# 6. Support and Operation (Clauses 7 and 8)

Clause 7.1: Resources

> Tài nguyên

<figure><img src="/files/2TFp2dsZXg2yGY1kf1ST" alt=""><figcaption></figcaption></figure>

* Cung cấp tài nguyên phù hợp cho ISMS của bạn
* Thông thường, con người, thiết bị, và công nghệ
* Nếu không có tài nguyên, ISMS của bạn không thể tuân thủ ISO 27001

## Clause 7.2: Competence

> Năng lực

<figure><img src="/files/wJ2LxrEJYV7zuLhfCyis" alt=""><figcaption></figcaption></figure>

* Xác định năng lực cần thiết
* Dựa trên trình độ học vấn, đào tạo, hoặc kinh nghiệm
* Giúp mọi người đạt được năng lực và đánh giá hiệu quả của những hành động này.

<details>

<summary>Mandatory Records or Documentation (Bản ghi hoặc tài liệu bắt buộc)</summary>

* Chứng tỏ rằng những người hỗ trợ ISMS có trình độ năng lực cần thiết
* Ví dụ bao gồm bằng chứng về trình độ học vấn, đào tạo và kinh nghiệm của nhân viên
* Bản ghi có thể được lưu giữ trong hệ thống đào tạo hoặc bởi người quản lý nhân sự hoặc HR (Human Resources - nguồn nhân lực)

</details>

<details>

<summary>Ways to Raise Competence of Personnel (Các cách nâng cao năng lực của nhân sự)</summary>

* Tuyển nhân sự có năng lực: để làm được điều này thì JD phải bao gồm yêu cầu năng lực về an toàn thông tin, người phỏng vấn nên đặt câu hỏi cho ứng viên để xác định năng lực của ứng viên
* Cung cấp khả năng tiếp cận giáo dục và đào tạo
* Khuyến khích việc tự học
* Mentor

</details>

<details>

<summary>Demonstrate Compliance with Clause 7.2</summary>

* Thực hiện các bước nâng cao năng lực của nhân sự hỗ trợ ISMS
* Lưu giữ records về mức độ năng lực của họ

</details>

## Clause 7.3: Awareness

> Nhận thức

Mọi người phải nhận thức được:

* The information security policy (chinh sách bảo mật thông tin)
* Đóng góp của họ cho an ninh thông tin và lợi ích của việc cải thiện an ninh
* Ý nghĩa của việc không tuân thủ các yêu cầu bảo mật thông tin

<details>

<summary>Security Awareness Training Program</summary>

* LinkedIn learning course Building a Cybersecurity Awareness Program
* Chương trình nâng cao nhận thức của bạn phải bao gồm tất cả các yêu cầu của clause 7.3

</details>

<details>

<summary>Acceptable Use Policy (chấp nhận sử dụng chính sách)</summary>

* Tất cả users phải đọc và đồng ý làm theo&#x20;
* Có thể truyền đạt sự đóng góp của  user vào hiệu quả bảo mật thông tin
* Có thể truyền đạt ý nghĩa của việc không tuân thủ các yêu cầu bảo mật thông tin
* Có thể là một phần của chương trình đào tạo nâng cao nhận thức về bảo mật

</details>

<details>

<summary>Security Awareness Training Is Ongoing (Đào tạo nâng cao nhận thức về bảo mật thông tin được tiến hành)</summary>

* nó là nỗ lực không ngừng chứ không phải là một lần duy nhất
* cần cập nhật liên tục như các bản tin, email bản tin thông thường, mô hình mô phỏng lừa đảo định kỳ và những công nhận về nhận thức an ninh mạng hàng tháng

</details>

## Clause 7.4: Communication

> Trao đổi thông tin

Xác định nhu cầu trao đổi thông tin:

* What is communicate?
* When to communicate?
* With Whom you will communicate?
* Who does the communication?
* How is the communication done?

<details>

<summary>When Communication Must Occur (Khi trao đổi thông tin phải xảy ra)</summary>

* Khi thực hiện các thay đổi về bảo mật
* Khi ứng phó với sự cố an ninh
* Khi tiến hành đào tạo nâng cao nhận thức về an ninh
* Khi xuất bản các chính sách và tiêu chuẩn bảo mật
* Khi có thêm nhiều hoạt động liên quan đến bảo mật diễn ra.

</details>

<details>

<summary>Demonstrate Compliance with clause 7.4</summary>

Tài liệu chứa danh sách trao đổi thông tin liên quan đến your ISMS, bao gồm:

* Khi việc trao đổi thông tin diễn ra
* Ai nhận được thông tin trao đổi
* Ai đang thực hiện việc trao đổi thông tin
* Họ làm chúng như thế nào

</details>

## Clause 7.5: Documented Information

> Thông tin dạng văn bản

Tài liệu ISMS phải bao gồm:

* Tất cả các tài liệu bắt buộc theo yêu cầu của ISO 27001
* Bất kỳ thông tin dạng văn bản nào khác mà tổ chức của bạn cho là cần thiết để ISMS của bạn có hiệu quả

<details>

<summary>Amount and Types of Documented Information (số lượng và loại thông tin dạng văn bản (tài liệu)</summary>

* Quy mô của tổ chức và các loại hoạt động cũng như quy trình mà tổ chức thực hiện
* Mức độ phức tạp của các quy trình và sự tương tác của chúng
* Những người lập tài liệu ISMS có năng lực như thế nào.

</details>

<details>

<summary>Creating and Updating Documented Information</summary>

Các tài liệu phải có sự phù hợp:

* Thông tin nhận dạng và mô tả chẳng hạn như titles, dates, authors, or bất kỳ số tham chiếu nào
* Format, like language and style
* Media, such as paper or electronic

</details>

<details>

<summary>Document Controls (kiểm soát tài liệu)</summary>

* Sự sẵn có và phù hợp để sử dụng
* Sự bảo vệ (theo 3 khía cạnh của tam giác bảo mật)
* Phân phối, truy cập, truy xuất và sử dụng
* Lưu trữ và bảo quản
* Kiểm soát phiên bản (để kiểm soát mọi thay đổi đối với tài liệu)
* Retention and disposal (bảo quản và thanh lý)

</details>

<details>

<summary>Demonstrate Compliance with clause 7.5</summary>

* Đảm bảo tất cả các tài liệu bắt buộc đã được hoàn thành
* Xây dựng quy trình bằng văn bản để kiểm soát tài liệu
* Xây dựng các biện pháp kiểm soát (controls) bằng văn bản để quản lý hồ sơ
* Xây dựng tiêu chuẩn bảo quản và thanh lý dữ liệu bằng văn bản
* Đảm bảo tất cả các biện pháp kiểm soát được thực hiện và tuân thủ.

</details>

## Clause 8.1: Operational Planning and Control

> Hoạch định tác chiến và kiểm soát

* Implement clause 6: Planning. Yêu cầu tổ chức của bạn thực hiện các hành động được xác định trong điều khoản đó. là giai đoạn lập kế hoạch quản lý rủi ro và đạt được các mục tiêu an ninh và clause 8 là giai đoạn thực hiện. Bởi vì clause 6 và 8 có liên quan chặt chẽ với nhau, họ thường được đánh giá cùng nhau trong quá trình audit ISO 27001.
* Keep process documentation (để đáp ứng yêu cầu bảo mật thông tin đang được thực thi)
* Have a change management process (có một quy trình quản lý thay đổi tại chỗ): Kiểm soát những thay đổi theo kế hoạch, xem hậu quả của những thay đổi ngoài ý muốn và thực hiện hành động để giảm thiểu bất kỳ tác động bất lợi nào nếu cần thiết.
* Identify and control outsourced process (xác định và kiểm soát quy trình thuê ngoài)

## Clause 8.2: Information Security Risk Assessment

> Đánh giá rủi ro bảo mật thông tin

* đã được xác định trong clause 6.1.2

## Clause 8.3: Information Security Risk Treatment

> Xử lý rủi ro an toàn thông tin

* đã được xác định trong clause 6.1.3

<details>

<summary>Demonstrate Compliance with Clause 8</summary>

* Quy trình bảo mật thông tin dạng văn bản
* Thực hiện a change management process
* Document ghi lại cách xác định và kiểm soát outsourced processes
* Tiến hành đánh giá rủi ro
* Document the results of risk assessments
* Thực hiện kế hoạch xử lý rủi ro bảo mật thông tin
* Document the results of risk treatment

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/iso-27001-2022/6.-support-and-operation-clauses-7-and-8.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.