Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 44 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
44
Dung lượng
425,5 KB
Nội dung
T I Ê U C H U Ẩ N Q U Ố C G I A TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005 Xuất bản lần 1 CÔNG NGHỆ THÔNG TIN - HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN - CÁC YÊU CẦU Information technology – Information security management system - Requirements HÀ NỘI – 2009 TCVN TCVN ISO/IEC 27001:2009 2 TCVN ISO/IEC 27001:2009 Mục lục 1 Phạm vi áp dụng 8 2 Tài liệu viện dẫn 8 3 Thuật ngữ và định nghĩa 8 4 Hệ thống quản lý an toàn thông tin 10 4.1 Các yêu cầu chung 10 4.2 Thiết lập và quản lý hệ thống ISMS 11 4.2.1 Thiết lập hệ thống ISMS 11 1) bao gồm khuôn khổ để xây dựng các mục tiêu và thiết lập một định hướng và nguyên tắc chung cho các hành động đảm bảo an toàn thông tin; 11 2) tuân thủ quy định pháp lý, các yêu cầu nghiệp vụ và cam kết về an toàn thông tin đã có; 11 3) thiết lập và duy trì hệ thống ISMS như một phần trong chiến lược quản lý rủi ro chung của tổ chức; 11 4) thiết lập tiêu chí xác định các rủi ro sẽ được ước lượng (xem 4.2.1c); 11 5) cần phải được ban quản lý phê duyệt 11 1) Xác định hệ phương pháp đánh giá rủi ro phù hợp với hệ thống ISMS và các quy định, luật pháp, yêu cầu và cam kết đã có cần phải tuân thủ 11 2) Xây dựng các tiêu chí cho việc chấp nhận rủi ro và vạch rõ các mức rủi ro có thể chấp nhận được (xem 5.1f) 11 1) Xác định tất cả các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý các tài sản này 11 2) Xác định các mối đe doạ đối với tài sản 11 3) Xác định các điểm yếu có thể bị khai thác bởi các mối đe doạ trên 12 4) Xác định các tác động làm mất tính chất bí mật, toàn vẹn và sẵn sàng của tài sản. 12 1) Đánh giá các ảnh hưởng tới hoạt động của tổ chức có thể gây ra do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bảo mật, toàn vẹn hay sẵn sàng của các tài sản 12 2) Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và điểm yếu đã dự đoán. Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện 12 3) Ước đoán các mức độ của rủi ro 12 3 TCVN ISO/IEC 27001:2009 4) Xác định rủi ro là chấp nhận được hay phải có biện pháp xử lý dựa trên các tiêu chí chấp nhận rủi ro đã được thiết lập trong 4.2.1.c)2 12 1) áp dụng các biện pháp quản lý thích hợp; 12 2) chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chí chấp nhận rủi ro của tổ chức (xem 4.2.1c)2); 12 3) tránh các rủi ro; 12 4) chuyển giao các rủi ro các bên tham gia khác, như bảo hiểm, nhà cung cấp 12 1) các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong 4.2.1g) và lý do cho các lựa chọn này; 13 2) các mục tiêu quản lý và biện pháp quản lý đang được thực hiện (xem 4.2.1e)2)); 13 3) các mục tiêu quản lý và biện pháp quản lý trong Phụ lục A đã loại trừ và giải trình cho việc loại trừ này 13 4.2.2 Triển khai và điều hành hệ thống ISMS 13 4.2.3 Giám sát và soát xét hệ thống ISMS 13 1) nhanh chóng phát hiện ra các lỗi trong kết quả xử lý; 13 2) nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin; 13 3) cho phép ban quản lý xác định các hoạt động an toàn thông tin giao cho người hoặc thực hiện bằng công nghệ thông tin đã được thực hiện như mong muốn; 14 4) hỗ trợ phát hiện các sự kiện an toàn thông tin và do đó ngăn chặn sớm các sự cố an toàn thông tin bằng cách sử dụng các dấu hiệu cần thiết; 14 5) xác định hiệu lực của các hành động xử lý vi phạm an toàn thông tin đã thực hiện 14 1) tổ chức; 14 2) công nghệ; 14 3) mục tiêu và các quá trình nghiệp vụ; 14 4) các mối đe doạ an toàn thông tin đã xác định; 14 5) hiệu lực của các biện pháp quản lý đã thực hiện; 14 6) các sự kiện bên ngoài, như thay đổi trong môi trường pháp lý hay quy định, thay đổi trong các nghĩa vụ hợp đồng, thay đổi về hoàn cảnh xã hội 14 4.2.4 Duy trì và cải tiến hệ thống ISMS 14 4.3 Các yêu cầu về hệ thống tài liệu 15 4.3.1 Khái quát 15 4.3.2 Biện pháp quản lý tài liệu 15 4 TCVN ISO/IEC 27001:2009 4.3.3 Biện pháp quản lý hồ sơ 16 5 Trách nhiệm của ban quản lý 16 5.1 Cam kết của ban quản lý 16 5.2 Quản lý nguồn lực 17 5.2.1 Cấp phát nguồn lực 17 5.2.2 Đào tạo, nhận thức và năng lực 17 6 Kiểm toán nội bộ hệ thống ISMS 17 7 Soát xét của ban quản lý đối với hệ thống ISMS 18 7.1 Khái quát 18 7.2 Đầu vào của việc soát xét 18 7.3 Đầu ra của việc soát xét 19 1) các yêu cầu trong hoạt động nghiệp vụ; 19 2) các yêu cầu an toàn thông tin; 19 3) các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp vụ hiện tại của tổ chức; 19 4) các yêu cầu về pháp lý và quy định; 19 5) các nghĩa vụ theo các hợp đồng đã ký kết; 19 6) mức độ rủi ro và/hoặc tiêu chí chấp nhận rủi ro 19 8 Cải tiến hệ thống ISMS 19 8.1 Cải tiến thường xuyên 19 8.2 Hành động khắc phục 19 8.3 Hành động phòng ngừa 20 Phụ lục A 21 Phụ lục B 40 Phụ lục C 42 Thư mục tài liệu tham khảo 44 5 TCVN ISO/IEC 27001:2009 Lời nói đầu 6 TCVN ISO/IEC 27001:2009 hoàn toàn tương đương với ISO/IEC 27001:2005. TCVN ISO/IEC 27001:2009 do Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. TCVN ISO/IEC 27001:2009 7 TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu Information technology – Information security management system - Requirements 1 Phạm vi áp dụng Tiêu chuẩn này áp dụng rộng rãi cho nhiều loại hình tổ chức (ví dụ: các tổ chức thương mại, cơ quan nhà nước, tổ chức phi lợi nhuận). Tiêu chuẩn này chỉ rõ yêu cầu đối với hoạt động thiết lập; triển khai; điều hành; giám sát; soát xét; duy trì và cải tiến một hệ thống quản lý an toàn thông tin (ISMS) để đảm bảo an toàn thông tin trước những rủi ro có thể xảy ra với các hoạt động của tổ chức. Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp quản lý an toàn đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc bộ phận của tổ chức. Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng… Các yêu cầu trình bày trong tiêu chuẩn này mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức khác nhau. Điều 4, 5, 6, 7 và 8 của tiêu chuẩn là bắt buộc nếu tổ chức công bố phù hợp với tiêu chuẩn này; các loại trừ đối với các biện pháp quản lý, nếu cần thiết để thoả mãn các tiêu chí chấp nhận rủi ro, cần có lý do chính đáng và có bằng chứng chứng minh các rủi ro liên đới đã được chấp nhận bởi người có trách nhiệm. 2 Tài liệu viện dẫn ISO/IEC 17799:2005, Information technology – Security techniques – Code of practice for information security management (Công nghệ thông tin – Các kỹ thuật an toàn – Quy phạm thực hành quản lý an toàn thông tin). 3 Thuật ngữ và định nghĩa Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa sau: 3.1 Tài sản (asset) Bất kỳ thứ gì có giá trị đối với tổ chức. 3.2 Tính sẵn sàng (availability) 8 T I Ê U C H U Ẩ N Q U Ố C G I A TCVN ISO/IEC 27001: 2009 TCVN ISO/IEC 27001:2009 Tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo yêu cầu. 3.3 Tính bảo mật (confidentiality) Tính chất đảm bảo thông tin không sẵn sàng và phơi bày trước cá nhân, thực thể và các tiến trình không được phép. 3.4 An toàn thông tin (information security) Sự duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin; ngoài ra còn có thể bao hàm một số tính chất khác như xác thực, kiểm soát được, không từ chối và tin cậy. 3.5 Sự kiện an toàn thông tin (information security event) Một sự kiện đã được xác định trong một hệ thống, dịch vụ hay trạng thái mạng chỉ ra khả năng vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ, hoặc một vấn đề chưa biết gây ảnh hưởng đến an toàn thông tin. 3.6 Sự cố an toàn thông tin (information security incident) Một hoặc một chuỗi các sự kiện an toàn thông tin không mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an toàn thông tin. 3.7 Hệ thống quản lý an toàn thông tin (information security management system) ISMS Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin. CHÚ THÍCH: Hệ thống quản lý toàn diện bao gồm cơ cấu, chính sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy trình và tài nguyên của tổ chức. 3.8 Tính toàn vẹn (integrity) Tính chất đảm bảo sự chính xác và đầy đủ của các tài sản. 3.9 Rủi ro tồn đọng (residual risk) 9 TCVN ISO/IEC 27001:2009 Rủi ro còn lại sau quá trình xử lý rủi ro. 3.10 Chấp nhận rủi ro (risk acceptance) Quyết định chấp nhận rủi ro. 3.11 Phân tích rủi ro (risk analysis) Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn gốc và ước đoán rủi ro. 3.12 Đánh giá rủi ro (risk assessment) Quá trình tổng thể gồm phân tích rủi ro và ước lượng rủi ro. 3.13 Ước lượng rủi ro (risk evaluation) Quá trình so sánh rủi ro đã ước đoán với chỉ tiêu rủi ro đã có nhằm xác định mức độ nghiêm trọng của rủi ro. 3.14 Quản lý rủi ro (risk management) Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước các rủi ro có thể xảy ra. 3.15 Xử lý rủi ro (risk treatment) Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro. 3.16 Thông báo áp dụng (statement of applicability) Thông báo bằng văn bản mô tả mục tiêu quản lý và biện pháp quản lý thích hợp áp dụng cho hệ thống ISMS của tổ chức. CHÚ THÍCH: Các mục tiêu quản lý và biện pháp quản lý được xây dựng dựa trên kết quả của các quá trình đánh giá rủi ro và xử lý rủi ro, các yêu cầu về pháp lý hoặc quy định, các nghĩa vụ trong hợp đồng và các yêu cầu về nghiệp vụ của tổ chức để đảm bảo an toàn thông tin. 4 Hệ thống quản lý an toàn thông tin 4.1 Các yêu cầu chung Tổ chức phải thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến một hệ thống quản lý an toàn thông tin (ISMS) đã được tài liệu hóa trong bối cảnh các hoạt động nghiệp vụ chung của tổ 10 [...]... Nhằm quản lý an toàn thông tin bên trong tổ chức A.6.1.1 Cam kết của ban quản lý Biện pháp quản lý về bảo đảm an toàn thông tin Ban quản lý phải chủ động hỗ trợ bảo đảm an toàn thông tin trong tổ chức bằng các định hướng rõ ràng, các cam kết có thể thấy được, các nhiệm vụ rõ ràng và nhận thức rõ trách nhiệm về bảo đảm an toàn thông tin A.6.1.2 Phối hợp bảo đảm an Biện pháp quản lý toàn thông tin Các... liên quan A.13 Quản lý các sự cố an toàn thông tin A.13.1 Báo cáo về các sự kiện an toàn thông tin và các nhược điểm Mục tiêu: Nhằm đảm bảo các sự kiện an toàn thông tin và các nhược điểm liên quan tới các hệ thống thông tin được trao đổi để các hành động khắc phục được tiến hành kịp thời A.13.1.1 Báo cáo các sự kiện an Biện pháp quản lý toàn thông tin Các sự kiện an toàn thông tin cần được báo cáo thông. .. thông tin Mục tiêu: Nhằm đảm bảo rằng an toàn thông tin là một phần không thể thiếu của các hệ thống thông tin A.12.1.1 Phân tích và đặc tả các Biện pháp quản lý yêu cầu về an toàn Các thông báo về yêu cầu nghiệp vụ đối với các hệ thống thông tin mới hoặc được cải tiến từ hệ thống thông tin có sẵn cần chỉ rõ các yêu cầu về biện pháp quản lý an toàn thông tin A.12.2 Xử lý đúng trong các ứng dụng Mục tiêu:... xử lý chính thức A.10.7.3 Các thủ tục xử lý thông Biện pháp quản lý tin Các thủ tục cho việc xử lý và lưu trữ thông tin phải được thiết lập nhằm bảo vệ thông tin khỏi sự tiết lộ hoặc sử dụng bất hợp pháp A.10.7.4 An toàn cho các tài liệu Biện pháp quản lý hệ thống Các tài liệu hệ thống cần được bảo vệ khỏi sự truy cập trái phép A.10.8 Trao đổi thông tin Mục tiêu: Nhằm duy trì an toàn cho các thông tin. .. quản lý trong bảng A.1 Bảng A.1 - Các mục tiêu và biện pháp quản lý A.5 Chính sách an toàn A.5.1 Chính sách an toàn thông tin Mục tiêu: Nhằm cung cấp định hướng quản lý và hỗ trợ bảo đảm an toàn thông tin thỏa mãn với các yêu cầu trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định phải tuân thủ A.5.1.1 Tài liệu chính sách an Biện pháp quản lý toàn thông tin Một tài liệu về chính sách an toàn. .. của ban quản lý 5.1 Cam kết của ban quản lý Ban quản lý phải chứng minh cam kết của mình trong việc thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến hệ thống quản lý an toàn thông tin bằng việc: a) thiết lập chính sách cho hệ thống ISMS; b) đảm bảo rằng các mục tiêu và kế hoạch của hệ thống ISMS đã được xây dựng; c) thiết lập các vai trò và trách nhiệm về an toàn thông tin; ... hoặc thông tin của tổ chức 22 TCVN ISO/IEC 27001:2009 A.6.2.3 Giải quyết an toàn trong Biện pháp quản lý các thỏa thuận với bên thứ ba Các thỏa thuận với bên thứ ba liên quan đến truy cập, xử lý, truyền thông hoặc quản lý thông tin hay phương tiện xử lý thông tin của tổ chức, hoặc các sản phẩm, dịch vụ phụ trợ của các phương tiện xử lý thông tin phải bao hàm tất cả các yêu cầu an toàn liên quan A.7 Quản. .. quản lý Việc quản lý khóa cần sẵn sàng để hỗ trợ cho các kỹ thuật mã hóa được sử dụng trong tổ chức A.12.4 An toàn cho các tệp tin hệ thống Mục tiêu: Nhằm đảm bảo an toàn cho các tệp tin hệ thống A.12.4.1 Quản lý các phần mềm Biện pháp quản lý điều hành Cần phải có các thủ tục sẵn sàng cho việc quản lý quá trình cài đặt các phần mềm trên hệ thống điều hành A.12.4.2 Bảo vệ dữ liệu kiểm tra hệ thống. .. ISO/IEC 27001:2009 3) cho phép ban quản lý xác định các hoạt động an toàn thông tin giao cho người hoặc thực hiện bằng công nghệ thông tin đã được thực hiện như mong muốn; 4) hỗ trợ phát hiện các sự kiện an toàn thông tin và do đó ngăn chặn sớm các sự cố an toàn thông tin bằng cách sử dụng các dấu hiệu cần thiết; 5) xác định hiệu lực của các hành động xử lý vi phạm an toàn thông tin đã thực hiện b) Thường... thoả đáng với các cơ quan có thẩm quyền liên quan Liên lạc với các nhóm Biện pháp quản lý chuyên gia Phải giữ liên lạc với các nhóm chuyên gia hoặc các diễn đàn và hiệp hội an toàn thông tin A.6.1.8 Tự soát xét về an toàn thông tin Biện pháp quản lý Cách tiếp cận quản lý an toàn thông tin của tổ chức và việc triển khai của tổ chức (chẳng hạn như: các mục tiêu và biện pháp quản lý, các chính sách, các . 42 Thư mục tài liệu tham khảo 44 5 TCVN ISO/ IEC 27001: 2009 Lời nói đầu 6 TCVN ISO/ IEC 27001: 2009 hoàn toàn tương đương với ISO/ IEC 27001: 2005. TCVN ISO/ IEC 27001: 2009 do Trung tâm Ứng cứu khẩn. technology – Information security management system - Requirements HÀ NỘI – 2009 TCVN TCVN ISO/ IEC 27001: 2009 2 TCVN ISO/ IEC 27001: 2009 Mục lục 1 Phạm vi áp dụng 8 2 Tài liệu viện dẫn 8 3 Thuật ngữ. Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. TCVN ISO/ IEC 27001: 2009 7 TCVN ISO/ IEC 27001: 2009 Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu