Xây dựng hệ thống quản lý an toàn thông tin (ISMS) sẵn sàng cho kiểm toán ISO 27001 với chi phí vận hành tối thiểu

Nghiên cứu tình huống này cho thấy cách một nhà cung cấp SaaS B2B tại châu Âu đã cấu trúc Hệ thống Quản lý An toàn Thông tin của mình để đáp ứng các kỳ vọng của ISO/IEC 27001, đồng thời giảm thiểu nỗ lực bổ sung và sự gián đoạn đối với công việc hằng ngày.

Hồ sơ công ty: Nhà cung cấp SaaS B2B châu Âu phục vụ khách hàng doanh nghiệp

Công ty phát triển và vận hành một nền tảng phần mềm dưới dạng dịch vụ (SaaS) B2B được các tổ chức trên khắp châu Âu và Bắc Mỹ sử dụng. Giải pháp hỗ trợ các quy trình công việc vận hành cốt lõi và tích hợp với các hệ thống của khách hàng, xử lý dữ liệu sử dụng và một lượng dữ liệu cá nhân hạn chế.

Tổ chức có khoảng 70 nhân sự, bao gồm các nhóm kỹ thuật, sản phẩm và các nhóm làm việc trực tiếp với khách hàng trong một mô hình phân tán. Doanh thu hằng năm ước tính khoảng 8–12 triệu USD, được thúc đẩy bởi các hợp đồng dài hạn với các khách hàng quy mô trung bình và doanh nghiệp. Khi cơ sở khách hàng phát triển, việc bảo đảm an ninh thông tin một cách chính thức trở thành yêu cầu trong các quy trình bán hàng và gia hạn.

Ngữ cảnh Doanh nghiệp: Yêu cầu của khách hàng Doanh nghiệp lớn đã thúc đẩy ISO/IEC 27001

Quyết định theo đuổi chứng nhận ISO/IEC 27001 được thúc đẩy bởi kỳ vọng của khách hàng doanh nghiệp lớn. Các bảng câu hỏi về bảo mật, đánh giá nhà cung cấp và đàm phán hợp đồng yêu cầu bằng chứng về một Hệ thống Quản lý An toàn Thông tin được xây dựng có cấu trúc và được duy trì.

Các bên liên quan chủ chốt tham gia vào sáng kiến bao gồm:

• Khách hàng doanh nghiệp lớn – kỳ vọng các biện pháp kiểm soát được lập tài liệu, quản lý rủi ro và bằng chứng kiểm toán đáng tin cậy;
• Nhà sáng lập và CEO – chịu trách nhiệm về quản trị, các cam kết theo hợp đồng và niềm tin;
• CTO – chịu trách nhiệm về các biện pháp kiểm soát kỹ thuật, an ninh hệ thống và tính liên tục vận hành.

Một số thách thức đã bộc lộ ngay từ sớm:

• Thông tin bảo mật phân tán trên nhiều công cụ – các chính sách, rà soát và bằng chứng được lưu trữ ở nhiều vị trí;
• Tổng quan hạn chế – không có một nơi duy nhất để xem rủi ro, biện pháp kiểm soát, tài sản và sự cố cùng nhau;
• Rủi ro quá tải quy trình – lo ngại rằng việc chuẩn bị ISO có thể làm tăng khối lượng công việc mà không mang lại lợi ích nội bộ rõ ràng;
• Kinh nghiệm ISMS hạn chế – kỹ năng kỹ thuật mạnh, nhưng ít thực hành về quản trị an toàn thông tin theo chuẩn mực.

Triển khai: Tích hợp ISO/IEC 27001 vào quản lý liên tục

Trước khi xác định phương án cuối cùng, công ty đã xem xét một số nền tảng GRC phổ biến thường được sử dụng cho chứng nhận ISO/IEC 27001. Các công cụ này được đánh giá là phù hợp để quản lý quy trình làm việc chứng nhận, nhưng kém phù hợp hơn với các thực tiễn quản lý hiện có của công ty.

Đồng thời, công ty đã sử dụng BSC Designer để theo dõi kế hoạch chiến lược và các ưu tiên thực thi nội bộ. Việc mở rộng cấu trúc hiện có này để bao quát quản lý an ninh thông tin được xem là một bước đi hợp lý, cho phép ISO/IEC 27001 được nhúng vào các chu kỳ quản trị và rà soát đã được thiết lập.

Ở cấp độ kỹ thuật, điều này được triển khai thành:

• Tài liệu chính sách – các chính sách nội bộ và quy trình được hợp nhất trong một môi trường lưu trữ tệp trực tuyến an toàn;
• Quản trị ISMS – phạm vi, vai trò, nhịp độ rà soát và các hành động cải tiến được duy trì trong một thẻ điểm ISMS chuyên biệt, trong khi các bên liên quan và mục tiêu chiến lược của họ được liên kết từ một thẻ điểm bên liên quan hiện có;
• Các kiểm soát an ninh – các kiểm soát được mô hình hóa như các chỉ số với ID duy nhất, phụ trách, tần suất rà soát và bằng chứng được đính kèm cho mỗi lần rà soát;
• Quản lý rủi ro – rủi ro được theo dõi bằng chức năng rủi ro gốc của BSC Designer, cho phép đánh giá riêng xác suất và tác động, cũng như mức rủi ro vốn có và rủi ro còn lại, các hành động xử lý, trạng thái chấp nhận và các phụ trách chịu trách nhiệm;
• Tài sản và nhà cung cấp – tài sản và bên thứ ba được lập tài liệu bằng các thẻ điểm được mở rộng với các trường tùy chỉnh phản ánh phân loại, mức độ trọng yếu và yêu cầu rà soát;
• Sự cố và phát hiện – các sự cố an ninh, các tình huống suýt xảy ra và các phát hiện kiểm toán được ghi nhận và theo dõi thông qua các hành động khắc phục cho đến khi được giải quyết.

Kỳ vọng của khách hàng là có các kiểm soát an ninh trực tiếp, được liên kết với chiến lược:

“Chúng tôi không muốn tài liệu an ninh chỉ tồn tại để phục vụ kiểm toán viên. Nếu chúng tôi không thể tự rà soát, cập nhật và giải thích, thì nó không hữu ích đối với chúng tôi.”

Kỳ vọng này đã định hình cách ISMS được xây dựng và sử dụng. Ví dụ, các kiểm soát được xác định cho ISO/IEC 27001 cũng được tái sử dụng làm đầu vào cho các thẻ điểm đánh giá rủi ro và quản lý ngoài phạm vi kiểm toán, hỗ trợ các quyết định vận hành và chiến lược.

Một mối quan ngại thực tiễn được nêu ra trong quá trình triển khai đã làm nổi bật một rủi ro kiểm toán phổ biến:

“Rủi ro lớn nhất của chúng tôi là bị thất lạc bằng chứng ở nhiều vị trí khác nhau khi kiểm toán viên yêu cầu.”

Để giải quyết vấn đề này, bằng chứng đã được tải lên trực tiếp cho từng lần rà soát kiểm soát và được liên kết với ngày cập nhật của kiểm soát. Mỗi mục bằng chứng đều kèm theo các bình luận giải thích ngắn từ người tải lên, cung cấp ngữ cảnh về lý do bằng chứng có liên quan và nó chứng minh điều gì.

Quyền truy cập được cấu hình để kiểm toán viên có thể được cấp quyền chỉ đọc đối với các thẻ điểm liên quan trong một khoảng thời gian xác định. Quyền sửa đổi luôn bị giới hạn cho các vai trò được ủy quyền, bảo đảm rằng nội dung ISMS không thể bị thay đổi ngoài ý muốn hoặc không có trách nhiệm giải trình.

Mọi thay đổi trong nền tảng đều được tự động ghi lại trong một nhật ký kiểm toán. Nhật ký kiểm toán này cũng có thể được lọc để hiển thị lịch sử thay đổi của các mục cụ thể, chẳng hạn như từng kiểm soát, rủi ro hoặc sự cố, cho phép kiểm toán viên và ban quản lý xem xét cách mỗi mục đã phát triển theo thời gian mà không cần duy trì lịch sử phiên bản riêng.

Kết quả: ISMS tập trung, bằng chứng đáng tin cậy, giảm ma sát trong kiểm toán

Sau khi triển khai, công ty ghi nhận một số kết quả cụ thể giúp cải thiện cả mức độ sẵn sàng cho kiểm toán và sự rõ ràng trong nội bộ.

• Tổng quan ISMS tập trung – rủi ro, biện pháp kiểm soát, tài sản, nhà cung cấp và sự cố được hiển thị tại một nơi;
• Xử lý bằng chứng nhất quán – bằng chứng được xem xét và lưu trữ cùng với các biện pháp kiểm soát liên quan;
• Trách nhiệm rõ ràng – Phụ trách được phân công cho tất cả các yếu tố ISMS trọng yếu;
• Giảm nỗ lực kiểm toán – dữ liệu kiểm toán được chuẩn bị mà không cần báo cáo thủ công;
• Thảo luận với khách hàng hiệu quả hơn – phản hồi đối với các câu hỏi về bảo mật của Doanh nghiệp trở nên rõ ràng và nhất quán hơn.

Công ty cũng theo dõi một số chỉ số ISMS cấp cao, bao gồm:

• Hoàn thành rà soát biện pháp kiểm soát – các biện pháp kiểm soát được rà soát trong khung thời gian đã xác định;
• Sự cố và phát hiện còn mở – số lượng và thời gian tồn đọng của các vấn đề chưa được giải quyết;
• Trạng thái chấp nhận rủi ro – rủi ro đang chờ phê duyệt hoặc xử lý;
• Mức độ bao phủ rà soát nhà cung cấp – các đợt rà soát bên thứ ba được hoàn thành theo kế hoạch.

Cách triển khai ISO 27001 với ít nỗ lực hơn?

Chứng nhận ISO 27001 đòi hỏi nỗ lực đáng kể, nhưng khi được triển khai đúng cách, nó có thể (1) trở thành một yếu tố tạo ra giá trị thực sự và (2) được triển khai với ít nỗ lực hơn:

• Đưa mức độ sẵn sàng cho ISO trở thành một phần của các hệ thống quản lý hiện có – tái sử dụng các cấu trúc đã được thiết lập thay vì tạo ra các quy trình song song;
• Giữ bằng chứng gần với các biện pháp kiểm soát – lưu trữ ngữ cảnh và cơ sở giải trình cùng với mỗi lần rà soát;
• Áp dụng kiểm soát truy cập với khả năng truy vết đầy đủ – cho phép minh bạch mà không làm ảnh hưởng đến tính toàn vẹn;
• Sử dụng một nền tảng có cấu trúc như BSC Designer – để duy trì sự rõ ràng, trách nhiệm giải trình và mức độ sẵn sàng cho kiểm toán theo thời gian.

BSC Designer

BSC Designer là phần mềm thực thi chiến lược với Thẻ điểm cân bằng làm cốt lõi. Phần mềm giúp các tổ chức chuyển các kế hoạch chiến lược thành một kiến trúc chiến lược được kết nối bằng cách liên kết các mục tiêu, KPI, sáng kiến, rủi ro và sơ đồ chiến lược trong một nơi. Hệ thống triển khai chiến lược của chúng tôi giải thích cách đưa chiến lược vào thực tiễn, và mẫu hội thảo thực thi chiến lược giúp các nhóm áp dụng trong các phiên làm việc chiến lược nội bộ.