THEO ISO/IEC 27001:2013 TẠI ENLAB SOFTWARE Thời gian (tháng thứ) TT Nội dung công việc Trách nhiệm Kết quả/đầu ra dự kiến 1 2 3 4 5 6 I Chuẩn bị I.1 Lập Ban điều hành triển khai QA Manager Quyết định thành lập ban điều hành ISO/IEC 27001 ISMS theo ISO/IEC 27001 I.2 Đào tạo nhận thức chung về Tư vấn + QA Nhận thức về yêu cầu đảm bảo ATTT và các yêu ISMS theo ISO/IEC Manager cầu của ISO/IEC 27001 cho nhóm dự án (Ban 27001:2013 ISO/IEC 27001, CBCV chủ chốt ở tất cả các đơn vị thuộc phạm vi triển khai là các thành phần bắt buộc tham dự) I.3 Đánh giá thực trạng quản lý Tư vấn + QA Xác định thực trạng đáp ứng các yêu cầu của tiêu ATTT hiện tại của doanh Manager chuẩn; dự kiến phạm vi áp dụng hệ thống và thông nghiệp tin để lập Kế hoạch chung và kế hoạch văn bản. I.4 Xác định phạm vi (ISMS CEO Phạm vi áp dụng được xác định rõ để sau này công scope) của ISMS bố chính thức trong bản Công bố áp dụng (SoA) I.5 Thống nhất, phê duyệt kế CEO + Tư vấn + Các kế hoạch được thống nhất/xác nhận. hoạch tổng thể triển khai QA Manager ISMS và dự kiến kế hoạch xây dựng văn bản II XÂY DỰNG HỆ THỐNG ISMS II.1 Đào tạo phương pháp xây Tư vấn + QA Hiểu và thực hành được phương pháp soạn thảo các dựng văn bản theo ISO/IEC Manager văn bản theo yêu cầu của ISO/IEC 27001. Thành 27001 (Khóa 2) phần cần tham dự: như Khóa 1. II.2 Đào tạo phương pháp đánh Tư vấn Hiểu và thực hành được việc đánh giá rủi ro đối với giá rủi ro ATTT (Khóa 3) các tài sản thông tin thuộc phạm vi triển khai ISMS. Thành phần cần tham dự: như Khóa 1 II.3 Xác định các thông tin, yêu - Danh mục các quá trình/chức năng chính; địa cầu hỗ trợ cho ISMS điểm; các hệ thống thông tin; các mạng truyền thông. - Các yêu cầu của tổ chức đối với C-I-A của tài sản thông tin. - Các yêu cầu của tổ chức nhằm xác định các yêu cầu pháp luật, hợp đồng và ATTT. II.4 Thiết lập Chính sách ATTT, CEO + QA Chính sách ATTT bằng văn bản, thể hiện cam kết Mục tiêu ATTT Manager của lãnh đạo cao nhất và định hướng cho các hoạt động, quá trình trong hệ thống. Mục tiêu được công bố dạng văn bản, thể hiện mức độ thực hiện các cam kết trong chính sách và có thể đo lường được. II.5 Nhận biết các tài sản thông - Mô tả các quá trình chính trong tổ chức; tin thuộc phạm vi hệ thống - Danh mục xác định các tài sản thông tin của các ISMS quá trình chính; - Các quá trình trọng yếu /phân loại tài sản thông tin; - Tình trạng kiểm soát ATTT hiện tại và các biện pháp kiểm soát hiện có; đánh giá mức độ hiệu quả và xác định biện pháp kiểm soát bổ sung. II.6 Xây dựng, ban hành Phương Tài liệu quy định cách thức đánh giá rủi ro ATTT pháp đánh giá rủi ro về ATTT cần thiết để làm căn cứ cho các bước tiếp theo của đánh giá rủi ro II.7 Nhận biết rủi ro về ATTT đối Xác định được các mối đe dọa và các điểm yếu đối với các tài sản với tài sản. Xác định được mức độ về tính bảo mật, tính toàn vẹn và tính sẵn có của từng tài sản (C/I/A). II.8 Đánh giá trị rủi ro về ATTT Xác định được các mối đe dọa và các điểm yếu đối đối với các tài sản với tài sản. Xác định được mức độ về tính bảo mật, tính toàn vẹn và tính sẵn có của từng tài sản (C/I/A). II.9 Xác định các Mục tiêu kiểm Bản "Thông báo việc áp dụng" (Statement of soát, Biện pháp kiểm soát rủi Applicability - SoA). ro và Kế hoạch xử lý rủi ro Kế hoạch xử lý rủi ro (Risk Treatment Plan - RTP) II.10 Thiết lập/tích hợp (vào các QA Manager Các thủ tục văn bản theo yêu cầu tiêu chuẩn (kiểm thủ tục hiện có), ban hành các soát tài liệu; kiểm soát hồ sơ; đánh giá nội bộ; hành thủ động khắc phục; hành động phòng ngừa); ngoài ra, tục dạng văn bản để kiểm có thể lập quy trình cho hoạt động xem xét của lãnh soát ISMS đạo về ISMS II.11 Thiết lập/tích hợp, ban hành Văn bản (cơ cấu tổ chức, các vai trò, trách nhiệm- các văn bản xác định vai trò, quyền hạn liên quan ATTT). trách nhiệm, quyền hạn về Tích hợp vào hệ thống các bản Mô tả công việc ATTT II.12 Thiết lập các Chính sách Các tài liệu chính sách, thủ tục ATTT cụ thể cần ATTT cụ thể và/hoặc các Thủ thiết tương thích với kết quả đánh giá rủi ro; tài liệu tục/Hướng dẫn kiểm soát rủi quy định đo lường hiệu lực của biện pháp kiểm ro ATTT cụ thể soát. III TRIỂN KHAI ÁP DỤNG HỆ THỐNG III.1 Hướng dẫn áp dụng hệ thống CBNV thuộc phạm vi ISMS hiểu được cơ bản về văn bản (chính sách, mục ISMS của doanh nghiệp và nhận thức được trách tiêu, nhiệm tuân thủ theo các quy định văn bản trong hệ thủ tục, biện pháp kiểm soát, thống kế hoạch xử lý rủi ro…) III.2 Phân phối hệ thống văn bản HTVB được phân phối tới các phòng/bộ phận đến các phòng/bộ phận có liên quan III.3 Hướng dẫn và kiểm tra áp HTVB của ISMS được phổ biến và áp dụng dụng tại các phòng/đơn vị trong hệ thống ISMS IV ĐÁNH GIÁ NỘI BỘ & XEM XÉT, CẢI TIẾN HỆ THỐNG ISMS IV.1 Thực hiện giám sát, đo lường Hồ sơ kết quả đo lường kết quả thực hiện và đo hiệu lực của hệ thống ISMS lường hiệu lực hệ thống ISMS và hiệu lực của các biện pháp kiểm soát IV.2 Đào tạo Phương pháp đánh QA Manager Tài liệu đào tạo, danh sách tham dự, chứng chỉ (Ban giá nội bộ hệ thống quản lý ISO/IEC 27001, Tổ Thư ký ISMS, các CBCV chủ ATTT (Khóa 3) chốt ở các đơn vị là thành phần bắt buộc tham dự) IV.3 Lập kế hoạch và đánh giá nội Kế hoạch, chương trình đánh giá và báo cáo đánh bộ giá. IV.4 Khắc phục, cải tiến sau đánh Kết quả khắc phục tại các đơn vị giá IV.5 Xem xét của lãnh đạo về hệ Báo cáo, biên bản họp thống ISMS V ĐÁNH GIÁ CHỨNG NHẬN HỆ THỐNG ISMS V.1 Lựa chọn Tổ chức chứng CEO quyết định lựa chọn tổ chức chứng nhận thích hợp nhận đáp ứng nhu cầu của Enlabsoftware V.2 Thực hiện đánh giá chứng Tổ chức chứng Ban ISO/IEC 27001 chủ trì hoạch định kế hoạch để nhận (2 giai đoạn: đánh giá sơ nhận xử lý kết quả sau mỗi giai đoạn đánh giá dựa theo bộ/tài liệu và đánh giá chính báo cáo đánh giá cho từng giai đoạn của tổ chức thức) chứng nhận V.3 Khắc phục sau đánh giá QA Manager + các chứng nhận (nếu có) đơn vị