Tiêu chuẩn này quy định các yêu cầu, cung cấp hướng dẫn cho các tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) ngoài các yêu cầu có trong TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001. Tiêu chuẩn này chủ yếu được dùng để hỗ trợ trong việc công nhận các tổ chức chứng nhận ISMS. Các yêu cầu nêu trong tiêu chuẩn này cần được các tổ chức chứng nhận ISMS chứng minh bằng năng lực và độ tin cậy của họ, và hướng dẫn trong tiêu chuẩn cũng cung cấp giải thích bổ sung các yêu cầu này cho mọi tổ chức cung cấp chứng nhận ISMS.
TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27006:2017 ISO/IEC 27006:2015 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems Lời nói đầu TCVN ISO/IEC 27006:2017 hoàn toàn tương đương ISO/IEC 27006:2015 TCVN ISO/IEC 27006:2017 Học viện cơng nghệ Bưu viễn thông biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố Lời giới thiệu TCVN ISO/IEC 17021-1 đưa chuẩn mực cho tổ chức đánh giá chứng nhận hệ thống quản lý Nếu tổ chức công nhận phù hợp với TCVN ISO/IEC 17021-1 có mục tiêu đánh giá chứng nhận hệ thống quản lý an tồn thơng tin (ISMS) theo ISO/IEC 27001:2013 số yêu cầu hướng dẫn bổ sung cho TCVN ISO/IEC 17021-1 cần thiết Chúng cung cấp tiêu chuẩn Các đề mục tiêu chuẩn tuân theo cấu trúc TCVN ISO/IEC 17021-1, yêu cầu bổ sung cho ISMS hướng dẫn việc áp dụng tiêu chuẩn TCVN ISO/IEC 17021-1 cho chứng nhận ISMS xác định chữ "IS" Thuật ngữ "phải" sử dụng xuyên suốt tiêu chuẩn để điều khoản, thể yêu cầu tiêu chuẩn TCVN ISO/IEC 17021-1 TCVN ISO/IEC 27001, có tính chất bắt buộc Thuật ngữ "cần/nên" dùng để khuyến nghị Mục đích tiêu chuẩn cho phép tổ chức công nhận hài hòa hiệu việc áp dụng tiêu chuẩn với giới hạn mà họ bị ràng buộc đánh giá tổ chức chứng nhận Trong tiêu chuẩn này, thuật ngữ "hệ thống quản lý" "hệ thống" sử dụng thay cho Có thể tham khảo định nghĩa hệ thống quản lý tiêu chuẩn TCVN ISO 9000:2007 (ISO 9000:2005) Hệ thống quản lý sử dụng tiêu chuẩn không nhầm lẫn với loại hệ thống khác, chẳng hạn hệ thống cơng nghệ thơng tin CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems Phạm vi áp dụng Tiêu chuẩn quy định yêu cầu, cung cấp hướng dẫn cho tổ chức đánh giá chứng nhận hệ thống quản lý an tồn thơng tin (ISMS) ngồi u cầu có TCVN ISO/IEC 17021-1 TCVN ISO/IEC 27001 Tiêu chuẩn chủ yếu dùng để hỗ trợ việc công nhận tổ chức chứng nhận ISMS Các yêu cầu nêu tiêu chuẩn cần tổ chức chứng nhận ISMS chứng minh lực độ tin cậy họ, hướng dẫn tiêu chuẩn cung cấp giải thích bổ sung yêu cầu cho tổ chức cung cấp chứng nhận ISMS CHÚ THÍCH: Tiêu chuẩn sử dụng tài liệu tiêu chuẩn cho q trình cơng nhận, đánh giá đồng đẳng trình đánh giá khác Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm công bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên (bao gồm sửa đổi, bổ sung) TCVN ISO/IEC 17021-1:2015, Đánh giá phù hợp - Yêu cầu tổ chức đánh giá chứng nhận hệ thống quản lý - Phần 1: Các yêu cầu TCVN 11238 (ISO/IEC 27000), Công nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng ISO 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Các u cầu) Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa nêu TCVN ISO/IEC 17021-1, TCVN 11238 (ISO/IEC 27000), với thuật ngữ định nghĩa 3.1 Tài liệu chứng nhận (certification document) Tài liệu ISMS khách hàng phù hợp với tiêu chuẩn ISMS cụ thể tài liệu bổ sung theo yêu cầu hệ thống Nguyên tắc Áp dụng nguyên tắc Điều TCVN ISO/IEC 17021-1 Yêu cầu chung 5.1 Các vấn đề pháp lý hợp đồng Áp dụng yêu cầu 5.1 TCVN ISO/1EC17021-1 5.2 Quản lý tính khách quan Áp dụng yêu cầu 5.2 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 5.2.1 IS 5.2 Xung đột lợi ích Tổ chức chứng nhận thực cơng việc sau mà khơng bị coi tư vấn có xung đột tiềm ẩn lợi ích: a) bố trí tham gia giảng viên khóa đào tạo, với điều kiện khóa học phải liên quan đến quản lý an tồn thơng tin, hệ thống quản lý liên quan tổ chức đánh giá, chứng nhận phải tự hạn chế cung cấp thông tin chung tư vấn công bố rộng rãi, nghĩa họ không cung cấp tư vấn cụ thể cho công ty trái với yêu cầu b) đây; b) cung cấp ban hành thơng tin theo u cầu mơ tả giải thích tổ chức chứng nhận yêu cầu tiêu chuẩn đánh giá chứng nhận (xem 9.1.3.6); c) hoạt động trước đánh giá nhằm mục đích xác định sẵn sàng đánh giá chứng nhận; nhiên, hoạt động không dẫn đến việc đưa khuyến nghị tư vấn trái với quy định điều này, tổ chức chứng nhận phải xác nhận hoạt động không trái với yêu cầu chúng không sử dụng để chứng minh việc giảm thời gian đánh giá chứng nhận cuối cùng; d) thực đánh giá bên thứ hai thứ ba theo tiêu chuẩn quy định khác với tiêu chuẩn quy định thuộc phạm vi công nhận; e) tăng giá trị trình đánh giá chứng nhận giám sát, ví dụ cách xác định hội cải tiến, chúng trở nên rõ ràng trình đánh giá, mà không cần đề xuất giải pháp cụ thể Tổ chức chứng nhận không cung cấp xem xét an tồn thơng tin nội ISMS chứng nhận khách hàng Hơn nữa, tổ chức chứng nhận phải độc lập với tổ chức tổ chức (bao gồm cá nhân) cung cấp đánh giá nội ISMS 5.3 Trách nhiệm pháp lý tài Áp dụng yêu cầu 5.3 TCVN ISO/IEC 17021-1 Yêu cầu cấu Áp dụng yêu cầu Điều TCVN ISO/IEC 17021-1 Yêu cầu nguồn lực 7.1 Năng lực nhân Áp dụng yêu cầu 7.1 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 7.1.1 IS 7.1.1 Lưu ý chung 7.1.1.1 Yêu cầu lực chung Tổ chức chứng nhận phải đảm bảo có kiến thức phát triển công nghệ, pháp lý quy định liên quan đến ISMS khách hàng mà tổ chức đánh giá Tổ chức chứng nhận phải xác định yêu cầu lực chức chứng nhận Bảng A.1 TCVN ISO/IEC 17201-1 Tổ chức chứng nhận phải xem xét tất yêu cầu quy định TCVN ISO/IEC 17021-1; 7.1.2 7.2.1 tiêu chuẩn liên quan đến lĩnh vực kỹ thuật ISMS tổ chức xác định CHÚ THÍCH: Phụ lục A tóm tắt yêu cầu lực nhân tham gia vào chức chứng nhận cụ thể 7.1.2 IS 7.1.2 Xác định chuẩn mực lực 7.1.2.1 Yêu cầu lực đánh giá ISMS 7.1.2.1.1 Yêu cầu chung Các tổ chức chứng nhận phải có chuẩn mực để xác minh trình độ kinh nghiệm, đào tạo đặc biệt thông tin ngắn gọn thành viên đoàn đánh giá để đảm bảo tối thiểu: a) kiến thức an tồn thơng tin; b) kiến thức kỹ thuật hoạt động đánh giá; c) kiến thức hệ thống quản lý; d) kiến thức ngun tắc đánh giá; CHÚ THÍCH: Thơng tin chi tiết nguyên tắc đánh giá tìm thấy TCVN ISO 19011 e) kiến thức giám sát, đo lường, phân tích đánh giá ISMS Những yêu cầu từ a) đến e) áp dụng tất chuyên gia đánh giá thuộc đồn đánh giá, trừ u cầu b) áp dụng cho chuyên gia đánh giá đồn đánh giá Đồn đánh giá phải có lực truy xuất dấu hiệu cố an toàn thông tin ISMS khách hàng thành phần riêng biệt ISMS Đồn đánh giá phải có kinh nghiệm làm việc phù hợp nội dung ứng dụng thực tế nội dung (điều khơng có nghĩa tất chuyên gia đánh giá phải có đầy đủ kinh nghiệm tất lĩnh vực an toàn thơng tin, tồn đồn đánh giá phải đủ lực kinh nghiệm cho toàn phạm vi ISMS đánh giá) 7.1.2.1.2 Thuật ngữ, nguyên tắc, thực hành kỹ thuật quản lý an tồn thơng tin Nhìn chung, tất thành viên đồn đánh giá phải có kiến thức về: a) cấu trúc, hệ thống phân cấp mối tương quan tài liệu ISMS; b) công cụ, phương pháp, kỹ thuật ứng dụng liên quan chúng đến quản lý hệ thống an tồn thơng tin; c) đánh giá quản lý rủi ro an tồn thơng tin; d) quy trình áp dụng cho ISMS; e) cơng nghệ mà an tồn thơng tin liên quan vấn đề tranh luận Mọi chuyên gia đánh giá phải đáp ứng chuẩn mực a, c d 7.1.2.1.3 Tiêu chuẩn văn quy định hệ thống quản lý an toàn thông tin Các chuyên gia đánh giá tham gia việc đánh giá ISMS phải có kiến thức về: a) tất yêu cầu TCVN ISO/IEC 27001 Nhìn chung, tất thành viên đoàn đánh giá phải có kiến thức về: b) tất biện pháp kiểm soát TCVN ISO/IEC 27002 (nếu xác định cần thiết từ tiêu chuẩn lĩnh vực cụ thể) việc triển khai chúng, phân loại sau: 1) sách an tồn thơng tin; 2) tổ chức đảm bảo an tồn thơng tin; 3) đảm bảo an toàn từ nguồn nhân lực; 4) quản lý tài sản; 5) kiểm soát truy cập, bao gồm việc xác thực; 6) mật mã hóa; 7) an tồn vật lý mơi trường; 8) an tồn vận hành, bao gồm dịch vụ IT; 9) an toàn trao đổi thơng tin, bao gồm quản lý an tồn mạng chuyển giao thông tin; 10) tiếp nhận, phát triển trì hệ thống; 11) mối quan hệ với nhà cung cấp, bao gồm dịch vụ thuê ngoài; 12) quản lý cố an tồn thơng tin; 13) khía cạnh an tồn thơng tin quản lý liên tục hoạt động nghiệp vụ, bao gồm dự phòng; 14) tuân thủ, bao gồm xem xét an tồn thơng tin 7.1.2.1.4 Thực hành quản lý nghiệp vụ Các chuyên gia đánh giá tham gia đánh giá ISMS phải có kiến thức về; a) thực hành tốt an tồn thơng tin theo ngành nghề thủ tục an tồn thơng tin; b) sách yêu cầu nghiệp vụ an tồn thơng tin; c) khái niệm, thực hành quản lý nghiệp vụ chung, mối tương quan sách, mục tiêu kết quả; d) quy trình quản lý thuật ngữ liên quan CHÚ THÍCH: Các quy trình cịn bao gồm quy trình quản lý nguồn nhân lực, trao đổi thông tin nội bên ngồi quy trình hỗ trợ có liên quan khác 7.1.2.1.5 Lĩnh vực nghiệp vụ khách hàng Các chuyên gia đánh giá đánh giá ISMS phải có kiến thức về; a) yêu cầu pháp lý quy định lĩnh vực an toàn thông tin cụ thể, địa lý (các) phạm vi quyền hạn; CHÚ THÍCH: Kiến thức yêu cầu pháp lý quy định khơng có nghĩa kiến thức pháp lý chuyên sâu b) rủi ro an tồn thơng tin có liên quan đến lĩnh vực nghiệp vụ; c) thuật ngữ chung, quy trình cơng nghệ liên quan đến lĩnh vực nghiệp vụ khách hàng; d) thực hành liên quan đến lĩnh vực nghiệp vụ Chuẩn mực a) chuẩn mực chung cho đoàn đánh giá 7.1.2.1.6 Sản phẩm, quy trình tổ chức khách hàng Nhìn chung, chuyên gia đánh giá tham gia việc đánh giá ISMS phải có kiến thức về: a) tác động loại hình tổ chức, quy mơ, quản trị, cấu trúc, chức mối quan hệ tới phát triển triển khai hệ thống ISMS hoạt động chứng nhận, bao gồm thuê ngoài; b) vận hành phức hợp theo góc nhìn rộng; c) yêu cầu pháp lý quy định áp dụng sản phẩm dịch vụ 7.1.2.2 Yêu cầu lực trưởng đoàn đánh giá ISMS Ngoài yêu cầu 7.1.2.1, trưởng đoàn đánh giá phải đáp ứng đủ yêu cầu sau đây, điều phải chứng minh đánh giá có hướng dẫn giám sát: a) có kiến thức kỹ quản lý quy trình đánh giá chứng nhận đoàn đánh giá; b) chứng minh khả truyền đạt hiệu quả, nói viết 7.1.2.3 Yêu cầu lực thực xem xét ứng dụng 7.1.2.3.1 Tiêu chuẩn văn quy định hệ thống quản lý an tồn thơng tin Người thực xem xét ứng dụng để xác định lực đoàn đánh giá yêu cầu, lựa chọn thành viên đoàn đánh giá xác định thời gian đánh giá phải có kiến thức về: a) tiêu chuẩn văn quy định khác liên quan đến ISMS sử dụng quy trình chứng nhận 7.1.2.3.2 Lĩnh vực nghiệp vụ khách hàng Người thực xem xét ứng dụng để xác định lực cần thiết đoàn đánh giá, lựa chọn thành viên đoàn đánh giá xác định thời gian đánh giá phải có kiến thức về: b) thuật ngữ chung, quy trình, cơng nghệ rủi ro liên quan đến lĩnh vực nghiệp vụ khách hàng 7.1.2.3.3 Sản phẩm, quy trình tổ chức khách hàng Người thực xem xét ứng dụng để xác định lực cần thiết đoàn đánh giá, lựa chọn thành viên đoàn đánh giá xác định thời gian đánh giá phải có kiến thức về: a) sản phẩm, quy trình, loại hình tổ chức, quy mô, quản trị, cấu trúc, chức mối quan hệ khách hàng việc phát triển triển khai hệ thống ISMS hoạt động chứng nhận, bao gồm chức th khốn ngồi 7.1.2.4 Yêu cầu lực xem xét báo cáo đánh giá định chứng nhận 7.1.2.4.1 Tổng quan Người xem xét báo cáo đánh giá định chứng nhận phải có kiến thức cho phép họ xác minh hợp lý phạm vi chứng nhận thay đổi phạm vi ảnh hưởng chúng đến hiệu việc đánh giá, đặc biệt tính hiệu lực liên tục việc xác định điểm tương giao, phụ thuộc rủi ro liên quan Ngoài ra, người xem xét báo cáo đánh giá định chứng nhận phải có kiến thức về: a) hệ thống quản lý nói chung; b) quy trình thủ tục đánh giá; c) nguyên tắc, thực hành kỹ thuật đánh giá 7.1.2.4.2 Thuật ngữ, nguyên tắc, thực hành kỹ thuật quản lý an tồn thơng tin Người xem xét báo cáo đánh giá đánh giá định chứng nhận phải có kiến thức về: a) danh mục liệt kê 7.1.2.1.2 a), c) d); b) yêu cầu pháp lý quy định liên quan đến an tồn thơng tin 7.1.2.4.3 Tiêu chuẩn văn quy định hệ thống quản lý an tồn thơng tin Người xem xét báo cáo đánh giá đánh giá định chứng nhận phải có kiến thức về: a) tiêu chuẩn văn quy định khác liên quan đến ISMS sử dụng quy trình chứng nhận 7.1.2.4.4 Lĩnh vực nghiệp vụ khách hàng Người xem xét báo cáo đánh giá định chứng nhận phải có kiến thức về: b) thuật ngữ chung rủi ro có liên quan đến thực hành liên quan đến lĩnh vực nghiệp vụ khách hàng 7.1.2.4.5 Sản phẩm, quy trình tổ chức khách hàng Người xem xét báo cáo đánh giá định cấp giấy chứng nhận phải có kiến thức về: a) sản phẩm, quy trình, loại hình tổ chức, quy mô, quản trị, cấu trúc, chức mối quan hệ khách hàng 7.2 Nhân tham gia vào hoạt động chứng nhận Áp dụng yêu cầu 7.2 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 7.2.1 IS 7.2 Chứng minh kiến thức kinh nghiệm chuyên gia đánh giá Tổ chức chứng nhận phải chứng minh chuyên gia đánh giá có kiến thức kinh nghiệm thông qua: a) cấp công nhận ISMS; b) đăng ký chuyên gia đánh giá, có; c) tham gia khóa đào tạo ISMS đạt chứng cá nhân có liên quan; d) hồ sơ cập nhật phát triển chuyên môn; e) xem xét ISMS chứng kiến chuyên gia đánh giá ISMS khác 7.2.1.1 Lựa chọn chuyên gia đánh giá Ngoài chuẩn mực 7.1.2.1, chuẩn mực để lựa chọn chuyên gia đánh giá phải đảm bảo chuyên gia đánh giá phải: a) đào tạo chuyên nghiệp đào tạo cấp độ đào tạo đại học tương đương: b) có tối thiểu năm kinh nghiệm làm việc thực tế cơng nghệ thơng tin, tối thiểu năm vai trò chức liên quan đến an tồn thơng tin; c) hồn thành tốt tối thiểu ngày đào tạo với chủ đề đánh giá ISMS quản lý đánh giá; d) có kinh nghiệm tồn quy trình đánh giá an tồn thông tin trước đảm nhận thực trách nhiệm chuyên gia đánh giá Kinh nghiệm phải có tham gia tối thiểu bốn đánh giá chứng nhận ISMS, bao gồm đánh giá tái chứng nhận đánh giá giám sát, với tổng số tối thiểu 20 ngày có nhiều ngày tham gia đánh giá giám sát việc tham gia phải bao gồm xem xét tài liệu đánh giá rủi ro, đánh giá thực thi báo cáo đánh giá; e) có kinh nghiệm phù hợp thực tế; f) có kiến thức kỹ an tồn thơng tin đánh giá cập nhật thông qua phát triển chuyên môn liên tục; Các chuyên gia kỹ thuật phải tuân thủ chuẩn mực a), b) e) 7.2.1.2 Lựa chọn trưởng đoàn đánh giá Ngoài chuẩn mực 7.1.2.2 7.2.1.1, chuẩn mực lựa chọn trưởng đoàn đánh giá phải đảm bảo chuyên gia đánh giá này: a) chủ động tham gia tất giai đoạn đánh giá ISMS Việc tham gia phải bao gồm lập phạm vi kế hoạch lần đầu, xem xét tài liệu đánh giá rủi ro, đánh giá thực thi báo cáo đánh giá thức 7.3 Sử dụng chuyên gia đánh giá chuyên gia kỹ thuật bên với tư cách cá nhân Áp dụng yêu cầu 7.3 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 7.3.1 IS 7.3 Sử dụng chuyên gia đánh giá chuyên gia kỹ thuật bên ngồi nhóm đánh giá Chun gia kỹ thuật phải làm việc giám sát chuyên gia đánh giá Các yêu cầu tối thiểu chuyên gia kỹ thuật liệt kê mục 7.2.1.1 7.4 Hồ sơ nhân Áp dụng yêu cầu 7.4 TCVN ISO/IEC 17021-1 7.5 Thuê Áp dụng yêu cầu 7.5 TCVN ISO/IEC 17021-1 Yêu cầu thông tin 8.1 Thông tin công khai Áp dụng yêu cầu 8.1 TCVN ISO/IEC 17021-1 8.2 Tài liệu chứng nhận Áp dụng yêu cầu 8.2 TCVN ISO/IEC17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 8.2.1 IS 8.2 Tài liệu chứng nhận ISMS Các tài liệu chứng nhận phải ký người định chịu trách nhiệm Các phiên thông báo áp dụng phải bao gồm tài liệu chứng nhận CHÚ THÍCH Sự thay đổi thơng báo áp dụng mà không làm thay đổi phạm vi biện pháp kiểm soát phạm vi chứng nhận khơng u cầu cập nhật tài liệu chứng nhận Việc xác định (các) tiêu chuẩn lĩnh vực cụ thể sử dụng bao gồm tài liệu chứng nhận 8.3 Viện dẫn chứng nhận sử dụng dấu Áp dụng yêu cầu 8.3 TCVN ISO/IEC 17021-1 8.4 Bảo mật Áp dụng yêu cầu 8.4 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 8.4.1 IS 8.4 Truy cập hồ sơ tổ chức Trước đánh giá chứng nhận, tổ chức chứng nhận phải yêu cầu khách hàng báo cáo xem có thơng tin liên quan đến ISMS (ví dụ hồ sơ ISMS thông tin thiết kế hiệu biện pháp kiểm sốt) khơng thể đưa cho nhóm đánh giá xem xét chúng có chứa thơng tin bí mật nhạy cảm.Tổ chức chứng nhận phải xác định xem liệu ISMS đánh giá đầy đủ khơng khơng có thơng tin Nếu tổ chức chứng nhận kết luận ISMS đánh giá đầy đủ không xem xét thơng tin bí mật nhạy cảm họ phải thơng báo cho khách hàng đánh giá chứng nhận thực đạt thỏa thuận thích hợp truy cập 8.5 Trao đổi thông tin tổ chức chứng nhận khách hàng Áp dụng yêu cầu 8.5 TCVN ISO/IEC 17021-1 Yêu cầu trình 9.1 Hoạt động trước chứng nhận 9.1.1 Đăng ký Áp dụng yêu cầu 9.1.1 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 9.1.1.1 IS 9.1.1 Sự sẵn sàng đăng ký Tổ chức chứng nhận phải yêu cầu khách hàng phải có ISMS lập tài liệu triển khai tuân theo TCVN ISO/IEC 27001 tài liệu khác yêu cầu cho chứng nhận 9.1.2 Xem xét đăng ký Áp dụng yêu cầu 9.1.2 TCVN ISO/IEC 17021-1 9.1.3 Chương trình đánh giá Áp dụng yêu cầu 9.1.3 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 9.1.3.1 IS 9.1.3 Tổng quan Chương trình đánh giá đánh giá ISMS phải xem xét kiểm sốt an tồn thơng tin 9.1.3.2 IS 9.1.3 Phương pháp luận đánh giá Các thủ tục tổ chức chứng nhận không giả định trước cách thức triển khai cụ thể ISMS định dạng cụ thể tài liệu hồ sơ Các thủ tục chứng nhận phải tập trung vào việc xác minh ISMS khách hàng đáp ứng yêu cầu TCVN ISO/IEC 27001 sách, mục tiêu khách hàng CHÚ THÍCH: Hướng dẫn thêm đánh giá có ISO/IEC 27007 9.1.3.3 IS 9.1.3 Chuẩn bị chung cho đánh giá lần đầu Tổ chức chứng nhận phải yêu cầu khách hàng thực tất thỏa thuận cần thiết để truy cập vào báo cáo đánh giá nội báo cáo xem xét độc lập an tồn thơng tin Ít thông tin sau phải khách hàng cung cấp giai đoạn chứng nhận đánh giá: a) thông tin chung liên quan đến ISMS toàn hoạt động ISMS; b) tài liệu ISMS theo yêu cầu TCVN ISO/IEC 27001 và, cần tài liệu liên quan 9.1.3.4 IS 9.1.3 Giai đoạn đánh giá Tổ chức chứng nhận khơng chứng nhận ISMS trừ vận hành qua xem xét lãnh đạo đánh giá ISMS nội theo phạm vi chứng nhận 9.1.3.5 IS 9.1.3 Phạm vi chứng nhận Đoàn đánh giá phải đánh giá ISMS khách hàng phạm vi xác định tất yêu cầu chứng nhận áp dụng Tổ chức chứng nhận phải xác nhận phạm vi ISMS khách hàng, khách hàng giải yêu cầu quy định 4.3 TCVN ISO/IEC 27001 Tổ chức chứng nhận phải đảm bảo việc đánh giá rủi ro xử lý rủi ro an tồn thơng tin khách hàng phản ánh hoạt động họ mở rộng ranh giới hoạt động họ xác định phạm vi chứng nhận Tổ chức chứng nhận phải xác nhận điều phản ánh phạm vi ISMS tuyên bố áp dụng khách hàng Tổ chức chứng nhận phải xác nhận có Tuyên bố áp dụng phạm vi chứng nhận Tổ chức chứng nhận phải đảm bảo điểm tương giao với dịch vụ hoạt động không nằm phạm vi ISMS đề cập đối tượng ISMS chứng nhận đưa vào đánh giá rủi ro an tồn thơng tin khách hàng Một ví dụ cho tình việc dùng chung phương tiện (ví dụ hệ thống IT, sở liệu hệ thống viễn thơng th ngồi chức nghiệp vụ) với tổ chức khác 9.1.3.6 IS 9.1.3 Chuẩn mực đánh giá chứng nhận Chuẩn mực để đánh giá ISMS khách hàng phải tiêu chuẩn ISMS TCVN ISO/IEC 27001 Các tài liệu khác yêu cầu cho chứng nhận liên quan đến chức thực 9.1.4 Xác định thời gian đánh giá Áp dụng yêu cầu 9.1.4 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 9.1.4.1 IS 9.1.4 Thời gian đánh giá Tổ chức chứng nhận phải cho phép chuyên gia đánh giá có đủ thời gian để thực tất hoạt động liên quan đến đánh giá lần đầu, đánh giá giám sát đánh giá chứng nhận lại Việc tính toán thời gian chứng nhận phải bao gồm đủ thời gian cho báo cáo đánh giá Tổ chức chứng nhận phải sử dụng Phụ lục B để xác định thời gian đánh giá CHÚ THÍCH: Hướng dẫn thêm ví dụ tính tốn thời gian đánh giá cung cấp Phụ lục C 9.1.5 Lấy mẫu nhiều địa điểm Áp dụng yêu cầu 9.1.5 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 9.1.5.1 IS 9.1.5 Các địa điểm lấy mẫu 9.1.5.1.1 Trường hợp tổ chức khách hàng có nhiều địa điểm đạt chuẩn mực từ a) đến c) đây, tổ chức chứng nhận xem xét sử dụng phương pháp tiếp cận theo mẫu để đánh giá chứng nhận nhiều địa điểm; a) tất địa điểm hoạt động ISMS, quản lý đánh giá tập trung chịu xem xét lãnh đạo tập trung b) tất địa điểm nằm chương trình đánh giá ISMS nội khách hàng: c) tất địa điểm nằm chương trình xem xét quản lý ISMS khách hàng 9.1.5.1.2 Tổ chức chứng nhận có nhu cầu sử dụng phương pháp tiếp cận theo mẫu phải có thủ tục để đảm bảo điều sau đây: a) xem xét hợp đồng lần đầu xác định, mức cao có thể, khác biệt địa điểm cho mức độ lấy mẫu phù hợp xác định b) nhiều địa điểm đại diện lấy mẫu tổ chức chứng nhận, cần để ý tới: 1) kết đánh giá nội cho trụ sở địa điểm; 2) kết xem xét lãnh đạo; 3) thay đổi quy mô địa điểm; 4) thay đổi mục đích nghiệp vụ địa điểm; 5) tính phức tạp hệ thống thông tin địa điểm khác nhau; 6) thay đổi thực tiễn công việc; 7) thay đổi hoạt động thực hiện; 8) thay đổi thiết kế vận hành biện pháp kiểm soát; 9) tương tác tiềm ẩn với hệ thống thông tin quan trọng hệ thống xử lý thông tin nhạy cảm; 10) yêu cầu pháp lý khác nhau; 11) khía cạnh địa lý văn hóa; 12) tình trạng rủi ro địa điểm; 13) cố an tồn thơng tin địa điểm cụ thể c) Một mẫu đại diện chọn từ tất địa điểm phạm vi ISMS khách hàng; lựa chọn phải chọn lựa theo phán đoán thể yếu tố mục b) yếu tố ngẫu nhiên d) Mọi địa điểm ISMS chịu rủi ro lớn đánh giá tổ chức chứng nhận trước chứng nhận e) Chương trình đánh giá thiết kế theo yêu cầu nêu có đủ mẫu đại diện phạm vi chứng nhận ISMS khoảng thời gian ba năm f) Trong trường hợp quan sát thấy có khơng phù hợp trụ sở địa điểm đơn lẻ thủ tục hành động khắc phục áp dụng cho trụ sở tất địa điểm thuộc chứng nhận Cuộc đánh giá phải giải hoạt động trụ sở khách hàng để đảm bảo ISMS áp dụng cho tất địa điểm cung cấp quản lý tập trung cấp độ vận hành Cuộc đánh giá phải giải tất vấn đề nêu 9.1.6 Nhiều hệ thống quản lý Áp dụng yêu cầu 9.1.6 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 9.1.6.1 IS 9.1.6 Tích hợp tài liệu ISMS với tài liệu cho hệ thống quản lý khác Tổ chức chứng nhận chấp nhận tài liệu kết hợp (ví dụ, an tồn thơng tin, chất lượng, sức khỏe, an tồn mơi trường) miễn ISMS xác định rõ ràng với điểm tương giao thích hợp với hệ thống khác 9.1.6.1 IS 9.1.6 Kết hợp đánh giá hệ thống quản lý Đánh giá ISMS kết hợp với đánh giá hệ thống khác, với điều kiện phải chứng minh đánh giá ISMS đáp ứng tất yêu cầu chứng nhận ISMS Tất yếu tố quan trọng ISMS phải thể rõ ràng dễ nhận biết báo cáo đánh giá Chất lượng đánh giá không bị ảnh hưởng bất lợi việc kết hợp đánh giá 9.2 Hoạch định đánh giá 9.2.1 Xác định mục tiêu, phạm vi chuẩn mực đánh giá Áp dụng yêu cầu 9.2.1 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 9.2.1.1 IS 9.2.1 Mục tiêu đánh giá Các mục tiêu đánh giá phải bao gồm xác định hiệu hệ thống quản lý nhằm đảm bảo dựa đánh giá rủi ro, khách hàng triển khai biện pháp kiểm soát phù hợp đạt mục tiêu an tồn thơng tin xác lập 9.2.2 Lựa chọn định đoàn đánh giá Áp dụng yêu cầu 9.2.2 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 9.2.2.1 IS 9.2.2 Đoàn đánh giá Đoàn đánh giá phải định thức cung cấp tài liệu làm việc thích hợp Nhiệm vụ cho đồn đánh giá phải xác định rõ ràng đưa cho khách hàng Đồn đánh giá gồm người đáp ứng tất chuẩn mực đặt 7.1.2.1 9.2.2.1 IS 9.2.2 Năng lực đoàn đánh giá Áp dụng yêu cầu liệt kê 7.1.2 Đối với hoạt động đánh giá giám sát đánh giá đặc biệt, áp dụng yêu cầu liên quan tới hoạt động giám sát hoạch định hoạt động đánh giá đặc biệt Khi lựa chọn quản lý đoàn đánh giá định cho đánh giá chứng nhận cụ thể, tổ chức chứng nhận phải đảm bảo lực vị trí phù hợp Đồn đánh giá phải: a) có kiến thức kỹ thuật thích hợp hoạt động cụ thể phạm vi ISMS chứng nhận và, có thể, thủ tục liên quan tiềm ẩn rủi ro an tồn thơng tin tiềm ẩn (chun gia kỹ thuật đáp ứng yêu cầu này) b) có hiểu biết khách hàng đủ để tiến hành đánh giá chứng nhận tin cậy ISMS họ theo phạm vi ISMS bối cảnh tổ chức việc quản lý khía cạnh an tồn thơng tin hoạt động, sản phẩm dịch vụ họ c) có hiểu biết yêu cầu pháp lý quy định áp dụng cho ISMS khách hàng CHÚ THÍCH: Hiểu biết không bao hàm kiến thức sâu sắc pháp lý 9.2.3 Kế hoạch đánh giá Áp dụng yêu cầu 9.2.3 TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng yêu cầu hướng dẫn sau 9.2.3.1 IS 9.2.3 Tổng quan Kế hoạch đánh giá đánh giá ISMS phải xem xét biện pháp kiểm sốt an tồn thơng tin xác định 9.2.3.2 IS 9.2.3 Các kỹ thuật đánh giá có mạng hỗ trợ mục đưa Bảng C.3 tổng hợp kết Bước 3: Dựa kết bước trên, xác định tác động yếu tố lên thời gian đánh giá việc lựa chọn mục thích hợp Bảng C.4 Bước 4: Tính tốn cuối cùng: số lượng ngày xác định cách áp dụng bảng thời gian đánh giá (Bảng B.1) nhân với yếu tố có từ bước Trường hợp lấy mẫu đa điểm sử dụng số ngày đánh giá tính toán tăng lên dựa nỗ lực cần để thực kế hoạch lấy mẫu đa điểm Kết kết cuối số lượng ngày đánh giá Bảng C.2 - Các yếu tố liên quan đến nghiệp vụ tổ chức (trừ IT) Hạng mục Cấp độ Tổ chức làm việc ngành nghề nghiệp vụ không quan trọng ngành nghề khơng quy định a (Các) loại hình nghiệp Tổ chức có khách hàng thuộc ngành nghề nghiệp vụ quan vụ yêu cầu chế định trọnga Tổ chức làm việc ngành nghề nghiệp vụ quan trọng a Các quy trình chuẩn hóa với cơng việc chuẩn hóa có tính lặp: nhiều người làm việc kiểm soát tổ chức thực công việc tương tự; số sản phẩm dịch vụ Các quy trình chuẩn hóa khơng lặp lại, với số lượng lớn Quy trình cơng việc sản phẩm dịch vụ Các quy trình phức tạp, số lượng lớn sản phẩm dịch vụ, nhiều đơn vị nghiệp vụ thuộc phạm vi chứng nhận (ISMS gồm quy trình có độ phức tạp cao có số lượng hoạt động tương đối lớn nhất) ISMS thiết lập tốt và/hoặc có hệ thống quản lý khác Mức thiết lập MS Một số thành phần hệ thống quản lý khác triển khai, ngồi khơng Khơng có hệ thống quản lý khác triển khai, ISMS hoàn toàn chưa thiết lập Bảng C.3 - Các yếu tố liên quan đến môi trường IT Hạng mục Cấp độ Nền tảng IT, máy chủ, hệ điều hành, sở liệu, mạng, Ít chuẩn hóa cao Độ phức tạp sở Một vài tảng IT, máy chủ, hệ điều hành, sở liệu, mạng hạ tầng IT khác Nhiều tảng IT, máy chủ, hệ điều hành, sở liệu, mạng khác Rất khơng phụ thuộc vào th ngồi nhà cung cấp Sự phụ thuộc vào thuê Phụ thuộc chút vào thuê nhà cung cấp, liên quan nhà cung cấp, đến số tất hoạt động nghiệp vụ quan bao gồm dịch vụ trọng điện tốn đám mây Phụ thuộc nhiều vào th ngồi nhà cung cấp, tác động lớn đến hoạt động nghiệp vụ quan trọng Phát triển hệ thống thông tin Không hạn chế phát triển hệ thống/ứng dụng nội Một vài phát triển hệ thống/ứng dụng nội thuê cho mục đích nghiệp vụ quan trọng Phát triển sâu rộng hệ thống/ứng dụng nội thuê cho mục đích nghiệp vụ quan trọng Bảng C.4 - Tác động yếu tố lên thời gian đánh giá Độ phức tạp IT Đ ộ p h ứ c t p c ủ a I T Đ ộ p h ứ c t p c ủ a I T Đ ộ p h ứ c t p c ủ a I T Đ ộ p h ứ c t p c ủ a I T Đ ộ p h ứ c t p c ủ a I T Đ ộ p h ứ c t p c ủ a I T Đ ộ p h ứ c t p c ủ a I T Đ ộ p h ứ c t p c ủ a I T Đ ộ p h ứ c t p c ủ a I T Thấp (từ đến 4) C Thấp (từ đến Trung a 4)Trung bình (từ bình (từ o đến 6) đến 6)Cao (từ ( t 7 đến 9) đ ế n ) +5% đến +5% đến +20% +20% +10% đến +50% + +10% đến +50%+20% đến 100% % đ ế n 0 % Cao (từ đến 9) + % Độ phức tạp nghiệp vụ -5% đến -5% đến -10%0% -10% 0%+10% đến +50% đ ế n + % Trung bình (từ đến 6) -10% đến -30% + -10% đến -30%- -5% đến -10%+5% đến 5% đến -10% -10% % đ ế n % Thấp (từ đến 4) VÍ DỤ Tổ chức đánh giá có 700 nhân viên, theo Bảng B.1, cần 17,5 ngày để đánh giá lần đầu Tổ chức không làm việc ngành nghề nghiệp vụ quan trọng, công việc chuẩn hóa cao có tính lặp, ISMS vừa thiết lập Theo Bảng C.2, điều làm phát sinh yếu tố liên quan đến nghiệp vụ tổ chức + + = Tổ chức có tảng IT sở liệu sử dụng thuê chủ yếu Tổ chức không phát triển hệ thống thông tin thuê Theo Bảng C.3, điều làm phát sinh yếu tố liên quan đến môi trường IT + + = Sử dụng Bảng C.4 cho thấy không cần điều chỉnh thời gian đánh giá VÍ DỤ Tổ chức có đặc điểm tương tự ví dụ trước ngoại trừ có số hệ thống quản lý ISMS thiết lập tốt Điều làm thay đổi việc tính tốn theo Bảng C.2 + + = Theo Bảng C.4, phải giảm thời gian đánh giá từ 5% đến 10%, tức thời gian đánh giá phải giảm từ đến 1,5 ngày Kết cuối cùng, tổng số ngày 16 đến 16,5 ngày Phụ lục D (Tham khảo) Hướng dẫn xem xét biện pháp kiểm soát triển khai theo phụ lục A ISO/IEC 27001:2013 D.1 Mục đích Việc triển khai biện pháp kiểm soát khách hàng xác định cần thiết cho ISMS (theo Thông báo áp dụng) cần xem xét giai đoạn đánh giá lần đầu hoạt động giám sát chứng nhận lại (xem 9.3.1.2.2 g) Bằng chứng đánh tổ chức chứng nhận thu thập phải đầy đủ để đưa kết luận tính hiệu biện pháp kiểm soát Cách thức mà biện pháp kiểm sốt dự kiến thực xác định sách thủ tục khách hàng D.1.1 Bằng chứng đánh giá Bằng chứng đánh giá có chất lượng tốt thu thập từ việc quan sát chuyên gia đánh giá (ví dụ, thấy cửa có khóa khóa, người ta ký thỏa thuận bảo mật, có sổ đăng ký tài sản sổ có tên tài sản quan sát thấy, thiết lập hệ thống phù hợp, ) Bằng chứng thu thập từ việc nhìn thấy kết kết thực biện pháp kiểm sốt (ví dụ, in quyền truy cập cấp ký người có thẩm quyền phù hợp, hồ sơ giải cố, thẩm quyền xử lý ký người có thẩm quyền phù hợp, biên họp, ) Bằng chứng kết việc thử nghiệm trực tiếp (hoặc thực lại) biện pháp kiểm sốt chun gia đánh giá, ví dụ cố gắng thực nhiệm vụ cho bị cấm biện pháp kiểm soát, xác định xem phần mềm bảo vệ chống lại mã độc cài đặt cập nhật máy, quyền truy cập cấp (sau kiểm tra quyền hạn), Bằng chứng thu cách vấn người làm việc kiểm soát tổ chức/các nhà thầu quy trình biện pháp kiểm sốt xác định xem điều có với thực tế D.2 Cách sử dụng bảng D.1 D.2.1 Tổng quan Bảng D.1 cung cấp hướng dẫn xem xét việc triển khai biện pháp kiểm soát liệt kê Phụ lục A ISO/IEC 27001:2013, thu thập chứng đánh giá kết thực chúng đánh giá lần đầu đánh giá Bảng D.1 khơng nhằm mục đích đưa hướng dẫn xem xét biện pháp kiểm soát khác nằm phụ lục A ISO/IEC 27001:2013 D.2.2 Cột "Biện pháp kiểm soát tổ chức" "Biện pháp kiểm soát kỹ thuật" Dấu "X” cột tương ứng cho biết biện pháp kiểm soát tổ chức hay kỹ thuật Với số biện pháp kiểm soát tổ chức kỹ thuật dấu “X” nằm hai cột Bằng chứng hiệu suất biện pháp kiểm sốt thu thập thông qua việc xem xét hồ sơ kết thực biện pháp kiểm soát, vấn, việc quan sát kiểm tra thực tế Bằng chứng hiệu suất biện pháp kiểm sốt kỹ thuật thường thu thập thông qua kiểm thử hệ thống (xem bên dưới) thông qua sử dụng dụng cụ đánh giá/báo cáo chuyên dụng D.2.3 Cột "Kiểm thử hệ thống" "Kiểm thử hệ thống" có nghĩa xem xét trực tiếp hệ thống thơng tin (ví dụ, xem xét cài đặt cấu hình hệ thống) Các câu hỏi chuyên gia đánh giá trả lời phần điều khiển hệ thống cách đánh giá kết công cụ kiểm thử Nếu chuyên gia đánh giá biết khách hàng có sử dụng cơng cụ cài máy tính điều sử dụng để hỗ trợ đánh giá, kết đánh giá thực khách hàng (hoặc nhà thầu họ) xem xét Trong bảng đưa hai dạng xem xét biện pháp kiểm soát kỹ thuật: - “có thể”: kiểm thử hệ thống thực để đánh giá việc triển khai biện pháp kiểm sốt, khơng cần thiết đánh giá ISMS - “khuyến nghị”: kiểm thử hệ thống thường cần thiết đánh giá ISMS CHÚ THÍCH: Trong phụ lục này, từ “hệ thống” có nghĩa “hệ thống thơng tin” trừ có dẫn khác D.2.4 Cột “Kiểm tra trực quan” “Kiểm tra trực quan” có nghĩa biện pháp kiểm soát thường yêu cầu kiểm tra mắt để đánh giá hiệu chúng Điều có nghĩa chưa đủ để phải xem xét tài liệu tương ứng giấy thông qua vấn; chuyên gia đánh giá cần xác minh chúng triển khai D.2.5 Cột “hướng dẫn xem xét đánh giá” Cột “hướng dẫn xem xét đánh giá” đưa lĩnh vực trọng tâm để đánh giá biện pháp kiểm soát, hướng dẫn bổ sung cho chuyên gia đánh giá Bảng D.1 - Phân loại biện pháp kiểm soát Biện Biện Kiểm pháp pháp Kiểm Biện pháp kiểm soát Phụ lục tra kiểm kiểm thử hệ A ISO/IEC 27001:2013 trực soát soát thống quan tổ chức kỹ thuật Hướng dẫn xem xét đánh giá A.5 Chính sách an tồn thơng tin A.5.1 Định hướng quản lý an tồn thơng tin A.5.1.1 Chính sách an tồn thơng tin X A.5.1.2 Xem xét sách an tồn thơng tin X A.6 Tổ chức an tồn thơng tin A.6.1 Tổ chức nội A.6.1.1 Vai trò trách nhiệm an tồn thơng tin X A.6.1.2 Phân chia nhiệm vụ X A.6.1.3 Liên hệ với quan có thẩm quyền X A.1.6.4 Liên hệ với nhóm quan tâm đặc biệt X A.1.6.5 An tồn thơng tin quản lý dự án X A.6.2 Thiết bị di động làm việc từ xa A.6.2.1 Chính sách thiết bị di động X X Kiểm tra thêm việc triển khai sách, A.6.2.2 Làm việc từ xa X X Kiểm tra thêm việc triển khai sách, A.7 An toàn nguồn nhân lực A.7.1 Trước tuyển dụng A.7.1.1 Sàng lọc X A.7.1.2 Điều khoản điều kiện tuyển dụng X A.7.2 Trong thời gian làm việc A.7.2.1 Trách nhiệm lãnh đạo X A.7.2.2 Nhận thức, giáo dục đào tạo an tồn thơng tin X A.7.2.3 Xử lý kỷ luật X A.7.3 Chấm dứt thay đổi công việc X A.7.3.1 Trách nhiệm chấm dứt thay đổi công việc X Hỏi nhân viên xem họ có nhận thức điều cụ thể mà họ cần phải biết không A.8 Quản lý tài sản A.8.1 Trách nhiệm tài sản X A.8.1.1 Kiểm kê tài sản X A.8.1.2 Quyền sở hữu tài sản X A.8.1.3 Sử dụng tài sản hợp lý X A.8.1.4 Trả lại tài sản X Xác định tài sản A.8.2 Phân loại thông tin X Kiểm tra thêm việc triển khai sách, A.8.2.2 Gán nhãn thông tin X Đặt tên: thư mục, tập tin, báo in, phương tiện ghi (băng, đĩa, CD), thông điệp điện tử truyền tải tập tin A.8.2.3 Xử lý tài sản X A.8.2.1 Các loại thông tin A.8.3 Xử lý phương tiện truyền thông A.8.3.1 Quản lý phương tiện di động X A.8.3.2 Loại bỏ phương tiện truyền thông X A.8.3.3 Chuyển giao phương tiện vật lý X Bảo vệ vật lý X Kiểm tra thêm việc triển khai sách, X Có thể X Quy trình loại bỏ A.9 Kiểm sốt truy cập A.9.1 u cầu nghiệp vụ kiểm sốt truy cập A.9.1.1 Chính sách kiểm soát truy cập A.9.1.2 Truy cập mạng dịch vụ mạng Kiểm tra thêm việc triển khai sách, X A.9.2 Quản lý truy cập người dùng A.9.2.1 Đăng ký xóa đăng ký người dùng X A.9.2.2 Cung cấp truy cập người dùng X X Lấy mẫu người làm việc kiểm soát tổ chức/nhà thầu cấp phép tất quyền truy cập vào tất hệ thống A.9.2.3 Quản lý đặc quyền truy cập X X Có thể chuyển nội nhân viên A.9.2.4 Quản lý thơng tin xác thực bí mật người dùng X A.9.2.5 Xem xét quyền truy cập người dùng X X Có thể A.9.2.6 Loại bỏ điều chỉnh quyền truy cập X A.9.3 Trách nhiệm người dùng A.9.3.1 Sử dụng thơng tin xác thực bí mật Xác minh hướng dẫn/chính sách chỗ người dùng X A.9.4 Kiểm soát truy cập hệ thống ứng dụng A.9.4.1 Hạn chế truy cập thông tin X X Khuyến nghị A.9.4.2 Thủ tục đăng nhập an toàn X X Khuyến nghị A.9.4.3 Hệ thống quản lý mật X X Khuyến nghị A.9.4.4 Sử dụng chương trình tiện ích đặc quyền X X Khuyến nghị A.9.4.5 Kiểm sốt truy cập tới mã nguồn chương trình X X Khuyến nghị A.10 Mật mã hóa A.10.1 Kiểm sốt mật mã hóa A.10.1.1 Chính sách sử dụng kiểm sốt mật mã X A.10.1.2 Quản lý khóa X A.11 An tồn vật lý mơi trường A.11.1 Khu vực an tồn Kiểm tra thêm việc triển khai sách, X Khuyến nghị Kiểm tra thêm việc triển khai sách, A.11.1.1 Vành đai an tồn vật lý X A.11.1.2 Kiểm sốt cổng truy cập vật lý X A.11.1.3 Bảo vệ văn phòng, phòng làm việc vật dụng X X A.11.1.4 Bảo vệ chống lại mối đe dọa từ bên ngồi mơi trường X X A.11.1.5 Làm việc khu vực an toàn X X A.11.1.6 Khu vực phân phối chuyển hàng X X A.11.2.1 Bố trí bảo vệ thiết bị X X A.11.2.2 Tiện ích hỗ trợ X A.11.2.3 An toàn cho dây cáp X A.11.2.4 Bảo dưỡng thiết bị X A.11.2.5 Di dời tài sản X A.11.2.6 An toàn cho thiết bị tài sản bên ngồi X X Có thể A.11.2.7 An tồn loại bỏ tái sử dụng thiết bị X X Có thể X X Lưu trữ hồ sơ truy cập A.11.2 Thiết bị A.11.2.8 Thiết bị người dùng khơng sử dụng X A.11.2.9 Chính sách hình bàn làm việc X X Có thể X X Hồ sơ tài sản di dời Mã hóa thiết bị di động X Xóa ổ đĩa, mã hóa ổ đĩa Kiểm tra hướng dẫn/chính sách chỗ người sử dụng X Kiểm tra thêm việc triển khai sách, A.12 An tồn vận hành A.12.1 Quy trình trách nhiệm vận hành X A.12.1.1 Quy trình vận hành lập tài liệu X A.12.1.2 Quản lý thay đổi X X Khuyến nghị A.12.1.3 Quản lý lực X X Có thể A.12.1.4 Phân tách môi trường phát triển, kiểm thử vận hành X X Có thể A.12.2 Bảo vệ khỏi phần mềm độc hại A.12.2.1 Kiểm soát phần mềm độc hại A.12.3 Sao lưu X X Khuyến nghị Cấu hình tính hồn thiện phạm vi bảo vệ phần mềm kiểm soát phần mềm độc hại X X Khuyến nghị Xem xét sách, kiểm thử khơi phục A.12.4.1 Ghi nhật ký kiện X X Có thể Lựa chọn rủi ro kiện đăng nhập A.12.4.2 Bảo vệ thông tin nhật ký X X Có thể A.12.4.3 Nhật ký người điều hành người quản trị X X Có thể X Có thể X Có thể A.12.3.1 Sao lưu thơng tin A.12.4 Ghi nhật ký giám sát A.12.4.4 Đồng thời gian A.12.5 Kiểm soát phần mềm quản trị A.12.5.1 Cài đặt phần mềm hệ điều hành X A.12.6 Quản lý điểm yếu kỹ thuật Quản lý vá theo rủi ro củng cố hệ điều hành, sở liệu ứng dụng A.12.6.1 Quản lý điểm yếu kỹ thuật X X Khuyến nghị A.12.6.2 Hạn chế việc cài đặt phần mềm X X Có thể X Có thể Quản lý mạng Khuyến nghị SLA, cung cấp an tồn thơng tin cho dịch vụ mạng (ví dụ, VPN, kiểm sốt kết nối định tuyến mạng, cấu hình thiết bị mạng) Có thể Các sơ đồ mạng, phân đoạn mạng (ví dụ, DMZ) phân tách (ví dụ, VLAN) A.12.7 Xem xét việc đánh giá hệ thống thông tin A.12.7.1 Biện pháp kiểm sốt đánh giá hệ thống thơng tin X A.13 An tồn trao đổi thơng tin A.13.1 Quản lý an tồn mạng A.13.1.1 Kiểm sốt mạng A.13.1.2 An toàn cho dịch vụ mạng A.13.1.3 Phân tách mạng X X X X X A.13.2 Chuyển giao thông tin A.13.2.1 Chính sách thủ tục chuyển giao thơng tin X A.13.2.2 Thỏa thuận chuyển giao thông tin X Kiểm tra thêm việc triển khai sách, A.13.2.3 Thơng điệp điện tử X A.13.2.4 Thỏa thuận bảo mật không tiết lộ X X Xác nhận thơng điệp mẫu có phù hợp với sách thủ tục khơng Có thể Xem xét hợp đồng A.14 Tiếp nhận, phát triển trì hệ thống thơng tin A.14.1 u cầu đảm bảo an tồn cho hệ thống thơng tin A.14.1.1 Phân tích đặc tả yêu cầu an toàn X A.14.1.2 Đảm bảo an toàn cho dịch vụ ứng dụng mạng công cộng X X Khuyến nghị Thiết kế dịch vụ ứng dụng theo rủi ro A.14.1.3 Bảo vệ giao dịch dịch vụ ứng dụng X X Khuyến nghị Tính bí mật, tồn vẹn, chống chối bỏ A.14.2 Bảo đảm an toàn quy trình hỗ trợ phát triển A.14.2.1 Đảm bảo an tồn cho sách phát triển X A.14.2.2 Thủ tục kiểm soát thay đổi hệ thống X A.14.2.3 Xem xét kỹ thuật ứng dụng sau thay đổi tảng điều hành X A.14.2.4 Hạn chế thay đổi gói phần mềm X A.14.2.5 Nguyên tắc kỹ thuật cho an tồn hệ thống X A.14.2.6 Mơi trường phát triển an toàn X A.14.2.7 Phát triển hệ thống th ngồi X A.14.2.8 Kiểm thử tính an tồn hệ thống X A.14.2.9 Kiểm thử chấp nhận hệ thống Kiểm tra thêm việc triển khai sách, X Khuyến nghị X Có thể X X Có thể X X Có thể A.14.3 Dữ liệu kiểm thử A.14.3.1 Bảo vệ liệu kiểm thử X A.15 Mối quan hệ với nhà cung cấp A.15.1 An tồn thơng tin mối quan hệ với nhà cung cấp A.15.1.1 Chính sách an tồn thơng tin cho mối quan hệ với nhà cung cấp X Kiểm tra thêm việc triển khai sách, A.15.1.2 Đảm bảo an toàn X Kiểm tra số thỏa thuận với nhà cung cấp A.15.1.3 Chuỗi cung ứng công nghệ thông tin trao đổi thông tin điều kiện hợp đồng Kiểm tra số điều kiện hợp đồng X A.15.2 Quản lý cung cấp dịch vụ nhà cung cấp A.15.2.1 Giám sát xem xét dịch vụ nhà cung cấp X A.15.2.2 Quản lý thay đổi dịch vụ nhà cung cấp X A.16 Quản lý cố an tồn thơng A.16.1 Quản lý cố an tồn thơng tin cải tiến A.16.1.1 Các trách nhiệm thủ tục X A.16.1.2 Báo cáo kiện an tồn thơng tin X A.16.1.3 Báo cáo điểm yếu an tồn thơng tin X A.16.1.4 Đánh giá định kiện an tồn thơng tin X A.16.1.5 Ứng phó với cố an tồn thông tin X A.16.1.6 Rút học kinh nghiệp từ cố an tồn thơng tin X A.16.1.7 Thu thập chứng X A.17 Các khía cạnh an tồn thông tin quản lý liên tục hoạt động nghiệp vụ Biên xem xét lãnh đạo A.17.1 Tính liên tục an tồn thơng tin A.17.1.1 Xây dựng kế hoạch tính liên tục an tồn thơng tin X A.17.1.2 Triển khai tính liên tục an tồn thông tin X A.17.1.3 Xác nhận, xem xét đánh giá tính liên tục an tồn thơng tin X A.17.2 Dự phịng A.17.2.1 Tính sẵn sàng phương tiện xử lý thơng tin X X Có thể A.18 Sự tuân thủ A.18.1 Sự tuân thủ theo yêu cầu pháp lý hợp đồng A.18.1.1 Xác định yêu cầu pháp lý hợp đồng hành X A.18.1.2 Quyền sở hữu trí tuệ (IPR) X A.18.1.3 Bảo vệ hồ sơ X Khuyến nghị X Khuyến nghị A.18.1.4 Sự riêng tư việc bảo vệ thông tin định danh cá nhân X A.18.1.5 Quy định quản lý mã hóa X Kiểm tra thêm việc triển khai sách, A.18.2 Xem xét an tồn thơng tin A.18.2.1 Xem xét độc lập an tồn thơng tin X A.18.2.2 Sự tuân thủ sách tiêu chuẩn an toàn X A.18.2.3 Xem xét tương thích kỹ thuật X Đọc báo cáo X Thư mục tài liệu tham khảo [1] TCVN IS019011, Hướng dẫn đánh giá hệ thống quản lý [2] ISO/IEC 27007, Information technology - Security techniques - Guidelines for information security management systems auditing [3] TCVN ISO 9001, Hệ thống quản lý chất lượng - Các yêu cầu MỤC LỤC Lời nói đầu Lời giới thiệu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Nguyên tắc Yêu cầu chung 5.1 Các vấn đề pháp lý hợp đồng 5.2 Quản lý tính khách quan 5.3 Trách nhiệm pháp lý tài Yêu cầu cấu Yêu cầu nguồn lực 7.1 Năng lực nhân 7.2 Nhân tham gia vào hoạt động chứng nhận 7.3 Sử dụng chuyên gia đánh giá chuyên gia kỹ thuật bên với tư cách cá nhân 7.4 Hồ sơ nhân 7.5 Th ngồi u cầu thơng tin Yêu cầu trình 9.1 Hoạt động trước chứng nhận 9.2 Hoạch định đánh giá 9.3 Chứng nhận lần đầu 9.4 Tiến hành đánh giá 9.5 Quyết định chứng nhận 9.6 Duy trì chứng nhận 9.7 Yêu cầu xem xét lại 9.8 Khiếu nại 9.9 Hồ sơ khách hàng 10 Yêu cầu hệ thống quản lý tổ chức chứng nhận 10.1 Các lựa chọn 10.2 Lựa chọn A - Yêu cầu chung hệ thống quản lý 10.3 Lựa chọn B - Yêu cầu hệ thống quản lý theo TCVN ISO 9001 Phụ lục A (Tham khảo) Kiến thức kỹ đánh giá chứng nhận ISMS Phụ lục B (Quy định) Thời gian đánh giá Phụ lục C (Tham khảo) Các phương pháp tính tốn thời gian đánh giá Phụ lục D (Tham khảo) Hướng dẫn xem xét biện pháp kiểm soát triển khai theo phụ lục A ISO/IEC 27001:2013 Thư mục tài liệu tham khảo ... nhận lại Tổng thời gian dành để thực đánh giá chứng nhận lại phải phụ thuộc vào kết đánh giá trước xác định 9.4.3 tiêu chuẩn 9.6.3 tiêu chuẩn TCVN ISO/IEC 17021-1 Lượng thời gian dành cho đánh... lý tài Áp dụng yêu cầu 5.3 TCVN ISO/IEC 17021-1 Yêu cầu cấu Áp dụng yêu cầu Điều TCVN ISO/IEC 17021-1 Yêu cầu nguồn lực 7.1 Năng lực nhân Áp dụng yêu cầu 7.1 TCVN ISO/IEC 17021-1 Ngoài ra, áp... định yêu cầu lực chức chứng nhận Bảng A.1 TCVN ISO/IEC 17201-1 Tổ chức chứng nhận phải xem xét tất yêu cầu quy định TCVN ISO/IEC 17021-1; 7.1.2 7.2.1 tiêu chuẩn liên quan đến lĩnh vực kỹ thuật ISMS