Đang tải... (xem toàn văn)
Tiêu chuẩn Việt Nam TCVN10295 2014 Công ty luật Minh Khuê www luatminhkhue vn TIÊU CHUẨN QUỐC GIA TCVN 10295 2014 ISO/IEC 27005 2011 CÔNG NGHỆ THÔNG TIN CÁC KỸ THUẬT AN TOÀN QUẢN LÝ RỦI RO AN TOÀN THÔ[.]
Công ty luật Minh Khuê www.luatminhkhue.vn TIÊU CHUẨN QUỐC GIA TCVN 10295 : 2014 ISO/IEC 27005 : 2011 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - QUẢN LÝ RỦI RO AN TỒN THƠNG TIN Information technology - Security techniques - Information security risk management Lời nói đầu TCVN 10295:2014 hoàn toàn tương đương với ISO/IEC 27005:2011 TCVN 10295:2014 Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - QUẢN LÝ RỦI RO AN TỒN THƠNG TIN Information technology - Security techniques - Information security risk management Phạm vi áp dụng Tiêu chuẩn đưa hướng dẫn quản lý rủi ro an tồn thơng tin Tiêu chuẩn giải thích số khái niệm sử dụng TCVN ISO/IEC 27001:2009 xây dựng để hỗ trợ cho việc triển khai an tồn thơng tin dựa phương pháp tiếp cận quản lý rủi ro Để hiểu đầy đủ nội dung tiêu chuẩn cần tham khảo thêm kiến thức khái niệm, mơ hình, quy trình thuật ngữ trình bày TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 Tiêu chuẩn áp dụng cho nhiều loại hình tổ chức (như doanh nghiệp thương mại, quan phủ, tổ chức phi lợi nhuận) nhằm mục đích quản lý rủi ro gây hại tới an tồn thơng tin tổ chức Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) ISO/IEC 27000, Information technology - Security techniques - lnformation security management systems - Overview and vocabulary (Cơng nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng) TCVN ISO/IEC 27001:2009 Công nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các u cầu Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa tiêu chuẩn ISO/IEC 27000 thuật ngữ định nghĩa CHÚ THÍCH: Sự khác thuật ngữ định nghĩa tiêu chuẩn ISO/IEC 27005:2008 tiêu chuẩn nêu Phụ lục G 3.1 Hậu (consequence) Kết kiện (3.3) gây ảnh hưởng đến mục tiêu tổ chức [TCVN 9788:2013] CHÚ THÍCH 1: Một kiện dẫn đến loạt hậu CHÚ THÍCH 2: Một hậu chắn khơng chắn xảy bối cảnh an tồn thơng tin thường mang nghĩa tiêu cực CHÚ THÍCH 3: Hậu thể dạng định tính định lượng CHÚ THÍCH 4: Hậu ban đầu gây ảnh hưởng leo thang đến hậu LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 3.2 Biện pháp kiểm soát (control) Biện pháp làm thay đổi rủi ro (3.9) [TCVN 9788:2013] CHÚ THÍCH 1: Biện pháp kiểm sốt an tồn thơng tin bao gồm quy trình, sách, thủ tục, hướng dẫn, phương pháp cấu trúc tổ chức lĩnh vực hành chính, kỹ thuật, pháp lý quy định để thay đổi rủi ro an tồn thơng tin CHÚ THÍCH 2: Biện pháp kiểm sốt thay đổi rủi ro lúc phát huy tác dụng mong đợi giả định CHÚ THÍCH 3: Biện pháp kiểm soát sử dụng với nghĩa biện pháp bảo vệ biện pháp đối phó 3.3 Sự kiện (event) Sự xuất thay đổi tập hợp tình cụ thể [TCVN 9788:2013] CHÚ THÍCH 1: Một kiện xảy hay nhiều lần nhiều ngun nhân CHÚ THÍCH 2: Một kiện bao gồm việc không xảy CHÚ THÍCH 3: Một kiện đơi dùng theo nghĩa “sự cố” hay “sự rủi ro” 3.4 Bối cảnh bên ngồi (external context) Mơi trường bên ngồi, nơi mà tổ chức theo đuổi để đạt mục tiêu [TCVN 9788:2013] CHÚ THÍCH: Bối cảnh bên ngồi bao gồm: - mơi trường văn hóa, xã hội, trị, pháp lý, quy định, tài chính, cơng nghệ, kinh tế, mơi trường tự nhiên môi trường cạnh tranh, phạm vi quốc tế, quốc gia, khu vực địa phương; - xu hướng động lực tác động đến mục tiêu tổ chức; - mối quan hệ với bên liên quan bên tổ chức, nhận thức, giá trị bên liên quan 3.5 Bối cảnh nội (internal context) Môi trường nội nơi mà tổ chức theo đuổi để đạt mục tiêu [TCVN 9788:2013] CHÚ THÍCH: Bối cảnh nội bao gồm: - quản trị, cấu tổ chức, vai trị trách nhiệm giải trình; - sách, mục tiêu chiến lược tổ chức đưa để đạt mục đích; - lực, hiểu nguồn lực tri thức (Ví dụ nguồn vốn, thời gian, người, quy trình, hệ thống công nghệ); - hệ thống thông tin, luồng thông tin quy trình đưa định (cả thức khơng thức); - mối quan hệ với bên liên quan bên tổ chức nhận thức giá trị bên liên quan bên tổ chức đó; - văn hóa tổ chức; - tiêu chuẩn, hướng dẫn mô hình mà tổ chức chấp nhận; - hình thức phạm vi mối quan hệ hợp đồng 3.6 Mức rủi ro (level of risk) Tính chất nghiêm trọng rủi ro (3.9), hiểu theo nghĩa kết hợp hậu (3.1) khả xảy (3.7) kiện [TCVN 9788:2013] 3.7 Khả xảy (likelihood) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Cơ hội xảy kiện [TCVN 9788:2013] CHÚ THÍCH 1: Trong thuật ngữ quản lý rủi ro, từ “khả xảy ra” thường dùng để hội xảy kiện, định nghĩa, đo lường hay xác định cách chủ quan hay khách quan, dạng định tính hay định lượng mô tả cách sử dụng thuật ngữ chung toán học (như xác suất tần suất khoảng thời gian định) CHÚ THÍCH 2: Thuật ngữ ‘khả xảy ra” có nghĩa tương đương với thuật ngữ “xác suất” Tuy nhiên thuật ngữ “xác suất” thường hiểu theo nghĩa hẹp thuật ngữ tốn học Do đó, thuật ngữ quản lý rủi ro, “khả xảy ra” thường sử dụng với mục đích giải thích thuật ngữ “xác suất” 3.8 Rủi ro tồn đọng (residual risk) Rủi ro (3.9) lại sau xử lý rủi ro (3.17) [TCVN 9788:2013] CHÚ THÍCH 1: Rủi ro tồn đọng gồm rủi ro chưa nhận biết CHÚ THÍCH 2: Rủi ro tồn đọng gọi “rủi ro giữ lại” 3.9 Rủi ro (risk) Ảnh hưởng không chắn đến mục tiêu [TCVN 9788:2013] CHÚ THÍCH 1: Một ảnh hưởng sai lệch so với kỳ vọng - kết ảnh hưởng tích cực hay tiêu cực CHÚ THÍCH 2: Những mục tiêu có khía cạnh khác (như khía cạnh tài chính, y tế an tồn, an tồn thông tin mục tiêu môi trường) áp dụng mức khác (như chiến lược, tổ chức mở rộng, dự án, sản phẩm quy trình) CHÚ THÍCH 3: Rủi ro thường đặc trưng kiện (3.3) hậu (3.1) tiềm ẩn kết hợp chúng CHÚ THÍCH 4: Rủi ro an tồn thơng tin thường thể kết hợp hậu kiện an tồn thơng tin khả xảy kèm theo CHÚ THÍCH 5: Sự khơng chắn tình trạng thiếu thơng tin liên quan tới việc hiểu biết nhận thức kiện, hậu hay khả xảy kèm theo CHÚ THÍCH 6: Rủi ro an tồn thơng tin liên quan đến vấn đề tiềm ẩn mà mối đe dọa khai thác điểm yếu một nhóm tài sản thơng tin gây thiệt hại tổ chức 3.10 Phân tích rủi ro (risk analysis) Q trình tìm hiểu chất rủi ro xác định mức rủi ro (3.6) [TCVN 9788:2013] CHÚ THÍCH 1: Phân tích rủi ro cung cấp sở cho việc ước lượng rủi ro định cách xử lý rủi ro CHÚ THÍCH 2: Phân tích rủi ro bao gồm ước đoán rủi ro 3.11 Đánh giá rủi ro (risk assessment) Quy trình tổng thể bao gồm nhận biết rủi ro (3.15), phân tích rủi ro (3.10) ước lượng rủi ro (3.14) [TCVN 9788:2013] 3.12 Truyền thông tư vấn rủi ro (risk communication and consultation) Những quy trình liên tục lặp lặp lại mà tổ chức tiến hành để cung cấp, chia sẻ hay thu nhận thông tin tiến hành đối thoại với bên liên quan (3.18) quản lý rủi ro (3.9) [TCVN 9788:2013] CHÚ THÍCH 1: Thơng tin liên quan đến tồn tại, chất, hình thức, khả xảy ra, tầm quan trọng, việc ước lượng, khả chấp nhận xử lý rủi ro LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn CHÚ THÍCH 2: Tư vấn quy trình truyền thống hai chiều tổ chức với bên liên quan vấn đề trước đưa định xác định định hướng vấn đề Tư vấn là: - quy trình tác động đến định thông qua ảnh hưởng thông qua quyền lực; - đầu vào để định, không tham gia vào trình định 3.13 Tiêu chí rủi ro (risk criteria) Điều khoản tham chiếu mà dựa vào để ước lượng mức nghiêm trọng rủi ro (3.9) [TCVN 9788:2013] CHÚ THÍCH 1: Tiêu chí rủi ro dựa vào mục tiêu, bối cảnh nội bối cảnh bên ngồi tổ chức CHÚ THÍCH 2: Tiêu chí rủi ro bắt nguồn từ tiêu chuẩn, luật, sách yêu cầu khác 3.14 Ước lượng rủi ro (risk evaluation) Quy trình so sánh kết việc phân tích rủi ro (3.10) với tiêu chí rủi ro (3.13) để xác định xem rủi ro và/hoặc mức nghiêm trọng rủi ro chấp nhận hay chịu đựng hay khơng [TCVN 9788:2013] CHÚ THÍCH: Ước lượng rủi ro hỗ trợ việc định cách xử lý rủi ro 3.15 Nhận biết rủi ro (risk identification) Quy trình tìm kiếm, nhận dạng mô tả rủi ro [TCVN 9788:2013] CHÚ THÍCH 1: Nhận biết rủi ro bao gồm nhận biết nguồn gốc rủi ro, kiện, nguyên nhân hậu tiềm ẩn chúng CHÚ THÍCH 2: Nhận biết rủi ro liên quan đến liệu khứ, phân tích lý thuyết, thông tin ý kiến chuyên môn nhu cầu bên liên quan 3.16 Quản lý rủi ro (risk management) Các hoạt động phối hợp vấn đề rủi ro để điều hành kiểm soát tổ chức [TCVN 9788:2013] CHÚ THÍCH: Tiêu chuẩn sử dụng thuật ngữ “quy trình” để mơ tả tổng quan việc quản lý rủi ro Các yếu tố bên quy trình quản lý rủi ro gọi “các hoạt động” 3.17 Xử lý rủi ro (risk treatment) Quá trình điều chỉnh rủi ro [TCVN 9788:2013] CHÚ THÍCH 1: Xử lý rủi ro liên quan đến việc: - tránh rủi ro cách định không bắt đầu tiếp tục việc hoạt động làm tăng thêm rủi ro; - chấp nhận làm tăng rủi ro để theo đuổi hội; - loại bỏ nguồn gốc rủi ro: - thay đổi khả xảy ra; - thay đổi hậu quả; - chia sẻ rủi ro với bên hay nhiều bên khác (bao gồm hợp đồng gây quỹ bồi thường rủi ro) - Duy trì rủi ro lựa chọn có hiểu biết CHÚ THÍCH 2: Xử lý rủi ro để giải hậu tiêu cực gọi “giảm nhẹ rủi ro”, “loại bỏ rủi ro”, “ngăn chặn rủi ro” “giảm bớt rủi ro” CHÚ THÍCH 3: Xử lý rủi ro tạo rủi ro làm thay đổi rủi ro có 3.18 Bên liên quan (stakeholder) Cá nhân hay tổ chức gây ảnh hưởng, bị ảnh hưởng, nhận thấy bị ảnh hưởng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn định hay hành động [TCVN 9788:2013] CHÚ THÍCH: Người đưa định bên liên quan Cấu trúc tiêu chuẩn Tiêu chuẩn bao gồm mơ tả quy trình hoạt động quản lý rủi ro an tồn thơng tin Thông tin cung cấp điều Tổng quan quy trình quản lý rủi ro an tồn thơng tin trình bày điều Tất hoạt động quản lý rủi ro an tồn thơng tin nêu điều tiếp tục mô tả chi tiết từ điều đến điều 12: • Thiết lập bối cảnh điều 7, • Đánh giá rủi ro điều 8, • Xử lý rủi ro điều 9, • Chấp nhận rủi ro điều 10, • Truyền thơng rủi ro điều 11, • Giám sát sốt xét rủi ro điều 12 Thông tin bổ sung cho hoạt động quản lý rủi ro an tồn thơng tin trình bày phụ lục Nội dung thiết lập bối cảnh cho an tồn thơng tin tổ chức hướng dẫn theo Phụ lục A (xác định phạm vi giới hạn quy trình quản lý rủi ro an tồn thơng tin) Việc nhận biết, định giá tài sản đánh giá tác động đề cập Phụ lục B Phụ lục C đưa ví dụ mối đe dọa điển hình Phụ lục D đề cập tới điểm yếu phương pháp để đánh giá điểm yếu Các ví dụ phương pháp tiếp cận đánh giá rủi ro an tồn thơng tin trình bày Phụ lục E Các ràng buộc thay đổi rủi ro trình bày Phụ lục F Sự khác định nghĩa ISO/IEC 27005:2008 TCVN 10295:2014 đưa Phụ lục G Tất hoạt động quản lý rủi ro từ điều đến điều 12 trình bày theo cấu trúc sau: Đầu vào: Nhận biết thông tin cần thiết để thực hành động Hành động: Mô tả hoạt động Hướng dẫn triển khai: Cung cấp hướng dẫn thực hành động Một vài hướng dẫn chưa hoàn toàn phù hợp cho hoàn cảnh cách thực hành động khác phù hợp Đầu ra: Nhận biết thông tin thu sau thực hoạt động Thông tin Một phương pháp tiếp cận có tính hệ thống nhằm quản lý rủi ro an tồn thơng tin cần thiết để nhận biết nhu cầu tổ chức yêu cầu an tồn thơng tin tạo hệ thống quản lý an tồn thơng tin (ISMS) có hiệu Phương pháp tiếp cận quản lý rủi ro an toàn thông tin phải phù hợp với môi trường tổ chức đặc biệt phải phù hợp với định hướng chung quản lý rủi ro tổ chức Các nỗ lực an tồn thơng tin cần giải rủi ro theo cách thức hiệu kịp thời địa điểm thời điểm cần thiết Quản lý rủi ro an tồn thơng tin phận thiếu hoạt động quản lý an tồn thơng tin áp dụng cho triển khai vận hành liên tục hệ thống ISMS Quản lý rủi ro an tồn thơng tin quy trình liên tục Quy trình cần thiết phải thiết lập bối cảnh nội bối cảnh bên tổ chức, đánh giá rủi ro xử lý rủi ro theo kế hoạch xử lý rủi ro để triển khai khuyến nghị định Quản lý rủi ro phân tích xảy hậu gặp phải, trước định thực việc cần phải làm làm để giảm rủi ro tới mức chấp nhận Quản lý rủi ro an tồn thơng tin phải đóng góp hoạt động sau: • Nhận biết rủi ro • Đánh giá rủi ro hậu rủi ro hoạt động nghiệp vụ tổ chức khả xảy LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn • Truyền thơng nhận thức rõ khả xảy hậu rủi ro • Thiết lập thứ tự ưu tiên để xử lý rủi ro • Ưu tiên cho hành động nhằm làm giảm rủi ro xảy • Các bên liên quan tham gia định quản lý rủi ro thông báo trạng thái quản lý rủi ro • Tăng hiệu hoạt động giám sát xử lý rủi ro • Giám sát sốt xét thường xuyên rủi ro quy trình quản lý rủi ro • Thu thập thơng tin để cải tiến phương pháp tiếp cận quản lý rủi ro • Đào tạo cho cán quản lý đội ngũ nhân viên rủi ro hành động nhằm giảm nhẹ rủi ro Quy trình quản lý rủi ro an tồn thơng tin áp dụng cho tồn tổ chức cho phận tổ chức (ví dụ phịng ban, địa điểm, dịch vụ), hay cho hệ thống thông tin nào, tồn lập kế hoạch, khía cạnh cụ thể biện pháp kiểm soát (như kế hoạch liên tục nghiệp vụ) Tổng quan quy trình quản lý rủi ro an tồn thơng tin Quy trình quản lý rủi ro xác định ISO 31000 trình bày Hình Hình - Quy trình quản lý rủi ro Hình thể cách tiêu chuẩn áp dụng quy trình quản lý rủi ro nêu Quy trình quản lý rủi ro an tồn thơng tin bao gồm: thiết lập bối cảnh (điều 7), đánh giá rủi ro (điều 8), xử lý rủi ro (điều 9), chấp nhận rủi ro (điều 10), truyền thông tư vấn rủi ro (điều 11), giám sát soát xét rủi ro (điều 12) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn Hình - Minh họa quy trình quản lý rủi ro an tồn thơng tin Như minh họa Hình 2, quy trình quản lý rủi ro an tồn thơng tin quy trình lặp hoạt động đánh giá rủi ro, xử lý rủi ro Một phương pháp tiếp cận lặp để tiến hành đánh giá rủi ro làm việc đánh giá tăng theo chiều sâu chi tiết sau lần lặp Phương pháp tiếp cận lặp lặp lại tạo cân tốt việc tối ưu thời gian việc nỗ lực nhận biết kiểm soát, đảm bảo rủi ro cao đánh giá cách phù hợp Bối cảnh thiết lập đầu tiên, sau tiến hành đánh giá rủi ro Nếu việc đánh giá cung cấp đầy đủ thông tin để xác định cách hiệu hoạt động cần thiết để thay đổi rủi ro tới mức chấp nhận lúc nhiệm vụ đánh giá rủi ro coi hoàn thành tiếp sau tiến hành xử lý rủi ro Nếu thơng tin khơng đầy đủ lặp lại đánh giá rủi ro với bối cảnh sốt xét lại (ví dụ tiêu chí ước lượng rủi ro, tiêu chí chấp nhận rủi ro tiêu chí tác động), việc lặp lại đánh giá tiến hành theo số phần hạn chế tồn phạm vi (xem Hình 2, Điểm Quyết định Rủi ro 1) Hiệu việc xử lý rủi ro phụ thuộc chặt chẽ vào kết việc đánh giá rủi ro Chú ý việc xử lý rủi ro bao gồm quy trình theo chu kỳ gồm: • đánh giá kết xử lý rủi ro • định mức rủi ro cịn tồn đọng chấp nhận khơng • đưa phương pháp xử lý rủi ro mức rủi ro khơng thể chấp nhận • đánh giá hiệu xử lý rủi ro Việc xử lý rủi ro khơng đạt mức rủi ro tồn đọng theo yêu cầu (có thể chấp nhận được) Trong trường hợp này, cần thiết, phải tiến hành đánh giá lại rủi ro với điều chỉnh điều kiện bối cảnh (như đánh giá rủi ro, mức chấp nhận rủi ro tiêu chí tác động), tiếp sau bước xử lý rủi ro (xem Hình 2, Điểm Quyết định Rủi ro 2) Hoạt động chấp nhận rủi ro phải đảm bảo rủi ro tồn đọng phải đồng ý cụ thể ban quản lý tổ chức Điều đặc biệt quan trọng trường hợp việc triển khai biện pháp kiểm soát bị bỏ qua bị trì hỗn lý khác thiếu kinh phí, nhân lực Trong suốt tồn quy trình quản lý rủi ro an tồn thơng tin việc thơng báo kết đánh giá rủi ro LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn xử lý rủi ro tới cán quản lý nhân viên vận hành thích hợp quan trọng Ngay trước xử lý rủi ro, thông tin rủi ro nhận biết quan trọng việc quản lý cố giúp giảm thiểu ảnh hưởng xấu xảy Nhận thức cán quản lý nhân viên rủi ro, chất biện pháp để giảm nhẹ rủi ro phạm vi mà tổ chức quan tâm giúp xử lý cố kiện không mong muốn cách hiệu nhất, cần phải tài liệu hóa chi tiết kết tất quy trình quản lý rủi ro an tồn thơng tin hai điểm định rủi ro (xem Hình 2) TCVN ISO/IEC 27001:2009 biện pháp triển khai phạm vi, giới hạn bối cảnh ISMS cần phải vào rủi ro Việc ứng dụng quy trình quản lý rủi ro an tồn thơng tin đáp ứng u cầu Có nhiều phương pháp tiếp cận để triển khai thành cơng quy trình tổ chức Tổ chức sử dụng phương pháp tiếp cận phù hợp với hồn cảnh cho ứng dụng cụ thể quy trình Trong ISMS, thiết lập bối cảnh, đánh giá rủi ro, phát triển kế hoạch xử lý rủi ro chấp nhận rủi ro tất bước cần thực giai đoạn “Lập kế hoạch” Trong giai đoạn “Thực hiện” ISMS, hoạt động biện pháp kiểm soát cần thiết để giảm rủi ro tới mức chấp nhận được tiến hành theo kế hoạch xử lý rủi ro Trong giai đoạn “Kiểm tra” ISMS, ban quản lý phải xác định cần thiết việc duyệt lại kết đánh giá rủi ro xử lý rủi ro dựa cố xảy thay đổi hoàn cảnh Trong giai đoạn “Hành động”, triển khai tất hoạt động cần thiết hoạt động bổ sung quy trình quản lý rủi ro an tồn thơng tin Bảng tổng hợp hoạt động quản lý rủi ro an tồn thơng tin liên quan đến bốn giai đoạn quy trình ISMS sau: Bảng - ISMS quy trình quản lý rủi ro an tồn thơng tin Quy trình ISMS Quy trình quản lý rủi ro an tồn thơng tin Lập kế hoạch Thiết lập bối cảnh Đánh giá rủi ro Phát triển kế hoạch xử lý rủi ro Chấp nhận rủi ro Thực Triển khai kế hoạch xử lý rủi ro Kiểm tra Liên tục giám sát soát xét rủi ro Hành động Duy trì cải tiến quy trình quản lý rủi ro an tồn thơng tin Thiết lập bối cảnh 7.1 Xem xét chung Đầu vào: Tồn thơng tin tổ chức liên quan tới thiết lập bối cảnh quản lý rủi ro an toàn thông tin Hành động: Cần phải thiết lập bối cảnh nội bối cảnh bên tổ chức cho hoạt động quản lý rủi ro an tồn thơng tin, bao gồm việc thiết lập tiêu chí cần thiết cho hoạt động quản lý rủi ro an tồn thơng tin (7.2), định nghĩa phạm vi giới hạn (7.3) thiết lập tổ chức thích hợp để vận hành hoạt động quản lý rủi ro an tồn thơng tin (7.4) Hướng dẫn triển khai: Cần thiết phải xác định mục đích việc quản lý rủi ro an tồn thơng tin điều ảnh hưởng đến tồn quy trình việc thiết lập bối cảnh cụ thể Mục đích là: • Hỗ trợ cho hệ thống quản lý an tồn thơng tin (ISMS) • Tn thủ pháp luật chứng thẩm định • Chuẩn bị kế hoạch liên tục nghiệp vụ • Chuẩn bị kế hoạch ứng cứu cố • Mơ tả u cầu an tồn thơng tin sản phẩm, dịch vụ chế Hướng dẫn triển khai cho yếu tố thiết lập bối cảnh cần thiết để hỗ trợ cho hệ thống ISMS đề cập thêm 7.2, 7.3 7.4 CHÚ THÍCH: TCVN ISO/IEC 27001:2009 khơng sử dụng thuật ngữ 'bối cảnh” Tuy nhiên, điều liên quan đến yêu cầu “xác định phạm vi giới hạn ISMS” [4.2.1 a)], “xác định sách ISMS” [4.2.1 b)] “xác định phương pháp tiếp cận đánh giá rủi ro” [4.2.1 c)] cụ thể TCVN LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn ISO/IEC 27001:2009 Đầu ra: Đặc tả kỹ thuật tiêu chí bản, phạm vi giới hạn tổ chức thực quy trình quản lý rủi ro an tồn thơng tin 7.2 Tiêu chí 7.2.1 Phương pháp tiếp cận quản lý rủi ro Tùy thuộc vào phạm vi mục tiêu quản lý rủi ro mà áp dụng nhiều phương pháp tiếp cận khác Phương pháp tiếp cận khác chu trình lặp lại Một phương pháp tiếp cận quản lý rủi ro thích hợp cần phải lựa chọn phát triển để giải tiêu chí như: tiêu chí ước lượng rủi ro, tiêu chí tác động, tiêu chí chấp nhận rủi ro Ngồi ra, tổ chức cần phải đánh giá xem nguồn lực cần thiết có sẵn có hay khơng để: • Thực đánh giá rủi ro thiết lập kế hoạch xử lý rủi ro • Định nghĩa triển khai sách thủ tục, bao gồm việc triển khai biện pháp kiểm sốt lựa chọn • Giám sát kiểm sốt • Giám sát quy trình quản lý rủi ro an tồn thơng tin CHÚ THÍCH: Xem thêm TCVN ISO/IEC 27001:2009 (5.2.1) liên quan tới điều khoản nguồn lực cho hoạt động triển khai vận hành hệ thống ISMS 7.2.2 Tiêu chí ước lượng rủi ro Tiêu chí ước lượng rủi ro cần phải phát triển để ước lượng rủi ro an tồn thơng tin tổ chức liên quan đến: • Giá trị chiến lược quy trình thơng tin nghiệp vụ • Mức quan trọng tài sản thơng tin có liên quan • Các u cầu pháp lý quy định trách nhiệm hợp đồng • Tầm quan trọng tính sẵn sàng, tính bí mật tính tồn vẹn hoạt động mang tính nghiệp vụ vận hành • Những nhận thức mong muốn bên liên quan hậu xấu danh tiếng uy tín tổ chức Ngồi ra, tiêu chí ước lượng rủi ro sử dụng để xác định ưu tiên cho việc xử lý rủi ro 7.2.3 Tiêu chí tác động Tiêu chí tác động cần phải xác định phát triển theo mức thiệt hại khoản chi phí tổ chức mà nguyên nhân gây từ kiện an toàn thơng tin mà có liên quan đến: • Mức phân loại tài sản thơng tin bị tác động • Vi phạm an tồn thơng tin (làm giảm tính bí mật, tính tồn vẹn tính sẵn sàng) • Yếu vận hành (nội bên thứ ba) • Tổn hại giá trị nghiệp vụ tài • Phá vỡ kế hoạch thời hạn • Thiệt hại uy tín • Vi phạm yêu cầu pháp lý, quy định cam kết theo hợp đồng CHÚ THÍCH: Xem thêm TCVN ISO/IEC 27001:2009, 4.2.1 d) 4) liên quan tới việc xác định tiêu chí tác động làm giảm tính bí mật, tính tồn vẹn tính sẵn sàng 7.2.4 Tiêu chí chấp nhận rủi ro Tiêu chí chấp nhận rủi ro cần phải xác định phát triển Tiêu chí chấp nhận rủi ro thường phụ thuộc vào sách, mục đích, mục tiêu tổ chức lợi ích bên liên quan Mỗi tổ chức cần phải xác định mức chấp nhận rủi ro riêng tổ chức Trong suốt quy trình phát triển cần phải xem xét vấn đề sau: • Tiêu chí chấp nhận rủi ro bao gồm nhiều ngưỡng, dựa theo mức mục tiêu mong muốn rủi LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn ro, phụ thuộc vào điều kiện thực tế cụ thể để cán quản lý cao cấp chấp nhận mức rủi ro • Tiêu chí chấp nhận rủi ro thể tỉ lệ lợi nhuận ước lượng (hoặc lợi ích nghiệp vụ khác) rủi ro ước lượng • Các tiêu chí chấp nhận rủi ro khác áp dụng cho nhiều loại rủi ro khác nhau, ví dụ rủi ro mà dẫn tới việc khơng tn thủ pháp lý quy định khơng chấp nhận, việc chấp nhận rủi ro mức cao lại phép việc chấp nhận xác định yêu cầu hợp đồng • Tiêu chí chấp nhận rủi ro bao gồm yêu cầu cho việc xử lý bổ sung tương lai, ví dụ: rủi ro chấp nhận thơng qua với cam kết có hành động làm giảm rủi ro tới mức chấp nhận khoảng thời gian định Tiêu chí chấp nhận rủi ro khác tùy theo thời gian dự tính tồn rủi ro, ví dụ: rủi ro liên quan đến hoạt động ngắn hạn tạm thời Tiêu chí chấp nhận rủi ro thiết lập sau: • Tiêu chí nghiệp vụ • Khía cạnh pháp lý quy định • Sự vận hành • Cơng nghệ • Tài • Các yếu tố xã hội người CHÚ THÍCH: Tiêu chí chấp nhận rủi ro tương tự với “tiêu chí chấp nhận rủi ro nhận biết mức rủi ro chấp nhận được” quy định rõ TCVN ISO/IEC 27001:2009, xem 4.2.1 c) 2) Thông tin chi tiết trình bày Phụ lục A 7.3 Phạm vi giới hạn Tổ chức cần phải xác định rõ phạm vi giới hạn cho quản lý rủi ro an tồn thơng tin Phạm vi quy trình quản lý rủi ro an tồn thơng tin cần xác định rõ để đảm bảo toàn tài sản liên quan phải quan tâm xem xét quy trình đánh giá rủi ro Ngồi ra, cần phải nhận biết giới hạn [xem TCVN ISO/IEC 27001:2009, 4.2.1 a)] để giải rủi ro phát sinh thêm ngồi giới hạn có Cần phải thu thập thông tin tổ chức để xác định môi trường mà tổ chức hoạt động liên quan tổ chức tới quy trình quản lý rủi ro an tồn thơng tin Khi xác định phạm vi giới hạn, tổ chức cần phải xem xét tới thơng tin sau: • Những mục tiêu, chiến lược sách nghiệp vụ mang tính chiến lược tổ chức • Những quy trình nghiệp vụ • Tổ chức máy chức tổ chức • Pháp lý, quy định cam kết cần áp dụng cho tổ chức • Chính sách an tồn thơng tin tổ chức • Phương pháp tiếp cận tổng thể tổ chức việc quản lý rủi ro • Các tài sản thơng tin • Vị trí đặc điểm địa lý tổ chức • Những ràng buộc ảnh hưởng đến tổ chức • Kỳ vọng bên liên quan • Mơi trường văn hóa - xã hội • Các giao diện (trao đổi thơng tin với mơi trường) Thêm vào đó, tổ chức phải cung cấp chứng cho trường hợp ngoại lệ Các ví dụ phạm vi quản lý rủi ro ứng dụng cơng nghệ thơng tin, sở hạ tầng công nghệ thông tin, quy trình nghiệp vụ, phận định rõ tổ chức LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn • Rủi ro mức thấp: 0-2 • Rủi ro mức trung bình: 3-5 • Rủi ro mức cao: 6-8 Bảng E.1 b) Tác động nghiệp vụ Khả xảy kịch cố Rất thấp (Rất khó xảy ra) Thấp (Khó xảy ra) Trung bình (Có khả xảy ra) Cao (Có thể xảy ra) Rất cao (Thường xuyên xảy ra) Rất thấp Thấp Trung bình Cao Rất cao E.2.2 Ví dụ - xếp hạng mối đe dọa đo lường rủi ro Một ma trận bảng thể Bảng E.2 sử dụng để đưa yếu tố hậu (giá trị tài sản) khả xảy mối đe dọa (ở quan tâm đến khía cạnh điểm yếu) Bước ước lượng hậu (giá trị tài sản) thang đo xác định trước, ví dụ: giá trị từ đến ước lượng hậu tài sản bị đe dọa (cột “b” bảng) Bước thứ hai ước lượng khả xảy mối đe dọa thang đo nhận biết trước, ví dụ: giá trị từ đến ước lượng khả xảy mối đe dọa mối đe dọa (cột “c” bảng) Bước thứ ba tính tốn đo lường rủi ro cách tính tích cột b c (b x c) Cuối cùng, mối đe dọa xếp theo thứ tự gắn liền với mức rủi ro Lưu ý, ví dụ này, số cột b c coi hậu thấp khả thấp xảy mối đe dọa Bảng E.2 Mô tả mối đe dọa Hậu (giá trị tài sản) Khả xảy mối đe dọa Mức rủi ro Xếp loại đe dọa (a) (b) (c) (d) (e) Đe dọa A 10 Đe dọa B Đe dọa C 15 Đe dọa D 3 Đe dọa E 4 Đe dọa F Như bảng thể hiện, phương pháp mà cho phép đối chiếu xếp theo thứ tự ưu tiên mối đe dọa khác mà có hậu khả xảy khác Trong số trường hợp cần thiết kết hợp giá trị tiền tệ với thang đo thực nghiệm sử dụng E.2.3 Ví dụ - Đánh giá giá trị khả xảy hậu xảy rủi ro Ví dụ nhấn mạnh vào hậu cố an tồn thơng tin (tức kịch cố) xác định hệ thống cần ưu tiên Điều thực cách đánh giá hai giá trị cho tài sản rủi ro, kết hợp hai giá trị xác định số điểm cho tài sản Khi tất điểm tài sản hệ thống tổng kết thước đo rủi ro hệ thống xác định Đầu tiên, gắn giá trị cho tài sản Mỗi giá trị liên quan đến hậu xấu tiềm ẩn mà phát sinh tài sản bị đe dọa Đối với mối đe dọa xảy tài sản giá trị tài sản phải gắn cho tài sản LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Tiếp theo đánh giá giá trị khả xảy Dựa vào khả xảy mối đe dọa mức dễ dàng khai thác điểm yếu để đánh giá giá trị khả xảy ra, xem Bảng E.3 thể khả xảy kịch cố Bảng E.3 Khả xảy mối đe dọa Thấp (T) Trung bình (TB) Cao(C) Mức điểm yếu T TB C T TB C T TB C Giá trị khả xảy kịch cố 2 3 Tiếp theo, điểm tài sản/mối đe dọa tính tổng giá trị tài sản với giá trị khả xảy thể Bảng E.4 Điểm tài sản/mối đe dọa tính tổng để tạo điểm tổng tài sản Số liệu sử dụng để phân biệt tài sản mà tạo phận hệ thống Bảng E.4 Giá trị tài sản 0 1 2 3 4 Giá trị khả xảy Bước cuối tính tổng số điểm cho tất tài sản hệ thống, tạo điểm hệ thống Bước sử dụng để phân biệt hệ thống để xác định thứ tự ưu tiên cho hệ thống bảo vệ Trong ví dụ sau, tất giá trị chọn cách ngẫu nhiên Giả sử hệ thống S có ba tài sản A1, A2 A3; có hai mối đe dọa T1 T2 xảy hệ thống S Đặt giá trị tài sản A1 3, tương tự thế, đặt giá trị tài sản A2 giá trị tài sản A3 Nếu cho A1 T1 có khả xảy mối đe dọa thấp khả dễ bị khai thác điểm yếu mức trung bình khả có giá trị (xem Bảng E.3) Cặp điểm tài sản/mối đe dọa (hay A1/T1) suy từ Bảng E.4: giao điểm giá trị tài sản giá trị khả xảy giá trị từ Bảng E.4 Tương tự thế, cho A1/T2 có khả xảy mối đe dọa trung bình khả dễ bị khai thác điểm yếu cao, điểm A1/T2 Và cuối tổng điểm tài sản A1/T tính tốn 10 Tổng điểm tài sản tính tốn cho tài sản mối đe dọa xảy Tổng điểm hệ thống tính tốn cách cộng A1/T + A2/T + A3/T để đưa tổng S/T Các hệ thống khác tài sản khác hệ thống đối chiếu để thiết lập thứ tự ưu tiên Các ví dụ thể áp dụng mặt hệ thống thông tin, nhiên phương pháp tiếp cận tương tự áp dụng cho hoạt động nghiệp vụ PHỤ LỤC F (Tham khảo) Các ràng buộc thay đổi rủi ro Trong xem xét ràng buộc nhằm thay đổi rủi ro cần phải lưu ý xem xét đến ràng buộc sau: Ràng buộc thời gian: LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Có nhiều loại ràng buộc thời gian Ví dụ, biện pháp cần phải triển khai khoảng thời gian chấp nhận người quản lý tổ chức Một loại ràng buộc khác thời gian liệu biện pháp triển khai khoảng thời gian tồn thông tin hay hệ thống hay không Loại ràng buộc thứ ba thời gian khoảng thời gian mà người quản lý tổ chức định khoảng thời gian chấp nhận tiếp xúc với rủi ro cụ thể Ràng buộc tài chính: Các biện pháp thiết kế để bảo vệ triển khai trì khơng đắt giá trị rủi ro, trừ trường hợp bắt buộc phải thực (ví dụ trường hợp tuân thủ theo pháp luật) Mọi cố gắng tài thực khơng vượt ngân sách giao đạt lợi ích tài thông qua việc sử dụng biện pháp Tuy nhiên, số trường hợp khơng đạt độ an tồn mức chấp nhận rủi ro mong muốn bị ràng buộc ngân sách Bởi vậy, để giải tình trạng phụ thuộc vào định người quản lý tổ chức Cần phải cẩn thận trường hợp ngân sách tổ chức làm giảm số lượng hay chất lượng biện pháp triển khai, điều dẫn đến việc trì rủi ro tiềm ẩn lớn so với kế hoạch lập Ngân sách thiết lập cho biện pháp nên sử dụng nhân tố giới hạn có xem xét tương đối Ràng buộc kỹ thuật: Các vấn đề kỹ thuật, khả tương thích chương trình hay phần cứng, dễ dàng tránh tất xem xét suốt q trình lựa chọn biện pháp Ngồi ra, việc triển khai biện pháp có hiệu lực trở trước cho quy trình hay hệ thống tồn thường bị cản trở ràng buộc kỹ thuật Những khó khăn làm thay đổi cân biện pháp mặt an toàn thuộc thủ tục vật chất Và thật cần thiết để xem xét đến chương trình an tồn thơng tin để đạt mục tiêu an tồn Điều xảy biện pháp không đáp ứng kết mong muốn việc giảm thiểu rủi ro Ràng buộc vận hành: Những ràng buộc vận hành cần thiết để vận hành 24x7 cần thực lưu kết phức tạp tốn trừ chúng xây dựng theo thiết kế từ bắt đầu Ràng buộc văn hóa: Những ràng buộc văn hóa để lựa chọn biện pháp phù hợp đặc trưng quốc gia, ngành, tổ chức chí phận tổ chức Không phải tất biện pháp áp dụng cho tất nước Ví dụ, thực gói nghiên cứu phận Châu Âu lại áp dụng cho phận Trung Đông Các khía cạnh văn hóa khơng thể bỏ qua nhiều biện pháp cần phải dựa vào hỗ trợ tích cực nhân viên Nếu nhân viên không hiểu cần thiết biện pháp khơng nhận biện pháp có chấp nhận mặt văn hóa hay khơng biện pháp trở nên không hiệu theo thời gian Ràng buộc đạo đức: Những ràng buộc đạo đức gây tác động lớn đến biện pháp đạo đức thay đổi dựa vào chuẩn mực xã hội Điều cản trở việc triển khai biện pháp quét thư điện tử số nước Sự riêng tư thơng tin thay đổi dựa vào quy tắc đạo đức khu vực hay phủ Điều quan tâm nhiều số ngành công nghiệp so với ngành khác, ví dụ phủ y tế Ràng buộc mơi trường: Các yếu tố mơi trường ảnh hưởng đến việc lựa chọn biện pháp, chẳng hạn khơng gian sẵn có, điều kiện khí hậu khắc nghiệt, vị trí địa lý tự nhiên thị bao quanh Ví dụ, thử nghiệm diễn tập chống động đất cần thiết vài nước lại không cần thiết số nước khác Ràng buộc pháp lý: Các yếu tố pháp lý bảo vệ liệu cá nhân quy định luật hình xử lý thơng tin ảnh hưởng đến việc lựa chọn biện pháp Việc tuân thủ theo luật pháp quy định thị cho số biện pháp bao gồm bảo vệ liệu kiểm tốn tài chính; yếu tố pháp lý ngăn chặn việc sử dụng số biện pháp, ví dụ mã hóa Các quy định điều luật khác luật quan hệ lao động, phòng cháy chữa cháy, y tế an toàn quy định LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn ngành kinh tế ảnh hưởng nhiều đến việc lựa chọn biện pháp Tính dễ dàng sử dụng: Giao diện cơng nghệ thân thiện với người dùng dẫn đến lỗi người làm cho biện pháp trở nên vơ ích Nên lựa chọn biện pháp kiểm sốt mà cung cấp tối ưu tính dễ sử dụng đạt mức rủi ro tồn đọng chấp nhận nghiệp vụ Các biện pháp kiểm sốt khó sử dụng gây tác động đến hiệu biện pháp, người sử dụng cố ý phá hỏng bỏ qua chúng nhiều tốt Các biện pháp truy cập phức tạp tổ chức khuyến khích người sử dụng tìm đến phương pháp truy cập trái phép để thay Ràng buộc nhân sự: Cần phải xem xét đến tính sẵn sàng chi phí tiền lương nhóm kĩ chuyên môn việc triển khai biện pháp cần xem xét đến khả thuyên chuyển nhân viên vị trí điều kiện làm việc khơng thuận lợi Các chun gia khơng phải lúc sẵn sàng để triển khai biện pháp lên kế hoạch chi phí cho chuyên gia tốn tổ chức Các khía cạnh khác xu hướng vài nhân viên phân biệt với nhân viên khác, người mà khơng thẩm tra an tồn thơng tin, ảnh hưởng lớn đến sách an toàn hoạt động thực tiễn Cũng vậy, nhu cầu thuê người cơng việc tìm người dẫn đến việc tuyển dụng trước hoàn thành việc thẩm tra an tồn thơng tin u cầu việc hồn thành thẩm tra an tồn thơng tin trước tuyển dụng bình thường, thực tiễn an toàn Ràng buộc việc hợp biện pháp biện pháp có: Việc hợp biện pháp vào sở hạ tầng có phụ thuộc lẫn biện pháp thường bị bỏ qua Những biện pháp khơng dễ dàng thực có điểm vơ lí khơng tương thích với biện pháp có Ví dụ, kế hoạch sử dụng thể sinh trắc học cho biện pháp kiểm soát truy cập vật lí gây xung đột với hệ thống nhập mã PIN có Chi phí cho việc thay đổi biện pháp từ biện pháp có sang biện pháp lập kế hoạch cần phải tính đến yếu tố thêm vào tổng chi phí xử lý rủi ro Có thể khơng có khả triển khai biện pháp lựa chọn can thiệp biện pháp có PHỤ LỤC G (Tham khảo) Sự khác biệt định nghĩa ISO/IEC 27005:2008 ISO/IEC 27005:2011 CHÚ THÍCH: Phụ lục dành cho người sử dụng ISO/IEC 27001:2005 Do có khác biệt số thuật ngữ định nghĩa TCVN 9788:2013 ISO/IEC 27001:2005 ISO/IEC 27005:2008, Phụ lục tóm tắt tất thay đổi liên quan LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Thuật ngữ định nghĩa ISO/IEC 27005:2008 Thuật ngữ định nghĩa ISO/IEC 27000:2009 sử dụng ISO/IEC 27005:2008 Thuật ngữ định nghĩa TCVN 9788:2013 sử dụng TCVN ISO/IEC 27005:2011 n/a n/a 3.1 Hậu (consequence) Kết kiện (3.3) gây ảnh hưởng đến mục tiêu tổ chức [TCVN 9788:2013] CHÚ THÍCH 1: Một kiện dẫn đến loại hậu CHÚ THÍCH 2: Một hậu chắn không chắn xảy bối cảnh an tồn thơng tin thường mang nghĩa tiêu cực CHÚ THÍCH 3: Hậu thể dạng định tính định lượng CHÚ THÍCH 4: Hiệu ban đầu gây ảnh hưởng leo thang đến hậu n/a Biện pháp (control) 3.2 Phương pháp quản lý rủi ro, bao Biện pháp kiểm sốt (control) gồm sách, thủ tục, Biện pháp làm thay đổi rủi ro hướng dẫn, phương pháp (3.9) cấu trúc tổ chức, mà quản trị kỹ thuật, quản lý, pháp [TCVN 9788:2013] luật tự nhiên CHÚ THÍCH 1: Biện pháp an tồn CHÚ THÍCH: Biện pháp thơng tin bao gồm quy trình, sử dụng với nghĩa sách, thủ tục, hướng dẫn, biện pháp bảo vệ, biện pháp đối phương pháp cấu trúc tổ chức phó lĩnh vực hành chính, kỹ thuật, quản lý; pháp luật để [TCVN ISO/IEC 27002:2011] thay đổi rủi ro an tồn thơng tin CHÚ THÍCH 2: Biện pháp thay đổi rủi ro khơng phải lúc phát huy tác dụng mong đợi giả định CHÚ THÍCH 3: Biện pháp sử dụng với nghĩa biện pháp bảo vệ biện pháp đối phó n/a n/a 3.3 Sự kiện (event) Sự xuất thay đổi tập hợp tình cụ thể [TCVN 9788:2013] CHÚ THÍCH 1: Một kiện xảy hay nhiều lần nhiều lý khác CHÚ THÍCH 2: Một kiện LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ định nghĩa ISO/IEC 27005:2008 www.luatminhkhue.vn Thuật ngữ định nghĩa ISO/IEC 27000:2009 sử dụng ISO/IEC 27005:2008 Thuật ngữ định nghĩa TCVN 9788:2013 sử dụng TCVN ISO/IEC 27005:2011 bao gồm việc không xảy CHÚ THÍCH 3: Một kiện đơi dùng theo nghĩa “sự cố” hay “sự rủi ro” n/a n/a 3.4 Bối cảnh bên (external context) Mơi trường bên ngồi nơi mà tổ chức theo đuổi để đạt mục tiêu [TCVN 9788:2013] CHÚ THÍCH: Bối cảnh bên ngồi bao gồm: - mơi trường văn hóa, xã hội, trị, pháp lý, quy định, tài chính, cơng nghệ, kinh tế, môi trường tự nhiên môi trường cạnh tranh, phạm vi quốc tế, quốc gia, khu vực địa phương; - xu hướng động lực tác động đến mục tiêu tổ chức - mối quan hệ, nhận thức giá trị bên liên quan bên ngồi tổ chức 3.1 Thuật ngữ bị lược bỏ Tác động (impact) Thay đổi bất lợi tới mức mục tiêu nghiệp vụ 3.2 Thuật ngữ bị lược bỏ (xem CHÚ THÍCH theo 3.9) Rủi ro an tồn thơng tin (information security risk) Khả mối đe dọa có khai thác điểm yếu an tồn thơng tin một nhóm tài sản gây hại cho tổ chức CHÚ THÍCH: Thuật ngữ hiểu theo nghĩa kết hợp khả xảy kiện hậu n/a n/a 3.5 Bối cảnh nội (internal context) Môi trường nội nơi mà tổ chức theo đuổi để đạt mục tiêu [TCVN 9788:2013] LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ định nghĩa ISO/IEC 27005:2008 www.luatminhkhue.vn Thuật ngữ định nghĩa ISO/IEC 27000:2009 sử dụng ISO/IEC 27005:2008 Thuật ngữ định nghĩa TCVN 9788:2013 sử dụng TCVN ISO/IEC 27005:2011 CHÚ THÍCH: Bối cảnh nội bao gồm: - quản trị, cấu trúc tổ chức, vai trò trách nhiệm giải trình; - sách, mục tiêu chiến lược tổ chức đưa để đạt mục đích; - lực, hiểu nguồn lực tri thức (Ví dụ nguồn vốn, thời gian, người, quy trình, hệ thống công nghệ); - hệ thống thông tin, luồng thơng tin quy trình đưa định (cả thức khơng thức); - mối quan hệ với bên liên quan bên tổ chức nhận thức giá trị bên liên quan bên tổ chức đó; - văn hóa tổ chức; - tiêu chuẩn, hướng dẫn mơ hình mà tổ chức tn thủ - hình thức phạm vi mối quan hệ hợp đồng n/a n/a 3.6 Mức rủi ro (level of risk) Tính chất nghiêm trọng rủi ro (3.9) hiểu theo nghĩa kết hợp hậu (3.1) khả xảy (3.7) kiện [TCVN 9788:2013] n/a n/a 3.7 Khả xảy (likelihood) Cơ hội xảy kiện [TCVN 9788:2013] CHÚ THÍCH 1: Trong thuật ngữ quản lý rủi ro, từ “khả năng” xảy thường dùng để hội xảy kiện, định nghĩa, đo lường hay xác định cách chủ quan hay khách quan, dạng định tính hay định lượng mơ tả cách sử dụng thuật ngữ chung toán học (như xác suất tần suất khoảng thời gian định) CHÚ THÍCH 2: Thuật ngữ “khả xảy ra” có nghĩa tương đương với LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ định nghĩa ISO/IEC 27005:2008 www.luatminhkhue.vn Thuật ngữ định nghĩa ISO/IEC 27000:2009 sử dụng ISO/IEC 27005:2008 Thuật ngữ định nghĩa TCVN 9788:2013 sử dụng TCVN ISO/IEC 27005:2011 thuật ngữ “xác suất” Tuy nhiên thuật ngữ “xác suất” thường hiểu theo nghĩa hẹp thuật ngữ toán học Do đó, thuật ngữ quản lý rủi ro, “khả xảy ra” thường sử dụng với mục đích giải thích thuật ngữ “xác suất” n/a Rủi ro tồn đọng (residual risk) 3.8 Rủi ro tồn đọng sau xử lý rủi ro Rủi ro tồn đọng (residual risk) [TCVN ISO/IEC 27001:2009] Rủi ro (3.9) lại sau xử lý rủi ro (3.17) [TCVN 9788:2013] CHÚ THÍCH 1: Rủi ro tồn đọng gồm rủi ro chưa nhận biết CHÚ THÍCH 2: Rủi ro tồn đọng gọi “rủi ro giữ lại” Rủi ro (risk) 3.9 Sự kết hợp khả Rủi ro (risk) kiện hậu Ảnh hưởng không chắn kiện đến mục tiêu [TCVN ISO/IEC 27002:2011) [TCVN 9788:2013] CHÚ THÍCH 1: Một ảnh hưởng sai lệch so với kỳ vọng - kết ảnh hưởng tích cực hay tiêu cực CHÚ THÍCH 2: Những mục tiêu có khía cạnh khác (như khía cạnh tài chính, y tế an tồn, an tồn thơng tin mục tiêu mơi trường) áp dụng mức khác (như chiến lược, tổ chức mở rộng, dự án, sản phẩm quy trình) CHÚ THÍCH 3: Rủi ro thường đặc trưng kiện (3.3) hậu (3.1) tiềm ẩn kết hợp chúng CHÚ THÍCH 4: Rủi ro an tồn thơng tin thường thể kết hợp hậu kiện an tồn thơng tin khả xảy kèm theo CHÚ THÍCH 5: Sự khơng chắn tình trạng thiếu thơng tin liên quan tới việc hiểu biết nhận thức kiện, hiệu hay khả xảy kiện CHÚ THÍCH 6: Rủi ro an tồn thơng tin liên quan đến tiềm ẩn mà LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ định nghĩa ISO/IEC 27005:2008 www.luatminhkhue.vn Thuật ngữ định nghĩa ISO/IEC 27000:2009 sử dụng ISO/IEC 27005:2008 Thuật ngữ định nghĩa TCVN 9788:2013 sử dụng TCVN ISO/IEC 27005:2011 mối đe dọa khai thác điểm yếu một nhóm tài sản thơng tin gây thiệt hại tổ chức n/a Phân tích rủi ro (risk analysis) 3.10 Việc sử dụng có hệ thống Phân tích rủi ro (risk analysis) thơng tin để nhận biết nguồn gốc Quy trình để hiểu chất rủi ro ước lượng rủi ro xác định mức rủi ro (3.6) CHÚ THÍCH: Phân tích rủi ro [TCVN 9788:2013] cung cấp tảng cho ước lượng rủi ro, xử lý rủi ro chấp CHÚ THÍCH 1: Phân tích rủi ro cung nhận rủi ro cấp sở cho việc ước lượng rủi ro định cách xử lý rủi ro [TCVN ISO/IEC 27001:2009] CHÚ THÍCH 2: Phân tích rủi ro bao gồm ước đoán rủi ro Đánh giá rủi ro (risk assessment) 3.11 Đánh giá rủi ro (risk asseasment) Quy trình tổng thể bao gồm Quy trình tổng thể bao gồm nhận phân tích rủi ro ước lượng rủi biết rủi ro (3.15), phân tích rủi ro ro (3.10) ước lượng rủi ro (3.14) [TCVN ISO/IEC 27001:2009] [TCVN 9788:2013] 3.3 Tránh rủi ro (risk avoidance) Thuật ngữ bao hàm thuật ngữ Xử lý rủi ro Quyết định để không xảy hành động để tránh tình rủi ro an tồn thơng tin [ISO/IEC Guide 73:2002] 3.4 3.12 Truyền thơng rủi ro (risk communication) Truyền thông tư vấn rủi ro (risk communication and consultation) Sự trao đổi chia sẻ thông tin rủi ro người định thành phần tham gia khác Những quy trình liên tục lặp lặp lại mà tổ chức tiến hành để cung cấp, chia sẻ hay thu nhận thông tin tiến hành đối thoại với bên liên quan (3.18) quản lý rủi ro (3.9) [ISO/IEC Guide 73:2002) [TCVN 9788:2013] CHÚ THÍCH 1: Thơng tin liên quan đến tồn tại, chất, hình thức, khả xảy ra, tầm quan trọng, việc ước lượng, khả chấp nhận xử lý rủi ro CHÚ THÍCH 2: Tư vấn quy trình truyền thơng hai chiều tổ chức với bên liên quan vấn đề trước đưa định xác định định hướng vấn đề Tư vấn là: LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ định nghĩa ISO/IEC 27005:2008 www.luatminhkhue.vn Thuật ngữ định nghĩa ISO/IEC 27000:2009 sử dụng ISO/IEC 27005:2008 Thuật ngữ định nghĩa TCVN 9788:2013 sử dụng TCVN ISO/IEC 27005:2011 - quy trình tác động đến định thơng qua ảnh hưởng thông qua quyền lực; - đầu vào để định, không tham gia vào trình định n/a n/a 3.13 Tiêu chí rủi ro (risk criteria) Điều khoản tham chiếu mà dựa vào để ước lượng mức nghiêm trọng rủi ro (3.9) [TCVN 9788:2013] CHÚ THÍCH 1: Tiêu chí rủi ro dựa vào mục tiêu, bối cảnh nội bối cảnh bên tổ chức CHÚ THÍCH 2: Tiêu chí rủi ro bắt nguồn từ tiêu chuẩn, luật, sách yêu cầu khác 3.5 Thuật ngữ bị lược bỏ Ước đốn rủi ro (risk estimation) Quy trình ấn định giá trị cho khả xuất hậu rủi ro [ISO/IEC Guide 73:2002] CHÚ THÍCH 1: Trong bối cảnh tiêu chuẩn này, thuật ngữ “activity” sử dụng thay cho thuật ngữ “process” ước lượng rủi ro CHÚ THÍCH 2: Trong bối cảnh tiêu chuẩn này, thuật ngữ “likelihood” sử dụng thay cho thuật ngữ “probability” ước lượng rủi ro n/a Ước lượng rủi ro (risk evaluation) Quy trình đối chiếu rủi ro ước đốn với tiêu chí rủi ro cho trước để xác định tầm ảnh hưởng rủi ro [TCVN ISO/IEC 27001:2009] 3.14 Ước lượng rủi ro (risk evaluation) Quy trình đối chiếu kết việc phân tích rủi ro (3.10) với tiêu chí rủi ro (3.13) để xác định xem rủi ro và/hoặc mức nghiêm trọng rủi ro chấp nhận chịu đựng hay không [TCVN 9788:2013] CHÚ THÍCH: Ước lượng rủi ro hỗ trợ việc định cách xử lý rủi ro 3.6 3.15 Nhận biết rủi ro (risk Nhận biết rủi ro (risk LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ định nghĩa ISO/IEC 27005:2008 www.luatminhkhue.vn Thuật ngữ định nghĩa ISO/IEC 27000:2009 sử dụng ISO/IEC 27005:2008 Thuật ngữ định nghĩa TCVN 9788:2013 sử dụng TCVN ISO/IEC 27005:2011 identification) identification) Quy trình tìm kiếm, liệt kê đưa yếu tố đặc tính rủi ro (ISO/IEC Guide 73:2002) Quy trình tìm kiếm, nhận dạng mơ tả rủi ro [TCVN 9788:2013] CHÚ THÍCH: Trong bối cảnh tiêu chuẩn này, thuật ngữ “activity” sử dụng thay cho thuật ngữ “process” việc nhận biết rủi ro CHÚ THÍCH 1: Nhận biết rủi ro bao gồm nhận biết nguồn gốc rủi ro, kiện, nguyên nhân hậu tiềm ẩn chúng CHÚ THÍCH 2: Nhận biết rủi ro liên quan đến liệu khứ, phân tích lý thuyết, thơng tin ý kiến chun mơn nhu cầu bên liên quan n/a Quản lý rủi ro (risk management) 3.16 Quản lý rủi ro (risk management) Các hoạt động điều phối để Hoạt động phối hợp vấn đề rủi ro đạo kiểm soát tổ chức vấn để điều hành kiểm soát tổ chức đề rủi ro [TCVN 9788:2013] CHÚ THÍCH: Tiêu chuẩn sử dụng thuật ngữ “quy trình” để mô tả tổng quan việc quản lý rủi ro Các yếu tố bên quy định quản lý rủi ro gọi “các hoạt động” 3.7 Giảm nhẹ rủi ro (risk reduction) Thuật ngữ thay thuật ngữ “|thay đổi rủi ro” bao hàm thuật ngữ “xử lý rủi ro” Các hành động để giảm khả xảy ra, hậu tiêu cực, hai, có liên quan đến rủi ro [ISO/IEC Guide 73:2002] CHÚ THÍCH: Trong bối cảnh tiêu chuẩn này, thuật ngữ “likelihood” sử dụng thay cho thuật ngữ “probability” giảm nhẹ rủi ro 3.8 Duy trì rủi ro (risk retention) Thuật ngữ bao hàm thuật ngữ “xử lý rủi ro” Việc chấp nhận gánh nặng thiệt hại lợi ích thu từ việc trì rủi ro cụ thể [ISO/IEC Guide 73:2002] CHÚ THÍCH: Trong bối cảnh rủi ro an tồn thơng tin, hậu tiêu cực (các thiệt hại) xem xét trì rủi ro 3.9 Truyền rủi ro (risk transfer) Thuật ngữ thay thuật ngữ “chia sẻ rủi ro” bao hàm thuật ngữ “xử lý LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ định nghĩa ISO/IEC 27005:2008 www.luatminhkhue.vn Thuật ngữ định nghĩa ISO/IEC 27000:2009 sử dụng ISO/IEC 27005:2008 Việc chia sẻ với bên khác gánh nặng thiệt hại lợi ích thu từ rủi ro Thuật ngữ định nghĩa TCVN 9788:2013 sử dụng TCVN ISO/IEC 27005:2011 rủi ro” CHÚ THÍCH: Trong bối cảnh rủi ro an tồn thơng tin, hậu tiêu cực (các thiệt hại) xem xét truyền rủi ro n/a Xử lý rủi ro (risk treatment) 3.17 Quy trình lựa chọn triển khai Xử lý rủi ro (risk treatment) biện pháp thay đổi rủi ro Quá trình điều chỉnh rủi ro CHÚ THÍCH: Trong tiêu chuẩn [TCVN 9788:2013] thuật ngữ “control” (biện pháp) sử dụng tương CHÚ THÍCH 1: Xử lý rủi ro đương với thuật ngữ “measure” liên quan đến việc: [TCVN ISO/IEC 27001:2009] - tránh rủi ro cách định không bắt đầu tiếp tục việc hoạt động làm tăng thêm rủi ro; - chấp nhận làm tăng rủi ro để theo đuổi hội; - loại bỏ nguồn gốc rủi ro; - thay đổi khả xảy ra; - thay đổi hậu quả; - chia sẻ rủi ro với bên hay nhiều bên khác (bao gồm hợp đồng gây quỹ bồi thường rủi ro - Duy trì rủi ro lựa chọn có hiểu biết CHÚ THÍCH 2: Xử lý rủi ro để giải hậu tiêu cực gọi “giảm nhẹ rủi ro”, “loại bỏ rủi ro”, “ngăn chặn rủi ro” “giảm bớt rủi ro” CHÚ THÍCH 3: xử lý rủi ro tạo rủi ro làm thay đổi rủi ro có n/a n/a 3.18 Bên liên quan (stakeholder) Cá nhân hay tổ chức gây ảnh hưởng, bị ảnh hưởng, nhận thấy bị ảnh hưởng định hay hành động [TCVN 9788:2013] CHÚ THÍCH: Người đưa định bên liên quan Mối đe dọa (threat) Một nguyên nhân tiềm ẩn từ cố không mong muốn, gây hại cho hệ thống tổ Áp dụng định nghĩa ISO/IEC 27000:2009 LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ định nghĩa ISO/IEC 27005:2008 www.luatminhkhue.vn Thuật ngữ định nghĩa ISO/IEC 27000:2009 sử dụng ISO/IEC 27005:2008 Thuật ngữ định nghĩa TCVN 9788:2013 sử dụng TCVN ISO/IEC 27005:2011 chức LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn THƯ MỤC TÀI LIỆU THAM KHẢO [1] ISO/IEC 27005:2011, Information technology - Security techniques - Information security risk management [2] ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary [3] TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Các u cầu [4] TCVN ISO/IEC 27002:2011, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin [5] TCVN 9788:2013, Quản lý rủi ro - Từ vựng [6] ISO/IEC 16085:2006, Systems and software engineering - Life cycle processes - Risk management [7] AS/NZS 4360:2004, Risk Management [8] NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook [9] NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology MỤC LỤC Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Cấu trúc tiêu chuẩn Thông tin Tổng quan quy trình quản lý rủi ro an tồn thơng tin Thiết lập bối cảnh 7.1 Xem xét chung 7.2 Tiêu chí 7.2.1 Phương pháp tiếp cận quản lý rủi ro 7.2.2 Tiêu chí ước lượng rủi ro 7.2.3 Tiêu chí tác động 7.2.4 Tiêu chí chấp nhận rủi ro 7.3 Phạm vi giới hạn 7.4 Tổ chức quản lý rủi ro an tồn thơng tin Đánh giá rủi ro an tồn thông tin 8.1 Mô tả chung đánh giá rủi ro an tồn thơng tin 8.2 Nhận biết rủi ro 8.2.1 Giới thiệu nhận biết rủi ro 8.2.2 Nhận biết tài sản 8.2.3 Nhận biết mối đe dọa 8.2.4 Nhận biết biện pháp có 8.2.5 Nhận biết điểm yếu 8.2.6 Nhận biết hậu 8.3 Phân tích rủi ro LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 8.3.1 Các phương pháp phân tích rủi ro 8.3.2 Đánh giá hậu 8.3.3 Đánh giá khả xảy cố 8.3.4 Xác định mức rủi ro 8.4 Ước lượng rủi ro Xử lý rủi ro an tồn thơng tin 9.1 Mơ tả chung xử lý rủi ro 9.2 Thay đổi rủi ro 9.3 Duy trì rủi ro 9.4 Tránh rủi ro 9.5 Chia sẻ rủi ro 10 Chấp nhận rủi ro an tồn thơng tin 11 Truyền thơng tư vấn rủi ro an tồn thơng tin 12 Giám sát sốt xét rủi ro an tồn thơng tin 12.1 Giám sát soát xét yếu tố rủi ro 12.2 Giám sát soát xét cải tiến quản lý rủi ro Phụ lục A (Tham khảo): Xác định phạm vi giới hạn quy trình quản lý rủi ro an tồn thơng tin Phụ lục B (Tham khảo): Nhận biết, định giá tài sản đánh giá tác động Phụ lục C (Tham khảo): Ví dụ mối đe dọa điển hình Phụ lục D (Tham khảo): Các điểm yếu phương pháp đánh giá điểm yếu Phụ lục E (Tham khảo): Các phương pháp tiếp cận đánh giá rủi ro an tồn thơng tin Phụ lục F (Tham khảo): Các ràng buộc thay đổi rủi ro Phụ lục G (Tham khảo): Sự khác biệt định nghĩa ISO/IEC 27005:2008 ISO/IEC 27005:2011 Thư mục tài liệu tham khảo LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162