Microsoft Word 200831 ISO 27001 2013 Vi docx Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu 1 | P a g e ISO 27000 2018 – Chuyển ngữ Nguyễn Thế Hùng –.
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu TIÊU CHUẨN ISO 27001:2013(E) MỤC LỤC Lời tựa Giới thiệu 0.1 Tổng quan 0.2 Tính tương thích với tiêu chuẩn hệ thống quản lý khác Phạm vi Quy phạm tham chiếu Khái niệm định nghĩa Bối cảnh tổ chức 5 4.1 Hiểu tổ chức bối cảnh 4.2 Hiểu nhu cầu kỳ vọng bên liên quan 4.3 Xác định phạm vi hệ thống quản lý bảo mật thông tin 4.4 Hệ thống quản lý bảo mật thông tin Lãnh đạo 5.1 Lãnh đạo cam kết 5.2 Chính sách 5.3 Các vai trò, trách nhiệm thẩm quyền tổ chức Hoạch định 6.1 6.1.1 Tổng quan 6.1.2 Đánh giá rủi ro bảo mật thông tin 6.1.3 Xử lý rủi ro bảo mật thông tin 6.2 Các hành động để giải rủi ro hội Các mục tiêu bảo mật thông tin hoạch định để đạt chúng Hỗ trợ 7.1 Tài nguyên 7.2 Trình độ chun mơn 7.3 Nhận thức 7.4 Truyền thông 7.5 Thông tin lập thành văn 7.5.1 Tổng quan 7.5.2 Tạo cập nhật 10 7.5.3 Kiểm sốt thơng tin lập thành văn 10 Vận hành 10 1|Page ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu 8.1 Hoạch định kiểm soát vận hành 10 8.2 Đánh giá rủi ro bảo mật thông tin 11 8.3 Xử lý rủi ro bảo mật thông tin 11 Đánh giá hiệu suất 11 9.1 Giám sát, đo lường, phân tích đánh giá 11 9.2 Kiểm toán nội 12 9.3 Đánh giá cấp quản lý 12 10 Cải thiện 13 10.1 Không tuân thủ hành động khắc phục 13 10.2 Liên tục cải tiến 13 Phụ lục A (quy phạm) 14 Các kiểm soát mục tiêu kiểm soát tham chiếu 14 Nguồn tham khảo 33 2|Page ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu Lời tựa ISO (Tổ chức Quốc tế Tiêu chuẩn hóa) IEC (Ủy ban Quốc tế Kỹ thuật điện) định hình hệ thống chun mơn hóa cho việc tiêu chuẩn hóa tồn cầu Các quốc gia thành viên thành viên ISO IEC tham gia vào việc phát triển Tiêu chuẩn Quốc tế thông qua tiểu ban kỹ thuật thiết lập tổ chức tương ứng để xử lý lĩnh vực cụ thể hoạt động kỹ thuật Các tiểu ban kỹ thuật ISO IEC cộng tác lĩnh vực có mối quan tâm lẫn Các tổ chức quốc tế khác, phủ phi phủ, mối liên hệ với ISO IEC, đóng góp phần cơng việc Trong lĩnh vực cơng nghệ thông tin, ISO IEC thiết lập tiểu ban kỹ thuật chung gọi ISO/IEC JT1 Các Tiêu chuẩn Quốc tế phác thảo tương xứng với quy tắc đưa Định hướng ISO/IEC, Phần Công việc chủ yếu tiểu ban kỹ thuật liên hợp chuẩn bị Tiêu chuẩn Quốc tế Phác thảo Tiêu chuẩn Quốc tế thông qua tiểu ban kỹ thuật liên hợp lưu hành quốc gia thành viên để bỏ phiếu Việc cơng bố Tiêu chuẩn Quốc tế địi hỏi phải phê duyệt 75% số quốc gia thành viên tham gia bỏ phiếu Cần lưu ý đến khả vài thành phần tài liệu đối tượng quyền sáng chế ISO IEC không chịu trách nhiệm cho việc xác định toàn quyền sáng chế Phiên thứ hai hủy bỏ thay phiên (ISO/IEC 27001:2005), sửa đổi mặt kỹ thuật Giới thiệu 0.1 Tổng quan Tiêu chuẩn Quốc tế chuẩn bị để cung cấp yêu cầu việc thiết lập, triển khai, trì liên tục cải tiến hệ thống quản lý bảo mật thông tin Việc thông qua hệ thống quản lý bảo mật thông tin định chiến lược tổ chức Thiết lập triển khai hệ thống quản lý bảo mật thông tin tổ chức chịu ảnh hưởng nhu cầu mục tiêu tổ chức, yêu cầu bảo mật, quy trình thuộc tổ chức sử dụng quy mô cấu trúc tổ chức Tất yếu tố ảnh hưởng nói dự kiến thay đổi theo thời gian Hệ thống quản lý bảo mật thông tin giữ gìn tính bảo mật, tồn vẹn sẵn sàng thơng tin cách áp dụng quy trình quản lý rủi ro đem lại niềm tin cho bên liên quan rủi ro quản lý cách thích đáng Điều quan trọng hệ thống quản lý bảo mật thông tin phần tích hợp với quy trình cấu trúc quản lý tổng thể tổ chức, 3|Page ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu bảo mật thông tin xem xét giai đoạn thiết kế quy trình, hệ thống thơng tin kiểm sốt Việc triển khai hệ thống quản lý bảo mật thông tin dự kiến mở rộng cách tương xứng với nhu cầu tổ chức Tiêu chuẩn Quốc tế sử dụng bên nội bên để đánh giá khả đáp ứng tổ chức u cầu bảo mật thơng tin Thứ tự trình bày yêu cầu Tiêu chuẩn Quốc tế không phản ảnh tầm quan trọng chúng ngụ ý thứ tự mà chúng triển khai Danh sách mục liệt kê cho mục đích tham khảo ISO/IEC 27000 mơ tả tổng quan từ vựng hệ thống quản lý bảo mật thông tin, tham chiếu đến họ tiêu chuẩn hệ thống quản lý bảo mật thông tin (bao gồm ISO/IEC 27003 ( ) ,ISO/IEC 27004 ( ) ISO/IEC 27005 ( ) , với thuật ngữ định nghĩa có liên quan 0.2 Tính tương thích với tiêu chuẩn hệ thống quản lý khác Tiêu chuẩn Quốc tế áp dụng cấu trúc cấp cao, tiêu đề điều khoản phụ giống nhau, văn giống nhau, thuật ngữ phổ biến, các định nghĩa cốt lõi xác định Phụ lục SL Định hướng ISO/IEC, Phần 1, Bổ sung ISO hợp nhất, đó, trì khả tương thích với tiêu chuẩn hệ thống quản lý khác mà thông qua Phụ lục SL Phương pháp tiếp cận phổ biến xác định Phụ lục SL hữu ích cho tổ chức lựa chọn vận hành hệ thống quản lý đơn lẻ đáp ứng yêu cầu hai tiêu chuẩn hệ thống quản lý nhiều Phạm vi Tiêu chuẩn Quốc tế định yêu cầu thiết lập, triển khai, trì liên tục cải tiến hệ thống quản lý bảo mật thông tin bối cảnh tổ chức Tiêu chuẩn Quốc tế bao gồm yêu cầu đánh giá xử lý rủi ro bảo mật thông tin thay đổi tùy theo nhu cầu tổ chức Những yêu cầu thiết lập Tiêu chuẩn Quốc tế phổ quát dự định áp dụng cho tất tổ chức, loại hình, quy mơ chất Việc loại trừ yêu cầu định Điều đến Điều 10 chấp nhận tổ chức khẳng định tuân thủ Tiêu chuẩn Quốc tế Quy phạm tham chiếu Tài liệu đây, toàn thể phần, quy phạm tham chiếu tài liệu khơng thể thiếu cho việc ứng dụng (Tiêu chuẩn – người dịch) Đối với tham chiếu lỗi thời, áp dụng phiên viện dẫn Đối với tham chiếu chưa lỗi thời, phiên tài liệu tham chiếu (bao gồm điều chỉnh nào) áp dụng 4|Page ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu ISO/IEC 27000, Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Tổng quan từ vựng Khái niệm định nghĩa Đối với mục đích tải liệu này, thuật ngữ định nghĩa đưa ISO/IEC 27000 áp dụng Bối cảnh tổ chức 4.1 Hiểu tổ chức bối cảnh Tổ chức phải xác định vấn đề nội bên ngồi có liên quan đến mục đích minh ảnh hưởng đến khả đạt (những) kết dự định hệ thống quản lý bảo mật thông tin LƯU Ý: Việc xác định vấn đề nói liên quan tới việc thiết lập bối cảnh nội bên tổ chức xem xét Điều 5.3 ISO 31000:2009 ( ) 4.2 Hiểu nhu cầu kỳ vọng bên liên quan Tổ chức phải xác định: a) bên liên quan có liên quan tới hệ thống quản lý bảo mật thông tin, b) yêu cầu bên liên quan có liên quan tới bảo mật thông tin LƯU Ý: Những yêu cầu bên liên quan bao gồm yêu cầu pháp lý quy định nghĩa vụ hợp đồng 4.3 Xác định phạm vi hệ thống quản lý bảo mật thông tin Tổ chức phải xác định ranh giới khả áp dụng hệ thống quản lý bảo mật thông tin để thiết lập phạm vi (hệ thống quản lý bảo mật thông tin) Khi xác định phạm vi, tổ chức phải cân nhắc: a) vấn đề nội bên đề cập đến 4.1; b) yêu cầu đề cập đến 4.2; c) giao diện phụ thuộc hành động hoàn thành tổ chức, hành động hoàn thành tổ chức khác Phạm vi phải sẵn sàng dạng thông tin lập thành văn 4.4 Hệ thống quản lý bảo mật thông tin Tổ chức phải thiết lập, triển khai, trì liên tục cải tiến hệ thống quản lý bảo mật thông tin, tương xứng với yêu cầu Tiêu chuẩn Quốc tế 5|Page ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu Lãnh đạo 5.1 Lãnh đạo cam kết Cấp quản lý hàng đầu phải chứng minh khả lãnh đạo cam kết với tôn trọng hệ thống quản lý bảo mật thông tin biện pháp sau: a) đảm bảo sách bảo mật thông tin mục tiêu bảo mật thông tin thiết lập tương thích với định hướng chiến lược tổ chức; b) đảm bảo tích hợp yêu cầu hệ thống quản lý bảo mật thơng tin vào quy trình tổ chức; c) đảm bảo tài nguyên cần thiết cho hệ thống quản lý bảo mật thông tin sẵn sàng; d) truyền thông tầm quan trọng quản lý bảo mật thông tin hiệu việc tuân thủ yêu cầu hệ thống quản lý bảo mật thông tin; e) đảm bảo hệ thống quản lý bảo mật thông tin đạt (các) kết dự định nó; f) định hướng hỗ trợ nhân viên để đóng góp cho tính hiệu hệ thống quản lý bảo mật thông tin; g) thúc đẩy cải tiến liên tục, h) hỗ trợ vai trò quản lý liên quan việc chứng minh khả lãnh đạo họ áp dụng khu vực trách nhiệm 5.2 Chính sách Cấp quản lý hàng đầu phải thiết lập sách bảo mật thông tin mà: a) phù hợp với mục đích tổ chức; b) bao gồm mục tiêu bảo mật thông tin (xem 6.2) cung cấp khuôn khổ để thiết lập mục tiêu bảo mật thông tin; c) bao gồm cam kết để đáp ứng yêu cầu áp dụng có liên quan tới bảo mật thông tin; d) bao gồm cam kết để liên tục cải tiến hệ thống quản lý bảo mật thơng tin Chính sách bảo mật thông tin phải: a) sẵn sàng dạng thông tin lập thành văn bản; b) truyền thông tổ chức; c) sẵn sàng cho bên liên quan, phù hợp 5.3 Các vai trò, trách nhiệm thẩm quyền tổ chức Cấp quản lý hàng đầu phải đảm bảo trách nhiệm thẩm quyền cho vai trò liên quan tới bảo mật thông tin định truyền đạt Cấp quản lý hàng đầu phải định trách nhiệm quyền hạn cho việc: a) đảm bảo hệ thống quản lý bảo mật thông tin tuân thủ yêu cầu Tiêu chuẩn Quốc tế này; b) báo cáo hiệu suất hệ thống quản lý bảo mật thông tin cho cấp quản lý hàng đầu 6|Page ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu LƯU Ý: Cấp quản lý hàng đầu định trách nhiệm quyền hạn cho việc báo cáo hiệu suất hệ thống quản lý bảo mật thông tin tổ chức Hoạch định 6.1 Các hành động để giải rủi ro hội 6.1.1 Tổng quan Khi hoạch định hệ thống quản lý bảo mật thông tin, tổ chức phải cân nhắc vấn đề đề cập đến 4.1 yêu cầu đề cập đến 4.2 xác định rủi ro hội cần phải giải để: a) đảm bảo hệ thống quản lý bảo mật thông tin đạt (các) kết dự định nó; b) ngăn chặn, giảm thiểu, hiệu ứng không mong muốn; c) đạt cải tiến liên tục Tổ chức phải lên kế hoạch: a) hành động để giải rủi ro hội đó; b) cách thức để tích hợp triển khai hành động vào quy trình hệ thống quản lý bảo mật thông tin; đánh giá tính hiệu hành động 6.1.2 Đánh giá rủi ro bảo mật thông tin Tổ chức phải xác định áp dụng quy trình đánh giá rủi ro bảo mật thông tin mà: a) thiết lập trì tiêu chí rủi ro bảo mật thơng tin có bao gồm: tiêu chí chấp thuận rủi ro; tiêu chí việc hồn thành đánh giá rủi ro bảo mật thông tin; b) đảm bảo đánh giá rủi ro bảo mật thơng tin lặp lại có kết quán, vững so sánh được; c) xác định rủi ro bảo mật thông tin: áp dụng quy trình đánh giá rủi ro bảo mật thông tin để xác định rủi ro tương ứng với mát tính bảo mật, tồn vẹn sẵn sàng thông tin pham vi hệ thống quản lý bảo mật thông tin; xác định chủ sở hữu rủi ro; d) phân tích rủi ro bảo mật thông tin: đánh giá hậu tiềm tàng mà kết việc rủi ro xác định 6.1.2 c) 1) trở thành thực; đánh giá khả xảy thực tế rủi ro xác định 6.1.2 c) 1); xác định mức độ rủi ro; e) đánh giá rủi ro bảo mật thông tin: so sánh kết phân tích rủi ro với tiêu chí rủi ro thiết lập 6.1.2 a); thiết lập độ ưu tiên rủi ro phân tích để xử lý rủi ro Tổ chức phải giữ lại thông tin lập thành văn quy trình đánh giá rủi ro bảo mật thơng tin 7|Page ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu 6.1.3 Xử lý rủi ro bảo mật thông tin Tổ chức phải xác định áp dụng quy trình xử lý rủi ro bảo mật thông tin để: a) lựa chọn biện pháp xử lý rủi ro bảo mật thông tin phù hợp, có tính đến kết đánh giá rủi ro; b) xác định kiểm soát cần thiết để triển khai (các) lựa chọn xử lý bảo mật thông tin chọn; LƯU Ý: Các tổ chức thiết kế kiểm soát theo yêu cầu xác định chúng từ nguồn c) so sánh kiểm soát xác định 6.1.3 b) nêu với điều Phụ lục A xác minh khơng có kiểm sốt cần thiết bị bỏ sót; LƯU Ý 1: Phụ lục A bao gồm danh sách tồn diện mục tiêu kiểm sốt kiểm soát Người sử dụng Tiêu chuẩn Quốc tế chuyển hướng tới Phụ lục A để đảm bảo khơng có kiểm sốt cần thiết bị bỏ sót LƯU Ý 2: Các mục tiêu kiểm sốt có ẩn ý bao gồm kiểm sốt chọn Các mục tiêu kiểm soát kiểm sốt liệt kê Phụ lục A khơng đầy đủ cần đến mục tiêu kiểm soát kiểm soát bổ sung d) đưa Tuyên bố khả áp dụng có bao gồm kiểm soát cần thiết (xem 6.1.3 b) c)) lý giải cho bao gồm, chúng có triển khai hay khơng, lý giải loại trừ kiểm soát từ Phụ lục A; e) trình bày rõ ràng kế hoạch xử lý rủi ro bảo mật thông tin; f) đạt phê duyệt chủ sở hữu rủi ro kế hoạch xử lý rủi ro mức chấp thuận rủi ro bảo mật thông tin tồn dư Tổ chức phải tiếp tục giữ thơng tin lập thành văn quy trình xử lý rủi ro bảo mật thông tin LƯU Ý: Quy trình đánh giá xử lý rủi ro bảo mật thông tin Tiêu chuẩn Quốc tế liên kết với nguyên tắc hướng dẫn tổng quát cung cấp ISO 31000 ( ) 6.2 Các mục tiêu bảo mật thông tin hoạch định để đạt chúng Tổ chức phải thiết lập mục tiêu bảo mật thông tin chức mức độ liên quan Các mục tiêu bảo mật thơng tin phải: a) qn với sách bảo mật thơng tin; b) đo lường (nếu thực tế); c) tính đến yêu cầu bảo mật thơng tin áp dụng được, kết từ đánh giá xử lý rủi ro; d) truyền thông; e) cập nhật phù hợp 8|Page ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu Khi hoạch định cách để đạt mục tiêu bảo mật thông tin, tổ chức phải xác định: a) hoàn thành; b) tài nguyên yêu cầu; c) chịu trách nhiệm; d) hồn thành; e) kết đánh Hỗ trợ 7.1 Tài nguyên Tổ chức phải xác định cung cấp tài nguyên cần thiết cho việc thiết lập, triển khai, trì liên tục cải tiến hệ thống quản lý bảo mật thơng tin 7.2 Trình độ chun mơn Tổ chức phải: a) xác định trình độ chuyên môn cần thiết (các) nhân viên thực cơng việc kiểm sốt mà có ảnh hưởng đến hiệu suất bảo mật thông tin; b) đảm bảo nhân viên có lực sở đào tạo, giáo dục, kinh nghiệm phù hợp; c) có thể; thực hành động để đạt lực cần thiết, đánh giá tính hiệu hành động thực hiện; d) lưu giữ thông tin lập thành văn chứng lực LƯU Ý: Những hành động áp dụng bao gồm, ví dụ: cung cấp đào tạo, cố vấn, tái phân công nhân viên tại, thuê ký hợp đồng với nhân viên có lực 7.3 Nhận thức Nhân viên thực công việc kiểm soát tổ chức phải nhận thức về: a) sách bảo mật thơng tin; b) đóng góp họ cho hiệu suất hệ thống quản lý bảo mật thông tin, bao gồm lợi ích hiệu suất bảo mật thông tin cải thiện; c) hệ việc không tuân thủ yêu cầu hệ thống quản lý bảo mật thông tin 7.4 Truyền thông Tổ chức phải xác định nhu cầu truyền thơng nội bên ngồi có liên quan tới hệ thống quản lý bảo mật thông tin, bao gồm: a) truyền thơng; b) truyền thơng; c) truyền thơng cho ai; d) truyền thơng; e) quy trình mà bị ảnh hưởng (sự) truyền thông 7.5 Thông tin lập thành văn 7.5.1 Tổng quan Hệ thống quản lý bảo mật thông tin tổ chức phải bao gồm: 9|Page ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu a) thông tin lập thành văn yêu cầu Tiêu chuẩn Quốc tế này; b) thông tin lập thành văn tổ chức xác định cần thiết cho tính hiệu hệ thống quản lý bảo mật thông tin LƯU Ý: Mức độ thông tin lập thành văn cho hệ thống quản lý bảo mật thơng tin khác tổ chức, vì: 1) quy mô tổ chức, kiểu hoạt đồng, quy trình, sản phẩm dịch vụ họ; 2) độ phức tạp quy trình tương tác chúng; 3) lực nhân viên 7.5.2 Tạo cập nhật Khi tạo cập nhật thông tin lập thành văn bản, tổ chức phải đảm bảo phù hợp: a) định nghĩa mơ tả (ví dụ, tiêu đề, ngày, người soạn thảo, số tham chiếu); b) định dạng (ví dụ, ngơn ngữ, phiên phần mềm, hình ảnh) phương tiện (ví dụ, giấy, điện tử); c) đánh giá phê duyệt tính phù hợp xác 7.5.3 Kiểm sốt thơng tin lập thành văn Thơng tin lập thành văn yêu cầu hệ thống quản lý bảo mật thông tin Tiêu chuẩn Quốc tế phải kiểm soát để đảm bảo: a) sẵn sàng phù hợp để sử dụng, nơi cần thiết; b) bảo vệ cách đầy đủ (ví dụ, tránh tính bảo mật, sử dụng khơng đúng, tính tồn vẹn) Để kiểm sốt thơng tin lập thành văn bản, tổ chức phải giải hành động đây, có thể: a) phân phối, truy cập, trích xuất sử dụng; b) lưu trữ bảo quản, bao gồm bảo quản tính dễ đọc, dễ xem; c) kiểm sốt thay đổi (ví dụ, kiểm soát phiên bản); d) lưu giữ bố trí Thơng tin lập thành văn có nguồn gốc bên ngoài, tổ chức xác định cần thiết cho việc hoạch định vận hành hệ thống quản lý bảo mật thông tin, phải xác định cách phù hợp, kiểm soát LƯU Ý: Truy cập ngụ ý định có liên quan đến quyền xem thông tin lập thành văn bản, quyền thẩm quyền xem thay đổi thông tin lập thành văn bản, v.v… Vận hành 8.1 Hoạch định kiểm soát vận hành Tổ chức phải lập kế hoạch, triển khai kiểm sốt quy trình cần thiết để đáp ứng yêu cầu bảo mật thông tin, để triển khai hành động xác 10 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu Một quy trình cung cấp truy cập người dùng thức phải triển khai để phân bổ thu hồi quyền truy cập kiểu người dùng tới hệ thống dịch vụ A.9.2.3 Quản lý đặc quyền truy cập A.9.2.4 Quản lý thơng tin xác minh người Kiểm sốt dùng bí mật Việc phân bổ thơng tin xác minh bí mật phải kiểm sốt thơng qua quy trình quản lý thức A.9.2.5 Xem xét quyền truy cập người Kiểm soát dùng Chủ sở hữu tài sản phải xem xét quyền truy cập người dùng thường xuyên theo định kỳ A.9.2.6 Loại bỏ điều chỉnh quyền Kiểm soát truy cập Quyền truy cập nhân viên người dùng bên thứ ba bên tới thông tin phương tiện xử lý thông tin phải hủy bỏ tùy thuộc vào chấm dứt công việc, hợp đồng thỏa thuận, điều chỉnh tùy theo thay đổi A.9.3 Trách nhiệm (của) người dùng Kiểm soát Việc phân bổ sử dụng đặc quyền truy cập phải hạn chế kiểm soát Mục tiêu: Khiến cho nhân viên chịu trách nhiệm việc bảo vệ thơng tin xác minh A.9.3.1 Sử dụng thơng tin xác minh bí mật A.9.4 Kiểm soát truy cập hệ thống ứng dụng Kiểm soát Người dùng phải yêu cầu tuân thủ thực tiễn tổ chức việc sử dụng thông tin xác minh bí mật Mục tiêu: Ngăn chặn việc truy cập trái phép tới hệ thống ứng dụng A.9.4.1 Giới hạn truy cập thơng tin Kiểm sốt Truy cập tới thông tin chức ứng dụng hệ thống phải giới hạn tương xứng với sách kiểm soát truy cập 19 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu A.9.4.2 Thủ tục đăng nhập an tồn Kiểm sốt Khi u cầu sách kiểm soát truy cập, việc truy cập tới hệ thống ứng dụng phải kiểm soát thủ tục đăng nhập an toàn A.9.4.3 Hệ thống quản lý mật Kiểm soát Các hệ thống quản lý mật phải tương tác đảm bảo mật chất lượng A.9.4.4 Sử dụng chương trình tiện ích Kiểm sốt Việc sử dụng chương trình tiện ích có khả ghi đè lên kiểm soát hệ thống ứng dụng phải giới hạn kiểm soát chặt chẽ A.9.4.5 Kiểm soát truy cập tới mã nguồn Kiểm sốt chương trình Truy cập tới mã nguồn chương trình phải giới hạn A.10 Mã hóa A.10.1 Kiểm sốt mã hóa Mục tiêu: Đảm bảo sử dụng đắn hiệu biện pháp mã hóa để bảo vệ tính bảo mật, tính xác thực và/hoặc tính tồn vẹn thơng tin A.10.1.1 Chính sách sử dụng kiểm sốt Kiểm sốt mã hóa Một sách việc sử dụng kiểm sốt khóa mã hóa để bảo vệ thơng tin phải phát triển triển khai A.10.1.2 Quản lý khóa A.11 Bảo mật vật lý môi trường A.11.1 Các khu vực an ninh Kiểm sốt Một sách việc sử dụng, bảo vệ thời gian sống khóa mã hóa phải phát triển triển khai suốt vịng đời chúng (các khóa mã hóa) Mục tiêu: Ngăn chặn truy cập vật lý trái phép, phá hoại can thiệp vào thông tin thiết bị xử lý thông tin tổ chức A.11.1.1 Phạm vi an ninh vật lý Kiểm soát 20 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu Những phạm vi an ninh phải xác định sử dụng để bảo vệ khu vực có chứa thơng tin thiết bị xử lý thông tin nhạy cảm quan trọng A.11.1.2 Kiểm soát truy nhập vật lý A.11.1.3 An ninh tịa nhà, phịng, Kiểm sốt sở An ninh vật lý cho văn phòng, phòng sở phải thiết kế áp dụng A.11.1.4 Bảo vệ chống lại nguy môi Kiểm sốt trường nguy bên ngồi Bảo vệ vật lý chông lại thảm họa tự nhiên, công phá hoại tai nạn phải thiết kế triển khai A.11.1.5 Làm việc khu vực an Kiểm soát ninh Các thủ tục việc làm việc khu vực an ninh phải thiết kế áp dụng A.11.1.6 Khu vực bốc dỡ hàng hóa A.11.2 Thiết bị Kiểm sốt Những khu vực an ninh phải bảo vệ kiểm soát truy nhập hợp lý để đảm bảo có người cấp phép phép truy cập Kiểm soát Các điểm truy cập khu vực bốc dỡ hàng hóa điểm khác, nơi mà người khơng phép vào sở phải kiểm sốt và, có thể, cách ly khỏi thiết bị xử lý thông tin để ngăn chặn truy cập trái phép Mục tiêu: Ngăn ngừa cắp, hư hỏng, trộm cắp làm tổn thương tài sản gián đoạn vận hành tổ chức A.11.2.1 Định vị bảo vệ thiết bị Kiểm soát Thiết bị phải xác định vị trí bảo vệ để giảm thiểu rủi ro từ mối đe dọa mối nguy môi trường, hội truy cập trái phép A.11.2.2 Các tiện ích hỗ trợ Kiểm soát Thiết bị phải bảo vệ khỏi cố nguồn gián đoạn khác 21 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu gây cố tiện ích hỗ trợ A.11.2.3 Bảo mật cáp Kiểm soát Các cáp nguồn điện tín hiệu truyền thơng mang liệu hỗ trợ dịch vụ thông tin phải bảo vệ khỏi công đánh chặn, can thiệp phá hoại A.11.2.4 Bảo trì thiết bị Kiểm sốt Thiết bị phải bảo trì cách đắn để đảm bảo tính sẵn sàng tồn vẹn liên tục (thiết bị) A.11.2.5 Loại bỏ tài sản Kiểm sốt Thiết bị, thơng tin phần mềm khơng mang khỏi tổ chức mà khơng có cấp phép trước A.11.2.6 Bảo mật thiết bị tài sản ngoại Kiểm soát biên Bảo mật phải áp dụng cho tài sản ngoại biên có tính đến rủi ro khác việc làm việc bên sở tổ chức A.11.2.7 Loại bỏ tái sử dụng an tồn Kiểm sốt thiết bị Mọi mục thiết bị có chứa phương tiện lưu trữ phải xác minh để đảm bảo liệu nhạy cảm phần mềm cấp phép loại bỏ ghi đè cách an toàn trước loại bỏ tái sử dụng thiết bị A.11.2.8 Thiết bị vắng mặt người dùng A.11.2.9 Chính sách bàn làm việc Kiểm sốt hình gọn gàng Một sách bàn làm việc gọn gàng giấy tờ phương tiện lưu trữ di động sách hình gọn gàng thiết bị xử lý thông tin phải thông qua A.12 Bảo mật vận hành A.12.1 Các thủ tục trách nhiệm vận hành Kiểm soát Người dùng phải đảm bảo thiết bị vắng mặt (người dùng) bảo vệ thích đáng 22 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu Mục tiêu: Đảm bảo vận hành đắn an toàn thiết bị xử lý thông tin A.12.1.1 Các thủ tục vận hành lập Kiểm soát thành văn Các thủ tục vận hành phải lập thành văn sẵn sàng cho người dùng cần đến chúng A.12.1.2 Quản lý thay đổi Kiểm soát Những thay đổi tổ chức, quy trình kinh doanh, thiết bị hệ thống xử lý thông tin có ảnh hưởng tới bảo mật thơng tin phải kiểm soát A.12.1.3 Quản lý lực Kiểm soát Việc sử dụng tài nguyên phải giám sát, điều chỉnh dự kiến thực yêu cầu lực tương lai để đảm bảo hiệu suất hệ thống yêu cầu A.12.1.4 Tách biệt mơi trường phát Kiểm sốt triển, kiểm thử vận hành Các môi trường phát triển, kiểm thử vận hành phải tách biệt để giảm thiểu rủi ro từ việc truy cập thay đổi trái phép đến môi trường vận hành A.12.2 Bảo vệ khỏi phần mềm độc hại Mục tiêu: Để đảm bảo thông tin thiết bị xử lý thông tin bảo vệ khỏi phần mềm độc hại A.12.2.1 Các kiểm soát chống lại phần mềm Kiểm soát độc hại Các kiểm sốt nhận dạng, ngăn ngừa khơi phục để bảo vệ chống lại phần mềm độc hại phải triển khai, kết hợp với nâng cao nhận thức người dùng cách tương xứng A.12.3 Sao lưu Mục tiêu: Bảo vệ tránh khỏi mát liệu A.12.3.1 Sao lưu thơng tin Kiểm sốt Việc lưu thông tin, phần mềm hình ảnh hệ thống phải thực kiểm tra thường xuyên tương xứng với sách 23 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu lưu thỏa thuận A.12.4 Lưu nhật ký giám sát Mục tiêu: Ghi lại kiện tạo chứng A.12.4.1 Ghi nhật ký kiện Kiểm soát Các nhật ký kiện ghi lại hành động củ người dùng, ngoại lệ, lỗi, kiện bảo mật thông tin phải tạo ra, lưu giữ xem xét thường xuyên A.12.4.2 Bảo vệ thơng tin nhật ký Kiểm sốt Các thiết bị ghi nhật ký thông tin nhật ký phải bảo vệ khỏi giả mạo truy cập trái phép A.12.4.3 Các nhật ký quản trị vận hành Kiểm soát Các hoạt động quản trị viên hệ thống nhân viên vận hành phải ghi nhật ký nhật ký phải bảo vệ xem xét thường xuyên A.12.4.4 Đồng hóa đồng hồ Kiểm soát Các đồng hồ hệ thống xử lý thơng tin có liên quan tổ chức khu vực bảo mật phải đồng hóa với nguồn tham chiếu thời gian đơn lẻ A.12.5 Kiểm sốt phần mềm vận hành Mục tiêu: Đảm bảo tính toàn vẹn hệ thống vận hành A.12.5.1 Cài đặt phần mềm hệ Kiểm soát thống vận hành Các thủ tục phải triển khai để kiểm soát việc cài đặt phần mềm hệ thống vận hành A.12.6 Quản lý lỗ hổng kỹ thuật Mục tiêu: Ngăn chặn khai thác lỗ hổng kỹ thuật A.12.6.1 Quản lý lỗ hổng kỹ thuật Kiểm sốt Thơng tin lỗ hổng kỹ thuật hệ thống thông tin sử dụng phải có cách kịp thời, mức độ phơi nhiễm tổ chức đối 24 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu với lỗ hổng đánh giá biện pháp phù hợp thực để giải rủi ro có liên quan A.12.6.2 Giới hạn việc cài đặt phần mềm A.12.7 Mối bận tâm kiểm tốn hệ thống thơng tin Kiểm sốt Các quy tắc quản trị việc cài đặt phần mềm người dùng phải thiết lập triển khai Mục tiêu: Tối thiểu hóa tác động hoạt động kiểm toán tới hệ thống vận hành A.12.7.1 Kiểm sốt kiểm tốn hệ thống Kiểm sốt thơng tin Các u cầu hoạt động kiểm tốn có liên quan đến việc kiểm tra hệ thống vận hành phải hoạch định cách cẩn thận thỏa thuận để tối thiểu hóa gián đoạn quy trình kinh doanh A.13 Bảo mật truyền thơng A.13.1 Quản lý bảo mật mạng Mục tiêu: Đảm bảo bảo vệ thông tin hệ thống mạng hỗ trợ cho thiết bị xử lý thơng tin A.13.1.1 Kiểm sốt mạng Kiểm sốt Các hệ thống mạng phải quản lý kiểm sốt để bảo vệ thơng tin hệ thống ứng dụng A.13.1.2 Bảo mật dịch vụ mạng Kiểm soát Các phương pháp bảo mật, mức dịch vụ yêu cầu quản lý cho dịch vụ mạng phải xác định bao gồm thỏa thuận dịch vụ mạng, dịch vụ cung cấp nội th ngồi A.13.1.3 Tách biệt hệ thống mạng Kiểm sốt Các nhóm dịch vụ thông tin, người dùng hệ thống thông tin phải tách biệt mạng A.13.2 Truyền tải thơng tin Mục tiêu: Duy trì bảo mật cho thông tin truyền tải tổ chức với thực thể bên khác 25 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu A.13.2.1 Các sách thủ tục truyền Kiểm sốt tải thơng tin Các sách, thủ tục kiểm sốt thức phải có sẵn để bảo vệ việc truyền tải thông tin thông qua việc sử dụng kiểu thiết bị truyền thông A.13.2.2 Các thỏa thuận truyền tải thơng Kiểm sốt tin Các thỏa thuận phải giải việc truyền tải an tồn thơng tin kinh doanh tổ chức với bên thứ ba bên A.13.2.3 Thông điệp điện tử A.13.2.4 Các thỏa thuận bảo mật Kiểm sốt khơng tiết lộ (thơng tin) Các yêu cầu thỏa thuận bảo mật không tiết lộ phản ảnh nhu cầu tổ chức bảo vệ thông tin phải xác định, xem xét thường xuyên lập thành tài liệu A.14 Mua lại, phát triển bảo trì hệ thống A.14.1 Các yêu cầu bảo mật cho hệ thống thông tin Kiểm sốt Thơng tin có liên quan tới thơng điệp điện tử phải bảo vệ cách thích đáng Mục tiêu: Đảm bảo bảo mật thông tin phần tách rời hệ thống thông tin tồn vịng đời Điều bao gồm yêu cầu cho hệ thống thông tin cung cấp dịch vụ qua hệ thống mạng cơng cộng A.14.1.1 Phân tích đặc tả kỹ thuật Kiểm sốt u cầu bảo mật thơng tin Các yêu cầu liên quan tới bảo mật thông tin phải bao gồm yêu cầu cho hệ thống mới, tăng cường hệ thống thông tin hữu A.14.1.2 Bảo mật ứng dụng dịch vụ Kiểm sốt mạng cơng cộng Thơng tin tham gia vào ứng dụng dịch vụ mạng công cộng phải bảo vệ khỏi hành động lừa đảo, tranh luận hợp đồng tiết lộ điều chỉnh trái phép A.14.1.3 Bảo vệ giao dịch ứng dụng Kiểm sốt dịch vụ Thơng tin tham gia ứng dụng dịch vụ phải bảo vệ để ngăn chặn việc truyền tải khơng hồn chỉnh, định tuyến sai, thay thông điệp trái 26 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu phép, tiết lộ trái phép, chép phát lại thông điệp trái phép A.14.2 Bảo mật phát triển quy trình hỗ trợ Mục tiêu: Đảm bảo bảo mật thơng tin thiết kế triển khai vịng đời phát triển hệ thống thơng tin A.14.2.1 Chính sách bảo mật phát triển A.14.2.2 Các thủ tục kiểm soát thay đổi hệ Kiểm soát thống Những thay đổi hệ thống vòng đời phát triển phải kiểm soát cách sử dụng thủ tục kiểm sốt thay đổi thức A.14.2.3 Đánh giá kỹ thuật ứng dụng Kiểm soát sau tảng vận hành thay Khi tảng vận hành thay đổi, ứng dụng kinh doanh quan trọng đổi phải đánh giá kiểm tra để đảm bảo khơng có tác động bất lợi vận hành bảo mật tổ chức A.14.2.4 Giới hạn thay đổi gói Kiểm sốt phần mềm Những điều chỉnh gói phần mềm phải ngăn chặn hạn chế thay đổi cần thiết thay đổi phải kiểm soát chặt chẽ A.14.2.5 Các nguyên tắc kỹ thuật bảo mật Kiểm soát hệ thống Các nguyên tắc kỹ thuật bảo mật hệ thống phải thiết lập, lập thành văn bản, trì áp dụng cho nỗ lực triển khai hệ thống thông tin A.14.2.6 Bảo mật mơi trường phát triển Kiểm sốt Các tổ chức phải thiết lập bảo vệ cách thích đáng mơi trường phát triển cho việc phát triển hệ thống tích hợp nỗ lực bảo hàm tồn vịng đời phát triển hệ thống A.14.2.7 Phát triển th ngồi Kiểm sốt Tổ chức phải quản lý giám sát hành động việc phát triển hệ thống th ngồi Kiểm sốt Các quy tắc phát triển phần mềm hệ thống phải thiết lập áp dụng cho phát triển (phần mềm hệ thống – người dịch) tổ chức 27 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu A.14.2.8 Kiểm thử bảo mật hệ thống Kiểm soát Việc kiểm thử chức bảo mật phải tiến hành trình phát triển A.14.2.9 Kiểm thử chấp thuận hệ thống Kiểm sốt Các chương trình kiểm thử chấp thuận tiêu chí liên quan phải thiết lập cho hệ thống thông tin mới, nâng cấp phiên A.14.3 Dữ liệu kiểm nghiệm Mục tiêu: Đảm bảo bảo vệ liệu sử dụng kiểm nghiệm A.14.3.1 Bảo vệ liệu kiểm nghiệm A.15 Các mối quan hệ với nhà cung cấp A.15.1 Bảo mật thông tin mối quan hệ với nhà cung cấp Kiểm soát Dữ liệu kiểm nghiệm phải lựa chọn, bảo vệ kiểm soát cách cẩn trọng Mục tiêu: Đản bảo bảo vệ tài sản tổ chức mà truy cập nhà cung cấp A.15.1.1 Chính sách bảo mật thơng tin cho Kiểm soát mối quan hệ với nhà cung cấp Các yêu cầu bảo mật thông tin cho việc giảm thiểu rủi ro tương ứng với truy cập nhà cung cấp vào tài sản tổ chức phải thỏa thuận với nhà cung cấp phải lập thành văn A.15.1.2 Giải vấn đề bảo mật Kiểm soát thỏa thuận với nhà cung cấp Mọi yêu cầu liên quan đến bảo mật thông tin phải thiết lập thỏa thuận với nhà cung cấp mà truy cập, xử lý, lưu trữ, truyền thông, cung cấp thành phần sở hạ tầng CNTT cho, thông tin tổ chức A.15.1.3 Chuỗi cung ứng công nghệ thông Kiểm sốt tin truyền thơng Các thỏa thuận với nhà cung cấp phải bao gồm yêu cầu để xử lý rủi ro bảo mật thông tin tương xứng với chuỗi cung ứng sản phẩm công nghệ 28 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu thông tin truyền thông A.15.2 Quản lý việc chuyển giao dịch vụ nhà cung cấp Mục tiêu: Để trì mức thỏa thuận bảo mật thơng tin chuyển giao dịch vụ phù hợp với thỏa thuận với nhà cung cấp A.15.2.1 Giám sát xem xét dịch vụ Kiểm soát nhà cung cấp Các tổ chức phải thường xuyên giám sát, xem xét kiểm toán việc chuyển giao dịch vụ nhà cung cấp A.15.2.2 Quản lý thay đổi Kiểm soát dịch vụ nhà cung cấp Những thay đổi việc cung cấp dịch vụ nhà cung cấp, bao gồm việc trì cải thiện sách, thủ tục kiểm sốt bảo mật thông tin hành, phải quản lý, có tính đến tầm quan trọng thơng tin kinh doanh, hệ thống quy trình liên quan tái đánh giá rủi ro A.16 Quản lý cố bảo mật thông tin A.16.1 Quản lý cố cải thiện bảo mật thông tin Mục tiêu: Đảm bảo phương pháp tiếp cận quán hiệu để quản lý cố bảo mật thông tin, bao gồm việc truyền thông kiện điểm yếu bảo mật A.16.1.1 Trách nhiệm thủ tục A.16.1.2 Báo cáo kiện bảo mật thơng Kiểm sốt tin Các kiện bảo mật thơng tin phải báo cáo thông qua kênh quản lý thích đáng sớm tốt A.16.1.3 Báo cáo điểm yếu bảo mật Kiểm sốt thơng tin Nhân viên nhà thầu sử dụng hệ thống dịch vụ thông tin tổ chức phải yêu cầu lưu ý về, báo cáo điểm yếu quan sát nghi ngờ bảo mật thông tin hệ thống dịch vụ A.16.1.4 Đánh giá định Kiểm soát Kiểm soát Trách nhiệm thủ tục quản lý phải thiết lập để đảm bảo phản ứng nhanh nhạy, hiệu gọn gàng cố bảo mật thông tin 29 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu kiện bảo mật thông tin Các kiện bảo mật thông tin phải đánh giá phải định chúng (các kiện bảo mật thông tin – người dịch) phân loại cố bảo mật thơng tin A.16.1.5 Ứng phó với cố bảo mật Kiểm sốt thơng tin Các cố bảo mật thơng tin phải ứng phó cách phù hợp với thủ tục lập thành văn A.16.1.6 Học hỏi từ cố bảo mật Kiểm sốt thơng tin Kiến thức có từ phân tích giải cố bảo mật thông tin phải sử dụng để giảm thiểu khả xảy tác động cố tương lai A.16.1.7 Thu thập chứng A.17 Các khía cạnh bảo mật thơng tin quản lý kinh doanh liên tục A.17.1 Bảo mật thông tin liên tục Kiểm soát Tổ chức phải xác định áp dụng thủ tục xác định, thu thập, thu nhận bảo quản thơng tin mà làm chứng Mục tiêu: Bảo mật thông tin liên tục phải nhúng vào hệ thống quản lý kinh doanh liên tục tổ chức A.17.1.1 Hoạch định bảo mật thơng tin liên Kiểm sốt tục Tổ chức phải xác định u cầu bảo mật thơng tin tính liên tục quản lý bảo mật thơng tin tình bất lợi, ví dụ, khủng hoảng thảm họa A.17.1.2 Triển khai bảo mật thơng tin liên Kiểm sốt tục Tổ chức phải thiết lập, lập thành văn bản, triển khai trì quy trình, thủ tục kiểm soát để đảm bảo mức yêu cầu tính liên tục bảo mật thơng tin tình bất lợi A.17.1.3 Xác minh, xem xét đánh giá Kiểm sốt bảo mật thơng tin liên tục Tổ chức phải xác minh kiểm soát bảo mật thông tin liên tục thiết lập triển khai cách định kỳ thường xuyên nhằm đảm bảo chúng có hiệu lực hiệu tình bất lợi 30 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu A.17.2 Dự phòng Mục tiêu: Đảm bảo tính sẵn sàng thiết bị xử lý thơng tin A.17.2.1 Tính sẵn sàng thiết bị xử Kiểm sốt lý thơng tin Các thiết bị xử lý thơng tin phải triển khai với dự phịng hiệu để đáp ứng yêu cầu tính sẵn sàng A.18 Tuân thủ A.18.1 Tuân thủ yêu cầu pháp lý hợp đồng Mục tiêu: Ngăn chặn vi phạm nghĩa vụ pháp lý, luật định, quy định hợp đồng liên quan tới bảo mật thông tin yêu cầu bảo mật thông tin A.18.1.1 Xác định yêu cầu pháp lý Kiểm sốt hợp đồng áp dụng Mọi yêu cầu liên quan đến pháp lý, quy định, hợp đồng phương pháp tiếp cận tổ chức để đáp ứng yêu cầu phải xác định cách rõ ràng, lập thành văn cập hệ thống thông tin với tổ chức A.18.1.2 Quyền sở hữu trí tuệ Kiểm sốt Các thủ tục thích đáng phải triển khai để đảm bảo tính tuân thủ với yêu cầu pháp lý, quy định hợp đồng liên quan tới quyền sở hữu trí tuệ việc sử dụng sản phẩm phần mềm trí tuệ A.18.1.3 Bảo vệ hồ sơ Kiểm soát Các hồ sơ phải bảo vệ khỏi mát, phá hoại, giả mạo, truy cập trái phép công bố trái phép, tương ứng với yêu cầu pháp lý, quy định, hợp đồng yêu cầu kinh doanh A.18.1.4 Quyền riêng tư bảo vệ thơng Kiểm sốt tin nhận dạng cá nhân Quyền riêng tư bảo vệ thông tin nhận dạng cá nhân phải đảm bảo yêu cầu luật lệ quy định liên quan, áp dụng A.18.1.5 Quy định kiểm soát mã hóa Kiểm sốt Các kiểm sốt mã hóa phải sử dụng để tuân thủ thỏa thuận, luật lệ 31 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu quy định liên quan A.18.2 Đánh giá bảo mật thông tin Mục tiêu: Đảm bảo bảo mật thông tin triển khai vận hành tương xứng với sách thủ tục tổ chức A.18.2.1 Đánh giá độc lập bảo mật Kiểm sốt thơng tin Phương pháp tiếp cận tổ chức để quản lý bảo mật thơng tin triển khai (ví dụ, mục tiêu kiểm soát, kiểm soát, sách, quy trình thủ tục bảo mật thông tin) phải đánh giá độc lập theo định kỳ hoạch định thay đổi quan trọng diễn A.18.2.2 Tuân thủ sách tiêu Kiểm soát chuẩn bảo mật Các nhà quản lý phải xem xét cách thường xuyên tính tuân thủ việc xử lý thông tin thủ tục khu vực trách nhiệm (quản lý) sách, tiêu chuẩn bảo mật phù hợp yêu cầu bảo mật khác A.18.2.3 Đánh giá tuân thủ kỹ thuật Kiểm soát Các hệ thống thông tin phải đánh giá cách thường xuyên tính tuân thủ với sách tiêu chuẩn bảo mật tổ chức 32 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu Nguồn tham khảo [1] ISO/IEC 27002:2013, Information technology —Security Techniques —Code of practice for information security controls [2] ISO/IEC 27003, Information technology —Security techniques —Information security management system implementation guidance [3] ISO/IEC 27004, Information technology —Security techniques —Information security management —Measurement [4] ISO/IEC 27005,Informationtechnology—Securitytechniques— Informationsecurityriskmanagement [5] ISO 31000:2009, Risk management —Principles and guidelines [6] ISO/IEC Directives, Part 1, Consolidated ISO Supplement –Procedures specific to ISO, 2012 33 | P a g e ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com ... tế Kỹ thuật điện) định hình hệ thống chun mơn hóa cho vi? ??c tiêu chuẩn hóa tồn cầu Các quốc gia thành vi? ?n thành vi? ?n ISO IEC tham gia vào vi? ??c phát triển Tiêu chuẩn Quốc tế thông qua tiểu ban... soát vi? ??c Những thỏa thuận hợp đồng với nhân vi? ?n nhà thầu phải tuyên bố rõ ràng trách nhiệm họ (nhân vi? ?n nhà thầu) tổ chức bảo mật thông tin A.7.2 Trong làm vi? ??c Mục tiêu: Để đảm bảo nhân vi? ?n... Informationsecurityriskmanagement [5] ISO 31000:2009, Risk management —Principles and guidelines [6] ISO/ IEC Directives, Part 1, Consolidated ISO Supplement –Procedures specific to ISO, 2012 33 | P a g e ISO 27000:2018