iso-27001

Annex A

ISO 27001 Annex A Controls

93 controls bảo mật trong ISO 27001:2022 được chia thành 4 nhóm: organizational, people, physical, technological.

Annex A là gì? (ISO 27001 Annex A Controls)

Annex A là phụ lục chuẩn hóa thuộc tiêu chuẩn ISO/IEC 27001:2022, bao gồm 93 biện pháp kiểm soát bảo mật thông tin được tổ chức thành bốn nhóm chính: Organizational (tổ chức), People (con người), Physical (vật lý) và Technological (công nghệ). Đây là danh sách tham chiếu mà các tổ chức sử dụng để xác định và triển khai các biện pháp kiểm soát phù hợp với rủi ro bảo mật của mình.

Khác với phiên bản ISO 27001:2013 có 114 biện pháp kiểm soát chia thành 14 nhóm, phiên bản 2022 đã tinh giản và cập nhật lại cấu trúc để phản ánh bối cảnh an ninh thông tin hiện đại hơn, bao gồm các chủ đề như bảo mật đám mây, quản lý mối đe dọa và tình báo về mối đe dọa.


Tại sao Annex A quan trọng?

Annex A đóng vai trò như một "thư viện kiểm soát" chuẩn mực. Khi tổ chức thực hiện đánh giá rủi ro, họ dùng Annex A để đối chiếu xem những rủi ro đã xác định cần được xử lý bằng biện pháp kiểm soát nào. Điều này đảm bảo không bỏ sót các biện pháp bảo mật quan trọng trong quá trình xây dựng hệ thống quản lý an toàn thông tin (ISMS).

Ngoài ra, Annex A còn là cơ sở để lập Statement of Applicability (SoA): một tài liệu bắt buộc trong ISO 27001, nơi tổ chức phải tuyên bố rõ biện pháp kiểm soát nào được áp dụng, biện pháp nào không áp dụng và lý do.


Cách áp dụng Annex A trong ISO 27001

Quá trình áp dụng Annex A thường diễn ra theo trình tự sau:

  1. Đánh giá rủi ro: Xác định các mối đe dọa và điểm yếu trong tổ chức.
  2. Chọn biện pháp kiểm soát: Đối chiếu từng rủi ro với danh sách Annex A để chọn biện pháp phù hợp.
  3. Lập Statement of Applicability: Tài liệu hóa lý do áp dụng hoặc loại trừ từng biện pháp kiểm soát.
  4. Triển khai và vận hành: Thực thi các biện pháp đã chọn vào thực tế.
  5. Theo dõi và cải thiện: Liên tục đánh giá hiệu quả của các biện pháp kiểm soát theo chu kỳ.

Ví dụ thực tế

Một công ty phần mềm đang vận hành hạ tầng trên môi trường đám mây muốn đạt chứng nhận ISO 27001. Trong quá trình đánh giá rủi ro, họ xác định được rủi ro liên quan đến việc quản lý quyền truy cập tài khoản đặc quyền. Tra cứu Annex A, họ tìm thấy biện pháp kiểm soát A.8.2, Privileged Access Rights thuộc nhóm Technological, yêu cầu thiết lập quy trình cấp phát, xem xét và thu hồi quyền truy cập đặc quyền có kiểm soát. Từ đó, đội ngũ IT triển khai hệ thống quản lý danh tính và ghi nhận bằng chứng định kỳ cho đợt audit.


Annex A và compliance automation

Việc theo dõi trạng thái triển khai của 93 biện pháp kiểm soát trong Annex A theo cách thủ công tốn nhiều thời gian và dễ xảy ra sai sót, đặc biệt khi tổ chức cần duy trì bằng chứng liên tục cho các kỳ audit. Các nền tảng compliance automation giúp ánh xạ từng biện pháp kiểm soát với bằng chứng tương ứng, tự động cập nhật trạng thái khi có thay đổi về cấu hình hệ thống, và tạo báo cáo sẵn sàng cho kiểm toán viên, thay vì phải thu thập dữ liệu bằng tay trước mỗi đợt đánh giá.

pTrackly hỗ trợ các nhóm IT và compliance ánh xạ từng biện pháp kiểm soát Annex A với bằng chứng thực tế, giúp duy trì trạng thái sẵn sàng audit một cách liên tục thay vì chỉ chuẩn bị vào mùa kiểm toán.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo