TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005 CÔNG NGHỆ THƠNG TIN - HỆ THỐNG QUẢN LÝ AN TỒN THÔNG TIN - CÁC YÊU CẦU Information technology - Information security management system - Requirements Lời nói đầu TCVN ISO/IEC 27001:2009 hoàn toàn tương đương với ISO/IEC 27001:2005 TCVN ISO/IEC 27001:2009 Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố CÔNG NGHỆ THÔNG TIN - HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN - CÁC U CẦU Information technology - Information security management system - Requirements Phạm vi áp dụng Tiêu chuẩn áp dụng rộng rãi cho nhiều loại hình tổ chức (ví dụ: tổ chức thương mại, quan nhà nước, tổ chức phi lợi nhuận) Tiêu chuẩn rõ yêu cầu hoạt động thiết lập; triển khai; điều hành; giám sát; soát xét; trì cải tiến hệ thống quản lý an tồn thơng tin (ISMS) để đảm bảo an tồn thơng tin trước rủi ro xảy với hoạt động tổ chức Tiêu chuẩn rõ yêu cầu triển khai biện pháp quản lý an toàn chọn lọc phù hợp với nhu cầu tổ chức phận tổ chức Hệ thống ISMS thiết kế biện pháp đảm bảo an tồn thơng tin phù hợp đầy đủ để bảo vệ tài sản thông tin đem lại tin tưởng bên liên quan đối tác, khách hàng Các yêu cầu trình bày tiêu chuẩn mang tính tổng quát nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức khác Điều 4, 5, 6, tiêu chuẩn bắt buộc tổ chức công bố phù hợp với tiêu chuẩn này; loại trừ biện pháp quản lý, cần thiết để thỏa mãn tiêu chí chấp nhận rủi ro, cần có lý đáng có chứng chứng minh rủi ro liên đới chấp nhận người có trách nhiệm Tài liệu viện dẫn ISO/IEC 17799:2005, Information technology - Security techniques - Code of practice for information security management (Cơng nghệ thơng tin - Các kỹ thuật an tồn - Quy phạm thực hành quản lý an tồn thơng tin) Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa sau: 3.1 Tài sản (asset) Bất kỳ thứ có giá trị tổ chức 3.2 Tính sẵn sàng (availability) Tính chất đảm bảo thực thể phép truy cập sử dụng theo yêu cầu 3.3 Tính bảo mật (confidentiality) Tính chất đảm bảo thơng tin khơng sẵn sàng phơi bày trước cá nhân, thực thể tiến trình khơng phép 3.4 An tồn thơng tin (information security) Sự trì tính bảo mật, tính tồn vẹn tính sẵn sàng thơng tin; ngồi bao hàm số tính chất khác xác thực, kiểm sốt được, khơng từ chối tin cậy 3.5 Sự kiện an toàn thông tin (information security event) Mọi kiện xác định hệ thống, dịch vụ hay trạng thái mạng khả vi phạm sách an tồn thơng tin, thất bại hệ thống bảo vệ, vấn đề chưa biết gây ảnh hưởng đến an tồn thơng tin 3.6 Sự cố an tồn thơng tin (information security incident) Một chuỗi kiện an tồn thơng tin khơng mong muốn có khả làm tổn hại hoạt động quan tổ chức đe dọa an tồn thơng tin 3.7 Hệ thống quản lý an tồn thơng tin (information security management system) ISMS Hệ thống quản lý an tồn thơng tin phần hệ thống quản lý tồn diện, dựa rủi ro xuất hoạt động tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, trì cải tiến an tồn thơng tin CHÚ THÍCH: Hệ thống quản lý toàn diện bao gồm cấu, sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy trình tài nguyên tổ chức 3.8 Tính tồn vẹn (integrity) Tính chất đảm bảo xác đầy đủ tài sản 3.9 Rủi ro tồn đọng (residual risk) Rủi ro lại sau trình xử lý rủi ro 3.10 Chấp nhận rủi ro (risk acceptance) Quyết định chấp nhận rủi ro 3.11 Phân tích rủi ro (risk analysis) Sử dụng thơng tin cách có hệ thống nhằm xác định nguồn gốc ước đoán rủi ro 3.12 Đánh giá rủi ro (risk assessment) Quá trình tổng thể gồm phân tích rủi ro ước lượng rủi ro 3.13 Ước lượng rủi ro (risk evaluation) Quá trình so sánh rủi ro ước đoán với tiêu rủi ro có nhằm xác định mức độ nghiêm trọng rủi ro 3.14 Quản lý rủi ro (risk management) Các hoạt động phối hợp nhằm điều khiển quản lý tổ chức trước rủi ro xảy 3.15 Xử lý rủi ro (risk treatment) Quá trình lựa chọn triển khai biện pháp hạn chế rủi ro 3.16 Thông báo áp dụng (statement of applicability) Thông báo văn mô tả mục tiêu quản lý biện pháp quản lý thích hợp áp dụng cho hệ thống ISMS tổ chức CHÚ THÍCH: Các mục tiêu quản lý biện pháp quản lý xây dựng dựa kết trình đánh giá rủi ro xử lý rủi ro, yêu cầu pháp lý quy định, nghĩa vụ hợp đồng yêu cầu nghiệp vụ tổ chức đảm bảo an tồn thơng tin Hệ thống quản lý an tồn thơng tin 4.1 Các yêu cầu chung Tổ chức phải thiết lập, triển khai, điều hành, giám sát, sốt xét, trì cải tiến hệ thống quản lý an tồn thơng tin (ISMS) tài liệu hóa bối cảnh hoạt động nghiệp vụ chung tổ chức rủi ro phải đối mặt 4.2 Thiết lập quản lý hệ thống ISMS 4.2.1 Thiết lập hệ thống ISMS Để thiết lập hệ thống ISMS, tổ chức cần thực sau: a) Xác định phạm vi giới hạn hệ thống ISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản công nghệ Khi loại trừ biện pháp quản lý khỏi phạm vi áp dụng (xem 1) cần phải đưa lý thông tin chi tiết b) Xây dựng hoạch định sách ISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản công nghệ Chính sách này: 1) bao gồm khn khổ để xây dựng mục tiêu thiết lập định hướng nguyên tắc chung cho hành động đảm bảo an tồn thơng tin; 2) tn thủ quy định pháp lý, yêu cầu nghiệp vụ cam kết an tồn thơng tin có; 3) thiết lập trì hệ thống ISMS phần chiến lược quản lý rủi ro chung tổ chức; 4) thiết lập tiêu chí xác định rủi ro ước lượng (xem 4.2.1c); 5) cần phải ban quản lý phê duyệt CHÚ THÍCH: tiêu chuẩn này, sách ISMS xem xét danh mục đầy đủ sách an tồn thơng tin Các sách mơ tả tài liệu c) Xác định phương pháp tiếp cận đánh giá rủi ro tổ chức 1) Xác định hệ phương pháp đánh giá rủi ro phù hợp với hệ thống ISMS quy định, luật pháp, yêu cầu cam kết có cần phải tuân thủ 2) Xây dựng tiêu chí cho việc chấp nhận rủi ro vạch rõ mức rủi ro chấp nhận (xem 5.1 f) Hệ phương pháp đánh giá rủi ro lựa chọn phải đảm bảo đánh giá rủi ro đưa kết so sánh tái tạo CHÚ THÍCH: Có nhiều hệ phương pháp đánh giá rủi ro khác Ví dụ hệ phương pháp đánh giá rủi ro nêu tài liệu ISO/IEC TR 13335-3 “Information technology Guidelines for the management of IT Security - Techniques for the management of IT Security " d) Xác định rủi ro 1) Xác định tất tài sản phạm vi hệ thống ISMS đối tượng quản lý tài sản 2) Xác định mối đe doạ tài sản 3) Xác định điểm yếu bị khai thác mối đe doạ 4) Xác định tác động làm tính chất bí mật, toàn vẹn sẵn sàng tài sản e) Phân tích ước lượng rủi ro 1) Đánh giá ảnh hưởng tới hoạt động tổ chức gây cố an tồn thông tin, ý đến hậu việc tính bảo mật, tồn vẹn hay sẵn sàng tài sản 2) Đánh giá khả thực tế xảy cố an tồn thơng tin bắt nguồn từ mối đe dọa điểm yếu dự đoán Đồng thời đánh giá tác động tới tài sản biện pháp bảo vệ thực 3) Ước đoán mức độ rủi ro 4) Xác định rủi ro chấp nhận hay phải có biện pháp xử lý dựa tiêu chí chấp nhận rủi ro thiết lập 4.2.1 c)2 f) Xác định đánh giá lựa chọn cho việc xử lý rủi ro Thuật ngữ “đối tượng quản lý” ngữ cảnh dùng để cá nhân hay thực thể phê chuẩn trách nhiệm quản lý việc điều khiển sản xuất, phát triển, trì, sử dụng đảm bảo an tồn tài sản Thuật ngữ khơng dùng để người có quyền sở hữu tài sản Các hành động thực bao gồm: 1) áp dụng biện pháp quản lý thích hợp; 2) chấp nhận rủi ro với điều kiện chúng hoàn tồn thỏa mãn sách tiêu chí chấp nhận rủi ro tổ chức (xem 4.2.1 c)2); 3) tránh rủi ro; 4) chuyển giao rủi ro bên tham gia khác, bảo hiểm, nhà cung cấp g) Lựa chọn mục tiêu quản lý biện pháp quản lý để xử lý rủi ro Các mục tiêu quản lý biện pháp quản lý phải lựa chọn thực để đáp ứng yêu cầu xác định trình đánh giá rủi ro xử lý rủi ro Việc lựa chọn phải xem xét đến tiêu chí chấp nhận rủi ro (xem 4.2.1c)2) yêu cầu pháp lý, quy định cam kết phải tuân thủ Các mục tiêu quản lý biện pháp quản lý Phụ lục A lựa chọn phần thích hợp để bảo đảm yêu cầu xác định Các yêu cầu quản lý biện pháp quản lý Phụ lục A chưa thực đầy đủ Tùy trường hợp lựa chọn thêm mục tiêu quản lý biện pháp quản lý cần thiết khác CHÚ THÍCH: Phụ lục A danh sách toàn diện mục tiêu quản lý biện pháp quản lý có khả thích hợp nhiều tổ chức Người sử dụng tiêu chuẩn sử dụng Phụ lục A điểm khởi đầu việc lựa chọn biện pháp quản lý để đảm bảo khơng có biện pháp quan trọng bị bỏ sót h) Trình ban quản lý phê chuẩn rủi ro tồn đọng đề xuất i) Trình ban quản lý cho phép triển khai vận hành hệ thống ISMS j) Chuẩn bị thông báo áp dụng Thông báo áp dụng hệ thống ISMS bao gồm: 1) mục tiêu quản lý biện pháp quản lý lựa chọn 4.2 + g) lý cho lựa chọn này; 2) mục tiêu quản lý biện pháp quản lý thực (xem 4.2.1 e)2)); 3) mục tiêu quản lý biện pháp quản lý Phụ lục A loại trừ giải trình cho việc loại trừ CHÚ THÍCH: Thơng báo áp dụng cung cấp thơng tin tóm tắt định liên quan đến việc xử lý rủi ro Việc giải trình biện pháp mục tiêu quản lý Phụ lục A loại trừ giúp cho phép kiểm tra chéo, tránh khả bỏ sót 4.2.2 Triển khai điều hành hệ thống ISMS Quá trình triển khai điều hành hệ thống ISMS cần thực sau: a) Lập kế hoạch xử lý rủi ro xác định hành động quản lý thích hợp, tài nguyên, trách nhiệm mức độ ưu tiên quản lý rủi ro an tồn thơng tin (xem 5) b) Triển khai kế hoạch xử lý rủi ro nhằm đạt mục tiêu quản lý xác định bao gồm việc xem xét kinh phí đầu tư phân bổ vai trò, trách nhiệm c) Triển khai biện pháp quản lý lựa chọn 4.2.1g) để đáp ứng mục tiêu quản lý đ) Xác định cách đánh giá hiệu lực biện pháp quản lý nhóm biện pháp quản lý lựa chọn phương pháp đánh giá sử dụng việc đánh giá hiệu lực biện pháp quản lý nhằm tạo kết so sánh tái tạo (xem 4.2.3c) CHÚ THÍCH: Việc đánh giá hiệu lực biện pháp quản lý lựa chọn cho phép người quản lý nhân viên xác định biện pháp quản lý đạt mục tiêu quản lý theo kế hoạch e) Triển khai chương trình đào tạo nâng cao nhận thức (xem 5.2.2) f) Quản lý hoạt động hệ thống ISMS g) Quản lý tài nguyên dành cho hệ thống ISMS (xem 5.2) h) Triển khai thủ tục biện pháp quản lý khác có khả nhanh chóng phát kiện an tồn thơng tin phần ứng với cố an tồn thơng tin (xem 4.2.3a)) 4.2.3 Giám sát soát xét hệ thống ISMS Tổ chức thực hành động sau đây: a) Tiến hành giám sát, soát xét thủ tục biện pháp quản lý khác nhằm: 1) nhanh chóng phát lỗi kết xử lý; 2) nhanh chóng xác định cơng, lỗ hổng cố an tồn thơng tin; 3) cho phép ban quản lý xác định hoạt động an tồn thơng tin giao cho người thực công nghệ thông tin thực mong muốn; 4) hỗ trợ phát kiện an tồn thơng tin ngăn chặn sớm cố an tồn thơng tin cách sử dụng dấu hiệu cần thiết; 5) xác định hiệu lực hành động xử lý vi phạm an tồn thơng tin thực b) Thường xun sốt xét hiệu lực hệ thống ISMS (bao gồm việc đáp ứng sách mục tiêu quản lý ISMS, soát xét việc thực biện pháp quản lý an tồn thơng tin) xem xét đến kết kiểm tốn an tồn thơng tin, cố xảy ra, kết đánh giá hiệu lực, đề xuất thông tin phản hồi thu thập từ bên liên quan c) Đánh giá hiệu lực biện pháp quản lý để xác minh yêu cầu an toàn thơng tin đáp ứng d) Sốt xét đánh giá rủi ro tiến hành theo kế hoạch soát xét rủi ro tồn đọng mức độ rủi ro chấp nhận Trong lưu ý thay đổi trong: 1) tổ chức; 2) cơng nghệ; 3) mục tiêu q trình nghiệp vụ; 4) mối đe dọa an tồn thơng tin xác định; 5) hiệu lực biện pháp quản lý thực hiện; 6) kiện bên ngồi, thay đổi mơi trường pháp lý hay quy định, thay đổi nghĩa vụ hợp đồng, thay đổi hoàn cảnh xã hội e) Thực việc kiểm toán nội hệ thống ISMS cách định kỳ (xem 6) CHÚ THÍCH: Kiểm tốn nội đơi gọi kiểm tốn bên thứ thực tổ chức đại diện tổ chức f) Thực soát xét ban quản lý hệ thống ISMS cách thường xuyên để đảm bảo phạm vi đặt phù hợp xác định cải tiến cần thiết cho hệ thống ISMS (xem 7.1) g) Cập nhật kế hoạch bảo đảm an tồn thơng tin theo sát thay đổi tình hình thực tế thu qua hoạt động giám sát đánh giá h) Ghi chép, lập tài liệu hành động kiện có khả ảnh hưởng đến hiệu lực hiệu suất hệ thống ISMS (xem 4.3.3) 4.2.4 Duy trì cải tiến hệ thống ISMS Tổ chức cần thường xuyên thực hiện: a) Triển khai cải tiến xác định cho hệ thống ISMS b) Tiến hành hành động khắc phục phòng ngừa thích hợp (xem 8.2 8.3) Vận dụng kinh nghiệm có tham khảo từ tổ chức khác c) Thông báo thống với bên liên quan hành động cải tiến hệ thống ISMS d) Đảm bảo việc cải tiến phải đạt mục tiêu đặt 4.3 Các yêu cầu hệ thống tài liệu 4.3.1 Khái quát Hệ thống tài liệu bao gồm hồ sơ xử lý nhằm đảm bảo truy lại định xử lý, sách đảm bảo kết ghi nhận tái tạo lại Điều quan trọng cần nêu rõ liên quan biện pháp quản lý chọn với kết quy trình đánh giá xử lý rủi ro với sách mục tiêu hệ thống ISMS đặt Hệ thống tài liệu ISMS cần phải bao gồm: a) thông báo dạng văn sách (xem 4.2.1 b) mục tiêu hệ thống ISMS; b) phạm vi hệ thống ISMS (xem -4.2.1a); c) thủ tục biện pháp quản lý hỗ trợ cho hệ thống ISMS; d) mô tả hệ phương pháp đánh giá rủi ro (xem 4.2.1c)); e) báo cáo đánh giá rủi ro (xem 4.2.1c) tới 4.2.1 g)); f) kế hoạch xử lý rủi ro (xem 4.2.2b)); g) thủ tục dạng văn cần thiết tổ chức để đảm bảo hiệu việc lập kế hoạch, điều hành quản lý quy trình bảo đảm an tồn thơng tin mơ tả phương thức đánh giá hiệu lực biện pháp quản lý áp dụng (xem 4.2.3c); h) hồ sơ cần thiết mô tả 4.3.3 tiêu chuẩn này; i) thơng báo áp dụng CHÚ THÍCH 1: Cụm từ “thủ tục dạng văn bản” ngữ cảnh tiêu chuẩn có nghĩa thủ tục thiết lập, biên soạn thành tài liệu, triển khai trì CHÚ THÍCH 2: Quy mơ tài liệu hệ thống ISMS tổ chức khác phụ thuộc vào - quy mô loại hình hoạt động tổ chức; - phạm vi độ phức tạp yêu cầu an toàn thông tin hệ thống quản lý CHÚ THÍCH 3: Các hồ sơ tài liệu biểu diễn hình thức phương tiện phù hợp 4.3.2 Biện pháp quản lý tài liệu Các tài liệu cần thiết hệ thống ISMS cần phải bảo vệ quản lý Một thủ tục dạng văn phải thiết lập để xác định hành động quản lý cần thiết nhằm: a) phê duyệt thoả đáng tài liệu trước ban hành; b) soát xét tài liệu tiến hành sửa đổi cần thiết để phê duyệt lại; c) đảm bảo nhận biết thay đổi tình trạng sửa đổi hành tài liệu; d) đảm bảo phiên tài liệu thích hợp ln có sẵn nơi cần sử dụng; e) đảm bảo tài liệu phải rõ ràng, dễ đọc dễ nhận biết; f) đảm bảo tài liệu phải sẵn sàng người cần, chuyển giao, lưu trữ hủy bỏ theo thủ tục phù hợp g) đảm bảo tài liệu có nguồn gốc bên nhận biết; h) đảm bảo việc phân phối tài liệu phải quản lý; i) tránh việc vơ tình sử dụng phải tài liệu bị thay thế; j) áp dụng biện pháp định danh phù hợp tài liệu cần lưu trữ 4.3.3 Biện pháp quản lý hồ sơ Các hồ sơ phải thiết lập trì để cung cấp dẫn chứng thể phù hợp với yêu cầu hoạt động hiệu hệ thống ISMS Các hồ sơ phải bảo vệ quản lý Hệ thống ISMS phải ý đến yêu cầu pháp lý quy định liên quan nghĩa vụ hợp đồng Hồ sơ phải dễ đọc, dễ nhận biết truy xuất Các biện pháp quản lý cần thiết để định danh, lưu trữ, bảo vệ, truy xuất, định thời gian trì xếp hồ sơ phải ghi thành văn triển khai Các hồ sơ phải lưu giữ thực quy trình nêu 4.2 cố an tồn thơng tin quan trọng liên quan đến hệ thống ISMS VÍ DỤ: hồ sơ sách ghi chép khách đến, báo cáo kiểm toán Trách nhiệm ban quản lý 5.1 Cam kết ban quản lý Ban quản lý phải chứng minh cam kết việc thiết lập, triển khai, điều hành, giám sát, sốt xét, trì cải tiến hệ thống quản lý an tồn thơng tin việc: a) thiết lập sách cho hệ thống ISMS; b) đảm bảo mục tiêu kế hoạch hệ thống ISMS xây dựng; c) thiết lập vai trò trách nhiệm an tồn thơng tin; d) trao đổi với tổ chức tầm quan trọng việc đảm bảo mục tiêu an tồn thơng tin việc tn thủ sách an tồn thơng tin, trách nhiệm trước pháp luật cần thiết tiếp tục cải tiến; e) cung cấp đầy đủ tài nguyên cho trình thiết lập, triển khai, điều hành, giám sát, sốt xét, trì cải tiến hệ thống ISMS (xem 5.2.1); f) xác định tiêu chí chấp nhận rủi ro mức độ rủi ro chấp nhận được; g) đảm bảo việc kiểm toán nội hệ thống ISMS thực (xem 6); h) triển khai việc soát xét ban quản lý hệ thống ISMS (xem 7) 5.2 Quản lý nguồn lực 5.2.1 Cấp phát nguồn lực Tổ chức phải xác định cung cấp nguồn lực cần thiết cho việc: a) thiết lập, triển khai, điều hành, giám sát, sốt xét, trì cải tiến hệ thống ISMS; b) đảm bảo thủ tục an tồn thơng tin hỗ trợ cho u cầu nghiệp vụ; c) xác định áp dụng yêu cầu pháp lý, quy định nghĩa vụ an tồn thơng tin hợp đồng; d) trì đầy đủ an tồn thơng tin cách áp dụng tất biện pháp quản lý triển khai; e) thực sốt xét có biện pháp xử lý cần thiết; f) nâng cao hiệu lực hệ thống ISMS cần thiết 5.2.2 Đào tạo, nhận thức lực Tổ chức phải đảm bảo người có trách nhiệm hệ thống ISMS phải có đầy đủ lực để thực nhiệm vụ giao cách: a) xác định kỹ cần thiết nhân viên thực cơng việc có tác động đến hệ thống ISMS; b) cung cấp khóa đào tạo tuyển chọn người có lực để thỏa mãn yêu cầu; c) đánh giá mức độ hiệu hoạt động thực hiện; d) lưu giữ hồ sơ việc học vấn, trình đào tạo, kỹ năng, kinh nghiệm trình độ chun mơn (xem 4.3.3) Tổ chức cần đảm bảo cá nhân liên quan nhận thức tầm quan trọng hoạt động đảm bảo an tồn thơng tin hiểu cách góp phần để đạt mục tiêu hệ thống ISMS Kiểm toán nội hệ thống ISMS Tổ chức phải thực kiểm toán nội hệ thống ISMS theo kế hoạch để xác định mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục hệ thống ISMS có: a) tuân thủ yêu cầu tiêu chuẩn quy định pháp lý liên quan; b) tuân thủ các u cầu đảm bảo an tồn thơng tin xác định; c) triển khai trì hiệu quả; d) hoạt động diễn mong muốn Các chương trình kiểm tốn phải lên kế hoạch, có xem xét đến trạng tầm quan trọng quy trình phạm vi kiểm tốn Các tiêu chí, phạm vi, tần suất phương pháp kiểm toán phải xác định Việc lựa chọn người tiến hành kiểm toán (kiểm toán viên) việc thực kiểm tốn phải đảm bảo tính khách quan, cơng cho q trình kiểm tốn Kiểm tốn viên khơng kiểm tốn cơng việc Các trách nhiệm yêu cầu cho việc lập kế hoạch thực kiểm toán, báo cáo kết lưu giữ hồ sơ (xem 4.3.3) phải xác định thủ tục dạng văn Ban quản lý chịu trách nhiệm cho phạm vi kiểm toán phải đảm bảo thời gian trì hỗn để loại bỏ điểm không phù hợp nguyên nhân chúng Các hoạt động bao gồm việc thẩm tra hoạt động thực lập báo cáo kết thẩm tra (xem 8) CHÚ THÍCH: Tiêu chuẩn ISO 19011:2002 "Guidelines for quality and/or environmental management systems auditing’ cung cấp hướng dẫn hữu ích cho việc triển khai kiểm toán nội hệ thống ISMS Soát xét ban quản lý hệ thống ISMS 7.1 Khái quát Ban quản lý phải soát xét hệ thống ISMS tổ chức theo kế hoạch đặt (ít lần năm) để ln đảm bảo tính phù hợp, đầy đủ hiệu Việc sốt xét bao gồm đánh giá khả cải tiến cần thiết phải thay đổi hệ thống ISMS, bao gồm sách an tồn thơng tin mục tiêu an tồn thơng tin Kết việc soát xét phải lập thành tài liệu rõ ràng hồ sơ phải lưu giữ (xem 4.3.3) 7.2 Đầu vào việc soát xét Đầu vào cho ban quản lý tiến hành việc soát xét hệ thống ISMS bao gồm: a) kết kiểm toán soát xét hệ thống ISMS; b) thông tin phản hồi từ bên liên quan; c) kỹ thuật, sản phẩm thủ tục sử dụng tổ chức nhằm nâng cao hiệu hiệu suất hệ thống ISMS; d) trạng hành động phòng ngừa hành động khắc phục; e) lỗ hỏng nguy an tồn thơng tin khơng giải thoả đáng lần đánh giá rủi ro trước; f) kết đánh giá hiệu lực hệ thống; g) hoạt động lần soát xét trước ban quản lý; h) thay đổi có ảnh hưởng đến hệ thống ISMS; i) kiến nghị nhằm cải tiến hệ thống 7.3 Đầu việc soát xét Ban quản lý sau soát xét hệ thống ISMS cần đưa định hành động liên quan sau đây: a) Nâng cao hiệu lực hệ thống ISMS b) Cập nhật kế hoạch đánh giá xử lý rủi ro c) Sửa đổi thủ tục biện pháp quản lý cần thiết có ảnh hưởng đến an tồn thơng tin nhằm đối phó lại với kiện từ bên bên ngồi gây tác động đến hệ thống ISMS, bao gồm thay đổi về: 1) yêu cầu hoạt động nghiệp vụ; 2) u cầu an tồn thơng tin; 3) quy trình nghiệp vụ có ảnh hưởng tới yêu cầu hoạt động nghiệp vụ tổ chức; 4) yêu cầu pháp lý quy định; 5) nghĩa vụ theo hợp đồng ký kết; 6) mức độ rủi ro và/hoặc tiêu chí chấp nhận rủi ro d) Các nhu cầu cần thiết nguồn lực e) Cải tiến phương thức đánh giá hiệu lực biện pháp quản lý Cải tiến hệ thống ISMS 8.1 Cải tiến thường xuyên Tổ chức phải thường xuyên nâng cao tính hiệu lực hệ thống ISMS thông qua việc sử dụng sách an tồn thơng tin, mục tiêu đảm bảo an tồn thơng tin, kết kiểm tốn, kết phân tích kiện giám sát, hành động phòng ngừa khắc phục kết soát xét ban quản lý (xem 7) 8.2 Hành động khắc phục Tổ chức phải thực hành động loại bỏ nguyên nhân vi phạm yêu cầu hệ thống ISMS Các thủ tục dạng văn cho hành động khắc phục phải xác định rõ yêu cầu việc: a) xác định vi phạm; b) tìm nguyên nhân vi phạm trên; c) đánh giá cần thiết hành động ngăn chặn vi phạm xuất trở lại; d) định triển khai hành động khắc phục cần thiết; e) lập hồ sơ kết thực hành động (xem 4.3.3); f) soát xét lại hành động khắc phục thực 8.3 Hành động phòng ngừa Tổ chức cần xác định hành động để loại trừ nguyên nhân gây vi phạm tiềm ẩn yêu cầu hệ thống ISMS để phòng ngừa vi phạm xảy Các hành động phòng ngừa cần thực phù hợp với tác động mà vi phạm gây Các thủ tục dạng văn cho hành động phòng ngừa cần xác định rõ yêu cầu việc: a) xác định vi phạm tiềm ẩn nguyên nhân gây chúng; b) đánh giá cần thiết hành động ngăn chặn vi phạm xuất hiện; c) định triển khai hành động trên; d) lập hồ sơ kết hành động thực (xem 4.3.3); e) soát xét lại hành động phòng ngừa thực Tổ chức cần nhận biết rủi ro thay đổi xác định hành động phòng ngừa phù hợp đáp ứng lại thay đổi Mức ưu tiên hành động phòng ngừa phải xác định dựa kết trình đánh giá rủi ro CHÚ THÍCH: Hành động nhằm ngăn chặn vi phạm thường hiệu kinh tế hành động khắc phục cố vi phạm gây PHỤ LỤC A (Quy định) CÁC MỤC TIÊU QUẢN LÝ VÀ BIỆN PHÁP QUẢN LÝ Các mục tiêu biện pháp quản lý bảng A.1 xây dựng từ điều đến 15 tiêu chuẩn quốc tế ISO/IEC 17799:2005 Nội dung bảng A.1 chưa hoàn toàn đầy đủ nên tổ chức tham khảo thêm mục tiêu biện pháp quản lý khác Việc lựa chọn mục tiêu biện pháp quản lý bảng A.1 coi phần trình thiết lập hệ thống ISMS (xem 4.2.1) Điều đến 15 tiêu chuẩn quốc tế ISO/IEC 17799:2005 cung cấp khuyến cáo hướng dẫn triển khai thực tế cho biện pháp quản lý bảng A.1 Bảng A.1 - Các mục tiêu biện pháp quản lý A.5 Chính sách an tồn A.5.1 Chính sách an tồn thơng tin Mục tiêu: Nhằm cung cấp định hướng quản lý hỗ trợ bảo đảm an tồn thơng tin thỏa mãn với yêu cầu hoạt động nghiệp vụ, môi trường pháp lý quy định phải tuân thủ A.5.1.1 A.5.1.2 Tài liệu sách an tồn thơng tin Biện pháp quản lý Một tài liệu sách an tồn thơng tin cần phải phê duyệt ban quản lý cung cấp, thông báo tới nhân viên bên liên quan Sốt xét lại sách an Biện pháp quản lý tồn thơng tin Chính sách an tồn thơng tin cần thường xuyên soát xét theo kế hoạch Khi có thay đổi lớn xuất để đảm bảo phù hợp, đầy đủ thực có hiệu lực A.6 Tổ chức đảm bảo an tồn thơng tin A.6.1 Tổ chức nội Mục tiêu: Nhằm quản lý an tồn thơng tin bên tổ chức A.6.1.1 Cam kết ban quản lý Biện pháp quản lý bảo đảm an toàn Ban quản lý phải chủ động hỗ trợ bảo đảm an tồn thơng tin thông tin tổ chức định hướng rõ ràng, cam kết thấy được, nhiệm vụ rõ ràng nhận thức rõ trách nhiệm bảo đảm an tồn thơng tin A.6.1.2 Phối hợp bảo đảm an tồn thơng tin Biện pháp quản lý Các hoạt động bảo đảm an tồn thơng tin cần phải phối hợp đại diện phận tổ chức với vai trò nhiệm vụ cụ thể A.10.3 Lập kế hoạch chấp nhận hệ thống Mục tiêu: Giảm thiểu rủi ro đổ vỡ hệ thống A 10.3.1 A.10.3.2 Quản lý lực hệ thống Biện pháp quản lý Chấp nhận hệ thống Biện pháp quản lý Việc sử dụng tài nguyên phải giám sát, điều chỉnh có dự đoán yêu cầu lực hệ thống tương lai nhằm đảm bảo hiệu suất cần thiết Tiêu chí chấp nhận hệ thống thơng tin mới, cải tiến phiên cần thiết lập kiểm tra hệ thống thích hợp cần tiến hành trình phát triển trước chấp nhận A.10.4 Bảo vệ chống lại mã độc mã di động Mục tiêu: Nhằm bảo vệ tính tồn vẹn phần mềm thơng tin A.10.4.1 Quản lý chống lại mã độc Biện pháp quản lý Các biện pháp quản lý việc phát hiện, ngăn chặn phục hồi nhằm chống lại đoạn mã độc thủ tục tuyên truyền nâng cao nhận thức người sử dụng phải thực A 10.4.2 Kiểm soát mã di động Biện pháp quản lý Đối với mã di động hợp lệ, việc cài đặt phải đảm bảo phù hợp với sách an tồn đặt Ngược lại, đoạn mã di động trái phép bị ngăn chặn A.10.5 Sao lưu Mục tiêu: Nhằm trì tồn vẹn sẵn sàng thơng tin phương tiện xử lý thông tin A.10.5.1 Sao lưu thông tin Biện pháp quản lý Thông tin phần mềm cần lưu cần kiểm tra thường xuyên phù hợp với sách lưu chấp thuận A.10.6 Quản lý an toàn mạng Mục tiêu: Nhằm đảm bảo an toàn cho thơng tin mạng an tồn cho sở hạ tầng hỗ trợ A.10.6.1 Kiểm soát mạng Biện pháp quản lý Các mạng cần phải quản lý kiểm soát cách thỏa đáng nhằm bảo vệ khỏi mối đe dọa trì an tồn cho hệ thống, ứng dụng sử dụng mạng thông tin truyền mạng A.10.6.2 An toàn cho dịch vụ mạng Biện pháp quản lý Các tính an toàn, mức độ dịch vụ yêu cầu quản lý tất dịch vụ mạng phải xác định ghi rõ thỏa thuận dịch vụ mạng, dịch vụ nội cấp hay thuê khoán A.10.7 Quản lý phương tiện Mục tiêu: Nhằm ngăn ngừa tiết lộ, sửa đổi, xoá bỏ phá hoại bất hợp pháp tài sản gián đoạn hoạt động nghiệp vụ A 10.7.1 Quản lý phương tiện Biện pháp quản lý di dời Cần phải có thủ tục sẵn sàng cho việc quản lý phương tiện di dời A 10.7.2 Loại bỏ phương tiện Biện pháp quản lý Các phương tiện cần loại bỏ cách an toàn bảo mật khơng cần thiết theo thủ tục xử lý thức A.10.7.3 A 10.7:4 Các thủ tục xử lý thơng tin Biện pháp quản lý An tồn cho tài liệu hệ thống Biện pháp quản lý Các thủ tục cho việc xử lý lưu trữ thông tin phải thiết lập nhằm bảo vệ thông tin khỏi tiết lộ sử dụng bất hợp pháp Các tài liệu hệ thống cần bảo vệ khỏi truy cập trái phép A 10.8 Trao đổi thơng tin Mục tiêu: Nhằm trì an tồn cho thông tin phần mềm trao đổi nội tổ chức với thực thể bên ngồi A 10.8.1 Các sách thủ tục Biện pháp quản lý trao đổi thơng tin Các sách, thủ tục biện pháp quản lý thức cần phải sẵn có để bảo vệ trao đổi thơng tin thông qua hệ thống truyền thông A.10.8.2 Các thỏa thuận trao đổi Biện pháp quản lý Các thỏa thuận cần thiết lập cho việc trao đổi thông tin phần mềm tổ chức thực thể bên A.10.8.3 Vận chuyển phương tiện Biện pháp quản lý vật lý Phương tiện chứa thông tin cần bảo vệ khỏi truy cập trái phép, lạm dụng làm sai lạc vận chuyển vượt phạm vi địa lý tổ chức A 10.8.4 Thông điệp điện tử Biện pháp quản lý Thông tin bao hàm thông điệp điện tử cần bảo vệ cách thỏa đáng A 10.8.5 Các hệ thống thông tin nghiệp vụ Biện pháp quản lý Các sách, thủ tục cần phát triển triển khai nhằm bảo vệ thông tin gắn với kết nối các hệ thống thông tin nghiệp vụ A 10.9 Các dịch vụ thương mại điện tử Mục tiêu: Nhằm đảm bảo an toàn cho dịch vụ thương mại điện tử việc sử dụng an toàn dịch vụ A.10.9.1 Thương mại điện tử Biện pháp quản lý Thông tin thương mại điện tử truyền qua mạng công cộng cần phải bảo vệ khỏi hoạt động gian lận, tranh cãi giao kèo tiết lộ, sửa đổi trái phép A 10.9.2 Các giao dịch trực tuyến Biện pháp quản lý Thông tin giao dịch trực tuyến cần bảo vệ khỏi việc truyền không đầy đủ, sai địa chỉ, bị sửa đổi thông điệp trái phép, bị tiết lộ nhân thông điệp cách trái phép A 10.9.3 Thông tin công khai Biện pháp quản lý Tính tồn vẹn thơng tin cơng khai hệ thống công cộng cần phải bảo vệ nhằm ngăn chặn sửa đổi trái phép A.10.10 Giám sát Mục tiêu: Nhằm phát hoạt động xử lý thông tin trái phép A.10.10.1 Ghi nhật ký kiểm toán Biện phép quản lý Việc ghi lại tất hoạt động người dùng, lỗi ngoại lệ kiện an tồn thơng tin cần phải thực trì khoảng thời gian thỏa thuận nhằm trợ giúp cho việc điều tra giám sát điều khiển truy cập sau A.10.10.2 Giám sát việc sử dụng hệ Biện pháp quản lý thống Các thủ tục giám sát việc sử dụng phương tiện xử lý thông tin cần thiết lập kết giám sát cần phải xem xét thường xuyên A 10.10.3 Bảo vệ thông tin nhật Biện pháp quản lý ký Các chức ghi nhật ký thông tin nhật ký cần bảo vệ khỏi giả mạo truy cập trái phép A.10.10.4 Nhật ký người điều hành Biện pháp quản lý người quản trị Tất hoạt động người quản trị người điều hành hệ thống cần phải ghi lại A.10.10.5 Nhật ký lỗi Biện pháp quản lý Các lỗi cần ghi lại phân tích có hoạt động xử lý cần thiết A.10.10.6 Đồng thời gian Biện phép quản lý Đồng hồ hệ thống xử lý thông tin tổ chức phạm vi an toàn cần đồng với nguồn thời gian xác đồng ý lựa chọn A.11 Quản lý truy cập A 11.1 Yêu cầu nghiệp vụ cho quản lý truy cập Mục tiêu: Quản lý truy cập thơng tin A.11.1.1 Chính sách quản lý truy cập Biện pháp quản lý Chính sách quản lý truy cập cần thiết lập, ghi thành văn soát xét dựa yêu cầu bảo mật nghiệp vụ cho truy cập A.11.2 Quản lý truy cập người sử dụng Mục tiêu: Nhằm đảm bảo người dùng hợp lệ truy cập ngăn chặn người dùng không hợp lệ truy cập trái phép đến hệ thống thông tin A.11.2.1 Đăng ký thành viên Biện pháp quản lý Cần thiết phải cố thủ tục thức đăng ký hủy đăng ký thành viên để thực cấp phát thu hồi quyền truy cập đến tất hệ thống dịch vụ thông tin A.11.2.2 Quản lý đặc quyền Biện pháp quản lý Việc cấp phát sử dụng đặc quyền cần phải giới hạn kiểm soát A 11.2.3 Quản lý mật người Biện pháp quản lý sử dụng Việc cấp phát mật người dùng cần kiểm sốt thơng qua quy trình quản lý thức A.11.2.4 Sốt xét quyền truy cập người dùng Biện pháp quản lý Ban quản lý cần định kỳ soát xét quyền truy cập người dùng theo quy trình thức A.11.3 Các trách nhiệm người dùng Mục tiêu: Nhằm ngăn chặn người dùng trái phép truy cập, làm tổn hại lấy cắp thông tin phương tiện xử lý thông tin A.11.3.1 Sử dụng mật Biện pháp quản lý Người dùng phải yêu cầu tuân thủ quy tắc thực hành an toàn tốt việc lựa chọn sử dụng mật A.11.3.2 Các thiết bị không Biện pháp quản lý quản lý Người dùng cần đảm bảo thiết bị không quản lý phải bảo vệ thích hợp A 11.3.3 Chính sách giữ bàn Biện pháp quản lý hình làm việc Chính sách bàn làm việc khơng có giấy phương tiện lưu trữ di động sách hình cho phương tiện xử lý thông tin phải thực A.11.4 Quản lý truy cập mạng Mục tiêu: Nhằm ngăn chặn truy cập trái phép dịch vụ mạng A.11.4.1 Chính sách sử dụng Biện pháp quản lý dịch vụ mạng Người dùng cung cấp quyền truy cập đến dịch vụ mà họ cho phép A.11.4.2 Xác thực người dùng cho Biện pháp quản lý kết nối bên Các biện pháp xác thực thích hợp cần sử dụng để quản lý truy cập người dùng từ xa A.11.4.3 Định danh thiết bị mạng Biện pháp quản lý Định danh thiết bị tự động cần xem xét biện pháp để xác thực kết nối từ vị trí thiết bị cụ thể A 11.4.4 Bảo vệ cổng cấu hình Biện pháp quản lý chẩn đốn từ xa Các truy cập lơgic vật lý tới cổng dùng cho việc cấu hình chẩn đốn cần kiểm sốt A.11.4.5 Phân tách mạng Biện pháp quản lý Các nhóm người dùng, dịch vụ hệ thống thông tin cần phân tách mạng A.11.4.6 Quản lý kết nối mạng Biện pháp quản lý Đối với mạng chia sẻ, đặc biệt mạng mở rộng tổ chức, số lượng người dùng kết nối vào mạng phải giới hạn, phù hợp với sách quản lý truy cập yêu cầu ứng dụng nghiệp vụ (xem 11.1) A.11.4.7 Quản lý định tuyến mạng Biện pháp quản lý Quản lý định tuyến mạng cần triển khai nhằm đảm bảo kết nối máy tính luồng thơng tin khơng vi phạm sách quản lý truy cập ứng dụng nghiệp vụ A.11.5 Quản lý truy cập hệ thống điều hành Mục tiêu: Nhằm ngăn chặn truy cập trái phép tới hệ thống điều hành A.11.5.1 Các thủ tục đăng nhập an Biện pháp quản lý toàn Truy cập đến hệ thống điều hành cần kiểm sốt thủ tục đăng nhập an tồn A.11.5.2 Định danh xác thực người dùng Biện pháp quản lý Hệ thống quản lý mật Biện pháp quản lý Sử dụng tiện ích hệ thống Biện pháp quản lý Thời gian giới hạn phiên làm việc Biện pháp quản lý A.11.5.3 A 11.5.4 A.11.5.5 A.11.5.6 Tất người dùng phải có định danh (định danh người dùng - User ID) để sử dụng cho mục đích cá nhân Một kỹ thuật xác thực thích hợp cần chọn nhầm chứng thực đặc điểm nhận dạng người dùng Các hệ thống quản lý mật phải có khả tương tác bảo đảm chất lượng mật Việc sử dụng chương trình tiện ích có khả ảnh hưởng đến việc quản lý hệ thống chương trình ứng dụng khác phải giới hạn kiểm soát chặt chẽ Các phiên làm việc không hoạt động cần ngắt sau khoảng thời gian trễ định Giới hạn thời gian kết nối Biện pháp quản lý Cần hạn chế thời gian kết nối để làm tăng độ an tồn cho ứng dụng có mức rủi ro cao A.11.6 Điều khiển truy cập thông tin ứng dụng Mục tiêu: Nhằm ngăn chặn truy cập trái phép đến thông tin lưu hệ thống ứng dụng A.11.6.1 Hạn chế truy cập thông tin Biện pháp quản lý Truy cập người sử dụng nhân viên hỗ trợ tới thông tin chức hệ thống ứng dụng cần hạn chế phù hợp với sách quản lý truy cập xác định A.11.6.2 Cách ly hệ thống nhạy cảm Biện pháp quản lý Các hệ thống nhạy cảm cần có mơi trường máy tính cách ly A.11.7 Tính tốn qua thiết bị di động làm việc từ xa Mục tiêu: Nhằm đảm bảo an tồn thơng tin sử dụng phương tiện tính tốn di động làm việc từ xa A.11.7.1 Tính tốn truyền thơng Biện pháp quản lý qua thiết bị di động Một sách thức cần chuẩn bị biện pháp an tồn thơng tin thích hợp cần chấp nhận nhằm bảo vệ khỏi rủi ro sử dụng tính tốn truyền thơng di động A 11.7.2 Làm việc từ xa Biện pháp quản lý Một sách, kế hoạch điều hành thủ tục cần phát triển triển khai cho hoạt động làm việc từ xa A.12 Tiếp nhận, phát triển trì hệ thống thơng tin A.12.1 Yêu cầu đảm bảo an toàn cho hệ thống thơng tin Mục tiêu: Nhằm đảm bảo an tồn thông tin phần thiếu hệ thống thơng tin A.12.1.1 Phân tích đặc tả yêu cầu an toàn Biện pháp quản lý Các thông báo yêu cầu nghiệp vụ hệ thống thông tin cải tiến từ hệ thống thơng tin có sẵn cần rõ yêu cầu biện pháp quản lý an toàn thông tin A 12.2 Xử lý ứng dụng Mục tiêu Nhằm ngăn chặn lỗi, mát, sửa đổi sử dụng trái phép thông tin ứng dụng A 12.2.1 Kiểm tra tính hợp lệ Biện pháp quản lý liệu nhập vào Dữ liệu nhập vào ứng dụng cần kiểm tra tính hợp lệ để đảm bảo liệu xác thích hợp A.12.2.2 Kiểm sốt việc xử lý nội A 12.2.3 Biện pháp quản lý Việc kiểm tra tính hợp lệ cần tích hợp ứng dụng nhằm phát thông tin sai lệch lỗi trình xử lý hành vi có chủ ý Tính tồn vẹn thơng điệp Biện pháp quản lý Các yêu cầu bảo đảm tính xác thực bảo vệ tồn vẹn thơng điệp ứng dụng cần xác định Bên cạnh biện pháp quản lý phù hợp cần xác định triển khai A.12.2.4 Kiểm tra tính hợp lệ Biện pháp quản lý liệu đầu Dữ liệu xuất từ ứng dụng cần kiểm tra nhằm đảm bảo trình xử lý thơng tin xác thích hợp trường hợp A.12.3 Quản lý mã hóa Mục đích: Nhằm bảo vệ tính bảo mật, xác thực tồn vẹn thơng tin biện pháp mã hóa A.12.3.1 Chính sách sử dụng Biện pháp quản lý biện pháp quản lý mã hóa Một sách việc sử dụng biện pháp quản lý mã hóa để bảo vệ thông tin cần xây dựng triển khai A.12.3.2 Quản lý khóa Biện pháp quản lý Việc quản lý khóa cần sẵn sàng để hỗ trợ cho kỹ thuật mã hóa sử dụng tổ chức A.12.4 An toàn cho tệp tin hệ thống Mục tiêu: Nhằm đảm bảo an toàn cho tệp tin hệ thống A.12.4.1 A.12.4.2 A.12.4.3 Quản lý phần mềm điều hành Biện pháp quản lý Bảo vệ liệu kiểm tra hệ thống Biện pháp quản lý Cần phải có thủ tục sẵn sàng cho việc quản lý trình cài đặt phần mềm hệ thống điều hành Dữ liệu kiểm tra cần lựa chọn, bảo vệ kiểm soát cách thận trọng Quản lý truy cập đến mã Biện pháp quản lý nguồn chương trình Việc truy cập đến mã nguồn chương trình cần giới hạn chặt chẽ A12.5 Bảo đảm an tồn quy trình hỗ trợ phát triển Mục tiêu: Nhằm trì an tồn thơng tin phần mềm hệ thống ứng dụng A.12.5.1 Các thủ tục quản lý thay Biện pháp quản lý đổi Việc thực thi thay đổi phải quản lý việc áp dụng thủ tục quản lý thay đổi thức A.12.5.2 Sốt xét kỹ thuật ứng Biện pháp quản lý dụng sau thay đổi hệ Khi hệ điều hành thay đổi, ứng dụng nghiệp vụ thống điều hành quan trọng cần soát xét kiểm tra lại nhằm đảm bảo không xảy ảnh hưởng bất lợi tới hoạt động an toàn tổ chức A.12.5.3 Hạn chế thay đổi gói Biện pháp quản lý phần mềm Việc sửa đổi gói phần mềm khơng khuyến khích, cần hạn chế thực thay đổi cần thiết Trong trường hợp này, thay đổi cần phải quản lý chặt chẽ A 12.5.4 Sự rò rỉ thơng tin Biện pháp quản lý Các điều kiện gây rò rỉ thơng tin cần phải ngăn chặn A 12.5.5 Phát triển phần mềm thuê Biện pháp quản lý khoán Việc phát triển phần mềm thuê khoán cần phải quản lý giám sát tổ chức A.12.6 Quản lý điểm yếu kỹ thuật Mục tiêu: Nhằm giảm thiểu mối nguy hiểm xuất phát từ việc tin tặc khai thác điểm yếu kỹ thuật công bố A.12.6.1 Quản lý điểm yếu Biện pháp quản lý mặt kỹ thuật Thông tin kịp thời điểm yếu kỹ thuật hệ thống thông tin sử dụng cần phải thu thập Tổ chức cần công bố đánh giá điểm yếu thực biện pháp thích hợp để giải rủi ro liên quan A.13 Quản lý cố an tồn thơng tin A.13.1 Báo cáo kiện an tồn thơng tin nhược điểm Mục tiêu: Nhằm đảm bảo kiện an tồn thơng tin nhược điểm liên quan tới hệ thống thông tin trao đổi để hành động khắc phục tiến hành kịp thời A.13.1.1 A.13.1.2 Báo cáo kiện an tồn thơng tin Biện pháp quản lý Các kiện an tồn thơng tin cần báo cáo thơng qua kênh quản lý thích hợp theo cách nhanh Báo cáo nhược điểm Biện pháp quản lý an tồn thơng tin Mọi nhân viên, nhà thầu bên thứ ba hệ thống dịch vụ thông tin cần yêu cầu ghi lại báo cáo nhược điểm an toàn thấy cảm thấy nghi ngờ hệ thống dịch vụ A 13.2 Quản lý cố an tồn thơng tin cải tiến Mục tiêu: Nhằm đảm bảo cách tiếp cận hiệu quán áp dụng việc quản lý cố an toàn thông tin A.13.2.1 Các trách nhiệm thủ tục Biện pháp quản lý Các trách nhiệm thủ tục quản lý cần thiết lập nhằm đảm bảo phản ứng nhanh chóng, hiệu quả, trình tự xảy cố an tồn thơng tin A 13.2.2 Rút học kinh nghiệm Biện pháp quản lý từ cố an tồn Cần phải có chế sẵn sàng nhằm cho phép thông tin lượng hóa giám sát kiểu, số lượng chi phí cố an tồn thơng tin A.13.2.3 Thu thập chứng Biện pháp quản lý Khi hành động nhằm chống lại người hay tổ chức sau có cố an tồn thơng tin xảy ra, liên quan đến pháp luật (có thể dân hay hình sự), chứng cần thu thập, giữ lại trình bày cho phù hợp với quy định pháp lý A.14 Quản lý liên tục hoạt động nghiệp vụ A.14.1 Các khía cạnh an tồn thơng tin quản lý liên tục hoạt động nghiệp vụ Mục tiêu: Chống lại gián đoạn hoạt động nghiệp vụ bảo vệ quy trình hoạt động trọng yếu khỏi ảnh hưởng lỗi hệ thống thông tin hay thảm hoạ đảm bảo khả khôi phục hoạt động bình thường lúc A.14.1.1 Tính đến an tồn thơng tin quy trình quản lý liên tục hoạt động nghiệp vụ Biện pháp quản lý Một quy trình quản lý cần xây dựng trì nhằm đảm bảo hoạt động quan/tổ chức không bị gián đoạn Nội dung quy trình phải đề cập yêu cầu an tồn thơng tin cần thiết để đảm bảo hoạt động liên tục tổ chức A.14.1.2 Đánh giá rủi ro liên Biện pháp quản lý tục hoạt động Các kiện gây gián đoạn hoạt động tổ chức tổ chức cần xác định với xác suất, ảnh hưởng hậu chúng an tồn thơng tin A.14.1.3 Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề bảo đảm an tồn thơng tin Biện pháp quản lý Các kế hoạch phải phát triển triển khai nhằm trì khơi phục hoạt động điều hành đảm bảo tính sẵn sàng thông tin mức độ yêu cầu đáp ứng yêu cầu thời gian xử lý gián đoạn hư hỏng trình nghiệp vụ quan trọng A.14.1.4 Khung hoạch định liên Biện pháp quản lý tục hoạt động Một khung hoạch định kế hoạch đảm bảo liên tục nghiệp vụ hoạt động nghiệp vụ cần trì để kế hoạch thực cách quán đạt yêu cầu đảm bảo an tồn thơng tin xác định mức độ ưu tiên cho việc kiểm tra trì A.14.1.5 Kiểm tra, trì đánh Biện pháp quản lý giá lại kế hoạch đảm Các kế hoạch đảm bảo liên tục hoạt động đơn bảo liên tục hoạt vị cần kiểm tra cập nhật thường xuyên nhằm động tổ chức ln đảm bảo tính cập nhật hiệu A.15 Sự tuân thủ A.15.1 Sự tuân thủ quy định pháp lý Mục tiêu: Nhằm tránh vi phạm pháp luật, quy định, nghĩa vụ theo hợp đồng ký kết, yêu cầu bảo đảm an toàn thông tin A.15.1.1 Xác định điều luật Biện pháp quản lý áp dụng Tất yêu cầu pháp lý; quy định; nghĩa vụ hợp đồng ký cách tiếp cận tổ chức để đáp ứng yêu cầu phải xác định rõ ràng, ghi thành văn cập nhật thường xuyên A.15.1.2 Quyền sở hữu trí tuệ (IPR) A.15.1.3 Biện pháp quản lý Các thủ tục phù hợp cần triển khai nhằm đảm bảo phù hợp với yêu cầu pháp lý, quy định cam kết theo hợp đồng việc sử dụng tài liệu có quyền sở hữu trí tuệ sản phẩm phần mềm độc quyền Bảo vệ hồ sơ tổ chức Biện pháp quản lý Các hồ sơ quan trọng cần bảo vệ khỏi mát, phá hủy làm sai lệnh, phù hợp với pháp luật, quy định, nghĩa vụ hợp đồng ký A.15.1.4 Bảo vệ liệu Biện pháp quản lý riêng tư thông tin cá Việc bảo vệ liệu tính riêng tư cần đảm bảo nhân theo yêu cầu pháp lý quy định điều khoản hợp đồng có A.15.1.5 Ngăn ngừa việc lạm dụng Biện pháp quản lý phương tiện xử lý thông Cần phải ngăn chặn người dùng khỏi việc sử dụng tin phương tiện xử lý thơng tin vào mục đích khơng phép A.15.1.6 Quy định quản lý mã hóa Biện pháp quản lý Quản lý mã hóa cần áp dụng phù hợp với thỏa thuận, luật pháp quy định liên quan A.15.2 Sự tuân thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật Mục tiêu: Nhằm đảm bảo tuân thủ hệ thống với sách tiêu chuẩn an toàn tổ chức A.15.2.1 A.15.2.2 Sự tuân thủ sách tiêu chuẩn an tồn Biện pháp quản lý Kiểm tra tương thích kỹ thuật Biện pháp quản lý Người quản lý cần đảm bảo thủ tục đảm bảo an toàn phạm vi trách nhiệm thực xác để đạt kết phù hợp với sách tiêu chuẩn an toàn Các hệ thống thông tin cần kiểm tra thường xuyên tuân thủ tiêu chuẩn thực an toàn A.15.3 Xem xét việc kiểm tốn hệ thống thơng tin Mục tiêu: Nhằm tối ưu hóa hiệu giảm thiểu ảnh hưởng xấu tới q trình kiểm tốn hệ thống thông tin A 15.3.1 A 15.3.2 Các biện pháp quản lý kiểm tốn hệ thống thơng tin Biện pháp quản lý Các yêu cầu kiểm toán hoạt động kiểm tra hệ thống điều hành cần hoạch định thận trọng thống để hạn chế rủi ro đổ vỡ quy trình hoạt động nghiệp vụ Bảo vệ cơng cụ kiểm Biện pháp quản lý tốn hệ thống thơng tin Truy cập đến cơng cụ kiểm tốn hệ thống thông tin cần bảo vệ khỏi lạm dụng lợi dụng PHỤ LỤC B (Tham khảo) CÁCH TIẾP CẬN THEO QUY TRÌNH B.1 Khái quát Tiêu chuẩn đưa mơ hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, trì cải tiến hệ thống quản lý an tồn thông tin (ISMS) Việc chấp nhận hệ thống ISMS định chiến lược tổ chức Thiết kế triển khai ISMS tổ chức phụ thuộc vào nhu cầu mục tiêu khác nhau, yêu cầu an toàn cần phải đạt, quy trình sử dụng quy mơ, cấu trúc tổ chức Các yếu tố hệ thống hỗ trợ cần cập nhật thay đổi Việc đầu tư triển khai hệ thống ISMS cần phải có tỷ trọng phù hợp với nhu cầu tổ chức Tiêu chuẩn sử dụng để đánh giá tuân thủ phận bên tổ chức bên liên quan bên tổ chức B.2 Cách tiếp cận theo quy trình Tiêu chuẩn chấp nhận cách tiếp cận theo quy trình thiết lập, triển khai, điều hành, giám sát, sốt xét, trì cải tiến hệ thống ISMS tổ chức Một tổ chức cần xác định quản lý nhiều hoạt động để vận hành cách hiệu Bất hoạt động sử dụng tài nguyên quản lý để chuyển hóa đầu vào thành đầu coi quy trình, Thơng thường đầu quy trình đầu vào quy trình Việc áp dụng hệ thống quy trình tổ chức, với nhận biết tương tác quy trình vậy, quản lý chúng, coi “cách tiếp cận theo quy trình” Cách tiếp cận theo quy trình cho quản lý an tồn thơng tin trình bày tiêu chuẩn nhằm khuyến khích người sử dụng nhấn mạnh điểm quan trọng của: a) việc hiểu yêu cầu an toàn thông tin tổ chức cần thiết phải thiết lập sách mục tiêu cho an tồn thơng tin, b) việc triển khai điều hành biện pháp quản lý rủi ro an tồn thơng tin tổ chức trước tất rủi ro chung xảy với tổ chức; c) việc giám sát soát xét hiệu suất hiệu hệ thống ISMS; d) việc thường xuyên cải tiến dựa khuôn khổ mục tiêu đặt Tiêu chuẩn chấp nhận mơ hình “Lập kế hoạch - Thực - Kiểm tra - Hành động” (PDCA) để áp dụng cho tất quy trình hệ thống ISMS Hình mơ tả cách hệ thống ISMS lấy đầu vào yêu cầu kỳ vọng an tồn thơng tin bên liên quan, sau tiến hành quy trình hành động cần thiết đáp ứng an tồn thơng tin theo yêu cầu kỳ vọng đặt Hình liên hệ quy trình biểu diễn điều 4, 5, 6, tiêu chuẩn P (Lập kế hoạch) - Thiết lập ISMS Thiết lập sách, mục tiêu, quy trình thủ tục liên quan đến việc quản lý rủi ro nâng cao an tồn thơng tin nhằm đem lại kết phù hợp với sách mục tiêu chung tổ chức D (Thực hiện) - Triển khai điều hành ISMS Triển khai vận hành sách, biện pháp quản lý, quy trình thủ tục hệ thống ISMS C (Kiểm tra) - giám sát soát xét ISMS Xác định hiệu việc thực quy trình dựa sách, mục tiêu mà hệ thống ISMS đặt kinh nghiệm thực tiễn báo cáo kết cho ban quản lý để sốt xét A (Hành động) - Duy trì cải tiến ISMS Tiến hành hành động khắc phục hành động phòng ngừa dựa kết việc kiểm toán nội hệ thống ISMS, sốt xét ban quản lý thơng tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS PHỤ LỤC C (Tham khảo) SỰ TƯƠNG ỨNG GIỮA ISO 9001:2000, ISO 14001:2004 VÀ TIÊU CHUẨN NÀY Bảng C.1 tương ứng ISO 9001:2000, ISO 14001:2004 tiêu chuẩn Bảng C.1 - Sự tương ứng ISO 9001:2000, ISO 14001:2004 tiêu chuẩn TCVN ISO/1EC 27001:2009 Phạm vi ISO 9001:2000 Scope ISO 14001:2004 Scope 1.1 General 1.2 Application Tài liệu viện dẫn Normative references Normative references Thuật ngữ định nghĩa Terms and definitions Terms and definitions Hệ thống quản lý an tồn thơng tin Quality management system EMS requirements 4.1 Các yêu cầu chung 4.1 General requirements 4.2 Thiết lập quản lý hệ thống ISMS 8.2.3 Monitoring and measurement of processes 4.2.1 Thiết lập ISMS 8.2.4 Monitoring and measurement of product 4.2.2 Triển khai điều hành hệ thống ISMS 4.1 General requirements 4.4 Implementation and operation 4.5 Monitoring and measurement 4.2.3 Giám sát soát xét hệ thống ISMS 4.2.4 Duy trì cải tiến hệ thống ISMS 4.3 Các yêu cầu hệ thống tài liệu 4.2 Documentation requirements 4.3.1 Khái quát 4.2.1 General 4.4.5 Documentation control 4.5.4 Control ol records 4.3.2 Biện pháp quản lý tài liệu 4.2.2 Quality manual 4.3.3 Biện pháp quản lý hồ sơ 4.2.3 Control of documents 4.2.4 Control of records Trách nhiệm ban quản Management responsibility 4.2 Environmental policy lý 5.1 Management commitment 4.3 Planning 5.1 Cam kết ban quản lý 5.2 Customer focus 5.3 Quality policy 5.4 Planning 5.5 Responsibility, authority and communication 5.2 Quản lý nguồn lực Resource management 5.2.1 Cấp phát nguồn lực 6.1 Provision ol resources 5.2.2 Đào tạo, nhận thức lực 6.2 Human resources 4.4.2 Competence, training, and awareness 6.2.2 Competence, awareness and training 6.3 Infrastructure 6.4 Work environment Kiểm toán nội hệ thống ISMS 8.2.2 Internal Audit 4.5.5 Internal audit Soát xét ban quản lý hệ thống ISMS 5.6 Management review 4.6 Management review 7.1 Khái quát 7.2 Đầu vào cho việc soát xét 5.6.1 General 5.6.2 Review input 5.6.3 Review output 7.3 Đầu việc soát xét Cải tiến hệ thống ISMS 8.5 Improvement 8.1 Cải tiến thường xuyên 8.5.1 Continual improvement 8.2 Hành động khắc phục 8.5.3 Corrective actions 8.3 Hành động phòng ngừa 8.5.3 Preventive actions Phụ lục A Các mục tiêu biện pháp quản lý Annex A Control objectives and controls Phụ lục B Tiêu chuẩn hệ Introduction thống ISMS cách tiếp cận 0.1 General theo quy trình 0.2 Process approach Khái quát 4.5.3 Non-conformity, corrective action and preventive action Annex A Guidance on the use of this International Standard Introduction Cách tiếp cận theo quy trình Phụ lục C Sự tương ứng Annex A Correspondence Annex B Correspondence ISO 9001:2000, ISO between ISO 9001:2000 and between ISO 14001:2004 14001:2004 tiêu chuẩn ISO 14001:1996 and ISO 9001:2000 THƯ MỤC TÀI LIỆU THAM KHẢO Tiêu chuẩn kỹ thuật [1] ISO 9001:2000, Quality management systems - Requirements [2] ISO/IEC 13335-1:2004, Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management [3] ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT security [4] ISO/IEC TR 13335-4:2000, Information technology - Guidelines for the management of IT Security - Part 4: Selection of safeguards [5] ISO 14001:2004, Environmental management systems - Requirements with guidance for use [6] ISO/IEC TR 18044:2004, Information technology - Security techniques - Information security incident management [7] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [8] ISO/IEC Guide 62:1996, General requirements for bodies operating assessment and certification/registration of quality systems [9] ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines for use in standards [10] TCVN ISO 9001:2000, Hệ thống quản lý chất lượng - Các yêu cầu [11] TCVN 7562:2005, Công nghệ thông tin - Mã thực hành quản lý an tồn thơng tin Các tài liệu khác [1] OECD, Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security Paris: OECD, July 2002 www.oecd.org [2] NIST SP 800-30, Risk Management Guide for Information Technology Systems [3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986 MỤC LỤC Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Hệ thống quản lý an tồn thơng tin 4.1 Các u cầu chung 4.2 Thiết lập quản lý hệ thống ISMS 4.2.1 Thiết lập hệ thống ISMS 4.2.2 Triển khai điều hành hệ thống ISMS 4.2.3 Giám sát soát xét hệ thống ISMS 4.2.4 Duy trì cải tiến hệ thống ISMS 4.3 Các yêu cầu hệ thống tài liệu 4.3.1 Khái quát 4.3.2 Biện pháp quản lý tài liệu 4.3.3 Biện pháp quản lý hồ sơ Trách nhiệm ban quản lý 5.1 Cam kết ban quản lý 5.2 Quản lý nguồn lực 5.2.1 Cấp phát nguồn lực 5.2.2 Đào tạo, nhận thức lực Kiểm toán nội hệ thống ISMS Soát xét ban quản lý hệ thống ISMS 7.1 Khái quát 7.2 Đầu vào việc soát xét 7.3 Đầu việc soát xét Cải tiến hệ thống ISMS 8.1 Cải tiến thường xuyên 8.2 Hành động khắc phục 8.3 Hành động phòng ngừa Phụ lục A (Quy định) Các mục tiêu quản lý biện pháp quản lý Phụ lục B (Tham khảo) Cách tiếp cận theo quy trình Phụ lục C (Tham khảo) Sự tương ứng ISO 9001:2000, ISO 14001:2004 tiêu chuẩn Thư mục tài liệu tham khảo ... Guidelines for use in standards [10] TCVN ISO 9001:2000, Hệ thống quản lý chất lượng - Các yêu cầu [11] TCVN 7562:2005, Công nghệ thông tin - Mã thực hành quản lý an tồn thơng tin Các tài liệu khác... thống thông tin Mục tiêu: Nhằm đảm bảo an tồn thơng tin phần khơng thể thiếu hệ thống thơng tin A.12.1.1 Phân tích đặc tả yêu cầu an toàn Biện pháp quản lý Các thông báo yêu cầu nghiệp vụ hệ thống. .. cáo kiện an tồn thơng tin Biện pháp quản lý Các kiện an tồn thơng tin cần báo cáo thông qua kênh quản lý thích hợp theo cách nhanh Báo cáo nhược điểm Biện pháp quản lý an toàn thông tin Mọi nhân