Tại Sao Risk Assessment Quan Trọng Trong ISO 27001
ISO 27001 là một tiêu chuẩn dựa trên rủi ro. Khác với PCI-DSS, quy định các controls cụ thể bạn phải triển khai bất kể ngữ cảnh, ISO 27001 yêu cầu bạn xác định rủi ro của mình trước, rồi mới chọn controls để giải quyết chúng.
Risk assessment không phải một bước kiểm tra compliance, đó là cơ chế quyết định controls nào trong 93 Annex A controls thực sự cần triển khai. Làm risk assessment sai, và toàn bộ ISMS của bạn được xây trên nền tảng không vững.
Clause 6.1.2 Yêu Cầu Gì
Clause 6.1.2 của ISO/IEC 27001:2022 định nghĩa các yêu cầu risk assessment. Nó nằm trong Clause 6 (Planning) cùng với Clause 6.1.3 (risk treatment) và Clause 6.2 (information security objectives).
Clause yêu cầu bạn xác định và áp dụng một quy trình risk assessment:
- Thiết lập tiêu chí chấp nhận rủi ro: mức rủi ro nào là có thể chấp nhận với tổ chức của bạn
- Xác định rủi ro bảo mật thông tin: cụ thể là các rủi ro có thể gây mất tính bảo mật, toàn vẹn, hoặc khả dụng
- Phân công risk owners: người có kiến thức và thẩm quyền đối với từng rủi ro
- Phân tích rủi ro: đánh giá hậu quả tiềm tàng và khả năng xảy ra của từng rủi ro
- Đánh giá rủi ro: so sánh mức rủi ro tính được với tiêu chí chấp nhận của bạn để xác định rủi ro nào cần xử lý
Tiêu chuẩn không bắt buộc một phương pháp cụ thể. Bạn chọn cách đo impact và likelihood, thang đo nào sử dụng, và cách tính risk score tổng hợp, miễn là quy trình được xác định, có thể lặp lại, và cho kết quả có thể so sánh khi chạy lại.
Nguồn: Advisera 27001 Academy (advisera.com/27001academy/iso-27001-risk-assessment)
Risk Assessment vs. Risk Treatment
Đây là hai clauses riêng biệt mà nhiều team nhầm lẫn:
Clause 6.1.2, Risk Assessment Phân tích. Bạn xác định điều gì có thể xảy ra, ai sở hữu từng rủi ro, tác động sẽ nghiêm trọng thế nào, và khả năng xảy ra là bao nhiêu. Đầu ra: danh sách rủi ro với mức độ đã tính toán.
Clause 6.1.3, Risk Treatment Chiến lược. Với các rủi ro vượt ngưỡng chấp nhận, bạn quyết định làm gì với chúng. ISO 27001 định nghĩa bốn lựa chọn:
- Giảm thiểu: triển khai controls để giảm rủi ro
- Tránh: dừng hoạt động tạo ra rủi ro
- Chuyển giao: chuyển rủi ro sang bên thứ ba (bảo hiểm, hợp đồng)
- Chấp nhận: giữ lại rủi ro một cách có ý thức vì chi phí xử lý vượt quá tác hại tiềm tàng
Đầu ra của risk treatment: risk treatment plan và Statement of Applicability (SoA), ghi lại controls Annex A nào bạn đã chọn và tại sao.
Nguồn: Advisera 27001 Academy (advisera.com/27001academy/iso-27001-risk-assessment)
Risk Register Phải Có Gì
Tiêu chuẩn không quy định template. Dựa trên những gì Clause 6.1.2 yêu cầu, một risk register đúng chuẩn cần tối thiểu:
| Trường | Tại sao cần |
|---|---|
| Asset hoặc hoạt động | Xác định cái gì đang ở rủi ro |
| Mối đe dọa (Threat) | Điều gì có thể gây hại (malware, insider threat, misconfiguration) |
| Lỗ hổng (Vulnerability) | Điểm yếu mà threat khai thác |
| Risk owner | Người chịu trách nhiệm về rủi ro (bắt buộc theo Clause 6.1.2) |
| Impact score | Hậu quả sẽ nghiêm trọng thế nào (thang đo do bạn xác định) |
| Likelihood score | Sự kiện có khả năng xảy ra thế nào (thang đo do bạn xác định) |
| Risk level (score) | Tính từ impact × likelihood, hoặc phương pháp tương tự |
| Quyết định risk treatment | Giảm thiểu / tránh / chuyển giao / chấp nhận |
| Controls áp dụng | Annex A controls nào giải quyết rủi ro này |
| Residual risk | Mức rủi ro sau khi áp dụng controls |
Một spreadsheet là đủ với hầu hết tổ chức mới bắt đầu. Tiêu chuẩn không yêu cầu phần mềm chuyên dụng.
Chọn Cách Tính Điểm
Cách tiếp cận phổ biến nhất với tổ chức lần đầu thực hiện ISO 27001 là chấm điểm định tính trên thang 1–5:
- 1 = Không đáng kể / Hiếm khi xảy ra
- 3 = Trung bình / Có thể xảy ra
- 5 = Nghiêm trọng / Gần như chắc chắn
Risk score = Impact × Likelihood. Điểm trên ngưỡng bạn xác định (ví dụ, 12 trên 25) yêu cầu phải xử lý.
Tổ chức muốn cấu trúc hơn có thể tham khảo ISO/IEC 27005: tiêu chuẩn kèm theo cung cấp phương pháp quản lý rủi ro chi tiết cho bảo mật thông tin. ISO 27005 mô tả các cách tiếp cận asset-based, event-based, và hybrid để xác định rủi ro.
Nguồn: Advisera 27001 Academy (advisera.com/27001academy); ISO/IEC 27005 (iso.org/standard/80585.html)
Các Danh Mục Rủi Ro Cần Bao Phủ
Dựa trên cấu trúc Annex A control trong ISO 27001:2022, hầu hết tổ chức cần xem xét rủi ro trong các lĩnh vực:
Rủi ro tổ chức Chính sách bảo mật thông tin, vai trò và trách nhiệm, threat intelligence, quan hệ nhà cung cấp, quy trình quản lý sự cố.
Rủi ro con người Insider threats, nhận thức bảo mật không đầy đủ, lỗi offboarding (tài khoản không bị thu hồi), social engineering.
Rủi ro vật lý Truy cập vật lý trái phép vào văn phòng hoặc phòng server, trộm cắp hoặc hư hỏng thiết bị, chính sách clear desk/screen.
Rủi ro công nghệ Cloud services được cấu hình sai, hệ thống chưa vá lỗi, access control yếu, thiếu mã hóa, logging không đầy đủ.
Với mỗi danh mục rủi ro, assessment nên xác định các asset và kịch bản cụ thể thay vì phát biểu chung chung như "chúng tôi có thể bị tấn công." Rủi ro cụ thể dẫn đến controls cụ thể; rủi ro mơ hồ dẫn đến controls mơ hồ mà certification auditor sẽ đặt câu hỏi.
Tần Suất Chạy Lại Risk Assessment
Tiêu chuẩn yêu cầu risk assessment phải được lặp lại "theo khoảng thời gian đã lên kế hoạch hoặc khi có thay đổi đáng kể." Các thay đổi thường kích hoạt re-assessment:
- Hạ tầng cloud mới được triển khai
- Tính năng sản phẩm mới xử lý dữ liệu nhạy cảm
- Thay đổi nhân sự đáng kể (đặc biệt ở các vai trò có quyền truy cập đặc quyền)
- Sự cố bảo mật
- Vào thị trường mới với yêu cầu pháp lý khác nhau
Surveillance audit hàng năm với certification body của bạn sẽ kỳ vọng thấy risk assessment được cập nhật phản ánh hoạt động hiện tại, không phải tài liệu ba năm tuổi.
Mối Liên Kết Giữa Risk Assessment và Annex A
Sau khi risk assessment xác định những rủi ro nào cần xử lý, quy trình risk treatment (Clause 6.1.3) ánh xạ những rủi ro đó với controls từ Annex A. Statement of Applicability sau đó ghi lại:
- Controls nào trong 93 controls áp dụng với tổ chức của bạn
- Controls nào đã được triển khai
- Tại sao bất kỳ control nào bị loại trừ (với lý do giải thích)
Tổ chức không xác định được rủi ro nào yêu cầu Threat Intelligence control (5.7, mới trong ISO 27001:2022) vẫn phải đưa control đó vào SoA và giải thích tại sao bị loại trừ. Controls không thể đơn giản bỏ qua, chúng được đưa vào một cách có ý thức hoặc loại trừ một cách có ý thức.
Nguồn: ISMS.online, ISO 27001 Annex A (isms.online/iso-27001/annex-a)
Auditor Kiểm Tra Gì
Khi một certification body audit risk assessment của bạn, họ kiểm tra:
- Phương pháp có thể lặp lại: người khác có thể chạy quy trình này và cho kết quả nhất quán không?
- Risk owners được xác định: mỗi rủi ro có người chịu trách nhiệm được đặt tên
- Quyết định treatment có lý do: "chúng tôi chấp nhận rủi ro này" cần một lý do, không chỉ là một dấu tick
- SoA nhất quán với risk register: controls bạn chọn phải trace back được đến rủi ro đã xác định
- Cập nhật sau các thay đổi đáng kể: risk register không thay đổi từ hai năm trước đặt ra câu hỏi
Một finding phổ biến trong các certification audit ban đầu là risk assessment quá chung chung. Auditor tìm kiếm tính cụ thể: assets được đặt tên, mối đe dọa có thể xảy ra, và controls rõ ràng giải quyết các rủi ro đã xác định.
Tài liệu tham khảo:
- ISO/IEC 27001:2022, Information Security Management Systems (iso.org/standard/82875.html)
- ISO/IEC 27005:2022, Information Security Risk Management (iso.org/standard/80585.html)
- Advisera 27001 Academy: ISO 27001 Risk Assessment (advisera.com/27001academy/iso-27001-risk-assessment)
- ISMS.online: ISO 27001 Annex A (isms.online/iso-27001/annex-a)