Công ty luật Minh Khuê www.luatminhkhue.vn TIÊU CHUẨN QUỐC GIA TCVN 7562 : 2005 ISO/IEC 17799 : 2000 CÔNG NGHỆ THÔNG TIN – MÃ THỰC HÀNH QUẢN LÝ AN NINH THÔNG TIN Information technology — Code of practice for information security management Lời nói đầu TCVN 7562 : 2005 hồn toàn tương đương với ISO/IEC 17799 : 2000 TCVN 7562 : 2005 Ban kỹ thuật tiêu chuẩn TCVN/TC 154 "Quá trình, yếu tố liệu tài liệu thương mại, cơng nghiệp hành chính" biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ ban hành Tiêu chuẩn chuyển đổi năm 2008 từ Tiêu chuẩn Việt Nam số hiệu thành Tiêu chuẩn Quốc gia theo quy định Khoản Điều 69 Luật Tiêu chuẩn Quy chuẩn kỹ thuật điểm a khoản Điều Nghị định số 127/2007/NĐ-CP ngày 1/8/2007 Chính phủ quy định chi tiết thi hành số điều Luật Tiêu chuẩn Quy chuẩn kỹ thuật CÔNG NGHỆ THÔNG TIN – MÃ THỰC HÀNH QUẢN LÝ AN NINH THÔNG TIN Information Technology – Code of practice for information security management Phạm vi áp dụng Tiêu chuẩn đưa khuyến nghị công tác quản lý an ninh thơng tin cho người có trách nhiệm cài đặt, thực thi trì an ninh tổ chức họ Tiêu chuẩn nhằm cung cấp sở chung để xây dựng tiêu chuẩn an ninh tổ chức thực hành quản lý an ninh cách hiệu tạo tính tin cậy giao dịch liên-tổ chức Các khuyến nghị rút từ tiêu chuẩn nên lựa chọn sử dụng phù hợp với luật quy định liên quan Thuật ngữ định nghĩa Tiêu chuẩn sử dụng định nghĩa sau: 2.1 An ninh thơng tin Duy trì tính bảo mật, tính tồn vẹn tính sẵn sàng thơng tin - Tính bảo mật Đảo bảo người phép truy cập thơng tin - Tính tồn vẹn Bảo vệ tính xác đầy đủ thông tin phương pháp xử lý - Tính sẵn sàng Đảm bảo người sử dụng phép truy cập thơng tin tài sản tương ứng cần 2.2 Đánh giá rủi ro Đánh giá mối đe dọa, ảnh hưởng điểm yếu thông tin phương tiện xử lý thơng tin khả xảy 2.3 Quản lý rủi ro Quá trình xác định, kiểm soát giảm thiểu loại trừ rủi ro an ninh ảnh hưởng đến hệ thống thơng tin với chi phí chấp nhận Chính sách an ninh 3.1 Chính sách an ninh thông tin Mục tiêu: Cung cấp phương hướng quản lý hỗ trợ an ninh thông tin Ban quản lý nên thiết lập phương hướng sách rõ ràng công khai hỗ trợ cam kết an ninh thông tin thông qua việc phát hành trì sách an ninh thơng tin toàn tổ chức LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 3.1.1 Tài liệu sách an ninh thơng tin Tài liệu sách nên ban quản lý thơng qua, phát hành truyền đạt cho toàn nhân viên thích hợp Bản sách nên cơng bố cam kết ban quản lý trình bày cách tiếp cận quản lý an ninh thông tin tổ chức cách ngắn gọn, tối thiểu nên bao gồm hướng dẫn sau: a) định nghĩa an ninh thơng tin, tồn đối tượng, phạm vi tầm quan trọng an ninh chế tạo điều kiện cho việc chia sẻ thông tin; b) trình bày mục đích quản lý, hỗ trợ mục tiêu nguyên tắc an ninh thông tin; c) giải thích ngắn gọn sách, nguyên tắc, tiêu chuẩn an ninh tuân thủ yêu cầu có tầm quan trọng đặc biệt tổ chức, ví dụ: 1) tuân thủ yêu cầu pháp lý theo hợp đồng; 2) yêu cầu giáo dục an ninh; 3) ngăn ngừa phát virút phần mềm gây hại khác; 4) quản lý tính liên tục công việc kinh doanh; 5) hậu vi phạm sách an ninh; d) xác định trách nhiệm chung riêng cho việc quản lý an ninh thông tin, gồm việc báo cáo cố an ninh; e) tham chiếu tới tài liệu hỗ trợ cho sách, ví dụ sách thủ tục an ninh chi tiết cho hệ thống thông tin cụ thể quy tắc an ninh mà người sử dụng phải tuân theo Chính sách nên truyền đạt toàn tổ chức tới người sử dụng dạng thích hợp mà người đọc thu nhận hiểu 3.1.2 Soát xét đánh giá Nên có người chịu trách nhiệm việc trì sốt xét sách theo quy trình sốt xét định trước Quy trình nên đảm bảo việc soát xét thực để đáp ứng với thay đổi ảnh hưởng tới sở đánh giá rủi ro ban đầu, ví dụ cố an ninh đáng lưu ý, điểm yếu thay đổi sở hạ tầng tổ chức kỹ thuật Các sốt xét định kỳ nên lập chương trình vấn đề sau: a) tính hiệu lực sách, chứng tỏ chất, số lượng ảnh hưởng cố an ninh ghi lại; b) chi phí ảnh hưởng kiểm sốt tính hiệu kinh doanh; c) tác động thay đổi tới công nghệ An ninh tổ chức 4.1 Hạ tầng an ninh thông tin Mục tiêu: Quản lý an ninh thông tin tổ chức Khuôn khổ quản lý nên thiết lập để khởi đầu kiểm sốt việc thực an ninh thơng tin tổ chức Các diễn đàn quản lý phù hợp với khả lãnh đạo ban quản lý nên thành lập để thơng qua sách an ninh thơng tin, ấn định vai trò an ninh phối hợp thực an ninh toàn tổ chức Nếu cần thiết, nguồn tài nguyên lời khuyên chuyên môn an ninh thông tin nên thiết lập sẵn dùng tổ chức Nên phát triển việc cộng tác với chuyên gia an ninh bên ngồi để theo kịp xu hướng cơng nghiệp, tiêu chuẩn giám sát, phương pháp đánh giá cung cấp điểm liên lạc phù hợp xử lý cố an ninh Nên khuyến khích sử dụng cách tiếp cận an ninh thơng tin đa chiều, ví dụ bao gồm phối hợp hợp tác nhà quản lý, người sử dụng, nhà quản trị, người thiết kế ứng dụng, kiểm toán viên nhân viên an ninh chuyên gia có kỹ chuyên môn nhiều lĩnh vực bảo hiểm quản lý rủi ro 4.1.1 Diễn đàn quản lý an ninh thông tin An ninh thông tin trách nhiệm doanh nghiệp toàn thành viên nhóm quản lý tham gia Một diễn đàn quản lý nên quan tâm để đảm bảo có phương hướng rõ ràng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn quản lý hữu hình hỗ trợ cho sáng kiến an ninh Diễn đàn nên thúc đẩy an ninh tổ chức thông qua cam kết thích hợp sáng kiến tương xứng Diễn đàn phần quan quản lý Điển hình diễn đàn bảo đảm trách nhiệm sau đây: a) sốt xét phê duyệt sách an ninh thơng tin tồn người có trách nhiệm; b) kiểm tra thay đổi quan trọng tình trạng phơi bày tài sản thơng tin mối đe dọa chính; c) sốt xét kiểm tra cố an ninh thông tin; d) phê duyệt sáng kiến để tăng cường an ninh thông tin Một nhà quản lý nên có trách nhiệm toàn hoạt động liên quan đến an ninh 4.1.2 Hợp tác an ninh thông tin Trong tổ chức lớn, diễn đàn chức năng-chéo đại diện quản lý từ phận liên quan tổ chức cần thiết phối hợp thực kiểm sốt an ninh thơng tin Điển hình diễn đàn: a) đồng ý vai trò trách nhiệm cụ thể an ninh thơng tin tồn tổ chức; b) đồng ý phương pháp luận quy trình cụ thể an ninh thông tin, nghĩa là; đánh giá rủi ro, hệ thống phân loại an ninh; c) đồng ý hỗ trợ sáng kiến an ninh thông tin tổ chức mở rộng, nghĩa là; chương trình nhận thức an ninh; d) đảm bảo an ninh phần quy trình lập kế hoạch thơng tin; e) đánh giá tương xứng phối hợp thực kiểm sốt an ninh thơng tin cụ thể hệ thống dịch vụ mới; f) sốt xét cố an ninh thơng tin; g) thúc đẩy tính minh bạch việc hỗ trợ an ninh thơng tin doanh nghiệp tồn tổ chức 4.1.3 Phân định trách nhiệm an ninh thông tin Các trách nhiệm việc bảo vệ tài sản cá nhân tiến hành quy trình an ninh cụ thể nên xác định rõ ràng Chính sách an ninh thơng tin (xem mục 3) nên cung cấp hướng dẫn chung việc phân định vai trò trách nhiệm an ninh tổ chức Điều nên bổ sung, cần thiết, với hướng dẫn chi tiết địa điểm, hệ thống dịch vụ cụ thể Các trách nhiệm cục tài sản vật chất thơng tin cá nhân q trình an ninh, việc lập kế hoạch liên tục kinh doanh nên xác định rõ ràng Trong nhiều tổ chức, nhà quản lý an ninh thông tin bổ nhiệm để nắm giữ toàn trách nhiệm việc phát triển thực an ninh để hỗ trợ việc xác định kiểm soát Tuy nhiên, trách nhiệm sáng kiến thực kiểm soát thường giữ nguyên cho nhà quản lý cá nhân Một thực tế chung để bổ nhiệm người chủ sở hữu tài sản thơng tin người trở thành người có trách nhiệm hàng ngày an ninh Người chủ sở hữu tài sản thơng tin uỷ quyền trách nhiệm an ninh họ cho nhà quản lý cá nhân nhà cung cấp dịch vụ Tuy nhiên người chủ cịn trách nhiệm an ninh tài sản nên có khả xác nhận chịu trách nhiệm uỷ quyền hoàn thành Điều cần thiết phạm vi cho nhà quản lý trách nhiệm rõ; đặc biệt việc sau xảy ra: a) tài sản khác quy trình an ninh kết hợp với hệ thống cá nhân nên định danh xác định rõ ràng; b) nhà quản lý có trách nhiệm tài sản quy trình an ninh nên thỏa thuận chi tiết trách nhiệm nên tài liệu hóa; c) mức cấp phép nên xác định rõ ràng tài liệu hóa 4.1.4 Quyền xử lý phương tiện xử lý thông tin LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Một quy trình cấp phép quản lý phương tiện xử lý thông tin nên thiết lập Nên xem xét kiểm soát sau đây: a) phương tiện nên có phê chuẩn quản lý người sử dụng thích hợp, vào mục đích việc sử dụng họ Sự phê chuẩn nên đạt từ Nhà quản lý có trách nhiệm việc trì mơi trường an ninh hệ thống thơng tin cục để đảm bảo toàn sách yêu cầu an ninh liên quan đáp ứng; b) cần thiết, phần cứng phần mềm nên kiểm tra để đảm bảo chúng so sánh với thành phần hệ thống khác; CHÚ THÍCH: Có thể địi hỏi kiểu phê chuẩn kết nối cụ thể c) việc sử dụng phương tiện xử lý thông tin cá nhân việc xử lý thông tin doanh nghiệp kiểm soát cần thiết nên cấp phép; d) việc sử dụng phương tiện xử lý thơng tin cá nhân nơi làm việc dẫn đến điểm dễ bị công nên đánh giá cho phép Các kiểm sốt đặc biệt quan trọng mơi trường nối mạng 4.1.5 Lời khuyên chuyên gia an ninh thông tin Lời khuyên an ninh chuyên gia bị phụ thuộc nhiều tổ chức Theo lý tưởng, cố vấn an ninh thơng tin tiến hành tổ chức có kinh nghiệm nên cung cấp lời khun Khơng phải tồn tổ chức muốn thuê chuyên gia cố vấn Trong trường hợp vậy, khuyến cáo cá nhân cụ thể định danh để phối hợp kiến thức kinh nghiêm tiến hành tổ chức để đảm bảo tính quán cung cấp hỗ trợ việc tạo định an ninh Họ nên có quyền sử dụng cố vấn phù hợp bên để cung cấp lời khun chun gia ngồi kinh nghiệm họ Các cố vấn an ninh thông tin điểm liên lạc tương đương nên giao nhiệm vụ với việc cung cấp lời khun tồn khía cạnh an ninh thơng tin, có sử dụng họ lời khun bên ngồi Chất lượng việc đánh giá mối đe dọa an ninh lời khuyên kiểm soát xác định tính hiệu lực an ninh thơng tin tổ chức Để tính hiệu lực tác động tối đa chúng nên phép trực tiếp có quyền sử dụng quản lý toàn tổ chức Cố vấn an ninh thông tin điểm liên lạc tương đương nên tư vấn giai đoạn sớm theo sau vấn đề cố an ninh lỗ thủng an ninh khả nghi để cung cấp nguồn hướng dẫn chuyên gia nguồn điều tra Mặc dù phần lớn điều tra an ninh nội thông thường tiến hành kiểm soát quản lý, cố vấn an ninh thơng tin đề nghị đưa lời khuyên, hướng dẫn thực điều tra 4.1.6 Hợp tác tổ chức Các liên lạc thích hợp với ủy quyền hợp pháp, quan quy định, nhà cung cấp dịch vụ thông tin nhà điều hành viễn thông nên trì để đảm bảo hành động thích hợp thực cách nhanh chóng đạt lời khuyên, trường hợp vấn đề cố an ninh Tương tự, thành viên nhóm an ninh diễn đàn cơng nghiệp nên xem xét Các trao đổi thông tin an ninh nên hạn chế để đảm bảo thơng tin bí mật tổ chức khơng chuyển cho cá nhân trái phép 4.1.7 Soát xét độc lập an ninh thông tin Tài liệu sách an ninh thơng tin (xem 3.1) trình bày sách trách nhiệm an ninh thơng tin Việc thi hành nên sốt xét cách độc lập để cung cấp bảo đảm hoạt động thực tế tổ chức phản ánh cách đắn sách có tính khả thi hiệu (xem 12.2) Một sốt xét tiến hành chức đánh giá nội bộ, nhà quản lý độc lập tổ chức thứ ba tiến hành soát xét đây, ứng cử viên có kỹ kinh nghiệm thích hợp 4.2 Anh ninh truy cập bên thứ ba LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn Mục tiêu: Duy trì an ninh cho phương tiện xử lý thông tin tổ chức tài sản thông tin bên thứ ba truy cập Việc truy cập tới phương tiện xử lý thông tin tổ chức bên thứ ba nên kiểm soát Ở chỗ có nhu cầu kinh doanh với việc truy cập bên thứ ba, đánh giá rủi ro nên tiến hành để xác định vấn đề liên quan đến an ninh yêu cầu kiểm soát Các kiểm soát nên thỏa thuận xác định rõ hợp đồng với bên thứ ba Việc truy cập bên thứ ba liên quan đến bên tham gia khác Các hợp đồng cho phép việc truy cập bên thứ ba nên gồm việc xem xét định bên tham gia có đủ tư cách khác điều kiện truy cập họ Tiêu chuẩn sử dụng sở hợp đồng xem xét nguồn cung cấp cho việc xử lý thông tin 4.2.1 Xác định rủi ro từ việc truy cập bên thứ ba 4.2.1.1 Các kiểu truy cập Kiểu truy cập bên thứ ba có tầm quan trọng đặc biệt Ví dụ, rủi ro việc truy cập thông qua kết nối mạng khác với rủi ro truy cập vật lý Các kiểu truy cập nên xem xét là: a) truy cập vật lý, ví dụ tới văn phịng, phịng máy tính, tủ hồ sơ; b) truy cập logic, ví dụ tới sở liệu, hệ thống thông tin tổ chức 4.2.1.2 Các lý truy cập Các bên thứ ba phép truy cập số lý Ví dụ, bên thứ ba cung cấp dịch vụ cho tổ chức khơng chỗ truy cập vật lý logic, là: a) nhân viên hỗ trợ phần cứng phần mềm cần truy cập vào chức ứng dụng mức hệ thống mức sở; b) đối tác thương mại liên doanh trao đổi thơng tin, truy cập hệ thống thông tin chia sẻ sở liệu Thơng tin bị rủi ro việc truy cập bên thứ ba quản lý an ninh khơng thích hợp chỗ có nhu cầu kinh doanh để kết nối tới vị trí bên thứ ba, nên tiến hành đánh giá rủi ro để xác định yêu cầu kiểm sốt cụ thể Nên tính đến kiểu truy cập, giá trị thơng tin, kiểm sốt bên thứ ba sử dụng vấn đề liên quan truy cập tới an ninh cho thông tin tổ chức 4.2.1.3 Các nhà thầu chỗ Các bên thứ ba đặt chỗ khoảng thời gian xác định hợp đồng làm tăng điểm yếu an ninh Các ví dụ bên thứ ba chỗ gồm: a) nhân viên hỗ trợ bảo trì phần cứng phần mềm; b) dịch vụ vệ sinh, ăn uống, bảo vệ an ninh dịch vụ hỗ trợ cung ứng khác; c) sinh viên thực tập bổ nhiệm ngắn hạn ngẫu nhiên khác; d) cố vấn Điều cốt yếu hiểu kiểm soát cần thiết để quản lý việc truy cập bên thứ ba tới phương tiện xử lý thông tin Nói chung, tồn u cầu an ninh việc truy cập bên thứ ba kiểm soát nội nên thể hợp đồng bên thứ ba (xem 4.2.2) Ví dụ, có nhu cầu đặc biệt cho tính bảo mật thông tin nên sử dụng thỏa thuận không làm lộ thông tin (xem 6.1.3) Không nên cung cấp việc truy cập thông tin phương tiện xử lý thông tin cho bên thứ ba kiểm sốt thích hợp thực hợp đồng ký kết xác định điều khoản kết nối truy cập 4.2.2 Các yêu cầu an ninh hợp đồng bên thứ ba Các đặt liên quan tới việc truy cập bên thứ ba tới phương tiện xử lý thông tin tổ chức nên dựa sở hợp đồng thức bao gồm đề cập tới toàn yêu cầu an LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn ninh để đảm bảo tuân thủ sách tiêu chuẩn an ninh tổ chức Hợp đồng nên đảm bảo khơng có hiểu lầm tổ chức bên thứ ba Các tổ chức nên tự đưa thông tin để đảm bảo nhà cung cấp họ Các điều khoản sau nên xem xét hợp đồng: a) sách chung an ninh thơng tin; b) bảo vệ tài sản, bao gồm: 1) thủ tục bảo vệ tài sản tổ chức, gồm thông tin phần mềm; 2) thủ tục để xác định có khơng xảy làm hại cho tài sản, ví dụ mát thay đổi liệu; 3) kiểm soát để đảm bảo việc trả lại hủy thông tin tài sản vào cuối thời điểm thỏa thuận hợp đồng; 4) tính tồn vẹn tính sẵn sàng; 5) hạn chế việc chép làm lộ thông tin; c) mô tả dịch vụ sẵn dùng; d) mức tiêu dịch vụ mức không chấp nhận dịch vụ; e) điều khoản việc thuyên chuyển nhân viên thích hợp; f) trách nhiệm pháp lý tương ứng bên tham gia thỏa thuận; g) trách nhiệm vấn đề pháp lý, ví dụ luật bảo vệ liệu, đặc biệt tính đến hệ thống pháp lý Quốc gia khác trường hợp hợp đồng liên quan đến hợp tác với tổ chức nhiều nước (xem 12.1); h) quyền sở hữu trí tuệ (IPRs) chuyển nhượng quyền tác giả (xem 12.1.2) bảo vệ công việc hợp tác (xem 6.1.3); i) thỏa thuận kiểm soát truy cập, bao gồm: 1) phương pháp truy cập phép, việc kiểm soát sử dụng định danh danh (ID) mật người sử dụng; 2) quy trình cấp phép việc truy cập đặc quyền người sử dụng; 3) yêu cầu trì danh sách cá nhân cấp phép sử dụng dịch vụ sẵn có quyền đặc quyền họ việc sử dụng này; j) định nghĩa tiêu chuẩn thực được, giám sát báo cáo họ; k) quyền giám sát thu hồi, hoạt động người sử dụng; l) quyền kiểm tra trách nhiệm theo hợp đồng nhờ bên thứ ba tiến hành kiểm tra này; m) thiết lập quy trình bậc thang việc giải vấn đề; đặt có tính liên tục nên xem xét nơi thích hợp; n) trách nhiệm liên quan cài đặt bảo dưỡng phần cứng phần mềm; o) khuôn khổ báo cáo rõ ràng dạng thức báo cáo thơng qua; p) quy trình rõ ràng cụ thể việc quản lý thay đổi; q) kiểm soát chế bảo vệ vật lý u cầu để đảm bảo kiểm sốt làm theo; r) đào tạo người sử dụng nhà quản trị phương pháp, thủ tục an ninh; s) kiểm soát để đảm bảo chống lại phần mềm cố ý gây hại (xem 8.3); t) chuẩn bị cho việc báo cáo, thông báo điều tra cố an ninh vi phạm an ninh; u) liên quan bên thứ ba với thầu phụ 4.3 Cung ứng bên LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mục tiêu: Duy trì an ninh thơng tin trách nhiệm xử lý thông tin đưa cho tổ chức khác cung ứng Các xếp cho việc cung ứng bên ngồi nên xác định rủi ro, kiểm sốt thủ tục an ninh cho hệ thống thông tin, mạng và/ mơi trường hình hợp đồng bên 4.3.1 Các yêu cầu an ninh hợp đồng cung ứng Các yêu cầu an ninh cho tổ chức cung ứng việc quản lý kiểm sốt tồn số hệ thống thông tin, mạng và/ môi trường hình nên định rõ hợp đồng thức bên Ví dụ, hợp đồng nên định rõ: a) yêu cầu pháp lý đáp ứng nào, ví dụ luật bảo vệ liệu; b) chuẩn bị đặt để đảm bảo toàn bên tham gia liên quan đến việc cung ứng, gồm thầu phụ, nhận thức trách nhiệm an ninh mình; c) tính tồn vẹn tính bảo mật tài sản kinh doanh tổ chức trì kiểm tra nào; d) kiểm soát vật lý logic sử dụng để ngăn ngừa hạn chế việc truy cập thông tin kinh doanh nhạy cảm tổ chức người sử dụng phép; e) tính sẵn sàng dịch vụ trì trường hợp có tai họa nào?; f) mức an ninh vật lý cung cấp cho thiết bị cung ứng; g) quyền kiểm tra sổ sách Các điều khoản liệt kê 4.2.2 nên xem xét phần hợp đồng Hợp đồng nên cho phép yêu cầu thủ tục an ninh để mở rộng kế hoạch quản lý an ninh thỏa thuận hai bên Mặc dù hợp đồng cung ứng đưa vấn đề an ninh phức tạp, kiểm sốt mã thực hành dùng điểm bắt đầu cho việc thỏa thuận cấu trúc nội dung kế hoạch quản lý an ninh Phân loại kiểm soát tài sản 5.1 Trách nhiệm giải trình tài sản Mục tiêu: Duy trì bảo vệ thích hợp tài sản tổ chức Tồn tài sản thơng tin nên giải trình có người quản lý bổ nhiệm Trách nhiệm giải trình tài sản giúp cho việc đảm bảo trì bảo vệ thích hợp Các quản lý nên xác định tồn tài sản có trách nhiệm việc trì kiểm sốt thích hợp ấn định trước Trách nhiệm thực kiểm sốt giao phó lại Trách nhiệm giải trình nên giữ nguyên người quản lý tài sản bổ nhiệm 5.1.1 Kiểm kê tài sản Các kiểm kê tài sản giúp đảm bảo việc bảo vệ tài sản hiệu tiến hành yêu cầu cho mục tiêu kinh doanh khác, sức khỏe an toàn, lý bảo hiểm tài (quản lý tài sản) Quy trình lập kiểm kê tài sản khía cạnh quan trọng quản lý rủi ro Một tổ chức cần có khả xác định tài sản giá trị tầm quan trọng tương ứng tài sản Dựa thơng tin này, tổ chức đưa mức bảo vệ tương xứng với giá trị tầm quan trọng tài sản Nên thảo trì kiểm kê tài sản quan trọng kết hợp với hệ thống thông tin Mỗi tài sản nên xác định rõ ràng thỏa thuận ghi chép quyền sở hữu phân loại an ninh (xem 5.2), với vị trí (quan trọng khơi phục mát hỏng hóc) Các ví dụ tàI sản kết hợp với hệ thống thông tin là: a) tài sản thông tin: Các tệp liệu sở liệu, tài liệu hệ thống, sổ tay người sử dụng, tài liệu đào tạo, thủ tục hoạt động hỗ trợ, kế hoạch liên tục, chuẩn bị dự phịng, thơng tin thu được; b) tài sản phần mềm: Phần mềm ứng dụng, phần mềm hệ thống, công cụ phát triển tiện ích; c) tài sản vật lý: Thiết bị máy tính (các vi xử lý, hình, máy tính xách tay, modem), thiết bị truyền thông (routers, PABXs, máy fax, máy trả lời tự động), phương tiện có từ tính (các băng từ đĩa), thiết bị kỹ thuật khác (máy phát điện, thiết bị điều hồ khơng khí), đồ đạc, văn phịng; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn d) dịch vụ: Các dịch vụ truyền thơng máy tính, thiết bị chung, ví dụ; lị sưởi, chiếu sáng, lượng, điều hịa 5.2 Phân loại thơng tin Mục tiêu: Đảm bảo tài sản thơng tin có mức bảo vệ thích hợp Thơng tin nên phân loại để định nhu cầu, mức ưu tiên mức bảo vệ Thơng tin có tính nhạy cảm tính phê bình khác Một số mục u cầu mức bảo vệ bổ sung trình quản lý đặc biệt Một hệ thống phân loại thông tin nên sử dụng để xác định loạt mức bảo vệ thích hợp thơng báo biện pháp quản lý đặc biệt 5.2.1 Các hướng dẫn phân loại Các loại thơng tin kiểm sốt bảo vệ liên quan nên xét đến nhu cầu chia sẻ hạn chế thông tin kinh doanh tác động kinh doanh kết hợp với nhu cầu này, ví dụ truy cập trái phép gây hại cho thơng tin Nói chung, phân loại thông tin phương pháp nhanh xác định thông tin quản lý bảo vệ Thông tin yếu tố đầu vào từ hệ thống quản lý liệu phân loại nên ghi nhãn theo giá trị tính nhạy cảm tổ chức Nó phù hợp để ghi nhãn thơng tin theo tính phê bình tổ chức, ví dụ; dạng tính tồn vẹn tính sẵn sàng Thơng tin thường hết tính nhạy cảm phê bình sau khoảng thời gian định, ví dụ, thơng tin cơng bố Nên xét đến khía cạnh phân loại q kỹ dẫn tới chi phí kinh doanh thêm không cần thiết Các hướng dẫn phân loại nên lường trước cho phép với thực tế phân loại hạng mục thông tin không thiết cố định thay đối phù hợp với số sách định trước (xem 9.1) Nên xem xét số lượng danh mục phân loại lợi ích đạt từ việc sử dụng chúng Các kế hoạch phức tạp trở thành nặng nề không kinh tế sử dụng không thực tế Nên quan tâm đến thông dịch nhãn phân loại tài liệu từ tổ chức khác mà có quy ước khác nhãn tương tự tên gọi Trách nhiệm việc xác định phân loại hạng mục thông tin nên giữ nguyên người khởi tạo người quản lý bổ nhiệm thơng tin đó, ví dụ tài liệu, ghi liệu, tệp liệu đĩa mềm việc soát xét theo định kỳ phân loại 5.2.2 Dán nhãn quản lý thông tin Điều quan trọng loạt thủ tục thích hợp xác định việc ghi nhãn quản lý thông tin phù hợp với kế hoạch phân loại tổ chức chấp nhận Các thủ tục cần bao trùm tài sản thông tin dạng thức vật lý điện tử Đối với phân loại, quy trình quản lý nên xác định để bao gồm kiểu hoạt động xử lý thông tin sau đây: a) chép; b) lưu trữ; c) truyền cách gửi thư, fax thư điện tử; d) truyền lời nói, bao gồm điện thoại di động, thư thoại, máy trả lời; e) phá hoại Dữ liệu từ hệ thống chứa thơng tin phân loại theo tính nhạy cảm tính phê bình nên mang nhãn phân loại thích hợp (trong liệu ra) Việc ghi nhãn nên phản ánh phân loại theo quy tắc thiết lập 5.2.1 Các hạng mục xem xét gồm báo cáo in sẵn, hiển thị hình, phương tiện truyền thơng (băng từ, đĩa, CD, băng cátsét), thông điệp điện tử truyền tệp Các nhãn vật lý nói chung dạng thích hợp cho dán nhãn Tuy nhiên, số tài sản thông tin, tài liệu dạng điện tử, dán nhãn vật lý nên sử dụng phương tiện dán nhãn điện tử An ninh cá nhân 6.1 An ninh theo định nghĩa nguồn công việc LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mục tiêu: Giảm rủi ro hành vi sai sót, đánh cắp, gian lận lạm dụng phương tiện Các trách nhiệm an ninh nên định rõ vào giai đoạn tuyển nhân viên, bao gồm hợp đồng giám sát thời gian làm việc cá nhân Các nhân viên có tiềm nên kiểm tra cách thích hợp (xem 6.1.2), đặc biệt cơng việc nhạy cảm Toàn người sử dụng, nhân viên bên thứ ba, phương tiện xử lý thơng tin nên ký kết thỏa thuận tính bảo mật (không làm lộ) 6.1.1 An ninh theo trách nhiệm cơng việc Các vai trị trách nhiệm an ninh, đặt sách an ninh thông tin tổ chức (xem 3.1) nên tài liệu hóa cách thích hợp Chúng nên gồm trách nhiệm chung việc thực trì sách an ninh trách nhiệm đặc biệt việc bảo vệ tài sản cụ thể việc thi hành quy trình hoạt động an ninh cụ thể 6.1.2 Chính sách kiểm tra nhân Việc kiểm tra nhân viên dài hạn nên tiến hành thời điểm tuyển dụng Các kiểm soát nên bao gồm: a) tính sẵn có giấy tờ dẫn chứng đặc điểm, ví dụ cơng việc cá nhân; b) kiểm tra (đầy đủ xác) hồ sơ ứng viên; c) xác nhận cấp yêu cầu phẩm chất nghề nghiệp; d) kiểm tra nhận dạng (hộ chiếu giấy tờ tương tự) Việc bổ nhiệm ban đầu thăng tiến công việc liên quan đến cá nhân truy cập tới phương tiện xử lý thông tin đặc biệt với thơng tin nhạy cảm, ví dụ thơng tin tài thơng tin bảo mật cao, tổ chức nên tiến hành kiểm tra tín dụng Đối với nhân viên giữ vị trí có thẩm quyền đáng kể việc kiểm tra nên lặp lại có định kỳ Quá trình kiểm tra tương tự nên tiến hành nhà thầu nhân viên tạm thời Nếu nhân viên cung cấp thơng qua mơi giới hợp đồng với mơi giới nên quy định rõ ràng trách nhiệm kiểm tra môi giới thủ tục khai báo mà họ cần phải theo việc kiểm tra không đầy đủ kết gây nghi ngờ lo ngại Ban quản lý nên đánh giá việc giám sát nhân viên thiếu kinh nghiệm với quyền truy cập tới hệ thống nhạy cảm Công việc toàn nhân viên nên đạt q trình sốt xét phê chuẩn định kỳ nhân viên cấp cao Các nhà quản lý nên nhận thức hoàn cảnh cá nhân nhân viên ảnh hưởng đến cơng việc họ Các vấn đề cá nhân tài chính, thay đổi hành vi lối sống, vắng mặt nhiều lần dấu hiệu tình trạng căng thẳng tình trạng chán nản dẫn tới hành vi gian lận, ăn cắp, gây lỗi hành vi liên quan đến vấn đề an ninh khác Thông tin nên xử lý phù hợp với tất pháp chế thích hợp có phạm vi pháp luật liên quan 6.1.3 Thỏa thuận tính bảo mật Các thỏa thuận tính bảo mật không làm lộ sử dụng để đưa lưu ý thơng tin bảo mật bí mật Các nhân viên nên ký kết thỏa thuận phần điều khoản điều kiện tuyển dụng ban đầu họ Nên yêu cầu người sử dụng không chủ định, nhân viên bên thứ ba, chưa có hợp đồng bao gồm thỏa thuận tính bảo mật, ký kết thỏa thuận tính bảo mật trước phép truy cập tới phương tiện xử lý thông tin Các thỏa thuận tính bảo mật nên sốt xét có thay đổi thời hạn công việc hợp đồng, cụ thể người lao động rời tổ chức hợp đồng hết hạn 6.1.4 Các điều khoản điều kiện tuyển dụng Các điều khoản điều kiện tuyển dụng nên trách nhiệm người lao động an ninh thông tin Nếu thích hợp, trách nhiệm nên tiếp tục trì khoảng thời gian xác định sau hết công việc Nếu người lao động coi thường u cầu an ninh bị kiện Trách nhiệm quyền lợi pháp lý người lao động nên dễ hiểu có điều khoản điều kiện tuyển dụng, ví dụ liên quan đến luật quyền luật bảo vệ liệu, đồng thời nên có trách nhiệm việc phân loại quản lý liệu người lao động Các điều khoản điều LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn kiện tuyển dụng nên trách nhiệm mở rộng bên phạm vi tổ chức thời gian làm việc bình thường, ví dụ trường hợp làm việc nhà (Xem 7.2.5 9.8.1) 6.2 Đào tạo người sử dụng Mục tiêu: Đảm bảo người sử dụng nhận thức mối đe dọa vấn đề liên quan đến an ninh thông tin trang bị để hỗ trợ sách an ninh tổ chức trình làm việc bình thường họ Người sử dụng nên đào tạo thủ tục an ninh sử dụng phương tiện xử lý thông tin để giảm thiểu rủi ro an ninh có khả xảy 6.2.1 Giáo dục đào tạo an ninh thơng tin Tồn nhân viên tổ chức người sử dụng liên quan bên thứ ba nên tiếp nhận đào tạo thích hợp cập nhật thường xuyên sách thủ tục tổ chức Điều bao gồm yêu cầu an ninh, trách nhiệm pháp lý kiểm soát kinh doanh, đào tạo việc sử dụng phương tiện xử lý thông tin trước truy cập tới thông tin dịch vụ cho phép ví dụ thủ tục đăng nhập, sử dụng gói phần mềm 6.3 Đối phó với cố cố an ninh Mục tiêu: Giảm thiểu thiệt hại từ trục trặc cố an ninh, theo dõi rút kinh nghiệm từ cố Các cố ảnh hưởng tới an ninh nên báo cáo nhanh tốt qua kênh quản lý phù hợp Toàn người lao động nhà thầu nên nhận thức quy trình báo cáo kiểu cố khác có tác động tới an ninh tài sản tổ chức (vi phạm an ninh, mối đe dọa, nhược điểm trục trặc) Họ nên yêu cầu báo cáo cố họ thấy nghi ngờ nhanh tốt cho phận định Tổ chức nên thiết lập quy trình kỷ luật thức việc xử lý người lao động vi phạm an ninh Để xác định cố cách đắn, cần thu thập chứng cớ sớm tốt sau việc xảy (xem 12.1.7) 6.3.1 Báo cáo cố an ninh Các cố an ninh nên báo cáo qua kênh quản lý phù hợp nhanh tốt Nên thiết lập thủ tục báo cáo thức, với thủ tục phản hồi lại cố, lập hành động cần thực để báo cáo cố Toàn người lao động nhà thầu nên nhận thức thủ tục báo cáo cố an ninh nên yêu cầu báo cáo cố nhanh tốt Các q trình phản hồi thơng tin phù hợp nên thi hành để đảm bảo việc báo cáo cố thông báo kết sau cố xử lý khép lại Các cố sử dụng việc đào tạo nhận thức cho người sử dụng (xem 6.2) ví dụ điều xảy ra, cách phản hồi lại với cố cách phịng tránh chúng tương lai (xem 12.1.7) 6.3.2 Báo cáo điểm yếu an ninh Người sử dụng dịch vụ thông tin nên yêu cầu ghi báo cáo điểm yếu an ninh họ thấy nghi ngờ mối đe dọa hệ thống dịch vụ Họ nên báo cáo vấn đề tới ban quản lý trực tiếp cho nhà cung cấp dịch vụ họ nhanh tốt Người sử dụng nên thông báo hồn cảnh nào, họ khơng nên cố gắng chứng minh điểm yếu nghi ngờ Điều để bảo vệ cho họ, việc kiểm tra nhược điểm giải thích lạm dụng hệ thống 6.3.3 Báo cáo cố an ninh Nên thiết lập thủ tục báo cáo cố phần mềm Các hành động sau nên xem xét: a) nên ghi chép dấu hiệu vấn đề thơng điệp xuất hình; b) có thể, máy tính nên lập ngừng sử dụng Việc tiếp xúc thích hợp nên cảnh báo Nên ngưng kết nối thiết bị kiểm tra khỏi mạng tổ chức trước cấp nguồn lại Các đĩa mềm khơng nên chuyển tới máy tính khác; c) vụ việc nên báo cáo tới nhà quản lý an ninh thông tin Người sử dụng không nên cố gắng gỡ bỏ phần mềm bị nghi ngờ trừ quyền làm Nhân viên đào tạo có kinh nghiệm thích hợp nên tiến hành việc khôi phục LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Khi sử dụng chữ ký điện tử nên xem xét pháp luật liên quan mô tả điều kiện theo chữ ký điện tử bị ràng buộc pháp lý Ví dụ, trường hợp thương mại điện tử biết vị trí pháp lý chữ ký điện tử quan trọng cần thiết để có hợp đồng thoả thuận khác ràng buộc để hỗ trợ việc sử dụng chữ ký điện tử khung luật pháp khơng thích hợp Lời khuyên pháp lý nên tuân theo liên quan đến pháp nguyên tắc áp dụng cho việc sử dụng mật mã dự định tổ chức chữ ký điện tử 10.3.4 Các dịch vụ không từ chối nhận Các dịch vụ không từ chối nhận nên sử dụng nơi cần thiết để giải tranh luận việc xảy không xảy kiện hoạt động, ví dụ tranh luận liên quan đến việc sử dụng chữ ký điện tử hợp đồng tốn điện tử Chúng giúp thiết lập cớ để chứng minh kiện hoạt động cụ thể có diễ khơng, ví dụ từ chối gửi hướng dẫn sử dụng thư điện tử ký điện tử Các dịch vụ dựa việc sử dụng kỹ thuật mật mã chữ ký điện tử (xem 10.3.2 10.3.3) 10.3.5 Quản lý khóa 10.3.5.1 Sự bảo vệ khóa mật mã hóa Việc quản lý khóa mật mã hóa cần thiết để sử dụng hiệu kỹ thuật mã hoá Mọi tổn thất mát khóa mã hố dẫn đến tổn hại tính bảo mật, xác thực tồn vẹn thông tin Một hệ thống quản lý nên thực để hỗ trợ việc sử dụng loại kỹ thuật mã hố tổ chức, là: a) kỹ thuật khóa bí mật, bên chia sẻ khóa khóa sử dụng cho thơng tin mã hố giải mã Khóa phải giữ bí mật truy cập giải mã tồn thơng tin mã hố với khóa đưa thông tin trái phép; b) kỹ thuật khóa cơng cộng, người sử dụng có đơi khóa, khóa cơng cộng (có thể tiết lộ với ai) khóa riêng (phải giữ bí mật) Kỹ thuật khóa cơng cộng sử dụng để mật mã hoá (xem 10.3.2) tạo chữ ký điện tử (xem 10.3.3) Toàn khóa nên bảo vệ chống lại việc thay đổi phá hoại khóa bí mật riêng tư cần bảo vệ chống lại việc bị tiết lộ trái phép Kỹ thuật mã hố dược sử dụng cho mục đích Bảo vệ vật lý nên sử dụng để bảo vệ thiết bị dùng để phát, lưu lưu trữ khóa 10.3.5.2 Các tiêu chuẩn, thủ tục phương pháp Một hệ thống quản lý khóa nên dựa tiêu chuẩn, thủ tục biện pháp an ninh thoả thuận cho việc: a) phát khóa cho hệ thống mã hoá khác ứng dụng khác nhau; b) phát dành chứng khóa cơng cộng; c) phân phối khóa cho người sử dụng dự định, bao gồm việc khóa kích hoạt nhận nào; d) lưu giữ khóa, bao gồm việc người sử dụng đạt truy cập khóa nào; e) thay đổi cập nhật khóa bao gồm quy tắc khóa thay đổi làm nào; f) xử lý khóa bị tổn hại; g) thu hồi khóa bao gồm việc khóa bị rút tác dụng nào, ví dụ cá khóa bị tổn hại người sử dụng rời tổ chức (trong trường hợp khóa nên lưu trữ lại); h) thu hồi khóa bị sai lạc phần quản lý tính liên tục kinh doanh, ví dụ khôi phục thông tin mật mã; i) lưu trữ khóa, ví dụ thơng tin lưu giữ chép dự phịng; ỵ) huỷ khóa; k) ghi nhật ký kiểm tra sổ quản lý khóa liên quan đến hoạt động Để giảm tổn thất xẩy ra, cá khóa nên xác định ngày có hiệu lực hết hiệu lực, chúng bị sử dụng thời gian giới hạn Khoảng thời gian nên phụ thuộc vào trường hợp theo kiểm sốt mã hố sử dụng nhận biết rủi ro LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Các thủ tục cần cân nhắc đê giải cá yêu cầu pháp lý việc truy cập khóa mã hố, ví dụ thơng tin mật mã hố cần có ghi dạng khơng mật mã chức vụ kiện Bên cạnh vấn đề khóa bí mật cá nhân tư quản lý an tồn, việc bảo vệ cá khóa cơng cộng nên xem xét Có mối đe doạ việc giả mạo chữ ký điện tử băng việc thay khóa cơng cộng người sử dụng với khóa họ Vấn đề định vị việc sử dụng chứng khóa công cộng Các chứng nên tạo cách trói buộc thơng tin độc liên quan tới người sở hữu cặp khóa cơng cộng/cá nhân với khóa cơng cộng Như điều quan trọng q trình quản lý cấp phát chứngchỉ tin Q trình thực thơng thường việc cấp quyền chứng nhận từ tổ chức cơng nhận với kiểm sốt thủ tục phù hợp để đưa mức độ tin cậy yêu cầu Nội dung cá thoả thuận hợp đồng mức dịch vụ với cá nhà cung cấp bên dịch vụ mã hố, ví dụ với quyền chứng nhận nên gồm vấn đề trách nhiệm pháp lý, tin cậy dịch vụ thời gian trả lời cho việc cung cấp dịch vụ (xem 4.2.2) 10.4 An ninh tệp hệ thống Đối tượng: Để đảm bảo cá dự án IT hoạt động hỗ trợ quản lý cách an toàn việc truy cập vào tệp hệ thống nên kiểm sốt Việc trì tính tồn vẹn hệ thống nên trách nhiệm nhóm chức va phát triển người sử dụng hệ thống ứng dụng phần mềm thuộc 10.4.1 Kiểm sốt phần mềm thao tác Nên có kiểm soát việc tiến hành phần mềm hệ thống hoạt động Để giảm thiểu rủi ro việc làm sai lạc hệ thống hoạt động, kiểm soát sau nên xem xét: a) cập nhật thư viện chương trình hoạt động nên tiến hành người quản lý thư viện bổ nhiệm theo quyền quản lý thích hợp (xem 10.4.3); b) có thể, hệ thống hoạt động nên giữ mã thể được; c) mã thể không nên tiến hành hệ thống hoạt động có chứng việc kiểm tra chấp nhận người sử dụng thành cơng thư viện nguồn chương trình tương ứng cập nhật; d) dấu vết kiểm tra nên trì tồn cập nhật thư viện chương trình hoạt động e) phiên phần mềm trước nên giữ lại để đề phòng bất trắc Các phần mềm đại lý cung ứng sử dụng hệ thống hoạt động nên trì mức hỗ trợ nhà cung ứng Mọi định nâng cấp tới mới nên tính đến an tồn đó, tức hướng dẫn tính thiết thực an ninh số lượng tính ác liệt vấn đề an ninh ảnh hưởng tới phiên Các sửa đổi phần mềm nên áp dụng chúng cần giúp để gỡ bỏ giảm điểm yếu an ninh Các nhà cung ứng nên truy cập vật lý logic để hỗ trợ mục đích cần với chấp thuận ban quản lý Các hoạt động nhà cung ứng nên giám sát 10.4.2 Sự bảo vệ liệu thử nghiệm hệ thống Dữ liệu thử nghiệm nên bảo vệ kiểm soát Kiểm tra hệ thống chấp nhận thường yêu cầu mức độ thật liệu thử nghiệm gần với liệu hoạt động Việc sử dụng sở liệu hoạt động chứa thông tin cá nhân nên tránh Nếu thông tin dùng, chúng nên giao lại cho cá nhân trước sử dụng Các kiểm soát sau nên áp dụng để bảo vệ liệu hoạt động, sử dụng cho mục đích thử nghiệm a) thủ tục kiểm soát truy cập áp dụng cho hệ thống ứng dụng hoạt động, nên áp dụng hệ thống ứng dụng thử nghiệm; b) nên có quyền riêng biệt lần thông tin hoạt động chép tới hệ thống ứng dụng thử nghiệm; c) thơng tin hoạt động nên xóa khỏi hệ thống ứng dụng thử nghiệm sau thử nghiệm hoàn thành; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn d) việc chép sử dụng thông tin hoạt động nên ghi chép nhật ký thành dấu vết kiểm tra 10.4.3 Kiểm soát truy cập tới thư viện gốc chương trình Để giảm tiềm ẩn việc sai lạc chương rình máy tính, kiểm sốt chặt chẽ nên trì việc truy cập thư viện nguồn chương trình sau (xem 8.3): a) nơi có thể, thư viện nguồn chương trình khơng nên giữ hệ thống hoạt động; b) thư viện chương trình nên định cho ứng dụng; c) nhân viên hỗ trợ IT không nên không hạn chế truy cập tới thư viện nguồn chương trình; d) chương trình phát triển bảo dưỡng không nên giữ thư viện nguồn chương trình; e) cập nhật thư viện nguồn chương trình phát hành cá nguồn chương trình tới người làm chươg trình nên thực người quản lý thư viện định theo quyền từ người quản lý hỗ trợ IT cho ứng dụng cấp; f) lập danh sách chương trình nên giữ mơi trường an tồn (xem 8.6.4); g) dấu vết kiểm tra nên trì toàn cá nhân truy cập vào thư viện nguồn chương trình; h) phiên cũ cá chương trình hoạt động nên lưu trữ, với định rõ ràng ngày xác chũng hoạt động, với toàn phần mềm hỗ trợ, kiểm sốt cơng việc, xác định liệu cá thủ tục; i) trì chép thư viện nguồn chương trình nên để giám sát chặt cá thủ tục kiểm soát thay đổi (xem 10.4.1) 10.5 An ninh trình hỗ trợ phát triển Đối tượng: Để trì an ninh phần mềm thông tin hệ thống ứng dụng Các môi trường dự án hỗ trợ nên kiểm soát chặt chẽ Các nhà quản lý có trách nhiệm hệ thống ứng dụng nên có trách nhiệm với an ninh môi trường dự án hỗ trợ Họ nên đảm bảo toàn cá thay đổi hệ thống đưa soát xét để kiểm tra chúng không làm tổn hại an ninh hệ thống môi trường hoạt động 10.5.1 Kiểm soát thay đổi thủ tục Để tối thiểu sai lạc hệ thống thông tin nên có kiểm sốt chặt chẽ việc thực thay đổi Các thủ tục kiểm soát thay đổi thức nên bắt buộc Nên đảm bảo thủ tục an ninh kiểm sốt khơng bị tổn hại, người làm chươngtrình hỗ trợ truy cập tới phần hệ thống cần cho cơng việc họ có đồng ý chấp thuận thức cho thay dổi Thay đổi phần mềm ứng dụng ảnh hưởng mơi trường hoạt động nơi thử nghiệm, thủ tục ứng dụng kiểm soát thay đổi hoạt động nên thống (xem 8.1.2) Thủ tục nên bao gồm: a) trì ghi mức độ quyền hạn thoả thuận; b) đảm bảo thay đổi người sử dụng cấp phép; c) soát xét kiểm soát thủ tục toàn vẹn để đảm bảo chúng khơng bị tổn hại thay đổi; d) định danh tồn phần mềm máy tính, thơng tin, thực thể sở liệu phần cứng yêu cầu sửa đổi; e) đạt chấp thuận thức cho đề xuất chi tiết trước công việc bắt đầu; f) đảm bảo người sử dụng có phép chấp nhận thay đổi trước có hoạt động nào; g) đảm bảo việc thực tiến hành để giảm tối đa phá vỡ kinh doanh; h) đảm bảo ghi chép hệ thống cập nhật đầy đủ thay đổi ghi chép cũ lưu giữ xếp; i) trì phiên kiểm sốt cho tồn cập nhật phần mềm; j) trì dấu vết kiểm tra tồn yêu cầu thay đổi; k) đảm bảo việc ghi tài liệu hoạt động (xem 8.1.1) thủ tục cho người sử dụng thay đổi cần để thích hợp; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn l) đảm bảo việc thực thay đổi tiến hành lúc không làm rối loạn thủ tục kinh doanh liên quan Nhiều tổ chức trì mơi trường người sử dụng thử nghiệm phần mềm tách biệt với mơi trường phát triển sản phẩm Điều có nghĩa có kiểm sốt phần mềm cho phép bảo vệ thêm thông tin hoạt động sử dụng cho mục đích thử nghiệm 10.5.2 Xem xét kỹ thuật thay đổi hệ điều hành Thay đổi hệ thống hoạt động cách định kỳ cần thiết, ví dụ để thiết lập cá sửa đổi phần mềm cung ứng gần Khi xảy thay đổi, hệ thống ứng dụng nên soát xét thử nghiệm để đảm bảo khơng có ảnh hưởng có hại tới hoạt động an ninh Thủ tục nên gồm: a) soát xét thủ tục kiểm soát ứng dụng tồn vẹn để đảm bảo chúng khơng bị tổn hại thay đổi hệ thống hoạt động; b) đảm bảo kế hoạch ngân sách hỗ trợ thường niên bao gồm soát xét thử nghiệm hệ thống thay đổi hệ thống hoạt động; c) đảm bảo việc thông báo thay đổi hệ thống hoạt động đưa lúc phép sốt xét thích hợp tiến hành trước thực hiện; d) đảm bảo thay đổi thích hợp làm cho kế hoạch liên tục kinh doanh (xem mục 11) 10.5.3 Các hạn chế thay đổi gói phần mềm Các thay đổi gói phần mềm nên can ngăn Các gói phần mềm đại lý cung ứng nên sử dụng mà khơng có thay đổi chừng mực thử nghiệm Nếu cho cần thiết phải thay đổi gói phần mềm, điểm sau nên xem xét: a) rủi ro kiểm soát cài đặt sẵn thủ tục toàn vẹn bị tổn hại; b) liệu có nên đạt cho phép đại lý không; c) khả đạt cá thay đổi yêu cầu từ đại lý cập nhật chương trình tiêu chuẩn; d) tác động tổ chức trở nên có trách nhiệm cá bảo dưỡng phần mềm tương lai kết thay đổi Nếu thay đổi cho cần thiết phần mềm gốc nên giữ lại thay đổi áp dụng cho định danh rõ ràng Toàn thay đổi nên thử nghiệm ghi chép đầy đủ, chúng áp dụng lại cần cho nâng cấp phần mềm tương lai 10.5.4 Các kênh chuyển đổi mã thành Troa Một kênh ngầm phơ bày thơng tin số cách khơng trực tiếp khó hiểu Nó bị kích hoạt thay đổi tham số truy cập yếu tố an ninh không an ninh hệ thống máy tính việc đưa thơng tin vào suối liệu Mã trojan thiết kế để ảnh hưởng đến sý cách trái phép khôngđược thông báo sẵn sàng không yêu cầu người nhận người sử dụng chương trình Các kênh ngầm mã trojan xảy tai nạn Nơi có kênh ngầm mã trojan nỗi lo, điều sau nên xem xét: a) mua chương trình có nguồn đáng tin; b) mua chương trình có mã nguồn mà xác minh; c) sử dụng sản phẩm đánh giá; d) tra toàn mã nguồn trước sử dụng hoạt động; e) kiểm soát truy cập thay đổi mã cài đặt; f) sử dụng nhân viên có độ tin cậy qua thử thách để làm việc hệ thống quan trọng 10.5.5 Xây dựng phần mềm cung ứng Nơi phát triển phần mềm nhận cung ứng, điểm sau nên xem xét: a) thoả thuận cấp giấy phép, quyền sở hữu mã quyền sở hữu trí tuệ (xem 12.1.2); b) chứng nhận chất lượng xác cơng việc thực hiện; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn c) thoả thuận có bên thứ trường hợp lỗi bên thứ 3; d) quyền truy cập kiểm toán chất lượng độ xác cơng việc làm; e) yêu cầu hợp đồng chất lượng mã; f) thử nghiệm trước cài đặt để phát mã trojan 11 Quản lý liên tục kinh doanh 11.1 Các khía cạnh quản lý liên tục kinh doanh Đối tượng: Để chống lại gián đoạn hoạt động kinh doanh để bảo vệ thủ tục kinh doanh có tính phê bình khỏi tác động lỗi thảm hoạ lớn Một thủ tục quản lý liên tục kinh doanh nên thực để giảm phá vỡ thảm hoạ lỗi an ninh (có thể ví dụ thiên tai, tai nạn, lỗi thiết bị hành động có chủ ý) mức cháp nhận qua kết hợp kiểm sốt phịng ngừa khôi phục Hậu thảm hoạ, lỗi an ninh dịch vụ nên phân tích Các kế hoạch bất ngờ nên phát triển thực để đảm bảo thủ tục kinh doanh khơi phục phạm vi thời gian yêu cầu Các kế hoạch nên trì thử nghiệm để trở thành phần khơng thể thiếu tồn thủ tục quản lý khác Quản lý liên tục kinh doanh nên bao gồm kiểm soát để định danh giảm rủi ro, hạn chế hậu cố nguy hại đảm bảo tiếp tục lại hoạt động cần thiết lúc 11.1.1 Quản lý tính liên tục thủ tục kinh doanh Nên có thủ tục quản lý cho việc phát triển trì liên tục kinh doanh suốt tổ chức Nó nên gồm yếu tố quản lý liên tục kinh doanh chính: a) hiểu biết rủi ro mà tổ chức phải đối mặt dạng xảy tác động chúng, bao gồm định danh understanding rủi ro tổ chức is facing dạng their likelihood their impact, bao gồm an identification dành ưu tiên thủ tục kinh doanh có tính phê bình; b) hiểu biết tác động mà gián đoạn chắn có kinh doanh (điều quan trọng giải pháp tìm xử lý cố nhỏ hơn, cố nghiêm trọng đe doạ khả tồn phát triển tổ chức) thiết lập mục tiêu kinh doanh phương tiện xử lý thông tin; c) xem xét việc mua bán bảo hiểm phù hợp phần thủ tục liên tục kinh doanh; d) trình bày ghi chép rõ chiến lược liên tục kinh doanh thống với mục tiêu quyền ưu tiên doanh nghiệp thơng qua; e) trình bày ghi chép rõ kế hoạch liên tục kinh doanh theo chiến lược thông qua; f) thường xuyên kiểm tra cập nhật kế hoạch thủ tục diễn ra; g) đảm bảo việc quản lý liên tục kinh doanh phối hợp thủ tục cấu trúc tổ chức Trách nhiệm phối hợp quản lý liên tục kinh doanh nên ấn định mức thích hợp tổ chức, ví dụ diễn đàn an ninh thơng tin (xem 4.1.1) 11.1.2 Phân tích tác động liên tục kinh doanh Tính liên tục kinh doanh nên bắt đầu định danh kiện gây gián đoạn thủ tục kinh doanh, ví dụ lỗi thiết bị, lụt lội hoả hoạn Điều nên đáng giá rủi ro để xác định tác động gián đoạn (cả quy mơ tổn thất thời gian khôi phục) Các hoạt động nên thực với liên quan đầy đủ từ chủ sở hữu nguồn thủ tục kinh doanh Việc đánh giá xem xét toàn thủ tục kinh doanh không giới hạn cá phương tiện xử lý thông tin Dựa vào kết đánh giá rủi ro, kế hoạch chiến lược nên phát triển để xác định tiếp cận toàn diện tới tính liên tục kinh doanh kế hoạch tạo ra, nên xác nhận ban quản lý 11.1.3 Ghi lại thực kế hoạch tính liên tục Các kế hoạch nên phát triển để trì khơi phục hoạt động kinh doanh phạm vi thời gian yêu cầu theo gián đoạn lỗi thủ tục kinh doanh có tính phê bình Thủ tục lập kế hoạch liên tục kinh doanh nên xem xét vấn đề sau: a) định danh thỏa thuận toàn trách nhiệm thủ tục trường hợp khẩn cấp; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn b) thực thủ tục tình trạng khẩn cấp phép khắc phục khôi phục phạm vi thời gian yêu cầu cần ý đặc biệt tới đánh giá bên phụ thuộc kinh doanh bên hợp đồng thực hiện; c) tài liệu hoá thủ tục thủ tục thoả thuận; d) đào tạo thích hợp nhân viên thủ tục thủ tục trường hợp khẩn cấp thoả thuận bao gồm quản lý khủng hoảng; e) kiểm tra cập nhật kế hoạch Thủ tục lập kế hoạch nên nhắm váo mục tiêu kinh doanh u cầu, ví dụ khơi phục dịch vụ cụ thể cho khách hàng khoảng thời gian chấp nhận Các dịch vụ nguồn xảy nên xem xét, bao gồm việc bố trí nhân viên, nguồn xử lý phi thông tin, xếp dự trữ cho phương tiện xử lý thông tin 11.1.4 Khuôn khổ lập kế hoạch liên tục kinh doanh Một khuôn khổ kế hoạch liên tục kinh doanh nên trì để đảm bảo tồn kế hoạch quán để định danh quyền ưu tiên cho việc kiểm tra bảo dưỡng Mỗi kế hoạch liên tục kinh doanh nên phân biệt rõ ràng điều kiện cho kích hoạt nó, trách nhiệm cá nhân thực thi phần kế hoạch Khi yêu cầu xác định, thiết lập thủ tục trường hợp khẩn cấp, ví dụ cá kế hoạch tản cư xếp dự phòng tồn nên sửa đổi thích hợp Một khn khổ cho việc lập kế hoạch liên tục kinh doanh nên xem xét điều sau: a) điều kiện để kích hoạt kế hoạch trình bày thủ tục tiếp diễn (cách đánh giá tình hình, người có liên quan, v.v) trước kế hoạch bắt đầu; b) thủ tục tình trạng khẩn cấp trình bày hoạt động diễn sau cố mà có nguy cho hoạt động kinh doanh và/hoặc đời sống người Điều nên bao gồm chuẩn bị cho quản lý quan hệ công chúng liên lạc có hiệu với phận thẩm quyền cơng cộng thích hợp, ví dụ cảnh sát, phịng cháy chữa cháy quyền địa phương; c) thủ tục dự phịng trình bày hoạt động diễn để di chuyển hoạt động kinh doanh cần thiết dịch vụ hỗ trợ cho địa phương tạm thời khác để đưa thủ tục kinh doanh hoạt động lại phạm vi thời gian yêu cầu; d) thủ tục bắt đầu lại trình bày hoạt động diễn để quay lại hoạt động kinh doanh thông thường; e) lịch trình bảo dưỡng xác định cách kế hoách kiểm tra thủ tục trì kế hoạch; f) hoạt động nhận thức giáo dục thiết kế để tạo hiểu biết thủ tục liên tục kinh doanh đảm bảo cá thủ tục tiếp tục có hiệu quả; g) trách nhiệm cá nhân, trình bày chịu trách nhiệm thực thi phần kế hoạch lựa chọn nên bổ nhiệm theo yêu cầu Mỗi kế hoạch nên có chủ sở hữu cụ thể thủ tục trường hợp khẩn cấp, kế hoach dự phịng thủ cơng kế hoạch bắt đầu lại nên trách nhiệm chủ sở hữu nguồn thủ tục kinh doanh thích hợp có liên quan Các chuẩn bị dự phòng cho dịch vụ kỹ thuật lựa chọn, phương tiện xử lý truyền thông tin nên thường xuyên trách nhiệm người cung cấp dịch vụ 11.1.5 Thử nghiệm, trì đánh giá lại kế hoạch liên tục doanh nghiệp 11.1.5.1 Kế hoạch thử nghiệm Các kế hoạch liên tục kinh doanh thất bại kiểm tra, thường giả định, giám sát, thay đổi sai thiết bị người Vì chúng nên kiểm tra thường xuyên để đảm bảo chúng đợc cập nhật vàhq Các kiểm tra nên đảm bảo toàn thành viêm đội khơi phục nhan viên có liên quan khác biết rõ kế hoạch Lịch trình kiểm tra cho kế hoạch liên tục kinh doanh nên rõ cách thức yếu tố kế hoạch đợc thử nghiệm Khuyến cáo nên kiểm tra phận cá nhân kế hoạch thường xuyên Nhiều kỹ thuật nên sử dụng để đảm bảo kế hoạch hoạt động thực Điều nên bao gồm: a) thử nghiệm bàn nhiều viễn cảnh (thảo luận xếp khôi phục kinh doanh sử dụng gián đoạn ví dụ); LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn b) bắt chước (đặc biệt đào tạo người vai trò quản lý hậu cố/ khủng hoảng họ); c) thử nghiệm cách khôi phục kỹ thuật (đảm bảo hệ thống thơng tin khơi phục hiệu quả); d) thử nghiệm khôi phục vị trí lựa chọn (chạy thủ tục kinh doanh song song với hoạt động khơi phục xa vị trí chính); e) thử nghiệm phương tiện dịch vụ cung ứng (đảm bảo dịch vụ sản phẩm cung cấp bên đáp ứng cam kết ký kết); f) hoàn thành lần diễn tập (kiểm tra xem tổ chức, cá nhân, thiết bị, phương tiện thủ tục có đương đầu với gián đoạn) Các kỹ thuật sử dụng tổ chức nên phản ánh đặc tính kế hoạch khơi phục cụ thể 11.1.5.2 Các kế hoạch trì đánh giá lại Các kế hoạch liên tục kinh doanh nên trì sốt xét cập nhật đặn để đảm bảo tính hiệu liên tiếp chúng (xem 11.1.5.1 11.1.5.3) Các thủ tục nên có chương trình quản lý thay đổi tổ chức để đảm bảo vấn đề liên tục kinh doanh định vị thích hợp Trách nhiệm nên ấn định cho soát xét đặn cho kế hoạch liên tục kinh doanh, định danh thay đổi xếp kinh doanh chưa phản ánh kế hoạch liên tục kinh doanh nên cập nhật kế hoạch thích hợp Thủ tục kiểm sốt thay đổi thức nên đảm bảo kế hoạch cập nhật phân phối tăng cường soát xét đặn kế hoạch đầy đủ Các ví dụ cho tình địi hỏi cập nhật kế hoạch bao gồm thu thiết bị nâng cấp hệ thống hoạt động thay đổi về: a) người; b) địa số điện thoại; c) chiến lược kinh doanh; d) vị trí, phương tiện, nguồn; e) pháp luật; f) nhà thầu, nhà cung ứng khách hàng quan trọng; g) thủ tục thủ tục mới/ loại bỏ; h) rủi ro (về hoạt động tài chính) 12 Sự tuân thủ 12.1 Tuân thủ yêu cầu pháp lý Đối tượng: Để tránh vi phạm luật hình dân sự, nghĩa vụ có tính luật pháp, ngun tắc giao kèo yêu cầu an ninh Việc thiết kế, hoạt động, sử dụng quản lý hệ thống thơng tin cần có u cầu có tính luật pháp, ngun tắc giao kèo Lời khuyên yêu cầu pháp lý cụ thể nên theo nhà tư vấn pháp lý tổ chức người thực hành luật pháp có chất lượng phù hợp Các yêu cầu pháp lý việc thông tin tạo nước truyền phát tới nước khác (tức luồng liệu qua biên giới) khác nước 12.1.1 Xác định văn pháp lý áp dụng Tồn u cầu có tính luật pháp, nguyên tắc giao kèo nên xác định tài liệu hoá rõ ràng hệ thống thơng tin Các kiểm sốt cụ thể trách nhiệm cá nhân phải đáp ứng yêu cầu nên xác định tài liệu hoá tương ứng 12.1.2 Các quyền sở hữu trí tuệ (IPR) 12.1.2.1 Bản quyền LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Các thủ tục thích hợp nên thi hành để đảm bảo tuân thủ hạn chế pháp lý việc sử dụng tư liệu đặc biệt quyền sở hữu trí tuệ, quyền, quyền thiết kế, nhãn hiệu thị trường Sự xâm phạm quyền dẫn tới kiện tụng liên quan đến tội phạm Tồn u cầu có tính luật pháp, ngun tắc giao kèo xảy hạn chế quyền tư liệu độc quyền Cụ thể, họ yêu cầu sử dụng tư liệu phát triển tổ chức cấp giấy phép cung cấp nhà phát triển tổ chức 12.1.2.2 Bản quyền phần mềm Các sản phẩm phần mềm độc quyền thường cung ứng thoả thuận giấy phép giới hạn việc sử dụng sản phẩm cho máy cụ thể giới hạn quyền cho việc tạo lập dự phòng Nên xem xét kiểm soát sau đây: a) xuất sách tuân thủ quyền phần mềm xác định việc sử dụng pháp lý sản phẩm phần mềm thông tin; b) phát hành tiêu chuản cho thủ tục giành cá sản phẩm phần mềm; c) việc trì nhận thức quyền phần mềm sách giành đưa thơng báo mục đích thự hoạt động kỷ luật nhân viên vi phạm; d) việc trì người đăng ký sở hữu thích hợp; e) việc trì chứng chứng cớ quyền sở hữu giấy phép, đĩa chủ, sách hướng dẫn, v.v; f) việc thực kiểm soát để đảm bảo số người sử dụng lớn phép không vượt quá; g) tiến hành kiểm tra để cài đặt phần mềm phép sản phẩm có giấy phép; h) cung cấp sách để trì điều kiện giấy phép thích hợp; i) cung cấp sách để xếp chuyển giao phần mềm cho người khác; j) sử dụng công cụ kiểm tốn thích hợp; k) tn thủ điều khoản điều kiện lấy phần mềm thông tin từ mạng công cộng (xem 8.7.6) 12.1.3 Bảo vệ báo cáo tổ chức Các lưu quan trọng tổ chức nên bảo vệ khỏi mát, phá hoại làm giả Một số lưu cần lưu giữ an toàn để đáp ứng u cầu có tính pháp luật ngun tắc, hỗ trợ hoạt động kinh doanh cần thiết Ví dụ lưu u cầu cớ để tổ chức hoạt động quy tắc pháp lý nguyên tắc để đảm bảo phịng vệ thích hợp chống lại vụ kiện dân hình tiềm tàng để xác định lại tình trạng tài tổ chức cổ đông, đối tác kiểm toán viên Khoảng thời gian nội dung liệu việc sở hữu thơng tin xác định luật nguyên tắc quốc gia Các lưu nên phân tách thành loại lưu, ví dụ lưu giải trình, lưu sở liệu, nhật ký giao dịch thủ tục hoạt động, chi tiết thời hạn sở hữu loại phương tiện truyềnthông lưu trữ, ví dụ giấy, vi phim, chất có từ tính, dụng cụ quang học Bất kỳ khóa mã hố liên quan kết hợp với hồ sơ mật mã hoá chữ ký điện tử (xem 10.3.2 10.3.3) nên giữ an toàn sẵn sàng cho người phép cần Nên xem xét khả xuống cấp phương tiện truyền thông sử dụng cho việc lưu trữ lưu Lưu trữ xử lý thủ tục nên thực theo khuyến cáo nhà sản xuất Khi phương tiện truyền thông lưu trữ điện tử lựa chọn, cá thủ tục đảm bảo khả truy cập liệu (cả phương tiện truyền thông khả đọc dạng mẫu) suốt thời hạn sở hữu nên có để bảo vệ chống lại ámt thay đổi công nghệ tương lai Các hệ thống lưu trữ iệu nên chọn để cá liệu đưỡc yêu cầu cóthể lấy lại dạng chấp nhận cho phiên tồ, ví dụ tồn lưu yêu cầu lấy lại khung thời gian chấp nhận khn mẫu chấp nhận Hệ thống lưu trữ xử lý nên đảm bảo việc định danh rõ ràng lưu thời hạn sở hữu có tính luật pháp ngun tắc chúng Nên cho phép phá hoại thích hợp lưu sau thời hạn chúng khơng có cần cho tổ chức Đáp ứng nghĩa vụ này, bước sau nên thực tổ chức: LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn a) hướng dẫn nên phát hành việc sở hữu, lưu trữ, xử lý huỷ bỏ lưu thơng tin b) lịch trình sở hữu nên xây dựng để định danh loại lưu cần thiết khoảng thời gian có chúng c) kiểm kê nguồn thông tin quan trọng nên trì d) kiểm sốt thích hợp nên thực để bảo vệ lưu thông tin cần thiết khỏi mát, phá hoại làm giả 12.1.4 Bảo vệ liệu đảm bảo bí mật thơng tin cá nhân Một số nước hướng dẫn xây dựng luật thực kiểm soát xử lý chuyển giao liệu cá nhân (nói chung thơng tin sống cá nhân người định danh từ thơng tin đó) Các kiểm sốt buộc trách nhiệm cho việc thu thập, xử lý phổ biến thơng tin cá nhân hạn chế khả chuyển liệu tới nước khác Việc tuân thủ xây dựng luật bảo vệ liệu yêu cầu cấu trúc kiểm soát quản lý thích hợp Điều thường đạt hiệu việc bổ nhiệm quan chức bảo vệ liệu đưa hướng dẫn cho nhà quản lý, người sử dụng người cung cấp dịch vụ trách nhiệm họ thủ tục cụ thể nên tuân theo việc thông báo cho quan chức bảo vệ liệu đề xuất để giữ thông tin cá nhân tệp cẩu trúc để đảm bảo nhận thức quy tắc bảo vệ liệu xác định việc xây dựng luật pháp liên quan nên trách nhiệm chủ sở hữu 12.1.5 Ngăn ngừa việc sử dụng sai phương tiện xử lý thông tin Các phương tiện xử lý thông tin tổ chức cung cấp mục đích kinh doanh Ban quản lý nên cấp quyền sử dụng chúng Bất kỳ việc sử dụng phương tiện mục đích phi kinh doanh trái phép, khơng có chấp thuận ban quản lý nên coi sử dụng sai phương tiện Nếu hoạt động định danh việc phương tiện giám sát phương tiện khác, nhà quản lý cá nhân nên ý liên quan tới hoạt động kỷ luật thích hợp Tính hợp pháp việc giám sát cách sử dụng khác nước yêu cầu nhân viên phải khuyến cáo giám sát phải có đồng ý họ Những lời khuyên pháp lý nên đưa trước thực thủ tục giám sát Nhiều nước có thủ tục giới thiệu, xây dựng luật để bảo vệ chống lại lạm dụng máy tính Nên có phịng vệ tội phạm sử dụng máy tính mục đích trái phép Vì toàn người sử dụng phải nhận thức xác phạm vi phép truy cập điều cần thiết Ví dụ điều đạt hiệu cách đưa cho người sử dụng giấy phép viết tay, nên người sử dụng ký tổ chức giữ an toàn Các nhân viên tổ chức người sử dụng bên thứ ba nên khuyên không truy cập trái phép Ở bước khởi động, thông điệp cảnh báo nên hình máy tính rõ hệ thống mở riêng tư truy cập trái phép trái phép Người sử dụng phải hiểu phản ứng thích hợp với thơng điệp hình để tiếp tục thủ tục khởi động 12.1.6 Quy định kiểm sốt mật mã hóa Một số nước thực thỏa thuận, luật, nhuyên tắc văn kiện khác để kiểm soát việc truy cập sử dụng kiểm soát mã hoá kiểm soát bao gồm: a) nhập và/ xuất phần cứng phần mềm máy tính để tiến hành chức mã hoá; b) nhập và/ xuất phần cứng phần mềm máy tính thiết kế để có thêm chức mã hố; c) cách cách thức truy cập có tính bắt buộc thực thi tuỳ chọn nước thơng tin mật mã hố báng phần mềm phần cứng để cung cấp tính bảo mật nội dung Lời khuyên pháp lý nên theo để đảm bảo tuân thủ luật quốc gia Trước thơng tin mật mã kiểm sốt mã hoá chuyển cho nước khác, lời khuyên pháp lý nên đưa 12.1.7 Tập hợp chứng cớ 12.1.7.1 Các quy tắc chứng cớ Cần thiết phải có chứng cớ đầy đủ để hỗ trợ hoạt động chống lại người tổ chức Mỗi hoạt động vấn đề kỷ luật nội chứng cớ cần thiết trình bày thủ tục nội LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Khi hoạt động liên quan đến luật pháp, dân hình sự, chứng cớ trình bày nên phù hợp với quy tắc để chứng cớ đặt luật có liên quan quy tắc án cụ thể mà trường hợp đưa nói chung, quy tắc gồm: a) tính thừa nhận chứng cớ Liệu chứng cớ sử dụng tồ không; b) sức nặng chứng cớ: Chất lượng tính đầy đủ chứng cớ; c) chứng cớ tương xứng mà kiểm sốt tiến hành xác quán (tức thủ tục kiểm soát chứng cớ) suốt thời gian chứng cớ tìm lại hệ thống lưu giữ xử lý 12.1.7.2 Tính thừa nhận chứng cớ Để đạt thừa nhận chứng cớ, tổ chức nên đảm bảo hệ thống thông tin họ tuân thủ tiêu chuẩn phát hành mã thử nghiệm sản phẩm chứng cớ thừa nhận 12.1.7.3 Chất lượng tính đầy đủ chứng cớ Để đạt chất lượng tính đầy đủ chứng cớ, cần chuỗi chứng cớ mạnh nói chung, chuỗi mạnh chứng cớ thiết lập theo điều kiện sau a) tài liệu giấy: Bản gốc giữ an toàn ghi người tìm ra, nơi tìm ra, thời điểm tìm người làm chứng cho phát Mọi điều tra nên đảm bảo gốc không bị giả mạo b) thơng tin phương tiện truyền thơng máy tính: Nên có phương tiện truyền thơng di rời, thông tin đĩa cứng nhớ để đảm bảo tính sẵn sàng Nhật ký toàn hoạt động thủ tục chép nên giữ lại thủ tục nên làm chứng Một phương tiện truyền thông nhật ký nên giữ an toàn Khi cố phát lần đầu, hiển nhiên đưa đến vụ kiện xảy vậy, nguy hiểm tồn mà chứng cớ cần thiết bị huỷ bỏ bất ngờ trước nhận tính nghiêm trọng cố Cần có luật sư cảnh sát sớm vụ kiện dự tính thực lời khuyên chứng cớ yêu cầu điều nên làm theo 12.2 Sốt xét sách an ninh yêu cầu kỹ thuật Đối tượng: Để đảm bảo việc tuân thủ hệ thống với sách tiêu chuẩn an ninh tổ chức An ninh hệ thống thơng tin nên sốt xét đặn soát xét nên tiến hành ngược lại sách an ninh thích hợp bậc kỹ thuật hệ thống thông tin nên kiểm tra để tuân thủ tiêu chuẩn thực thi an ninh 12.2.1 Sự tuân theo sách an ninh Các nhà quản lý nên đảm bảo toàn thủ tục an ninh khu vực trách nhiệm họ phải thực xác Hơn nữa, toàn khu vực tổ chức nên xem xét việc soát xét đặn để đảm bảo tuân thủ với sách tiêu chuẩn an ninh Điều nên gồm: a) hệ thống thông tin; b) nhà cung cấp hệ thống; c) chủ sở hữu thông tin tài sản thông tin; d) người sử dụng; e) nhà quản lý Các chủ sở hữu hệ thống thông tin (xem 5.1) nên hỗ trợ soát xét tuân thủ đặn hệ thống họ với sách, tiêu chuẩn an ninh thích hợp yêu cầu an ninh khác Giám sát hoạt động việc sử dụng hệ thống nêu 9.7 12.2.2 Kiểm tra tuân theo kỹ thuật Các hệ thống thông tin nên kiểm tra đặn việc tuân thủ tiêu chuẩn an ninh Việc kiểm tra tuân thủ kỹ thuật gồm kiểm tra hệ thống hoạt động để đảm bảo kiểm soát phần cứng phần mềm thực xác Loại kiểm tra việc tuân thủ yêu cầu chuyên gia trợ giúp kỹ thuật Nên thực thủ công (hỗ trợ cơng cụ phần mềm thích hợp cần) kỹ sư hệ thống có kinh nghiệm gói phần mềm tự động mà đưa báo cáo kỹ thuật thể chuyên gia kỹ thuật LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Kiểm tra việc tuân thủ gồm, ví dụ, kiểm tra thủ tục truy cập, tiến hành chuyên gia độc lập đặc biệt ký kết mục đích Điều hữu ích việc phát khả bị công hệ thống để kiểm tra kiểm soát ngăn ngừa truy cập trái phép khả bị cơng có hiệu Cảnh báo nên sử dụng trường hợp thành công kiểm tra thủ tục truy cập dẫn đến tổn hại an ninh hệ thống lợi dụng không cố ý khả dễ bị công khác Mọi kiểm tra việc tuân thủ kỹ thuật nên tiến hành giám sát người có thẩm quyền, thạo việc 12.3 Sự xem xét kiểm tra hệ thống Đối tượng: Để tối đa tính hiệu lực để giảm thiểu can thiệp tới/ từ quy trình kiểm tra hệ thống Nên có kiểm sốt để bảo vệ hệ thống hoạt động cơng cụ kiểm tốn suốt kiểm toán Bảo vệ nên u cầu để bảo vệ tính tồn vện ngăn ngừa lạm dụng cơng cụ kiểm tốn 12.3.1 Các kiểm soát kiểm tra hệ thống Các yêu cầu hoạt động kiểm toán gồm kiểm tra hệ thống hoạt động nên lập kế hoạch cẩn thận thoả thuận để tối thiếu rủi ro gián đoạn thủ tục kinh doanh Nên ý điều sau: a) yêu cầu kiểm tốn nên thoả thuận với ban quản lý thích hợp; b) phạm vị kiểm tra nên thoả thuận kiểm soát; c) kiểm tra nên giới hạn việc truy cập đọc với phần mềm liệu; d) việc truy cập khác đọc nên cho phép riêng biệt tệp hệ thống mà nên xố kiểm tốn hồn thành; e) nguồn IT để tiến hành kiểm tra nên định danh rõ ràng sẵn có; f) yêu cầu cho thủ tục xử lý đặc biệt thêm nên định danh đồng ý; g) toàn truy cập nên giám sát ghi nhật ký để tạo chuỗi tham chiếu; h) toàn thủ tục, yêu cầu trách nhiệm nên tài liệu hóa 12.3.2 Sự bảo vệ công cụ kiểm tra hệ tthống Truy cập tới cơng cụ kiểm tốn hệ thống, nghĩa là: Phần mềm tệp liệu nên bảo vệ khỏi lạm dụng bị tổn hại xảy Các cơng cụ nên chia tách khỏi hệ thống phát triển hoạt động không lưu giữ thư viện băng khu vực người sử dụng, trừ có mức bảo vệ thêm thích hợp MỤC LỤC Lời nói đầu Phạm vi áp dụng Thuật ngữ định nghĩa 2.1 An ninh thông tin 2.2 Đánh giá rủi ro 2.3 Quản lý rủi ro Chính sách an ninh 3.1 Chính sách an ninh thơng tin 3.1.1 Tài liệu sách an ninh thơng tin 3.1.2 Soát xét đánh giá An ninh tổ chức 4.1 Hạ tầng an ninh thông tin 4.1.1 Diễn đàn quản lý an ninh thông tin LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê 4.1.2 Hợp tác an ninh thông tin 4.1.3 Phân định trách nhiệm an ninh thông tin 4.1.4 Quyền xử lý phương tiện xử lý thông tin 4.1.5 Lời khuyên chuyên gia an ninh thông tin 4.1.6 Hợp tác tổ chức 4.1.7 Soát xét độc lập an ninh thông tin 4.2 Anh ninh truy cập bên thứ ba 4.2.1 Xác định rủi ro từ việc truy cập bên thứ ba 4.2.2 Các yêu cầu an ninh hợp đồng bên thứ ba 4.3 Cung ứng bên 4.3.1 Các yêu cầu an ninh hợp đồng cung ứng Phân loại kiểm soát tài sản 5.1 Trách nhiệm giải trình tài sản 5.1.1 Kiểm kê tài sản 5.2 Phân loại thông tin 5.2.1 Các hướng dẫn phân loại 5.2.2 Dán nhãn quản lý thông tin An ninh cá nhân 6.1 An ninh theo định nghĩa nguồn công việc 6.1.1 An ninh theo trách nhiệm công việc 6.1.2 Kiểm tra nhân sách 6.1.3 Thỏa thuận tính bảo mật 6.1.4 Các điều khoản điều kiện tuyển dụng 6.2 Đào tạo người sử dụng 6.2.1 Giáo dục đào tạo an ninh thông tin 6.3 Đối phó với cố cố an ninh 6.3.1 Báo cáo cố an ninh 6.3.2 Báo cáo điểm yếu an ninh 6.3.3 Báo cáo cố an ninh 6.3.4 Rút kinh nghiệm từ cố 6.3.5 Quy trình thiết lập kỷ luật An ninh môi trường vật lý 7.1 Phạm vi an ninh 7.1.1 Vành đai an ninh vật lý 7.1.2 Kiểm soát xâm nhập vật lý 7.1.3 An ninh văn phòng, phòng phương tiện 7.1.4 Làm việc phạm vi an ninh 7.1.5 Các khu vực tiếp nhận phân phối riêng biệt 7.2 An ninh thiết bị 7.2.1 Chọn địa điểm đặt bảo vệ thiết bị 7.2.2 Các nguồn đIện 7.2.3 An ninh cho hệ thống cáp LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 www.luatminhkhue.vn Công ty luật Minh Khuê www.luatminhkhue.vn 7.2.4 Bảo dưỡng thiết bị 7.2.5 An ninh thiết bị ngoại vi 7.2.6 An ninh việc loại bỏ tái sử dụng thiết bị 7.3 Kiểm soát chung 7.3.1 Chính sách bàn “sạch” hình “sạch” 7.3.2 Di chuyển tài sản Quản lý truyền thông hoạt động 8.1 Trách nhiệm thủ tục hoạt động 8.1.1 Thủ tục vận hành tài liệu hóa 8.1.2 Kiểm soát thay đổi hoạt động 8.1.3 Thủ tục quản lý cố 8.1.4 Phân tách trách nhiệm 8.1.5 Phân tách phương tiện phát triển hoạt động 8.1.6 Quản lý phương tiện bên 8.2 Lập kế hoạch hệ thống công nhận 8.2.1 Lập kế hoạch lực 8.2.2 Chấp nhận hệ thống 8.3 Bảo vệ chống lại phần mềm cố ý gây hại 8.3.1 Kiểm soát chống lại phần mềm cố ý gây hại 8.4 Công việc cai quản 8.4.1 Sao lưu thông tin 8.4.2 Các ghi điều hành viên 8.4.3 Ghi lại khiếm khuyết 8.5 Quản lý mạng 8.5.1 Kiểm sốt mạng 8.6 Trình điều khiển an ninh mơi trường truyền thông 8.6.1 Việc quản lý phương tiện truyền thơng máy tính tháo lắp 8.6.2 Sự chuyển nhượng môi trường truyền thông 8.6.3 Các thủ tục trình điều khiển thơng tin 8.6.4 An ninh tài liệu hệ thống 8.7 Các trao đổi thông tin phần mềm 8.7.1 Các thỏa thuận trao đổi thông tin phần mềm 8.7.2 An ninh môi trường truyền 8.7.3 An ninh thương mại điện tử 8.7.4 An ninh thư điện tử 8.7.5 An ninh hệ thống văn phịng điện tử 8.7.6 Các hệ thống cơng cộng sẵn có 8.7.7 Các biểu mẫu trao đổi thơng tin khác Kiểm soát truy cập 9.1 Yêu cầu kinh doanh kiểm sốt truy cập 9.1.1 Chính sách kiểm soát truy cập 9.2 Quản lý truy cập người sử dụng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê 9.2.1 Đăng ký người sử dụng 9.2.2 quản lý đặc quyền 9.2.3 Quản lý mật người sử dụng 9.2.4 Soát xét quyền truy cập người sử dụng 9.3 Trách nhiệm người sử dụng 9.3.1 Sử dụng mật 9.3.2 Thiết bị người sử dụng không giám sát 9.4 Kiểm sốt truy cập mạng 9.4.1 Chính sách sử dụng dịch vụ mạng 9.4.2 Đường dẫn bắt buộc 9.4.3 Xác thực người sử dụng kết nối bên 9.4.4 Xác thực nút mạng 9.4.5 Bảo vệ cổng chẩn đốn từ xa 9.4.6 Tình trạng phân tách mạng 9.4.7 Kiểm soát kết nối mạng 9.4.8 Kiểm soát định tuyến mạng 9.4.9 An ninh dịch vụ mạng 9.5 Kiểm soát định truy cập hệ điều hành 9.5.1 Định danh tự động thiết bị đầu cuối 9.5.2 Các thủ tục nhập vào thiết bị đầu cuối 9.5.3 Định danh xác thực người sử dụng 9.5.4 Hệ thống quản lý mật 9.5.5 Sử dụng tiện ích hệ thống 9.5.6 Cảnh báo bắt buộc để bảo vệ người sử dụng 9.5.7 Thời gian chờ thiết bị đầu cuối 9.5.8 Giới hạn thời gian kết nối 9.6 Kiểm soát truy cập ứng dụng 9.6.1 Hạn chế truy cập thông tin 9.6.2 Cách ly hệ thống nhạy cảm 9.7 Kiểm tra truy cập sử dụng hệ thống 9.7.1 Ghi lại kiện 9.7.2 Kiểm tra việc sử dụng hệ thống 9.7.3 đồng hóa đồng hồ 9.8 Cơng tác từ xa tính tốn lưu động 9.8.1 Tính tốn lưu động 9.8.2 Cơng tác từ xa 10 Phát triển trì hệ thống 10.1 Các yêu cầu an ninh hệ thống 10.1.1 Phân tích đặc tả yêu cầu an ninh 10.2 An ninh hệ thống ứng dụng 10.2.1 Xác định tính hợp lệ liệu đầu vào 10.2.2 Kiểm soát trình nội LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 www.luatminhkhue.vn Công ty luật Minh Khuê www.luatminhkhue.vn 10.2.3 Xác thực thơng điệp 10.2.4 Kiểm tra tính hợp lệ liệu 10.3 Các kiểm soát mật mã hóa 10.3.1 Chính sách việc sử dụng kiểm sốt mật mã hóa 10.3.2 Sự mật mã hóa 10.3.3 Các chữ ký điện tử 10.3.4 Các dịch vụ khơng từ chối nhận 10.3.5 Quản lý khóa 10.4 An ninh tệp hệ thống 10.4.1 Kiểm soát phần mềm thao tác 10.4.2 Sự bảo vệ liệu thử nghiệm hệ thống 10.4.3 Kiểm soát truy cập tới thư viện gốc chương trình 10.5 An ninh trình hỗ trợ phát triển 10.5.1 Kiểm soát thay đổi thủ tục 10.5.2 Xem xét kỹ thuật thay đổi hệ điều hành 10.5.3 Các hạn chế thay đổi gói phần mềm 10.5.4 Các kênh chuyển đổi mã thành Troa 10.5.5 Xây dựng phần mềm cung ứng 11 Quản lý liên tục kinh doanh 11.1 Các khía cạnh quản lý liên tục kinh doanh 11.1.1 Quản lý tính liên tục q trình kinh doanh 11.1.2 Phân tích tác động liên tục kinh doanh 11.1.3 Ghi lại thực kế hoạch tính liên tục 11.1.4 Khuôn khổ lập kế hoạch liên tục kinh doanh 11.1.5 Thử nghiệm, trì đánh giá lại kế hoạch liên tục doanh nghiệp 12 Sự tuân thủ 12.1 Tuân thủ yêu cầu pháp lý 12.1.1 Xác định văn pháp lý áp dụng 12.1.2 Các quyền sở hữu trí tuệ (IPR) 12.1.3 Bảo vệ báo cáo tổ chức 12.1.4 Bảo vệ liệu đảm bảo bí mật thơng tin cá nhân 12.1.5 Ngăn ngừa việc sử dụng sai phương tiện xử lý thông tin 12.1.6 Quy định kiểm sốt mật mã hóa 12.1.7 Tập hợp chứng cớ 12.2 Sốt xét sách an ninh u cầu kỹ thuật 12.2.1 Sự tuân theo sách an ninh 12.2.2 Kiểm tra tuân theo kỹ thuật 12.3 Sự xem xét kiểm tra hệ thống 12.3.1 Các kiểm soát kiểm tra hệ thống 12.3.2 Sự bảo vệ công cụ kiểm tra hệ thống LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162