Giới thiệu tiêu chuẩn ISO/IEC TS 27022:2021

Giới thiệu
Tiêu chuẩn (Thông số kỹ thuật) “cung cấp mô hình tham chiếu quy trình (PRM) để quản lý bảo mật thông tin, phân biệt giữa các quy trình ISMS và các biện pháp/kiểm soát do chúng khởi xướng... [và] mô tả các quy trình ISMS được ngụ ý bởi ISO/IEC 27001. ”

Tiêu chuẩn này dựa trên một luận án Tiến sĩ đã nộp cho Đại học Carlos III de Madrid, Tây Ban Nha.

Phạm vi
Theo phạm vi, tiêu chuẩn “nhằm mục đích hướng dẫn người sử dụng ISO/IEC 27001:

kết hợp cách tiếp cận theo quy trình như được mô tả trong điều 4.3 của ISO/IEC 27000:2018 trong ISMS
được liên kết với tất cả các công việc được thực hiện trong các tiêu chuẩn khác của bộ tiêu chuẩn ISO/IEC 27000 từ góc độ vận hành các quy trình ISMS
hỗ trợ người dùng vận hành ISMS – tài liệu sẽ bổ sung quan điểm hướng yêu cầu của ISO/IEC 27003 với quan điểm hướng quy trình, vận hành.”
Tiêu chuẩn không xác định bất kỳ yêu cầu ISMS mới nào, ngoài những yêu cầu đã được xác định trong ISO/IEC 27001. Nói cách khác, tiêu chuẩn này mang tính tư vấn hơn là bắt buộc.

Mục đích và biện minh
Tiêu chuẩn đưa ra một số chi tiết Mô hình tham chiếu quy trình bao gồm một bộ quy trình ISMS chung mà các tổ chức có thể muốn sử dụng làm cơ sở để thiết kế các quy trình tùy chỉnh trong ISMS của riêng họ.

Cấu trúc và nội dung
Các quy trình ISMS được mô tả rơi vào 3 “loại” (loại hoặc nhóm), tức là:

Các hoạt động quản trị (có tiêu đề gây nhầm lẫn là 'quy trình quản lý') - chỉ đạo và giám sát ISMS;
Hoạt động cốt lõi, ví dụ: quản lý rủi ro và an ninh thông tin, quản lý chính sách, quản lý sự cố, kiểm toán nội bộ…; Và
Hỗ trợ ví dụ quản lý hồ sơ, giao tiếp với các bên quan tâm về ISMS, quản lý mối quan hệ với ISMS 'khách hàng' ...
Mỗi quy trình được trình bày trong một Phụ lục, đầu tiên là một bảng xác định:

“Danh mục” quy trình biểu thị loại quy trình
Mô tả ngắn gọn
Mục tiêu/mục đích
Đầu vào và đầu ra]
Các hoạt động/chức năng tức là một vài từ cho mỗi bước chính trong quy trình
Thông tin tham khảo.
Bảng được theo sau bởi một lưu đồ tóm tắt quá trình ở một bên hoặc ít hơn.

Trạng thái
ISO/IEC TS 27022 được xuất bản lần đầu vào năm 2021.

Nhận xét idas
Các tổ chức trưởng thành có thể đã có các quy trình để:

Quản lý tài sản;
Quản lý kiểm toán, cả nội bộ và bên ngoài;
Quản lý kinh doanh liên tục (xem ISO 22301);
Quản lý thay đổi cộng với quản lý cấu hình và kiểm soát phiên bản;
Quản lý cải tiến liên tục và trưởng thành;
Quản lý cơ sở dữ liệu [bảo mật];
Quản lý miễn trừ (sự không phù hợp với chính sách được ban quản lý phê duyệt);
Quản lý cơ sở vật chất bao gồm nguồn điện và các dịch vụ khác cho phòng máy tính;
Nhận dạng, quyền truy cập và quản lý tài khoản người dùng;
Quản lý sự cố bao gồm điều tra sự cố và pháp y;
Quản lý thông tin nói chung;
Quản lý rủi ro [an ninh] thông tin (một phần được đề cập trong ISO/IEC 27005);
Quản lý an toàn thông tin (được đề cập trong ISO/IEC 27001, 27002, 27003 và các tiêu chuẩn khác);
Đánh giá nội bộ và đánh giá chứng nhận;
Quản lý khóa, cộng với phần còn lại của mật mã;
Quản lý nhật ký, cộng với báo động và cảnh báo;
Quản lý thông tin đo lường và quản lý (một phần được đề cập trong ISO/IEC 27004);
Theo dõi và giám sát các thỏa thuận quản lý rủi ro và an ninh;
Vá lỗi, bao gồm sắp xếp khẩn cấp để sửa lỗi khẩn cấp;
Quản lý hiệu suất và năng lực;
Quản lý nhân sự/nhân sự bao gồm cả “tích hợp” và “xuất kích” (những thuật ngữ mới khó chịu!);
Hành động phòng ngừa và khắc phục;
Quản lý chất lượng, đặc biệt là đảm bảo chất lượng;
Quản lý dịch vụ [các tổ chức tập trung nhiều vào quy trình có thể đang sử dụng ITIL/ISO20000, trong trường hợp đó ISO/IEC 27013 được áp dụng];
Quản lý mối quan hệ nhà cung cấp/nhà cung cấp, bao gồm dịch vụ viễn thông, Internet và đám mây, phát triển thuê ngoài, nhân viên bảo vệ hợp đồng, bảo trì/bảo dưỡng, dịch vụ chuyên nghiệp/tư vấn/ký kết hợp đồng, v.v.;
Quản lý [bảo mật] hệ thống và mạng;
Phát triển và kiểm thử hệ thống/phần mềm...

... và hơn thế nữa.

Cung cấp lời khuyên có thể áp dụng chung mà không áp đặt thêm các ràng buộc là một thách thức. Các quy trình cần được mô tả mà không làm mất đi tính linh hoạt để phục vụ cho vô số khác biệt giữa các tổ chức. Đặc biệt, các quy trình cần phải có giá trị (hiệu quả về chi phí) trong thực tế để biện minh cho sự tồn tại của chúng, chẳng hạn bằng cách:

Loại bỏ bộ máy quan liêu không cần thiết, hợp lý hóa và biện minh cho bất cứ điều gì còn lại;
Tạo điều kiện hoặc khuyến khích tự động hóa quy trình và đổi mới nếu có;
Tạo điều kiện hoặc khuyến khích sử dụng các quy trình hiện có, điều chỉnh chúng khi cần thiết;
Có thể sử dụng lại các quy trình ISMS hiệu quả ở những nơi khác trong tổ chức;
Tự quản lý các quy trình, ví dụ: các quá trình theo dõi, xem xét, đánh giá và duy trì các quá trình, đáp ứng với các thay đổi, khai thác các cơ hội cải tiến, v.v.
Sẽ thật đáng tiếc nếu các quy trình ISMS được coi là khác biệt với các hoạt động thông thường, thay vì là một phần không thể thiếu trong các hoạt động thường ngày của tổ chức. Ví dụ: quy trình quản lý sự cố bảo mật thông tin hoặc quyền riêng tư về cơ bản giống như quy trình quản lý bất kỳ sự cố nào khác, do đó nhìn chung không cần thiết phải tạo một quy trình quản lý sự cố song song khác nếu quy trình hiện có (có lẽ với một vài điều chỉnh) có hiệu quả.