KẾ HOẠCH TỔNG THỂ TRIỂN KHAI DỰ ÁN XÂY DỰNG,

ÁP DỤNG HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN (ISMS)

THEO ISO/IEC 27001:2013 TẠI ENLAB SOFTWARE
Thời gian (tháng thứ)
TT Nội dung công việc Trách nhiệm Kết quả/đầu ra dự kiến
1 2 3 4 5 6
I Chuẩn bị
I.1 Lập Ban điều hành triển khai QA Manager Quyết định thành lập ban điều hành ISO/IEC 27001
ISMS theo ISO/IEC 27001
I.2 Đào tạo nhận thức chung về Tư vấn + QA Nhận thức về yêu cầu đảm bảo ATTT và các yêu
ISMS theo ISO/IEC Manager cầu của ISO/IEC 27001 cho nhóm dự án (Ban
27001:2013 ISO/IEC 27001, CBCV chủ chốt ở tất cả các đơn vị
thuộc phạm vi triển khai là các thành phần bắt buộc
tham dự)
I.3 Đánh giá thực trạng quản lý Tư vấn + QA Xác định thực trạng đáp ứng các yêu cầu của tiêu
ATTT hiện tại của doanh Manager chuẩn; dự kiến phạm vi áp dụng hệ thống và thông
nghiệp tin để lập Kế hoạch chung và kế hoạch văn bản.
I.4 Xác định phạm vi (ISMS CEO Phạm vi áp dụng được xác định rõ để sau này công
scope) của ISMS bố chính thức trong bản Công bố áp dụng (SoA)
I.5 Thống nhất, phê duyệt kế CEO + Tư vấn + Các kế hoạch được thống nhất/xác nhận.
hoạch tổng thể triển khai QA Manager
ISMS và dự kiến kế hoạch
xây
dựng văn bản
II XÂY DỰNG HỆ THỐNG ISMS
II.1 Đào tạo phương pháp xây Tư vấn + QA Hiểu và thực hành được phương pháp soạn thảo các
dựng văn bản theo ISO/IEC Manager văn bản theo yêu cầu của ISO/IEC 27001. Thành
27001 (Khóa 2) phần cần tham dự: như Khóa 1.
II.2 Đào tạo phương pháp đánh Tư vấn Hiểu và thực hành được việc đánh giá rủi ro đối với
giá rủi ro ATTT (Khóa 3) các tài sản thông tin thuộc phạm vi triển khai ISMS.
Thành phần cần tham dự: như Khóa 1
II.3 Xác định các thông tin, yêu - Danh mục các quá trình/chức năng chính; địa
 cầu hỗ trợ cho ISMS
II.4 Thiết lập Chính sách ATTT,
Mục tiêu ATTT
II.5 Nhận biết các tài sản thông
tin thuộc phạm vi hệ thống
ISMS
II.6 Xây dựng, ban hành Phương
pháp đánh giá rủi ro về ATTT
II.7 Nhận biết rủi ro về ATTT đối
với các tài sản
II.8 Đánh giá trị rủi ro về ATTT
đối với các tài sản
II.9 Xác định các Mục tiêu kiểm
soát, Biện pháp kiểm soát rủi
ro và Kế hoạch xử lý rủi ro
II.10 Thiết lập/tích hợp (vào các
điểm; các hệ thống thông tin; các mạng truyền
thông.
- Các yêu cầu của tổ chức đối với C-I-A của tài sản
thông tin.
- Các yêu cầu của tổ chức nhằm xác định các yêu
cầu pháp luật, hợp đồng và ATTT.
CEO + QA Chính sách ATTT bằng văn bản, thể hiện cam kết
Manager của lãnh đạo cao nhất và định hướng cho các hoạt
động, quá trình trong hệ thống. Mục tiêu được công
bố dạng văn bản, thể hiện mức độ thực hiện các
cam kết trong chính sách và có thể đo lường được.
- Mô tả các quá trình chính trong tổ chức;
- Danh mục xác định các tài sản thông tin của các
quá trình chính;
- Các quá trình trọng yếu /phân loại tài sản thông
tin;
- Tình trạng kiểm soát ATTT hiện tại và các biện
pháp kiểm soát hiện có; đánh giá mức độ hiệu quả
và xác định biện pháp kiểm soát bổ sung.
Tài liệu quy định cách thức đánh giá rủi ro ATTT
cần thiết để làm căn cứ cho các bước tiếp theo của
đánh giá rủi ro
Xác định được các mối đe dọa và các điểm yếu đối
với tài sản. Xác định được mức độ về tính bảo mật,
tính toàn vẹn và tính sẵn có của từng tài sản
(C/I/A).
Xác định được các mối đe dọa và các điểm yếu đối
với tài sản. Xác định được mức độ về tính bảo mật,
tính toàn vẹn và tính sẵn có của từng tài sản
(C/I/A).
Bản "Thông báo việc áp dụng" (Statement of
Applicability - SoA).
Kế hoạch xử lý rủi ro (Risk Treatment Plan - RTP)
QA Manager Các thủ tục văn bản theo yêu cầu tiêu chuẩn (kiểm
 thủ tục hiện có), ban hành các
thủ
tục dạng văn bản để kiểm
soát ISMS
II.11 Thiết lập/tích hợp, ban hành
các văn bản xác định vai trò,
trách nhiệm, quyền hạn về
ATTT
II.12 Thiết lập các Chính sách
ATTT cụ thể và/hoặc các Thủ
tục/Hướng dẫn kiểm soát rủi
ro ATTT cụ thể
III TRIỂN KHAI ÁP DỤNG HỆ THỐNG
III.1 Hướng dẫn áp dụng hệ thống
văn bản (chính sách, mục
tiêu,
thủ tục, biện pháp kiểm soát,
kế hoạch xử lý rủi ro…)
III.2 Phân phối hệ thống văn bản
đến các phòng/bộ phận có
liên
quan
III.3 Hướng dẫn và kiểm tra áp
dụng tại các phòng/đơn vị
trong hệ thống ISMS
IV ĐÁNH GIÁ NỘI BỘ & XEM XÉT, CẢI TIẾN HỆ THỐNG ISMS
IV.1 Thực hiện giám sát, đo lường
hiệu lực của hệ thống ISMS
và
hiệu lực của các biện pháp
kiểm soát
IV.2 Đào tạo Phương pháp đánh
soát tài liệu; kiểm soát hồ sơ; đánh giá nội bộ; hành
động khắc phục; hành động phòng ngừa); ngoài ra,
có thể lập quy trình cho hoạt động xem xét của lãnh
đạo về ISMS
Văn bản (cơ cấu tổ chức, các vai trò, trách nhiệm-
quyền hạn liên quan ATTT).
Tích hợp vào hệ thống các bản Mô tả công việc
Các tài liệu chính sách, thủ tục ATTT cụ thể cần
thiết tương thích với kết quả đánh giá rủi ro; tài liệu
quy định đo lường hiệu lực của biện pháp kiểm
soát.
CBNV thuộc phạm vi ISMS hiểu được cơ bản về
ISMS của doanh nghiệp và nhận thức được trách
nhiệm tuân thủ theo các quy định văn bản trong hệ
thống
HTVB được phân phối tới các phòng/bộ phận
HTVB của ISMS được phổ biến và áp dụng
Hồ sơ kết quả đo lường kết quả thực hiện và đo
lường hiệu lực hệ thống ISMS
QA Manager Tài liệu đào tạo, danh sách tham dự, chứng chỉ (Ban
 giá nội bộ hệ thống quản lý ISO/IEC 27001, Tổ Thư ký ISMS, các CBCV chủ
ATTT (Khóa 3) chốt ở các đơn vị là thành phần bắt buộc tham dự)
IV.3 Lập kế hoạch và đánh giá nội Kế hoạch, chương trình đánh giá và báo cáo đánh
bộ giá.
IV.4 Khắc phục, cải tiến sau đánh Kết quả khắc phục tại các đơn vị
giá
IV.5 Xem xét của lãnh đạo về hệ Báo cáo, biên bản họp
thống ISMS
V ĐÁNH GIÁ CHỨNG NHẬN HỆ THỐNG ISMS
V.1 Lựa chọn Tổ chức chứng CEO quyết định lựa chọn tổ chức chứng nhận thích hợp
nhận đáp ứng nhu cầu của Enlabsoftware
V.2 Thực hiện đánh giá chứng Tổ chức chứng Ban ISO/IEC 27001 chủ trì hoạch định kế hoạch để
nhận (2 giai đoạn: đánh giá sơ nhận xử lý kết quả sau mỗi giai đoạn đánh giá dựa theo
bộ/tài liệu và đánh giá chính báo cáo đánh giá cho từng giai đoạn của tổ chức
thức) chứng nhận
V.3 Khắc phục sau đánh giá QA Manager + các
chứng nhận (nếu có) đơn vị