Chào các bạn mình đã quay trở lại sau 11 tháng lười nhác ( Các bạn có thể xem lại Part1 tại: https://sec.vnpt.vn/2021/09/series-nghe-kiem-toan-an-toan-thong-tin-security-audit-part-1-nhung-con-nguoi-am-tham-trong-cong-tac-dam-bao-an-toan-thong-tin/?fbclid=IwAR2FL3uUwVnG8mxTAQMY0T4mCi4TwAojBVrdNGG9WARY_4DzZiY8xbsv-5M ) ^^!
Để tiếp nối các bài viết mang quan điểm cá nhân về Kiểm toán An toàn thông tin, lần này mình sẽ đề cập đến các hạng mục kiểm toán thực hiện với một tổ chức.
Well, vậy để đi kiểm toán thì tiên quyết phải có check list kiểm tra và một số thứ thủ tục khác đi kèm mình sẽ không đề cập trong bài viết này.
Câu hỏi đặt ra là lấy gì để xây dựng Checklist đánh giá và check list bao gồm những hạng mục đánh giá nào? chứ khơi khơi sản xuất ra một cái không có sở cứ rồi đi đánh giá thể nào cũng bị Auditee (người, đơn vị được kiểm tra) phản biện cho không ngóc được mặt lên 😊 và kỳ kiểm tra thất bại ^^!.
Câu trả lời là Cybersecurity framework nào bạn sẽ áp dụng tại đơn vị và dựa trên Framwork đó để xây dựng các check list kiểm tra cho phù hợp với bối cảnh của tổ chức.
Nào đến giờ chọn kiếm rồi dưới đây là một số cây kiếm để bạn tham khảo theo tứ tự ưu tiên nhé.
- Tiêu chuẩn mà đơn vị phải đáp ứng theo yêu cầu của đơn vị quản lý nhà nước sở tại theo đặc thù ngành về An toàn thông tin (ví dụ như Thông tư 09/2020/TT-NHNN, thông tư 16/2019/TT-BTTT, Thông tư 03/2017/TT-BTTT …).
- Tập chính sách, quy định về An toàn thông tin đơn vị đã ban hành chưa đầy đủ thì bổ sung sau nhưng vẫn phải ưu tiên nó đã nhé.
- Tiêu chuẩn An toàn thông tin mà công ty đang nhắm tới theo đặc thù ngành nghề đáp ứng yêu cầu của đối tác (ví dụ công ty đang có kế hoạch hợp tác với doanh nghiệp nước ngoài có yêu cầu phải đạt IS0/IEC 27001:2013, PCI DSS, Swift …).
Wow nếu tình cờ bạn làm trong một doanh nghiệp vừa phải đáp ứng tiêu chuẩn ngành, vừa phải đáp ứng chính sách ATTT mà đơn vị tự ban hành lại vừa phải đáp ứng các yêu cầu của đối tác, khách hàng thì khẳng định bạn sẽ tốn kha khá công sức để hiểu và tổng hợp được các yêu cầu từ nhiều bộ tiêu chuẩn (Framework) nhằm đáp ứng được cả nội bộ và bên ngoài vất vả đấy 😊
Nói thế thôi bạn có thể tham khảo để thấy sự liên thông giữa các tiêu chuẩn quốc tế về ATTT bằng cách Google CAIQ v3.1/v4 (không bao gồm các quy định trong nước Việt Nam) sau đó kết hợp với tiêu chuẩn ngành để có được yêu cầu đầy đủ về các hạng mục cần đảm bảo an toàn thông tin phục vụ công tác kiểm toán sau này.
Còn đối với việc bạn làm trong một doanh nghiệp có đặc thù ngành nghề riêng thì tiêu chuẩn ngành là yếu tố cốt lõi để xây dựng check list các thứ khác có liên quan có thể bổ sung thêm trong trường hợp tiêu chuẩn ngành không có (lưu ý bạn nên cân nhắc việc này).
Nghe vất vả nhỉ nhưng theo quan điểm đơn giản hóa của mình tất cả các tiêu chuẩn hay quy định ngành hay quy định nội bộ đều có thể hướng về một phương pháp luận chung theo chu trình khép kín là:
- Plan: Lên kế hoạch để thực hiện.
- Do: Thưc hiện kế hoạch.
- Check: Kiểm tra việc thực hiện.
- Act: Điều chỉnh cho phù hợp.
Và chu trình này sẽ được áp dụng cho mọi phạm vi kiểm toán An toàn thông tin của bạn bao gồm:
- Chính sách và mục tiêu an toàn thông tin.
- Quản lý rủi ro an toàn thông tin.
- An ninh nguồn nhân lực.
- An ninh vật lý và môi trường.
- Quản lý tài sản.
- Kiểm soát truy cập.
- Quản lý mã hóa.
- Quản lý vận hành.
- Quản lý trao đổi thông tin.
- Phát triển, tiếp nhận, duy trì và vận hành hệ thống.
- Quản lý nhà cung cấp.
- Quản lý sự cố an toàn thông tin.
- Quản lý tính liên tục trong kinh doanh.
- Quản lý vi phạm và chế tài.
Khà khà đọc đến đây ai cũng nghĩ lại một ông “phan” của ISO/IEC 27001:2013 tâm sự đây. Bạn nghĩ đúng rồi đấy 😊 sau một thời gian triển khai, đào tạo, quản lý tuân thủ các Framework về ATTT mình đánh giá ISO27001:2013 là một thanh kiếm khá toàn diện để triển khai cho các tổ chức, đơn vị với nhiều ngành nghề khác nhau. Các tiêu chuẩn, yêu cầu về ATTT đặc thù đều có thể quy về phạm vi các vùng kiểm soát trong ISO27001:2013. Hay nói cách khác nếu đơn vị bạn triển khai đúng và đủ ISO27001:2013 thì có thể đáp ứng trên 90% các yêu cầu của các CyberSecurity FrameWork khác 10% còn lại là các yêu cầu đặc thù liên quan đến ngành cần bổ sung. (Còn chần chờ gì nữa không bốc máy gọi tới VCI – SĐT: …. để nhận được tư vấn chọn kiếm và rèn kiếm nào ^^!)
Tiếp nào vẫn câu chuyện ngàn năm để lại kiếm xịn rồi, sắc lắm rồi nhưng chém có ngọt hay không lại phải ở ông Kiểm toán An toàn thông tin công lực có thâm hậu hay không. Các bạn đón chờ phần tiếp theo xem ông kiểm toán ATTT dùng kiếm thế nào nhé.
Trân trọng!