Công ty TNHH tư vấn giải pháp Trí Việt

Các giai đoạn triển khai ISO 27001

Bảo mật dữ liệu thông tin là một trong những điều kiện bắt buộc quan trọng hàng đầu đối với mọi doanh nghiệp, không phân biệt quy mô, loại hình và khu vực. Nếu doanh nghiệp của bạn còn đang gặp khó khăn trong việc xây dựng hệ thống quản lý an toàn thông tin (ISMS) đáp ứng tiêu chuẩn ISO 27001. Vậy hãy cùng Giải Pháp Trí Việt tìm hiểu các giai đoạn triển khai ISO 27001 hiệu quả trong doanh nghiệp.

Giai đoạn 1: Liệt kê tài sản doanh nghiệp

Tài sản của doanh nghiệp được chia thành 6 dạng tồn tại: Thông tin số; Giấy tờ, tài liệu; Phần mềm; Phần cứng/Vật lý; Nhân loại; Dịch vụ bổ sung. Doanh nghiệp cần lưu trữ và tập hợp các loại bảng kê, chứng từ, hợp đồng trên phần mềm (máy tính) và phần cứng (giấy tờ, sổ sách). Trong đó luôn luôn phải đề cập đến các loại tài sản mà doanh nghiệp sở hữu và hiện đang sử dụng.

Giai đoạn 1: Liệt kê tài sản doanh nghiệp
Các giai đoạn triển khai xây dựng theo tiêu chuẩn ISO 27001 mới nhất

Trong một doanh nghiệp không phải tài sản nào cũng cần bảo mật, các doanh nghiệp khác nhau sẽ có những thông tin cần bảo mật khác nhau, thậm chí tùy từng thời điểm phạm vi bảo mật có thể thay đổi cho phù hợp với tình hình. Việc xác định các loại tài sản sẽ giúp doanh nghiệp dễ dàng khoanh vùng phạm vi triển khai ISMS, lựa chọn phần tài sản nào cần bảo vệ, loại bỏ những thông tin không cần thiết để thiết lập xây dựng hệ thống bảo mật.

Giai đoạn 2: Đánh giá tài sản doanh nghiệp

Đây là giai đoạn mà doanh nghiệp cần tiến hành định giá đối với những tài sản thuộc danh mục tài sản cần bảo vệ tối ưu. Mấu chốt của giai đoạn này nằm ở cách định giá tài sản một cách đúng đắn và phù hợp. Bởi nó không chỉ đơn giản là xác định một tài sản trị giá bao nhiêu tiền (về mặt định lượng) mà còn là xác định những hệ lụy, hậu quả mà tài sản đó mang lại liên quan đến các vấn đề uy tín, hình ảnh của doanh nghiệp, mất khách hàng, mất thị trường kinh doanh,…

Có tài sản để sở hữu nó, doanh nghiệp không mất nhiều chi phí nhưng nếu để mất thì sẽ gây thiệt hại vô cùng lớn không chỉ tính bằng tiền. Đây được xem là bước quan trọng trong các giai đoạn triển khai xây dựng hệ thống theo ISO 27001.

Giai đoạn 3: Xác định các mối hiểm nguy

Doanh nghiệp liệt kê các mối rủi ro, nguy cơ đối với tài sản cần bảo đảm. Những mối nguy hiểm này có thể rất cụ thể từ tương lai gần như quên mật khẩu, bị hack tài khoản, mất chìa khóa, mất công cụ làm việc (điện thoại, máy tính,…). Cho đến những mối nguy hiểm xa nhất có thể xảy ra hoặc không thể xảy ra, chẳng hạn như khủng hoảng, thiên tai làm mất dữ liệu thông tin doanh nghiệp.

Giai đoạn 4: Tính toán các nguy cơ xảy ra

Xác định các cặp đánh giá khả năng có thể xảy ra trên thực tế theo mô hình “loại tài sản – nguy cơ đối với tài sản đó”. Xác suất xảy ra mối nguy cần được cụ thể hóa bằng các thông tin như bao nhiêu lần một tháng, bao nhiêu lần một năm. Các đánh giá này càng được xác định rõ ràng thì việc định lượng rủi ro càng dễ dàng trong kinh doanh. Bước giai đoạn triển khai theo tiêu chuẩn ISO 27001 này sẽ giúp cho doanh nghiệp hiểu rõ hơn các rủi ro trong tương lai gần.

Xem thêm: 7 Nguyên tắc quản lý chất lượng theo ISO 9001:2015

Giai đoạn 5: Xây dựng các biện pháp giảm thiểu nguy cơ

Sau khi xác định được nguy cơ thiệt hại, doanh nghiệp hoạt động có 3 tình huống để lựa chọn:

  • Chấp nhận: Không hành động và chấp nhận thiệt hại nếu mối đe dọa trở thành sự thật trong tương lai (Trường hợp này phù hợp cho những nguy cơ ít thiệt hại)
  • Giảm thiểu: Thực hiện các biện pháp để giảm khả năng xảy ra mối nguy hiểm. Xây dựng hệ thống quản lý ISMS đáp ứng tiêu chuẩn ISO 27001:2013 được coi là một trong những biện pháp hữu hiệu.
  • Chuyển tiếp rủi ro: Tìm cách chia sẻ rủi ro với một đối tác kinh doanh khác. Mua bảo hiểm là hình thức được nhiều doanh nghiệp lựa chọn nhất để chia sẻ thiệt hại nếu rủi ro xảy ra.
Giai đoạn 5: Xây dựng các biện pháp giảm thiểu nguy cơ
Các giai đoạn xây dựng triển khai theo tiêu chuẩn ISO 27001

Giai đoạn 6: Đánh giá chi phí cho giải pháp giảm thiểu thiệt hại

Doanh nghiệp cần thực hiện các câu hỏi như: “Đầu tư bao nhiêu để giảm thiểu thiệt hại?”, “Sau khi thực hiện giải pháp, doanh nghiệp có chấp nhận rủi ro, thiệt hại còn lại không?”. Nếu câu trả lời là “Không” thì cần xem lại tất cả các bước trên cho đến khi có câu trả lời là “Có”, nghĩa là doanh nghiệp đã hoàn thành giai đoạn xây dựng triển khai theo tiêu chuẩn ISO 27001.

Giai đoạn 7: Triển khai quản lý theo tiêu chuẩn ISO 27001

Các doanh nghiệp tiến hành hoạt động xoay quanh 3 nội dung chính như sau:

  • Thiết kế lại, đầu tư thêm phần kỹ thuật theo tiêu chuẩn quản lý ISO 27001
  • Xây dựng quy chế, quy trình, hướng dẫn và triển khai công tác đào tạo nhân viên
  • Phổ biến nội dung, đảm bảo mọi CBCNV trong doanh nghiệp đều nắm bắt được

Trên đây là một số chia sẻ về các giai đoạn triển khai xây dựng hệ thống quản lý ISO 27001. Nếu doanh nghiệp của bạn cần đào tạo chuyên sâu về ISO 27001, hãy liên hệ với Giải Pháp Trí Việt ngay hôm nay để được tư vấn đào tạo về nhận thức và giải thích các yêu cầu của tiêu chuẩn ISO 27001.

CÔNG TY TNHH TƯ VẤN GIẢI PHÁP TRÍ VIỆT

Hotline0905 626 0900934 000 545

Địa chỉ: 496/1/4B Dương Quảng Hàm, Quận Gò Vấp, TP. Hồ Chí Minh

Email: yen.nt@giaiphaptriviet.com

Website :  https://giaiphaptriviet.com