Bảo mật CNTT để đảm bảo tính liên tục trong kinh doanh - Biện pháp kiểm soát 5.30 trong ISO 27001

Bảo mật CNTT và Truyền thông (ICT) trong tổ chức và Tính liên quan của nó đối với các hoạt động kinh doanh ngày nay

Các công cụ cộng tác như Microsoft Teams, ứng dụng đám mây trên các nền tảng của các nhà cung cấp dịch vụ đám mây lớn, việc sử dụng dịch vụ đám mây và sản xuất được kết nối mạng (Công nghiệp 4.0) đã trở thành một phần cuộc sống hàng ngày trong các doanh nghiệp hiện đại, không chỉ kể từ khi đại dịch vi-rút Corona xảy ra. Công nghệ thông tin và truyền thông hiện đại cho phép các quy trình làm việc diễn ra nhanh chóng và hiệu quả và đã trở thành công cụ không thể thay thế để duy trì các hoạt động kinh doanh trong tất cả các ngành. 

Ngược lại, điều này có nghĩa là tính bảo mật và tính sẵnsàng của CNTT và Truyền thông (ICT) là rất quan trọng - và phải được theo dõi và bảo vệ một cách có hệ thống khỏi sự gián đoạn bằng các biện pháp và quy trình phù hợp nhằm đảm bảo các hoạt động diễn ra suôn sẻ và giảm thiểu mức độ thiệt hại tiềm ẩn. Điều này ngày càng trở nên quan trọng, đặc biệt là trong thời kỳ các mối đe dọa mạng ngày càng gia tăng do xung đột địa chính trị. Các doanh nghiệp có sẵn nhiều công cụ để sử dụng cho mục đích này, được giải thích bằng các thuật ngữ chung dưới đây và sau đó được xem xét trong bối cảnh kiểm soát 5.30 của ISO 27001.

Quản lý kinh doanh liên tục

Quản lý kinh doanh liên tục (BCM), ví dụ như theo  ISO 22301 , là một quy trình quản lý nhằm đảm bảo rằng các chức năng kinh doanh quan trọng không bị gián đoạn nhiều trong và sau sự cố hoặc có thể được khôi phục lại nhanh chóng bằng cách xây dựng, triển khai và xem xét các kế hoạch và chiến lược (khẩn cấp).

Tiêu chuẩn mô tả các biện pháp phòng ngừa, ứng phó về mặt tổ chức chuẩn bị và lập kế hoạch khẩn cấp nhằm tăng độ tin cậy của các hoạt động kinh doanh. Ngoài ra, các biện pháp ứng phó (khắc phục thảm họa) được lên kế hoạch và thực hiện như một phần của tổ chức ứng phó (khẩn cấp) nhằm cho phép phản hồi nhanh chóng và có mục tiêu trong trường hợp có sự gián đoạn đối với quy trình CNTT và giảm thời gian ngừng hoạt động, ví dụ như thông qua CNTT-TT cao. an ninh trong công ty.

BCM là một phần của kế hoạch chiến lược bao gồm xác định các rủi ro và lỗ hổng tiềm ẩn, đánh giá tầm quan trọng của quy trình kinh doanh, phát triển các kế hoạch ứng phó với sự gián đoạn và thử nghiệm các kế hoạch này thông qua các bài tập và mô phỏng thường xuyên. Mục đích của quản lý tính liên tục trong kinh doanh là đảm bảo rằng công ty có thể ứng phó nhanh chóng và hiệu quả với sự gián đoạn. từ đó nâng cao niềm tin của các bên liên quan vào năng lực doanh nghiệp trong việc cung cấp các sản phẩm/dịch vụ ổn định. 

Phân tích tác động đến hoạt động kinh doanh

Phân tích tác động kinh doanh (BIA) là phương pháp được sử dụng trong quản lý tính liên tục trong kinh doanh để ghi lại các quy trình và chức năng kinh doanh quan trọng trong một tổ chức và để xác định sự phụ thuộc lẫn nhau giữa chúng và các nguồn lực cơ bản của chúng. Do đó, đây là một quy trình chiến lược giúp xác định và đánh giá tác động của sự gián đoạn đối với hoạt động kinh doanh. BIA là cơ sở để xác định thời gian phục hồi cần thiết.

BIA thường liên quan đến việc đánh giá mức độ quan trọng của các hoạt động kinh doanh, xác định các nguồn lực cần thiết để hỗ trợ các hoạt động này và xác định tác động của sự gián đoạn đối với các quy trình và tài nguyên này. Phân tích này giúp các công ty hiểu được hậu quả tiềm ẩn của sự gián đoạn và ưu tiên các nỗ lực ứng phó và phục hồi của họ cho phù hợp.

Kết quả của BIA có thể cung cấp thông tin cho việc phát triển kế hoạch kinh doanh liên tục (BCP) và các chiến lược quản lý rủi ro khác để đảm bảo rằng công ty được chuẩn bị tốt hơn để quản lý các sự cố và giảm thiểu tác động của chúng thông qua tính sẵn sàng cao của các hệ thống và cơ cấu doanh nghiệp.

Các khuyến nghị khác để tiến hành phân tích tác động kinh doanh (BIA) cũng có thể được tìm thấy trong hướng dẫn của ISO/TS 22317 .

ISO 27001:2022 là nền tảng cốt lõi của hoạt động kinh doanh liên tục

Công nghệ thông tin và truyền thông (ICT) có tác động đáng kể đến hoạt động kinh doanh liên tục trong một doanh nghiệp. Ví dụ, sự gián đoạn có thể có tác động đáng kể, đặc biệt là trong lĩnh vực cơ sở hạ tầng quan trọng (KRITIS). Vì lý do này, yêu cầu kiểm soát 5.30" Sự sẵn sàng về CNTT để đảm bảo tính liên tục trong kinh doanh" trong Phụ lục A của  ISO/IEC 27001:2022 mới là rất quan trọng.

Mục đích của biện pháp này là để đảm bảo mức độ sẵn sàng cao của hệ thống CNTT then chốt dựa trên các mục tiêu liên tục trong kinh doanh và các yêu cầu về tính liên tục của CNTT được đưa ra, triển khai và xác minh từ chúng. Điều này bao gồm việc xác định các loại tác động và tiêu chí tác động trong quy trình BIA.

Trên cơ sở này, xác định các hoạt động vận hành ưu tiên và ấn định mục tiêu về thời gian phục hồi (RTO). BIA stừ đó xác định những nguồn lực nào được yêu cầu cho các hoạt động ưu tiên này và cũng chỉ định cho chúng một RTO. Một tập hợp con của các tài nguyên này sẽ bao gồm các dịch vụ CNTT. Ngoài ra, các điểm khôi phục (RPO = Mục tiêu điểm khôi phục) và khoảng cách của chúng cũng cần được xác định cho các tài nguyên CNTT được ưu tiên.

Dựa trên kết quả của tất cả các quy trình này, các tổ chức cần xác định và lựa chọn các chiến lược đảm bảo tính liên tục của CNTT trong đó xem xét các phương án trước, trong và sau khi gián đoạn. Dựa trên điều này, các kế hoạch liên tục (bao gồm các quy trình ứng phó và phục hồi) được phát triển, triển khai và thử nghiệm để đáp ứng mức độ sẵn sàng CNTT thiết yếu. 

Trong bối cảnh này, cũng nên tham khảo tiêu chuẩn ISO/IEC 27031, hướng dẫn về sự sẵn sàng về CNTT để đảm bảo tính liên tục trong kinh doanh, cung cấp cho các công ty các khuyến nghị để đảm bảo tính khả dụng của hệ thống CNTT.

Tác động của biện pháp kiểm soát 5.30 đối với chứng nhận

Để được chứng nhận theo phiên bản sửa đổi của tiêu chuẩn ISO 27001:2022 , các tổ chức phải ...

• có cơ cấu tổ chức phù hợp để chuẩn bị, ngăn chặn và ứng phó với sự cố. Điều này cũng đòi hỏi nhân sự có trách nhiệm, quyền hạn và năng lực cần thiết.
• đã phát triển các kế hoạch mang tính ràng buộc về tính liên tục của CNTT, bao gồm các thủ tục ứng phó và phục hồi, trình bày chi tiết cách tổ chức dự định giải quyết tình trạng gián đoạn các dịch vụ CNTT. Các kế hoạch này phải được lãnh đạo cấp cao phê duyệt và đánh giá thường xuyên thông qua các bài tập và thử nghiệm.
• bao gồm các thông tin sau trong kế hoạch liên tục của họ:
  - Thông số kỹ thuật về hiệu suất và năng lực để đáp ứng các yêu cầu và mục tiêu kinh doanh liên tục được xác định trong BIA
  - RTO của từng dịch vụ CNTT ưu tiên và quy trình khôi phục các thành phần này
  - RPO của các nguồn lực CNTT ưu tiên được xác định thông tin và quy trình cho việc khôi phục thông tin

Bảo mật CNTT-TT cho hoạt động kinh doanh liên tục - kết luận

Ví dụ nổi bật về vụ hack hành chính ở Anhalt-Bitterfeld, khiến một số dịch vụ của thành phố không hoạt động trong nhiều tuần hoặc nhiều tháng, chứng tỏ mức độ quan trọng của công nghệ thông tin và truyền thông trong thế giới ngày nay. Tuy nhiên, ví dụ này cũng cho thấy tầm quan trọng của tính liên tục và các kế hoạch khẩn cấp đã được thiết lập.

Do đó, biện pháp kiểm soát bảo mật 5.30 "Sự sẵn sàng về CNTT để đảm bảo tính liên tục trong kinh doanh" là một khía cạnh quan trọng của các tiêu chuẩn bảo mật thông tin sửa đổi ISO/IEC 27001:2022 và ISO/IEC 27002:2022 nhằm tăng cường khả năng phục hồi của các công ty.

Tuy nhiên, các tổ chức đôi khi gặp khó khăn trong việc đánh giá mức độ quan trọng của công nghệ thông tin và truyền thông được sử dụng cũng như tiềm năng rủi ro của chúng trong quá trình triển khai, điều này có tác động trực tiếp đến chuỗi ưu tiên. BIA và phân tích rủi ro là nền tảng cốt lõi của Quản lý kinh doanh liên tục , có thể nói như vậy. Do đó, trong quá trình chuẩn bị cấp chứng nhận, bạn nên xem xét và tối ưu hóa các giải pháp của chính mình để đảm bảo tính liên tục trong kinh doanh cũng như tính sẵn có của các giải pháp CNTT với các chuyên gia giàu kinh nghiệm.

DQS - Lựa chọn Đơn giản Tối ưu Bảo mật.

Nhờ các giai đoạn chuyển tiếp, các công ty có đủ thời gian để điều chỉnh việc quản lý bảo mật thông tin của mình cho phù hợp với các yêu cầu mới và được chứng nhận. Tuy nhiên, không nên đánh giá thấp thời gian và nỗ lực của toàn bộ quá trình thay đổi. Nếu bạn muốn đảm bảo tính an toàn, tốt hơn hết bạn nên giải quyết các yêu cầu mới và việc chuyển đổi sang tiêu chuẩn mới càng sớm càng tốt.

Với tư cách là chuyên gia đánh giá và chứng nhận với gần 40 năm kinh nghiệm, chúng tôi rất vui được hỗ trợ bạn đánh giá tình trạng hiện tại của bạn, chẳng hạn như là một phần của đánh giá delta . Tìm hiểu từ các chuyên gia của chúng tôi về những thay đổi quan trọng nhất và mức độ liên quan của chúng đối với tổ chức của bạn.

Lòng tin và chuyên môn

Văn bản của chúng tôi được viết độc quyền bởi các chuyên gia nội bộ về hệ thống quản lý và chuyên gia lâu năm. Nếu có thắc mắc gì xin vui lòng gửi tới tác giả liên hệ chúng tôi.