QLATTT

1 Tận dụng các quy trình ISMS liên quan
1.1 Bối cảnh của tổ chức
GHI CHÚ Điều này liên quan đến ISO/IEC 27001:2022, Điều 4.
Đầu vào: Thông tin về tổ chức, bối cảnh bên trong và bên ngoài của tổ chức.
Hoạt động : Tất cả dữ liệu liên quan cần được xem xét để xác định và mô tả các vấn đề
bên trong và bên ngoài ảnh hưởng đến việc quản lý rủi ro an toàn thông tin và các yêu cầu
của các bên quan tâm.
Cò súng : ISO/IEC 27001:2022 quy định các yêu cầu đối với thông tin đó để có thể thiết
lập các mục tiêu bảo mật thông tin.
Đầu ra: Các vấn đề bên trong và bên ngoài liên quan đến rủi ro ảnh hưởng đến việc quản lý
rủi ro bảo mật thông tin.
Hướng dẫn thực hiện:
Tổ chức cần có hiểu biết ở cấp độ cao (ví dụ: chiến lược) về các vấn đề quan trọng có thể
ảnh hưởng đến ISMS, theo hướng tích cực hoặc tiêu cực. Nó cần biết thêm bối cảnh bên trong và
bên ngoài có liên quan đến mục đích của nó và điều đó ảnh hưởng đến khả năng đạt được kết
quả dự kiến của ISMS. Các kết quả dự kiến phải đảm bảo duy trì tính bảo mật, tính toàn vẹn
và tính sẵn có của thông tin bằng cách áp dụng quy trình quản lý rủi ro và biết rủi ro nào
được quản lý thỏa đáng.
Để xác định rủi ro một cách đáng tin cậy, tổ chức cần hiểu đầy đủ chi tiết về các tình
huống hoạt động của tổ chức. Điều này có nghĩa là tổ chức cần thu thập thông tin liên quan đến
bối cảnh bên trong và bên ngoài của tổ chức, các bên quan tâm và các yêu cầu của họ (xem
ISO/IEC 27001:2022, 4.1 và 4.2). Việc thu thập thông tin này phải được thực hiện trước khi tổ
chức thực hiện bất kỳ nỗ lực nào nhằm đánh giá rủi ro bảo mật thông tin của mình hoặc thực
tế là bất kỳ rủi ro nào khác có thể ảnh hưởng đến kết quả dự kiến của ISMS (xem ISO/IEC
27001:2022, 6.1.1).
Tổ chức nên xem xét tất cả các nguồn rủi ro bên trong và bên ngoài. Sự hiểu biết của tổ
chức về các bên quan tâm đối lập với tổ chức và lợi ích của họ rất phù hợp.
VÍ DỤ 1 Ví dụ về bên quan tâm có lợi ích trái ngược với mục tiêu của tổ chức
là kẻ tấn công. Kẻ tấn công mong muốn một tổ chức có mức độ bảo mật yếu. Tổ chức
tính đến lợi ích của bên này bằng cách có điều ngược lại (mức độ bảo mật mạnh), tức là tổ chức
xem xét các xung đột có thể xảy ra với các mục tiêu của ISMS. Tổ chức đảm bảo, thông qua các
biện pháp kiểm soát an ninh thông tin hiệu quả, rằng những lợi ích này không được đáp ứng.
Các giao diện với các dịch vụ hoặc hoạt động không hoàn toàn nằm trong phạm vi của
ISMS cần được xem xét trong quá trình đánh giá rủi ro bảo mật thông tin của tổ chức.
V
Một ví dụ về tình huống như vậy là việc chia sẻ tài sản (ví dụ: cơ sở vật chất, hệ
Í DỤ
thống CNTT và cơ sở dữ liệu)
2
với các tổ chức khác hoặc thuê ngoài một chức năng kinh doanh.
Các yếu tố liên quan khác ảnh hưởng đến an ninh thông tin được xem xét như thế
nào tùy thuộc vào sự lựa chọn phương pháp phân tích và xác định rủi ro của tổ chức.
Các mục tiêu bảo mật thông tin của tổ chức (xem ISO/IEC 27001:2022, 6.2) có thể hạn
chế các tiêu chí chấp nhận rủi ro (ví dụ: mức rủi ro có thể chấp nhận được có thể là một hàm
số của các phần thưởng tiềm năng liên quan đến các hoạt động kinh doanh khác nhau). Hơn
nữa, chính sách bảo mật thông tin có thể hạn chế việc xử lý rủi ro (ví dụ: chính sách đó có
thể loại trừ một số tùy chọn xử lý rủi ro nhất định).
1.2 Sự lãnh đạo và cam kết
GHI CHÚ Điều này liên quan đến ISO/IEC 27001:2022, 5.1
Đầu vào: Thông tin về kết quả đánh giá rủi ro bảo mật thông tin hoặc kết quả xử lý rủi ro bảo mật
thông tin cần được phê duyệt hoặc chứng thực.
Hoạt động : Cấp quản lý phù hợp cần xem xét các kết quả liên quan đến rủi ro
bảo mật thông tin để quyết định hoặc phê duyệt các hành động tiếp theo.
Cò súng : ISO/IEC 27001 yêu cầu cấp độ quản lý phù hợp để tham gia vào tất cả các hoạt
động liên quan đến rủi ro bảo mật thông tin.
Đầu ra: Các quyết định hoặc chứng thực liên quan đến rủi ro an toàn thông tin.

Lãnh đạo cao nhất chịu trách nhiệm quản lý rủi ro và phải lãnh đạo và thúc đẩy việc đánh
giá rủi ro, bao gồm:
- đảm bảo rằng các nguồn lực cần thiết được phân bổ để quản lý rủi ro;
- phân công quyền hạn, trách nhiệm và trách nhiệm giải trình ở các cấp thích hợp trong tổ
chức liên quan đến quản lý rủi ro;
- trao đổi thông tin với các bên quan tâm thích hợp.
1.3 Trao đổi thông tin và tư vấn
LƯU Ý 1: Điều này liên quan đến ISO/IEC 27001:2022, 7.4.
LƯU Ý 2: ISO/IEC 27001 đề cập trực tiếp đến phần giao tiếp của hoạt động này.
Đầu vào: Thông tin về rủi ro, nguyên nhân, hậu quả và khả năng xảy ra của chúng được
xác định thông qua quá trình quản lý rủi ro.
Hoạt động : Thông tin về rủi ro, nguyên nhân, hậu quả, khả năng xảy ra và các biện pháp
kiểm soát được thực hiện để xử lý chúng phải được truyền đạt tới hoặc thu được từ các bên
quan tâm bên ngoài và bên trong.
Cò súng : ISO/IEC 27001 yêu cầu sự giao tiếp như vậy.
đầu ra : Nhận thức và hiểu biết liên tục của các bên quan tâm liên quan về quy trình và kết quả
quản lý rủi ro an toàn thông tin của tổ chức.
Hoạt động trao đổi thông tin và tư vấn nhằm đạt được thỏa thuận về cách quản lý rủi ro
bằng cách trao đổi và/hoặc chia sẻ thông tin về rủi ro với chủ sở hữu rủi ro và các bên quan tâm
có liên quan khác.
Thông tin bao gồm, nhưng không giới hạn, sự tồn tại, bản chất, hình thức, khả năng
xảy ra, hậu quả, tầm quan trọng, cách xử lý và chấp nhận rủi ro.
ISO/IEC 27001:2022, 6.1.2 c) 2), yêu cầu xác định chủ sở hữu của các rủi ro bảo mật thông tin.
Quyền sở hữu rủi ro có thể bị nhầm lẫn hoặc che giấu một cách có chủ ý. Ngay cả khi có thể xác định
được chủ sở hữu rủi ro, họ vẫn có thể miễn cưỡng thừa nhận rằng họ chịu trách nhiệm về những rủi
ro mà họ sở hữu và việc thu hút họ tham gia vào quá trình quản lý rủi ro có thể khó khăn. Cần có
một quy trình truyền thông xác định để thông báo cho những người có liên
LƯU Ý 1 Điều này liên quan đến ISO/IEC 27001:2022, 7.4.
LƯU Ý 2 ISO/IEC 27001 đề cập trực tiếp đến phần giao tiếp của hoạt động này.
ISO/IEC 27001:2022, 6.1.2 c) 2), yêu cầu xác định chủ sở hữu của các rủi ro bảo mật
thông tin. Quyền sở hữu rủi ro có thể bị nhầm lẫn hoặc che giấu một cách có chủ ý. Ngay cả khi
có thể xác định được chủ sở hữu rủi ro, họ vẫn có thể miễn cưỡng thừa nhận rằng họ chịu
trách nhiệm về những rủi ro mà họ sở hữu và việc thu hút họ tham gia vào quá trình quản lý
rủi ro có thể khó khăn. Cần có một quy trình truyền thông xác định để thông báo cho những
người có liên quan về quyền sở hữu rủi ro.
ISO/IEC 27001:2022, 6.1.3 f), yêu cầu chủ sở hữu rủi ro phê duyệt (các) kế hoạch xử lý
rủi ro và quyết định chấp nhận rủi ro tồn dư. Trao đổi thông tin giữa chủ sở hữu rủi ro và
nhân viên chịu trách nhiệm thực hiện ISMS là một hoạt động quan trọng. Cần có sự thống
nhất về cách quản lý rủi ro bằng cách trao đổi và/hoặc chia sẻ thông tin về rủi ro với chủ sở
hữu rủi ro và có thể với các bên quan tâm khác cũng như những người ra quyết định.
Thông tin bao gồm nhưng không giới hạn ở sự tồn tại, bản chất, hình thức, khả năng xảy
ra, tầm quan trọng, cách xử lý và chấp nhận rủi ro. Giao tiếp nên được hai chiều.
LƯU Ý 1 Điều này liên quan đến ISO/IEC 27001:2022, 7.4.
LƯU Ý 2 ISO/IEC 27001 đề cập trực tiếp đến phần giao tiếp của hoạt động này.

ISO/IEC 27001:2022, 6.1.2 c) 2), yêu cầu xác định chủ sở hữu của các rủi ro bảo mật
thông tin. Quyền sở hữu rủi ro có thể bị nhầm lẫn hoặc che giấu một cách có chủ ý. Ngay cả khi
có thể xác định được chủ sở hữu rủi ro, họ vẫn có thể miễn cưỡng thừa nhận rằng họ chịu
trách nhiệm về những rủi ro mà họ sở hữu và việc thu hút họ tham gia vào quá trình quản lý
rủi ro có thể khó khăn. Cần có một quy trình truyền thông xác định để thông báo cho những
người có liên quan về quyền sở hữu rủi ro.
ISO/IEC 27001:2022, 6.1.3 f), yêu cầu chủ sở hữu rủi ro phê duyệt (các) kế hoạch xử lý
rủi ro và quyết định chấp nhận rủi ro tồn dư. Trao đổi thông tin giữa chủ sở hữu rủi ro và
nhân viên chịu trách nhiệm thực hiện ISMS là một hoạt động quan trọng. Cần có sự thống
nhất về cách quản lý rủi ro bằng cách trao đổi và/hoặc chia sẻ thông tin về rủi ro với chủ sở
hữu rủi ro và có thể với các bên quan tâm khác cũng như những người ra quyết định.
Thông tin bao gồm nhưng không giới hạn ở sự tồn tại, bản chất, hình thức, khả năng xảy
ra, tầm quan trọng, cách xử lý và chấp nhận rủi ro. Giao tiếp nên được hai chiều.
Tùy thuộc vào tính chất và độ nhạy cảm của (các) rủi ro, có thể cần phải hạn chế một số
thông tin về rủi ro, đánh giá và xử lý chúng trên cơ sở cần biết đối với những người chịu trách
nhiệm xác định, đánh giá và xử lý chúng. Truyền thông rủi ro phải được kiểm soát trên cơ sở
“cần biết”, có tính đến mức độ chi tiết được yêu cầu bởi các bên quan tâm khác nhau, có tham
vấn với chủ sở hữu rủi ro hoặc chủ sở hữu tiềm năng, nhằm mục đích tránh công khai các rủi ro
nhạy cảm hơn và các rủi ro liên quan của chúng. điểm yếu đã biết.
Nhận thức về rủi ro có thể khác nhau do sự khác biệt về giả định, khái niệm, nhu
cầu, vấn đề và mối quan tâm của các bên quan tâm thích hợp khi chúng liên quan đến rủi ro
hoặc các vấn đề đang thảo luận. Các bên quan tâm có thể đưa ra đánh giá về việc chấp nhận
rủi ro dựa trên nhận thức của họ về rủi ro. Điều này đặc biệt quan trọng để đảm bảo rằng
nhận thức của các bên quan tâm về rủi ro cũng như nhận thức của họ về lợi ích có thể được
xác định và ghi lại và các lý do cơ bản được hiểu và giải quyết rõ ràng.
Trao đổi thông tin và tham vấn liên quan đến rủi ro có thể giúp cải thiện sự tham gia
của các bên quan tâm với những gì đang được thực hiện và giúp các bên quan tâm có quyền
sở hữu các quyết định và kết quả phù hợp. Trao đổi thông tin và tham vấn với các bên quan
tâm, khi các tiêu chí được phát triển và khi các phương pháp đánh giá rủi ro được lựa chọn,
cũng có thể cải thiện quyền sở hữu kết quả của các bên quan tâm. Các bên quan tâm ít có khả
năng đặt câu hỏi về kết quả của các quy trình mà họ đã hỗ trợ thiết kế. Kết quả là, khả năng
họ chấp nhận những phát hiện và hỗ trợ các kế hoạch hành động thường tăng lên. Trong
trường hợp các bên quan tâm là người quản lý, điều này có thể xây dựng cam kết đạt được
các mục tiêu quản lý rủi ro và cung cấp các nguồn lực cần thiết.
Truyền thông rủi ro cần được thực hiện để:
- cung cấp sự đảm bảo về kết quả quản lý rủi ro của tổ chức;
- thu thập thông tin rủi ro;
- chia sẻ kết quả từ việc đánh giá rủi ro và trình bày kế hoạch xử lý rủi ro;
– tránh hoặc giảm thiểu sự xuất hiện và hậu quả của các vi phạm an toàn thông tin do
thiếu sự hiểu biết lẫn nhau giữa chủ sở hữu rủi ro và các bên quan tâm;
- hỗ trợ chủ sở hữu rủi ro;

- có được kiến thức mới về an toàn thông tin;
– phối hợp với các bên khác và lập kế hoạch ứng phó nhằm giảm thiểu hậu quả của mọi sự cố;
- mang lại ý thức trách nhiệm cho chủ sở hữu rủi ro và các bên khác có lợi ích hợp pháp khi gặp rủi
ro;
- nâng cao nhận thức.
Tổ chức cần xây dựng kế hoạch truyền thông rủi ro cho các hoạt động thông thường
cũng như cho các trường hợp khẩn cấp. Hoạt động tư vấn và truyền thông rủi ro phải được
thực hiện liên tục.
Sự phối hợp giữa các chủ sở hữu rủi ro chính và các bên quan tâm có liên quan có thể
đạt được bằng cách thành lập một ủy ban để tranh luận về các rủi ro, mức độ ưu tiên và
cách xử lý thích hợp cũng như sự chấp nhận có thể diễn ra.
Truyền thông về rủi ro có thể được tự nguyện chuyển tiếp cho các bên thứ ba bên
ngoài để cho phép quản lý rủi ro hoặc phối hợp hoặc nhận thức ứng phó tốt hơn và cũng có
thể được yêu cầu bởi các cơ quan quản lý hoặc đối tác kinh doanh trong một số trường hợp
nhất định.
Điều quan trọng là phải hợp tác với đơn vị quan hệ công chúng hoặc truyền thông phù
hợp trong tổ chức để điều phối tất cả các nhiệm vụ liên quan đến truyền thông rủi ro. Điều
này rất quan trọng trong trường hợp kích hoạt truyền thông trong khủng hoảng, ví dụ như để
ứng phó với các sự cố cụ thể.
1.6 Thông tin dạng văn bản
1.6.1 Tổng quan
GHI CHÚ Điều này liên quan đến ISO/IEC 27001:2022, 7.5.
ISO/IEC 27001 quy định các yêu cầu đối với tổ chức trong việc lưu giữ thông tin dạng
văn bản liên quan đến quá trình đánh giá rủi ro (xem ISO/IEC 27001:2022, 6.1.2) và các kết
quả (xem ISO/IEC 27001:2022, 8.2); quá trình xử lý rủi ro (ISO/IEC 27001:2022, 6.1.3) và
kết quả (ISO/IEC 27001:2022, 8.3).
1.6.2 Thông tin dạng văn bản về các quá trình
Đầu vào: Kiến thức về quy trình đánh giá và xử lý rủi ro an toàn thông tin theo quy
địnhĐiều 7 Vàsố 8 , do tổ chức xác định.
Hoạt động: Thông tin về quá trình đánh giá và xử lý rủi ro an toàn thông tin phải được
ghi lại và lưu giữ.
Cò súng: ISO/IEC 27001 yêu cầu thông tin dạng văn bản về quy trình đánh giá và xử lý rủi ro bảo mật
thông tin.
Đầu ra: Thông tin dạng văn bản được yêu cầu bởi các bên quan tâm (ví dụ: tổ chức chứng
nhận) hoặc được tổ chức xác định là cần thiết để đảm bảo tính hiệu quả của quy trình đánh
giá rủi ro bảo mật thông tin hoặc quy trình xử lý rủi ro bảo mật thông tin.
Thông tin dạng văn bản về quy trình đánh giá rủi ro bảo mật thông tin phải bao gồm:
a) định nghĩa về tiêu chí rủi ro (bao gồm tiêu chí chấp nhận rủi ro và tiêu chí để thực hiện
đánh giá rủi ro an toàn thông tin);
b) lập luận về tính nhất quán, giá trị và khả năng so sánh của các kết quả;
c) mô tả phương pháp xác định rủi ro (bao gồm cả việc xác định chủ sở hữu rủi ro);
d) mô tả phương pháp phân tích rủi ro an toàn thông tin (bao gồm đánh giá các hậu quả
tiềm ẩn, khả năng thực tế và mức độ rủi ro phát sinh);
e) mô tả phương pháp so sánh kết quả với tiêu chí rủi ro và mức độ ưu tiên của rủi ro để
xử lý rủi ro.
Thông tin dạng văn bản về quy trình xử lý rủi ro bảo mật thông tin phải bao gồm các
mô tả về:
- phương pháp lựa chọn các phương án xử lý rủi ro an toàn thông tin thích hợp;
-phương pháp xác định các biện pháp kiểm soát cần thiết;
- cách sử dụng ISO/IEC 27001:2022, Phụ lục A để xác định rằng các biện pháp kiểm soát cần
thiết không vô tình bị bỏ qua;
-kế hoạch xử lý rủi ro được xây dựng như thế nào;
-cách thức đạt được sự chấp thuận của chủ sở hữu rủi ro.
1.6.3 Thông tin dạng văn bản về kết quả
Đầu vào: Kết quả đánh giá và xử lý rủi ro an toàn thông tin.
Hoạt động: Thông tin về kết quả đánh giá và xử lý rủi ro an toàn thông tin phải được
ghi lại và lưu giữ.
Cò súng: ISO/IEC 27001 yêu cầu thông tin dạng văn bản về kết quả đánh giá và xử lý rủi ro
bảo mật thông tin.
Đầu ra: Thông tin dạng văn bản về kết quả đánh giá và xử lý rủi ro an toàn thông tin.
Vì tổ chức được yêu cầu thực hiện đánh giá rủi ro theo các khoảng thời gian đã được
hoạch định hoặc khi có đề xuất hoặc xảy ra những thay đổi đáng kể nên ít nhất phải có
bằng chứng về lịch trình và các đánh giá rủi ro được thực hiện theo lịch trình đó. Nếu một
thay đổi được đề xuất hoặc đã xảy ra thì cần có bằng chứng về việc thực hiện đánh giá rủi
ro liên quan. Mặt khác, tổ chức nên giải thích tại sao sự thay đổi đó lại quan trọng hay
không.
Thông tin dạng văn bản về kết quả đánh giá rủi ro an toàn thông tin phải bao gồm:
a) những rủi ro được xác định, hậu quả và khả năng xảy ra của chúng;
b)nhận dạng của (các) chủ sở hữu rủi ro;
c)kết quả của việc áp dụng tiêu chí chấp nhận rủi ro;
d) mức độ ưu tiên xử lý rủi ro.
Việc ghi lại lý do căn bản cho các quyết định rủi ro cũng được khuyến nghị, để vừa
rút kinh nghiệm từ sai sót trong từng trường hợp vừa tạo điều kiện cho việc cải tiến liên
tục.
Thông tin dạng văn bản về kết quả xử lý rủi ro an toàn thông tin phải bao gồm:
- xác định các biện pháp kiểm soát cần thiết;
-khi thích hợp và sẵn có, bằng chứng cho thấy các biện pháp kiểm soát cần thiết này có tác
dụng làm thay đổi rủi ro nhằm đáp ứng các tiêu chí chấp nhận rủi ro của tổ chức.
1.7 Giám sát và xem xét
1.7.1 Tổng quan
Quá trình giám sát của tổ chức (xem ISO/IEC 27001:2022, 9.1) phải bao gồm tất cả các
khía cạnh của quá trình đánh giá rủi ro và xử lý rủi ro nhằm mục đích:
a) đảm bảo rằng việc xử lý rủi ro có hiệu lực, hiệu quả và kinh tế trong cả thiết kế và vận hành;
b)thu thập thông tin để cải thiện việc đánh giá rủi ro trong tương lai;
c) phân tích và rút ra bài học từ các sự cố (bao gồm cả tình huống suýt xảy ra), những
thay đổi, xu hướng, thành công và thất bại;
d) phát hiện những thay đổi trong bối cảnh bên trong và bên ngoài, bao gồm những thay đổi
về tiêu chí rủi ro và bản thân rủi ro, có thể yêu cầu xem xét lại các ưu tiên và xử lý rủi
ro;
e) xác định các rủi ro mới nổi.
Các kịch bản rủi ro được giữ lại, đến từ các hoạt động quản lý rủi ro, có thể được
chuyển thành các kịch bản giám sát nhằm đảm bảo quá trình giám sát hiệu quả. Thông tin chi
tiết hơn về các kịch bản giám sát được đưa ra trong
A.2.7 .
10.5.2 Giám sát và xem xét các yếu tố ảnh hưởng đến rủi ro
Đầu vào: Tất cả các thông tin rủi ro thu được từ hoạt động quản lý rủi ro.
Hoạt động : Rủi ro và các yếu tố của chúng (ví dụ giá trị tài sản, hậu quả, mối đe dọa,
điểm yếu, khả năng xảy ra) cần được theo dõi và xem xét để xác định bất kỳ thay đổi nào
trong bối cảnh của tổ chức ở giai đoạn đầu và để duy trì cái nhìn tổng quan về toàn bộ rủi
ro hình ảnh.
Cò súng: Xem xét chính sách của tổ chức và phát hiện bất kỳ thay đổi nào đối với môi
trường hoạt động hoặc mối đe dọa hiện tại.
đầu ra : Liên tục liên kết việc quản lý rủi ro với các mục tiêu kinh doanh của tổ chức và với các tiêu chí
chấp nhận rủi ro.
ISO/IEC 27001:2022, 9.1, yêu cầu các tổ chức đánh giá hiệu suất bảo mật thông tin của
họ (và hiệu quả của ISMS). Theo yêu cầu này, tổ chức nên sử dụng (các) kế hoạch xử lý rủi ro
của mình làm chủ đề để đánh giá hiệu quả hoạt động của mình. Để làm được điều này, trước
tiên tổ chức cần xác định một hoặc nhiều nhu cầu thông tin, ví dụ để mô tả những gì lãnh đạo
cấp cao mong muốn biết về khả năng của tổ chức trong việc tự bảo vệ mình trước các mối đe
dọa. Khi sử dụng thông tin này làm thông số kỹ thuật cấp cao nhất, tổ chức cần xác định các
phép đo mà tổ chức cần thực hiện và cách kết hợp các phép đo đó để đáp ứng nhu cầu thông tin.
Rủi ro không phải là tĩnh. Các kịch bản sự kiện, giá trị tài sản, mối đe dọa, lỗ hổng, khả
năng xảy ra và hậu quả có thể thay đổi đột ngột mà không có bất kỳ dấu hiệu nào. Cần tiến
hành giám sát liên tục để phát hiện những thay đổi này. Điều này có thể được hỗ trợ bởi các
dịch vụ bên ngoài cung cấp thông tin về các mối đe dọa hoặc lỗ hổng mới. Tổ chức cần đảm bảo
giám sát liên tục các yếu tố liên quan, chẳng hạn như:
a) các nguồn rủi ro mới, bao gồm các lỗ hổng CNTT mới được báo cáo;
b) các tài sản mới được đưa vào phạm vi quản lý rủi ro;
c) sửa đổi cần thiết về giá trị tài sản (ví dụ do các yêu cầu kinh doanh thay đổi);
d) các điểm yếu được xác định để xác định những điểm yếu có nguy cơ gặp phải các mối đe
dọa mới hoặc tái xuất hiện;
e) những thay đổi trong mô hình sử dụng công nghệ hiện có hoặc công nghệ mới có thể
mở ra những cơ hội tấn công mới;
f)những thay đổi về luật và quy định;
g) những thay đổi trong khẩu vị rủi ro và nhận thức về những gì hiện có thể chấp nhận
được và những gì không còn có thể chấp nhận được;
h) các sự cố an toàn thông tin, cả bên trong và bên ngoài tổ chức.
Các nguồn rủi ro mới hoặc những thay đổi về khả năng xảy ra hoặc hậu quả có thể
làm tăng rủi ro đã được đánh giá trước đó. Việc xem xét các rủi ro ở mức độ thấp và rủi ro
còn lại cần xem xét từng rủi ro một cách riêng biệt và tất cả các rủi ro đó ở dạng tổng hợp
để đánh giá hậu quả tích lũy tiềm ẩn của chúng. Nếu rủi ro không còn thuộc loại rủi ro thấp
hoặc có thể chấp nhận được thì chúng phải được xử lý bằng một hoặc nhiều phương án
trong8.2 .
Các yếu tố ảnh hưởng đến khả năng xảy ra sự kiện và hậu quả tương ứng của chúng có
thể thay đổi, cũng như các yếu tố ảnh hưởng đến sự phù hợp hoặc chi phí của các phương án xử
lý khác nhau.
Những thay đổi lớn ảnh hưởng đến tổ chức phải là lý do để xem xét cụ thể hơn. Các
hoạt động giám sát rủi ro cần được lặp lại thường xuyên và các phương án đã chọn để xử lý
rủi ro cần được xem xét định kỳ.
Các mối đe dọa, lỗ hổng hoặc những thay đổi mới về khả năng xảy
ra hoặc hậu quả có thể làm tăng các rủi ro được đánh giá là thấp trước
đây. Việc xem xét các rủi ro ở mức độ thấp và rủi ro còn lại cần xem xét
từng rủi ro một cách riêng biệt và tất cả các rủi ro đó ở dạng tổng hợp để
đánh giá hậu quả tích lũy tiềm ẩn của chúng. Nếu rủi ro không thuộc loại
rủi ro thấp hoặc có thể chấp nhận được thì chúng phải được xử lý bằng
một hoặc nhiều phương án được xem xét trongĐiều 8 .
Các yếu tố ảnh hưởng đến khả năng xảy ra các mối đe dọa và hậu quả
tương ứng của chúng có thể thay đổi, cũng như các yếu tố ảnh hưởng đến sự
phù hợp hoặc chi phí của các lựa chọn xử lý khác nhau.
Những thay đổi lớn ảnh hưởng đến tổ chức phải là lý do để xem
xét cụ thể hơn. Các hoạt động giám sát rủi ro cần được lặp lại thường
xuyên và các phương án đã chọn để xử lý rủi ro cần được xem xét định
kỳ.
Kết quả của các hoạt động giám sát rủi ro có thể là đầu vào cho các
hoạt động xem xét rủi ro khác. Tổ chức nên xem xét tất cả các rủi ro một
cách thường xuyên và khi có đề xuất hoặc xảy ra những thay đổi lớn theo
tiêu chuẩn ISO/IEC 27001:2022, Điều 8.
1.8 Xem xét của lãnh đạo
Đầu vào : Kết quả đánh giá rủi ro an toàn thông tin, tình trạng kế
hoạch xử lý rủi ro an toàn thông tin.
Hoạt động : Cần xem xét kết quả đánh giá rủi ro bảo mật thông tin
và trạng thái của kế hoạch xử lý rủi ro bảo mật thông tin để xác nhận rằng
các rủi ro còn sót lại đáp ứng tiêu chí chấp nhận rủi ro và kế hoạch xử lý
rủi ro giải quyết tất cả các rủi ro liên quan cũng như các lựa chọn xử lý
rủi ro của chúng.
Cò súng : Là một phần của lịch hoạt động đánh giá đã được lên lịch.
Đầu ra: Những thay đổi về tiêu chí chấp nhận rủi ro và tiêu
chí thực hiện đánh giá rủi ro bảo mật thông tin, kế hoạch xử lý rủi
ro bảo mật thông tin hoặc SOA được cập nhật.
1.9 Hành động khắc phục
Đầu vào : Kế hoạch xử lý rủi ro tỏ ra không hiệu quả, nghĩa là rủi

ro tồn dư sẽ duy trì ở mức không thể chấp nhận được sau khi kế hoạch
xử lý hoàn tất.
Hoạt động : Sửa đổi kế hoạch xử lý rủi ro và thực hiện kế hoạch đó để

điều chỉnh rủi ro tồn dư xuống mức có thể chấp nhận được.
Cò súng : Quyết định điều chỉnh phương án xử lý rủi ro.
đầu ra : Kế hoạch xử lý rủi ro được sửa đổi và việc thực hiện kế hoạch đó.
Những điểm không phù hợp liên quan đến tính hiệu quả của kế
hoạch xử lý rủi ro có thể được phát hiện thông qua kiểm toán nội bộ
hoặc bên ngoài hoặc thông qua giám sát và chỉ báo. Kế hoạch điều trị
cần được sửa đổi để phản ánh:
- kết quả của quá trình xử lý rủi ro an toàn thông tin;
-thực hiện dần dần kế hoạch (ví dụ: biện pháp kiểm soát được thực hiện theo quy
định, như thiết kế, đã được xây dựng);
— những khó khăn được xác định trong việc thực hiện các biện pháp
kiểm soát (ví dụ: các vấn đề kỹ thuật hoặc tài chính, sự không nhất
quán với các yếu tố bên trong hoặc bên ngoài như các cân nhắc về
quyền riêng tư).
Cũng có những trường hợp ngay cả khi rủi ro còn lại có thể chấp
nhận được sau khi kế hoạch xử lý hoàn tất, người dùng sẽ từ chối sử dụng
nó hoặc cố gắng tránh né vì những biện pháp kiểm soát này không được
người dùng chấp nhận về mặt dễ sử dụng (ví dụ: không tiện dụng, quá phức
tạp hoặc quá dài).
Tổ chức cần xem xét tính hiệu quả của kế hoạch xử lý đã sửa đổi.
1.10 Cải tiến liên tục
GHI CHÚ Điều này liên quan đến ISO/IEC 27001:2022, 10.2
Đầu vào: Tất cả các thông tin rủi ro thu được từ hoạt động quản lý
rủi ro.
Hoạt động : Quy trình quản lý rủi ro an toàn thông tin cần được theo dõi, xem
xét và cải tiến liên tục khi cần thiết.
Cò súng : Tổ chức tìm cách cải thiện và trưởng thành từ những

bài học kinh nghiệm trong quá trình quản lý rủi ro bảo mật thông tin.
Đầu ra: Sự liên quan liên tục của quy trình quản lý rủi ro an toàn
thông tin với các mục tiêu kinh doanh của tổ chức hoặc cập nhật quy
trình.
Hướng dẫn thực hiện :
Việc giám sát và xem xét liên tục để đảm bảo rằng bối cảnh, kết
quả đánh giá rủi ro và xử lý rủi ro cũng như các kế hoạch quản lý vẫn
phù hợp và phù hợp với hoàn cảnh là cần thiết để đảm bảo rằng quy
trình quản lý rủi ro an toàn thông tin là chính xác.
Tổ chức cần đảm bảo rằng quy trình quản lý rủi ro an toàn thông
tin và các hoạt động liên quan vẫn phù hợp trong hoàn cảnh hiện tại và
được tuân thủ. Bất kỳ cải tiến nào đã được thống nhất đối với quy trình
hoặc các hành động cần thiết để cải thiện sự tuân thủ quy trình đều phải
được thông báo cho người quản lý có trách nhiệm. Những người quản lý
này cần được đảm bảo rằng không có rủi ro hoặc yếu tố rủi ro nào bị bỏ
qua hoặc đánh giá thấp và rằng các hành động cần thiết được thực hiện và
các quyết định được đưa ra để cung cấp sự hiểu biết thực tế về rủi ro và
khả năng ứng phó.
Cần lưu ý rằng quy trình quản lý thay đổi cần liên tục cung cấp
phản hồi cho quy trình quản lý rủi ro để đảm bảo rằng các biến thể của
hệ thống thông tin có khả năng sửa đổi rủi ro sẽ được tính đến kịp thời,
thậm chí sửa đổi các hoạt động đánh giá rủi ro để đánh giá chúng một
cách chính xác.
Ngoài ra, tổ chức phải thường xuyên xác minh các tiêu chí được sử dụng để đo
lường
rủi ro. Việc xác minh này phải đảm bảo rằng tất cả các yếu tố vẫn
hợp lệ và nhất quán với các mục tiêu, chiến lược và chính sách kinh
doanh, đồng thời những thay đổi về bối cảnh kinh doanh được xem xét
đầy đủ trong quá trình quản lý rủi ro an toàn thông tin. Hoạt động giám
sát và đánh giá này cần giải quyết (nhưng không giới hạn):
- bối cảnh pháp lý và môi trường;
- bối cảnh cạnh tranh;
- phương pháp đánh giá rủi ro;
- giá trị và phân loại tài sản;
- tiêu chí về hệ quả;
-tiêu chí khả năng xảy ra;
- tiêu chí đánh giá rủi ro;
- tiêu chí chấp nhận rủi ro;
- tổng chi phí sở hữu;
- các nguồn lực cần thiết.
Tổ chức cần đảm bảo rằng các nguồn lực đánh giá rủi ro và xử
lý rủi ro luôn sẵn có để xem xét rủi ro, giải quyết các mối đe dọa hoặc
điểm yếu mới hoặc đã thay đổi và để tư vấn cho ban quản lý một cách phù
hợp.
Giám sát quản lý rủi ro có thể dẫn đến sửa đổi hoặc bổ sung cách
tiếp cận, phương pháp hoặc công cụ được sử dụng tùy thuộc vào:
- mức độ rủi ro của tổ chức;
-những thay đổi được xác định;
- lặp lại đánh giá rủi ro;
— mục đích của quá trình quản lý rủi ro an toàn thông tin (ví dụ như
tính liên tục trong kinh doanh, khả năng phục hồi sau các sự cố, sự
tuân thủ);
— đối tượng của quá trình quản lý rủi ro an toàn thông tin (ví dụ: tổ
chức, đơn vị kinh doanh, quy trình thông tin, triển khai kỹ thuật,
ứng dụng, kết nối Internet).
Các chu trình quản lý rủi ro liên quan đến phạm vi đánh giá rủi ro và xử lý
rủi ro được trình bày trong5.2

QLATTT

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

QLATTT

Uploaded by

Copyright:

Available Formats

1 Tận dụng các quy trình ISMS liên quan

1.1 Bối cảnh của tổ chức

Hướng dẫn thực hiện:

1.2 Sự lãnh đạo và cam kết

Hướng dẫn thực hiện:

1.3 Trao đổi thông tin và tư vấn

LƯU Ý 1: Điều này liên quan đến ISO/IEC 27001:2022, 7.4.

Cò súng : ISO/IEC 27001 yêu cầu sự giao tiếp như vậy.

Hướng dẫn thực hiện:

Hướng dẫn thực hiện:

1.4 Trao đổi thông tin và tư vấn

LƯU Ý 1 Điều này liên quan đến ISO/IEC 27001:2022, 7.4.

Hướng dẫn thực hiện:

Hướng dẫn thực hiện:

1.5 Trao đổi thông tin và tư vấn

LƯU Ý 1 Điều này liên quan đến ISO/IEC 27001:2022, 7.4.

Cò súng : ISO/IEC 27001 yêu cầu sự giao tiếp như vậy.

Hướng dẫn thực hiện:

Truyền thông rủi ro cần được thực hiện để:

- thu thập thông tin rủi ro;

- hỗ trợ chủ sở hữu rủi ro;

- nâng cao nhận thức.

1.6.1 Tổng quan

1.6.2 Thông tin dạng văn bản về các quá trình

Hướng dẫn thực hiện:

-kế hoạch xử lý rủi ro được xây dựng như thế nào;

1.6.3 Thông tin dạng văn bản về kết quả

Hướng dẫn thực hiện:

b)nhận dạng của (các) chủ sở hữu rủi ro;

d) mức độ ưu tiên xử lý rủi ro.

- xác định các biện pháp kiểm soát cần thiết;

1.7.1 Tổng quan

e) xác định các rủi ro mới nổi.

Hướng dẫn thực hiện:

f)những thay đổi về luật và quy định;

h) các sự cố an toàn thông tin, cả bên trong và bên ngoài tổ chức.

1.8 Xem xét của lãnh đạo

1.9 Hành động khắc phục

Đầu vào : Kế hoạch xử lý rủi ro tỏ ra không hiệu quả, nghĩa là rủi

Hoạt động : Sửa đổi kế hoạch xử lý rủi ro và thực hiện kế hoạch đó để

Cò súng : Quyết định điều chỉnh phương án xử lý rủi ro.

- kết quả của quá trình xử lý rủi ro an toàn thông tin;

1.10 Cải tiến liên tục

Cò súng : Tổ chức tìm cách cải thiện và trưởng thành từ những

Hướng dẫn thực hiện :

- bối cảnh pháp lý và môi trường;

- bối cảnh cạnh tranh;

- phương pháp đánh giá rủi ro;

- giá trị và phân loại tài sản;

- tiêu chí về hệ quả;

-tiêu chí khả năng xảy ra;

- tiêu chí đánh giá rủi ro;

- tiêu chí chấp nhận rủi ro;

- tổng chi phí sở hữu;

- các nguồn lực cần thiết.

-những thay đổi được xác định;

- lặp lại đánh giá rủi ro;

You might also like