Tiêu chuẩn Quốc gia TCVN 10542:2014 cung cấp hướng dẫn cho việc phát triển và sử dụng các số đo, phép đo để đánh giá hiệu lực của một hệ thống quản lý an toàn thông tin (ISMS) đã triển khai và các biện pháp quản lý hay nhóm các biện pháp quản lý, theo quy định tại tiêu chuẩn TCVN ISO/IEC 27001:2009.
TIÊU CHUẨN QUỐC GIA TCVN 10542:2014 ISO/IEC 27004:2009 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - QUẢN LÝ AN TỒN THƠNG TIN - ĐO LƯỜNG lnformation technology - Security techniques - lnformation security management - Measurement Lời nói đầu TCVN 10542:2014 hồn tồn tương đương với ISO/IEC 27004:2009 TCVN 10542:2014 Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin truyền thông tổ chức xây dựng đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Cơng nghệ cơng bố CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - QUẢN LÝ AN TỒN THƠNG TIN - ĐO LƯỜNG lnformation technology - Security techniques - Intormation security management Measurement Phạm vi áp dụng Tiêu chuẩn cung cấp hướng dẫn cho việc phát triển sử dụng số đo, phép đo để đánh giá hiệu lực hệ thống quản lý an tồn thơng tin (ISMS) triển khai biện pháp quản lý hay nhóm biện pháp quản lý, theo quy định tiêu chuẩn TCVN ISO/IEC 27001:2009 Tiêu chuẩn khuyến nghị áp dụng tất tổ chức loại hình quy mơ CHÚ THÍCH: Tài liệu sử dụng dạng lời cho việc diễn tả điều khoản (như “phải", “phải khơng”, “nên”, “khơng nên", “cần”, “khơng cần", “có thể” “khơng thể") chuẩn hóa dẫn ISO/IEC, Phần 2, 2004, Phụ lục H Xem ISO/IEC 27000:2009, Phụ lục A Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn không ghi năm cơng bố áp dụng phiên (bao gồm sửa đổi, bổ sung) ISO/IEC 27000:2009, Information technology - Security techniques - lnformation security management systems - Overview and vocabulary (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng); TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các yêu cầu (Information technology - Security techniques - Information security management systems - Requirements) Thuật ngữ định nghĩa 3.1 Mơ hình phân tích (analytical model) Thuật tốn phép tính kết hợp hay nhiều số đo (base measure) và/hoặc số đo dẫn xuất với tiêu chí định kèm [ISO/IEC 15939:2007] 3.2 Thuộc tính (attribute) Các đặc tính đặc điểm đối tượng mà phân biệt cách định lượng định tính người thiết bị tự động (automated means) THIẾU TRANG 3.11 Hàm đo (measurement function) Thuật tốn tính tốn thực để kết hợp hai nhiều số đo [ISO/IEC 15939:2007] 3.12 Phương pháp đo (measurement method) Trình tự logic phép tốn, mơ tả cách tổng quát, sử dụng việc định lượng thuộc tính thang đo xác định [ISO/IEC 15939:2007] CHÚ THÍCH: Loại phương pháp đo phụ thuộc vào chất phép toán sử dụng để định lượng thuộc tính Hai loại phương pháp phân biệt: - Chủ quan: việc định lượng liên quan tới chủ định người; - Khách quan: việc định lượng dựa nguyên tắc số học 3.13 Kết đo (measurement results) Một nhiều báo giải thích kèm nhằm giải nhu cầu thông tin 3.14 Đối tượng (object) Đề mục đặc trưng hóa thơng qua đo lường thuộc tính 3.15 Thang đo (scale) Tập hợp có thứ tự giá trị liên tục hay rời rạc, tập phân loại mà thuộc tính ánh xạ tới [ISO/IEC 15939:2007] CHÚ THÍCH: Loại thang đo phụ thuộc vào chất mối quan hệ giá trị thang đo Bốn loại thang đo thường định nghĩa là; - Danh định: giá trị đo giá trị rõ ràng; - Thứ tự: giá trị đo hạng/bậc; - Khoảng đoạn: giá trị đo có khoảng tương ứng với số lượng thuộc tính; - Tỷ lệ: giá trị đo có khoảng cách tương ứng với số lượng thuộc tính, với giá trị khơng khơng tương ứng với thuộc tính 3.16 Đơn vị đo (unit of measurement) Lượng cụ thể, xác định chấp nhận theo quy ước, với lượng này, lượng khác loại so sánh để diễn tả mối tương quan độ lớn với lượng [ISO/IEC 15939:2007] 3.17 Hợp lệ (validation) Sự xác nhận, thông qua việc cung cấp chứng khách quan, yêu cầu cho mục đích sử dụng cụ thể ứng dụng thỏa mãn 3.18 Sự xác minh (Verification) Sự xác nhận, thông qua việc cung cấp chứng khách quan, yêu cầu cụ thể thỏa mãn [ISO/IEC 9000:2005] CHÚ THÍCH: Cũng gọi việc kiểm tra tuân thủ Cấu trúc tiêu chuẩn Tiêu chuẩn giải thích số đo hoạt động đo lường cần thiết để đánh giá hiệu lực yêu cầu ISMS cho ban quản lý biện pháp quản lý an tồn thơng tin cách phù hợp tương xứng theo yêu cầu nêu tiêu chuẩn TCVN ISO/IEC 27001:2009, 4.2 Tiêu chuẩn cấu trúc sau: + Tổng quan Chương trình đo lường an tồn thơng tin Mơ hình đo lường an tồn thơng tin (Điều 5); + Trách nhiệm ban quản lý đo lường an tồn thơng tin (Điều 6); + Các cấu trúc phép đo quy trình (như việc lập kế hoạch phát triển, triển khai, hoạt động, vận hành cải tiến phép đo: trao đổi kết phép đo) để triển khai Chương trình đo lường an tồn thơng tin (Điều - 10); Ngồi ra, Phụ lục A cung cấp mẫu ví dụ cấu trúc phép đo thành phần yếu tố mơ hình đo lường an tồn thơng tin (xem Điều 7) Phụ lục B cung cấp ví dụ cấu trúc phép đo biện pháp quản lý cụ thể hay quy trình ISMS, sử dụng mẫu cung cấp Phụ lục A Những ví dụ giúp tổ chức việc làm để triển khai Đo lường hệ thống an tồn thơng tin làm để ghi lại hành động đo kết từ chúng Tổng quan đo lường an tồn thơng tin 5.1 Các mục tiêu đo lường an toàn thơng tin Các mục tiêu đo lường an tồn thông tin bối cảnh ISMS bao gồm: a) Ước lượng hiệu lực biện pháp quản lý hay nhóm biện pháp quản lý triển khai (xem 4.2.2 d Hình 1); b) Ước lượng hiệu lực ISMS triển khai (xem 4.2.3 b Hình 1); c) Xác minh mức độ đáp ứng u cầu an tồn thơng tin xác định (xem 4.2.3 c Hình 1); d) Tạo điều kiện thuận lợi cho việc thực cải tiến an tồn thơng tin mặt quản lý rủi ro nghiệp vụ tổng thể tổ chức; e) Cung cấp thông tin đầu vào cho việc soát xét ban quản lý để tạo điều kiện đưa định liên quan đến ISMS việc điều chỉnh cải tiến cần thiết ISMS triển khai Hình mơ tả mối quan hệ đầu vào - đầu theo chu kỳ hoạt động đo lường theo mơ hình Lập kế hoạch - Thực - Kiểm tra - Hành động (PDCA: Plan-Do-Check-Act), quy định tiêu chuẩn TCVN ISO/IEC 27001:2009 Các số hình mục tương đương TCVN ISO/IEC 27001:2009 Hình - Đầu vào đầu ISMS theo mơ hình PDCA quản lý an tồn thơng tin Các tổ chức cần thiết lập mục tiêu đo lường dựa số cân nhắc, bao gồm: a) Vai trò an tồn thơng tin hỗ trợ hoạt động nghiệp vụ tổng thể tổ chức rủi ro hệ thống an tồn thơng tin phải đối mặt; b) Các yêu cầu luật pháp, quy định hợp đồng liên quan; c) Cơ cấu tổ chức; d) Chi phí lợi ích việc thực phép đo an tồn thơng tin; e) Tiêu chí chấp nhận rủi ro thơng tin tổ chức; f) Yêu cầu cần so sánh số ISMS tổ chức tương đương 5.2 Chương trình đo lường an tồn thơng tin Tổ chức nên thiết lập quản lý Chương trình đo lường an tồn thơng tin để đạt mục tiêu đo lường thiết lập chấp nhận thực mơ hình PDCA toàn hoạt động đo lường tổ chức Tổ chức cần phát triển triển khai cấu trúc đo lường để có kết đo khách quan hữu ích dựa Mơ hình đo lường an tồn thơng tin (xem 5.4) Chương trình đo lường an tồn thơng tin cấu trúc đo lường triển khai nên đảm bảo giúp tổ chức đạt phép đo mục tiêu có liên quan lặp lại, cung cấp kết đo cho bên liên quan để xác định nhu cầu cải tiến ISMS triển khai, phạm vi, sách, mục tiêu, biện pháp quản lý, quy trình thủ tục Chương trình đo lường an tồn thơng tin bao gồm quy trình sau đây: a) Phát triển số đo phép đo (Điều 7); b) Tiến hành đo lường (Điều 8); c) Phân tích liệu lập báo cáo kết đo (Điều 9); d) Ước lượng cải tiến Chương trình đo lường an tồn thông tin (Điều 10) Cơ cấu cấu trúc hoạt động Chương trình đo lường an tồn thơng tin nên định sở quy mô phức tạp ISMS Trong trường hợp, vai trò trách nhiệm Chương trình đo lường an tồn thơng tin nên quy rõ cho người có đủ lực (xem 7.5.8) Các số đo lựa chọn thực Chương trình đo lường an tồn thơng tin nên liên quan trực tiếp đến hoạt động ISMS, đến số đo khác, đến quy trình nghiệp vụ tổ chức Phép đo tích hợp vào hoạt động thường xuyên triển khai khoảng thời gian xác định ban quản lý ISMS 5.3 Các yếu tố giúp thành công Sau số yếu tố góp phần vào thành cơng Chương trình đo lường an tồn thơng tin tạo điều kiện thuận lợi để cải tiến ISMS cách liên tục: a) Cam kết ban quản lý hỗ trợ nguồn lực thích hợp; b) Sự tồn quy trình thủ tục ISMS; c) Một tiến trình lặp lại, có khả thu thập báo cáo/ thông báo liệu có ý nghĩa để cung cấp thơng tin cho việc xác định xu hướng có liên quan khoảng thời gian cụ thể; d) Các số đo định lượng dựa mục tiêu ISMS; e) Các liệu thu thập dễ dàng cho phép đo; f) Ước lượng tính hiệu lực Chương trình đo lường an tồn thơng tin triển khai cải tiến định; g) Duy trì việc thu thập, phân tích báo cáo liệu đo lường cách định kỳ, theo cách có ý nghĩa; h) Việc sử dụng kết đo bên liên quan để xác định nhu cầu cần cải tiến ISMS triển khai, bao gồm phạm vi, sách, mục tiêu, biện pháp quản lý, quy trình thủ tục; i) Việc chấp nhận thông tin phản hồi kết đo từ bên liên quan; j) Ước lượng hữu dụng kết đo thực cải tiến xác định Ngay sau triển khai thành cơng, Chương trình đo lường an tồn thơng tin có thể: 1) Chứng tỏ tuân thủ tổ chức với yêu cầu pháp lý quy định hành nghĩa vụ hợp đồng; 2) Hỗ trợ xác định vấn đề an tồn thơng tin trước khơng bị phát không biết; 3) Trợ giúp việc đáp ứng báo cáo quản lý cần thiết nêu rõ số đo cho hành động từ trước đó; 4) Được sử dụng đầu vào cho quy trình quản lý rủi ro an tồn thơng tin, đánh giá nội ISMS soát xét ban quản lý 5.4 Mơ hình đo lường an tồn thơng tin CHÚ THÍCH: Các khái niệm mơ hình đo lường an tồn thơng tin cấu trúc phép đo sử dụng tiêu chuẩn dựa khái niệm ISO/IEC 15939 Thuật ngữ “sản phẩm thông tin” sử dụng ISO/IEC 15939 đồng nghĩa với “các kết đo” tiêu chuẩn "quy trình đo lường” sử dụng ISO/IEC 15939 đồng nghĩa với “Chương trình đo lường’’ tiêu chuẩn 5.4.1 Tổng quan mơ hình đo lường Mơ hình đo lường an tồn thơng tin cấu trúc liên kết nhu cầu thông tin tới đối tượng có liên quan phép đo thuộc tính chúng Đối tượng đo lường bao gồm quy trình, thủ tục, dự án nguồn lực lập kế hoạch triển khai Mơ hình đo lường an tồn thơng tin mơ tả để thuộc tính liên quan định lượng chuyển đổi thành báo cung cấp sở cho việc định Hình mơ tả mơ hình đo lường an tồn thơng tin Hình Mơ hình đo lường an tồn thơng tin CHÚ THÍCH: Điều cung cấp chi tiết thông tin thành phần riêng mơ hình đo lường an tồn thơng tin Các điều giới thiệu thành phần mơ hình Chúng cung cấp ví dụ cách sử dụng thành phần Các nhu cầu thơng tin hay mục đích đo lường sử dụng ví dụ Bảng tới Bảng phần sau để đánh giá tình trạng nhận thức cá nhân có liên quan tuân thủ sách an tồn thơng tin tổ chức (Mục tiêu quản lý A.8.2 Các biện pháp quản lý A.8.2.1 A.8.2.2 TCVN ISO/IEC 27001:2009), 5.4.2 Số đo phương pháp đo Một số đo số đo đơn giản có Một số đo kết việc áp dụng phương pháp đo lường tới thuộc tính lựa chọn đối tượng phép đo Đối tượng phép đo có nhiều thuộc tính, số cung cấp giá trị hữu ích để gán cho số đo Một thuộc tính cho sử dụng cho nhiều số đo khác Một phương pháp đo trình tự logic phép tốn sử dụng để định lượng thuộc tính tương ứng với thang đo xác định Phép tốn bao gồm hoạt động đếm số lần xảy hay việc quan sát thời gian qua Một phương pháp đo áp dụng nhiều thuộc tính cho đối tượng đo lường Ví dụ đối tượng đo lường bao gồm không giới hạn bởi: - Khả biện pháp quản lý triển khai ISMS; - Tình trạng tài sản thông tin bảo vệ biện pháp quản lý; - Khả quy trình triển khai ISMS; - Hành vi cá nhân chịu trách nhiệm ISMS triển khai; - Các hoạt động đơn vị tổ chức chịu trách nhiệm an tồn thơng tin; - Mức độ hài lòng bên quan tâm Một phương pháp đo sử dụng đối tượng đo lường phép đo thuộc tính từ nhiều nguồn khác nhau, chẳng hạn như: - Các kết phân tích rủi ro đánh giá rủi ro; - Các câu hỏi vấn cá nhân; - Các báo cáo kiểm tra nội từ bên ngoài; - Các ghi kiện, nhật ký đăng nhập (logs), báo cáo thống kê lưu vết kiểm tra; - Các báo cáo cố, cụ thể cố xảy tác động; - Các kết kiểm tra, ví dụ từ thâm nhập thử nghiệm (penetration testing hay pentest), khai thác tâm lý, công cụ đánh giá tuân thủ công cụ kiểm tra an tồn thơng tin; - Các ghi từ thủ tục chương trình có liên quan tới an tồn thơng tin tổ chức, kết đào tạo nhận thức an tồn thơng tin Bảng - trình bày ứng dụng mơ hình an tồn thơng tin cho biện pháp quản lý sau: - "Biện pháp quản lý 2" tham chiếu đến biện pháp quản lý A.8.2.1 Trách nhiệm Ban quản lý TCVN ISO/IEC 27001:2009 (“Ban quản lý cần phải yêu cầu cá nhân, người nhà thầu bên thứ ba chấp hành an tồn thơng tin phù hợp với thủ tục sách an tồn thơng tin thiết lập tổ chức”); thực sau: "Tất cá nhân tổ chức có liên quan đến ISMS phải ký thỏa thuận người dùng trước cấp quyền truy cập đến hệ thống thông tin"; - "Biện pháp quản lý 1" tham chiếu đến biện pháp quản lý A.8.2.2 "Nhận thức, giáo dục đào tạo an tồn thơng tin" TCVN ISO/IEC 27001:2009 ("Tất cá nhân tổ chức, người nhà thầu bên thứ ba phải đào tạo nhận thức cập nhật thường xuyên thủ tục, sách đảm bảo an tồn thơng tin tổ chức phần công việc bắt buộc"); thực sau: "Tất cá nhân liên quan đến ISMS phải đào tạo nâng cao nhận thức an tồn thơng tin trước cấp quyền truy cập vào hệ thống thông tin" Các cấu trúc phép đo tương ứng mơ tả B.1 CHÚ THÍCH: Bảng - bao gồm cột khác (Bảng có bốn cột; Bảng 2-4 có ba cột), cột gán chữ định Mỗi ô cột gán số định Các tổ hợp chữ định chữ số định sử dụng ô để tham chiếu đến trước Các mũi tên luồng liệu thành phần riêng biệt mơ hình đo lường an tồn thơng tin ví dụ cụ thể Bảng bao gồm ví dụ mối quan hệ đối tượng phép đo, thuộc tính, phương pháp đo số đo cho đo lường đối tượng thiết lập cho biện pháp quản lý triển khai mô tả Bảng - Ví dụ số đo phương pháp đo 5.4.3 Số đo dẫn xuất hàm đo lường Số đo dẫn xuất kết hợp hai nhiều số đo Một số đo phục vụ đầu vào số số đo dẫn xuất Hàm đo lường tính toán sử dụng để kết hợp số đo với để tạo số đo dẫn xuất Thang đo đơn vị số đo dẫn xuất phụ thuộc vào thang đo đơn vị số đo có liên quan làm chúng kết hợp với hàm đo lường Hàm đo lường liên quan đến loạt kỹ thuật, chẳng hạn tính trung bình số đo bản, áp dụng trọng số cho số đo bản, gán giá trị định tính cho số đo Hàm đo lường kết hợp số đo sử dụng thang đo khác nhau, chẳng hạn tỷ lệ phần trăm kết đánh giá định tính Một ví dụ mối quan hệ thành phần khác việc ứng dụng mơ hình đo lường an tồn thông tin số đo bản, hàm đo lường số đo dẫn xuất trình bày Bảng Bảng – Ví dụ số đo dẫn xuất hàm đo lường 5.4.4 Chỉ báo mơ hình phân tích Chỉ báo số đo cung cấp ước đoán ước lượng thuộc tính xác định rút từ mơ hình phân tích nhu cầu thơng tin cụ thể Các báo thu cách áp dụng mơ hình phân tích cho số đo hay số đo dẫn xuất kết hợp chúng với tiêu chí định Thang đo phương pháp đo ảnh hưởng đến lựa chọn kỹ thuật phân tích sử dụng để tạo báo Một ví dụ mối quan hệ số đo dẫn xuất, mơ hình phân tích báo cho ứng dụng mơ hình đo lường an tồn thơng tin trình bày Bảng Bảng - Ví dụ báo mơ hình phân tích CHÚ THÍCH: Nếu báo biểu diễn dạng đồ thị, biểu diễn nên đảm bảo để người khiếm thị sử dụng được, sử dụng tạo đơn sắc Để làm điều này, mô tả báo nên bao gồm màu sắc, bóng mờ, kiểu chữ phương pháp hiển thị khác 5.4.5 Kết đo tiêu chí định Các kết đo phát triển từ việc diễn giải báo khả dụng dựa tiêu chí định nên xem xét bối cảnh mục tiêu đo lường tổng thể việc đánh giá hiệu lực ISMS Tiêu chí định sử dụng để xác định hành động cần thiết hay soát xét kỹ hơn, để diễn tả mức tin tưởng kết đo Tiêu chí định áp dụng cho chuỗi báo, ví dụ để thực phân tích xu hướng dựa báo nhận từ thời điểm khác Các mục tiêu đặc tả chất lượng chi tiết, áp dụng cho tổ chức hay cho bên liên quan, lấy từ đối tượng an tồn thơng tin mục tiêu ISMS, mục tiêu quản lý cần thiết lập đáp ứng để đạt mục tiêu Một ví dụ mối quan hệ thành phần định việc áp dụng mơ hình đo lường an tồn thơng tin (như báo, tiêu chí định kết đo) trình bày Bảng Bảng – Ví dụ kết đo mơ hình phân tích Trách nhiệm ban quản lý 6.1 Giới thiệu chung Ban quản lý chịu trách nhiệm xây dựng Chương trình đo lường an tồn thơng tin (ISMP), có liên quan tới nhiều bên khác (xem 7.5.8) hoạt động đo, chấp nhận kết đo số liệu đầu vào quy trình sốt xét ban quản lý sử dụng kết đo hoạt động cải tiến ISMS Để có điều trên, ban quản lý nên: a) Thiết lập mục tiêu cho ISMP; b) Thiết lập sách cho ISMP; c) Thiết lập vai trò trách nhiệm cho ISMP; d) Cung cấp nguồn lực phù hợp để thực đo lường bao gồm nhân lực, ngân quỹ, công cụ sở hạ tầng; e) Đảm bảo mục tiêu ISMP đạt được; f) Đảm bảo công cụ thiết bị sử dụng để thu thập liệu bảo dưỡng hợp lý; g) Thiết lập mục đích đo lường cho cấu trúc phép đo; h) Đảm bảo phép đo cung cấp đủ thông tin cho bên liên quan hiệu lực ISMS nhu cầu cải tiến ISMS triển khai, bao gồm phạm vi, sách, mục tiêu, biện pháp quản lý, quy trình thủ tục; i) Đảm bảo phép đo mang lại đủ thông tin cho bên liên quan hiệu lực biện pháp quản lý hay nhóm biện pháp quản lý nhu cầu cải tiến biện pháp quản lý triển khai Ban quản lý nên đảm bảo kết đo khơng bị chi phối người sở hữu thông tin (xem 7.5.8) thông qua việc gán vai trò trách nhiệm Điều có thông qua việc chia tách nhiệm vụ, hay điều khơng thể thơng qua việc sử dụng tài liệu chi tiết mà cho phép kiểm tra độc lập 6.2 Quản lý nguồn lực Ban quản lý nên phân chia cung cấp nguồn lực để hỗ trợ hoạt động cần thiết đo lường, việc thu thập liệu, phân tích, lưu trữ, lập báo cáo phát hành Việc phân bổ nguồn lực bao gồm việc định: a) Những người có trách nhiệm liên quan đến khía cạnh Chương trình đo lường an tồn thơng tin; b) Hỗ trợ nguồn tài phù hợp; c) Hỗ trợ sở hạ tầng phù hợp, sở hạ tầng vật lý công cụ sử dụng để thực quy trình đo lường CHÚ THÍCH: Điều 5.2.1 TCVN ISO/IEC 27001:2009 xác định yêu cầu việc cung cấp nguồn lực cho việc triển khai hoạt động ISMS 6.3 Tập huấn, nhận thức lực đo lường Ban quản lý nên đảm bảo rằng: a) Các bên liên quan (xem 7.5.8) đào tạo tương xứng với vai trò trách nhiệm họ việc thực thi Chương trình đo lường an tồn thơng tin có chất lượng phù hợp để thực vai trò trách nhiệm họ b) Các bên liên quan hiểu nhiệm vụ họ bao gồm việc đưa đề xuất cho việc cải tiến Chương trình đo lường an tồn thơng tin triển khai Phát triển số đo phép đo 7.1 Giới thiệu chung Phần cung cấp hướng dẫn việc để phát triển số đo phép đo nhằm mục đích đánh giá hiệu lực ISMS triển khai biện pháp quản lý hay nhóm biện pháp quản lý việc xác định cấu trúc phép đo cụ thể cho tổ chức Các hành động cần để phát triển số đo phép đo nên xây dựng lập thành tài liệu, bao gồm nội dung sau: a) Xác định phạm vi phép đo (xem 7.2); b) Nhận dạng nhu cầu thông tin (xem 7.3); c) Lựa chọn mục tiêu phép đo thuộc tính (xem 7.4); d) Phát triển cấu trúc phép đo (xem 7.5); e) Ứng dụng cấu trúc đo (xem 7.6); f) Thiết lập cách thu thập liệu quy trình phân tích liệu cơng cụ (xem 7.7); g) Thiết lập cách tiếp cận thực phép đo tài liệu hướng dẫn (xem 7.8) Khi thiết lập hoạt động này, tổ chức cần tính đến nguồn lực tài chính, nhân lực sở hạ tầng (môi trường vật lý công cụ) 7.2 Xác định phạm vi đo lường Tùy thuộc vào khả nguồn lực tổ chức, phạm vi ban đầu hoạt động đo lường tổ chức giới hạn biện pháp quản lý cụ thể, tài sản thông tin bảo vệ biện pháp quản lý cụ thể, hành động cụ thể cho an tồn thơng tin xác định mức ưu tiên cao ban quản lý Theo thời gian, phạm vi hoạt động đo lường mở rộng cho nhiều thành phần ISMS triển khai biện pháp quản lý hay nhóm biện pháp quản lý, có xem xét tới mức ưu tiên bên tham gia đo lường Các bên liên quan nên xác định tham gia vào việc xác định phạm vi đo lường Các bên liên quan nội bên đơn vị tổ chức, giám đốc dự án, giám đốc hệ thống thơng tin người định an tồn thông tin Những kết đo cụ thể dành cho hiệu lực biện pháp quản lý riêng hay nhóm biện pháp quản lý nên xác định trao đổi tới bên liên quan Tổ chức xem xét việc giới hạn số kết đo để thông báo tới người định giai đoạn thời gian định để đảm bảo khả chúng tác động tới việc cải tiến ISMS dựa kết đo báo cáo Một số lượng kết đo vượt mức ảnh hưởng đến khả người định việc ưu tiên trọng vào hành động cải tiến hệ thống tương lai Các kết đo phải ưu tiên dựa mức độ quan trọng nhu cầu thông tin tương ứng mục tiêu ISMS liên quan CHÚ THÍCH: Phạm vi phép đo liên quan tới phạm vi ISMS thiết lập theo 4.2.1 a) TCVN ISO/IEC 27001:2009 7.3 Xác định nhu cầu thông tin Mỗi cấu trúc phép đo nên tương ứng tới nhu cầu thơng tin Một ví dụ nhu cầu thông tin, diễn tả mục đích phép đo kết thúc tiêu chí định liên quan, biểu diễn Phụ lục A Các hành động sau cần thực để xác định nhu cầu thông tin liên quan: a) Kiểm tra ISMS quy trình nó, như: 1) Chính sách mục tiêu ISMS, mục tiêu quản lý biện pháp quản lý; 2) Các yêu cầu luật pháp, quy định hợp đồng liên quan yêu cầu tổ chức cho an tồn thơng tin; 3) Các kết q trình quản lý rủi ro an tồn thơng tin, mô tả TCVN ISO/IEC 27001:2009 b) Chọn mức ưu tiên nhu cầu thông tin xác định dựa tiêu chí, như: 1) Các mức ưu tiên xử lý rủi ro; 2) Khả nguồn lực tổ chức; 3) Sự quan tâm bên liên quan; 4) Chính sách an tồn thơng tin; 5) Thông tin yêu cầu để đáp ứng yêu cầu pháp luật, quy định hợp đồng liên quan; 6) Giá trị thông tin mối liên quan với chi phí phép đo; c) Chọn nhóm thơng tin cần giải hành động đo lường vào danh sách mức ưu tiên, d) Lập tài liệu trao đổi nhu cầu thông tin chọn cho bên liên quan Tất số đo liên quan áp dụng cho ISMS triển khai, biện pháp quản lý hay nhóm biện pháp quản lý nên triển khai sở nhu cầu thông tin chọn 7.4 Lựa chọn đối tượng thuộc tính Một đối tượng đo lường thuộc tính nên xác định bối cảnh tổng thể phạm vi ISMS Cần lưu ý đối tượng đo lường có nhiều thuộc tính Đối tượng thuộc tính sử dụng số đo nên chọn dựa mức ưu tiên nhu cầu thông tin tương ứng Các giá trị gán cho số đo liên quan có việc áp dụng phương pháp đo phù hợp cho thuộc tính lựa chọn Việc lựa chọn nên đảm bảo rằng: - Các số đo liên quan phương pháp đo thích hợp xác định; - Các kết đo có nhiều ý nghĩa phát triển dựa giá trị thu số đo phát triển Các đặc tính thuộc tính chọn định loại phương pháp đo cần sử dụng để thu giá trị để gán cho số đo (cả định tính hay định lượng) Đối tượng lựa chọn thuộc tính nên lập thành tài liệu, với lý việc lựa chọn Dữ liệu mô tả đối tượng phép đo thuộc tính tương ứng nên sử dụng giá trị để gán cho số đo Ví dụ đối tượng phép đo bao gồm không bị giới hạn trong: - Các sản phẩm dịch vụ; - Các quy trình; - Các tài sản khả dụng phương tiện, ứng dụng hệ thống thông tin xác định TCVN ISO/IEC 27001:2009 (Kiểm kê tài sản, A.7.1.1); - Các ban nghiệp vụ; - Các chi nhánh; - Các dịch vụ bên thứ ba Các thuộc tính nên xem xét để đảm bảo rằng: (đã triển khai) Tổ chức xác định hành động khắc phục yêu cầu phát hành tài liệu báo cáo hành động khắc phục nêu điểm chưa phù hợp, nguyên nhân thời gian cho hành động khắc phục Khi nhận báo cáo, người quản lý chịu trách nhiệm cho khu vực có điểm khơng phù hợp phát phải đảm bảo hành động khắc phục thực không chậm trễ để loại bỏ điểm không phù hợp nguyên nhân chúng Nếu hành động khắc phục không triển khai yêu cầu, nguyên nhân việc không hành động cần phải xác định, hành động thay hành động khắc phục nguyên phải định cách phù hợp Các hành động triển khai ngày kết cần phải ghi lại thành văn Nếu hành động khắc phục không triển khai kế hoạch định, lý hành động thay phải lập thành văn để báo cáo kịp thời đến người quản lý an tồn thơng tin Đối tượng đo lường thuộc tính Đối tượng Các báo cáo hành động khắc phục Thuộc tính Hạn triển khai hành động khắc phục báo cáo Ngày triển khai hành động khắc phục đưa vào báo cáo Lý trì hỗn khơng hành động Thơng tin đặc tả số đo Số đo Số hành động khắc phục lên kế hoạch tới Số hành động khắc phục thực theo kế hoạch tới Số hành động khắc phục chưa thực có lý tới Phương pháp đo Đếm số hành động khắc phục có kế hoạch thực tới Đếm số hành động khắc phục ghi nhận triển khai Đếm số hành động khắc phục ghi nhận kế hoạch chưa thực hiện, có lý Loại phương pháp đo - 3: Khách quan Thang đo - 3: Số nguyên từ đến vô Loại thang đo - 3: Theo thứ tự Đơn vị đo - 3: Hành động khắc phục Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất a) Hành động khắc phục chưa triển khai b) Hành động khắc phục chưa triển khai khơng có lý hợp lý Hàm đo lường a) [Số hành động khắc phục lên kế hoạch tới nay] - [Số hành động khắc phục thực theo kế hoạch tới nay] b) [Số hành động khắc phục không triển khai theo kế hoạch có lý do] - [Số hành động khắc phục không triển khai] Thông tin đặc tả báo Chỉ báo a) Tình trạng thể tỷ lệ hành động khắc phục không triển khai b) Tình trạng thể tỷ lệ hành động khắc phục không triển khai khơng có lý c) Xu hướng trạng thái Mơ hình phân tích a) [Số hành động khắc phục không triển khai đến nay] / [Số hành động khắc phục lên kế hoạch đến nay] b) [Số hành động khắc phục không triển khai khơng có lý do] / [Số hành động khắc phục lên kế hoạch đến nay] c) So sánh tình trạng với tình trạng đánh giá trước Thơng tin đặc tả tiêu chí định Tiêu chí định Để kết luận đạt mục tiêu không cần hành động, tỷ lệ báo a) b) cần nằm tương ứng 0,4 - 0,0 0,2 0,0; xu hướng số c) cần giảm so với báo cáo đo thường kỳ trước Các số c) cần trình bày thể so sánh với số trước để đưa hướng áp dụng triển khai hành động khắc phục Kết phép đo Giải thích báo Giải thích cho báo a) b) sau: - Kế hoạch hành động khắc phục phải triển khai trừ ưu tiên tổ chức thay đổi dẫn đến cần thiết phải triển khai hành động khắc phục khác chuyển hướng nguồn lực phân bố để triển khai hành động khắc phục Nếu 40% hành động khắc phục không triển khai lý do, 20% hành động khắc phục khơng triển khai khơng có lý đáng, cần thiết phải có hành động quản lý Hành động khắc phục không triển khai cần kiểm tra để xác định nguyên nhân Tùy thuộc vào tỷ lệ phần trăm không triển khai lý không triển khai, cần thiết phải có hành động mức cao Giải thích cho báo c) sau: Một xu hướng việc thực hành động khắc phục cần phải xem xét cho suy giảm tổng thể hoạt động cải tiến đáng kể hiệu suất Nếu tỷ lệ phần trăm hành động khắc phục thực giảm mạnh báo cáo đo gần nhất, cần thiết có hành động quản lý lý không tuân thủ Ảnh hưởng/tác động tiêu chí ảnh hưởng đến việc cải tiến hệ thống ISMS Nguyên nhân tiềm tàng bao gồm thiếu hụt nguồn lực, lập kế hoạch khơng xác, thiếu nhân có chun mơn cam kết quản lý Định dạng báo cáo đo Đồ thị dạng có ngăn với đường biểu thị kết đo cho phép đưa hành động quản lý thông qua tổng số lượng triển khai hành động khắc phục, tách thành triển khai, khơng triển khai có lý đáng, khơng triển khai khơng có lý đáng Các bên liên quan Người yêu cầu đo Người quản lý chịu trách nhiệm hệ thống ISMS Người quản lý an tồn thơng tin Người sốt xét phép đo Người quản lý chịu trách nhiệm hệ thống ISMS Người sở hữu thông tin Người quản lý chịu trách nhiệm hệ thống ISMS Bộ phận thu thập thông tin Người quản lý chịu trách nhiệm hệ thống ISMS Bộ phận trao đổi thông tin Người quản lý chịu trách nhiệm hệ thống ISMS Tần suất triển khai Tần suất thu thập liệu Hàng quý Tần suất phân tích liệu Hàng quý Tần suất lập báo cáo kết đo Hàng quý Tần suất sửa đổi phép đo Soát xét sửa đổi hàng năm Tần suất thực phép đo Hàng năm B.5 Cam kết ban quản lý Thông tin chung phép đo Tên phép đo Tần suất soát xét ban quản lý Số hiệu Tùy theo tổ chức Mục đích Đánh giá cam kết ban quản lý hành động sốt xét an tồn thơng tin theo hành động soát xét ban quản lý Mục tiêu biện pháp quản lý A.6.1 [TCVN ISO/IEC 27001:2009] Nhằm quản lý an tồn thơng tin tổ chức (đã lập kế hoạch) Nhằm quản lý an tồn thơng tin tổ chức thơng qua sốt xét ban quản lý thực thường xuyên Biện pháp quản lý (1) A.6.1.1 [TCVN ISO/IEC 27001:2009] Cam kết ban quản lý bảo đảm an tồn thơng tin Ban quản lý phải chủ động hỗ trợ bảo đảm an tồn thơng tin tổ chức định hướng rõ ràng, cam kết thấy được, nhiệm vụ rõ ràng nhận thức rõ trách nhiệm bảo đảm an tồn thơng tin (đã triển khai) Tổ chức phải có họp hàng tháng soát xét ban quản lý để hỗ trợ an tồn thơng tin tổ chức định hướng rõ ràng, cam kết thấy được, nhiệm vụ rõ ràng nhận thức rõ trách nhiệm bảo đảm an tồn thơng tin Sốt xét ban quản lý ISMS cần kết hợp với soát xét ban quản lý hệ thống quản lý chất lượng QMS (Quality Management System) Biện pháp quản lý (2) Tiến trình A.6.1.2 [TCVN ISO/IEC 27001:2009] Phối hợp bảo đảm an tồn thơng tin Các hoạt động bảo đảm an tồn thơng tin cần phải phối hợp đại diện ban tổ chức với vai trò nhiệm vụ cụ thể (đã triển khai) Những người nắm giữ vai trò trách nhiệm có liên quan thuộc phòng ban chức cần phối hợp tham gia soát xét ban quản lý Đối tượng đo lường thuộc tính Đối tượng Kế hoạch/ lịch biểu sốt xét ban quản lý an tồn thơng tin Các biên họp soát xét ban quản lý Thuộc tính 1.1 Ngày họp sốt xét ban quản lý lên kế hoạch 1.2 Sự có mặt ban quản lý tham dự buổi họp soát xét lên kế hoạch 2.1 Những ngày họp soát xét ban quản lý ghi lại 2.2 Sự có mặt ban quản lý ghi lại tham gia họp soát xét Thông tin đặc tả số đo Số đo 1.1 Số lượng họp soát xét ban quản lý lên kế hoạch 1.2 Số lượng người quản lý, nắm giữ vai trò trách nhiệm có liên quan đặt lịch để tham gia họp soát xét ban quản lý 2.1.1 Số lượng họp soát xét ban quản lý tổ chức theo kế hoạch 2.1.2 Số lượng họp soát xét ban quản lý tổ chức đột xuất không theo kế hoạch 2.1.3 Số lượng họp soát xét ban quản lý đặt lịch lại tổ chức 2.2 Số lượng người quản lý, nắm giữ vai trò trách nhiệm có liên quan tham dự họp soát xét ban quản lý Phương pháp đo 1.1 Đếm số lượng họp soát xét ban quản lý đặt lịch 1.2 Với họp soát xét ban quản lý, đếm số lượng người quản lý, nắm giữ vai trò trách nhiệm có liên quan tham dự; thêm ghi với giá trị mặc định số lượng người tham dự dành cho họp đột xuất, khơng có kế hoạch định trước 2.1.1 Đếm số lượng họp soát xét ban quản lý tổ chức theo kế hoạch 2.1.2 Đếm số lượng họp soát xét ban quản lý tổ chức đột xuất không theo kế hoạch 2.1.3 Đếm số lượng họp soát xét ban quản lý đặt lịch lại tổ chức 2.2 Đối với tất họp soát xét ban quản lý tổ chức, đếm số lượng lãnh đạo tổ chức tham dự Loại phương pháp đo 1.1 Khách quan 1.2 Khách quan chủ quan 2.1.1 Khách quan 2.1.2 Khách quan 2.1.3 Khách quan 2.2 Khách quan Thang đo 1.1 Số nguyên từ đến vô 1.2 Số nguyên từ đến vô 2.1.1 Số nguyên từ đến vô cùng, 2.1.2 Số nguyên từ đến vô 2.1.3 Số nguyên từ đến vô 2.2 Số nguyên từ đến vô Loại thang đo 1.1 Theo thứ tự 1.2 Theo thứ tự 2.1.1 Theo thứ tự 2.1.2 Theo thứ tự 2.1.3 Theo thứ tự 2.2 Theo thứ tự Đơn vị đo 1.1 Cuộc họp 1.2 Số lượng người 2.1.1 Cuộc họp 2.1.2 Cuộc họp 2.1.3 Cuọc họp 2.2 Số lượng người Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất a) Số lượng họp soát xét ban quản lý tổ chức b) Tỷ lệ lần lãnh đạo tham gia họp Hàm đo lường a) Là tổng [Số lượng họp soát xét ban quản lý lên kế hoạch nay] [Số lượng họp soát xét ban quản lý đột xuất không theo kế hoạch nay] [Số lượng họp soát xét ban quản lý đặt lịch lại nay] b) Với họp soát xét ban quản lý, phân số [Số lượng lãnh đạo tổ chức tham dự] / [Số lượng lãnh đạo tổ chức dự kiến tham dự danh sách] Thông tin đặc tả báo Chỉ báo a) Các họp sốt xét ban quản lý hồn thành b) Tỷ lệ người tham gia trung bình Mơ hình phân tích a) Là tỷ số [Số lượng họp soát xét ban quản lý triển khai] / [Số lượng họp soát xét ban quản lý lên kế hoạch] b) Số lượng trung bình chênh lệch tiêu chí tỷ lệ người quản lý tham gia họp sốt xét ban quản lý Thơng tin đặc tả tiêu chí định Tiêu chí định Kết tỷ lệ báo a) 0,7 1,1 để kết luận đạt mục tiêu quản lý không cần thiết hành động Nếu không đạt, tỷ lệ cần đạt 0,5 để đáp ứng yêu cầu tối thiểu Liên quan đến báo b), tính tốn tỷ lệ tham gia dựa chênh lệch tiêu chuẩn để đưa tỷ lệ tham gia trung bình thực tế đạt Nếu tỷ lệ tham gia có dao động lớn, độ sai lệch dự đoán lớn, cần thiết phải có kế hoạch dự phòng cho kết xấu xảy Kết phép đo Giải thích báo Giải thích cho báo a) sau: Thỏa mãn: 0,7 tỷ lệ Chưa thỏa mãn: 0,5 Tỷ lệ không đạt: Định dạng báo cáo đo 1,1 tỷ lệ < 0,7 tỷ lệ > 1,1 tỷ lệ < 0,5 Biểu đồ đường mô tả báo với liệu thu thập đường thể báo cáo đo thường kỳ trước, số lượng liệu cần thu thập số báo cáo đo thường kỳ đưa vào để so sánh phụ thuộc xác định vào tổ chức Các bên liên quan Người yêu cầu đo Người quản lý chịu trách nhiệm hệ thống ISMS Người quản lý chất lượng hệ thống Người soát xét phép đo Người có thẩm quyền, quyền truy nhập chương trình đánh giá nội Người sở hữu thông tin Người quản lý chất lượng hệ thống Kết hợp quản lý hệ thống ISMS hệ thống quản lý chất lượng QMS Bộ phận thu thập thông tin Quản lý chất lượng Người quản lý an tồn thơng tin Bộ phận trao đổi thông tin Quản lý chất lượng Người quản lý an tồn thơng tin Tần suất triển khai Tần suất thu thập liệu Hàng tháng Tần suất phân tích liệu Hàng quý Tần suất lập báo cáo kết đo Hàng quý Tần suất sửa đổi phép đo Soát xét chỉnh sửa năm/lần Tần suất thực phép đo năm/lần B.6 Đo lường bảo vệ chống mã độc Thông tin chung phép đo Tên phép đo Đo lường bảo vệ chống mã độc Số hiệu Tùy theo tổ chức Mục đích Đánh giá hiệu lực hệ thống bảo vệ phần mềm cơng độc có chứa mã độc Mục tiêu biện pháp quản lý Biện pháp quản lý A.10.4 [TCVN ISO/IEC 27001:2009] Nhằm bảo vệ tính tồn vẹn phần mềm thông tin (đã lập kế hoạch) Nhằm bảo vệ tính tồn vẹn phần mềm thông tin phần mềm độc Biên pháp quản lý (1) Biện pháp quản lý A.10.4.1 [TCVN ISO/IEC 27001:2009] Quản lý chống lại mã độc Các biện pháp quản lý việc phát hiện, ngăn chặn phục hồi nhằm chống lại đoạn mã độc thủ tục tuyên truyền nâng cao nhận thức người sử dụng phải triển khai Đối tượng đo lường thuộc tính Đối tượng Các báo cáo cố gặp phải Các file log phần mềm chống mã độc Thuộc tính Sự cố gây phần mềm có chứa mã độc Thơng tin đặc tả số đo Số đo Số lượng cố gây phần mềm có chứa mã độc Tổng số cơng bị chặn gây phần mềm có chứa mã độc Phương pháp đo Đếm số lượng Đếm số lượng Loại phương pháp đo Khách quan Khách quan Thang đo Số nguyên từ đến vô Số nguyên từ đến vô Loại thang đo Theo thứ tự Theo thứ tự Đơn vị đo Sự cố an toàn Bản ghi/records Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất Khả bảo vệ phần mềm chống mã độc Hàm đo lường Số lượng cố an tồn thơng tin gây phần mềm có chứa mã độc / Số lần phát ngăn chặn công mã độc Thông tin đặc tả báo Chỉ báo Xu hướng phát công không ngăn chặn theo báo cáo đo thường kỳ trước Mơ hình phân tích So sánh tỷ lệ với tỷ lệ báo cáo đo thường kỳ trước Thông tin đặc tả tiêu chí định Tiêu chí định Đường biểu thị nên nằm số cụ thể (ngưỡng) Kết xu hướng nên theo chiều hướng giảm đường không đổi Kết phép đo Giải thích báo Đường biểu thị có xu hướng tăng cho thấy nguy xấu, xu hướng giảm cho thấy cải tiến Khi có xu hướng tăng lên đáng kể, cần thiết điều tra nguyên nhân có biện pháp đối phó Định dạng báo cáo đo Đường biểu thị xu hướng mô tả tỷ lệ phát phần mềm có chứa mã độc, ngăn chặn tỷ lệ tăng so với đường biểu thị báo cáo đo thường kỳ trước Các bên liên quan Người yêu cầu đo Người quản lý an tồn thơng tin Người sốt xét phép đo Người quản lý an tồn thơng tin Người sở hữu thơng tin Người quản trị hệ thống Bộ phận thu thập thông tin Người quản lý an tồn thơng tin Người quản trị hệ thống Người quản trị mạng Bộ phận trao đổi thông tin Ban điều phối dịch vụ Tần suất triển khai Tần suất thu thập liệu Hàng ngày Tần suất phân tích liệu Hàng tháng Tần suất lập báo cáo kết đo Hàng tháng Tần suất sửa đổi phép đo Soát xét hàng năm Tần suất thực phép đo Hàng năm B.7 Đo lường biện pháp quản lý truy nhập vật lý Thông tin chung phép đo Tên phép đo Đo lường biện pháp quản lý truy nhập vào/ra Số hiệu Tùy theo tổ chức Mục đích Cho biết tồn tại, mức độ chất lượng hệ thống quản lý truy nhập Mục tiêu biện pháp quản lý Biện pháp quản lý A.9.1 [TCVN ISO/IEC 27001:2009] Các khu vực an toàn Nhằm ngăn chặn truy cập vật lý trái phép, làm hư hại cản trở thông tin tải sản tổ chức Biện pháp quản lý (1) Biện pháp quản lý A.9.1.2 [TCVN ISO/IEC 27001:2009] Quản lý cổng truy cập vật lý Các khu vực bảo mật cần bảo vệ biện pháp quản lý truy cập thích hợp nhằm đảm bảo người có quyền phép truy cập Đối tượng đo lường thuộc tính Đối tượng Các khu vực an tồn Thuộc tính Báo cáo quản lý danh tính cá nhân Thông tin đặc tả số đo Số đo Quản lý truy nhập vật lý thẻ truy nhập Phương pháp đo Phương pháp đo tương đối nhóm nhỏ phần nhóm phía Quản lý loại hệ thống truy nhập kiểm tra khía cạnh sau: - Sử dụng hệ thống thẻ - Sử dụng mã PIN (Personal Identify Number - Mã định danh cá nhân) - Chức truy nhập từ lần trước (theo file log) - Xác thực sinh trắc học Loại phương pháp đo Chủ quan Thang đo Có mức từ - 5: Khơng có hệ thống biện pháp quản lý truy nhập Hệ thống biện pháp quản lý truy nhập sử dụng mã PIN Hệ thống biện pháp quản lý truy nhập sử dụng thẻ, Sử dụng mã PIN mã thẻ, + chức ghi nhớ truy cập lần trước + mã PIN, có thêm xác thực sinh trắc học (vân tay, nhận dạng giọng nói, quét võng mạc ) Loại thang đo Theo thứ tự Đơn vị đo Không có Thơng tin đặc tả số đo dẫn xuất Số đo dẫn xuất Khơng có Hàm đo lường Khơng có Thơng tin đặc tả báo Chỉ báo Thanh tiến trình Màu đỏ: đến 0,8; Màu xanh: 0,8 Mơ hình phân tích Các phân tích đánh giá Thơng tin đặc tả tiêu chí định Tiêu chí định Giá trị trở lên: thỏa mãn Kết phép đo Giải thích báo Dưới giá trị 3: chưa thỏa mãn, cần có nỗ lực hành động dựa mức độ lỗ hổng an tồn thơng tin Giá trị trở lên: thỏa mãn, lớp cho biết vấn đề liên quan đến đánh giá Định dạng báo cáo đo Đồ thị Các bên liên quan Người yêu cầu đo Ban quản lý Người soát xét phép đo Kiểm tốn nội bộ/ kiểm tốn bên ngồi Người sở hữu thông tin Người quản lý hạ tầng thông tin Bộ phận thu thập thông tin Đánh giá viên nội bộ/ đánh giá viên bên Bộ phận trao đổi thông tin Đánh giá viên nội Người quản lý an tồn thơng tin Tần suất triển khai Tần suất thu thập liệu Hàng năm Tần suất phân tích liệu Hàng năm Tần suất lập báo cáo kết đo Hàng năm Tần suất sửa đổi phép đo 12 tháng Tần suất thực phép đo Mỗi 12 tháng B.8 Đo lường soát xét file log Thông tin chung phép đo Tên phép đo Đo lường soát xét file log Số hiệu Tùy theo tổ chức Mục đích Đánh giá tình trạng tn thủ việc thường xuyên soát xét file log hệ thống thiết yếu Mục tiêu biện pháp quản lý Biện pháp quản lý A.10.10 [TCVN ISO/IEC 27001:2009] Giám sát Nhằm phát hoạt động xử lý thông tin trái phép (đã lập kế hoạch) Nhằm phát hoạt động xử lý thông tin trái phép hệ thống thiết yếu từ file log hệ thống Biện pháp quản lý (1) Biện pháp quản lý A.10.10.2 [TCVN ISO/IEC 27001:2009] Giám sát việc sử dụng hệ thống Các thủ tục giám sát việc sử dụng phương tiện xử lý thông tin cần thiết lập kết giám sát cần phải xem xét thường xuyên Đối tượng đo lường thuộc tính Đối tượng Hệ thống Thuộc tính Từng file log Thơng tin đặc tả số đo (1) Số đo Số lượng file log Phương pháp đo Tính tổng số file log liệt kê danh sách file log soát xét Loại phương pháp đo Khách quan Thang đo Số nguyên từ đến vô Loại thang đo Theo thứ tự Đơn vi đo File log Thông tin đặc tả số đo (2) Số đo Số lượng file log sốt xét Phương pháp đo Tính tổng số file log toàn hệ thống thuộc phạm vi hệ thống ISMS Loại phương pháp đo Khách quan Thang đo Số lượng Loại thang đo Theo tỷ lệ Đơn vị đo File log Thông tin đặc tả số đo (3) Số đo Số hệ thống phạm vi hệ thống ISMS Phương pháp đo Số định danh file log soát xét Loại phương pháp đo Khách quan Thang đo Số lượng Loại thang đo Theo tỷ lệ Đơn vị đo File log Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất Tỷ lệ phần trăm file log đánh giá soát xét khoảng thời gian Hàm đo lường (Số file log soát xét thời gian cụ thể) / (tổng số file log)* 100 Thông tin đặc tả báo Chỉ báo Đồ thị đường xu hướng qua khoảng thời gian theo tỷ lệ soát xét file log kiểm tra Mơ hình phân tích Xu hướng mong muốn tăng tới 100% Thông tin đặc tả tiêu chí định Tiêu chí định Khi kết 20%, cần thiết kiểm tra nguyên nhân gây hiệu suất Kết phép đo Giải thích báo Giá trị thấp giá trị xác định tổ chức: không đạt yêu cầu Cần thiết có hành động quản lý dựa lỗ hổng an tồn thơng tin Giá trị giá trị xác định tổ chức báo việc đầu tư mức ngoại trừ việc chế quản lý truy nhập cần thiết cho đánh giá rủi ro Định dạng báo cáo đo Đồ thị đường mơ tả xu hướng, với tóm tắt kết đề xuất hành động quản lý Các bên liên quan Người yêu cầu đo Người quản lý chịu trách nhiệm hệ thống ISMS Người quản lý an tồn thơng tin Người sốt xét phép đo Người quản lý an tồn thơng tin Người sở hữu thơng tin Người quản lý an tồn thơng tin Bộ phận thu thập thơng tin Nhân viên an tồn thơng tin Bộ phận trao đổi thông tin Nhân viên an tồn thơng tin Tần suất triển khai Tần suất thu thập liệu Hàng tháng Tần suất phân tích liệu Hàng tháng Tần suất lập báo cáo kết đo Hàng quý Tần suất sửa đổi phép đo Soát xét sửa đổi năm/lần Tần suất thực phép đo năm/lần B.9 Đo lường quản lý bảo trì ISMS thường xun Thơng tin chung phép đo Tên phép đo Đo lường quản lý bảo trì ISMS thường xuyên Số hiệu Tùy theo tổ chức Mục đích Đánh giá tính kịp thời hoạt động bảo trì lịch trình Mục tiêu biện pháp quản lý Biện pháp quản lý A.9.2 [TCVN ISO/IEC 27001:2009] Đảm bảo an toàn trang thiết bị Nhằm ngăn ngừa mát, hư hại đánh cắp gây hại tài sản gián đoạn hoạt động tổ chức (đã lập kế hoạch) Nhằm ngăn ngừa mát, hư hại đánh cắp gây hại tài sản gián đoạn hoạt động tổ chức thông qua bảo trì hệ thống thường xuyên Biện pháp quản lý (1) Biện pháp quản lý A.9.2.4 [TCVN ISO/IEC 27001:2009] Duy trì thiết bị Các thiết bị cần trì cách thích hợp nhằm đảm bảo ln sẵn sàng toàn vẹn Đối tượng đo lường thuộc tính Đối tượng Bản kế hoạch/ lịch biểu dự kiến bảo trì hệ thống Các ghi bảo trì hệ thống Thuộc tính Ngày kế hoạch/ dự kiến bảo trì hệ thống Ngày hồn thành bảo trì hệ thống Thơng tin đặc tả số đo Số đo Ngày dự kiến bảo trì hệ thống Ngày hồn thành bảo trì hệ thống, Số lần bảo trì hệ thống lên kế hoạch Số lần bảo trì hệ thống thực Phương pháp đo Trích ngày dự kiến bảo trì hệ thống kế hoạch Trích ngày hồn thành bảo trì hệ thống từ ghi Đếm số lần bảo trì hệ thống lên kế hoạch kế hoạch bảo trì hệ thống Đếm số lượng ghi bảo trì hệ thống Loại phương pháp đo Khách quan Thang đo Thời gian Thời gian Số nguyên từ đến vô Số nguyên từ đến vô Loại thang đo Danh sách Danh sách Theo thứ tự Theo thứ tự Đơn vị đo Khoảng thời gian Khoảng thời gian Sự kiện bảo trì Sự kiện bảo trì Thơng tin đặc tả số đo dẫn xuất Số đo dẫn xuất Mức độ trễ kiện bảo trì hồn thành Hàm đo lường Với kiện bảo trì hồn thành: hiệu [Ngày bảo trì theo dự kiến] - [Ngày bảo trì thực tế] Thơng tin đặc tả báo Chỉ báo Mức độ trễ bảo trì trung bình Tỷ lệ kiện bảo trì hồn thành Xu hướng mức độ trễ bảo trì trung bình Xu hướng tỷ lệ kiện bảo trì hồn thành Mơ hình phân tích Là tỷ số [tổng (Mức độ trễ kiện bảo trì hồn thành)] / [Số lượng kiện bảo trì hoàn thành] Là tỷ số [Số lượng kiện bảo trì hồn thành] / [Số lượng kiện bảo trì lên kế hoạch] So sánh báo với báo cáo đo tần suất trước So sánh báo với báo cáo đo tần suất trước Thông tin đặc tả tiêu chí định Tiêu chí định Tùy theo tổ chức, ví dụ: mức độ trễ trung bình thường ngày, cần thiết kiểm tra nguyên nhân Tỷ lệ kiện bảo trì hồn thành cần lớn 0,9 Xu hướng cần ổn định gần với Xu hướng cần ổn định có chiều hướng lên Kết phép đo Giải thích báo Các số giúp đánh giá chất lượng tiến trình bảo trì hệ thống thiết bị Định dạng báo cáo đo Biểu đồ dạng đường Các bên liên quan Người yêu cầu đo Người quản lý chịu trách nhiệm hệ thống ISMS Người quản lý an tồn thơng tin Người sốt xét phép đo Người quản lý an tồn thơng tin Người sở hữu thông tin Người quản trị hệ thống Bộ phận thu thập thơng tin Nhân viên an tồn thơng tin Bộ phận trao đổi thơng tin Nhân viên an tồn thông tin Tần suất triển khai Tần suất thu thập liệu Hàng năm Tần suất phân tích liệu Hàng năm Tần suất lập báo cáo kết đo Hàng năm Tần suất sửa đổi phép đo Hàng năm Tần suất thực phép đo Hàng năm B.10 An toàn thỏa thuận với bên thứ ba Thông tin chung phép đo Tên phép đo An toàn thỏa thuận với bên thứ ba Số hiệu Tùy theo tổ chức Mục đích Mục tiêu biện pháp quản lý Biện pháp quản lý A.6.2 [TCVN ISO/IEC 27001:2009] Các bên tham gia bên ngồi Nhằm trì an tồn thơng tin phương tiện xử lý thông tin tổ chức truy cập, xử lý, truyền thông, quản lý bên tham gia bên tổ chức Biện pháp quản lý (1) Biện pháp quản lý A.6.2.3 [TCVN ISO/IEC 27001:2009] Giải an toàn thỏa thuận với bên thứ ba Các thỏa thuận với bên thứ ba liên quan đến truy cập, xử lý, truyền thông quản lý thông tin hay phương tiện xử lý thông tin tổ chức sản phẩm dịch vụ phụ trợ phương tiện xử lý thông tin phải bao hàm tất yêu cầu an toàn liên quan Đối tượng đo lường thuộc tính Đối tượng Các thỏa thuận an tồn thơng tin với bên thứ ba Thuộc tính Các điều khoản bảo mật u cầu thỏa thuận an tồn thơng tin với bên thứ ba Thông tin đặc tả số đo (1) Số đo Số lượng thỏa thuận với bên thứ ba Phương pháp đo Soát xét, đếm số lượng thỏa thuận với bên thứ ba Loại phương pháp đo Khách quan Thang đo Số nguyên từ đến vô Loại thang đo Theo thứ tự Đơn vi đo Thỏa thuận với bên thứ ba Thông tin đặc tả số đo (2) Số đo Một số chuẩn u cầu an tồn thơng tin với bên thứ ba Phương pháp đo Xác định số lượng yêu cầu an tồn thơng tin phải thỏa thuận với đối tác (căn vào sách an tồn thơng tin tổ chức) Loại phương pháp đo Khách quan Thang đo Số nguyên từ đến vô Loại thang đo Theo thứ tư Đơn vi đo Số yêu cầu Thông tin đặc tả số đo (3) Số đo Số lượng u cầu an tồn thơng tin đề cập đến thỏa thuận với bên thứ ba Phương pháp đo Soát xét, đếm số lượng u cầu an tồn thơng tin đề cập đến thỏa thuận với bên thứ ba Loại phương pháp đo Khách quan Thang đo Số nguyên từ đến vô Loại thang đo Theo thứ tự Đơn vi đo Số yêu cầu Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất Tỷ lệ phần trăm trung bình yêu cầu hợp lý an tồn thơng tin đề cập đến thỏa thuận với bên thứ ba Hàm đo lường Tổng (với thỏa thuận (Số yêu cầu cần thiết - số lượng yêu cầu đề cập đến)) / số lượng thỏa thuận Thông tin đặc tả báo Chỉ báo Tỷ lệ trung bình sai khác số yêu cầu hợp lý số yêu cầu đề cập đến Xu hướng tỷ lệ Mơ hình phân tích Tổng (với thỏa thuận ([Tổng số yêu cầu an toàn đề cập đến] - [Số chuẩn yêu cầu an toàn]) / [Số lượng thỏa thuận bên thứ ba] So sánh báo 1) với báo cáo đo trước Thơng tin đặc tả tiêu chí định Tiêu chí định Chỉ báo 1) nên lớn 0,9 Chỉ báo 2) nên có xu hướng ổn định lên Kết phép đo Giải thích báo Chỉ báo cung cấp nhìn sâu vào khả chuyển giao chức triển khai cho bên thứ ba để giải yêu cầu an toàn Định dạng báo cáo đo Biểu đồ đường mô tả xu hướng so với báo cáo đo thường kỳ trước, đưa tổng kết ngắn gọn hành động quản lý Các bên liên quan Người yêu cầu đo Người quản lý chịu trách nhiệm hệ thống ISMS Người quản lý an tồn thơng tin Người sốt xét phép đo Người quản lý an tồn thơng tin Người sở hữu thơng tin Phòng quản trị hợp đồng Bộ phận thu thập thơng tin Nhân viên tồn thơng tin Bộ phận trao đổi thơng tin Nhân viên an tồn thơng tin Tần suất triển khai Tần suất thu thập liệu Hàng tháng Tần suất phân tích liệu Hàng quý Tần suất lập báo cáo kết đo Hàng quý Tần suất sửa đổi phép đo năm/lần Tần suất thực phép đo Áp dụng năm Thư mục tài liệu tham khảo [1] ISO 9000:2005, Quality management systems - Fundamentals and vocabulary; [2] ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security management; [3] ISO/IEC 15504-3:2004, Information technology - Process assessment - Part 3: Guidance on performing an assessment; [4] ISO/IEC 15939:2007, Systems and software engineering - Measurement process [5] ISO/IEC 27005:2008, Information technology - Security techniques - information security risk management; [6] ISO/TR 10017:2003, Guidance on statistical techniques for ISO 9001:2000; [7] ISO Guide 99:2007, International vocabulary of metrology - Basic and general concepts and associated terms (VIM); [8] NIST Speciai Publication 800-55, Revision 1, Performance Measurement Guide for lnformation Security, July 2008; [9] ISO/IEC TR 18044:2004, lnformation technology - Security techniques - lnformation security incident management; [10] TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin - Các u cầu MỤC LỤC Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Cấu trúc tiêu chuẩn Tổng quan đo lường an tồn thơng tin 5.1 Các mục tiêu đo lường an tồn thơng tin 5.2 Chương trình đo lường an tồn thơng tin 5.3 Các yếu tố giúp thành cơng 5.4 Mơ hình đo lường an tồn thơng tin Trách nhiệm ban quản lý 6.1 Giới thiệu chung 6.2 Quản lý nguồn lực 6.3 Tập huấn, nhận thức lực đo lường Phát triển số đo phép đo 7.1 Giới thiệu chung 7.2 Xác định phạm vi đo lường 7.3 Xác định nhu cầu thông tin 7.4 Lựa chọn đối tượng thuộc tính 7.5 Phát triển cấu trúc phép đo 7.5.1 Giới thiệu chung 7.5.2 Lựa chọn số đo 7.5.3 Phương pháp đo 7.5.4 Hàm đo lường 7.5.5 Mơ hình phân tích 7.5.6 Các báo 7.5.7 Tiêu chí định 7.5.8 Các bên liên quan 7.6 Cấu trúc phép đo 7.7 Thu thập, phân tích liệu lập báo cáo kết đo 7.8 Triển khai đo lường xây dựng tài liệu đo Hoạt động đo lường 8.1 Giới thiệu chung 8.2 Tích hợp thủ tục 8.3 Thu thập, lưu trữ xác minh liệu Phân tích liệu lập báo cáo kết đo 9.1 Giới thiệu chung 9.2 Phân tích liệu phát triển kết đo 9.3 Trao đổi kết đo 10 Ước lượng cải tiến Chương trình đo lường an tồn thơng tin 10.1 Giới thiệu chung 10.2 Xác định tiêu chí ước lượng cho Chương trình đo lường an tồn thơng tin 10.3 Giám sát, sốt xét ước lượng chương trình 10.4 Thực cải tiến chương trình Phụ lục A (tham khảo) Mẫu cấu trúc phép đo an tồn thơng tin Phụ lục B (tham khảo) Các ví dụ cấu trúc phép đo Thư mục tài liệu tham khảo ... biện pháp quản lý an tồn thơng tin cách phù hợp tương xứng theo yêu cầu nêu tiêu chuẩn TCVN ISO/IEC 27001:2009, 4.2 Tiêu chuẩn cấu trúc sau: + Tổng quan Chương trình đo lường an tồn thơng tin Mơ... định tiêu chuẩn TCVN ISO/IEC 27001:2009 Các số hình mục tương đương TCVN ISO/IEC 27001:2009 Hình - Đầu vào đầu ISMS theo mơ hình PDCA quản lý an tồn thơng tin Các tổ chức cần thiết lập mục tiêu. .. cụ thể thỏa mãn [ISO/IEC 9000:2005] CHÚ THÍCH: Cũng gọi việc kiểm tra tuân thủ Cấu trúc tiêu chuẩn Tiêu chuẩn giải thích số đo hoạt động đo lường cần thiết để đánh giá hiệu lực yêu cầu ISMS cho