Câu hỏi 1: Mục 5.7- Thông tin tình báo mối đe dọa. Vậy có công cụ và phần mềm phân tích hay không và nếu có thì đó là gì?
Đây là mảng thông tin rộng từ rất nhiều nguồn, có một số tổ chức quốc tế và Việt Nam. Thực hiện thu thập thông tin và chia sẻ. Khách hàng có thể đáp ứng yêu cầu của mục 5.7 dựa trên các phần mềm mà nhà phát triển phần mềm cung cấp. Việc khách hàng cần làm là xác định thông tin nào cần thu thập & xử lý thông tin thu thập như thế nào. Không có công cụ nào có thể giải quyết được hết.
Câu hỏi 2: 8.12 bắt buộc ít nhất phải có tool cho DLP đúng không ạ? Một số doanh nghiệp chưa có điều kiện triển khai DLP thì có cách xử lý nào không?
Không bắt buộc phải dung tool, vì có rất nhiều mối đe dọa về lộ thông tin. Nhưng phải quy định trong các chính sách quy trình về cách làm để chứng minh là có phương pháp diện “data leak” và cần có cập nhật về ANTT về các biện pháp phòng chống thất thoát thông tin.
Câu hỏi 3: Đối với các doanh nghiệp đang lên kế hoạch đánh giá version 2013 trong năm nay, đầu năm sau sẽ ảnh hưởng như thế nào?
Các doanh nghiệp đã có version 2013 có thể cập nhật khi đánh giá thăm viếng không?
Nếu đã có phiên bản 2013, đầu năm sau đánh giá vẫn không ảnh hưởng gì. Tuy nhiên, cuối năm 2023 là thời điểm đánh giá định kỳ nên đánh giá nâng cấp phiên bản luôn
Câu hỏi 4: Tổ chức tôi đã đạt chứng nhận ISO 27001:2013 hồi tháng 8/2022 (chứng nhận có giá trị đến năm 2024), vậy sang năm vẫn đánh giá duy trì phiên bản 2013 đúng không? Bao giờ thì đánh giá chứng nhận 27001 phiên bản 2022?
Đúng nếu chưa chuyển đổi
Trong khoảng thời gian trước 10/2025 (bắt buộc), khách hàng nên tính toán thời gian dự trù nên chuyển đổi muộn nhất trước 6 tháng để có thời gian chuẩn bị tốt nhất
Câu hỏi 5: Công ty vừa đánh giá phiên bản 2013 vào tháng 10/2022, nếu update chứng nhận phiên bản 2022 thì bây giờ doanh nghiệp cần chuẩn bị gì?’
Vậy doanh nghiệp nên tiến hành cập nhật theo các rủi ro có thể có của phiên bản mới, và có thể chọn cập nhật phiên bản vào kỳ giám sát vào tháng 10/2023 hoặc duy trì phiên bản cũ (và nâng cấp trước thời hạn chót 10/2025)
Câu hỏi 6: Mục 8.10 phải hủy bỏ thông tin không cần thiết với tải sản thông tin dưới dạng bản mềm, phải thực hiện thế nào?
Đối với việc lưu trữ file mềm, cần phải làm rõ lý cần lưu giữ với mục đích tham khảo cần thiết cho những sự thay đổi. Đối với tài liệu lỗi thời hoặc không cần thiết, có thể xóa bỏ để giảm tải việc quản lý. Tùy thuộc vào mục đích của hoạt động doanh nghiệp, việc kiểm soát lưu trữ cần lý giải vì sự cần thiết dựa vào hoạt động cụ thể của công ty.
Việc không lý giải, chứng minh được mục đích của lưu trữ được xem là điểm không phù hợp của việc kiểm soát, lưu trừ thông tin.