Trung Tâm Revit Thực Hành NPD 7. Phát triển kế hoạch quản lý an ninh 601/1 Lô A, CMT8, P15, Q10, TP.HCM 6,000,000VND/Khóa +84-913-875-375 Trung Tâm Revit Thực Hành NPD

Ths.KTS NGUYỄN PHƯỚC DỰ

Tài liệu học Revit, Tác giả : ThS.KTS.Nguyễn Phước Dự
7. Phát triển kế hoạch quản lý an ninh
7.1 Tổng quan
7.1.1 Tổ chức phải phát triển, duy trì và triển khai kế hoạch quản lý an ninh cho phép các biện pháp giảm thiểu đã thỏa thuận nêu trong chiến lược an ninh được triển khai theo cách nhất quán và toàn diện.

7.1.2 Quản lý an ninh, khi thích hợp, phải được tham chiếu chéo với các chính sách và quy trình quản lý an ninh và có liên quan khác mà tổ chức đã triển khai.

7.1.3 Kế hoạch quản lý an ninh phải bao gồm, liên quan đến tổ chức và nhóm cung cấp của tổ chức:
a) các chính sách nêu rõ các quy tắc kinh doanh liên quan đến an ninh bắt nguồn từ các biện pháp giảm thiểu đã thỏa thuận;
b) các quy trình bắt nguồn từ các chính sách an ninh và hướng dẫn về việc thực hiện nhất quán các chính sách đó;
c) các yêu cầu về thông tin an ninh nêu chi tiết thông tin được coi là nhạy cảm và các chính sách và quy trình để tạo, phân phối, sử dụng, lưu trữ, xử lý và hủy thông tin đó;
d) các yêu cầu liên quan đến việc cung cấp thông tin cho bên thứ ba (xem 7.2);
e) khi áp dụng, các yêu cầu về an ninh hậu cần (xem 7.3);
f) kế hoạch quản lý vi phạm an ninh/sự cố (xem Điều khoản 8);
g) chi tiết về trách nhiệm giải trình và trách nhiệm thực hiện các khía cạnh khác nhau của kế hoạch quản lý an ninh (xem 7.4);
h) các yêu cầu giám sát và kiểm toán, bao gồm thử nghiệm các biện pháp an ninh đã áp dụng (xem 7.5); và
i) các cơ chế để xem xét và cập nhật kế hoạch quản lý an ninh (xem 7.6).
LƯU Ý Bất kỳ khoảng trống hoặc thiếu sót nào trong kế hoạch quản lý an ninh sẽ làm giảm hiệu quả của
chiến lược an ninh và làm tăng nguy cơ vi phạm hoặc sự cố an ninh.

7.1.4 Kế hoạch quản lý an ninh sẽ được sử dụng để thông báo các yêu cầu an ninh được nhúng vào bất kỳ tài liệu mua sắm và bổ nhiệm nào (xem Điều khoản 9).

7.2 Cung cấp thông tin cho bên thứ ba
7.2.1 Kế hoạch quản lý an ninh sẽ đặt ra các yêu cầu của tổ chức(các tổ chức) để thực hiện đánh giá trước khi chia sẻ và/hoặc công bố thông tin hoặc mô hình thông tin mới, đã sửa đổi hoặc hiện có, toàn bộ hoặc một phần.

7.2.2 Đánh giá như vậy phải có khả năng đáp ứng, khi áp dụng:
a) nhu cầu tuân thủ quy trình theo quy định và luật định;
b) các yêu cầu về thông tin mà một tổ chức phải tuân theo các điều khoản của luật về quyền truy cập công khai hoặc minh bạch; và
c) nhu cầu có tài liệu có thể được sử dụng tại các sự kiện công cộng và chuyên nghiệp, trong tài liệu tiếp thị, trong các ấn phẩm và trang web kỹ thuật, học thuật hoặc các ấn phẩm và trang web khác.
 
7.2.3 Đánh giá sẽ xem xét, trong phạm vi khả thi hợp lý, liệu thông tin hoặc mô hình thông tin toàn bộ hay một phần:
a) chứa hoặc cho phép thông tin nhạy cảm, bao gồm thông tin về lỗ hổng, được suy ra về một sáng kiến, dự án, tài sản, sản phẩm, dịch vụ, cá nhân hoặc nhóm/cộng đồng;
b) khi tổng hợp với tài liệu đã chia sẻ hoặc công bố hiện có, cho phép thông tin nhạy cảm được
suy ra; và
c) khi áp dụng, góp phần xác định mô hình sử dụng tài sản(các tài sản) và/hoặc mô hình cuộc sống của các cá nhân hoặc nhóm/cộng đồng không được công khai.
LƯU Ý Hướng dẫn về các lĩnh vực thuộc loại đánh giá này được nêu trong Phụ lục C.

7.2.4 Khi đánh giá phát hiện ra bất kỳ trường hợp nào trong số các trường hợp này, tổ chức phải
thực hiện cách tiếp cận dựa trên rủi ro phù hợp và cân xứng đối với việc chia sẻ và/hoặc công bố
thông tin đó.
LƯU Ý Hướng dẫn về các biện pháp tiềm năng có thể được sử dụng để giảm thiểu rủi ro bảo mật được nêu trong Phụ lục C.

7.2.5 Việc truy cập vào bất kỳ phần nào của đánh giá có thông tin chi tiết về thông tin nhạy cảm phải được quản lý trên cơ sở cần biết nghiêm ngặt, với thông tin chứa trong đó phải tuân theo các biện pháp bảo mật phù hợp liên quan đến việc tạo, phân phối, sử dụng, lưu trữ, xử lý và hủy thông tin đó.

7.3 Bảo mật hậu cần
7.3.1 Khi áp dụng, kế hoạch quản lý bảo mật phải nêu rõ các biện pháp bảo mật phù hợp và cân xứng xung quanh việc chỉ định, mua sắm, thiết kế, sản xuất, vận chuyển, lắp đặt và đưa vào sử dụng bất kỳ tài sản nhạy cảm nào.

7.3.2 Tổ chức(các tổ chức) phải xem xét:
a) thời điểm lắp đặt bất kỳ tài sản hoặc hệ thống nào liên quan đến an ninh nhạy cảm để cho phép, khi có thể, chỉ những người có nhu cầu hợp pháp mới được tiếp cận các tài sản hoặc khu vực đó;
b) triển khai các biện pháp an ninh phù hợp và tương xứng xung quanh bất kỳ tài sản và hệ thống nhạy cảm nào, vì lý do hậu cần, phải được lắp đặt sớm hơn so với thời gian mong muốn thông thường; và
c) triển khai các biện pháp phù hợp và tương xứng để hạn chế hoặc phá vỡ thành công của hoạt động do thám thù địch.

7.4 Quản lý trách nhiệm giải trình và trách nhiệm đối với an ninh
Mỗi chính sách trong kế hoạch quản lý an ninh phải xác định cá nhân(các cá nhân) đảm nhận chức năng(các chức năng) quản lý an ninh chịu trách nhiệm và chịu trách nhiệm thực hiện, quản lý, theo dõi và xem xét chính sách đó.

7.5 Giám sát và kiểm toán
7.5.1 Kế hoạch quản lý bảo mật phải nêu rõ các biện pháp giám sát, kiểm toán và thử nghiệm phù hợp và cân xứng sẽ được thực hiện trong suốt vòng đời của sáng kiến, dự án, tài sản, sản phẩm hoặc dịch vụ, bao gồm đánh giá, tối thiểu, theo phương pháp lấy mẫu dựa trên rủi ro:
a) việc triển khai mọi khía cạnh của kế hoạch quản lý bảo mật; và
b) sự tuân thủ của bất kỳ nhóm triển khai nào đối với mọi khía cạnh có liên quan của kế hoạch quản lý bảo mật.
LƯU Ý 1 Cần phải cân bằng giữa xác minh chính thức liên quan đến kiểm toán của bên được chỉ định và hệ thống xác minh dựa trên danh dự/tin cậy.
LƯU Ý 2 Khi áp dụng, sự tuân thủ của nhóm triển khai đối với mọi khía cạnh có liên quan của kế hoạch quản lý bảo mật có thể là một phần của đánh giá năng lực và khả năng được xác định trong ISO 19650-1.
LƯU Ý 3 Việc giám sát và kiểm toán kế hoạch quản lý bảo mật có thể được thông báo theo các tiêu chuẩn như ISO 19011.

7.5.2 Kế hoạch quản lý bảo mật sẽ yêu cầu rằng chỉ những người có trình độ và kinh nghiệm phù hợp mới được thực hiện công việc giám sát và kiểm toán này.

7.5.3 Tổ chức có thể ủy quyền một số trách nhiệm xác minh sự tuân thủ trong nhóm triển khai cho một bên được chỉ định chính nhưng vẫn phải chịu trách nhiệm về hiệu quả chung của các biện pháp kiểm soát bảo mật.

7.6 Xem xét kế hoạch quản lý bảo mật
7.6.1 Tổ chức phải thiết lập một cơ chế phù hợp để thực hiện các đợt xem xét định kỳ và theo sự kiện đối với kế hoạch quản lý bảo mật, bao gồm các yêu cầu về thông tin bảo mật và kế hoạch quản lý sự cố/vi phạm bảo mật, để kiểm tra xem kế hoạch có còn phù hợp với mục đích hay không.

7.6.2 Các đợt đánh giá theo sự kiện sẽ được tiến hành sau khi đánh giá chiến lược bảo mật, khi xảy ra vi phạm hoặc sự cố bảo mật hoặc khi có những thay đổi về chính trị, kinh tế, xã hội, tổ chức, công nghệ, pháp lý hoặc môi trường có thể tác động đáng kể đến:
a) các loại vi phạm/sự cố bảo mật có thể xảy ra;
b) quy trình cần tuân theo, bao gồm nhu cầu thu thập bằng chứng pháp y; và
c) các biện pháp đảm bảo tính liên tục của hoạt động kinh doanh và hành động phục hồi.

7.6.3 Các đợt đánh giá sẽ xem xét tác động tiềm ẩn đối với các cuộc hẹn hiện tại của bất kỳ thay đổi nào đối với các chính sách và quy trình, đặc biệt là khi những thay đổi này cấu thành sự thay đổi về phạm vi.

7.6.4 Sau khi đánh giá, kế hoạch quản lý bảo mật sẽ được cập nhật để phản ánh bất kỳ thay đổi nào, cũng như để giải quyết bất kỳ khoảng cách và thiếu sót nào được xác định làm giảm khả năng của kế hoạch trong việc cung cấp mức giảm thiểu rủi ro bảo mật cần thiết.

7.6.5 Các thay đổi đối với kế hoạch quản lý bảo mật sẽ được thông báo trong tổ chức(các tổ chức) và cho các bên được chỉ định.

7.6.6 Việc thực hiện mỗi đợt đánh giá sẽ được ghi lại và lưu giữ như một phần của kế hoạch quản lý bảo mật.
Sách học BIM & Revit, Tác giả : ThS.KTS.Nguyễn Phước Dự

(Nhấn Ctrl+V để Paste ảnh từ Clipboard)
Khách Đăng nhập
Thông báo