Đang tải... (xem toàn văn)
I.Phạm vi áp dụng6 II.Tài liệu viện dẫn6 III.Thuật ngữ và định nghĩa6 III.1.Tài sản6 III.2.Biện pháp quản lý6 III.3.Phương tiện xử lý thông tin6 III.4.An toàn thông tin6 III.5.Sự kiện an toàn thông tin6 III.6.Sự cố an toàn thông tin6 III.7.Mối đe dọa6 III.8.Điểm yếu7 III.9.Ban quản lý an toàn thông tin7 IV.Chính sách an toàn7 IV.1.Chính sách an toàn thông tin7 IV.1.1.Tài liệu chính sách an toàn thông tin7 IV.1.2.Soát xét chính sách an toàn thông tin8 V.Tổ chức an toàn thông tin9 V.1.Tổ chức nội bộ9 V.1.1.Ban quản lý cam kết về đảm bảo an toàn thông tin9 V.1.2.Phối hợp đảm bảo an toàn thông tin10 V.1.3.Phân cấp trách nhiệm đảm bảo an toàn thông tin trong tổ chức11 V.1.4.Phân quyền quản lý phương tiện xử lý thông tin11 V.1.5.Các thỏa thuận bí mật12 V.1.6.Liên hệ với các cơ quan có thẩm quyền13 V.1.7.Liên hệ với các tổ chức/cộng đồng có chung lợi ích13 V.1.8.Soát xét an toàn thông tin bởi tổ chức độc lập13 V.2.Đối tác bên ngoài14 V.2.1.Xác định các rủi ro liên quan đến đối tác bên ngoài15 V.2.2.Xác định các vấn đề ATTT liên quan tới người sử dụng là khách hàng16 V.2.3.Xác định các vấn đề ATTT trong thỏa thuận với bên thứ ba17 VI.Quản lý tài sản20 VI.1.Trách nhiệm đối với tài sản20 VI.1.1.Kiểm kê tài sản20 VI.1.2.Quyền sở hữu tài sản20 VI.1.3.Sử dụng tài sản21 VI.2.Phân loại thông tin21 VI.2.1.Hướng dẫn phân loại22 VI.2.2.Gán nhãn và xử lý thông tin22 VII.An toàn nguồn nhân lực23 VII.1.Ưu tiên để tuyển dụng23 VII.1.1.Vai trò và trách nhiệm23 VII.1.2.Thẩm tra lý lịch23 VII.1.3.Các điều khoản và điều kiện tuyển dụng24 VII.2.Sử dụng nhân sự25 VII.2.1.Trách nhiệm ban quản lý26 VII.2.2.Nhận thức, giáo dục và đào tạo an toàn thông tin26 VII.2.3.Quy chế xử lý vi phạm27 VII.3.Chấm dứt hoặc điều chuyển sử dụng nhân sự27 VII.3.1.Trách nhiệm khi chấm dứt việc sử dụng nhân sự27 VII.3.2.Bàn giao tài sản28 VII.3.3.Xóa bỏ quyền truy cập28 VIII.An toàn vật lý và môi trường29 VIII.1.Khu vực bảo mật29 VIII.1.1.Vành đai bảo vệ vật lý29 VIII.1.2.Kiểm soát truy cập vật lý30 VIII.1.3.Làm việc trong khu vực bảo mật30 VIII.2.Bảo vệ thiết bị31 VIII.2.1.Bảo vệ và sắp đặt thiết bị31 VIII.2.2.Các tiện ích hỗ trợ32 VIII.2.3.An toàn truyền dẫn32 VIII.2.4.Bảo trì thiết bị33 VIII.2.5.An toàn thiết bị đặt bên ngoài tổ chức33 VIII.2.6.Loại bỏ và tái sử dụng thiết bị một cách an toàn34 VIII.2.7.Di chuyển thiết bị34 IX.Quản lý điều hành và truyền thông35 IX.1.Các thủ tục và trách nhiệm điều hành35 IX.1.1.Biên soạn tài liệu về quy trình vận hành35 IX.1.2.Quản lý các thay đổi35 IX.1.3.Phân chia trách nhiệm36 IX.1.4.Phân tách các phương tiện đang được phát triển, thử nghiệm và sử dụng36 IX.2.Quản lý sự phân phối dịch vụ cho bên thứ ba37 IX.2.1.Phân phối dịch vụ37 IX.2.2.Giám sát và soát xét các dịch vụ của bên thứ ba38 IX.2.3.Quản lý thay đổi với dịch vụ của bên thứ ba39 IX.3.Chấp thuận và quy hoạch hệ thống39 IX.3.1.Quản lý năng lực40 IX.3.2.Công nhận hệ thống40 IX.4.Bảo vệ chống lại mã độc hại41 IX.4.1.Biện pháp bảo vệ trước mã độc hại41 IX.5.Sao lưu dự phòng43 IX.5.1.Sao lưu thông tin43 IX.6.Quản lý an toàn mạng44 IX.6.1.Biện pháp quản lý hệ thống mạng44 IX.6.2.Đảm bảo an toàn cho dịch vụ mạng45 IX.7.Xử lý thiết bị45 IX.7.1.Quản lý thiết bị lưu trữ di động46 IX.7.2.Loại bỏ thiết bị46 IX.7.3.Thủ tục xử lý thông tin47 IX.7.4.Đảm bảo an toàn tài liệu hệ thống48 IX.8.Trao đổi thông tin48 IX.8.1.Quy trình và chính sách trao đổi thông tin49 IX.8.2.Thỏa thuận trao đổi thông tin và phần mềm50 IX.8.3.Vận chuyển thiết bị lưu trữ vật lý51 IX.8.4.Thông điệp điện tử52 IX.8.5.Hệ thống thông tin nghiệp vụ52 IX.9.Giám sát53 IX.9.1.Nhật ký kiểm tra53 IX.9.2.Sử dụng hệ thống giám sát54 IX.9.3.Bảo vệ thông tin nhật ký55 IX.9.4.Ghi nhật ký hoạt động nhân viên quản trị và điều hành56 IX.9.5.Nhật ký lỗi phát sinh56 IX.9.6.Đồng bộ thời gian57 X.Quản lý truy cập57 X.1.Các yêu cầu đối với quản lý truy cập57 X.1.1.Chính sách quản lý truy cập57 X.2.Quản lý truy cập của người sử dụng58 X.2.1.Đăng ký sử dụng59 X.2.2.Quản lý đặc quyền59 X.2.3.Quản lý mật khẩu của người sử dụng60 X.2.4.Soát xét quyền truy cập của người sử dụng61 X.3.Trách nhiệm của người sử dụng61 X.3.1.Sử dụng mật khẩu62 X.3.2.Quản lý thiết bị tạm thời không dùng đến62 X.3.3.Quy định về bàn sạch và màn hình sạch63 X.4.Quản lý truy cập mạng63 X.4.1.Chính sách sử dụng dịch vụ mạng64 X.4.2.Xác thực người sử dụng với các kết nối từ bên ngoài64 X.4.3.Định danh thiết bị trên mạng65 X.4.4.Bảo vệ cổng cấu hình và chẩn đoán từ xa65 X.4.5.Phân vùng mạng66 X.4.6.Quản lý kết nối mạng66 X.4.7.Quản lý định tuyến mạng66 X.5.Quản lý truy cập hệ điều hành67 X.5.1.Quy trình đăng nhập an toàn67 X.5.2.Xác thực và định danh người sử dụng68 X.5.3.Hệ thống quản lý mật khẩu69 X.5.4.Bảo vệ các tiện ích hệ thống69 X.5.5.Giới hạn thời gian các kết nối70 X.6.Quản lý truy cập thông tin và ứng dụng70 X.6.1.Hạn chế truy cập thông tin71 X.6.2.Cách ly các hệ thống nhạy cảm71 X.7.Xử lý di động và làm việc từ xa72 X.7.1.Xử lý và truyền thông di động72 X.7.2.Làm việc từ xa72 XI.Tiếp nhận nhận, phát triển và duy trì các hệ thống thông tin73 XI.1.Phân tích và đặc tả các yêu cầu an toàn hệ thống73 XI.1.1.Phân tích và đặc tả các yêu cầu an toàn hệ thống74 XI.2.Các biện pháp mã hóa74 XI.2.1.Chính sách về sử dụng các biện pháp mã hóa75 XI.2.2.Quản lý khóa mã hóa76 XI.3.Bảo mật các tệp tin hệ thống76 XI.3.1.Bảo vệ các hệ điều hành76 XI.3.2.Bảo vệ dữ liệu kiểm tra, thử nghiệm hệ thống77 XI.3.3.Quản lý truy cập tới mã nguồn phần mềm77 XI.4.Bảo mật các quy trình hỗ trợ và phát triển78 XI.4.1.Thủ tục quản lý thay đổi78 XI.4.2.Kiểm tra kỹ thuật các ứng dụng sau khi thay đổi hệ điều hành79 XI.4.3.Hạn chế thay đổi gói phần mềm80 XI.4.4.Ngăn chặn tiết lộ thông tin80 XI.4.5.Quản lý thuê khoán dịch vụ phát triển phần mềm81 XI.5.Quản lý các điểm yếu kỹ thuật81 XI.5.1.Quản lý các điểm yếu kỹ thuật82 XII.Quản lý sự cố an toàn thông tin83 XII.1.Báo cáo các sự cố và và điểm yếu ATTT83 XII.1.1.Báo cáo các sự kiện an toàn thông tin83 XII.1.2.Báo cáo các điểm yếu bảo mật84 XII.2.Quản lý sự cố và nâng cấp an toàn thông tin84 XII.2.1.Các trách nhiệm và các quy trình quản lý sự cố an toàn thông tin85 XII.2.2.Rút kinh nghiệm từ các sự cố an toàn thông tin86 XII.2.3.Thu thập bằng chứng86 XIII.Tuân thủ87 XIII.1.Tuân thủ các quy định pháp lý87 XIII.1.1.Áp dụng các quy định pháp lý87 XIII.1.2.Quyền sở hữu trí tuệ87 XIII.1.3.Bảo vệ dữ liệu và thông tin cá nhân88 XIII.1.4.Chống lạm dụng các phương tiện xử lý thông tin88 XIII.2.Tuân thủ các tiêu chuẩn, chính sách89 XIII.2.1.Tuân thủ các chính sách và tiêu chuẩn ATTT89 XIII.2.2.Kiểm tra việc tuân thủ kỹ thuật89 XIII.3.Kiểm tra hệ thống thông tin90 XIII.3.1.Biện pháp kiểm tra an toàn thông tin90 XIII.3.2.Bảo vệ công cụ kiểm tra hệ thống thông tin91
Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN Mục Lục I Phạm vi áp dụng II Tài liệu viện dẫn III Thuật ngữ định nghĩa III.1 Tài sản III.2 Biện pháp quản lý III.3 Phương tiện xử lý thông tin .6 III.4 An tồn thơng tin III.5 Sự kiện an toàn thông tin III.6 Sự cố an tồn thơng tin III.7 Mối đe dọa III.8 Điểm yếu III.9 Ban quản lý an tồn thơng tin IV Chính sách an tồn IV.1 Chính sách an tồn thơng tin IV.1.1 Tài liệu sách an tồn thơng tin IV.1.2 Sốt xét sách an tồn thơng tin V Tổ chức an tồn thơng tin .9 V.1 Tổ chức nội .9 V.1.1 Ban quản lý cam kết đảm bảo an tồn thơng tin V.1.2 Phối hợp đảm bảo an tồn thơng tin 10 V.1.3 Phân cấp trách nhiệm đảm bảo an tồn thơng tin tổ chức 11 V.1.4 Phân quyền quản lý phương tiện xử lý thông tin 11 V.1.5 Các thỏa thuận bí mật 12 V.1.6 Liên hệ với quan có thẩm quyền 13 V.1.7 Liên hệ với tổ chức/cộng đồng có chung lợi ích 13 V.1.8 Sốt xét an tồn thơng tin tổ chức độc lập 13 V.2 Đối tác bên .14 V.2.1 Xác định rủi ro liên quan đến đối tác bên 15 V.2.2 Xác định vấn đề ATTT liên quan tới người sử dụng khách hàng 16 V.2.3 Xác định vấn đề ATTT thỏa thuận với bên thứ ba 17 VI Quản lý tài sản 20 VI.1 Trách nhiệm tài sản 20 VI.1.1 Kiểm kê tài sản 20 VI.1.2 Quyền sở hữu tài sản 20 VI.1.3 Sử dụng tài sản 21 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN VI.2 Phân loại thông tin 21 VI.2.1 Hướng dẫn phân loại 22 VI.2.2 Gán nhãn xử lý thông tin 22 VII An toàn nguồn nhân lực 23 VII.1 Ưu tiên để tuyển dụng 23 VII.1.1 Vai trò trách nhiệm .23 VII.1.2 Thẩm tra lý lịch .23 VII.1.3 Các điều khoản điều kiện tuyển dụng 24 VII.2 Sử dụng nhân .25 VII.2.1 Trách nhiệm ban quản lý 26 VII.2.2 Nhận thức, giáo dục đào tạo an tồn thơng tin 26 VII.2.3 Quy chế xử lý vi phạm .27 VII.3 Chấm dứt điều chuyển sử dụng nhân 27 VII.3.1 Trách nhiệm chấm dứt việc sử dụng nhân 27 VII.3.2 Bàn giao tài sản .28 VII.3.3 Xóa bỏ quyền truy cập .28 VIII An toàn vật lý môi trường 29 VIII.1 Khu vực bảo mật 29 VIII.1.1 Vành đai bảo vệ vật lý 29 VIII.1.2 Kiểm soát truy cập vật lý 30 VIII.1.3 Làm việc khu vực bảo mật 30 VIII.2 Bảo vệ thiết bị .31 VIII.2.1 Bảo vệ đặt thiết bị .31 VIII.2.2 Các tiện ích hỗ trợ 32 VIII.2.3 An toàn truyền dẫn 32 VIII.2.4 Bảo trì thiết bị 33 VIII.2.5 An toàn thiết bị đặt bên tổ chức 33 VIII.2.6 Loại bỏ tái sử dụng thiết bị cách an toàn 34 VIII.2.7 Di chuyển thiết bị 34 IX Quản lý điều hành truyền thông 35 IX.1 Các thủ tục trách nhiệm điều hành 35 IX.1.1 Biên soạn tài liệu quy trình vận hành 35 IX.1.2 Quản lý thay đổi 35 IX.1.3 Phân chia trách nhiệm 36 IX.1.4 Phân tách phương tiện phát triển, thử nghiệm sử dụng 36 IX.2 Quản lý phân phối dịch vụ cho bên thứ ba 37 IX.2.1 Phân phối dịch vụ .37 IX.2.2 Giám sát soát xét dịch vụ bên thứ ba 38 IX.2.3 Quản lý thay đổi với dịch vụ bên thứ ba 39 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN IX.3 Chấp thuận quy hoạch hệ thống 39 IX.3.1 Quản lý lực .40 IX.3.2 Công nhận hệ thống 40 IX.4 Bảo vệ chống lại mã độc hại 41 IX.4.1 Biện pháp bảo vệ trước mã độc hại 41 IX.5 Sao lưu dự phòng .43 IX.5.1 Sao lưu thông tin .43 IX.6 Quản lý an toàn mạng 44 IX.6.1 Biện pháp quản lý hệ thống mạng 44 IX.6.2 Đảm bảo an toàn cho dịch vụ mạng 45 IX.7 Xử lý thiết bị 45 IX.7.1 Quản lý thiết bị lưu trữ di động 46 IX.7.2 Loại bỏ thiết bị 46 IX.7.3 Thủ tục xử lý thông tin 47 IX.7.4 Đảm bảo an toàn tài liệu hệ thống 48 IX.8 Trao đổi thông tin .48 IX.8.1 Quy trình sách trao đổi thơng tin .49 IX.8.2 Thỏa thuận trao đổi thông tin phần mềm .50 IX.8.3 Vận chuyển thiết bị lưu trữ vật lý .51 IX.8.4 Thông điệp điện tử 52 IX.8.5 Hệ thống thông tin nghiệp vụ 52 IX.9 Giám sát 53 IX.9.1 Nhật ký kiểm tra 53 IX.9.2 Sử dụng hệ thống giám sát 54 IX.9.3 Bảo vệ thông tin nhật ký 55 IX.9.4 Ghi nhật ký hoạt động nhân viên quản trị điều hành 56 IX.9.5 Nhật ký lỗi phát sinh 56 IX.9.6 Đồng thời gian .57 X Quản lý truy cập 57 X.1 Các yêu cầu quản lý truy cập 57 X.1.1 Chính sách quản lý truy cập 57 X.2 Quản lý truy cập người sử dụng 58 X.2.1 Đăng ký sử dụng 59 X.2.2 Quản lý đặc quyền 59 X.2.3 Quản lý mật người sử dụng 60 X.2.4 Soát xét quyền truy cập người sử dụng .61 X.3 Trách nhiệm người sử dụng 61 X.3.1 Sử dụng mật .62 X.3.2 Quản lý thiết bị tạm thời không dùng đến 62 X.3.3 Quy định bàn hình 63 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN X.4 Quản lý truy cập mạng 63 X.4.1 Chính sách sử dụng dịch vụ mạng .64 X.4.2 Xác thực người sử dụng với kết nối từ bên 64 X.4.3 Định danh thiết bị mạng .65 X.4.4 Bảo vệ cổng cấu hình chẩn đốn từ xa 65 X.4.5 Phân vùng mạng 66 X.4.6 Quản lý kết nối mạng 66 X.4.7 Quản lý định tuyến mạng 66 X.5 Quản lý truy cập hệ điều hành 67 X.5.1 Quy trình đăng nhập an tồn .67 X.5.2 Xác thực định danh người sử dụng .68 X.5.3 Hệ thống quản lý mật 69 X.5.4 Bảo vệ tiện ích hệ thống 69 X.5.5 Giới hạn thời gian kết nối 70 X.6 Quản lý truy cập thông tin ứng dụng 70 X.6.1 Hạn chế truy cập thông tin 71 X.6.2 Cách ly hệ thống nhạy cảm 71 X.7 Xử lý di động làm việc từ xa 72 X.7.1 Xử lý truyền thông di động 72 X.7.2 Làm việc từ xa 72 XI Tiếp nhận nhận, phát triển trì hệ thống thơng tin .73 XI.1 Phân tích đặc tả yêu cầu an toàn hệ thống 73 XI.1.1 Phân tích đặc tả yêu cầu an toàn hệ thống 74 XI.2 Các biện pháp mã hóa 74 XI.2.1 Chính sách sử dụng biện pháp mã hóa 75 XI.2.2 Quản lý khóa mã hóa 76 XI.3 Bảo mật tệp tin hệ thống 76 XI.3.1 Bảo vệ hệ điều hành 76 XI.3.2 Bảo vệ liệu kiểm tra, thử nghiệm hệ thống 77 XI.3.3 Quản lý truy cập tới mã nguồn phần mềm 77 XI.4 Bảo mật quy trình hỗ trợ phát triển 78 XI.4.1 Thủ tục quản lý thay đổi 78 XI.4.2 Kiểm tra kỹ thuật ứng dụng sau thay đổi hệ điều hành 79 XI.4.3 Hạn chế thay đổi gói phần mềm .80 XI.4.4 Ngăn chặn tiết lộ thông tin .80 XI.4.5 Quản lý thuê khoán dịch vụ phát triển phần mềm 81 XI.5 Quản lý điểm yếu kỹ thuật 81 XI.5.1 Quản lý điểm yếu kỹ thuật 82 XII Quản lý cố an toàn thông tin 83 XII.1 Báo cáo cố và điểm yếu ATTT .83 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN XII.1.1 Báo cáo kiện an tồn thơng tin 83 XII.1.2 Báo cáo điểm yếu bảo mật 84 XII.2 Quản lý cố nâng cấp an tồn thơng tin 84 XII.2.1 Các trách nhiệm quy trình quản lý cố an tồn thơng tin 85 XII.2.2 Rút kinh nghiệm từ cố an tồn thơng tin 86 XII.2.3 Thu thập chứng .86 XIII Tuân thủ 87 XIII.1 Tuân thủ quy định pháp lý 87 XIII.1.1 Áp dụng quy định pháp lý 87 XIII.1.2 Quyền sở hữu trí tuệ .87 XIII.1.3 Bảo vệ liệu thông tin cá nhân .88 XIII.1.4 Chống lạm dụng phương tiện xử lý thông tin 88 XIII.2 Tuân thủ tiêu chuẩn, sách 89 XIII.2.1 Tuân thủ sách tiêu chuẩn ATTT 89 XIII.2.2 Kiểm tra việc tuân thủ kỹ thuật 89 XIII.3 Kiểm tra hệ thống thông tin 90 XIII.3.1 Biện pháp kiểm tra an tồn thơng tin .90 XIII.3.2 Bảo vệ công cụ kiểm tra hệ thống thông tin 91 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN I Phạm vi áp dụng Nội dung tài liệu đưa khuyến nghị biện pháp quản lý an tồn thơng tin cần xem xét áp dụng quan nhà nước II Tài liệu viện dẫn Tiêu chuẩn quốc tế hệ thống quản lý an tồn thơng tin mã số “ISO 27001:2005” III Thuật ngữ định nghĩa Tài liệu áp dụng dụng thuật ngữ định nghĩa sau: III.1 Tài sản Tài sản tất có giá trị tổ chức III.2 Biện pháp quản lý Biện pháp quản lý bao gồm sách, thủ tục, quy trình, nguyên tắc hay cấu tổ chức nhằm đảm bảo an toàn cho hệ thống thông tin Chú ý: Trong tài liệu biện pháp quản lý sử dụng đồng nghĩa với biện pháp bảo vệ hay biện pháp đối phó III.3 Phương tiện xử lý thông tin Phương tiện xử lý thông tin bao gồm: phần mềm, hệ thống, sở hạ tầng, dịch vụ, địa điểm xử lý thông tin III.4 An tồn thơng tin An tồn thơng tin việc đảm bảo tính tin cậy, tính tồn vẹn tính sẵn sàng thơng tin bao hàm thêm số thuộc tính khác tính chất xác thực, chống chối bỏ, tin cậy v.v III.5 Sự kiện an tồn thơng tin Một kiện an tồn thơng tin xuất dấu hiệu vi phạm sai sót hệ thống, dịch vụ mạng có liên quan tới an tồn thơng tin III.6 Sự cố an tồn thơng tin Là một chuỗi kiện an tồn thơng tin xảy gây ảnh hưởng xấu tới hoạt động nghiệp vụ đe dọa an tồn thơng tin III.7 Mối đe dọa Khả gây cố không mong muốn, mà gây hại cho hệ thống hay tổ chức Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN III.8 Điểm yếu Vấn đề một nhóm tài sản bị khai thác lợi dụng trái phép mối đe dọa III.9 Ban quản lý an toàn thơng tin Ban quản lý an tồn thơng tin quy chuẩn (được gọi tắt Ban quản lý) dùng để cấp lãnh đạo phận có thẩm quyền an tồn thơng tin quan, tổ chức IV Chính sách an tồn IV.1 Chính sách an tồn thơng tin Mục tiêu: Cung cấp định hướng quản lý hỗ trợ đảm bảo an tồn thơng tin (ATTT) phù hợp với u cầu nghiệp vụ, luật quy định liên quan Ban quản lý cần thiết lập phương hướng sách rõ ràng phù hợp với mục tiêu khác tổ chức chứng minh hỗ trợ, cam kết đảm bảo ATTT thông qua kết trì, bảo vệ sách đảm bảo an tồn thơng tin xuyên suốt tổ chức IV.1.1 Tài liệu sách an tồn thơng tin Biện pháp quản lý: Cần có tài liệu sách ATTT ban quản lý phê duyệt, ban hành phổ biến đến tất nhân viên đối tác bên ngồi có liên quan Hướng dẫn thực hiện: Tài liệu cần nêu rõ cam kết ban quản lý trình bày phương hướng quản lý ATTT tổ chức Nội dung tài liệu cần bao gồm nội dung sau: a Định nghĩa an tồn thơng tin, mục tiêu chung, phạm vi áp dụng tầm quan trọng ATTT chế cho phép chia sẻ thơng tin b Sự tun bố mục đích quản lý, hỗ trợ cho mục tiêu nguyên tắc đảm bảo ATTT phù hợp với chiến lược mục tiêu chung tổ chức c Cơ cấu thiết lập mục tiêu quản lý biện pháp quản lý, bao gồm cấu trúc đánh giá rủi ro quản lý rủi ro Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN d Giải thích tóm tắt sách, ngun tắc, tiêu chuẩn yêu cầu cần tuân thủ đặc biệt quan trọng với tổ chức công tác đảm bảo an tồn thơng tin, bao gồm: 1) Sự tn thủ pháp luật, quy định cam kết hợp đồng ký; 2) Yêu cầu giáo dục, đào tạo nâng cao nhận thức an toàn thông tin; 3) Quản lý liên tục hoạt động tổ chức; 4) Các hệ vi phạm sách an tồn thơng tin e Định nghĩa tổng quan xác định trách nhiệm việc quản lý an tồn thơng tin, bao gồm việc báo cáo cố an tồn thơng tin f Các tài liệu tham chiếu cung cấp phương hướng, sách, thí dụ thơng tin cụ thể sách ATTT thủ tục cho hệ thống thơng tin quy tắc an tồn thơng tin mà người sử dụng phải tn thủ Chính sách an tồn thơng tin cần phổ biến rộng rãi tới thành viên tổ chức, đảm bảo nội dung phải dễ hiểu chọn hình thức phổ biến thích đáng thuận tiện người đọc IV.1.2 Sốt xét sách an tồn thơng tin Biện pháp quản lý: Chính sách ATTT cần thường xuyên soát xét theo kế hoạch có xuất dấu hiệu thay đổi để đảm bảo luôn phù hợp, đầy đủ hiệu Hướng dẫn thực hiện: Cần có người phê duyệt trách nhiệm quản lý việc phát triển, soát xét đánh giá sách ATTT Sự sốt xét cần bao gồm đánh giá hội hồn thiện sách phương hướng đảm bảo ATTT tổ chức nhằm quản lý ATTT đối phó lại thay đổi môi trường tổ chức, hoạt động nghiệp vụ, điều kiện pháp lý mơi trường cơng nghệ Sự sốt xét sách ATTT cần quan tâm đến kết việc soát xét nghiệp vụ Điều cần xác định thủ tục soát xét nghiệp vụ, bao gồm lịch trình kỳ hạn sốt xét Đầu vào việc sốt xét nghiệp vụ bao gồm : a Phản hồi từ phận; b Kết sốt xét độc lập c Tình trạng hoạt động ngăn ngừa khắc phục; d Kết sốt xét trước đó; Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN e Hiệu xử lý tuân thủ sách an tồn thơng tin; f Các thay đổi ảnh hưởng tới phương hướng quản lý an tồn thơng tin tổ chức, bao gồm thay đổi mơi trường tổ chức, hồn cảnh hoạt động, nguồn lực, cam kết, quy định khung pháp lý môi trường công nghệ; g Xu hướng công tin tặc nguy ATTT; h Các cố an tồn thơng tin báo cáo; i Khuyến nghị cung cấp quan chức liên quan Đầu việc soát xét nghiệp vụ cần bao gồm định hành động liên quan tới: a Hoàn thiện phương hướng phương pháp quản lý an tồn thơng tin tổ chức; b Hoàn thiện mục tiêu quản lý biện pháp quản lý; c Hoàn thiện cấp phát nguồn lực quản lý trách nhiệm Cần trì bảo vệ hồ sơ lưu trữ sốt xét nghiệp vụ cách phù hợp Chính sách sửa đổi cần phê chuẩn V Tổ chức an tồn thơng tin V.1 Tổ chức nội Mục tiêu: Quản lý an tồn thơng tin tổ chức Một cấu quản lý cần thiết lập để khởi tạo điều khiển thi hành đảm bảo an tồn thơng tin bên tổ chức Ban quản lý cần phê chuẩn sách an tồn thơng tin, giao quyền, trách nhiệm, phối hợp soát xét thực đảm bảo an tồn thơng tin tồn tổ chức V.1.1 Ban quản lý cam kết đảm bảo an tồn thơng tin Biện pháp quản lý: Ban quản lý cần tích cực hỗ trợ đảm bảo an tồn thơng tin tổ chức qua việc xác định phương hướng thực cách rõ ràng, thể cụ thể cam kết, phân công rõ ràng hiểu rõ trách nhiệm việc đảm bảo an tồn thơng tin Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN Hướng dẫn thực hiện: Ban quản lý cần: a Đảm bảo mục tiêu ATTT xác định phù hợp với yêu cầu tổ chức tích hợp quy trình xử lý liên quan; b Biên soạn, sốt xét phê duyệt sách ATTT; c Sốt xét hiệu việc thực sách ATTT; d Cung cấp phương hướng hỗ trợ quản lý cách rõ rệt nhằm chủ động đảm bảo an tồn thơng tin; e Cung cấp nguồn lực cần thiết cho ATTT; f Phê duyệt cụ thể chức nhiệm vụ vị trí toàn tổ chức; g Khởi xướng kế hoạch chương trình nâng cao nhận thức an tồn thơng tin; h Đảm bảo việc thực biện pháp quản lý ATTT kết hợp sức mạnh toàn tổ chức Ban quản lý cần xác định cần thiết ý kiến đóng góp chuyên gia ATTT tổ chức, sốt xét tổng hợp ý kiến tồn tổ chức Dựa vào quy mô tổ chức, trách nhiệm cần quản lý ban quản lý riêng ban lãnh đạo có ban giám đốc V.1.2 Phối hợp đảm bảo an tồn thơng tin Biện pháp quản lý: Các hoạt động đảm bảo ATTT cần phối hợp đại diện phận tổ chức có chức nhiệm vụ liên quan Hướng dẫn thực hiện: Thông thường, phối hợp đảm bảo ATTT cần bao gồm phối hợp điều hành cộng tác lãnh đạo, người sử dụng, quản trị, thiết kế ứng dụng, kiểm toán viên ATTT, nhân phục vụ đảm bảo ATTT chuyên gia lĩnh vực bảo hiểm, pháp lý, quản lý nguồn nhân lực, CNTTT quản lý rủi ro Hoạt động cần: a Đảm bảo việc thực thi hoạt động đảm bảo ATTT phù hợp với sách ATTT; b Xác định cách xử lý trường hợp vi phạm; c Phê duyệt hệ phương pháp quy trình đảm bảo an tồn thơng tin như: đánh giá rủi ro; phân loại thông tin d Xác định nguy ảnh hưởng nguy tới thông tin phương tiện xử lý thông tin; 10 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN thống tách biệt đảm bảo tính cập nhật thư viện tham chiếu dùng để phát triển sản phẩm; d Phải có hệ thống quản lý cấu hình để quản lý tất phần mềm triển khai với tài liệu hệ thống có liên quan; e Phải có sẵn phương án phục hồi trước thay đổi lên hệ thống nghiệp vụ vận hành; f Ghi nhận cập nhật đến thư viện phần mềm nghiệp vụ; g Phiên phần mềm trước phải lưu lại đề phòng trường hợp cần khôi phục xảy cố hệ thống mới; h Các phiên cũ phải lưu trữ với tất thông tin cần thiết, tham số, cấu hình, chi tiết, phần mềm hỗ trợ liệu kèm theo XI.3.2 Bảo vệ liệu kiểm tra, thử nghiệm hệ thống Biện pháp quản lý: Các liệu kiểm tra cần chọn lựa để bảo vệ quản lý chặt chẽ Hướng dẫn thực hiện: Không dùng sở liệu chứa thông tin nhạy cảm hệ thống vận hành để thử nghiệm Nếu cần sử dụng thông tin cá nhân hay thơng tin nhạy cảm để thử nghiệm cần có biện pháp thay đổi bảo vệ cần thiết Lưu ý điểm sau sử dụng liệu nghiệp vụ để thử nghiệm: a Áp dụng đầy đủ sách quản lý truy cập hệ thống thử nghiệm hệ thống hoạt động; b Cần phải thực cấp phép truy cập lại cho lần chép thông tin điều hành sang hệ thống thử nghiệm; c Thơng tin điều hành phải bị xóa khỏi hệ thống thử nghiệm sau hoàn tất trình thử nghiệm; d Ghi nhận tồn thơng tin q trình chép sử dụng thơng tin XI.3.3 Quản lý truy cập tới mã nguồn phần mềm Biện pháp quản lý: Cần hạn chế truy cập tới mã nguồn phần mềm 77 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN Hướng dẫn thực hiện: Truy cập tới mã nguồn chương trình đối tượng liên quan (bản thiết kế, đặc tả, kế hoạch thử nghiệm, …) phải quản lý chặt chẽ Nên quản lý mã nguồn giải pháp quản lý tập trung Chú ý điểm sau để giới hạn rủi ro: a Nếu có thể, thư viện mã nguồn khơng nên lưu giữ hệ thống nghiệp vụ; b Quản lý mã nguồn thư viện mã nguồn theo quy trình; c Hạn chế truy xuất tối đa tới thư viện mã nguồn; d Các trình cập nhật thư viện mã nguồn cấp mã nguồn cho đối tượng cần kiểm tra cấp phép; e Danh sách chương trình phải lưu trữ an tồn; f Ghi nhận truy xuất tới thư viện mã nguồn; g Thực chế độ quản lý thay đổi nghiêm ngặt cơng tác bảo trì lưu thư viện mã nguồn XI.4 Bảo mật quy trình hỗ trợ phát triển Mục tiêu: trì bảo mật thông tin phần mềm hệ thống ứng dụng Dự án môi trường hỗ trợ cần kiểm sốt chặt chẽ Người quản lý phải có trách nhiệm việc bảo mật dự án mơi trường hỗ trợ Người quản lý cần sốt xét kiểm tra yêu cầu thay đổi hệ thống cách thận trọng XI.4.1 Thủ tục quản lý thay đổi Biện pháp quản lý: Các thay đổi hệ thống phải tuân theo quy trình quản lý thay đổi Hướng dẫn thực hiện: Tổ chức nên xây dựng áp dụng quy trình quản lý thay đổi nhằm giảm thiểu khả gián đoạn dịch vụ hệ thống Khi triển khai hệ thống hay thay đổi hệ thống vận hành cần tuân theo quy trình lập tài liệu, đặc tả, thử nghiệm, quản lý chất lượng triển khai 78 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN Cần phải thực trình đánh giá rủi ro, phân tích tác động thay đổi đưa biện pháp quản lý an tồn thơng tin tương ứng Quy trình quản lý thay đổi bao gồm cơng việc: a Duy trì tài liệu mức cấp phép thay đổi hệ thống; b Đảm bảo thay đổi thực người có thẩm quyền; c Xem xét lại biện pháp quy trình để đảm bảo khơng có xung đột xảy thực thay đổi; d Xác định yêu cầu thay đổi tất phần mềm, thông tin, sở liệu phần cứng; e Các chi tiết trình thay đổi phải chấp thuận cấp quản lý; f Cập nhật hệ thống tài liệu thay đổi hệ thống, tài liệu cũ lưu trữ xóa bỏ; g Duy trì tài liệu quản lý cập nhật phần mềm; h Duy trì ghi nhận yêu cầu thay đổi; i Cập nhật tài liệu vận hành quy trình theo thay đổi hệ thống; j Đảm bảo thay đổi diễn vào thời điểm thích hợp, khơng làm gián đoạn hoạt động tổ chức XI.4.2 Kiểm tra kỹ thuật ứng dụng sau thay đổi hệ điều hành Biện pháp quản lý: Khi thay đổi hệ điều hành, ứng dụng nghiệp vụ quan trọng phải xem xét thử nghiệm để đảm bảo khơng có vấn đề hoạt động nghiệp vụ tổ chức hay an toàn hệ thống Hướng dẫn thực hiện: Quá trình bao gồm: a Xem xét lại tác động việc thay đổi hệ điều hành đến biện pháp quản lý quy trình triển khai; b Đảm bảo tính đến việc xem xét lại thử nghiệm hệ thống thay đổi hệ điều hành tính đến kế hoạch hàng năm; 79 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN c Đảm bảo thông báo sớm thay đổi hệ điều hành phép trình kiểm tra xem xét lại diễn tiến độ trước giai đoạn triển khai thay đổi; d Cập nhật thay đổi hệ điều hành vào kế hoạch hoạt động liên tục tổ chức XI.4.3 Hạn chế thay đổi gói phần mềm Biện pháp quản lý: Hạn chế tối đa việc thay đổi tới gói phần mềm, cho phép thay đổi cần thiết, thay đổi phải kiểm soát chặt chẽ Hướng dẫn thực hiện: Sử dụng gói phần mềm cung cấp hạn chế thay đổi Nếu cần thay đổi gói phần mềm, phải ý tới điểm sau: a Rủi ro thay đổi toàn vẹn phần mềm; b Sự đồng ý nhà cung cấp; c Khả tiếp tục nâng cấp hỗ trợ sau từ nhà cung cấp; d Các tác động tổ chức phải tự chịu trách nhiệm bảo trì thay đổi phần mềm Nếu thay đổi cần thiết, phần mềm nguyên gốc cần phải lưu lại thay đổi áp dụng lên Một trình quản lý cập nhật phần mềm cần phải thực để bảo đảm vá thích hợp cập nhật ứng dụng cài đặt cho tất phần mềm quyền Tất thay đổi cần phải kiểm tra đầy đủ lập tài liệu, chúng áp dụng lại cần thiết cho việc nâng cấp phần mềm tương lai Nếu cần, thay đổi cần phải kiểm tra xác nhận người đánh giá trung lập XI.4.4 Ngăn chặn tiết lộ thông tin Biện pháp quản lý: Ngăn chặn tối đa khả gây tiết lộ thông tin Hướng dẫn thực hiện: Cần cân nhắc thực việc sau để tránh bị tiết lộ thông tin: a Qt rà sốt kênh thơng tin cơng cộng nhằm phát dấu hiệu rò rỉ thơng tin; 80 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN b Che giấu, điều chỉnh hoạt động hệ thống, cách thức liên lạc để tránh việc bên thứ ba suy thơng tin từ hoạt động đó; c Sử dụng hệ thống phần mềm chất lượng tốt, ví dụ sản phẩm đánh giá công nhận phù hợp tiêu chuẩn ISO/IEC 15408; d Thường xuyên theo dõi cách hợp pháp hoạt động cá nhân hệ thống; e Giám sát việc sử dụng tài nguyên hệ thống máy tính XI.4.5 Quản lý thuê khoán dịch vụ phát triển phần mềm Biện pháp quản lý: Tổ chức phải quản lý giám sát chặt chẽ việc thuê khoán dịch vụ phát triển phần mềm Hướng dẫn thực hiện: Khi việc thuê khoán dịch vụ phát triển phần mềm, cần cân nhắc điểm sau: a Các vấn đề quyền, quyền sở hữu mã nguồn, quyền sở hữu trí tuệ; b Chứng nhận chất lượng tính xác công việc thực hiện; c Thỏa thuận trường hợp có vấn đề nảy sinh từ bên thứ ba; d Các quyền soát xét chất lượng xác cơng việc thực hiện; e Các thỏa thuận hợp đồng chất lượng tính an tồn mã nguồn; f Kiểm thử trước cài đặt để phát mã độc phần mềm trojan; XI.5 Quản lý điểm yếu kỹ thuật Mục tiêu: giảm rủi ro điểm yếu kỹ thuật công bố bị khai thác, công 81 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN Việc quản lý điểm yếu kỹ thuật cần thực cách hiệu quả, hệ thống, lặp lại với thước đo để xác nhận tính hiệu Những cân nhắc cần bao gồm hệ điều hành, ứng dụng khác sử dụng XI.5.1 Quản lý điểm yếu kỹ thuật Biện pháp quản lý: Thu thập thông tin kịp thời điểm yếu kỹ thuật hệ thống thông tin sử dụng, đánh giá ảnh hưởng tới tổ chức, xây dựng biện pháp xử lý thích hợp Hướng dẫn thực hiện: Cần phải có danh sách trạng đầy đủ tài sản điều kiện tiên để quản lý điểm yếu kỹ thuật Xác định thông tin cụ thể về: nhà cung cấp; phiên bản; trạng thái triển khai thời (chẳng hạn phần mềm cài đặt hệ thống nào) người tổ chức có trách nhiệm với phần mềm để hỗ trợ tốt cho việc hạn chế điểm yếu kỹ thuật Cần có xử lý thích hợp kịp thời phát điểm yếu kỹ thuật Cần làm theo hướng dẫn chi tiết sau: a Tổ chức cần xác định phân công trách nhiệm quản lý điểm yếu kỹ thuật bao gồm hoạt động giám sát, đánh giá rủi ro, vá lỗi, theo dõi tài sản nhiệm vụ khác; b Các nguồn thông tin dùng để xác định điểm yếu kỹ thuật cần trì cập nhật theo thay đổi danh sách tài sản; c Cần xác định thời hạn cho việc phản ứng trước cảnh báo điểm yếu kỹ thuật; d Khi phát điểm yếu kỹ thuật, tổ chức cần xác định rủi ro khác có liên quan có phản ứng thích hợp vá hệ thống có điểm yếu hay thực biện pháp quản lý khác; e Tùy theo mức độ khẩn cấp điểm yếu kỹ thuật cần thực biện pháp quản lý quy trình quản lý thay đổi quy trình phản ứng cố an tồn thơng tin; f Cần xác định rủi ro việc áp dụng vá lên hệ thống; 82 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN g Các vá cần kiểm tra thử nghiệm trước áp dụng để đảm bảo an tồn cho hệ thống; chưa có vá cho điểm yếu áp dụng biện pháp sau: 1) Tắt dịch vụ hay phần hệ thống có liên quan đến điểm yếu; 2) Áp dụng biện pháp điều khiển truy xuất bổ sung; 3) Tăng cường giám sát để phát sớm ngăn ngừa công xảy ra; 4) Tăng cường cảnh giác điểm yếu; h Ghi nhận hành vi có liên quan; i Giám sát đánh giá quy trình quản lý điểm yếu kỹ thuật để nâng cấp tăng cường hiệu quy trình này; j Ưu tiên xử lý trước điểm yếu kỹ thuật hệ thống có độ rủi ro cao XII Quản lý cố an tồn thơng tin XII.1 Báo cáo cố và điểm yếu ATTT Mục tiêu: Đảm bảo cố điểm yếu ATTT liên quan tới hệ thống thông tin báo cáo theo quy định kịp thời tiến hành hoạt động khắc phục thích hợp Cần thực thủ tục báo cáo cố an tồn thơng tin kịp thời xác Tất người sử dụng cần tạo đầy đủ nhận thức thủ tục để báo cáo loại kiện điểm yếu tác động tới bảo mật tài sản tổ chức Việc báo cáo cần thực sớm theo thủ tục có XII.1.1 Báo cáo kiện an tồn thơng tin Biện pháp quản lý: Các kiện an tồn thơng tin cần phải báo cáo thông qua kênh quản lý thích hợp nhanh tốt Hướng dẫn thực hiện: Một quy trình báo cáo kiện an tồn thơng tin cần phải thiết lập, với quy trình phản ứng theo dõi cố cung cấp hướng dẫn phải thực nhận báo cáo kiện an tồn thơng tin Một đầu mối liên hệ cần phải thiết lập cho việc báo cáo kiện an 83 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN tồn thơng tin Phải bảo đảm người tổ chức biết đầu mối liên hệ này, đầu mối phải luôn sẵn sàng có khả phản ứng lúc hợp lý Tất nhân có liên quan tổ chức cần phải ý thức trách nhiệm báo cáo kiện an tồn thơng tin nhanh tốt Họ cần phải biết quy trình báo cáo kiện an tồn thơng tin đầu mối liên hệ Các quy trình báo cáo cần bao gồm: a Các q trình phản hồi thích hợp để đảm bảo kết xử lý thông báo đến bên có liên quan b Các mẫu báo cáo để hỗ trợ hoạt động báo cáo, giúp người báo cáo nhớ hoạt động cần thiết có kiện an tồn thơng tin; c Các việc cần làm có kiện an tồn thơng tin: 1) Ghi chi tiết quan trọng (chẳng hạn loại vi phạm, lỗi, thơng báo hình, hoạt động lạ,…); 2) Khơng tự động làm ngồi việc báo cáo với đầu mối liên hệ; d Tham khảo tới quy trình xử lý kỷ luật nhân vi phạm an tồn thơng tin XII.1.2 Báo cáo điểm yếu bảo mật Biện pháp quản lý: Tất người sử dụng có liên quan đến tổ chức cần ghi nhận báo cáo phát có nghi ngờ tất điểm yếu hệ thống dịch vụ Hướng dẫn thực hiện: Tất người sử dụng có liên quan đến hệ thống thơng tin tổ chức cần phải báo cáo vấn đề tới người quản lý họ trực tiếp tới nhà cung cấp dịch vụ họ nhanh để ngăn ngừa cố an tồn thơng tin Cơ chế báo cáo cần phải dễ dàng, tiếp cận, sẵn có Người dùng khơng thử chứng minh điểm yếu nghi ngờ hoàn cảnh XII.2 Quản lý cố nâng cấp an tồn thơng tin Mục tiêu: áp dụng cách tiếp cận quán hiệu cho việc quản lý cố bảo mật thông tin 84 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN Các trách nhiệm thủ tục cần đưa vào để xử lý kiện bảo mật thông tin điểm yếu cách hiệu chúng báo cáo Một tiến trình cải tiến liên tục cần áp dụng với đáp ứng với, theo dõi, đánh giá, toàn việc quản lý cố bảo mật thông tin Cần thu thập chứng cần, để đảm bảo làm theo yêu cầu luật pháp XII.2.1 Các trách nhiệm quy trình quản lý cố an tồn thơng tin Biện pháp quản lý: Tổ chức cần phân công trách nhiệm quản lý xây dựng quy trình bảo đảm khả phản ứng nhanh, hiệu quả, hợp lý trước cố an tồn thơng tin Hướng dẫn thực hiện: Để bổ sung cho việc báo cáo cố an tồn thơng tin điểm yếu, cần giám sát hệ thống, cảnh báo lỗi bảo mật (10.10.2) để phát cố an tồn thơng tin Quy trình quản lý cố an tồn thơng tin cần cân nhắc điểm sau: a Cần thiết lập quy trình xử lý loại cố an tồn thơng tin khác nhau, bao gồm: 1) Hệ thống thông tin hư hỏng ngưng phục vụ; 2) Mã độc hại; 3) Tấn công từ chối phục vụ; 4) Các lỗi liệu sai không đầy đủ; 5) Các công vào tính tin cậy tồn vẹn hệ thống; 6) Chiếm dụng hệ thống thông tin trái phép; b Bổ sung cho kế hoạch xử lý trường hợp bất ngờ, thủ tục cần bao gồm: 1) Phân tích xác định nguyên nhân cố; 2) Ngăn chặn cố; 3) Lên kế hoạch thực hoạt động khắc phục ngăn ngừa cố tái diễn; 4) Liên lạc với bên bị ảnh hưởng cố hay liên quan đến q trình khơi phục sau cố; 5) Thông báo tới phận chuyên trách 85 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN c Cần thu thập bảo vệ cách thích hợp thông tin ghi nhận chứng nhằm mục đích: 1) Phân tích vấn đề bên tổ chức; 2) Sử dụng chứng pháp lý khởi kiện; 3) Thương lượng việc đền bù từ người cung cấp phần mềm dịch vụ có liên quan đến cố d Các hoạt động khôi phục điều chỉnh hệ thống cần quản lý chặt chẽ: 1) Chỉ người phân công phép truy xuất vào hệ thống liệu hoạt động; 2) Cần lập tài liệu ghi nhận đầy đủ hoạt động phản ứng khẩn cấp; 3) Hoạt động phản ứng khẩn cấp cần báo cáo đến cấp quản lý cần xem xét đầy đủ; 4) Cần nhanh chóng xác định tồn vẹn hệ thống nghiệp vụ biện pháp quản lý an tồn thơng tin XII.2.2 Rút kinh nghiệm từ cố an tồn thơng tin Biện pháp quản lý: Cần có phương thức thu thập giám sát thông tin kiểu cố, số lượng cố thiệt hại cố gây cho tổ chức Hướng dẫn thực hiện: Những thông tin thu từ việc đánh giá cố an tồn thơng tin sử dụng để xác định cố thường xuyên diễn hay gây tác hại lớn cho tổ chức XII.2.3 Thu thập chứng Biện pháp quản lý: Trong cố an tồn thơng tin có dấu hiệu vi phạm pháp luật (dân hay hình sự), chứng cần thu thập, giữ lại cung cấp theo quy định pháp luật Hướng dẫn thực hiện: Cần chuẩn bị tuân theo quy trình thu thập đưa cung cấp chứng mục đích xử lý kỷ luật thực bên tổ chức Các quy tắc liên quan đến chứng: 86 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN a Tính pháp lý chứng: chứng có sử dụng tòa án hay khơng; b Chất lượng tính hồn chỉnh chứng XIII Tuân thủ XIII.1 Tuân thủ quy định pháp lý Mục tiêu: Tránh vi phạm pháp lý cam kết thỏa thuận có Thiết kế, điều hành, sử dụng quản lý hệ thống thơng tin phụ thuộc vào quy định pháp luật, cam kết thỏa thuận có Cần tham khảo ý kiến luật sư, chuyên gia lĩnh vực pháp lý quy định pháp lý an toàn thông tin Các quy định pháp lý quốc gia thường có khác biệt, đơi địa phương (như tỉnh) có quy định khác XIII.1.1 Áp dụng quy định pháp lý Biện pháp quản lý: Xác định rõ cập nhật thường xuyên yêu cầu pháp lý, quy định, hướng dẫn, cam kết thỏa thuận cần phải tuân thủ Hướng dẫn thực hiện: Các biện pháp quản lý cụ thể trách nhiệm người sử dụng phải xác định lập thành tài liệu cách phù hợp XIII.1.2 Quyền sở hữu trí tuệ Biện pháp quản lý: Cần thực đầy đủ thủ tục phù hợp hợp để đảm bảo tuân thủ quy định pháp lý cam kết thỏa thuận quyền sở hữu trí tuệ Hướng dẫn thực hiện: Cần xem xét hướng dẫn để bảo vệ thành phần hệ thống có yếu tố bảo vệ tác quyền: a Công bố quy định việc tuân thủ quyền sở hữu trí tuệ định nghĩa cách sử dụng hợp pháp sản phẩm phần mềm thông tin; 87 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN b Chỉ sử dụng phần mềm có nguồn gốc rõ ràng đáng tin cậy để đảm bảo không vi phạm quyền; c Duy trì nhận thức quy định để bảo vệ quyền sở hữu trí tuệ, đưa thơng cáo mục đích để có hoạt động kỷ luật người vi phạm; d Duy trì danh sách tài sản thích hợp, nhận diện tài sản có yêu cầu bảo vệ quyền sở hữu trí tuệ; e Lưu giữ chứng dấu hiệu sở hữu giấy phép, đĩa gốc, sách hướng dẫn sử dụng, f Thực điều chỉnh để đảm bảo số người sử dụng phép không bị vượt cho phép; g Tiến hành kiểm tra tất phần mềm hệ thống, sử dụng phần mềm cấp phép sản phẩm cấp phép; h Tuân theo điều khoản thu thập phần mềm thông tin từ mạng công cộng; XIII.1.3 Bảo vệ liệu thông tin cá nhân Biện pháp quản lý: Bảo vệ liệu thông tin cá nhân cần đảm bảo thực theo quy định cam kết có Hướng dẫn thực hiện: Cần xây dựng thực quy định bảo vệ liệu thông tin cá nhân tổ chức Quy định cần thông tin tới người liên quan đến q trình xử lý thơng tin cá nhân Để làm theo quy định phải có quản lý thích hợp Tốt giao cho người chịu trách nhiệm, người cung cấp hướng dẫn cho người quản lý, người sử dụng nhà cung cấp dịch vụ trách nhiệm cá nhân họ thủ tục cụ thể cần làm theo Trách nhiệm xử lý thông tin cá nhân đảm bảo nhận thức nguyên tắc bảo vệ liệu phải phù hợp với luật quy định liên quan Cần thực biện pháp kỹ thuật tổ chức thích hợp để bảo vệ thông tin cá nhân XIII.1.4 Chống lạm dụng phương tiện xử lý thông tin Biện pháp quản lý: 88 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN Ngăn chặn việc sử dụng lạm dụng trái phép phương tiện xử lý thông tin Hướng dẫn thực hiện: Mọi hoạt động sử dụng trái phép phương tiện xử lý thông tin cần bị xử lý thích đáng Cần có biện pháp phát việc sử dụng phương tiện ích xử lý thơng tin XIII.2 Tn thủ tiêu chuẩn, sách Mục tiêu: Tuân thủ đầy đủ tiêu chuẩn kỹ thuật sách ATTT tổ chức An tồn hệ thống thơng tin cần thường xun soát xét Các soát xét cần thực phù hợp với sách ATTT để đảm bảo tuân thủ tiêu chuẩn kỹ thuật biện pháp quản lý ATTT xác định XIII.2.1 Tuân thủ sách tiêu chuẩn ATTT Biện pháp quản lý: Người quản lý cần đảm bảo thủ tục bảo mật phạm vi trách nhiệm họ đưa xác để làm theo quy định tiêu chuẩn bảo mật Hướng dẫn thực hiện: Người quản lý cần xem lại đặn việc xử lý thông tin phạm vi trách nhiệm họ có làm theo quy định, tiêu chuẩn yêu cầu khác bảo mật không Nếu không, cấp quản lý phải: a Xác định nguyên nhân; b Đánh giá cần thiết hoạt động nhằm đảm bảo việc khơng tái diễn; c Xác định thực hoạt động khắc phục thích hợp; d Xem lại kết hoạt động khắc phục Các kết hoạt động rà soát khắc phục cần ghi lại lưu trữ thích hợp XIII.2.2 Kiểm tra việc tuân thủ kỹ thuật Biện pháp quản lý: 89 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN Các hệ thống thông tin cần kiểm tra đặn theo tiêu chuẩn thực bảo mật Hướng dẫn thực hiện: Việc kiểm tra kỹ thuật cần thực tay (được hỗ trợ cơng cụ phần mềm thích hợp cần) kỹ sư hệ thống có kinh nghiệm, và/hoặc với giúp đỡ công cụ tự động sinh thông báo kỹ thuật để chuyên viên kỹ thuật phân tích Khi đánh giá điểm yếu kiểm tra sâu hơn, cần ý hoạt động dẫn đến tác hại với tính bảo mật hệ thống Những kiểm tra cần lập kế hoạch, lập tài liệu lặp lại Những kiểm tra thực người thành thạo, cấp quyền, giám sát người XIII.3 Kiểm tra hệ thống thông tin Mục tiêu: Nâng cao hiệu giảm thiểu trở ngại việc kiểm tra hệ thống thông tin Cần thiết có bảo vệ phù hợp để đảm bảo cho toàn vẹn ngăn chặn việc lạm dụng thiết bị kiểm tra XIII.3.1 Biện pháp kiểm tra an tồn thơng tin Biện pháp quản lý: Các yêu cầu hoạt động liên quan đến việc kiểm tra hệ thống thông tin cần lên kế hoạch cẩn thận thống để giảm thiểu nguy gây gián đoạn hoạt động tổ chức Hướng dẫn thực hiện: Cần tuân theo hướng dẫn sau: a Các yêu cầu kiểm tra cần cấp quản lý đồng ý phê chuẩn; b Phạm vi kiểm tra cần đồng ý điều chỉnh trước; c Các hoạt động kiểm tra cần hạn chế mức chỉ–đọc (read– only) với phần mềm liệu; d Ngoài việc đọc, kiểu truy xuất khác cho phép file hệ thống; e Các tài nguyên để thực kiểm tra cần sẵn sàng nhận diện rõ ràng; 90 Các biện pháp quản lý ATTT khuyến khích áp dụng quan NN f Các yêu cầu thêm xử lý đặc biệt cần xác định đồng ý trước; g Mọi truy xuất cần theo dõi ghi nhận; cần cân nhắc việc sử dụng thông tin ghi nhận đánh mốc thời gian liệu hệ thống quan trọng; h Mọi thủ tục, yêu cầu, trách nhiệm cần lập tài liệu; i Những người thực rà soát cần độc lập với hệ thống rà sốt XIII.3.2 Bảo vệ cơng cụ kiểm tra hệ thống thông tin Biện pháp quản lý: Cần bảo vệ việc truy xuất đến công cụ rà sốt hệ thống thơng tin để tránh sử dụng sai mục đích gây tổn hại cho hệ thống Hướng dẫn thực hiện: Các công cụ kiểm tra hệ thống thơng tin, ví dụ phần mềm hay tệp tin liệu cần cách ly với việc phát triển điều hành hệ thống không chứa kho vùng sử dụng, trừ đưa mức bảo vệ bổ sung thích hợp 91 ... VI .2 Phân loại thông tin 21 VI .2. 1 Hướng dẫn phân loại 22 VI .2. 2 Gán nhãn xử lý thông tin 22 VII An toàn nguồn nhân lực 23 VII.1 Ưu tiên để tuyển dụng 23 ... nhiệm .23 VII.1 .2 Thẩm tra lý lịch .23 VII.1.3 Các điều khoản điều kiện tuyển dụng 24 VII .2 Sử dụng nhân .25 VII .2. 1 Trách nhiệm ban quản lý 26 VII .2. 2 Nhận thức,... bảo mật 30 VIII .2 Bảo vệ thiết bị .31 VIII .2. 1 Bảo vệ đặt thiết bị .31 VIII .2. 2 Các tiện ích hỗ trợ 32 VIII .2. 3 An toàn truyền dẫn 32 VIII .2. 4 Bảo trì thiết bị