Tiêu chuẩn này thiết lập các hướng dẫn và nguyên tắc chung cho hoạt động khởi tạo, triển khai, duy trì và cải tiến công tác quản lý an toàn thông tin trong một tổ chức. Mục tiêu của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung đã được chấp nhận trong quản lý an toàn thông tin.
TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27002:2011 ISO/IEC 27002:2005 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - QUY TẮC THỰC HÀNH QUẢN LÝ AN TỒN THƠNG TIN Information technology - Security techniques - Code of practice for information security management Lời nói đầu TCVN ISO/IEC 27002:2011 hồn toàn tương đương với ISO/IEC 27002:2005 TCVN ISO/IEC 27002:2011 Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Cơng nghệ cơng bố CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TOÀN - QUY TẮC THỰC HÀNH QUẢN LÝ AN TỒN THƠNG TIN Information technology - Security techniques - Code of practice for information security management Phạm vi áp dụng Tiêu chuẩn thiết lập hướng dẫn nguyên tắc chung cho hoạt động khởi tạo, triển khai, trì cải tiến cơng tác quản lý an tồn thơng tin tổ chức Mục tiêu tiêu chuẩn đưa hướng dẫn chung nhằm đạt mục đích chung chấp nhận quản lý an tồn thơng tin Các mục tiêu biện pháp quản lý tiêu chuẩn xây dựng nhằm đáp ứng yêu cầu xác định trình đánh giá rủi ro Tiêu chuẩn đóng vai trị hướng dẫn thực hành việc xây dựng tiêu chuẩn an tồn thơng tin cho tổ chức quy tắc thực hành quản lý an toàn thông tin hiệu giúp tạo dựng tin cậy hoạt động liên tổ chức Thuật ngữ định nghĩa 2.1 Tài sản (asset) Bất thứ có giá trị tổ chức [ISO/IEC 13335-1:2004] 2.2 Biện pháp quản lý (control) Các biện pháp quản lý rủi ro bao gồm sách, thủ tục, hướng dẫn, thực hành cấu tổ chức, phương diện hành chính, kỹ thuật, quản lý chất pháp lý CHÚ THÍCH: Biện pháp quản lý sử dụng đồng nghĩa với biện pháp bảo vệ hay biện pháp đối phó 2.3 Hướng dẫn (guideline) Một mơ tả điều cần làm phương thức tiến hành nhằm đạt mục tiêu sách [ISO/IEC 13335-1:2004] 2.4 Phương tiện xử lý thông tin (information processing facilities) Hệ thống, dịch vụ hay sở hạ tầng xử lý thơng tin, vị trí vật lý để đặt chúng 2.5 An tồn thơng tin (information security) Sự trì tính bí mật, tính tồn vẹn tính sẵn sàng thơng tin; ngồi cịn bao hàm số tính chất khác tính xác thực, giải trình trách nhiệm, khơng thể chối bỏ tin cậy 2.6 Sự kiện an tồn thơng tin (information security event) Một kiện xác định hệ thống, dịch vụ hay trạng thái mạng khả vi phạm sách an tồn thông tin, thất bại hệ thống bảo vệ, tình chưa rõ gây ảnh hưởng đến an tồn thơng tin [ISO/IEC TR 18004:2004] 2.7 Sự cố an tồn thơng tin (information security incident) Một chuỗi kiện an tồn thơng tin khơng mong muốn có khả làm tổn hại hoạt động nghiệp vụ đe dọa an tồn thơng tin [ISO/IEC TR 18044:2004] 2.8 Chính sách (policy) Mục đích định hướng tổng thể cơng bố cách thức ban quản lý 2.9 Rủi ro (risk) Sự kết hợp khả xảy kiện hậu 2.10 Phân tích rủi ro (risk analysis) Sử dụng thơng tin cách có hệ thống nhằm xác định nguồn gốc ước đoán rủi ro [ISO/IEC Guide 73:2002] 2.11 Đánh giá rủi ro (risk assessment) Quá trình tổng thể gồm phân tích rủi ro ước lượng rủi ro [ISO/IEC Guide 73:2002], 2.12 Ước lượng rủi ro (risk evaluation) Quá trình so sánh rủi ro ước đốn với tiêu rủi ro có nhằm xác định độ nghiêm trọng rủi ro [ISO/IEC Guide 73:2002] 2.13 Quản lý rủi ro (risk management) Các hoạt động phối hợp nhằm điều khiển quản lý tổ chức trước rủi ro xảy CHÚ THÍCH: Quản lý rủi ro thường gồm đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro thông báo rủi ro [ISO/IEC Guide 73:2002] 2.14 Xử lý rủi ro (risk treament) Quá trình lựa chọn triển khai biện pháp hạn chế rủi ro [ISO/IEC Guide 73:2002] 2.15 Bên thứ ba (thirt party) Một cá nhân hay tổ chức công nhận độc lập với bên tham gia, có liên quan đến vấn đề phải giải 2.16 Mối đe dọa (threat) Nguyên nhân tiềm ẩn gây cố khơng mong muốn, kết gây tổn hại cho hệ thống tổ chức [ISO/IEC 13335-1:2004] 2.17 Điểm yếu (vulnerability) Nhược điểm tài sản nhóm tài sản có khả bị lợi dụng hay nhiều mối đe [ISO/IEC 13335-1:2004] Đánh giá xử lý rủi ro 3.1 Đánh giá rủi ro an tồn thơng tin Đánh giá rủi ro cần xác định, định lượng phân loại ưu tiên rủi ro dựa tiêu chí chấp nhận rủi ro mục tiêu phù hợp với tổ chức Các kết cần hướng dẫn xác định hoạt động quản lý phù hợp phân loại ưu tiên nhằm phục vụ cho việc quản lý rủi ro an tồn thơng tin triển khai biện pháp quản lý chọn nhằm chống lại rủi ro Quá trình đánh giá rủi ro chọn lựa biện pháp quản lý cần thực nhiều lần nhằm bao quát hết phận khác tổ chức hệ thống thông tin riêng lẻ Đánh giá rủi ro cần bao hàm cách tiếp cận có hệ thống việc ước lượng độ lớn rủi ro (phân tích rủi ro) q trình so sánh rủi ro ước đốn với tiêu chí rủi ro nhằm xác định độ nghiêm trọng rủi ro (ước lượng rủi ro) Đánh giá rủi ro cần thực định kỳ nhằm phát thay đổi u cầu an tồn tình rủi ro, ví dụ tài sản, mối đe dọa, điểm yếu, tác động, ước lượng rủi ro, xảy thay đổi lớn Những đánh giá rủi ro cần thực cách có phương pháp nhằm đưa kết có khả so sánh tái sử dụng Để có hiệu đánh giá rủi ro an tồn thơng tin cần có phạm vi xác định rõ ràng, thích hợp cần bao hàm mối quan hệ với việc đánh giá rủi ro cho lĩnh vực khác Phạm vi đánh giá rủi ro tồn tổ chức, phận tổ chức, hệ thống thơng tin cụ thể đó, thành phần hệ thống định, dịch vụ mà thực đánh giá rủi ro cách khả thi, thực tế, hữu dụng Các ví dụ hệ phương pháp đánh giá rủi ro đề cập ISO/IEC TR 13335-3 (Các hướng dẫn quản lý an tồn cơng nghệ thơng tin: Các kỹ thuật quản lý an tồn cơng nghệ thơng tin) 3.2 Xử lý rủi ro an tồn thơng tin Trước xem xét xử lý rủi ro, tổ chức cần định tiêu chí để xác định liệu rủi ro có chấp nhận hay khơng Ví dụ, rủi ro chấp nhận đánh giá rủi ro mức thấp, hay chi phí cho xử lý rủi ro không nặng nề tổ chức Các định cần ghi lại Cần đưa định xử lý rủi ro rủi ro xác định sau đánh giá rủi ro Dưới lựa chọn nhằm xử lý rủi ro: a) áp dụng biện pháp quản lý thích hợp nhằm giảm bớt rủi ro; b) chấp nhận rủi ro cách khách quan có dụng ý, miễn chúng thỏa mãn sách tiêu chí chấp nhận rủi ro tổ chức; c) tránh rủi ro cách không cho phép hoạt động làm phát sinh rủi ro; d) chuyển rủi ro liên đới tới bên khác, ví dụ nhà bảo hiểm nhà cung cấp Đối với rủi ro mà việc định xử lý rủi ro xác định phải áp dụng biện pháp quản lý thích hợp biện pháp quản lý cần lựa chọn thực để đáp ứng yêu cầu xác định trình đánh giá rủi ro Các biện pháp quản lý cần đảm bảo rủi ro giảm tới mức chấp nhận, cần quan tâm tới vấn đề sau: a) yêu cầu ràng buộc pháp luật quy định nước quốc tế; b) mục tiêu tổ chức; c) yêu cầu ràng buộc vận hành; d) chi phí triển khai vận hành liên quan tới rủi ro giảm thiểu, trì tương quan yêu cầu ràng buộc tổ chức; e) nhu cầu cân đầu tư trình triển khai vận hành biện pháp quản lý để chống lại thiệt hại xảy lỗi an tồn Các biện pháp quản lý chọn từ tiêu chuẩn từ biện pháp quản lý khác, biện pháp quản lý thiết kế phù hợp với yêu cầu định tổ chức Cũng cần phải thừa nhận số biện pháp quản lý khơng phù hợp mơi trường hệ thống thơng tin, không khả thi tất tổ chức Một ví dụ là, 9.1.3 mơ tả cách phân tách nhiệm vụ nhằm ngăn chặn gian lận sai sót Các tổ chức có qui mơ nhỏ khó phân tách tất nhiệm vụ tìm cách khác để đạt mục tiêu quản lý tương tự Một ví dụ khác là, 9.10 mô tả cách giám sát hệ thống thu thập chứng Các biện pháp quản lý mơ tả, ví dụ ghi nhật ký kiện, lại mâu thuẫn với điều luật hành, ví dụ luật bảo vệ riêng tư khách hàng nơi làm việc Các biện pháp quản lý an tồn thơng tin cần quan tâm giai đoạn thiết kế xác định yêu cầu dự án hệ thống Lỗi giai đoạn làm phát sinh chi phí giảm hiệu giải pháp, trường hợp xấu cịn khơng thể đạt an tồn thơng tin cách thỏa đáng Cần lưu ý không tồn biện pháp quản lý giúp đạt an toàn tuyệt đối, cần thực hoạt động quản lý bổ trợ nhằm giám sát, ước lượng, nâng cao khả tính hiệu biện pháp quản lý an toàn nhằm hướng đến mục tiêu tổ chức Chính sách an tồn thơng tin 4.1 Chính sách an tồn thơng tin Mục tiêu: Nhằm cung cấp định hướng quản lý hỗ trợ đảm bảo an tồn thơng tin thỏa mãn với u cầu hoạt động nghiệp vụ, môi trường pháp lý qui định phải tuân thủ Ban quản lý cần thiết lập định hướng sách rõ ràng phù hợp với mục tiêu nghiệp vụ, hỗ trợ cam kết an tồn thơng tin thơng qua việc ban hành trì sách an tồn thơng tin tồn tổ chức 4.1.1 Tài liệu sách an tồn thơng tin Biện pháp quản lý Một tài liệu sách an tồn thơng tin cần phải phê duyệt ban quản lý cung cấp, thông báo tới nhân viên bên liên quan Hướng dẫn triển khai Tài liệu sách an tồn thơng tin cần cơng bố rõ cam kết ban quản lý đưa phương thức quản lý an tồn thơng tin tổ chức Văn cần bao gồm nội dung sau: a) định nghĩa an tồn thơng tin, mục tiêu chung, phạm vi tầm quan trọng an tồn thơng tin chế cho phép chia sẻ thơng tin; b) cơng bố mục đích quản lý, hỗ trợ mục tiêu nguyên tắc an tồn thơng tin phù hợp với chiến lược mục tiêu nghiệp vụ; c) khuôn khổ cho việc thiết lập mục tiêu quản lý biện pháp quản lý, bao gồm cấu đánh giá quản lý rủi ro; d) giải thích ngắn gọn sách, ngun tắc, tiêu chuẩn an tồn, yêu cầu tuân thủ có tầm quan trọng đặc biệt tổ chức, bao gồm: 1) tuân thủ yêu cầu luật pháp, quy định, hợp đồng; 2) yêu cầu giáo dục, đào tạo nhận thức an tồn; 3) quản lý tính liên tục hoạt động nghiệp vụ; 4) hậu vi phạm sách an tồn thơng tin; e) định nghĩa trách nhiệm chung riêng quản lý an tồn thơng tin, bao gồm việc báo cáo cố an tồn thơng tin; f) tham chiếu tới văn hỗ trợ sách, ví dụ sách thủ tục an tồn chi tiết cho hệ thống thông tin cụ thể quy tắc an toàn mà người dùng bắt buộc phải tn theo Chính sách an tồn thơng tin cần tổ chức phổ biến đến người dùng theo hình thức phù hợp, dễ truy cập dễ hiểu Thơng tin khác Chính sách an tồn thơng tin phần văn sách chung Nếu sách an tồn thơng tin phổ biến ngồi phạm vi tổ chức cần lưu ý khơng tiết lộ thơng tin có tính chất nhạy cảm Thơng tin chi tiết tham khảo ISO/IEC 13335-1:2004 4.1.2 Sốt xét lại sách an tồn thơng tin Biện pháp quản lý Chính sách an tồn thơng tin cần thường xuyên soát xét theo kế hoạch có thay đổi lớn xuất để ln đảm bảo phù hợp, đầy đủ thực có hiệu lực Hướng dẫn triển khai Cần có người chịu trách nhiệm việc phát triển, soát xét, đánh giá sách an tồn thơng tin Q trình sốt xét cần đánh giá hội cải tiến sách an tồn thơng tin tổ chức phương thức quản lý sách an tồn nhằm đáp ứng với thay đổi môi trường tổ chức, tình nghiệp vụ, điều kiện pháp lý, mơi trường kỹ thuật Việc sốt xét sách an tồn thơng tin cần quan tâm đến kết soát xét ban quản lý Cũng cần có thủ tục sốt xét định ban quản lý, bao gồm lịch trình chu kỳ sốt xét Thơng tin đầu vào q trình sốt xét ban quản lý cần bao gồm thông tin về: a) phản hồi từ bên quan tâm; b) kết soát xét cách độc lập (xem 5.1.8); c) trạng thái hoạt động phòng ngừa sửa chữa (xem 5.1.8 14.2.1); d) kết lần sốt xét trước ban quản lý; e) tn thủ sách an tồn thơng tin hiệu suất quy trình; f) thay đổi ảnh hưởng đến phương thức quản lý an tồn thơng tin tổ chức, bao gồm thay đổi mơi trường tổ chức, tình nghiệp vụ, sẵn sàng nguồn tài nguyên, điều kiện pháp lý, quy định hợp đồng, môi trường kỹ thuật; g) xu hướng liên quan đến mối đe dọa điểm yếu; h) cố an tồn thơng tin báo cáo (xem 12.1); i) khuyến nghị quan liên quan (xem 5.1.6) Đầu trình soát xét ban quản lý phải định hành động có liên quan đến: a) việc cải tiến phương thức tổ chức việc quản lý an tồn thơng tin quy trình quản lý an tồn thơng tin; b) việc nâng cao mục tiêu quản lý biện pháp quản lý; c) việc cải tiến việc phân bổ nguồn tài nguyên và/hoặc trách nhiệm Cần trì hồ sơ việc sốt xét ban quản lý Chính sách an tồn thơng tin chỉnh sửa cần có chấp thuận ban quản lý Tổ chức đảm bảo an tồn thơng tin 5.1 Tổ chức nội Mục tiêu: Nhằm quản lý an tồn thơng tin bên tổ chức Cần thiết lập khuôn khổ quản lý nhằm khởi tạo quản lý việc triển khai an tồn thơng tin nội tổ chức Ban quản lý cần thơng qua sách an tồn thơng tin, phân định vai trị an tồn, phối hợp sốt xét việc triển khai thực an tồn thơng tin tồn tổ chức Nếu cần thiết cần thiết lập sẵn sàng có nguồn hỗ trợ chun mơn an tồn thông tin từ nội tổ chức Cũng cần thiết lập mối liên hệ với nhóm chun gia an tồn thơng tin bên ngồi nhằm theo kịp xu hướng công nghiệp, giám sát tiêu chuẩn phương pháp đánh giá đưa điểm vận dụng phù hợp trình xử lý cố an tồn thơng tin Cũng cần khuyến khích cách tiếp cận an tồn thơng tin đa chiều 5.1.1 Cam kết ban quản lý đảm bảo an toàn thông tin Biện pháp quản lý Ban quản lý phải chủ động hỗ trợ đảm bảo an tồn thơng tin tổ chức định hướng rõ ràng, cam kết thấy được, nhiệm vụ rõ ràng, nhận thức rõ trách nhiệm đảm bảo an tồn thơng tin Hướng dẫn triển khai Ban quản lý cần: a) đảm bảo mục tiêu an tồn thơng tin xác định rõ, đáp ứng yêu cầu tổ chức, đưa vào quy trình liên quan; b) trình bày cách có hệ thống, sốt xét phê chuẩn sách an tồn thơng tin; c) sốt xét tính hiệu việc triển khai sách an tồn thông tin; d) đưa định hướng rõ ràng hỗ trợ rõ ràng ban quản lý hoạt động an tồn thơng tin; e) cung cấp nguồn tài nguyên cần thiết cho an toàn thông tin; f) phê chuẩn phân định vai trị trách nhiệm cụ thể an tồn thơng tin toàn tổ chức; g) khởi động chương trình kế hoạch nhằm trì nhận thức an tồn thơng tin; h) đảm bảo việc triển khai biện pháp quản lý an tồn thơng tin phối hợp toàn thể nội tổ chức (xem 5.1.2) Ban quản lý cần xác định rõ nhu cầu cần có hỗ trợ chun mơn an tồn thơng tin nội bên ngồi tổ chức, soát xét phối hợp kết từ hỗ trợ toàn tổ chức Tùy thuộc vào quy mô tổ chức, trách nhiệm xử lý diễn đàn quản lý riêng ban quản lý đương nhiệm, ví dụ ban giám đốc Thông tin khác Thông tin chi tiết tham khảo ISO/IEC 13335-1:2004 5.1.2 Phối hợp đảm bảo an toàn thông tin Biện pháp quản lý Các hoạt động đảm bảo an tồn thơng tin cần phối hợp đại diện phận tổ chức với vai trò nhiệm vụ cụ thể Hướng dẫn triển khai Về hoạt động an tồn thơng tin cần có phối hợp cộng tác người quản lý, người dùng, người quản trị mạng, nhà thiết kế ứng dụng, đánh giá viên nhân viên an toàn, kỹ chuyên môn lĩnh vực bảo hiểm, pháp lý, nguồn nhân lực, quản lý rủi ro IT Hoạt động cần: a) đảm bảo hoạt động an toàn thực tuân thủ theo sách an tồn thơng tin; b) xác định rõ phương thức xử lý điểm không tuân thủ; c) phê chuẩn hệ phương pháp quy trình an tồn thơng tin ví dụ đánh giá rủi ro, phân loại thông tin; d) xác định thay đổi lớn mối đe dọa thông tin phương tiện xử lý thông tin bị đe dọa; e) đánh giá tính phù hợp phối hợp triển khai biện pháp quản lý an tồn thơng tin; f) thúc đẩy việc giáo dục, đào tạo nâng cao nhận thức an tồn thơng tin toàn tổ chức cách hiệu quả; g) đánh giá thông tin nhận từ việc giám sát sốt xét cố an tồn thơng tin, khuyến nghị hoạt động phù hợp cố an tồn thơng tin xác định Nếu tổ chức khơng sử dụng riêng nhóm chức chéo, ví dụ nhóm kiểu khơng phù hợp với quy mơ tổ chức, hoạt động mô tả cần đảm trách ban quản lý thích hợp khác người quản lý riêng 5.1.3 Phân định trách nhiệm đảm bảo an tồn thơng tin Biện pháp quản lý Tất trách nhiệm đảm bảo an tồn thơng tin cần xác định cách rõ ràng Hướng dẫn triển khai Việc phân bổ trách nhiệm an tồn thơng tin cần phù hợp với sách an tồn thơng tin (xem điều 3) Các trách nhiệm bảo vệ tài sản cá nhân thực quy trình an tồn cụ thể cần xác định rõ ràng Nếu cần thiết trách nhiệm cần bổ sung hướng dẫn chi tiết vị trí cơng việc cụ thể phương tiện xử lý thông tin Các trách nhiệm nội bảo vệ tài sản thực quy trình an tồn đặc biệt, ví dụ lập kế hoạch đảm bảo tính liên tục nghiệp vụ, cần xác định rõ Những cá nhân phân bổ trách nhiệm an tồn thơng tin ủy quyền nhiệm vụ an tồn cho người khác thực Tuy nhiên, họ phải trì trách nhiệm đảm bảo nhiệm vụ ủy quyền thực cách thức Phạm vi trách nhiệm cá nhân có trách nhiệm cần cơng bố rõ ràng; cụ thể là: a) tài sản quy trình an toàn hệ thống cụ thể cần xác định định danh rõ ràng; b) trách nhiệm tài sản quy trình an toàn cần phân định cụ thể trách nhiệm chi tiết cần ghi thành văn (xem 6.1.2); c) mức cấp phép cần xác định rõ ghi thành văn Thông tin khác Trong nhiều tổ chức, người quản lý an tồn thơng tin bổ nhiệm nhằm thực trách nhiệm chung việc phát triển, triển khai cơng tác an tồn hỗ trợ việc tìm biện pháp quản lý phù hợp Tuy nhiên, trách nhiệm việc tìm triển khai biện pháp quản lý thường thuộc người quản lý cụ thể Một thực tế thường thấy phải định người sở hữu tài sản, người có trách nhiệm việc bảo vệ tài sản hàng ngày 5.1.4 Quy trình cấp phép cho phương tiện xử lý thơng tin Biện pháp quản lý Một quy trình cấp phép cho phương tiện xử lý thông tin phải xác định rõ triển khai Hướng dẫn triển khai Sau hướng dẫn quy trình cấp phép: a) phương tiện cần có cấp phép sử dụng mục đích sử dụng từ ban quản lý Việc cấp phép cần phải người quản lý có trách nhiệm việc trì mơi trường an tồn hệ thống thơng tin thông qua nhằm đảm bảo tất các sách u cầu an tồn thỏa mãn; b) cần thiết cần kiểm tra phần cứng phần mềm nhằm đảm bảo chúng tương thích với thành phần hệ thống khác; c) việc sử dụng phương tiện xử lý thơng tin thuộc sở hữu cá nhân, ví dụ máy tính xách tay, máy tính nhà riêng, thiết bị cầm tay, nhằm xử lý thông tin nghiệp vụ làm phát sinh yếu điểm vậy, cần xác định triển khai biện pháp quản lý cần thiết 5.1.5 Các thỏa thuận bảo mật Biện pháp quản lý Các yêu cầu bảo mật thỏa thuận không tiết lộ phản ánh nhu cầu tổ chức việc bảo vệ thông tin phải xác định rõ thường xuyên soát xét lại Hướng dẫn triển khai Các thỏa thuận bảo mật không tiết lộ cần tập trung vào yêu cầu nhằm bảo vệ thông tin mật với điều khoản có khả thực thi mặt pháp lý Khi xác định yêu cầu thỏa thuận bảo mật không tiết lộ, cần quan tâm đến yếu tố sau: a) định nghĩa thơng tin cần bảo vệ (ví dụ, thông tin mật); b) khoảng thời gian dự kiến thỏa thuận, bao gồm trường hợp yêu cầu bảo mật không thời hạn; c) hoạt động yêu cầu kết thúc thỏa thuận; d) trách nhiệm hành động bên ký kết nhằm tránh tiết lộ thông tin trái phép; e) quyền sở hữu thơng tin, bí mật giao dịch quyền sở hữu trí tuệ, mối quan hệ chúng với việc bảo vệ thông tin mật; f) việc phép sử dụng thông tin mật quyền người ký kết sử dụng thông tin; g) quyền đánh giá giám sát hoạt động liên quan đến thơng tin mật; h) quy trình thơng báo báo cáo việc tiết lộ trái phép lỗ hổng thông tin mật; i) điều khoản thông tin trả bị hủy chấm dứt thỏa thuận; j) hành động dự kiến trường hợp có vi phạm thỏa thuận Dựa u cầu an tồn thơng tin tổ chức, đưa thêm số điều khoản khác vào thỏa thuận không tiết lộ thỏa thuận bảo mật Các thỏa thuận bảo mật không tiết lộ cần tuân thủ tất quy định điều luật phù hợp (xem thêm 14.1.1); Các yêu cầu thỏa thuận bảo mật không tiết lộ cần soát xét định kỳ thời điểm xảy thay đổi làm ảnh hưởng đến yêu cầu Thông tin khác Các thỏa thuận bảo mật không tiết lộ bảo vệ thông tin tổ chức thông báo cho bên ký kết trách nhiệm họ việc bảo vệ, sử dụng tiết lộ thông tin cách có trách nhiệm thẩm quyền Mỗi tổ chức cần sử dụng hình thức thỏa thuận bảo mật khơng tiết lộ khác theo tình cụ thể 5.1.6 Liên lạc với quan/tổ chức có thẩm quyền Biện pháp quản lý Phải trì liên lạc thỏa đáng với quan có thẩm quyền liên quan Hướng dẫn triển khai Các tổ chức cần có thủ tục xác định liên hệ với quan có thẩm quyền (ví dụ, quan thi hành luật, cảnh sát phòng cháy chữa cháy, quan giám sát), cách thức báo cáo cố an toàn thông tin xác định cách kịp thời có nghi ngờ có vi phạm luật Các tổ chức bị cơng từ Internet cần bên thứ ba (ví dụ, nhà cung cấp dịch vụ Internet nhà khai thác viễn thông) tiến hành hoạt động chống lại nguồn gốc cơng Thơng tin khác Việc trì liên lạc yêu cầu giúp hỗ trợ quản lý cố an, tồn thơng tin (xem 12.2) trình lập kế hoạch nghiệp vụ đột xuất liên tục (xem 13) Các mối liên hệ với quan luật pháp có lợi cho công tác dự báo chuẩn bị cho thay đổi xảy phương diện luật pháp quy định mà tổ chức bắt buộc phải tuân theo Những liên hệ với quan có thẩm quyền khác bao gồm dịch vụ khẩn cấp, tiện ích, sức khỏe an tồn, ví dụ sở cứu hỏa (có liên quan đến liên tục nghiệp vụ), nhà cung cấp dịch vụ viễn thơng (có liên quan đến độ sẵn sàng), nhà cung cấp nước (có liên quan đến phương tiện làm mát cho thiết bị) 5.1.7 Liên lạc với nhóm chuyên gia Biện pháp quản lý Phải giữ liên lạc với nhóm chuyên gia diễn đàn hiệp hội an tồn thơng tin Hướng dẫn triển khai Cần coi thành viên diễn đàn nhóm chuyên gia phương tiện nhằm: a) nâng cao kiến thức cách thức thực hành tốt cập nhật thông tin có liên quan an tồn; b) đảm bảo kiến thức mơi trường an tồn thơng tin đầy đủ phổ biến; c) nhận cảnh báo sớm từ cảnh báo, lời tư vấn, và liên quan đến công yếu điểm; d) tiếp cận đến lời khun chun gia an tồn thơng tin; e) chia sẻ trao đổi thông tin công nghệ, sản phẩm, mối đe dọa yếu điểm mới; f) cung cấp đầu mối liên hệ phù hợp giải cố an tồn thơng tin (xem thêm 12.2.1) Thơng tin khác Có thể thiết lập thỏa thuận chia sẻ thông tin nhằm nâng cao phối hợp cộng tác vấn đề an toàn Những thỏa thuận cần xác định yêu cầu việc bảo vệ thơng tin nhạy cảm 5.1.8 Sốt xét độc lập an tồn thơng tin Biện pháp quản lý Cách tiếp cận quản lý an tồn thơng tin tổ chức việc triển khai tổ chức (chẳng hạn như: mục tiêu biện pháp quản lý, sách, q trình thủ tục đảm bảo an tồn thơng tin) phải sốt xét định kỳ xuất thay đổi quan trọng liên quan đến an tồn thơng tin Hướng dẫn triển khai Việc soát xét cách độc lập cần thực ban quản lý Việc soát xét cần thiết nhằm đảm bảo tính phù hợp, tính vẹn tồn tính hiệu liên tục phương thức triển khai an tồn thơng tin tổ chức Việc soát xét cần bao gồm việc đánh giá hội việc cải tiến nhu cầu cần có thay đổi phương thức an tồn, bao gồm sách mục tiêu quản lý Việc soát xét cần thực cá nhân độc lập khu vực sốt xét, ví dụ người có chức đánh giá nội bộ, người quản lý độc lập tổ chức bên thứ ba chuyên thực soát xét Các cá nhân thực sốt xét cần có kỹ kinh nghiệm phù hợp Các kết lần soát xét độc lập cần ghi lại báo cáo đến ban quản lý Các báo cáo cần lưu lại Nếu soát xét độc lập cho thấy phương thức việc triển khai tổ chức quản lý an tồn thơng tin không phù hợp không tuân thủ dẫn an tồn thơng tin cơng bố văn sách an tồn thơng tin (xem 4.1.1) ban quản lý cần cân nhắc đến việc sửa đổi Thông tin khác Các khu vực mà người quản lý cần sốt xét định kỳ cần soát xét độc lập (xem 14.2.1) Các kỹ thuật sốt xét bao gồm vấn ban quản lý, kiểm tra sổ sách ghi chép sốt xét văn sách an toàn ISO 19011:2002, Hướng dẫn đánh giá hệ thống quản lý mơi trường và/hoặc chất lượng, hướng dẫn hữu ích cho việc thực sốt xét độc lập, bao gồm việc thiết lập triển khai chương trình sốt xét 14.3 tập trung vào biện pháp quản lý liên quan đến soát xét độc lập hệ thống thông tin điều hành việc sử dụng công cụ đánh giá hệ thống 5.2 Các bên tham gia bên ngồi Mục tiêu: Nhằm trì an tồn thông tin phương tiện xử lý thông tin tổ chức truy cập, xử lý, truyền tới, quản lý bên tham gia bên ngồi tổ chức Tính an tồn thơng tin phương tiện xử lý thông tin tổ chức không bị làm thuyên giảm xuất sản phẩm dịch vụ tổ chức bên Cần quản lý tất truy cập tới phương tiện xử lý thông tin tổ chức, việc xử lý truyền thông thực tổ chức bên ngồi Khi có nhu cầu nghiệp vụ cần làm việc với tổ chức bên ngồi mà cơng việc địi hỏi phải truy cập đến thông tin phương tiện xử lý thơng tin tổ chức, có nhu cầu cần nhận cung cấp sản phẩm dịch vụ từ tới tổ chức bên cần thực đánh giá rủi ro nhằm xác định ảnh hưởng liên quan đến an tồn thơng tin yêu cầu biện pháp quản lý Các biện pháp quản lý cần thỏa thuận xác định thỏa thuận với tổ chức bên 5.2.1 Xác định rủi ro liên quan đến bên tham gia bên Biện pháp quản lý Các rủi ro thông tin phương tiện xử lý thông tin tổ chức từ quy trình nghiệp vụ liên quan đến bên tham gia bên phải nhận biết triển khai biện pháp quản lý thích hợp trước cấp quyền truy cập Hướng dẫn triển khai Khi có nhu cầu cho phép tổ chức bên truy cập đến phương tiện xử lý thông tin thông tin tổ chức cần thực đánh giá rủi ro (xem điều 3) nhằm xác định yêu cầu biện pháp quản lý cụ thể Việc xác định rủi ro liên quan đến truy cập tổ chức bên cần xem xét yếu tố sau: a) phương tiện xử lý thông tin mà tổ chức bên yêu cầu truy cập; b) hình thức truy cập mà tổ chức bên ngồi thực thơng tin phương tiện xử lý thơng tin, ví dụ: 1) truy cập mức vật lý, ví dụ tới văn phịng, phịng máy tính, ngăn tài liệu; 2) truy cập logic, ví dụ đến sở liệu, hệ thống thông tin tổ chức; 3) kết nối mạng mạng tổ chức tổ chức bên ngồi, ví dụ kết nối cố định, truy cập từ xa; 4) truy cập thực chỗ hay từ xa; c) giá trị độ nhạy cảm thơng tin liên quan, quan trọng hoạt động nghiệp vụ; d) biện pháp quản lý cần thiết nhằm bảo vệ thông tin mà tổ chức bên ngồi khơng quyền truy cập; e) nhân viên thuộc tổ chức bên tham gia vào việc xử lý thông tin tổ chức; f) cần xác định cách thức truy cập mà tổ chức cá nhân cấp phép, cần kiểm tra giấy phép, xác định khoảng thời gian cần xác minh lại việc cấp phép; g) phương tiện biện pháp kiểm soát khác tổ chức bên sử dụng lưu trữ, xử lý, truyền thông, chia sẻ trao đổi thông tin; h) ảnh hưởng việc truy cập chưa sẵn sàng tổ chức bên ngồi có u cầu, việc nhập vào nhận thông tin không xác sai lệch tổ chức bên ngồi; i) thủ tục biện pháp xử lý cố an tồn thơng tin thiệt hại tiềm ẩn, điều kiện điều khoản truy cập tổ chức bên ngồi trường hợp có xảy cố an tồn thơng tin; j) Các u cầu pháp lý quy tắc nghĩa vụ thỏa thuận liên quan đến tổ chức bên ngồi; Khơng cho phép tổ chức bên truy cập tới thông tin tổ chức trừ triển khai biện pháp quản lý phù hợp, khả thi cần ký hợp đồng xác định thời hạn điều kiện kết nối truy cập Nhìn chung, tất yêu cầu an toàn làm việc với tổ chức bên biện pháp quản lý bên cần đề cập thỏa thuận với tổ chức bên (xem thêm 5.2.2 5.2.3) Cũng cần đảm bảo tổ chức bên nhận thức nghĩa vụ họ, chấp thuận trách nhiệm nghĩa vụ pháp lý truy cập, xử lý, truyền thông, quản lý thông tin phương tiện xử lý thông tin tổ chức Thông tin khác Thơng tin bị rủi ro tổ chức thứ ba quản lý an tồn thơng tin không phù hợp Các biện pháp quản lý cần xác định sử dụng nhằm quản lý việc truy cập tổ chức bên tới phương tiện xử lý thơng tin Ví dụ, có u cầu đặc biệt tính bí mật thơng tin sử Quản lý liên tục hoạt động nghiệp vụ cần bao hàm biện pháp quản lý nhằm xác định giảm thiểu rủi ro, bên cạnh trình đánh giá rủi ro chung, làm hạn chế hậu cố phá hoại, đảm bảo thông tin yêu cầu cho trình nghiệp vụ sẵn sàng 13.1.1 Tính đến an tồn thơng tin quy trình quản lý liên tục hoạt động nghiệp vụ Biện pháp quản lý Một quy trình quản lý cần xây dựng trì nhằm đảm bảo hoạt động quan/tổ chức không bị gián đoạn Nội dung quy trình phải đề cập u cầu an tồn thơng tin cần thiết nhằm đảm bảo hoạt động liên tục tổ chức Hướng dẫn triển khai Quy trình phải cho yếu tố quan trọng sau quản lý liên tục hoạt động nghiệp a) hiểu rủi ro mà tổ chức đối mặt khía cạnh rủi ro có khả xảy ảnh hưởng chúng cách kịp thời, bao gồm định danh phân loại ưu tiên trình nghiệp vụ quan trọng (xem 13.1.2); b) xác định tài sản tham gia vào trình nghiệp vụ quan trọng (xem 6.1.1); c) hiểu rõ ảnh hưởng lên hoạt động nghiệp vụ gián đoạn cố thơng tin có khả xảy (quan trọng giải pháp tìm phải giải cố gây ảnh hưởng nhỏ, cố nghiêm trọng đe dọa tồn tổ chức), thiết lập mục tiêu nghiệp vụ phương tiện xử lý thông tin; d) cân nhắc đến việc mua bảo hiểm phù hợp, việc phần quy trình quản lý liên tục hoạt động nghiệp chung, phần trình quản lý rủi ro hoạt động; e) xác định quan tâm tới việc triển khai thêm biện pháp quản lý phòng ngừa giảm nhẹ thiệt hại; f) xác định nguồn tài nguyên tài chính, tổ chức, kỹ thuật mơi trường thỏa đáng để xử lý yêu cầu an tồn thơng tin xác định; g) đảm bảo an toàn cho nhân viên bảo vệ phương tiện xử lý thông tin tài sản tổ chức; h) lập lập thành tài liệu kế hoạch quản lý liên tục hoạt động nghiệp vụ giải yêu cầu an tồn thơng tin tn theo chiến lược quản lý liên tục hoạt động nghiệp vụ thông qua (xem 13.1.3); i) kiểm tra cập nhật định kỳ kế hoạch quy trình cần thực (xem 13.1.5); j) đảm bảo việc quản lý liên tục hoạt động nghiệp vụ phối hợp cấu quy trình tổ chức, trách nhiệm trình quản lý liên tục hoạt động nghiệp vụ cần phân mức độ phù hợp tổ chức (xem 5.1.1) 13.1.2 Đánh giá rủi ro liên tục hoạt động tổ chức Biện pháp quản lý Các kiện gây gián đoạn gián đoạn hoạt động tổ chức cần xác định với xác suất, ảnh hưởng hậu chúng an tồn thơng tin Hướng dẫn triển khai Các khía cạnh an tồn thơng tin liên tục hoạt động nghiệp vụ cần dựa việc xác định kiện (hoặc chuỗi kiện) gây gián đoạn trình nghiệp vụ tổ chức, ví dụ cố thiết bị, lỗi người, cắp, cháy, thảm họa tự nhiên hoạt động khủng bố Sau cần đánh giá rủi ro nhằm xác định khả xảy ảnh hưởng gián đoạn đó, mặt thời gian, mức độ thiệt hại thời gian khôi phục Các đánh giá rủi ro liên tục hoạt động nghiệp vụ cần thực với tham gia đầy đủ chủ sở hữu trình nguồn tài nguyên nghiệp vụ Việc đánh giá cần xem xét q trình nghiệp vụ khơng giới hạn với phương tiện xử lý thông tin, phải cho kết cụ thể an tồn thơng tin Điều quan trọng phải liên kết khía cạnh rủi ro khác với để có tranh hồn chỉnh yêu cầu liên tục hoạt động nghiệp vụ tổ chức Việc đánh giá cần xác định, định lượng, phân loại ưu tiên rủi ro dựa tiêu mục tiêu tổ chức, phải bao hàm nguồn tài nguyên quan trọng, ảnh hưởng gián đoạn, thời gian gián đoạn cho phép, ưu tiên khôi phục Tùy thuộc vào kết trình đánh giá rủi ro, chiến lược liên tục hoạt động nghiệp vụ cần phát triển nhằm xác định cách tiếp cận chung liên tục hoạt động nghiệp vụ Một chiến lược thiết lập ban quản lý cần thông qua, kế hoạch thiết lập thông qua để triển khai chiến lược 13.1.3 Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin Biện pháp quản lý Các kế hoạch phải phát triển triển khai nhằm trì khơi phục hoạt động điều hành đảm bảo tính sẵn sàng thơng tin mức độ yêu cầu đáp ứng yêu cầu thời gian xử lý gián đoạn hư hỏng trình nghiệp vụ quan trọng Hướng dẫn triển khai Q trình lên kế hoạch tính liên tục nghiệp vụ cần quan tâm tới điều sau: a) xác định thông qua trách nhiệm thủ tục tính liên tục hoạt động nghiệp vụ; b) xác định độ mát thông tin dịch vụ mức chấp nhận được; c) triển khai thủ tục cho phép khôi phục phục hồi hoạt động nghiệp vụ tính sẵn sàng thông tin theo thang thời gian yêu cầu; cần đưa yêu cầu ý đặc biệt đến việc đánh giá phụ thuộc nghiệp vụ nội bên hợp đồng có hiệu lực; d) thủ tục vận hành hồn tất việc khơi phục phục hồi; e) tài liệu quy trình thủ tục; f) đào tạo phù hợp đội ngũ nhân viên trình thủ tục thông qua, gồm việc quản lý khủng hoảng; g) kiểm tra cập nhật kế hoạch Quá trình lập kế hoạch cần tập trung vào mục tiêu nghiệp vụ u cầu, ví dụ việc khơi phục dịch vụ truyền thông cụ thể cho khách hàng khoảng thời gian chấp nhận Các dịch vụ nguồn tài nguyên hỗ trợ trình cần xác định, bao gồm đội ngũ nhân viên, nguồn tài nguyên xử lý dạng thông tin, dàn xếp phương tiện xử lý thơng tin dự phịng Các dàn xếp bao hàm dàn xếp với bên thứ ba hình thức thỏa thuận hai bên, dịch vụ thuê bao thương mại Các kế hoạch liên tục hoạt động nghiệp vụ cần tập trung vào điểm yếu tổ chức chứa thơng tin nhạy cảm cần bảo vệ thích hợp Các kế hoạch liên tục hoạt động nghiệp vụ cần lưu trữ địa điểm xa với khoảng cách đủ để khơng bị thiệt hại từ thảm họa điểm Ban quản lý cần đảm bảo chép phải cập nhật bảo vệ với mức an toàn địa điểm Các tài liệu khác cần cho việc thực kế hoạch tính liên tục cần lưu trữ vị trí xa Nếu sử dụng vị trí thay tạm thời mức độ biện pháp quản lý an tồn triển khai vị trí phải tương đương với vị trí Thơng tin khác Cũng cần ý kế hoạch hoạt động quản lý khủng hoảng (xem 13.1.3f)) khác với quản lý liên tục hoạt động nghiệp vụ 13.1.4 Khung hoạch định liên tục hoạt động nghiệp vụ Biện pháp quản lý Một khung hoạch định kế hoạch đảm bảo liên tục hoạt động nghiệp vụ cần trì để kế hoạch thực cách quán đạt u cầu đảm bảo an tồn thơng tin xác định mức độ ưu tiên cho việc kiểm tra trì Hướng dẫn triển khai Mỗi kế hoạch liên tục hoạt động nghiệp vụ phải mô tả cách tiếp cận tính liên tục, ví dụ cách tiếp cận để đảm bảo tính sẵn sàng an tồn thông tin hệ thống thông tin Mỗi kế hoạch cần xác định rõ kế hoạch nâng dần cấp xử lý điều kiện thực hiện, cá nhân có trách nhiệm thực phận kế hoạch Khi có yêu cầu xác định thủ tục khẩn cấp hành, ví dụ kế hoạch di tản dàn xếp dự phòng, cần bổ sung hợp lý Các thủ tục cần nằm chương trình quản lý thay đổi tổ chức để đảm bảo vấn đề liên tục hoạt động nghiệp vụ giải thỏa đáng Mỗi kế hoạch cần có người sở hữu xác định Các thủ tục khẩn cấp, kế hoạch dự phịng nhân cơng, kế hoạch tiếp tục phải thuộc trách nhiệm người sở hữu tài nguyên nghiệp vụ trình liên quan Các dàn xếp dự phòng cho dịch vụ kỹ thuật thay thế, chẳng hạn phương tiện truyền thông xử lý thông tin, phải thuộc trách nhiệm nhà cung cấp dịch vụ Khung hoạch định liên tục hoạt động nghiệp vụ cần tập trung vào u cầu an tồn thơng tin xác định cần quan tâm tới điều sau: a) điều kiện khởi động kế hoạch, mơ tả quy trình phải thực (ví dụ cách đánh giá tình hình, người tham gia) trước kế hoạch khởi động; b) thủ tục khẩn cấp, mơ tả hoạt động cần thực xảy cố gây nguy hiểm cho hoạt động nghiệp vụ; c) thủ tục dự phịng mơ tả hoạt động cần thực nhằm thúc đẩy hoạt động nghiệp vụ cần thiết hỗ trợ dịch vụ cho vị trí thay tạm thời khác, khơi phục trình nghiệp vụ theo thang thời gian yêu cầu; d) thủ tục vận hành tạm thời chờ đợi hồn thành việc khơi phục; e) thủ tục tiếp tục lại mơ tả hoạt động cần thực để trở lại hoạt động nghiệp vụ bình thường; f) lịch trình bảo dưỡng quy định cách thức thời gian kế hoạch kiểm tra quy trình trì kế hoạch; g) hoạt động nhận thức, giáo dục đào tạo thiết kế nhằm thiết lập hiểu biết trình đảm bảo liên tục nghiệp vụ đảm bảo q trình tiếp tục có hiệu quả; h) trách nhiệm cá nhân, mơ tả người có trách nhiệm thực thành phần kế hoạch Các lựa chọn thay cần đề cử có yêu cầu; i) tài sản nguồn tài nguyên quan trọng cần để thực thủ tục khẩn cấp, dự phòng tiếp tục lại 13.1.5 Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động nghiệp vụ Biện pháp quản lý Các kế hoạch liên tục hoạt động nghiệp vụ cần kiểm tra cập nhật thường xun nhằm ln đảm bảo tính cập nhật hiệu Hướng dẫn triển khai Các kiểm tra kế hoạch liên tục hoạt động nghiệp vụ cần đảm bảo tất thành viên nhóm khơi phục đội ngũ nhân viên có liên quan khác nhận thức kế hoạch trách nhiệm họ liên tục hoạt động nghiệp vụ an tồn thơng tin biết vai trò họ kế hoạch đề xuất Kế hoạch kiểm tra (các) kế hoạch liên tục hoạt động nghiệp vụ cần cách thức thời gian kiểm tra thành phần kế hoạch Mỗi thành phần (các) kế hoạch cần kiểm tra thường xuyên Phải sử dụng nhiều kỹ thuật kiểm tra để đảm bảo (các) kế hoạch vận hành đời sống thực tế Các kỹ thuật phải bao gồm: a) kiểm tra công nghệ cao kịch khác (trong thảo luận kịch khơi phục hoạt động nghiệp vụ sử dụng gián đoạn mẫu); b) mơ (đặc biệt q trình đào tạo người vai trò họ việc quản lý hậu cố/ khủng hoảng); c) kiểm tra việc khôi phục kỹ thuật (đảm bảo hệ thống thơng tin khơi phục thực sự); d) kiểm tra việc khơi phục vị trí khác (chạy quy trình nghiệp vụ song song với hoạt động khơi phục xa vị trí chính); e) kiểm tra phương tiện dịch vụ nhà cung cấp (đảm bảo dịch vụ sản phẩm cung cấp từ bên tuân theo cam kết hợp đồng); f) hoàn tất đợt diễn tập (kiểm tra để đảm bảo tổ chức, cá nhân, thiết bị, phương tiện q trình đối phó với gián đoạn) Những kỹ thuật sử dụng cho tổ chức Chúng phải áp dụng theo cách phù hợp với kế hoạch khôi phục cụ thể Các kết kiểm tra cần ghi lại hoạt động cần thực nhằm cải tiến kế hoạch cần thiết Trách nhiệm cần phân định việc thường xuyên soát xét kế hoạch liên tục hoạt động nghiệp vụ Sau xác định thay đổi hoạt động nghiệp vụ chưa phản ánh kế hoạch liên tục hoạt động nghiệp vụ phải cập nhật kế hoạch cách phù hợp Quá trình quản lý thay đổi thức cần đảm bảo kế hoạch cập nhật phân phối củng có sốt xét tồn kế hoạch cách thường xuyên Các ví dụ thay đổi mà việc cập nhật kế hoạch liên tục hoạt động nghiệp vụ cần phải quan tâm việc thu nhận thiết bị mới, nâng cấp hệ thống thay đổi về: a) nhân sự; b) địa số điện thoại; c) chiến lược nghiệp vụ; d) vị trí, phương tiện nguồn tài nguyên; e) quy định pháp lý; f) nhà thầu, nhà cung cấp khách hàng thân thiết; g) quy trình, bị thu hồi; h) rủi ro (điều hành tài chính) 14 Sự tuân thủ 14.1 Sự tuân thủ quy định pháp lý Mục tiêu: Nhằm tránh vi phạm pháp luật, quy định, nghĩa vụ theo hợp đồng ký kết, tránh vi phạm yêu cầu đảm bảo an tồn thơng tin Thiết kế, điều hành, sử dụng quản lý hệ thống thơng tin phải tn theo u cầu an tồn thơng tin luật pháp, quy định, giao kèo Có thể tìm thấy tư vấn yêu cầu pháp lý cụ thể từ cố vấn pháp luật tổ chức, người hành nghề luật pháp có đủ khả phù hợp Các yêu cầu pháp lý quốc gia khác thay đổi thơng tin tạo quốc gia lại truyền sang quốc gia khác (nghĩa luồng liệu chuyển qua biên giới) 14.1.1 Xác định điều luật áp dụng Biện pháp quản lý Tất yêu cầu pháp lý, quy định, nghĩa vụ hợp đồng ký cách tiếp cận tổ chức để đáp ứng yêu cầu phải xác định rõ ràng, ghi thành văn cập nhật thường xuyên Hướng dẫn triển khai Các biện pháp quản lý cụ thể trách nhiệm cá nhân để đáp ứng yêu cầu phải xác định lập thành văn 14.1.2 Quyền sở hữu trí tuệ (IPR) Biện pháp quản lý Các thủ tục phù hợp cần triển khai nhằm đảm bảo phù hợp với yêu cầu pháp lý, quy định cam kết theo hợp đồng việc sử dụng tài liệu có quyền sở hữu trí tuệ sản phẩm phần mềm độc quyền Hướng dẫn triển khai Các hướng dẫn sau cần quan tâm để bảo vệ tài liệu có quyền sở hữu trí tuệ: a) cơng bố quyền sở hữu trí tuệ phải tn thủ theo sách xác định việc sử dụng hợp pháp sản phẩm thông tin phần mềm; b) lấy phần mềm qua nguồn quen biết đáng tin cậy, nhằm đảm bảo không vi phạm quyền; c) trì nhận thức sách bảo vệ quyền sở hữu trí tuệ, đưa lưu ý mục đích thực hoạt động kỷ luật cá nhân vi phạm sách; d) trì đăng ký tài sản phù hợp, xác định tất tài sản yêu cầu bảo vệ quyền sở hữu trí tuệ; e) trì chứng minh chứng quyền sở hữu quyền, đĩa điều khiển, sách hướng dẫn ; f) triển khai biện pháp quản lý nhằm đảm bảo không bị vượt số lượng người dùng tối đa phép; g) thực kiểm tra để đảm bảo phần mềm cấp phép sản phẩm có quyền cài đặt; h) cung cấp sách trì điều kiện quyền thích hợp; i) cung cấp sách bố trí chuyển phần mềm cho người khác; j) Sử dụng công cụ đánh giá phù hợp; k) tuân theo điều khoản điều kiện phần mềm thông tin lấy từ mạng công cộng; I) không nhân bản, chuyển đổi sang dạng khác lấy từ hồ sơ thương mại (phim ảnh, tiếng nói) trừ phép; m) khơng chép tồn phần sách, báo, báo cáo dạng tài liệu khác trừ luật quyền cho phép Thông tin khác Các quyền sở hữu trí tuệ bao gồm quyền phần mềm tài liệu, quyền thiết kế, đăng ký thương mại, sáng chế, đăng ký mã nguồn Các sản phẩm phần mềm có quyền thường cung cấp theo thỏa thuận đăng ký nhằm xác định điều khoản điều kiện đăng ký, ví dụ, giới hạn sử dụng sản phẩm với máy móc cụ thể giới hạn chép cho mục đích tạo lưu Trạng thái IPR phần mềm tổ chức phát triển đòi hỏi phải công bố rõ ràng với đội ngũ nhân viên Các yêu cầu pháp lý, quy định giao kèo đặt giới hạn việc chép tài liệu có quyền Cụ thể là, chúng yêu cầu có tài liệu phát triển tổ chức, đăng ký quyền cung cấp người phát triển cho tổ chức, sử dụng Sự vi phạm quyền dẫn đến hoạt động pháp lý, kiện cáo có tính chất hình 14.1.3 Bảo vệ hồ sơ tổ chức Biện pháp quản lý Các hồ sơ quan trọng cần bảo vệ khỏi mát, phá hủy làm sai lệch, phù hợp với pháp luật, quy định, nghĩa vụ hợp đồng ký Hướng dẫn triển khai Các hồ sơ cần phân loại theo loại hồ sơ, ví dụ hồ sơ kế toán, hồ sơ sở liệu, nhật ký giao dịch, nhật ký đánh giá, thủ tục điều hành, hồ sơ có thơng tin chi tiết giai đoạn sử dụng loại phương tiện lưu trữ, ví dụ giấy, phim, từ, quang Mọi tài liệu có khóa mã hóa liên quan chương trình liên quan đến văn mã hóa chữ ký số (xem 11.3), cần lưu trữ để giải mã hồ sơ Cần xem xét khả hư hỏng thiết bị sử dụng để lưu trữ hồ sơ Các thủ tục lưu trữ xử lý cần triển khai theo hướng dẫn nhà sản xuất Nếu cần lưu trữ thời gian dài nên xem xét sử dụng giấy vi phim Trường hợp thiết bị lưu trữ điện tử lựa chọn thủ tục nhằm đảm bảo khả truy cập liệu (cả khả đọc phương tiện định dạng) tồn q trình lưu trữ cần đưa nhằm bảo vệ an toàn trước mát thay đổi công nghệ tương lai Các hệ thống lưu trữ liệu cần chọn lựa cho liệu yêu cầu lấy lại định dạng khung thời gian mức chấp nhận được, tùy theo yêu cầu phải thỏa mãn Nếu thích hợp hệ thống lưu trữ xử lý cần đảm bảo định danh rõ hồ sơ thời gian lưu trữ chúng xác định yêu cầu pháp lý, quy định quốc gia khu vực Hệ thống phải cho phép hủy bỏ hồ sơ cách phù hợp sau thời gian lưu trữ chúng không cần thiết cho tổ chức Để thỏa mãn mục tiêu bảo vệ hồ sơ, bước sau cần thực nội tổ chức: a) đưa hướng dẫn việc sử dụng, lưu trữ, xử lý loại bỏ hồ sơ thông tin; b) kế hoạch lưu trữ cần phác thảo nhằm xác định hồ sơ khoảng thời gian lưu trữ chúng: c) việc kiểm kê nguồn tài nguyên thông tin quan trọng cần trì; d) biện pháp quản lý phù hợp cần triển khai nhằm bảo vệ hồ sơ thông tin khỏi bị mất, phá hủy làm giả Thông tin khác Một số hồ sơ cần lưu giữ an tồn để tuân thủ yêu cầu pháp lý, quy định giao kèo, để hỗ trợ hoạt động nghiệp vụ cần thiết Ví dụ hồ sơ yêu cầu chứng cho thấy tổ chức hoạt động tuân theo quy định yêu cầu pháp lý, nhằm đảm bảo phòng thủ thích đáng trước hành động dân hình tiềm ẩn, để xác nhận tình trạng tài tổ chức trước cổ đơng, bên liên quan, đánh giá viên Khoảng thời gian nội dung liệu cần lưu trữ thông tin quy định điều luật quy tắc quốc gia Thông tin sâu việc quản lý hồ sơ tổ chức tìm thấy ISO 15489-1 14.1.4 Bảo vệ liệu riêng tư thông tin cá nhân Biện pháp quản lý Việc bảo vệ liệu tính riêng tư cần đảm bảo theo yêu cầu pháp lý, quy định, điều khoản hợp đồng có Hướng dẫn triển khai Chính sách riêng tư bảo vệ liệu tổ chức cần phát triển triển khai Chính sách cần phổ biến cho tất nhân viên tham gia vào việc xử lý thông tin cá nhân Việc tuân thủ sách tất yêu cầu pháp lý quy định bảo vệ liệu có liên quan địi hỏi cấu biện pháp quản lý phù hợp Thông thường cách tốt để đạt điều định trách nhiệm cá nhân, ví dụ định nhân viên bảo vệ liệu, người phải đưa hướng dẫn cho người quản lý, người dùng, nhà cung cấp dịch vụ sở trách nhiệm cá nhân họ thủ tục cần phải tuân theo Trách nhiệm việc xử lý thông tin cá nhân đảm bảo nhận thức nguyên tắc bảo vệ liệu cần đề cập phù hợp tuân theo yêu cầu pháp lý quy định Các biện pháp kỹ thuật tổ chức phù hợp để bảo vệ thông tin cá nhân cần triển khai Thông tin khác Một số nước đưa quy định pháp lý biện pháp quản lý việc thu thập, xử lý, chuyển giao liệu cá nhân (nhìn chung, thơng tin người cịn sống xác định từ thơng tin đó) Tùy thuộc vào quy định pháp lý riêng quốc gia mà biện pháp quản lý áp đặt nhiệm vụ lên cá nhân thu thập, xử lý, phổ biến thông tin cá nhân, hạn chế khả truyền liệu tới nước khác 14.1.5 Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin Biện pháp quản lý Cần ngăn chặn người dùng khỏi việc sử dụng phương tiện xử lý thơng tin vào mục đích khơng phép Hướng dẫn triển khai Ban quản lý cần thông qua việc sử dụng phương tiện xử lý thông tin Mọi sử dụng phương tiện cho mục đích phi nghiệp vụ mà chưa có thông qua ban quản lý (xem 5.1.4), cho mục đích trái phép, coi sử dụng phương tiện cách không phù hợp Nếu hoạt động trái phép xác định trình giám sát biện pháp khác hoạt động cần đưa vào diện lưu ý người quản lý, cần quan tâm đến biện pháp xử phạt thỏa đáng và/hoặc hoạt động pháp lý Cần có tư vấn pháp lý trước triển khai thủ tục giám sát Mọi người dùng phải nhận thức phạm vi truy cập phép họ việc giám sát nhằm phát sử dụng trái phép Họ cấp cho giấy phép, mà người dùng ký vào tổ chức lưu giữ cách an toàn Các nhân viên tổ chức, người nhà thầu bên thứ ba cần tư vấn không truy cập trừ truy cập cấp phép Tại thời điểm đăng nhập, cần có thơng điệp cảnh báo phương tiện xử lý thông tin truy cập thuộc quyền sở hữu tổ chức truy cập chưa cấp phép bị cấm Người dùng phải hiểu biết phản ứng cách phù hợp với thông điệp hình để tiếp tục trình đăng nhập (xem 10.5.1) Thông tin khác Các phương tiện xử lý thông tin tổ chức thường dành riêng trước tiên cho mục đích nghiệp vụ Các cơng cụ phát vi phạm, kiểm tra nội dung, cơng cụ giám sát khác giúp ngăn ngừa phát lạm dụng phương tiện xử lý thơng tin Rất nhiều nước có quy định pháp lý việc bảo vệ chống lại việc lạm dụng máy tính Đó vi phạm có tính chất hình việc sử dụng máy tính cho mục đích trái phép Tính pháp lý việc giám sát sử dụng khác quốc gia địi hỏi ban quản lý phải tư vấn cho người dùng việc giám sát và/hoặc để nhận chấp thuận họ Nếu hệ thống truy cập sử dụng cho truy cập cơng cộng (ví dụ dịch vụ web công cộng) đối tượng cần giám sát an tồn bảo mật cần đưa thơng điệp thơng báo điều 14.1.6 Quy định quản lý mã hóa Biện pháp quản lý Quản lý mã hóa cần áp dụng phù hợp với thỏa thuận, luật pháp quy định liên quan Hướng dẫn triển khai Những vấn đề sau cần quan tâm nhằm tuân thủ thỏa thuận, luật pháp quy định liên quan; a) hạn chế việc nhập và/hoặc xuất phần mềm phần cứng máy tính để thực chức mã hóa; b) hạn chế việc nhập và/hoặc xuất phần mềm phần cứng máy tính thiết kế để bổ sung chức mã hóa; c) hạn chế việc sử dụng mã hóa; d) phương pháp bắt buộc tùy chọn truy cập thực quan chức quốc gia tới thơng tin mã hóa phần cứng phần mềm để có bí mật nội dung Cần có tư vấn pháp lý để đảm bảo tuân thủ luật lệ quy định quốc gia Trước thơng tin mã hóa biện pháp quản lý mã hóa chuyển sang quốc gia khác cần có tư vấn pháp lý 14.2 Sự tuân thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật Mục tiêu: Nhằm đảm bảo tuân thủ hệ thống theo sách tiêu chuẩn an tồn tổ chức Sự an tồn hệ thống thơng tin cần soát xét định kỳ Các soát xét phải thực theo sách an tồn thơng tin phù hợp tảng kỹ thuật, hệ thống thông tin cần đánh giá tuân thủ theo tiêu chuẩn triển khai an tồn thơng tin hành biện pháp quản lý an tồn thơng tin lập thành văn 14.2.1 Sự tuân thủ tiêu chuẩn sách an toàn Biện pháp quản lý Người quản lý cần đảm bảo thủ tục đảm bảo an tồn phạm vi trách nhiệm thực xác để đạt kết phù hợp với sách tiêu chuẩn an toàn Hướng dẫn triển khai Ban quản lý cần soát xét định kỳ tuân thủ xử lý thơng tin theo sách, tiêu chuẩn an tồn yêu cầu an toàn khác phạm vi trách nhiệm Nếu sốt xét tìm thấy khơng tn thủ ban quản lý cần: a) xác định nguyên nhân không tuân thủ; b) đánh giá nhu cầu cần có hoạt động để đảm bảo không tuân thủ không tái diễn; c) xác định triển khai hoạt động phịng ngừa thích hợp; d) sốt xét lại hoạt động phòng ngừa thực Các kết việc sốt xét hoạt động phịng ngừa thực người quản lý cần ghi lại báo cáo cần lưu lại Những người quản lý phải báo cáo kết đến người thực soát xét độc lập (xem 5.1.8) việc soát xét độc lập diễn phạm vi thuộc trách nhiệm họ Thông tin khác Nội dung giám sát điều hành việc sử dụng hệ thống đề cập 9.10 14.2.2 Kiểm tra tương thích kỹ thuật Biện pháp quản lý Các hệ thống thông tin cần kiểm tra thường xuyên tuân thủ tiêu chuẩn thực an toàn Hướng dẫn triển khai Việc kiểm tra tuân thủ kỹ thuật cần thực tay (nếu cần phải hỗ trợ công cụ phần mềm phù hợp) kỹ sư hệ thống có kinh nghiệm, và/hoặc với hỗ trợ công cụ tự động, công cụ cung cấp báo cáo kỹ thuật mà sau giải thích chuyên gia kỹ thuật Nếu thực kiểm tra thâm nhập đánh giá điểm yếu cần thận trọng hoạt động gây tổn hại đến an toàn hệ thống Những kiểm tra cần lên kế hoạch, lập thành văn lặp lại Mọi kiểm tra tuân thủ kỹ thuật thực người nhân viên có trình độ, có thẩm quyền, giám sát nhân viên Thông tin khác Kiểm tra tuân thủ kỹ thuật phải thực hệ thống vận hành nhằm đảm bảo biện pháp quản lý phần cứng phần mềm thực Loại kiểm tra tuân thủ đòi hỏi phải thực chuyên gia kỹ thuật thành thạo Kiểm tra tuân thủ bao gồm, ví dụ, kiểm tra xâm nhập đánh giá điểm yếu, kiểm tra thực chuyên gia độc lập ký hợp đồng thực mục đích Cách hữu ích việc phát điểm yếu hệ thống kiểm tra xem biện pháp quản lý có hiệu việc ngăn chặn truy cập trái phép điểm yếu không Việc kiểm tra xâm nhập đánh giá điểm yếu cung cấp đánh giá chung hệ thống trạng thái định vào thời điểm định Sự đánh giá giới hạn cho phần hệ thống thực kiểm tra nỗ lực xâm nhập Việc kiểm tra xâm nhập đánh giá điểm yếu thay việc đánh giá rủi ro 14.3 Xem xét việc đánh giá hệ thống thông tin Mục tiêu: Nhằm tối ưu hóa giảm thiểu ảnh hưởng xấu từ/tới trình đánh giá hệ thống thơng tin Cần có biện pháp quản lý nhằm bảo vệ an toàn cho hệ thống vận hành công cụ đánh giá đánh giá hệ thống thông tin Việc bảo vệ u cầu nhằm bảo vệ tính tồn vẹn ngăn ngừa lạm dụng công cụ đánh giá 14.3.1 Các biện pháp quản lý đánh giá hệ thống thông tin Biện pháp quản lý Các yêu cầu hoạt động đánh giá hệ thống vận hành cần hoạch định thận trọng thống nhằm hạn chế rủi ro đổ vỡ quy trình hoạt động nghiệp vụ Hướng dẫn triển khai Những hướng dẫn sau cần quan tâm: a) yêu cầu đánh giá cần thông qua với ban quản lý; b) phạm vi kiểm tra cần thông qua quản lý; c) kiểm tra cần giới hạn truy cập đọc tới phần mềm liệu; d) truy cập khác truy cập đọc cho phép phân tách tệp tin hệ thống, phải xóa bỏ việc đánh giá hồn tất bảo vệ phù hợp có nghĩa vụ phải giữ lại tệp tin theo yêu cầu hồ sơ đánh giá; e) nguồn tài nguyên sử dụng để thực thi kiểm tra phải xác định rõ sẵn sàng; f) yêu cầu xử lý đặc biệt xử lý thêm cần xác định rõ thông qua; g) truy cập phải giám sát ghi lại để cung cấp vết tham chiếu; việc sử dụng vết tham chiếu theo thời gian cần xem xét hệ thống liệu quan trọng; h) thủ tục, yêu cầu trách nhiệm phải lập thành văn bản; i) (những) người thực đánh giá cần độc lập với hoạt động cần đánh giá 14.3.2 Bảo vệ công cụ đánh giá hệ thống thông tin Biện pháp quản lý Truy cập tới công cụ đánh giá hệ thống thông tin cần bảo vệ khỏi lạm dụng lợi dụng Hướng dẫn triển khai Các cơng cụ đánh giá hệ thống thơng tin, ví dụ, phần mềm tệp liệu, cần cách ly với hệ thống vận hành phát triển không giữ thư viện băng ghi âm khu vực có người dùng, trừ bảo vệ mức độ phù hợp Thông tin khác Nếu cơng việc đánh giá có tham gia bên thứ ba xuất rủi ro bên thứ ba lạm dụng công cụ đánh giá truy cập vào thông tin Các biện pháp quản lý 5.2.1 (để đánh giá rủi ro) 8.1.2 (để hạn chế truy cập vật lý) cần quan tâm để giải rủi ro hậu nó, ví dụ thay đổi mật tiết lộ cho nhân viên đánh giá THƯ MỤC TÀI LIỆU THAM KHẢO [1] ISO/IEC Guide 2:1996, Standardization and related activities - General vocabulary [2] ISO/IEC Guide 73:2002, Risk management - Vocabulary — Guidelines for use in standards [3] ISO/IEC 13335-1:2004, Information technology Security techniques Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management [4] ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security — Part 3: Techniques for the management of IT Security [5] ISO/IEC 13888-1:1997, Information technology - Security techniques - Non-repudiation - Part 1: General [6] ISO/IEC 11770-1:1996, Information technology - Security techniques Key management Part 1: Framework [7] ISO/IEC 9796-2:2002, Information technology — Security techniques - Digital signature schemes giving message recovery - Part 2: Integer factorization based mechanisms [8] ISO/IEC 9796-3:2000, Information technology - Security techniques - Digital signature schemes giving message recovery - Part 3: Discrete logarithm based mechanisms [9] ISO/IEC 14888-1:1998, Information technology Security techniques Digital signatures with appendix — Part 1: General [10] ISO/IEC 15408-1:1999, Information technology — Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model [11] ISO/IEC TR 14516:2002, Information technology Security techniques - Guidelines for the use and management of Trusted Third Party services [12] BS ISO 15489-1:2001, Information and documentation - Records management - Part 1: General [13] ISO 10007:2003, Guidelines for Configuration Management [14] ISO/IEC 12207:1995, Information technology - Software life cycle processes [15] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [16] OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security [17] OECD Guidelines for Cryptography Policy, 1997 [18] IEEE P1363 - 2000, Standard Specifications for Public-Key Cryptography [19] ISO/IEC 18028-4, Information technology Security techniques - IT Network security - Part 4: Securing remote access [20] ISO/IEC TR 18044, Information technology - Security techniques - Information security incident management MỤC LỤC Phạm vi áp dụng Thuật ngữ định nghĩa Đánh giá xử lý rủi ro 3.1 Đánh giá rủi ro an tồn thơng tin 3.2 Xử lý rủi ro an tồn thơng tin Chính sách an tồn thơng tin 4.1 Chính sách an tồn thơng tin 4.1.1 Tài liệu sách an tồn thơng tin 4.1.2 Sốt xét lại sách an tồn thơng tin Tổ chức đảm bảo an tồn thông tin 5.1 Tổ chức nội 5.1.1 Cam kết ban quản lý đảm bảo an tồn thơng tin 5.1.2 Phối hợp đảm bảo an tồn thơng tin 5.1.3 Phân định trách nhiệm đảm bảo an tồn thơng tin 5.1.4 Quy trình cấp phép cho phương tiện xử lý thông tin 5.1.5 Các thỏa thuận bảo mật 5.1.6 Liên lạc với quan/tổ chức có thẩm quyền 5.1.7 Liên lạc với nhóm chuyên gia 5.1.8 Sốt xét độc lập an tồn thơng tin 5.2 Các bên tham gia bên 5.2.1 Xác định rủi ro liên quan đến bên tham gia bên 5.2.2 Giải an toàn làm việc với khách hàng 5.2.3 Giải an toàn thỏa thuận với bên thứ ba Quản lý tài sản 6.1 Trách nhiệm tài sản 6.1.1 Kiểm kê tài sản 6.1.2 Quyền sở hữu tài sản 6.1.3 Sử dụng hợp lý tài sản 6.2 Phân loại thông tin 6.2.1 Hướng dẫn phân loại 6.2.2 Gắn nhãn xử lý thơng tin Đảm bảo an tồn thơng tin từ nguồn nhân lực 7.1 Trước tuyển dụng 7.1.1 Các vai trò trách nhiệm 7.1.2 Thẩm tra 7.1.3 Điều khoản điều kiện tuyển dụng 7.2 Trong thời gian làm việc 7.2.1 Trách nhiệm ban quản lý 7.2.2 Nhận thức, giáo dục đào tạo an tồn thơng tin 7.2.3 Xử lý kỷ luật 7.3 Chấm dứt thay đổi công việc 7.3.1 Trách nhiệm kết thúc hợp đồng 7.3.2 Bàn giao tài sản 7.3.3 Hủy bỏ quyền truy cập Đảm bảo an toàn vật lý mơi trường 8.1.Các khu vực an tồn 8.1.1 Vành đai an tồn vật lý 8.1.2 Kiểm sốt cổng truy cập vật lý 8.1.3 Bảo vệ văn phòng, phòng làm việc vật dụng 8.1.4 Bảo vệ chống lại mối đe dọa từ bên từ môi trường 8.1.5 Làm việc khu vực an toàn 8.1.6 Các khu vực truy cập tự do, phân phối tập kết hàng 8.2 Đảm bảo an tồn trang thiết bị 8.2.1 Bố trí bảo vệ thiết bị 8.2.2 Các tiện ích hỗ trợ 8.2.3 An toàn cho dây cáp 8.2.4 Bảo dưỡng thiết bị 8.2.5 An toàn cho thiết bị hoạt động bên trụ sở tổ chức 8.2.6 An toàn loại bỏ tái sử dụng thiết bị 8.2.7 Di dời tài sản Quản lý truyền thông vận hành 9.1 Các trách nhiệm thủ tục vận hành 9.1.1 Các thủ tục vận hành ghi thành văn 9.1.2 Quản lý thay đổi 9.1.3 Phân tách nhiệm vụ 9.1.4 Phân tách chức phát triển, kiểm thử vận hành 9.2 Quản lý chuyển giao dịch vụ bên thứ ba 9.2.1 Chuyển giao dịch vụ 9.2.2 Giám sát soát xét dịch vụ bên thứ ba 9.2.3 Quản lý thay đổi dịch vụ bên thứ ba 9.3 Lập kế hoạch chấp nhận hệ thống 9.3.1 Quản lý lực hệ thống 9.3.2 Chấp nhận hệ thống 9.4 Bảo vệ chống lại mã độc hại mã di động 9.4.1 Quản lý chống lại mã độc hại 9.4.2 Kiểm soát mã di động 9.5 Sao lưu 9.5.1 Sao lưu thông tin 9.6 Quản lý an tồn mạng 9.6.1 Kiểm sốt mạng 9.6.2 An toàn cho dịch vụ mạng 9.7 Xử lý phương tiện 9.7.1 Quản lý phương tiện di dời 9.7.2 Loại bỏ phương tiện 9.7.3 Các thủ tục xử lý thơng tin 9.7.4 An tồn cho tài liệu hệ thống 9.8 Trao đổi thông tin 9.8.1 Các sách thủ tục trao đổi thông tin 9.8.2 Các thỏa thuận trao đổi 9.8.3 Vận chuyển phương tiện vật lý 9.8.4 Thông điệp điện tử 9.8.5 Các hệ thống thông tin nghiệp vụ 9.9 Các dịch vụ thương mại điện tử 9.9.1 Thương mại điện tử 9.9.2 Các giao dịch trực tuyến 9.9.3 Thông tin công khai 9.10 Giám sát 9.10.1 Ghi nhật Ký đánh giá 9.10.2 Giám sát sử dụng hệ thống 9.10.3 Bảo vệ thông tin nhật ký 9.10.4 Nhật ký người điều hành người quản trị 9.10.5 Ghi nhật ký lỗi 9.10.6 Đồng thời gian 10 Quản lý truy cập 10.1 Yêu cầu nghiệp vụ quản lý truy cập 10.1.1 Chính sách quản lý truy cập 10.2 Quản lý truy cập người dùng 10.2.1 Đăng ký người dùng 10.2.2 Quản lý đặc quyền 10.2.3 Quản lý mật người dùng 10.2.4 Soát xét quyền truy cập người dùng 10.3 Các trách nhiệm người dùng 10.3.1 Sử dụng mật 10.3.2 Thiết bị người dùng khơng sử dụng 10.3.3 Chính sách hình bàn làm việc 10.4 Quản lý truy cập mạng 10.4.1 Chính sách sử dụng dịch vụ mạng 10.4.2 Xác thực người dùng cho kết nối bên 10.4.3 Định danh thiết bị mạng 10.4.4 Chuẩn đoán từ xa bảo vệ cổng cấu hình 10.4.5 Phân tách mạng 10.4.6 Quản lý kết nối mạng 10.4.7 Quản lý định tuyến mạng 10.5 Quản lý truy cập hệ điều hành 10.5.1 Các thủ tục đăng nhập an toàn 10.5.2 Định danh xác thực người dùng 10.5.3 Hệ thống quản lý mật 10.5.4 Sử dụng tiện ích hệ thống 10.5.5 Thời gian giới hạn phiên làm việc 10.5.6 Giới hạn thời gian kết nối 10.6 Điều khiển truy cập thông tin ứng dụng 10.6.1 Hạn chế truy cập thông tin 10.6.2 Cách ly hệ thống nhạy cảm 10.7 Tính tốn di động làm việc từ xa 10.7.1 Tính tốn truyền thông qua thiết bị di động 10.7.2 Làm việc từ xa 11 Tiếp nhận, phát triển trì hệ thống thơng tin 11.1 u cầu đảm bảo an tồn cho hệ thống thơng tin 11.1.1 Phân tích đặc tả yêu cầu an toàn 11.2 Xử lý ứng dụng 11.2.1 Kiểm tra tính hợp lệ liệu đầu vào 11.2.2 Kiểm sốt việc xử lý nội 11.2.3 Tính tồn vẹn thơng điệp 11.2.4 Kiểm tra tính hợp lệ liệu đầu 11.3 Quản lý mã hóa 11.3.1 Chính sách sử dụng biện pháp quản lý mã hóa 11.3.2 Quản lý khóa 11.4 An tồn cho tệp tin hệ thống 11.4.1 Quản lý phần mềm điều hành 11.4.2 Bảo vệ liệu kiểm tra hệ thống 11.4.3 Quản lý truy cập đến mã nguồn chương trình 11.5 Bảo đảm an tồn quy trình hỗ trợ phát triển 11.5.1 Các thủ tục quản lý thay đổi 11.5.2 Soát xét kỹ thuật ứng dụng sau thay đổi hệ điều hành 11.5.3 Hạn chế thay đổi gói phần mềm 11.5.4 Sự rị rỉ thơng tin 11.5.5 Phát triển phần mềm th khoán 11.6 Quản lý điểm yếu kỹ thuật 11.6.1 Quản lý điểm yếu kỹ thuật 12 Quản lý cố an tồn thơng tin 12.1 Báo cáo kiện an tồn thơng tin điểm yếu 12.1.1 Báo cáo kiện an tồn thơng tin 12.1.2 Báo cáo điểm yếu an tồn thơng tin 12.2 Quản lý cố an tồn thơng tin cải tiến 12.2.1 Các trách nhiệm thủ tục 12.2.2 Rút học kinh nghiệm từ cố an tồn thơng tin 12.2.3 Thu thập chứng 13 Quản lý liên tục hoạt động nghiệp vụ 13.1 Các khía cạnh an tồn thông tin quản lý liên tục hoạt động nghiệp vụ 13.1.1 Tính đến an tồn thơng tin quy trình quản lý liên tục hoạt động nghiệp vụ 13.1.2 Đánh giá rủi ro liên tục hoạt động tổ chức 13.1.3 Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin 13.1.4 Khung hoạch định liên tục hoạt động nghiệp vụ 13.1.5 Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động nghiệp vụ 14 Sự tuân thủ 14.1 Sự tuân thủ quy định pháp lý 14.1.1 Xác định điều luật áp dụng 14.1.2 Quyền sở hữu trí tuệ (IPR) 14.1.3 Bảo vệ hồ sơ tổ chức 14.1.4 Bảo vệ liệu riêng tư thông tin cá nhân 14.1.5 Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin 14.1.6 Quy định quản lý mã hóa 14.2 Sự tn thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật 14.2.1 Sự tuân thủ tiêu chuẩn sách an tồn 14.2.2 Kiểm tra tương thích kỹ thuật 14.3 Xem xét việc đánh giá hệ thống thông tin 14.3.1 Các biện pháp quản lý đánh giá hệ thống thông tin 14.3.2 Bảo vệ công cụ đánh giá hệ thống thông tin Thư mục tài liệu tham khảo ... xác định nguồn gốc ước đoán rủi ro [ISO/IEC Guide 73:2002] 2.11 Đánh giá rủi ro (risk assessment) Q trình tổng thể gồm phân tích rủi ro ước lượng rủi ro [ISO/IEC Guide 73:2002], 2.12 Ước lượng... ro, chấp nhận rủi ro thông báo rủi ro [ISO/IEC Guide 73:2002] 2.14 Xử lý rủi ro (risk treament) Quá trình lựa chọn triển khai biện pháp hạn chế rủi ro [ISO/IEC Guide 73:2002] 2.15 Bên thứ ba... kết gây tổn hại cho hệ thống tổ chức [ISO/IEC 13335-1:2004] 2.17 Điểm yếu (vulnerability) Nhược điểm tài sản nhóm tài sản có khả bị lợi dụng hay nhiều mối đe [ISO/IEC 13335-1:2004] Đánh giá xử lý