Là gì

Lỗi Nc Trong Iso Là Gì ? Quy Trình Đánh Giá Chất Lượng Nội Bộ

Là một tổ chức chứng nhận, tranminhdung.vn không thể cung cấp dịch vụ tư vấn hệ thống quản lý. Chúng tôi phải độc lập và không thiên vị.

Đang xem: Lỗi nc trong iso là gì

*

 
Trong loạt blog này, tôi sẽ xem xét từng điều khoản của ISO 27001 và thảo luận về những điểm không phù hợp (NC) điển hình mà các đánh giá viên của chúng tôi phát hiện. Có một số yếu tố phổ biến làm cơ sở cho hầu hết các điểm không phù hợp (NC). Có thể tránh được một số trong số chúng bằng cách chú ý đến các yêu cầu của tiêu chuẩn. Đây là hai ví dụ:
Có 17 điều khoản và 10 Phụ lục A kiểm soát trong đó yêu cầu lưu giữ thông tin dạng văn bản hoặc tài liệu liên quan. Đánh giá viên sẽ mong đợi thấy bằng chứng về những điều này và sự thiếu vắng của chúng gần như chắc chắn sẽ dẫn đến điểm không phù hợp (NC). Ngoài ra, có một số kiểm soát không bắt buộc tài liệu nhưng mục đích là giống nhau, chẳng hạn như chính sách mã hóa, chính sách bàn làm việc sạch, nhật ký sự kiện và chính sách truyền dữ liệu. Điểm không phù hợp phổ biến là A.12.1.1 yêu cầu các quy trình vận hành phải được lập thành văn bản.
Đôi khi, thậm chí một HTQL ATTT (ISMS) chuẩn chỉ cũng được phát hiện ra các điểm không phù hợp (NC) khi đánh giá viên đến thăm tầng cửa hàng. Người vận hành quy trình tiết lộ rằng họ không tuân theo một quy trình bảo mật thông tin xác định hoặc họ không biết rằng quy trình đó có tồn tại. Nó có thể là gửi các email nhạy cảm không an toàn, cho phép mọi người điều chỉnh, không xem lại nhật ký hệ thống – có rất nhiều ví dụ. Một trong những nguyên nhân của điều này có thể là do tổ chức chưa truyền đạt hoặc tích hợp ISMS vào tổ chức một cách hiệu quả – đánh giá viên sẽ cố gắng tìm hiểu lý do tại sao để xác định hệ thống quản lý bị lỗi ở đâu. Một số người không tuân theo các quy trình vì họ không có các nguồn lực cần thiết để thực hiện đúng. Một lần nữa, đánh giá viên sẽ xác định điều này vì đây là yêu cầu của lãnh đạo cấp quản lý cao nhất để đảm bảo các nguồn lực sẵn có.
Gần một nửa số NC được tranminhdung.vn đưa ra liên quan đến Điều khoản 4 là do ISMS không xác định đầy đủ các vấn đề bên ngoài và bên trong ảnh hưởng đến mục đích của tổ chức. Tại sao bạn cần liệt kê các vấn đề? Chà, trừ khi bạn biết các vấn đề ảnh hưởng đến tổ chức của mình, bạn sẽ không thể tích hợp quản lý rủi ro vào hoạt động của mình – bạn không thể quản lý rủi ro nếu bạn không hiểu tổ chức của mình và bối cảnh của nó.
Quản lý rủi ro có thể khó khăn nếu tổ chức của bạn thiếu kiến ​​thức bảo mật, điều này tôi sẽ thảo luận trong một blog trong tương lai. Nhưng bằng cách biết các vấn đề có thể ảnh hưởng đến bạn, bạn đang đặt nền tảng để quản lý rủi ro của mình. Liệt kê các vấn đề là yêu cầu của Điều 4.1 và là một phần của việc xác định phạm vi của ISMS, do đó, sự thiếu sót ở đây cũng ảnh hưởng đến định nghĩa phạm vi được yêu cầu trong Điều 4.3.

READ  Tại Sao Khi Uống Bia Mặt Trắng Là Nhóm Máu Gì, Uống Rượu Bia Đỏ Mặt Nhóm Máu Gì

Xem thêm: Sàn Remitano Là Gì ? Cách Sử Dụng Remitano Mới Nhất 31/03/2021

Nó có nghĩa là gì, các vấn đề? Các vấn đề bên ngoài là môi trường mà tổ chức hoạt động. Chúng được xác định bởi những gì tổ chức làm và cách chúng ảnh hưởng đến các mục tiêu của tổ chức. Ví dụ: các vấn đề bên ngoài của nhà bán lẻ sẽ rất khác với của trường học. Trong khi các vấn đề nội bộ cũng ảnh hưởng đến các mục tiêu của tổ chức, chúng tự áp đặt, chẳng hạn như văn hóa và cấu trúc. ISO 31000: 2018 bao gồm các hướng dẫn và ví dụ hữu ích mà bạn có thể xem xét.

*

 
Phạm vi là điểm không phù hợp (NC) phổ biến nhất tiếp theo, trong đó nó bị thiếu hoàn toàn khỏi HTQL ATTT (ISMS) hoặc không đầy đủ. Điều khoản 4.3 xác định chính xác những gì được yêu cầu, nhưng lưu ý các phụ thuộc trong điều khoản 4.1 và 4.2. Phạm vi rất quan trọng vì nó xác định ranh giới của ISMS. Đôi khi, trong quá trình đánh giá, khi đánh giá viên trở nên quen thuộc với tổ chức, có thể thấy rõ điều gì đó còn thiếu trong phạm vi. Hoặc có lẽ việc đánh giá rủi ro liệt kê các tài sản thông tin nằm ngoài phạm vi. Hoặc có phạm vi rõ ràng nhưng chưa được đưa vào.
Hiểu được nhu cầu và mong đợi của các bên quan tâm từ Điều 4.2 thường khiến mọi người chú ý. Nhưng tiêu chuẩn muốn bạn xem xét rõ ràng các yêu cầu về bảo mật thông tin của các bên quan tâm. Sau đó, nó lưu ý một cách hữu ích rằng các yêu cầu của họ có thể là hợp pháp, theo quy định hoặc hợp đồng, về cơ bản cho bạn biết những gì được yêu cầu.
Làm cách nào để đánh giá viên của chúng tôi đánh giá ISMS của bạn theo Phần 4? Như bạn mong đợi, họ thông thạo các vấn đề hiện tại và luật pháp hiện hành, họ đã lắng nghe bạn và quản lý cao nhất của bạn mô tả về tổ chức, họ là các chuyên gia bảo mật có kinh nghiệm và có thể họ đã kiểm toán các tổ chức tương tự khác. Họ sẽ biết những gì mong đợi, cả nói chung và theo yêu cầu của tiêu chuẩn. Tiêu chuẩn đặt ra các yêu cầu tối thiểu về tài liệu, do đó, bất kỳ điều gì bị thiếu thường sẽ dẫn đến không phù hợp.

READ  Là Gì? Nghĩa Của Từ Khó Tính Tiếng Anh Là Gì ? Định Nghĩa Của Từ Khó Tính Trong Từ Điển Lạc Việt

Xem thêm: thị trường ethereum

Trong blog tiếp theo của tôi, tôi sẽ xem xét những lý do điển hình khiến sự không phù hợp phát sinh trong Điều khoản 5.

Trả lời

Back to top button