# 4. Leadership (Clause 5)

Clause 5.1: Leadership and Commitment

> lãnh đạo và cam kết

* Policy and objectives được thiết lập và thống nhất;
* Các yêu cầu ISMS được tích hợp;
* Tài nguyên có sẵn;
* Tầm quan trọng của ISMS được truyền đạt;
* ISMS đang đạt được kết quả dự kiến (nghĩa là đạt được hiệu quả và mang lại những kết quả mong đợi của nó);
* Những người chịu trách nhiệm về ISMS được chỉ đạo và hỗ trợ;
* Thúc đẩy cải tiến liên tục ISMS;
* Các vai trò khác được hỗ trợ.

<figure><img src="/files/vArqPXs7smxIZr8cdLi1" alt=""><figcaption></figcaption></figure>

<details>

<summary>Statement of Management Commitment to Security</summary>

* Tùy chọn nhưng giúp chứng minh sự tuân thủ;
* Có thể là một tài liệu one-page đơn giản;
* Tuyên bố rằng tổ chức của bạn cam kết thực hiện những gì cần thiết để bảo vệ thông tin;
* Phải có chữ ký của lãnh đọa tổ chức của bạn.

</details>

## Clause 5.2: Policy

> Chính sách

* Thiết lập chính sách bảo mật thông tin;
* Phải phù hợp với tổ chức của bạn;
* Sẽ khác nhau tùy theo tổ chức;
* Có thể ở cấp độ cao.

<details>

<summary>Information Security Policy Requirements (yêu cầu chính sách bảo mật thông tin)</summary>

* Mục tiêu bảo mật thông tin from Clause 6.2 hoặc a framework for your security objectives;
* Cam kết đáp ứng các yêu cầu cần thiết liên quan đến an toàn thông tin;
* Cam kết cải tiến liên tục ISMS.

</details>

<figure><img src="/files/F6uNSFbyI6ymG4aJzUZI" alt=""><figcaption></figcaption></figure>

Có thể lấy ý tưởng từ chính sách của các tổ chức khác trên internet để tham khảo, truyền cảm hứng cho bạn, và ý tưởng về những gì nên đưa vào của bạn. Nhưng cuối cùng chính sách bảo mật của bạn phải là duy nhất.

<details>

<summary>Mandatory Document: Information Security Policy (tài liệu bắt buộc: chính sách an toàn thông tin)</summary>

* Chính sách bảo mật thông tin phải được ghi lại (viết ra);
* Tùy chọn: phê duyệt của cơ quan quản lý bảo mật, chẳng hạn như ban chỉ đạo bảo mật thông tin.

</details>

<figure><img src="/files/EYhlisbPMdSme5DGabu0" alt=""><figcaption></figcaption></figure>

Sau khi được phê duyệt thì cần phải truyền đạt, cung cấp cho tổ chức của bạn và bất kỳ bên liên quan nào. Nếu tổ chức của bạn có trang web nội bộ nơi tài liệu được chia sẻ với tất cả nhân viên đó là một ý tưởng tốt để cung cấp chính sách bảo mật thông tin của bạn ở đó.

<details>

<summary>Demonstrate Compliance with Clause 5.2</summary>

* Viết chính sách bảo mật thông tin cho tổ chức của bạn đáp ứng các yêu cầu của điều khoản này;
* Chứng tỏ rằng nó đã được truyền đạt và có sẵn trong tổ chức của bạn;
* Chứng tỏ rằng nó đã được cung cấp cho các bên liên quan.

</details>

## Clause 5.3: Organizational Roles, Responsibilities, and Authorities

> Vai trò, trách nhiệm và quyền hạn của tổ chức

* Quản lý đảm bảo vai trò được phân công và truyền đạt;
* Vai trò có trách nhiệm và quyền hạn;
* Đảm bảo ISMS tuân thủ ISO 27001;
* Báo cáo hiệu suất ISMS cho quản lý cấp cao.

### Roles and Responsibilities Matrix

<table><thead><tr><th width="198">Role</th><th>Responsibilities</th></tr></thead><tbody><tr><td>CEO (Tổng giám đốc điều hành)</td><td><ul><li>Cung cấp định hướng, hướng dẫn, leadership, và support tổng thể cho toàn bộ tổ chức</li><li>Cam kết triển khai ISMS và cung cấp hỗ trợ cần thiết</li></ul></td></tr><tr><td>CIO (Giám đốc công nghệ thông tin)</td><td><ul><li>Cung cấp định hướng, hướng dẫn, leadership, và support tổng thể  cho toàn bộ môi trường hệ thống thông tin</li><li>Hỗ trợ nhân viên có liên quan trong các hoạt động hằng ngày của họ</li><li>Báo cáo thường xuyên cho các thành viên khác của ban quản lý cấp cao về các khía cạnh của tình trạng hệ thống thông tin.</li></ul></td></tr><tr><td>Security director (Giám đốc an ninh)</td><td><ul><li>Phát triển, triển khai, và duy trì the information security program</li><li>Đảm bảo ISMS tuân thủ ISO 27001</li></ul></td></tr><tr><td>Network engineer<br>System administrator<br>(Kỹ sư mạng, Quản trị hệ thống)</td><td><ul><li>Lập kế hoạch, thiết kế, triển khai, lập tài liệu, vận hành, duy trì, và tối ưu hóa cơ sở hạ tầng mạng của tổ chức</li><li>Quản lý cơ sở hạ tầng mạng của tổ chức và cộng tác với các kỹ sư mạng khác để duy trì và tối ưu hóa mạng</li></ul></td></tr><tr><td>End user (người dùng cuối)</td><td><ul><li>Tuân thủ các chính sách, thủ tục, và thực tiễn bảo mật thông tin của tổ chức</li><li>Báo cáo các trường hợp không tuân thủ lên cấp trên</li><li>Thực hiện các hoạt động hàng ngày đồng thời quan sát và báo cáo mọi vấn đề có thể cản trở sự an toàn và bảo mật của các thành phần hệ thống của tổ chức.</li></ul></td></tr><tr><td>Vendor <br>Contractor <br>Third party <br>(Nhà cung cấp, nhà thầu, bên thứ 3)</td><td><ul><li>Tuân thủ các chính sách, thủ tục và thực tiễn bảo mật thông tin của tổ chức.</li></ul></td></tr></tbody></table>

<details>

<summary>Demonstrate Compliance with Clause 5.3</summary>

* Xây dựng ma trận vai trò và trách nhiệm;
* Chứng tỏ rằng trách nhiệm và quyền hạn đối với ISO 27001 về việc tuân thủ và báo cáo đã được giao cho một cá nhân hoặc nhóm
* Truyền đạt vai trò, trách nhiệm và quyền hạn của tổ chức trong việc triển khai và duy trì ISMS.

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/iso-27001-2022/4.-leadership-clause-5.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.