa trên kết quả đánh giá rủi ro và kiểm toán
trước đó?

Là kết quả đánh giá được báo cáo cho quản lý, và có
được ghi lại thông tin về chương trình đánh giá và kết
quả đánh giá được giữ lại không?

Trường hợp không phù hợp được xác định, họ có phải

chịu hành động khắc phục (xem phần 18) không?

17. Soát xét của lãnh đạo

Ban lãnh đạo cấp cao có thực hiện đánh giá định kỳ
về ISMS không?

Đầu ra từ đánh giá quản lý ISMS có xác định các thay

đổi và cải tiến không?

Các kết quả của đánh giá quản lý được ghi lại, hành
động và truyền đạt cho các bên quan tâm là phù hợp?

18. Hành động khắc phục và cải tiến liên tục

Có hành động để kiểm soát, sửa chữa và giải quyết

hậu quả của sự không phù hợp đã được xác định?

Có cần phải đánh giá hành động để loại bỏ nguyên

nhân gốc rễ của sự không phù hợp để ngăn ngừa tái
phạm?

Có bất kỳ hành động nào được xác định đã được triển

khai và xem xét về tính hiệu quả và làm tăng sự cải
thiện cho ISMS không?

Là thông tin tài liệu được giữ lại như là bằng chứng
về bản chất của sự không phù hợp, hành động được
thực hiện và kết quả?
19. Các biện pháp kiểm soát an toàn - nếu có thể,
dựa trên kết quả đánh giá rủi ro an toàn thông tin của
tổ chức

Là chính sách an toàn thông tin cung cấp hướng quản

lý được xác định và thường xuyên xem xét?

Một khung quản lý đã được thiết lập để kiểm soát việc

thực hiện và vận hành an ninh trong tổ chức, bao gồm
phân công trách nhiệm và phân biệt các nhiệm vụ
xung đột?

Các liên hệ thích hợp với chính quyền và các nhóm

lợi ích đặc biệt có được duy trì?

Là an toàn thông tin được giải quyết trong các dự án?

Có chính sách thiết bị di động và chính sách

teleworking tại chỗ không?

Là nguồn nhân lực có thể được sàng lọc, và họ có các

điều khoản và điều kiện tuyển dụng xác định trách
nhiệm an toàn thông tin của họ không?

Có phải nhân viên phải tuân thủ các chính sách và quy
trình an toàn thông tin, được cung cấp nhận thức, giáo
dục và đào tạo, và có quy trình xử lý kỷ luật không?

Các trách nhiệm và nhiệm vụ an toàn thông tin có

được truyền đạt và thi hành cho các nhân viên chấm
dứt hoặc thay đổi việc làm không?

Có hàng tồn kho tài sản liên quan đến xử lý thông tin
và thông tin, chủ sở hữu đã được chỉ định và các quy
tắc sử dụng tài sản được chấp nhận và trả lại tài sản
được xác định không?

Thông tin được phân loại và dán nhãn thích hợp và có

quy trình xử lý tài sản theo phân loại của chúng được
xác định không?
Có các thủ tục để loại bỏ, xử lý và vận chuyển
phương tiện chứa thông tin?

Chính sách kiểm soát truy cập đã được xác định và

xem xét chưa và quyền truy cập của người dùng vào
mạng có được kiểm soát theo chính sách không?

Có một quy trình đăng ký người dùng chính thức nào

được giao và thu hồi quyền truy cập và quyền truy cập
vào các hệ thống và dịch vụ, và các quyền truy cập có
thường xuyên được xem xét và xóa khi chấm dứt việc
làm không?

Các quyền truy cập đặc quyền có bị hạn chế và kiểm

soát hay không, và thông tin xác thực bí mật có được
kiểm soát không và người dùng có nhận thức được
các thông lệ sử dụng không?

Có quyền truy cập thông tin bị hạn chế theo chính

sách kiểm soát truy cập và quyền truy cập có được
kiểm soát thông qua quy trình đăng nhập an toàn
không?

Các hệ thống quản lý mật khẩu có tương tác và chúng

có thực thi một mật khẩu chất lượng không?

Việc sử dụng các chương trình tiện ích và truy cập

vào mã nguồn chương trình có bị hạn chế không?

Có chính sách nào cho việc sử dụng mật mã và quản

lý khóa không?

Có chính sách và kiểm soát nào để ngăn chặn truy cập

vật lý trái phép và thiệt hại cho các cơ sở xử lý thông
tin và thông tin không?

Có chính sách và kiểm soát tại chỗ để ngăn ngừa mất

mát, hư hỏng, trộm cắp hoặc thỏa hiệp tài sản và gián
đoạn hoạt động không?

Các quy trình vận hành có được ghi lại và các thay
đổi đối với tổ chức, quy trình kinh doanh và hệ thống
thông tin có được kiểm soát không?

Các nguồn lực được giám sát và dự đoán được thực

hiện theo yêu cầu năng lực trong tương lai?
Có sự tách biệt của môi trường phát triển, thử nghiệm
và hoạt động?

Có bảo vệ chống phần mềm độc hại?

Là thông tin, phần mềm và hệ thống có thể sao lưu và
kiểm tra thường xuyên không?

Có kiểm soát tại chỗ để đăng nhập các sự kiện và tạo

bằng chứng?

Việc triển khai phần mềm trên các hệ điều hành có

được kiểm soát không và có các quy tắc chi phối việc
cài đặt phần mềm của người dùng không?

Là thông tin về các lỗ hổng kỹ thuật thu được và các

biện pháp thích hợp được thực hiện để giải quyết rủi
ro?

Các mạng được quản lý, tách biệt khi cần thiết và
được kiểm soát để bảo vệ hệ thống thông tin và các
dịch vụ mạng có tuân theo thỏa thuận dịch vụ không?

Có chính sách và thỏa thuận để duy trì an toàn thông

tin được chuyển trong hoặc ngoài tổ chức không?

Các yêu cầu an toàn thông tin cho các hệ thống thông
tin đã được xác định và thông tin có được truyền qua
các mạng công cộng và các giao dịch dịch vụ ứng
dụng được bảo vệ không?

Các hệ thống và quy tắc phát triển phần mềm có được

thiết lập và thay đổi hệ thống trong vòng đời phát
triển được kiểm soát chính thức không?

Các ứng dụng quan trọng trong kinh doanh có được

xem xét và kiểm tra sau khi thay đổi nền tảng hệ điều
hành và có hạn chế thay đổi đối với các gói phần mềm
không?

Các nguyên tắc kỹ thuật an toàn đã được thiết lập và

chúng có được duy trì và thực hiện, bao gồm môi
trường phát triển an toàn, kiểm tra bảo mật, sử dụng
dữ liệu thử nghiệm và thử nghiệm chấp nhận hệ thống
không?

Phát triển phần mềm thuê ngoài có được theo dõi và

giám sát không?
Có chính sách và thỏa thuận nào để bảo vệ tài sản
thông tin mà các nhà cung cấp có thể truy cập được
không và mức độ an toàn thông tin và cung cấp dịch
vụ có được giám sát và quản lý, bao gồm các thay đổi
đối với việc cung cấp dịch vụ không?
Có một cách tiếp cận nhất quán để quản lý các sự cố
và điểm yếu bảo mật, bao gồm phân công trách
nhiệm, báo cáo, đánh giá, phản hồi, phân tích và thu
thập bằng chứng?

Là sự liên tục an toàn thông tin được nhúng trong hệ

thống quản lý liên tục kinh doanh, bao gồm xác định
các yêu cầu trong các tình huống bất lợi, thủ tục và
kiểm soát, và xác minh tính hiệu quả?

Các cơ sở xử lý thông tin được thực hiện với sự dư

thừa để đáp ứng các yêu cầu về tính khả dụng?

Có tất cả các yêu cầu lập pháp, luật định, quy định và
hợp đồng và cách tiếp cận để đáp ứng các yêu cầu này
đã được xác định cho từng hệ thống thông tin và tổ
chức, bao gồm nhưng không giới hạn các thủ tục về
quyền sở hữu trí tuệ, bảo vệ hồ sơ, quyền riêng tư và
bảo vệ thông tin cá nhân và quy định kiểm soát mật
mã?

Có một đánh giá độc lập về an toàn thông tin?

Các nhà quản lý có thường xuyên xem xét việc tuân

thủ quy trình và quy trình xử lý thông tin trong phạm
vi trách nhiệm của họ không?

Các hệ thống thông tin có thường xuyên được xem xét

để tuân thủ kỹ thuật với các chính sách và tiêu chuẩn
không?