Q&A trong Webinar ISO27001 – 20230210
Thành công tổ chức WEBINAR ISO27001:2022 (theo phiên bản mới)
Q&A trong Webinar ISO27001
Thời gian hội thảo trực tuyến: 9:00 – 11:00 am, thứ sáu, ngày 10/02/2023
Xem thêm tại: https://hqc-company.com/webinar-iso270012022/
Q&A Câu hỏi và trả lời trong buổi hội thảo
Dưới đây là các câu hỏi và trả lời (Q&A) bởi Mr. Dương Dũng Tiến, chuyên gia của HQC Company trong buổi hội thảo 10.02.2023.
| 1 | ISO/IEC27001 có đáp ứng được cho Cong van 38/NHNN-CNTT | ISO27001 là tiêu chuẩn cho hệ thống an toàn thông tin (ISMS) nhắm đến góc độ tổ chức quản trị, không đi sâu vào yêu cầu kỹ thuật (dù có liệt kê các biện pháp kiểm soát thì cũng chỉ là gợi ý) Các công văn quy định chuyên ngành thường lại không nhắm đến góc độ tổ chức mà đi sâu vào các yêu cầu hoạt động chuyên ngành. Nên ISO27001 sẽ không đảm bảo đáp ứng đầy đủ. |
| 2 | Biện pháp liên quan Threat intelligence thông thường có mô hình nào sẽ ko áp dụng biện pháp này ko ? | Không, vì quản lý rủi ro là bắt buộc nên TI là không thể loại trừ |
| 3 | Data Masking hiện tại mình đang sử dụng Enscrypt/Descrypt khi up và download code từ hệ thống với phiên bản 2022 thì mình cần bổ sung thêm gì nữa không ? | Data masking có mục đích khác với data encryption. Data masking nhằm che dấu các thông tin nhạy cảm, mà chính người nhận không cần biết, hay không được quyền biết. Trong khi đó, data encryption sẽ không che dấu thông tin nào ở người nhận, sau khi nó đã decrypted. |
| 4 | Liên quan đến BPKS Sàng lọc nhân sự trước khi vào làm việc: Khi cung cấp bằng chứng về việc sàng lọc kiểm tra thông tin thì như thế nào là đáp ứng yêu cầu. | Các quy định và kết quả thực hiện liên quan sàng lọc có thể là bằng chứng: – tiêu chí sàng lọc (phù hợp theo mô tả cv) – Mô tả công việc – Phỏng vấn có liên quan năng lực & trách nhiệm – Reference check với các công ty cũ đã sử dụng nhân sự – (nên có) xác nhận pháp lý không vi phạm hình sự các tội gây rủi ro cho vị trí đang tuyển |
| 5 | HQC Company? | Công ty chuyên cung cấp dịch vụ tư vần, đào tạo và huấn luyện cho doanh nghiệp. Với đội ngũ chuyên gia đa ngành và có kinh nghiệm lâu năm. Như: CNTT, An ninh mạng, Thực phẩm, Phòng Lab, Cải tiến năng suất, … |
| 6 | Cách thưc chuyển đổi từ phiên bản cũ qua phiên bản mới | Không có một cách thức chuẩn, nhưng chương của của phần trình bày có chia sẽ một số hoạt động cần thực hiện khi chuyển đổi ISMS từ phiên bản 2013 sang 2022. Xin tham khảo lại slide trình bày. |
| 7 | bằng chứng cần cung cấp theo BPKS sàng lọc như thế nào là đủ | Bằng chứng sàng lọc khi tuyển dụng là các tiêu chí sàng lọc, các kết quả sàng lọc cũng như bằng chứng hoạt động sàng lọc. Ví dụ, lịch phỏng vấn, bài kiểm tra ứng viên, kết quả phỏng vấn, các bản sao lý lịch,bằng cấp,… |
| 8 | Chào anh Tiến, anh Quang và HQC, để chuẩn bị cho việc đánh giá và cấp chứng chỉ 27001:2022 doanh nghiệp / đơn vị cần chuẩn bị và lưu ý những hạng mục chính nào ? | Các loại thông tin văn bản chính mà auditor mong đợi gồm có: 1. Phân tích bối cảnh tổ chức (4.1, 4.2) 2. Phạm vi và Điều lệ ISMS (4.3) 3. Chính sách ISMS của lãnh đạo (5.2) 4. Mô tả và phân công vai trò trách nhiệm về ISMS (5.3) 5. Quy trình và phương thức quản lý và xử lý rủi ro (6.1) 6. Kết quả đánh giá và xử lý rủi ro ở các bộ phận liên quan phạm vi ISMS (8.1, 8.2), tuân theo điểm 5 7. Tuyên bố áp dụng (SOA) các kiểm soát của ISO27002 (6.1.3) 8. Mục tiêu (thường là hằng năm) của ISMS và kế hoạch thực hiện tương ứng (6.2) 9. Hồ sơ liên quan hành động xử lý rủi ro, theo dõi và báo cáo mục tiêu (9.1) 10. Các bằng chứng cho điều khoản 7 11. Kế hoạch theo dõi và đo lường hiệu quả các kiểm soát (9.1) tại từng bộ phận có trách nhiệm liên quan kiểm soát 12. Kế hoạch chương trình ĐGNB (9.2.2) hằng năm 13. Kết quả bằng chứng thực hiện các cuộc đánh giá nội bộ, trong khuôn khổ chương trình ĐGNB đã phê duyệt 14. Các báo cáo điểm không phù hợp và đề xuất cải tiến, kèm bằng chứng các kế hoạch và hành động khắc phục/ cải tiến liên quan (10) 15. Bằng chứng thực hiện xem xét lãnh đạo (9.3) |
| 9 | Vậy là với 4.4 mới sẽ cần có 1 lưu đồ thể hiện sự tương tác của các quá trình? | Tài liệu quy trình nên kết hợp cả văn bản và lưu đồ, tuỳ mục tiêu áp dụng. ISO không quy định cụ thể hình thức tài liệu |
| 10 | Anh/Chị cho mình hỏi: Để bắt đầu xây dựng các chính sánh, quy định, quy trình cho doanh nghiệp theo 27001 thì nên bắt đầu như thế nào? Nhân sự cần tham gia đào tạo chương trình nào để có kiến thức nhằm hỗ trợ việc xây dựng này. | Xin tham khảo mục cuối của slide trình bày về lộ trình chuyển tiếp. Nếu xây dựng ISMS mới thì cũng theo lộ trình tương tự |
| 11 | Với điều khoản 7.4 mình có cần thiết phải thiết lập quy trình trao đổi thông tin hay chỉ đơn giản là xây dựng 1 bảng quy định trao đổi thông tin. Nếu không có các tài liệu thì sao? | Thủ tục hay quy định sẽ tuỳ theo nhu cầu tổ chức, miễn các yêu cầu 7.4 được đáp ứng. Tư vấn sẽ hỗ trợ lựa chọn các xây dựng loại quy trình phù hợp đặc thù và nhu cầu của tổ chức |
| 12 | Hiện tại bây giờ một số đánh giá viên yêu cầu các bên cung cấp dịch vụ IT/ CCTV phải có năng lực. vậy năng lực đây là những gì ngoài đăng ký kinh doanh ạ? | Nói chung, với các nhà thầu (supplier) thì bằng chứng năng lực được cung cấp sẽ thuộc phạm vi tổ chức, không ở cá nhân. Các chứng chỉ chuyên ngành hay kinh nghiệm cung cấp dịch vụ sẽ được coi là hồ sơ năng lực của bên nhà thầu |
| 13 | Phương pháp để phân tích rủi ro nguyên gốc rễ trong phần hoạch định rủi ro | Tổ chức chọn pp nào cũng được, tùy mức độ phù hợp đặc thù lĩnh vực và nguồn lực thực hiện. ISO31010 giới thiệu 1 danh mục khá súc tích các pp xác định và đánh giá rủi ro cho tố chức tham khảo. HQC có khóa học hướng dẫn các pp theo ISO31010, nội dung có thể tùy chỉnh theo nhu cầu tổ chức |
| 14 | Hoạch định rủi ro (Kỹ thuật phân tích nguyên nhân gốc rễ) | |
| 15 | Các thông tin liên quan đến ISO 27001 | Câu hỏi không cụ thể , nên không thể trả lời. HQC có khóa học nhận thức về tiêu chuẩn ISO27001:2022 |
| 16 | Làm cách nào để biết khách hàng không vi phạm cam kết bảo mật thông tin | Yêu cầu khách hàng hay nhà cung cấp có nhu cầu truy cập thông tin ký NDA (Non-disclosure Agreement) để ràng buộc cam kết bảo mật thông tin. Tất cả tài liệu chia sẽ cho các bên ngoài đều phải có dán nhãn mức bảo mật. Đây là biện pháp TỐI THIỂU. Để phát hiện vi phạm bảo mật, sẽ phụ thuộc cao vào công nghệ xử lý thông tin lúc lưu trữ, chuyển tải và hủy. |
| 17 | Một doanh nghiệp áp dụng cần xây dựng các quy trình nào để áp dụng ISO 27001: 2022 | Câu hỏi này thuộc phạm vi tư vấn, nên không thể trả lời chi tiết. Tham khảo trả lời ở câu 8 để có thông tin |
| 18 | Đơn vị áp dụng ISO 27001 có bắt buộc phải có chuyên gia IT? | IT có thể là nhân sự nội bộ hay thuê ngoài. ISO27001 chỉ yêu cầu: 1. CÓ QUY ĐỊNH RÕ VAI TRÒ TRÁCH NHIỆM LIÊN QUAN ICT (phải là nhân sự thuộc công ty, có thể do vị trí kiêm nhiệm – ví dụ GD kiêm IT Director) 2. CÁC KIỂM SOÁT ATTT CHO ICT PHÙ HỢP THEO ISO27002:2022 |
Câu hỏi và trả lời (Q&A) trong buổi hội thảo ISO27001 tổ chức bởi HQC Company
Định kỳ HQC Company luôn tổ chức các buổi hội thảo theo các chủ đề đã khảo sát từ khách hàng.
Vui lòng xem thêm để tránh bỏ lỡ các buổi hội thảo này tại : LINK
Tài liệu sau hội thảo
Đây là đường dẫn tải tài liệu hội thảo ISO27001:2022 và 10.02.2023
- Tuyên bố áp dụng (SoA) theo phiên bản mới ISO27001:2022
- Tài liệu slide dùng trong buổi hội thảo
- Quy trình đánh giá của tổ chức chứng nhận NQA Việt Nam
- Tại đây : LINK
Hội thảo HTQL ATTT lần 2 (10.03.2023)
Vào ngày 10.03.2023. HQC tiếp tục tổ chức hội thảo ISO27001:2022 lần 2.
Nội dung đã bao gồm hướng dẫn của IAF MD26 , rev02 , 15.02.2023
Xem thêm chương trình hội thảo lần tới tại: LINK
Dịch vụ Tư vấn và Đào tạo của HQC
Bạn và doanh nghiệp của bạn cần nâng đáp ứng các yêu cầu ISO27001. Chúng tôi có cung cấp các loại hình từ vấn và đào tạo chuyên sâu về ISO27001.
Xem thêm tại LINK để chọn được loại hình phù hợp nhất.
LIÊN HỆ
Mr.Tony – Phụ trách Dịch vụ Khách hàng
Mobile: 0777 174 471 / 0944 659 937