Công ty luật Minh Khuê www.luatminhkhue.vn TIÊU CHUẨN QUỐC GIA TCVN 10541:2014 ISO/IEC 27003:2010 CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN TRIỂN KHAI HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN lnformation technology - Security techniques - lnformation security management system implementation guidance Lời nói đầu TCVN 10541:2014 hồn tồn tương đương với ISO/IEC 27003:2010 TCVN 10541:2014 Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin truyền thông tổ chức xây dựng đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Cơng nghệ cơng bố TCVN 10541:2014 CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN TRIỂN KHAI HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN Information technology - Security techniques - Information security management system implementation guidance Phạm vi áp dụng Tiêu chuẩn tập trung vào khía cạnh then chốt để thiết kế triển khai thành công hệ thống quản lý an tồn thơng tin (ISMS) theo TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) Tiêu chuẩn mơ tả quy trình đặc tả thiết kế ISMS từ lúc khởi đầu đến đưa kế hoạch triển khai Tiêu chuẩn mơ tả quy trình để ban quản lý phê chuẩn cho triển khai ISMS, xác định dự án triển khai ISMS (trong tiêu chuẩn gọi dự án ISMS), đưa hướng dẫn lập kế hoạch dự án ISMS để có kế hoạch triển khai dự án ISMS thức Tiêu chuẩn dành cho tổ chức triển khai ISMS Tiêu chuẩn áp dụng cho tất tổ chức loại hình (ví dụ, doanh nghiệp thương mại, quan phủ, tổ chức phi lợi nhuận) với đủ loại quy mô Mỗi tổ chức có tính phức tạp rủi ro riêng, yêu cầu cụ thể tổ chức chi phối việc triển khai ISMS Các tổ chức có quy mô nhỏ nhận thấy hoạt động đưa tiêu chuẩn áp dụng cho họ đơn giản hóa Các tổ chức phức hợp quy mô lớn nhận thấy cần phải có hệ thống quản lý tổ chức theo phân cấp để quản lý hoạt động tiêu chuẩn cách hiệu Tuy nhiên, hai loại tổ chức áp dụng tiêu chuẩn để lập kế hoạch cho hoạt động phù hợp Tiêu chuẩn đưa khuyến nghị giải thích, khơng rõ yêu cầu cụ thể Tiêu chuẩn sử dụng phối hợp với TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005), không chủ ý thay đổi và/hoặc giảm bớt yêu cầu TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) khuyến nghị TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) Không cần thiết hợp chuẩn theo tiêu chuẩn Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên (bao gồm sửa đổi, bổ sung) ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng) TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin - Các yêu cầu Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa nêu ISO/IEC 27000:2009, TCVN ISO/IEC LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 27001:2009 (ISO/IEC 27001:2005) thuật ngữ, định nghĩa sau: 3.1 Dự án ISMS (ISMS project) Các hoạt động có cấu trúc tổ chức thực để triển khai ISMS Cấu trúc tiêu chuẩn 4.1 Cấu trúc chung điều Triển khai ISMS hoạt động quan trọng nhìn chung thực dự án tổ chức Tiêu chuẩn giải thích q trình triển khai ISMS tập trung vào việc khởi động, lập kế hoạch xác định dự án Quy trình lập kế hoạch triển khai ISMS thức gồm năm giai đoạn giai đoạn thể điều Tất điều có cấu trúc giống mơ tả Năm giai đoạn bao gồm: a) Phê chuẩn cho khởi động dự án ISMS (Điều 5); b) Xác định phạm vi ISMS sách ISMS (Điều 6); c) Tiến hành phân tích u cầu an tồn thơng tin (Điều 7); d) Tiến hành đánh giá rủi ro lập kế hoạch xử lý rủi ro (Điều 8); e) Thiết kế ISMS (Điều 9) Hình mơ tả năm giai đoạn quy trình lập kế hoạch dự án ISMS theo tiêu chuẩn ISO/IEC tài liệu đầu Hình - Các giai đoạn dự án ISMS Thông tin chi tiết đề cập phụ lục sau: Phụ lục A - Tóm tắt hoạt động có tham chiếu TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) Phụ lục B - Các vai trò trách nhiệm an tồn thơng tin Phụ lục C - Thông tin lập kế hoạch đánh giá nội Phụ lục D - Cấu trúc sách Phụ lục E - Thông tin lập kế hoạch giám sát đo lường 4.2 Cấu trúc chung điều Mỗi điều bao gồm: a) nhiều mục tiêu thể nội dung cần đạt, ghi hộp văn phần đầu điều; b) nhiều hoạt động cần thiết để đạt (các) mục tiêu giai đoạn Mỗi hoạt động mô tả điều nhỏ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Các mô tả hoạt động điều nhỏ cấu trúc sau: Hoạt động Phần Hoạt động xác định điều cần thỏa mãn để đạt toàn phần mục tiêu giai đoạn Đầu vào Phần Đầu vào mơ tả xuất phát điểm, ví dụ định có văn đầu từ hoạt động khác mô tả tiêu chuẩn Các đầu vào tham chiếu tới toàn đầu từ hoạt động liên quan thơng tin cụ thể từ hoạt động bổ sung sau điều tham chiếu Hướng dẫn Phần Hướng dẫn cung cấp thông tin chi tiết cho phép thực hoạt động Một số hướng dẫn khơng phù hợp cho trường hợp có cách khác phù hợp để đạt kết dự kiến Đầu Phần Đầu mô tả (các) kết (các) sản phẩm thu hoạt động hồn thành; ví dụ, văn Các đầu giống không phụ thuộc vào quy mô tổ chức phạm vi ISMS Thông tin khác Phần Thông tin khác cung cấp thông tin bổ sung hỗ trợ việc triển khai hoạt động, ví dụ thơng tin tham chiếu đến tiêu chuẩn khác CHÚ THÍCH: Các giai đoạn hoạt động mô tả tiêu chuẩn bao gồm chuỗi hoạt động thực đề xuất dựa phụ thuộc xác định qua mô tả “đầu vào” “đầu ra” Tuy nhiên, tùy thuộc vào nhiều yếu tố khác (ví dụ, hiệu lực hệ thống quản lý hành, hiểu biết tầm quan trọng an tồn thơng tin, lý triển khai ISMS), tổ chức lựa chọn hoạt động theo thứ tự cần thiết để chuẩn bị cho việc thiết lập triển khai ISMS 4.3 Biểu đồ Các dự án thường mô tả dạng biểu đồ đồ họa tổng quan hoạt động đầu Hình thể thích cho biểu đồ nằm điều nhỏ tổng quan giai đoạn Các biểu đồ đưa thông tin tổng quan hoạt động giai đoạn LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn Hình - Chú thích luồng cơng việc Trong hình trên, vng phía thể giai đoạn lập kế hoạch dự án ISMS Giai đoạn đề cập điều sau nhấn mạnh với tài liệu đầu giai đoạn Ơ vng phía (các hoạt động giai đoạn) bao gồm hoạt động thuộc giai đoạn LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn nhấn mạnh ô vng phía trên, tài liệu đầu hoạt động Trục thời gian ô vuông phía tương ứng với trục thời gian vng phía Hoạt động A Hoạt động B thực đồng thời Hoạt động C nên bắt đầu sau Hoạt động A B kết thúc Phê chuẩn cho khởi động dự án ISMS 5.1 Tổng quan cách thức để phê chuẩn cho khởi động dự án ISMS Khi định triển khai ISMS, nên xem xét số yếu tố Để xác định yếu tố này, ban quản lý nên hiểu tình nghiệp vụ dự án triển khai ISMS phê chuẩn tình Do vậy, mục tiêu giai đoạn là: Mục tiêu: Được ban quản lý phê chuẩn cho khởi động dự án ISMS thông qua việc xác định tình nghiệp vụ kế hoạch dự án Để ban quản lý phê chuẩn, tổ chức nên xây dựng tình nghiệp vụ bao gồm ưu tiên mục tiêu triển khai ISMS cấu tổ chức cho ISMS Cũng nên xây dựng kế hoạch ban đầu cho dự án ISMS Công việc thực giai đoạn giúp tổ chức hiểu tính xác đáng ISMS, làm rõ vai trị trách nhiệm an tồn thơng tin tổ chức cần thiết cho dự án ISMS Đầu mục tiêu giai đoạn phê chuẩn sơ bộ, cam kết triển khai ISMS thực hoạt động mô tả tiêu chuẩn ban quản lý Các sản phẩm điều gồm tình nghiệp vụ dự thảo kế hoạch dự án ISMS với mốc thời gian Hình mơ tả quy trình để ban quản lý phê chuẩn cho khởi động dự án ISMS CHÚ THÍCH: Đầu từ điều (Cam kết văn ban quản lý kế hoạch triển khai ISMS) đầu điều (Văn tóm tắt trạng an tồn thơng tin) khơng phải u cầu TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) Tuy nhiên, đầu từ hoạt động đầu vào khuyến nghị hoạt động khác mô tả tiêu chuẩn LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn Hình - Tổng quan cách thức để ban quản lý phê chuẩn cho khởi động dự án ISMS 5.2 Làm rõ ưu tiên tổ chức cho phát triển ISMS Hoạt động Xác định ưu tiên u cầu an tồn thơng tin tổ chức, có quan tâm đến mục tiêu triển khai ISMS Đầu vào a) mục tiêu chiến lược tổ chức; b) tổng quan hệ thống quản lý có; c) danh sách yêu cầu an tồn thơng tin theo luật pháp, qui định, hợp đồng áp dụng cho tổ chức Hướng dẫn LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Nhìn chung, để khởi động dự án ISMS, cần có phê chuẩn ban quản lý Do vậy, hoạt động nên thực thu thập thông tin liên quan thể giá trị ISMS tổ chức Tổ chức nên làm rõ lại cần có ISMS định mục tiêu triển khai ISMS khởi động dự án ISMS Có thể xác định mục tiêu triển khai ISMS trả lời câu hỏi sau: a) quản lý rủi ro - ISMS giúp quản lý tốt rủi ro an tồn thơng tin nào? b) hiệu - ISMS cải thiện việc quản lý an tồn thơng tin nào? c) lợi nghiệp vụ - ISMS tạo nên lợi cạnh tranh tổ chức nào? Để trả lời câu hỏi trên, yêu cầu ưu tiên an tồn thơng tin tổ chức làm rõ yếu tố sau: a) phạm vi tổ chức nghiệp vụ trọng yếu: 1) Các phạm vi tổ chức hoạt động nghiệp vụ trọng yếu? 2) Các phạm vi tổ chức liên quan đến hoạt động nghiệp vụ tập trung vào hoạt động nghiệp vụ nào? 3) Tổ chức có mối quan hệ thỏa thuận với bên thứ ba? 4) Các dịch vụ thực theo hình thức th khốn? b) thơng tin nhạy cảm có giá trị: 1) Thơng tin quan trọng tổ chức? 2) Hậu xảy thơng tin bị tiết lộ cho bên khơng có thẩm quyền (ví dụ, lợi cạnh tranh, thiệt hại đến thương hiệu danh tiếng, hành động pháp lý ) c) điều luật đề cập đến biện pháp an tồn thơng tin: 1) Các điều luật liên quan đến việc xử lý rủi ro an tồn thơng tin áp dụng cho tổ chức? 2) Tổ chức có phải phận tổ chức cơng tồn cầu u cầu có báo cáo tài ngồi tổ chức khơng? d) thỏa thuận theo hợp đồng tổ chức có liên quan đến an tồn thơng tin: 1) Các yêu cầu lưu trữ (bao gồm thời gian sử dụng) kho liệu? 2) Có yêu cầu theo hợp đồng liên quan đến tính riêng tư chất lượng (ví dụ, thỏa thuận mức dịch vụ - SLA) không? e) yêu cầu theo ngành nghề có rõ tiêu biện pháp quản lý an tồn thơng tin cụ thể: 1) Các yêu cầu theo chuyên ngành áp dụng cho tổ chức? f) mơi trường nguy hiểm: 1) Hình thức bảo vệ cần thiết giúp chống lại mối đe dọa nào? 2) Các kiểu thông tin yêu cầu bảo vệ? 3) Các loại hoạt động thông tin cần bảo vệ? g) động lực cạnh tranh 1) Các yêu cầu yêu cầu tối thiểu thị trường an toàn thơng tin? 2) Các biện pháp quản lý an tồn thông tin bổ trợ phải cung cấp lợi cạnh tranh cho tổ chức? h) yêu cầu liên quan đến liên tục nghiệp vụ: 1) Các quy trình nghiệp vụ quy trình nghiệp vụ trọng yếu? 2) Tổ chức chịu gián đoạn quy trình nghiệp vụ trọng yếu bao lâu? Phạm vi ISMS sơ xác định có thơng tin Phạm vi phải sử dụng xây dựng tình nghiệp vụ kế hoạch tổng thể dự án ISMS để trình ban quản lý phê chuẩn Phạm vi ISMS chi tiết xác định suốt dự án ISMS Các yêu cầu 4.2.1 a) TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) phác thảo phạm vi theo đặc thù nghiệp vụ, tổ chức, địa điểm, tài sản công nghệ tổ chức Thông tin thu từ câu hỏi hỗ trợ việc xác định yêu cầu LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Khi đưa định ban đầu phạm vi ISMS, nên quan tâm đến số vấn đề sau: a) Các thị quản lý an tồn thơng tin người quản lý mặt tổ chức nghĩa vụ áp đặt từ bên lên tổ chức? b) Trách nhiệm hệ thống thuộc phạm vi đề xuất có nắm giữ nhiều nhóm quản lý khơng (ví dụ, người thuộc phận khác phòng ban khác nhau)? c) Các tài liệu liên quan đến ISMS chuyển giao tổ chức (ví dụ, văn giấy thông qua mạng nội bộ)? d) Các hệ thống quản lý hành hỗ trợ nhu cầu tổ chức khơng? Chúng có hoạt động hết cơng suất, trì tốt hoạt động dự kiến khơng? Dưới ví dụ mục tiêu quản lý sử dụng đầu vào để xác định phạm vi ISMS sơ bộ: a) hỗ trợ liên tục hoạt động nghiệp vụ khôi phục sau thảm họa; b) cải thiện khả phục hồi sau cố; c) giải vấn đề tuân thủ/các nghĩa vụ pháp lý theo luật pháp/hợp đồng; d) cho phép chứng nhận theo tiêu chuẩn ISO/IEC khác; e) cho phép phát triển bố trí mặt tổ chức; f) giảm chi phí dành cho biện pháp quản lý an tồn; g) bảo vệ tài sản có giá trị chiến lược; h) thiết lập môi trường quản lý nội lành mạnh hiệu quả; i) cung cấp đảm bảo bên liên quan tài sản thông tin bảo vệ cách thích đáng; Đầu Sản phẩm hoạt động là: a) tài liệu tóm tắt mục tiêu, ưu tiên an tồn thơng tin, u cầu mặt tổ chức ISMS; b) danh sách yêu cầu theo quy định, hợp đồng ngành nghề liên quan đến an tồn thơng tin tổ chức; c) đặc thù nghiệp vụ bản, cấu tổ chức, vị trí, tài sản công nghệ tổ chức Thông tin khác TCVN ISO 9001:2008, TCVN ISO 14001:2005, ISO/IEC 20000-1:2005 5.3 Xác định phạm vi ISMS sơ 5.3.1 Phát triển phạm vi ISMS sơ Hoạt động Các mục tiêu triển khai ISMS phải gồm xác định phạm vi ISMS sơ Đầu vào Đầu từ Hoạt động 5.2 Làm rõ ưu tiên tổ chức cho phát triển ISMS Hướng dẫn Để thực dự án triển khai ISMS, nên xác định cấu trúc tổ chức cho ISMS Phạm vi ISMS sơ nên xác định để cung cấp cho ban quản lý hướng dẫn định triển khai, để hỗ trợ hoạt động Phạm vi ISMS sơ phải sử dụng xây dựng tình nghiệp vụ kế hoạch dự án đề xuất trình ban quản lý phê chuẩn Đầu từ giai đoạn tài liệu định nghĩa phạm vi ISMS sơ bộ, bao gồm: a) tóm tắt thị quản lý an tồn thơng tin người quản lý mặt tổ chức, nghĩa vụ áp đặt từ bên lên tổ chức; b) mô tả tương tác (các) khu vực thuộc phạm vi với hệ thống quản lý khác; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn c) danh sách mục tiêu nghiệp vụ quản lý an tồn thơng tin (sản phẩm 5.2); d) danh sách quy trình nghiệp vụ trọng yếu, hệ thống, tài sản thông tin, cấu tổ chức vị trí địa lý mà ISMS áp dụng; e) mối quan hệ hệ thống quản lý hành, quy định, tuân thủ mục tiêu tổ chức; f) đặc trưng nghiệp vụ, tổ chức, địa điểm, tài sản công nghệ tổ chức Cũng nên xác định thành phần giống điểm khác vận hành quy trình (các) hệ thống quản lý hành ISMS đề xuất Đầu Sản phẩm tài liệu mô tả phạm vi ISMS sơ Thơng tin khác Khơng có thơng tin đặc biệt khác CHÚ THÍCH: Cần đặc biệt lưu ý rằng, để chứng nhận yêu cầu cụ thể hệ thống tài liệu TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) phạm vi ISMS phải tuân thủ cho dù tổ chức có hệ thống quản lý khác 5.3.2 Xác định vai trò trách nhiệm phạm vi ISMS sơ Hoạt động Xác định vai trò trách nhiệm chung phạm vi ISMS sơ Đầu vào a) đầu từ Hoạt động 5.3.1 Phát triển phạm vi ISMS sơ bộ; b) danh sách bên liên quan hưởng lợi từ kết dự án ISMS Hướng dẫn Để thực dự án ISMS, nên xác định rõ vai trò tổ chức dự án Nhìn chung, vai trị tổ chức khác tùy thuộc vào số người có liên quan đến an tồn thơng tin Cơ cấu tổ chức nguồn lực dành cho an tồn thơng tin thay đổi theo quy mơ, loại hình cấu tổ chức Ví dụ, tổ chức nhỏ, người thực nhiều vai trị Tuy nhiên, ban quản lý nên xác định rõ vai trị (thường trưởng phịng an tồn thơng tin, giám đốc an tồn thơng tin tương tự) chịu trách nhiệm chung quản lý an tồn thơng tin, đội ngũ nhân viên nên giao cho vai trò trách nhiệm dựa kỹ yêu cầu để thực công việc Đây vấn đề quan trọng để đảm bảo nhiệm vụ thực cách hiệu có hiệu lực Khi xác định vai trò việc quản lý an tồn thơng tin, nên lưu ý vấn đề quan trọng sau: a) trách nhiệm chung nhiệm vụ phải thuộc ban quản lý; b) người (thường trưởng phịng an tồn thơng tin) cử để thúc đẩy phối hợp quy trình an tồn thơng tin; c) nhân viên có trách nhiệm nhiệm vụ việc trì an tồn thông tin nơi làm việc tổ chức Các vai trị quản lý an tồn thơng tin nên phối hợp với nhau; hỗ trợ Diễn đàn an tồn thơng tin, tổ chức tương tự Sự cộng tác với chuyên gia có nghiệp vụ phù hợp nên cam kết (và ghi vào văn bản) tất giai đoạn phát triển, triển khai, vận hành trì ISMS Các đại diện từ phịng ban thuộc phạm vi xác định (ví dụ quản lý rủi ro) thành viên tiềm nhóm triển khai ISMS Để sử dụng nguồn lực cách hiệu nhanh chóng nên trì nhóm có kích cỡ thực tế nhỏ Các khu vực không gồm khu vực trực tiếp thuộc phạm vi ISMS mà phân khu gián tiếp, ví dụ phịng quản trị quản lý rủi ro pháp lý Đầu Sản phẩm tài liệu bảng biểu mô tả vai trò trách nhiệm kèm theo tên tổ chức cần để triển khai ISMS thành công LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Thông tin khác Phụ lục B cung cấp thơng tin chi tiết vai trị trách nhiệm cần có tổ chức để triển khai ISMS thành cơng 5.4 Xây dựng tình nghiệp vụ kế hoạch dự án trình ban quản lý phê chuẩn Hoạt động Xây dựng tình nghiệp vụ đề xuất dự án ISMS để ban quản lý phê chuẩn giao phó nguồn lực cho dự án triển khai ISMS Đầu vào a) đầu từ Hoạt động 5.2 Làm rõ ưu tiên tổ chức cho phát triển ISMS b) đầu từ Hoạt động 5.3 Xác định phạm vi ISMS sơ - Tài liệu sơ 1) phạm vi ISMS, 2) vai trò trách nhiệm liên quan Hướng dẫn Thơng tin tình nghiệp vụ kế hoạch dự án ISMS ban đầu nên gồm trình tự kế hoạch, nguồn lực, mốc thời gian ước lượng cần cho hoạt động đề cập điều từ đến tiêu chuẩn Tình nghiệp vụ kế hoạch dự án ISMS ban đầu có vai trò sở dự án, đảm bảo ban quản lý phê chuẩn giao phó nguồn lực cần cho triển khai ISMS Phương thức mà ISMS hỗ trợ mục tiêu nghiệp vụ đóng góp vào hiệu lực quy trình tổ chức làm tăng hiệu nghiệp vụ Tình nghiệp vụ triển khai ISMS nên bao gồm trình bày ngắn gọn hướng đến mục tiêu tổ chức bao gồm đối tượng sau: a) mục tiêu cụ thể mục đích; b) lợi ích tổ chức; c) phạm vi ISMS sơ bộ, bao gồm quy trình nghiệp vụ chịu tác động; d) quy trình yếu tố trọng yếu để tiếp cận mục tiêu ISMS; e) tổng quan dự án mức cao; f) kế hoạch triển khai ban đầu; g) vai trò trách nhiệm xác định; h) nguồn lực yêu cầu (cả công nghệ người); i) vấn đề cần quan tâm triển khai bao gồm an tồn thơng tin tại; j) trình tự kế hoạch mốc thời gian chính; k) chi phí dự kiến; l) yếu tố trọng yếu định thành công; m) định lượng lợi ích tổ chức Kế hoạch dự án nên bao gồm hoạt động liên quan giai đoạn điều từ đến tiêu chuẩn Các cá nhân tác động, bị ảnh hưởng ISMS nên xác định cho khoảng thời gian phù hợp để xem xét cho ý kiến tình nghiệp vụ ISMS đề xuất dự án ISMS Tình nghiệp vụ đề xuất dự án ISMS nên cập nhật có đầu vào, Ngay nhận đủ ý kiến hỗ trợ tình nghiệp vụ đề xuất dự án ISMS nên trình bày để ban quản lý phê chuẩn Ban quản lý nên phê chuẩn tình nghiệp vụ kế hoạch dự án ban đầu để nhận cam kết toàn tổ chức bắt đầu thực dự án ISMS Các lợi ích dự kiến từ cam kết triển khai ISMS ban quản lý gồm: a) kiến thức thi hành điều luật, quy định, nghĩa vụ thỏa thuận tiêu chuẩn liên quan đến an tồn thơng tin giúp tránh trở ngại pháp lý bị phạt không tuân thủ; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Giai đoạn triển khai TCVN 10541:2014 Số bước Công ty luật Minh Khuê Hoạt động www.luatminhkhue.vn Bước tiên Tài liệu đầu Đối chiếu với TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) 24 9.4 Thiết kế an 22, 23 tồn thơng tin ISMS cụ thể Các thủ tục lập hồ sơ quy trình sốt xét ban quản lý 7.1 25 Các mơ tả hoạt động đánh giá, giám sát đo lường 4.2.3 a); 4.2.3 b); 26 Chương trình giáo dục, đào tạo nâng cao nhận thức an tồn thơng tin 5.2.2 27 9.5 Đưa kế 25 hoạch dự án ISMS thức Kế hoạch dự án triển khai ban quản lý phê chuẩn quy trình triển khai N/A 28 Kế hoạch dự án 28 ISMS thức Kế hoạch triển khai dự án ISMS cụ thể, bao gồm việc thực hoạt động hoạch định an tồn thơng tin vật lý, ICT tổ chức yêu cầu ISMS cụ thể việc triển khai ISMS theo kết hoạt động đề cập TCVN 10541:2014 PHỤ LỤC B (Tham khảo) CÁC VAI TRÒ VÀ TRÁCH NHIỆM VỀ AN TỒN THƠNG TIN Phụ lục đưa hướng dẫn bổ sung vai trị trách nhiệm liên quan đến an tồn thơng tin tổ chức Ban đầu, vai trò đề cập quan điểm tổ chức để triển khai ISMS Sau đó, đưa bảng tổng hợp thơng tin cung cấp ví dụ chung vai trò trách nhiệm Vai trị ban an tồn thơng tin Ban an tồn thơng tin nên có vai trị lớn ISMS tổ chức Ban an tồn thơng tin nên chịu trách nhiệm xử lý tài sản thông tin tổ chức, nên có đủ hiểu biết an tồn thơng tin để đạo, giám sát, hoàn thành nhiệm vụ cần thiết Dưới ví dụ cụ thể vai trị ban an tồn thơng tin: a) quản lý rủi ro, xây dựng kế hoạch tài liệu ISMS, chịu trách nhiệm xác định nội dung tài liệu yêu cầu chấp thuận từ ban quản lý; b) lập kế hoạch mua trang thiết bị và/ định việc tái sử dụng thiết bị có tổ chức; c) xử lý vấn đề phát sinh; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn d) xem xét cải tiến xuất từ việc triển khai đo lường ISMS; e) đưa định hướng chiến lược cho ISMS (cả trình triển khai dự án vận hành ISMS), f) làm cầu nối quản lý cấp cao nhóm dự án triển khai cá nhân quản lý an tồn thơng tin Vai trị nhóm lập kế hoạch an tồn thơng tin Nhóm chịu trách nhiệm ISMS giai đoạn lập kế hoạch dự án nên gồm thành viên có hiểu biết rộng tài sản thơng tin quan trọng thuộc phạm vi ISMS, có đủ kiến thức để cân nhắc cách xử lý thông tin loại Ví dụ, định cách thức xử lý tài sản thơng tin, có nhiều quan điểm khác phịng ban thuộc phạm vi ISMS, cần phải điều chỉnh tác động tích cực tiêu cực dự án Nhóm yêu cầu hoạt động phận điều phối xung đột qua giới hạn phịng ban Để thực cơng việc này, thành viên cần có kỹ giao tiếp hình thành sở kinh nghiệm lực phối hợp họ, kiến thức sâu sắc an tồn thơng tin Các chuyên gia tư vấn viên bên Mỗi tổ chức lựa chọn thành viên thực nhiệm vụ (nếu có thể, thành viên thực vai trò) trước thiết lập ISMS Tuy nhiên, thành viên phải có kiến thức kinh nghiệm sâu rộng lĩnh vực an toàn thông tin “công nghệ thông tin”, “các định quản trị” “có hiểu biết tổ chức” Mỗi người chịu trách nhiệm công việc định tổ chức có hiểu biết tốt lĩnh vực chuyên môn họ Rất nhiều chuyên viên chuyên gia lĩnh vực cụ thể tổ chức họ nên tham khảo ý kiến ISMS ISMS sử dụng lĩnh vực riêng họ Cũng cần có cân đối yêu cầu chuyên môn kiến thức rộng để đáp ứng mục tiêu tổ chức Các tư vấn viên bên đưa gợi ý dựa quan điểm vĩ mô họ tổ chức kinh nghiệm từ tình tương tự, họ thường khơng thiết phải có kiến thức sâu đặc trưng tổ chức chi tiết hoạt động tổ chức Các thuật ngữ sử dụng ví dụ trên, ví dụ Ban an tồn thơng tin Nhóm Lập kế hoạch an tồn thơng tin, hồn tồn khơng phải vấn đề quan trọng Nhưng chức phận nên hiểu rõ Lý tưởng cấu trúc nội nên phối hợp an tồn thơng tin, trao đổi làm việc gần gũi với phịng kỹ thuật Người sở hữu tài sản thơng tin Nên định cá nhân sở hữu quy trình ứng dụng chun mơn tổ chức; người đóng vai trị “chủ sở hữu tài sản thông tin” tất vấn đề an tồn thơng tin liên quan đến liệu xử lý quy trình cụ thể Đầu mối liên lạc người sở hữu quy trình phải chịu trách nhiệm, ví dụ, nhiệm vụ giao phó thơng tin xử lý quy trình mà họ định Trong trường hợp chia sẻ rủi ro, phòng tránh rủi ro ngăn chặn rủi ro, nên thực hành động cần thiết khía cạnh an tồn tổ chức Nếu định chuyển giao rủi ro nên tiến hành hành động phù hợp sử dụng hợp đồng, hợp đồng bảo hiểm cấu tổ chức ví dụ quan hệ đối tác liên doanh Hình B.1 đưa ví dụ cấu tổ chức để thiết lập ISMS Các vai trò trách nhiệm tổ chức đưa cho ví dụ Hình B.1 - Ví dụ cấu tổ chức để thiết lập ISMS LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Tương tác với tổ chức Tất bên tham gia nên soát xét quen thuộc với yêu cầu bảo vệ tài sản tổ chức Các bên tham gia vào việc phân tích tổ chức nên gồm người có kiến thức cao tổ chức môi trường hoạt động tổ chức Những người nên lựa chọn từ nhiều phận tổ chức gồm: a) quản lý cấp cao (ví dụ: COO CFO); b) thành viên Ban an tồn thơng tin; c) thành viên nhóm lập kế hoạch an tồn thơng tin; d) người quản lý chun mơn (ví dụ: trưởng phòng ban tổ chức); e) người sở hữu quy trình (tức người đại diện cho khu vực vận hành quan trọng); f) chuyên gia tư vấn viên bên ngồi Các ví dụ vai trò trách nhiệm chung an tồn thơng tin An tồn thơng tin có ảnh hưởng rộng lớn đến toàn tổ chức Do vậy, việc xác định rõ trách nhiệm an toàn thông tin vô quan trọng định triển khai thành cơng Vì có nhiều vai trị trách nhiệm liên quan đến an tồn thơng tin nên hiểu rõ vai trò khác tảng để hiểu số hoạt động mô tả tiêu chuẩn Bảng đưa vai trị trách nhiệm an tồn thơng tin Cần lưu ý rằng, thông tin vai trị nêu có ý nghĩa chung, triển khai ISMS cụ thể có mơ tả cụ thể Bảng B.1 - Danh sách ví dụ vai trò trách nhiệm an tồn thơng tin Vai trị Mơ tả tóm tắt trách nhiệm Quản lý cấp cao (COO, CEO, CSO CFO) đưa tầm nhìn, định chiến lược điều phối hoạt động để định hướng quản lý tổ chức Quản lý chuyên môn chịu trách nhiệm cao chức tổ chức Giám đốc an tồn thơng tin chịu trách nhiệm chung quản lý an tồn thơng tin nhằm đảm bảo xử lý tài sản thơng tin Ban an tồn thông tin (các thành viên) xử lý tài sản thơng tin có vai trị cao ISMS tổ chức Nhóm lập kế hoạch an tồn thơng tin chịu trách nhiệm suốt trình thiết lập hệ thống (các thành viên) ISMS Nhóm làm việc với phòng ban giải vướng mắc, chồng chéo hệ thống ISMS thiết lập Các bên liên quan theo quan điểm mô tả vai trị khác an tồn thơng tin, bên liên quan xác định cá nhân/ tổ chức nằm hoạt động thông thường tổ chức - chẳng hạn hội đồng quản trị, chủ sở hữu (cả người nắm giữ mặt tổ chức tổ chức phận nhóm tổ chức phủ, và/hoặc người nắm giữ trực tiếp ví dụ bên liên quan tổ chức cá thể) Ngồi ra, bên liên quan cơng ty có nhiều chi nhánh, khách hàng, nhà cung cấp tổ chức công quan kiểm sốt tài phủ sàn chứng khoán Quản trị hệ thống người chịu trách nhiệm quản trị hệ thống IT Giám đốc IT người quản lý tất nguồn lực IT (ví dụ, trưởng phịng IT) An toàn vật lý người chịu trách nhiệm an tồn vật lý, ví dụ trụ sở thường gọi Người quản lý trang thiết bị Quản lý rủi ro cá nhân/các cá nhân chịu trách nhiệm khung quản lý rủi ro tổ chức, bao gồm ước lượng rủi ro, xử lý rủi ro giám sát rủi ro LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Vai trị Mơ tả tóm tắt trách nhiệm Cố vấn pháp lý chịu trách nhiệm khía cạnh pháp lý rủi ro an tồn thơng tin Nguồn nhân lực Cá nhân/các cá nhân có trách nhiệm chung đội ngũ lao động Lưu trữ tài liệu Tất tổ chức có tài liệu lưu trữ chứa thông tin quan trọng cần giữ lại thời gian dài Các thơng tin lưu trữ phương tiện khác phải có người phải chịu trách nhiệm đảm bảo an toàn cho tài liệu lưu trữ Dữ liệu cá nhân Nếu có quy định luật pháp quốc gia cần có người chịu trách nhiệm liên lạc với ban tra liệu, quan tương tự có chức giám sát vấn đề tính cá nhân tính tồn vẹn Nhân viên phát triển hệ thống Nếu tổ chức phát triển hệ thống thông tin riêng phải có người chịu trách nhiệm cho việc phát triển Chuyên viên/ Chuyên gia Các chuyên viên chuyên gia chịu trách nhiệm công việc tổ chức phải tham khảo ý kiến khía cạnh ISMS liên quan đến lĩnh vực họ điều có liên quan đến việc sử dụng ISMS lĩnh vực riêng họ Tư vấn viên bên Các tư vấn viên bên ngồi gợi ý dựa quan điểm vĩ mô họ tổ chức kinh nghiệm công nghiệp Tuy nhiên, tư vấn viên khơng có kiến thức chuyên sâu tổ chức nghiệp vụ tổ chức Nhân viên/đội ngũ lao động/người sử Mỗi nhân viên có trách nhiệm trì dụng an tồn thơng tin nơi làm việc phạm vi môi trường họ Đánh giá viên Đánh giá viên có trách nhiệm ước lượng đánh giá ISMS Đào tạo viên Đào tạo viên có trách nhiệm triển khai chương trình đào tạo nâng cao nhận thức an tồn thơng tin Người chịu trách nhiệm IT IS Trong tổ chức lớn, thường có người thuộc nội nội bộ tổ chức phải chịu trách nhiệm nội vấn đề IT, an tồn thơng tin Đại sứ (người có tầm ảnh hưởng) Đây khơng phải vai trị trách nhiệm cụ thể, nhiên tổ chức lớn, giai đoạn triển khai phải có giúp đỡ to lớn từ người có kiến thức sâu việc triển khai ISMS Họ hỗ trợ kiến thức đưa lý triển khai ISMS Họ có ảnh hưởng đến quan điểm đường hướng triển khai coi “đại sứ” PHỤ LỤC C (Tham khảo) THÔNG TIN VỀ ĐÁNH GIÁ NỘI BỘ Phụ lục đưa hướng dẫn bổ sung hỗ trợ lập kế hoạch đánh giá Triển khai ISMS phải đánh giá thường xuyên hình thức đánh giá nội độc lập Các đánh giá phục vụ mục đích đối chiếu đánh giá hoạt động triển khai thực tế Để triển khai ISMS, phải hoạch định hình thức đánh giá ISMS LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Trong đánh giá ISMS, kết đánh giá nên xác định dựa chứng Vì vậy, nên ấn định khoảng thời gian phù hợp trình vận hành ISMS để thu thập chứng phù hợp Đánh giá ISMS nội phải triển khai thực thường xuyên để đánh giá xem mục tiêu quản lý, biện pháp quản lý, quy trình thủ tục ISMS có tuân thủ yêu cầu tiêu chuẩn TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) quy định điều luật liên quan khơng, có tn thủ u cầu an tồn thơng tin xác định khơng, có triển khai trì cách hiệu lực khơng Tuy nhiên, tổ chức có quy mơ nhỏ gặp khó khăn lựa chọn đánh giá viên ISMS nội Nếu tổ chức khơng có đủ nguồn lực nội có đủ kinh nghiệm để thực kiểm tra sử dụng chuyên gia bên Khi tổ chức sử dụng đánh giá viên bên ngoài, nên xem xét xem đánh giá viên bên ngồi có phải người thành thạo đánh giá ISMS nội khơng; nhiên, họ khơng có đủ kiến thức môi trường tổ chức tổ chức Thông tin phải cung cấp đội ngũ nội Ngoài ra, đánh giá viên nội có khả thực đánh giá chi tiết môi trường tổ chức tổ chức, lại khơng đủ kiến thức việc thực đánh giá ISMS Các tổ chức phải thấy đặc điểm khuyết điểm tiềm tàng đánh giá viên nội so với đánh giá viên bên thực đánh giá ISMS nội Hiệu lực hiệu biện pháp quản lý triển khai (xem TCVN 10542:2014 (ISO/IEC 27004:2009)) phải đánh giá phạm vi đánh giá nội Điều quan trọng cá nhân tham gia lập kế hoạch thiết kế mục tiêu an tồn thơng tin khơng tham gia đánh giá nội bộ, khó khăn để tìm lỗi Vì vậy, đơn vị cá nhân tổ chức nằm phạm vi đánh giá ISMS nội phải ban quản lý chọn làm đánh giá viên Các đánh giá viên nên lập kế hoạch, thực hiện, lập báo cáo tiếp tục thực đánh giá ISMS nội để có cam kết người quản lý Tùy thuộc vào quy mơ tổ chức, th đánh giá viên bên ngồi để tránh tình trạng đánh giá viên nội làm việc phiến diện Khi thực đánh giá ISMS nội bộ, nên đánh giá xem ISMS có vận hành cách hiệu lực trì kỳ vọng khơng Các đánh giá viên phải xem xét tình trạng tầm quan trọng mục tiêu quản lý, biện pháp quản lý, quy trình thủ tục đánh giá, kết đánh giá trước lên kế hoạch cho chương trình đánh giá Khi thực đánh giá, phải lập tài liệu tiêu, phạm vi áp dụng, tần suất phương pháp đánh giá Tính khách quan cơng quy trình đánh giá phải đảm bảo lựa chọn đánh giá viên Mỗi đánh giá viên yêu cầu phải có lực sau thực quy trình đánh giá: a) lập kế hoạch thực đánh giá; b) lập báo cáo kết quả; c) đề xuất hành động khắc phục phịng ngừa, Ngồi ra, tổ chức phải xác định trách nhiệm đánh giá viên danh sách quy trình đánh giá tài liệu thủ tục kiểm tra Mỗi người quản lý chịu trách nhiệm quy trình đánh giá nên đảm bảo vấn đề không tuân thủ nguyên nhân chúng làm sáng tỏ Tuy nhiên, điều khơng có nghĩa không tuân thủ thiết phải giải Hơn nữa, hành động khắc phục thi hành phải thẩm tra có báo cáo kết thẩm tra Trên quan điểm quản trị: đánh giá ISMS nội thực có hiệu lực thuộc kết hợp với đánh giá nội khác tổ chức Khi thực đánh giá nội bộ, cần tham khảo ISO/IEC 27006:2007 “Các yêu cầu tổ chức đánh giá cấp chứng nhận ISMS” PHỤ LỤC D (Tham khảo) CẤU TRÚC CỦA CÁC CHÍNH SÁCH Phụ lục đưa hướng dẫn bổ sung cấu trúc sách, bao gồm sách an tồn thơng tin LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Kh www.luatminhkhue.vn Nhìn chung, sách tun bố ban quản lý mục đích định hướng tổng thể (xem FCD 27000 TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005)) Nội dung sách hướng dẫn hành động định liên quan đến chủ đề sách Mỗi tổ chức đưa nhiều sách; sách tập trung lĩnh vực hoạt động quan trọng tổ chức Bên cạnh số sách độc lập có sách có mối quan hệ phân cấp Về khía cạnh an tồn sách thường tổ chức theo phân cấp Thơng thường, sách an tồn tổ chức sách cấp cao Chính sách hỗ trợ sách cụ thể hơn, bao gồm sách an tồn thơng tin sách hệ thống quản lý an tồn thơng tin Như vậy, sách an tồn thơng tin hỗ trợ sách cụ thể vấn đề liên quan đến khía cạnh an tồn thơng tin Rất nhiều sách đưa tiêu chuẩn ISO/IEC 27002:2011 (ISO/IEC 27002:2005), ví dụ sách an tồn thơng tin liên quan đến kiểm sốt truy cập, hình bàn làm việc sạch, sử dụng dịch vụ mạng, sử dụng biện pháp quản lý mật Trong số trường hợp bổ sung thêm phân cấp sách khác Hình ví dụ kiểu phân cấp sách Hình D.1 - Phân cấp sách TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) yêu cầu tổ chức phải có sách ISMS sách an tồn thơng tin Tuy nhiên, tiêu chuẩn khơng thể rõ mối quan hệ cụ thể sách Các yêu cầu sách ISMS đưa 4.2.1 TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) Các hướng dẫn sách an tồn thơng tin đưa 4.1.1 ISO/IEC 27002:2011 (ISO/IEC 27002:2005) Những sách phát triển dạng sách phân cấp, sách ISMS cấp thấp sách an tồn thơng tin, sách an tồn thơng tin cấp thấp sách ISMS Nội dung sách dựa nội dung hoạt động tổ chức Đặc biệt, vấn đề sau nên xem xét thiết lập sách khung sách tổ chức: 1) mục đích mục tiêu tổ chức; 2) chiến lược thông qua để đạt mục tiêu; 3) cấu trúc quy trình tổ chức thơng qua; 4) mục đích mục tiêu liên quan đến chủ đề sách; 5) yêu cầu sách phân cấp liên quan cao Các vấn đề thể hình bên LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Hình D.2 - Các đầu vào để phát triển sách Mỗi sách có cấu trúc sau: Tóm tắt sách: hai câu tổng quan sách (mục gộp vào phần giới thiệu) Giới thiệu: giải thích ngắn gọn chủ đề sách Phạm vi: mơ tả phận hoạt động tổ chức mà sách tác động đến Nếu phần phạm vi cần liệt kê sách khác hỗ trợ sách Các mục tiêu: mơ tả ý nghĩa sách Các nguyên tắc: mô tả quy tắc liên quan đến hành động, định để đạt mục tiêu sách Trong số trường hợp, nên xác định quy trình liên quan đến chủ đề sách sau quy tắc thực thi quy trình Các trách nhiệm: mô tả người chịu trách nhiệm hành động để đáp ứng yêu cầu sách Trong số trường hợp, phải đưa mô tả cấu tổ chức trách nhiệm cá nhân theo vai trò phân bổ Các kết chính: mơ tả kết nghiệp vụ đáp ứng mục tiêu đề Các sách liên quan: mơ tả sách khác liên quan đến việc đạt mục tiêu, thường hình thức đưa thơng tin chi tiết bổ sung liên quan đến chủ đề cụ thể CHÚ THÍCH: Nội dung sách tổ chức theo nhiều cách khác Ví dụ, tổ chức tập trung vào vai trị trách nhiệm mô tả ngắn gọn mục tiêu, áp dụng nguyên tắc đặc biệt với việc mô tả trách nhiệm Dưới ví dụ sách an tồn thơng tin, thể cấu trúc nội dung sách Chính sách an tồn thơng tin (ví dụ) Tóm tắt sách Thông tin phải bảo vệ, cho dù chúng dạng cho dù chúng có chia sẻ, trao đổi lưu trữ Giới thiệu Thông tin tồn nhiều hình thức Nó in viết giấy, lưu trữ dạng thông tin điện tử, chuyển qua đường bưu điện phương tiện điện tử, thể phim, nói hội thoại An tồn thơng tin bảo vệ thông tin trước mối đe dọa khác để đảm bảo tính liên tục hoạt động nghiệp vụ, giảm thiểu rủi ro, tối đa hóa lợi nhuận đầu tư hội kinh doanh Phạm vi Chính sách hỗ trợ sách an tồn chung tổ chức Chính sách áp dụng cho tồn tổ chức Các mục tiêu an tồn thơng tin Chiến lược rủi ro an tồn thơng tin vận hành thông hiểu xử lý để tổ chức chấp nhận Sự bí mật thơng tin khách hàng, kế hoạch phát triển tiếp thị sản phẩm bảo vệ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn Sự tồn vẹn hồ sơ kiểm tra đảm bảo Mạng nội dịch vụ trang thông tin điện tử công cộng đáp ứng tiêu chuẩn cụ thể Các ngun tắc an tồn thơng tin Tổ chức khuyến khích xử lý rủi ro chịu đựng số rủi ro mà tổ chức bảo thủ không chấp nhận trường hợp rủi ro thông tin thông hiểu, giám sát xử lý cần thiết Chi tiết cách tiếp cận thực đánh giá xử lý rủi ro đề cập sách ISMS Tất nhân viên phải nhận thức có trách nhiệm an tồn thơng tin liên quan đến vai trị cơng việc họ Sẵn sàng cung cấp biện pháp quản lý an tồn thơng tin quy trình quản lý dự án vận hành Các khả gian lận liên quan đến việc lạm dụng hệ thống thông tin xem xét trình quản lý tổng thể hệ thống thông tin Các hồ sơ tình trạng an tồn thơng tin phải ln sẵn sàng Các rủi ro an tồn thơng tin giám sát hành động thực thi có thay đổi gây rủi ro vượt mức cho phép Chỉ tiêu phân loại rủi ro chấp nhận rủi ro nêu sách ISMS Các tình trạng nằm ngồi sức chịu đựng tổ chức khiến tổ chức vi phạm điều luật quy định luật pháp Các trách nhiệm Ban lãnh đạo cấp cao chịu trách nhiệm đảm bảo an tồn thơng tin tồn tổ chức xử lý thích đáng Mỗi người lãnh đạo cấp cao chịu trách nhiệm đảm bảo nhân viên cấp họ thực bảo vệ thông tin theo tiêu chuẩn tổ chức Giám đốc an tồn thơng tin đưa gợi ý cho ban lãnh đạo cấp cao, cung cấp hỗ trợ chuyên môn cho đội ngũ nhân viên tổ chức, đảm bảo báo cáo tình trạng an tồn thơng tin tổ chức sẵn sàng Mỗi nhân viên có trách nhiệm an tồn thơng tin theo phận công việc mà họ đảm nhiệm Các kết Các cố an tồn thơng tin khơng làm phát sinh chi phí không mong muốn nghiêm trọng làm gián đoạn nghiêm trọng dịch vụ hoạt động nghiệp vụ Các thiệt hại gian lận nhận biết nằm giới hạn chấp nhận Sự chấp nhận khách hàng sản phẩm dịch vụ không bị ảnh hưởng bất lợi vấn đề liên quan đến an toàn thơng tin Các sách liên quan Các sách chi tiết sau cung cấp nguyên tắc hướng dẫn khía cạnh cụ thể an tồn thơng tin sách hệ thống quản lý an tồn thơng tin (ISMS) sách kiểm sốt truy cập sách bàn làm việc hình sách phần mềm trái phép sách liên quan đến tập tin thu thập từ qua mạng bên ngồi sách liên quan đến mã điện thoại di động sách lưu sách liên quan đến việc trao đổi thông tin tổ chức sách liên quan đến việc sử dụng phép thiết bị truyền thông điện tử LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn 10 sách lưu trữ hồ sơ 11 sách sử dụng dịch vụ mạng 12 sách liên quan đến tính tốn truyền thơng di động 13 sách làm việc từ xa 14 sách sử dụng biện pháp quản lý mật 15 sách tuân thủ 16 sách quyền phần mềm 17 sách loại bỏ phần mềm 18 sách bảo vệ liệu quyền riêng tư Tất sách hỗ trợ:  xác định rủi ro, cách cung cấp danh sách biện pháp quản lý, chúng sử dụng để xác định lỗ hổng thiết kế triển khai hệ thống,  xử lý rủi ro, cách hỗ trợ xác định biện pháp xử lý khiếm khuyết mối đe dọa xác định Cả hai quy trình Xác định rủi ro xử lý rủi ro xác định phần Các nguyên tắc sách Tham khảo Chính sách ISMS để có thêm thơng tin chi tiết PHỤ LỤC E (Tham khảo) GIÁM SÁT VÀ ĐO LƯỜNG Phụ lục đưa hướng dẫn bổ sung hỗ trợ lập kế hoạch thiết kế giám sát, đánh giá an toàn thông tin Thông tin Thiết lập giám sát đo lường Thiết kế yêu cầu ISMS cụ thể phải bao gồm chương trình giám sát đo kiểm ISMS để hỗ trợ việc soát xét ban quản lý Thiết kế giám sát: Hình E.1 - Quy trình giám sát Chuẩn bị phối hợp: định danh tài sản có liên quan cần giám sát Cần lưu ý giám sát quy trình liên tục, vậy, thiết kế cần quan tâm đến việc thiết lập quy trình giám sát thiết kế yêu cầu hoạt động giám sát thực tế Các hoạt động cần phối hợp với nhau, phần thiết kế Dựa thông tin cho phạm vi tài sản xác định, kết hợp với kết từ phân tích rủi ro việc lựa chọn biện pháp quản lý, xác định mục tiêu giám sát Những mục tiêu phải bao gồm:  Điều cần phát  Thời gian LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê  Điều cần chống lại www.luatminhkhue.vn Trên thực tế, hoạt động/quy trình tổ chức thiết lập trước tài sản liên quan phạm vi cơng việc giám sát (giải thích câu hỏi Điều cần chống lại trên) Để thiết kế giám sát, cần phải lựa chọn tài sản quan trọng dựa quan điểm an tồn thơng tin Cũng cần lưu ý đến việc xử lý rủi ro lựa chọn biện pháp quản lý để tìm cần phải giám sát tài sản hoạt động/quy trình tổ chức liên quan (giải thích cho câu hỏi Điều cần phát Khi nào) Vì giám sát có khía cạnh pháp lý nên việc thiết kế giám sát phải kiểm tra cho gặp vấn đề pháp lý Để đảm bảo công việc giám sát thực hiệu điều quan trọng phải phối hợp đưa thiết kế thức tất hoạt động/quy trình cần giám sát Giám sát hoạt động: Để trì mức độ an tồn thơng tin định phải áp dụng xác biện pháp quản lý an tồn thơng tin xác định phù hợp; cố an toàn phải phát giải kịp thời, hiệu suất hệ thống quản lý an tồn thơng tin phải giám sát thường xun Các kiểm tra thường xuyên phải thực để xem liệu tất biện pháp quản lý có áp dụng triển khai theo kế hoạch nội dung an tồn thơng tin khơng Các kiểm tra phải kiểm tra xem biện pháp quản lý kỹ thuật (ví dụ, biện pháp liên quan đến cấu hình) biện pháp quản lý tổ chức (ví dụ, quy trình, thủ tục vận hành) có tn thủ khơng Các kiểm tra phải hướng việc tìm kiếm biện pháp khắc phục nhược điểm Nếu kiểm tra chấp nhận điều quan trọng tất cá nhân tham gia phải nhận thức cách làm việc mục tiêu kiểm tra Sự thảo luận giải pháp khả thi cho vấn đề với tham gia cá nhân suốt kiểm tra chuẩn bị sẵn biện pháp khắc phục thích hợp vấn đề quan trọng Các kiểm tra phải chuẩn bị kỹ lưỡng để đảm bảo chúng đạt mục tiêu cách hiệu đến mức đồng thời gây gián đoạn đến guồng máy công việc Triển khai chung kiểm tra phải thống trước với ban quản lý Các hoạt động thiết kế thuộc ba hình thức khác sau:  báo cáo cố  xác minh không tuân thủ chức quản lý  kiểm tra thường xuyên khác Hơn nữa, kết từ hoạt động phải thiết kế cách thức xây dựng báo cáo cách thức báo cáo thông tin lên ban quản lý Hệ thống tài liệu thức phải mơ tả thiết kế hoạt động mục đích chúng, trách nhiệm liên quan Yêu cầu kết giám sát Các kết giám sát gồm: a) Các báo cáo hoạt động giám sát theo mức độ chi tiết yêu cầu Cũng giống kết hoạt động giám sát, nên lập hồ sơ giám sát ban quản lý Tất thông tin ban quản lý yêu cầu để hoàn thành nhiệm vụ quản lý giám sát họ nên ghi vào hồ sơ theo mức độ chi tiết yêu cầu b) Các thông tin để ban quản lý đưa định cần hành động tức thời Các báo cáo trình lên ban quản lý phải kết thúc danh sách hành động đề xuất theo thứ tự ưu tiên rõ ràng với đánh giá thực tế chi phí dự kiến để triển khai hành động Điều đảm bảo nhận định cần thiết từ ban quản lý mà khơng bị chậm trễ q mức Xây dựng chương trình đo lường an tồn thơng tin Tổng quan thiết kế chương trình đo lường an tồn thơng tin Quy trình đo lường nên đưa vào chu trình ISMS dự án tổ chức, sử dụng để thực cải tiến liên tục quy trình kết liên quan dự án tổ chức Quy trình liên quan đến chương trình đo lường an tồn thơng tin (TCVN 10542:2014 (ISO/IEC 27004:2009)) Thiết kế chương trình cần xem xét quan điểm chu trình ISMS Hình mơ tả cách thức đưa quy trình đo lường vào chu trình ISMS LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Các chức sau chức cần có hệ thống quản lý để đảm bảo thỏa mãn vấn đề yêu cầu mong muốn, ví dụ thực cấu PDCA; đo lường tính đắn đầu hiệu lực nó; cung cấp thơng tin phản hồi kết đo lường cho người quản lý quy trình Để có đo đúng, cần sử dụng thơng tin có trước, đặc biệt là: a) sách ISMS, bao gồm phạm vi giới hạn; b) kết từ đánh giá rủi ro; c) biện pháp quản lý chọn; d) mục tiêu quản lý; e) mục tiêu an toàn thơng tin cụ thể; f) quy trình cụ thể, nguồn lực phân loại chúng Ban quản lý nên thiết lập trì cam kết quy trình đo lường tổng thể Khi triển khai quy trình đo lường, ban quản lý nên: a) chấp nhận yêu cầu đo lường; xem TCVN 10542:2014 (ISO/IEC 27004:2009) để có thơng tin cụ thể; b) lưu ý đến nhu cầu thông tin; xem TCVN 10542:2014 (ISO/IEC 27004:2009) để có thơng tin cụ thể; c) nhận cam kết đội ngũ nhân viên thông qua hoạt động sau:  Tổ chức nên thể rõ cam kết thơng qua, ví dụ, sách đo lường cho tổ chức, phân bổ trách nhiệm nhiệm vụ, đào tạo, phân bổ ngân quỹ nguồn lực khác  Nên định cá nhân đơn vị thuộc tổ chức chịu trách nhiệm chương trình đo lường  Một cá nhân đơn vị thuộc tổ chức chịu trách nhiệm công bố tầm quan trọng kết đo lường ISMS tới toàn tổ chức để đảm bảo chúng tổ chức chấp nhận sử dụng, việc nên có hỗ trợ ban quản lý  Đảm bảo liệu đo lường ISMS thu thập, phân tích, báo cáo tới CIO bên liên quan khác  Giáo dục người quản lý chuyên môn việc sử dụng kết đo lường ISMS cho định sách, phân bổ nguồn lực, ngân quỹ Thiết kế chương trình đo lường an tồn thơng tin nên có tham gia cá nhân sau: a) Quản lý cấp cao b) Những người sử dụng sản phẩm an tồn thơng tin c) Những người phụ trách hệ thống thông tin d) Những người phụ trách an tồn thơng tin Chương trình đo lường an tồn thơng tin thiết lập để thu minh chứng hiệu lực ISMS, mục tiêu biện pháp quản lý ISMS Chương trình mơ tả TCVN 10542:2014 (ISO/IEC 27004:2009) Các kết đo lường phù hợp Giai đoạn Lập kế hoạch nên kiểm soát để thỏa mãn mục tiêu Mỗi tổ chức có chương trình đo lường an tồn thông tin phù hợp riêng tùy theo cấu trúc tổ chức: a) Quy mô tổ chức b) Mức độ phức tạp tổ chức c) Các rủi ro tổng thể/Nhu cầu an tồn thơng tin Nhìn chung, tổ chức có quy mơ lớn phức tạp cần có chương trình đo lường với phạm vi rộng Tuy nhiên, mức độ rủi ro tổng thể ảnh hưởng đến phạm vi chương trình đo lường Nếu tác động an tồn thơng tin yếu nghiêm trọng tổ chức tương đối nhỏ cần có chương trình đo lường tồn diện để kiểm sốt hết rủi ro tổ chức lớn không LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn phải đối mặt với tác động tương tự Phạm vi chương trình đo lường ước lượng dựa biện pháp quản lý lựa chọn cần kiểm soát kết từ phân tích rủi ro Thiết kế chương trình đo lường an tồn thơng tin Người chịu trách nhiệm chương trình đo lường an tồn thơng tin nên quan tâm đến vấn đề sau đây: a) Phạm vi chương trình đo lường b) Các đo c) Thực đo d) Thời gian thực đo e) Báo cáo kết đo Phạm vi chương trình đo lường nên bao hàm phạm vi, mục tiêu biện pháp quản lý ISMS Việc đo lường ISMS nên thiết lập theo đặc thù tổ chức, tổ chức, địa điểm tổ chức, tài sản công nghệ tổ chức, bao gồm thông tin chi tiết chứng cụ thể việc loại bỏ đối tượng phạm vi ISMS Các đối tượng bị loại bỏ biện pháp quản lý an tồn, quy trình, hệ thống, khu vực chức năng, toàn sở, chi nhánh, tổ chức gồm nhiều chi nhánh Khi lựa chọn đo, điều Quy trình đo lường hệ thống an tồn thơng tin TCVN 10542:2014 (ISO/IEC 27004:2009) quy định điểm xuất phát đối tượng đo Để thiết lập chương trình đo lường, đối tượng nên xác định rõ Các đối tượng quy trình nguồn lực (xem thêm chi tiết TCVN 10542:2014 (ISO/IEC 27004:2009)) Khi xác định chương trình này, đối tượng xác định phạm vi ISMS thường chia nhỏ để tìm đối tượng thực cần đánh giá Quy trình xác định minh họa ví dụ sau đây: Tổ chức đối tượng tổng thể - Quy trình tổ chức A/ hệ thống ICT X phận đối tượng đại diện cho đối tượng - Các đối tượng thuộc quy trình có ảnh hưởng đến an tồn thơng tin (con người, quy định, hệ thống mạng, ứng dụng, thiết bị ) nhìn chung đối tượng đo lường nhằm thấy hiệu việc bảo vệ thơng tin Khi triển khai thực Chương trình đo lường an tồn thơng tin, cần lưu ý đối tượng đo lường thuộc nhiều quy trình tổ chức phạm vi ISMS, có tác động nhiều tới hiệu lực ISMS mục tiêu quản lý Nhìn chung, đối tượng nên phân cấp ưu tiên theo phạm vi chương trình, chẳng hạn Tổ chức an tồn thơng tin quy trình liên quan, phịng máy tính, đồng nghiệp có liên quan đến an tồn thơng tin Thời gian thực đo lường thay đổi, việc đo lường nên kết thúc tổng kết vào khoảng thời gian định để khớp với chương trình sốt xét ban quản lý quy trình cải tiến liên tục mong đợi ISMS Thiết kế chương trình nên thể rõ điều Công tác báo cáo kết đánh giá nên thiết kế cho việc công bố đảm bảo theo TCVN 10542:2014 (ISO/IEC 27004:2009) Thiết kế chương trình đo lường an tồn thơng tin nên với quy định thủ tục đo lường, tài liệu nên ban quản lý phê chuẩn Tài liệu nên chứa nội dung sau: a) Các trách nhiệm chương trình đo lường an tồn thơng tin b) Các trách nhiệm truyền thông c) Phạm vi đo lường d) Cách thức thực (phương pháp sử dụng, nội thực hiện, thuê ) e) Thời gian thực f) Cách thức lập hồ sơ Nếu tổ chức xây dựng điểm đánh giá riêng chúng phải ghi thành tài liệu thuộc giai đoạn thiết kế, tham khảo thông tin chi tiết TCVN 10542:2014 (ISO/IEC 27004:2009) Tài liệu mang tính chất tổng quan khơng cần phải ban quản lý ký chi tiết thay đổi triển khai Đo lường hiệu lực ISMS Khi thiết lập phạm vi chương trình đo lường an tồn thơng tin triển khai, cần lưu ý không nên đưa số lượng đối tượng đo lường lớn Nếu số lượng đối tượng lớn, chia nhỏ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn chương trình thành nhiều phận khác Phạm vi phận coi phần đo lường riêng để so sánh, mục đích chúng thường là: kết hợp phần đo lường để đưa dấu hiệu để đánh giá hiệu lực ISMS Các phạm vi nhỏ thường đơn vị tổ chức xác định giới hạn rõ ràng Sự kết hợp đối tượng tham gia vào quy trình tổ chức cơng việc đo lường đối tượng thuộc phạm vi nhỏ hình thành phạm vi phù hợp cho Chương trình đo lường an tồn thơng tin Vì vậy, hiệu lực tồn ISMS đo lường dựa việc đo lường kết hai nhiều quy trình/đối tượng Vì mục tiêu đo lường hiệu lực ISMS nên điều quan trọng phải đo lường mục tiêu quản lý biện pháp quản lý Số lượng phù hợp biện pháp quản lý khía cạnh, cịn biện pháp quản lý có đủ để đánh giá hiệu lực ISMS không lại vấn đề khác (có thể có lý khác cho việc hạn chế phạm vi Chương trình đo lường an tồn thơng tin, đề cập TCVN 10542:2014 (ISO/IEC 27004:2009)) Đo lường hiệu lực ISMS Hình E.2 - Hai nội dung đo lường hiệu lực theo quy trình PDCA ISMS quy trình ví dụ tổ chức Khi sử dụng kết đo lường để đánh giá hiệu lực ISMS, mục tiêu quản lý biện pháp quản lý có điều vơ quan trọng ban quản lý phải nhận thức rõ phạm vi Chương trình đo lường an tồn thơng tin Người chịu trách nhiệm chương trình đo lường nên ban quản lý phê chuẩn phạm vi Chương trình đo lường an tồn thơng tin trước triển khai chương trình CHÚ THÍCH 1: u cầu liên quan đến việc đo lường hiệu lực TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) “đánh giá biện pháp quản lý nhóm biện pháp quản lý” (Xem 4.2.2 d) TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005)) CHÚ THÍCH 2: Yêu cầu liên quan đến hiệu lực toàn ISMS TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) “soát xét hiệu lực tồn ISMS”, khơng u cầu “đánh giá toàn ISMS” Khi thực đo lường thực tế, sử dụng đội ngũ nhân viên nội bộ, bên ngồi, kết hợp hai Quy mơ, cấu trúc văn hóa tổ chức yếu tố cần xem xét đánh giá nguồn lực nội bên Các tổ chức, cơng ty quy mơ vừa nhỏ có nhiều thuận lợi sử dụng hỗ trợ từ bên tổ chức lớn Tùy theo văn hóa tổ chức, kết từ việc sử dụng nguồn lực bên ngồi cịn mang lại kết có giá trị Nếu tổ chức thường tiến hành đánh giá nội bộ, việc sử dụng nguồn lực nội thực có giá trị Thư mục tài liệu tham khảo LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn [1] TCVN ISO 9001:2008, Hệ thống quản lý chất lượng - Các yêu cầu [2] TCVN ISO 14001:2005, Hệ thống quản lý môi trường - Các yêu cầu hướng dẫn sử dụng [3] TCVN 8709-1:2011, Công nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an tồn CNTT - Phần 1: Giới thiệu mơ hình tổng qt [4] TCVN 8709-2:2011, Cơng nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an tồn CNTT - Phần 2: Các thành phần chức an toàn [5] TCVN 8709-3:2011, Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an tồn CNTT - Phần 3: Các thành phần đảm bảo an tồn [6] TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Cơng nghệ thơng tin - Hệ thống quản lý an tồn thơng tin - Các yêu cầu [7] ISO/IEC 15026 (all parts), Systems and software engineering - Systems and software assurance [8] TCVN 8695 - 1:2011, Công nghệ thông tin - Quản lý dịch vụ - Phần 1: Các yêu cầu [9] ISO/IEC 15443-1:2005, Information technology Security techniques - A framework for IT security assurance - Part 1: Overview and framework [10] ISO/IEC 15443-2:2005, Information technology - Security techniques - A framework for IT security assurance - Part 2: Assurance methods [11] ISO/IEC 15443-3:2007, Information technology - Security techniques - A framework for IT security assurance - Part 3: Analysis of assurance methods [12] ISO/IEC 15939:2007, Systems and software engineering - Measurement process [13] ISO/IEC 16085:2006, Systems and software engineering - Life cycle processes - Rick management [14] ISO/IEC 16326:2009, Systems and software engineering - Life cycle processes - Project management [15] ISO/IEC 18045:2008, Information technology Security techniques - Methodology for IT security evaluation [16] ISO/IEC TR 19791:2006, Information technology Security techniques - Security assessment of operational systems [17] TCVN 10542:2014 (ISO/IEC 27004:2009), Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an tồn thơng tin - Đo lường [18] TCVN 10295:2014 (ISO/IEC 27005:2011), Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý rủi ro an tồn thơng tin [19] ISO 21500, Project management - Guide to project management [20] ISO/IEC 27006:2007, Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems ISO/IEC 18028-4, Information technology Security techniques - IT Netwwork security - Part 4: Securing remote access MỤC LỤC Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Cấu trúc tiêu chuẩn 4.1 Cấu trúc chung điều 4.2 Cấu trúc chung điều 4.3 Biểu đồ Phê chuẩn cho khởi động dự án ISMS 5.1 Tổng quan cách thức để phê chuẩn cho khởi động dự án ISMS 5.2 Làm rõ ưu tiên tổ chức cho phát triển ISMS LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 5.3 Xác định phạm vi ISMS sơ 5.3.1 Phát triển phạm vi ISMS sơ 5.3.2 Xác định vai trò trách nhiệm phạm vi ISMS sơ 5.4 Xây dựng tình nghiệp vụ kế hoạch dự án trình ban quản lý phê chuẩn Xác định phạm vi, giới hạn sách ISMS 6.1 Tổng quan xác định phạm vi, giới hạn sách ISMS 6.2 Xác định phạm vi giới hạn tổ chức 6.3 Xác định phạm vi giới hạn công nghệ thông tin truyền thông (ICT) 6.4 Xác định phạm vi giới hạn vật lý 6.5 Phối hợp phạm vi giới hạn để nhận phạm vi giới hạn ISMS 6.6 Phát triển sách ISMS ban quản lý phê chuẩn Tiến hành phân tích yêu cầu an tồn thơng tin 7.1 Tổng quan tiến hành phân tích u cầu an tồn thơng tin 7.2 Xác định u cầu an tồn thơng tin cho quy trình ISMS 7.3 Xác định tài sản thuộc phạm vi ISMS Tiến hành đánh giá an tồn thơng tin Tiến hành đánh giá rủi ro lập kế hoạch xử lý rủi ro 8.1 Tổng quan tiến hành đánh giá rủi ro lập kế hoạch xử lý rủi ro 8.2 Tiến hành đánh giá rủi ro 8.3 Chọn lựa mục tiêu biện pháp quản lý 8.4 Phê chuẩn cho triển khai vận hành ISMS Thiết kế ISMS 9.1 Tổng quan thiết kế ISMS 9.2 Thiết kế an tồn thơng tin tổ chức 9.2.1 Thiết kế cấu tổ chức thức cho an tồn thơng tin 9.2.2 Thiết kế cấu trúc khung hệ thống tài liệu ISMS 9.2.3 Thiết kế sách an tồn thơng tin 9.2.4 Phát triển tiêu chuẩn thủ tục an toàn thơng tin 9.3 Thiết kế an tồn thơng tin vật lý ICT 9.4 Thiết kế an tồn thơng tin ISMS cụ thể 9.4.1 Lập kế hoạch soát xét ban quản lý 9.4.2 Thiết kế chương trình giáo dục, đào tạo nâng cao nhận thức an toàn thông tin 9.5 Đưa kế hoạch dự án ISMS thức Phụ lục A (tham khảo): Danh sách hoạt động Phụ lục B (tham khảo): Các vai trò trách nhiệm an tồn thơng tin Phụ lục C (tham khảo): Thông tin đánh giá nội Phụ lục D (tham khảo): Cấu trúc sách Phụ lục E (tham khảo): Giám sát đo lường Thư mục tài liệu tham khảo LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162