Đang tải... (xem toàn văn)
Tiêu chuẩn TCVN ISO/IEC 27015:2017 cung cấp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) cho việc khởi tạo, triển khai, duy trì, và cải tiến vấn đề an toàn thông tin trong các tổ chức cung cấp dịch vụ tài chính.
TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27015:2017 ISO/IEC TR 27015:2012 CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - HƯỚNG DẪN QUẢN LÝ AN TỒN THƠNG TIN CHO DỊCH VỤ TÀI CHÍNH Information technology - Security techniques - Information security management guidelines for financial services Lời nói đầu TCVN ISO/IEC 27015:2017 hoàn toàn tương đương ISO/IEC TR 27015:2012 TCVN ISO/IEC 27015:2017 Học viện Cơng nghệ Bưu Viễn thông biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố Lời giới thiệu Sự phát triển không ngừng công nghệ thông tin đem đến tin cậy ngày tăng tổ chức cung cấp dịch vụ tài vào tài sản xử lý thơng tin họ Vì vậy, lãnh đạo, khách hàng nhà quản lý có kỳ vọng ngày cao việc bảo vệ an tồn thơng tin hiệu cho tài sản thông tin xử lý TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) đề cập đến việc quản lý biện pháp kiểm sốt an tồn thơng tin Các tổ chức cung cấp dịch vụ tài có nhu cầu an tồn thơng tin riêng ràng buộc việc tổ chức thực giao dịch tài với đối tác kinh doanh, điều đòi hỏi mức độ tin cậy cao bên liên quan tham gia vào giao dịch Tiêu chuẩn cung cấp hướng dẫn bổ sung cho tổ chức cung cấp dịch vụ tài Cụ thể là, tiêu chuẩn cung cấp hướng dẫn bổ sung bên cạnh biện pháp kiểm sốt an tồn thơng tin đưa TCVN ISO/IEC 27002:2011 Thuật ngữ “dịch vụ tài chính” cần hiểu dịch vụ liên quan tới việc quản lý, đầu tư, chuyển nhượng, cho vay vốn cung cấp tổ chức tài Bên cạnh việc triển khai TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011, sử dụng tiêu chuẩn tổ chức cung cấp dịch vụ tài đạt mức độ tin cậy cao khách hàng đối tác kinh doanh, đặc biệt chứng minh họ sử dụng hướng dẫn chuyên ngành việc quản lý an tồn thơng tin Tiêu chuẩn khơng dành cho mục đích chứng nhận CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - HƯỚNG DẪN QUẢN LÝ AN TỒN THƠNG TIN CHO DỊCH VỤ TÀI CHÍNH Information technology - Security techniques - Information security management guidelines for financial Services Phạm vi áp dụng Tiêu chuẩn cung cấp thêm hướng dẫn an tồn thơng tin bổ sung biện pháp kiểm sốt an tồn thơng tin đưa tiêu chuẩn TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) cho việc khởi tạo, triển khai, trì, cải tiến vấn đề an tồn thơng tin tổ chức cung cấp dịch vụ tài Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi (nếu có) ISO/IEC 27000:2009, Information technology - Security Techniques - Information security management systems - Overview and vocabulary Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng) 1) Thuật ngữ, định nghĩa thuật ngữ viết tắt 3.1 Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa nêu tiêu chuẩn ISO/IEC 27000:2009 với thuật ngữ định nghĩa sau 3.1.1 Dịch vụ tài (financial services) Các dịch vụ liên quan tới việc quản lý, đầu tư, chuyển nhượng, cho vay vốn 3.2 Ký hiệu thuật ngữ viết tắt ATM Automatic Teller Machines Máy rút tiền tự động COBIT Control Objectives for Information Technology Các mục tiêu kiểm sốt cơng nghệ thơng tin OTP One-Time Password Mật sử dụng lần PCI-DSS Payment Card Industry - Data Security Standard Chuẩn bảo mật liệu cho thẻ toán POS Point Of Sale Máy chấp nhận toán thẻ SST Self Service Terminal Thiết bị đầu cuối tự phục vụ Cấu trúc tiêu chuẩn Tiêu chuẩn cung cấp thêm hướng dẫn an tồn thơng tin bổ sung biện pháp kiểm sốt an tồn thơng tin đưa tiêu chuẩn TCVN ISO/IEC 27002:2011 từ điều đến điều 15 Chính sách an tồn thơng tin Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài Tổ chức đảm bảo an tồn thơng tin 6.1 Tổ chức nội 6.1.1 Cam kết lãnh đạp đảm bảo an toàn thơng tin Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 6.1.2 Phối hợp bảo đảm an tồn thơng tin Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 6.1.3 Phân định trách nhiệm đảm bảo an tồn thơng tin Áp dụng biện pháp kiểm sốt 5.1.3 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau Hướng dẫn triển khai Tổ chức cung cấp dịch vụ tài cần xem xét vấn đề định nghĩa yêu cầu vai trò trách nhiệm bảo đảm an tồn thơng tin, khuyến nghị tuyên bố luật pháp quy định áp dụng cho tổ chức khuôn khổ ngành nghề Tổ chức cung cấp dịch vụ tài cần ý tới việc đảm bảo triển khai nội yêu cầu khuyến nghị liên quan đến vấn đề định nghĩa vai trò trách nhiệm đảm bảo an tồn thơng tin tun bố đối tác quốc tế Dưới số ví dụ quy định thường áp dụng tổ chức cung cấp dịch vụ tài Những quy định cung cấp thông tin việc phân bổ vai trị trách nhiệm đảm bảo an tồn thông tin: a) PCI-DSS [1]: PCI 12.5: Được giao trách nhiệm quản lý an tồn thơng tin b) COBIT [2]: 4.0 Định rõ tổ chức công nghệ thông tin mối quan hệ 4.4 Các vai trò trách nhiệm 4.6 Trách nhiệm việc đảm bảo an toàn vật lý logic Vai trị trách nhiệm đảm bảo an tồn thơng tin phân định cần xem xét thường xuyên để đảm bảo phù hợp với thay đổi yêu cầu khuyến nghị tuyên bố luật pháp, quy định, khuôn khổ ngành nghề đối tác 6.1.4 Quy trình cấp phép cho phương tiện xử lý thơng tin Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 6.1.5 Các thỏa thuận bảo mật Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 6.1.6 Liên lạc với quan/tổ chức có thẩm quyền Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 6.1.7 Liên lạc với nhóm chun gia Áp dụng biện pháp kiểm sốt 5.1.7 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Bên cạnh hướng dẫn tiêu chuẩn TCVN ISO/IEC 27002:2011, thành viên nhóm diễn đàn có quan tâm đặc biệt cần cân nhắc kênh để: a) bí mật chia sẻ trao đổi thông tin hoạt động gian lận tội phạm mạng xảy thời gian gần 6.1.8 Xem xét độc lập an tồn thơng tin Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 6.2 Các bên tham gia bên 6.2.1 Xác định rủi ro liên quan đến bên tham gia bên ngồi Áp dụng biện pháp kiểm sốt 5.2.1 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Bên cạnh hướng dẫn tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cung cấp dịch vụ tài cần xem xét vấn đề sau xác định rủi ro liên quan tới truy cập tổ chức bên ngoài: a) Các yêu cầu pháp lý quy định, với cam kết hợp đồng áp dụng bên tham gia bên ngồi có trụ sở nước ngồi cam kết hợp đồng dẫn tới tiết lộ thông tin khách hàng thông tin tài với bên thứ ba (ví dụ tổ chức mẹ, tổ chức liên kết, quan công quyền) Vấn đề gây lỗ hổng bảo mật nghiêm trọng với việc tiết lộ trái phép thông tin 6.2.2 Giải an toàn làm việc với khách hàng Áp dụng biện pháp kiểm soát 5.2.2 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Bên cạnh hướng dẫn tiêu chuẩn TCVN ISO/IEC 27002:2011, nguyên tắc sau cần xem xét để giải an toàn giao dịch với khách hàng: a) Tổ chức cần đưa dẫn an tồn thơng tin để nâng cao nhận thức khách hàng mối đe dọa (như Trojan, lừa đảo trực tuyến, gọi giả mạo) chúng đem đến rủi ro an tồn thơng tin cho họ Chỉ dẫn cần hướng tới nhu cầu khách hàng mức nhu cầu trao đổi kỹ thuật hợp lý cần lựa chọn để đảm bảo nâng cao nhận thức có hiệu khách hàng Tổ chức cần thường xuyên xem xét dẫn an tồn thơng tin cung cấp cho khách hàng nhằm đảm bảo tính đầy đủ phù hợp với hồ sơ rủi ro tổ chức, xử lý tốt mối đe dọa an tồn thơng tin Dưới ví dụ điển hình dẫn an tồn thơng tin: Áp dụng biện pháp kiểm sốt phù hợp (ví dụ: bảo vệ mật khẩu, chống virus) đảm bảo an tồn cho máy tính cá nhân thiết bị khác sử dụng để truy cập dịch vụ ngân hàng trực tuyến Không tiết lộ thông tin khách hàng thơng tin tài (ví dụ số thẻ tốn) khơng cần thiết trường hợp tồn vẹn thơng tin khách hàng nghi ngờ có vấn đề Cần đảm bảo an tồn hủy thẻ tốn hết hạn thẻ khơng sử dụng: Dưới số ví dụ khuyến nghị cung cấp cho khách hàng: a Cắt bỏ xác cách thẻ toán b Sử dụng máy cắt chuyên dụng cho việc phá hủy thẻ toán c Đảm bảo chắn phá hủy Chip giải từ thẻ toán d Sử dụng thùng rác đặt nơi khác để bỏ miếng cắt thẻ toán e Tránh vứt miếng thẻ bị cắt vào thùng tái chế, có nguy khơi phục lại thẻ trung tâm tái chế Khi thực hoạt động ngân hàng, cần có biện pháp bảo vệ để đảm bảo người khơng có quyền khơng nhìn thấy tiếp xúc với thơng tin xác thực người dùng, thông tin bảo mật khác hệ thống thông tin Áp dụng chế xác thực an toàn, sử dụng mật mạnh, mã PIN xác thực hai yếu tố hệ thống trang bị sẵn Tránh sử dụng mật giống để truy cập vào dịch vụ ngân hàng cung cấp tổ chức ngân hàng khác Tránh sử dụng mã PIN giống cho tất thẻ toán Nhắc nhở khách hàng rằng, tổ chức không thực việc thuyết phục để khách hàng cung cấp thông tin xác thực (ví dụ mật khẩu, mã PIN) Thông báo cho khách hàng việc phải thường xuyên theo dõi giao dịch số dư tài khoản 10 Cần thông báo kịp thời cho khách hàng bước cần thiết phải thực phát tài khoản bị bị xâm hại Để giảm thiểu nguy trở thành mục tiêu công bọn tội phạm gian lận, tổ chức nên thường xuyên so sánh dẫn cho khách hàng với tổ chức loại khác với cộng đồng nhà cung cấp dịch vụ tài b) Tổ chức cần thơng báo cho khách hàng: Đầu mối chuyên tiếp nhận khiếu nại, thắc mắc an tồn thơng tin, vấn đề khác liên quan tới dịch vụ tài tổ chức Các hành động cần thực thông tin xác thực người dùng họ bị xâm hại (ví dụ mật khẩu, mã PIN), chí khách hàng người gây lỗi Cách thức báo cáo kiện bất thường truy cập vào dịch vụ tài tổ chức c) Khi thiết lập hệ thống giao dịch trực tuyến (ví dụ ngân hàng trực tuyến) đến khách hàng, tổ chức cần cân nhắc vấn đề sau: Các điều khoản điều kiện sử dụng hệ thống giao dịch trực tuyến Cần đặc biệt lưu ý đến việc xác định thừa nhận pháp lý giao dịch thực Công khai, minh bạch vai trò trách nhiệm nghĩa vụ pháp lý tổ chức khách hàng Cơng khai, minh bạch giám sát tính riêng tư giám sát sử dụng, bao gồm giám sát gian lận hệ thống giao dịch trực tuyến thơng qua biện pháp bảo vệ lợi ích khách hàng tổ chức Giao quyền truy cập dựa nguyên tắc sau đây: a Hiểu khách hàng: nguyên tắc nhà quản lý sử dụng để bày tỏ quan điểm họ với quan tài Những quan điểm xuất phát từ nhìn nhận, hiểu biết hoạt động khách hàng b Cần biết: nguyên tắc giới hạn quyền truy cập thông tin tài nguyên mức cần thiết vừa đủ để thực hoạt động liên quan đến việc xử lý thơng tin c Kiểm sốt kép: ngun tắc q trình trì tính tồn vẹn chống sai lệch chức yêu cầu hệ thống lưu (thuật toán, thời gian, tài nguyên, v.v ) hành động kết thúc giao dịch Thiết lập: a Các phương thức xác thực mạnh đối người dùng (ví dụ: thiết bị OTP, chữ ký số người dùng) b Các hệ thống xác minh nhằm đảm bảo tính hợp lệ ủy nhiệm người dùng thiết bị cần xác minh c Xác minh mức độ thừa nhận quan chứng thực Mỗi khách hàng gán định danh Cần có chế thông báo cho khách hàng cách tự động (thường xuyên, liên tục theo yêu cầu) toàn hoạt động họ Các thông tin khác Mặc dù khách hàng thuộc nhiều ngành nghề nhà cung cấp dịch vụ coi bên liên quan đến nghiệp vụ xét phương diện cung cấp dịch vụ tài chính, nhìn chung, tổ chức phải có nhiệm vụ đưa dẫn cho khách hàng biện pháp bảo vệ phù hợp Nếu xảy lỗ hổng mát tổ chức bị ảnh hưởng đến danh tiếng, uy tín vấn đề tài 6.2.3 Giải an toàn thỏa thuận với bên thứ ba Áp dụng biện pháp kiểm soát 5.2.3 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Bên cạnh hướng dẫn tiêu chuẩn TCVN ISO/IEC 27002:2011, vấn đề sau cần xem xét thỏa thuận với nhà cung ứng phạm vi thỏa thuận có liên quan đến dịch vụ tài tổ chức cung cấp: a) Đầu mối liên lạc ủy quyền để xử lý yêu cầu tổ chức b) Điều khoản quyền sở hữu hồ sơ thiết lập nhà cung ứng trình thực thỏa thuận với nhà cung ứng c) Thông báo kịp thời thay đổi an tồn thơng tin tài sản nhà cung ứng hỗ trợ dịch vụ tài tổ chức d) Đảm bảo thông tin tổ chức sẵn sàng cho nhà cung ứng xử lý hoàn toàn theo điều khoản điều kiện cụ thể hóa thỏa thuận e) Đảm bảo thay đổi nhà thầu phụ nơi lưu trữ thông tin xử lý tổ chức (ví dụ việc gia cơng nước ngồi) thơng báo cho tổ chức cần có chấp thuận trước tổ chức, đặc biệt có liên quan tới việc xử lý thơng tin tổ chức f) Đảm bảo cố phát sinh trình nhà cung ứng thực thỏa thuận báo cáo tới tổ chức cách kịp thời nhà cung ứng thực điều tra phù hợp g) Sự tham gia nhà cung ứng trường hợp xảy cố việc bất thường vượt giới hạn tổ chức đưa Cần đảm bảo phản ứng nhà cung ứng trường hợp giới hạn định, ví dụ để giám sát hủy bỏ giao dịch tài cung cấp vài tổ chức trường hợp có nghi ngờ tính hợp pháp giao dịch h) Quyền để: a đánh giá nhà thầu phụ mức độ tương đương nhà cung ứng: b Các nhà quản lý tổ chức truy cập thông tin hoạt động nhà cung ứng, nhà thầu phụ họ 7 Quản lý tài sản 7.1 Trách nhiệm tài sản 7.1.1 Kiểm kê tài sản Áp dụng biện pháp kiểm soát 6.1.1 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cần lưu ý đảm bảo rằng: a) Các tài sản cụ thể sử dụng để cung cấp dịch vụ tài chính, chẳng hạn thiết bị toán (ATM, SST, POS), thẻ tốn (ghi nợ, tín dụng, th bao trả trước) hệ thống liên ngân hàng lưu trữ chỗ cách xa kiểm kê tài sản b) Việc kiểm kê thẻ toán, bao gồm thông tin trạng thái thẻ (đã hết hiệu lực, bị thu hồi) tiến hành nhà cung ứng (ví dụ nhà cung cấp dịch vụ toán chấp nhận khoản toán thực với thẻ toán phát hành tổ chức đại diện tổ chức), phải xác nhằm tránh việc chi trả cho thẻ không hợp lệ 7.1.2 Quyền sở hữu tài sản Không có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 7.1.3 Sử dụng hợp lý tài sản Áp dụng biện pháp kiểm soát 6.1.3 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cung cấp dịch vụ tài cần đảm bảo có quy tắc xử lý hủy bỏ đồng phục hay vật gắn nhãn, bao gồm mẫu in sẵn để tránh bị sử dụng trái phép cho hoạt động gian lận hay tội phạm 7.2 Phân loại thơng tin Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài Đảm bảo an tồn thơng tin từ nguồn nhân lực 8.1 Trước tuyển dụng 8.1.1 Các vai trò trách nhiệm Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 8.1.2 Thẩm tra Áp dụng biện pháp kiểm soát 7.1.2 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cung cấp dịch vụ tài cần lưu ý bọn tội phạm có tổ chức cài người vào quy trình nghiệp vụ quan trọng Đặc biệt, cần cẩn thận chức định, ví dụ chức bên dưới, thông qua việc đảm bảo thực kiểm tra chi tiết hình lý lịch pháp luật cho phép: a) Tất nhân viên có quyền truy cập tới thơng tin khách hàng thơng tin tài (ví dụ: thẻ tốn, mật khẩu, mã PIN) b) Người quản trị hệ thống chịu trách nhiệm xử lý thông tin khách hàng thơng tin tài c) Người quản trị bảo mật chịu trách nhiệm quản lý khóa mật mã phục vụ cho mục đích sau: Truyền tải, lưu trữ thơng tin tài thơng tin khách hàng Xác thực giao dịch tài Mật khách hàng, mã PIN, quản lý xác thực hai yếu tố 8.1.3 Điều khoản điều kiện tuyển dụng Áp dụng biện pháp kiểm soát 7.1.3 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Các điều khoản điều kiện tuyển dụng cần phải kết hợp với sách nghỉ lễ áp dụng tổ chức nhân viên nhà cung ứng tham gia vào hoạt động tài nhạy cảm Xem biện pháp chống gian lận, sách nghỉ lễ cần đưa thời gian nghỉ làm tối thiểu (ví dụ, 10 ngày làm việc liên tục năm) để đảm bảo hoạt động tài nhạy cảm khơng phải lúc thực người 8.2 Trong thời gian làm việc 8.2.1 Trách nhiệm lãnh đạo Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 8.2.2 Nhận thức, giáo dục đào tạo an tồn thơng tin Áp dụng biện pháp kiểm soát 7.2.2 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cung cấp dịch vụ tài cần xem xét điều luật quy định áp dụng cho tổ chức, với công bố từ nhà quản lý, yêu cầu vấn đề cụ thể (chẳng hạn việc sử dụng điện thoại để phổ biến thơng tin tài thơng tin khách hàng, chương trình chống rửa tiền) giải hoạt động đào tạo nâng cao nhận thức an toàn cho tổ chức Việc nâng cao nhận thức an tồn thơng tin cần giải chủ đề cụ thể kỹ thuật công khai thác mang tính xã hội, lừa đảo nhắm vào yếu tố người, hướng công trực tuyến, hệ thống quẹt thẻ phần mềm độc hại 8.3 Chấm dứt thay đổi cơng việc Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài Đảm bảo an tồn vật lý mơi trường 9.1 Các khu vực an toàn 9.1.1 Vành đai an tồn vật lý Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 9.1.2 Kiểm sốt cổng truy cập vật lý Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 9.1.3 Bảo vệ văn phịng, phịng làm việc vật dụng Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 9.1.4 Bảo vệ chống lại mối đe dọa bên mơi trường Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 9.1.5 Làm việc khu vực an toàn Áp dụng biện pháp kiểm soát 7.2.2 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cần thận trọng để đảm bảo việc sử dụng thiết bị di động cần đặc biệt hạn chế khu vực xử lý nghiệp vụ trọng yếu, nơi xử lý sẵn có thơng tin khách hàng số thẻ toán Điều nhằm ngăn chặn việc ghi lại truyền trái phép thông tin 9.1.6 Các khu vực truy cập tự do, phân phối tập kết hàng Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 9.2 Đảm bảo an toàn trang thiết bị 9.2.1 Bố trí bảo vệ thiết bị Áp dụng biện pháp kiểm soát 8.2.1 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cung cấp dịch vụ tài cẩn thận trọng việc bảo vệ thiết bị tốn (ví dụ thiết bị ATM, SST, POS) đặt bên trụ sở tổ chức, thông tin khách hàng, thông tin tài tài sản vật chất khác trước nguy bị thay đổi trái phép, bị mở đánh cắp Các biện pháp đảm bảo an toàn triển khai cần phải bao gồm, ví dụ, xây dựng hệ thống bảo vệ kiên cố, chế tự động tiêu hủy, bảo vệ hệ thống cáp 9.2.2 Các tiện ích hỗ trợ Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 9.2.3 An tồn cho dây cáp Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 9.2.4 Bảo dưỡng thiết bị Áp dụng biện pháp kiểm soát 8.2.4 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Bên cạnh hướng dẫn tiêu chuẩn tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cần xem xét việc thiết lập kiểm soát kép để bảo trì thiết bị tốn (như ATM, SST, POS) 9.2.5 An toàn cho thiết bị hoạt động bên ngồi trụ sở tổ chức Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 9.2.6 An tồn loại bỏ tái sử dụng thiết bị Áp dụng biện pháp kiểm soát 8.2.6 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cần lưu ý thơng tin khách hàng, thơng tài lưu trữ thành phần nhớ (ATM, SST, đĩa cứng, nhớ POS) thiết bị toán phải bị hủy bỏ, xoá, ghi đè trước bị loại bỏ 9.2.7 Di rời tài sản Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài Quản lý truyền thơng vận hành 10.1 Các trách nhiệm thủ tục vận hành 10.1.1 Các thủ tục vận hành ghi thành văn Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.1.2 Quản lý thay đổi Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.1.3 Phân tách nhiệm vụ Áp dụng biện pháp kiểm soát 9.1.3 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Việc phân tách nhiệm vụ cần áp dụng phạm vi hệ thống giao dịch tài để đảm bảo khơng việc khởi tạo kiện (chẳng hạn giao dịch tài chính) tách khỏi việc xử lý việc ủy quyền giao dịch, mà khởi tạo cịn tách khỏi việc xác minh Tổ chức tối thiểu cần đảm bảo có kiểm sốt kép quản lý giao dịch tài chính, tức việc xử lý thơng tin tài giao dịch tài việc xác minh kết thực nhân viên khác quy trình tự động 10.1.4 Phân tách chức phát triển, kiểm thử vận hành Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.2 Quản lý chuyển giao dịch vụ bên thứ ba Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.3 Lập kế hoạch chấp nhận hệ thống 10.3.1 Quản lý lực hệ thống Áp dụng biện pháp kiểm soát 10.3.1 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Cần ý đảm bảo yêu cầu lực phải xác định cho tài sản triển khai tài sản dự kiến triển khai đây: a) Dịch vụ ngân hàng trực tuyến, sở xem xét yêu cầu nghiệp vụ sau: Số lượng giao dịch dự kiến Các khoảng thời gian giao dịch đột biến dự kiến, lượng giao dịch cao Số lượng khách hàng Tăng trưởng dự kiến số lượng khách hàng Đảm bảo tính sẵn sàng dịch vụ ngân hàng trực tuyến thời điểm có nhiều khách hàng truy cập b) Các thiết bị tốn (như ATM, SST, POS) xử lý thơng tin tài thơng tin khách hàng 10.3.2 Chấp nhận hệ thống Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.4 Bảo vệ chống lại mã độc hại mã di động 10.4.1 Quản lý chống lại mã độc hại Áp dụng biện pháp kiểm soát 9.4.1 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Các kiểm tra phần mềm phát mã độc phần mềm sửa chữa cần thực thiết bị tốn (như ATM, SST, POS) có xử thơng tin tài thơng tin khách hàng Những thiết bị thường coi bị ảnh hưởng mã độc 10.4.2 Quản lý mã di động Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.5 Sao lưu Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.6 Quản lý an tồn mạng Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.7 Xử lý phương tiện 10.7.1 Quản lý phương tiện di dời Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.7.2 Loại bỏ phương tiện Áp dụng biện pháp kiểm soát 9.7.2 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cần phải ý đảm bảo thủ tục loại bỏ cách an toàn thực toàn phương tiện xử lý thơng tin khách hàng thơng tin tài (thơng tin thẻ tốn, mật khách hàng, mã PIN) với tài sản cụ thể sử dụng để sản xuất thẻ toán, chẳng hạn dây băng 10.7.3 Các thủ tục xử lý thông tin Áp dụng biện pháp kiểm soát 9.7.3 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cần đảm bảo thủ tục xử lý thông tin giải việc xử lý, loại bỏ chứng từ, sổ ký quỹ, thẻ toán (thẻ ghi nợ, tín dụng, trả trước) giấy tờ khác 10.7.4 An toàn cho tài liệu hệ thống Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.8 Trao đổi thơng tin Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.9 Các dịch vụ thương mại điện tử 10.9.1 Thương mại điện tử Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.9.2 Các giao dịch trực tuyến Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.9.3 Thơng tin cơng khai Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.9.4 Dịch vụ ngân hàng trực tuyến Biện pháp kiểm soát Dịch vụ ngân hàng trực tuyến cần phải bảo vệ trước truy cập sửa đổi trái phép nhằm ngăn chặn việc tiết lộ trái phép thông tin khách hàng thông tin tài chính, đồng thời ngăn chặn giao dịch trái phép Hướng dẫn triển khai Tổ chức cần cân nhắc vấn đề an toàn sau để bảo vệ dịch vụ ngân hàng trực tuyến: a) Thông báo cho khách hàng sử dụng dịch vụ ngân hàng trực tuyến kênh phương tiện thông tin thiết lập từ trước Chẳng hạn kê tài khoản in sẵn giấy b) Những giới hạn tài phịng ngừa, ví dụ: giới hạn giao dịch liên ngân hàng, giới hạn tùy ý khác c) Các ủy nhiệm thư riêng người dùng cho chủ tài khoản kèm đặc quyền liên quan thể hiệu lực xác định ban đầu chữ ký d) Tiết lộ hạn chế thông tin khách hàng thơng tin tài chính, chẳng hạn định danh người dùng, tên số tài khoản, ngoại trừ cho mục đích nghiệp vụ hợp lệ hành động khách hàng thực e) Chấp thuận hành động khách hàng họ xem xét phiên giao dịch mà không xảy gián đoạn kết nối Nếu có gián đoạn kết nối phiên giao dịch người dùng yêu cầu xác thực người dùng cần áp dụng lại cho khách hàng có truy cập vào dịch vụ ngân hàng trực tuyến Các thông tin khác: Hệ thống thông tin lưu trữ giao diện web cho khách hàng việc sử dụng dịch vụ ngân hàng trực tuyến không cần phải lưu trữ, xử lý thông tin khách hàng thông tin tài để giảm bớt rủi ro trường hợp hệ thống bị thỏa hiệp 10.10 Giám sát 10.10.1 Ghi nhật ký đánh giá Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.10.2 Giám sát sử dụng hệ thống Áp dụng biện pháp kiểm soát 9.10.2 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Ngoài nội dung nêu TCVN ISO/IEC 27002:2011 hoạt động giám sát thiết bị cá nhân, cần xem xét nội dung sau: a) Các kiện bất thường liên quan đến thông tin khách hàng thơng tin tài chính, với giao dịch thực khách hàng, như: Các giao dịch bất thường (ví dụ: chuyển tiền vào tài khoản ngân hàng khơng rõ ràng nước ngồi) Các hành động người dùng thời gian sử dụng thông thường Các hành động người dùng thực với tốc độ bất thường nhằm dò tìm biện pháp ngăn chặn tự động Các hành động người dùng bỏ qua hoạt động thơng thường q trình giao dịch trực tuyến Phiên người dùng bị trùng lặp 10.10.3 Bảo vệ thơng tin nhật ký Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.10.4 Nhật ký người điều hành người quản trị Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.10.5 Ghi nhật ký lỗi Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 10.10.6 Đồng thời gian Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 11 Quản lý truy cập Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 12 Tiếp nhận, trì phát triển hệ thống thơng tin 12.1 u cầu đảm bảo an tồn cho hệ thống thơng tin 12.1.1 Phân tích đặc tả yêu cầu an tồn Áp dụng biện pháp kiểm sốt 12.1.1 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Khi thiết kế hệ thống giao dịch tài thực thay đổi hệ thống cũ, tổ chức cần xem xét yêu cầu an toàn sau: a) Bảo vệ thơng tin giao dịch tài tránh khỏi bị sửa chữa, giả mạo, thay địa phá hoại trái phép b) Khôi phục thông tin giao dịch tài trường hợp bị sửa chữa, giả mạo, thay địa phá hoại trái phép c) Tự động kiểm tra phù hợp khởi tạo, xử lý, truyền lưu trữ giao dịch tài d) Khả lưu vết gian lận giao dịch tài để tìm bên khởi tạo e) Xác thực: máy tự động (các máy trạm máy chủ) bên tham gia vào việc trao đổi giao dịch tài Các thơng điệp toán điện tử từ hai chiều f) Gửi thơng điệp tốn điện tử cho bên tham gia vào việc trao đổi giao dịch tài g) Đối chiếu thơng điệp tốn điện tử gửi tương ứng với thơng điệp tốn điện tử gửi đến xử lý toán liên ngân hàng h) Xác thực người dùng cho việc truy cập vào tham số nhạy cảm thực hành động nhạy cảm, kế toán kép, đối chiếu số liệu, thiết lập giới hạn giá trị hoạt động tài i) Phân tách nhiệm vụ tất luồng giao dịch chấp thuận giải ngân 12.2 Xử lý ứng dụng Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 12.3 Quản lý mã hóa 12.3.1 Chính sách sử dụng biện pháp kiểm sốt mã hóa Áp dụng biện pháp kiểm sốt 11.3.1 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Bên cạnh hướng dẫn tiêu chuẩn TCVN ISO/IEC 27002:2011, xây dựng sách mã hóa cần cân nhắc nội dung sau: a) Tổ chức cần áp dụng nguyên tắc chung để xem xét cách hệ thống áp dụng biện pháp kiểm sốt mã hóa thơng tin khách hàng thơng tin tài lưu trữ xử lý nhằm đảm bảo tính bí mật tính tồn vẹn b) Truy cập thơng tin dạng rõ áp dụng với mục đích nghiệp vụ hợp lệ phù hợp với yêu cầu luật pháp quy định áp dụng tổ chức c) Phương pháp luận phương pháp để thường xuyên đánh giá chất lượng độ mạnh thuật tốn mã hóa sử dụng biện pháp kiểm sốt mã hóa để phát sớm điểm yếu liên quan ngăn chặn việc sử dụng bất hợp pháp sử dụng khơng xác thuật tốn mã hóa, thơng qua việc thay đổi quản lý khóa mã hóa (ví dụ, việc tăng tần suất thay đổi cập nhật khố mã hóa) Tổ chức cần lưu ý xác định phân cơng vai trị trách nhiệm quản lý khóa mã hóa để đảm bảo người có trách nhiệm an tồn liên quan khơng có đặc quyền việc sử dụng khóa mã hóa khởi tạo Khóa mã hóa liên quan đến hệ thống giao dịch tài có xử lý lưu trữ thông tin khách hàng thông tin tài nên quản lý nhiều người có trách nhiệm an toàn, người nắm giữ phần hệ thống khóa 12.3.2 Quản lý khóa Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 12.4 An tồn cho tệp tin hệ thống 12.4.1 Quản lý phần mềm điều hành Áp dụng biện pháp kiểm soát 11.4.1 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Bên cạnh hướng dẫn tiêu chuẩn TCVN ISO/IEC 27002, khuyến nghị sau cần xem xét để giảm rủi ro sai hỏng hệ điều hành: a) Tính xác thực thay đổi nhà cung cấp ứng dụng phần mềm hệ điều hành thiết bị tốn (ví dụ: ATM, SST, POS) cần kiểm tra (thông qua chữ ký số, thuật toán hàm băm) trước kiểm thử rộng rãi 12.4.2 Bảo vệ liệu kiểm tra hệ thống Không có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 12.4.3 Quản lý truy cập đến mã nguồn chương trình Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 12.5 Đảm bảo an tồn quy trình hỗ trợ phát triển Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 12.6 Quản lý điểm yếu kỹ thuật Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 13 Quản lý cố an tồn thơng tin Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 14 Quản lý liên tục hoạt động nghiệp vụ 14.1 Các khía cạnh an tồn thơng tin quản lý liên tục hoạt động nghiệp vụ 14.1.1 Tính đến an tồn thơng tin q trình quản lý tính liên tục hoạt động nghiệp vụ Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 14.1.2 Đánh giá rủi ro liên tục hoạt động tổ chức Áp dụng biện pháp kiểm soát 13.1.2 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Khi đánh giá rủi ro đảm bảo hoạt động liên tục, tổ chức cần thận trọng việc xem xét phụ thuộc từ bên ngồi quy trình nghiệp vụ, ví dụ nguồn cung cấp về: a) Thơng tin tài đưa đối tác kinh doanh, nhà thầu nhà cung ứng b) Dịch vụ tài mua sắm (ví dụ: ngân hàng trực tuyến, xử lý thẻ, quản lý tiền mặt) 14.1.3 Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin Áp dụng biện pháp kiểm sốt 13.1.3 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Các kế hoạch liên tục nghiệp vụ tổ chức phát triển cần đưa phụ thuộc bên ngồi sau vào quy trình phục hồi khôi phục hoạt động nghiệp vụ: a) Thông tin tài đưa đối tác kinh doanh, nhà thầu nhà cung ứng b) Cần tính đến tình xấu dịch vụ tài mua sắm (ngân hàng trực tuyến, xử lý thẻ, quản lý tiền mặt) để đảm bảo tính liên tục dịch vụ trường hợp có gián đoạn ảnh hưởng đến hoạt động nhà cung ứng 14.1.4 Khung hoạch định hoạt động nghiệp vụ Không có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 14.1.5 Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động nghiệp vụ Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 15 Sự tuân thủ 15.1 Sự tuân thủ quy định pháp lý Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 15.2 Sự tuân thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật 15.2.1 Sự tn thủ tiêu chuẩn sách an tồn Khơng có hướng dẫn thêm cho tổ chức cung cấp dịch vụ tài 15.2.2 Kiểm tra tương thích kỹ thuật Áp dụng biện pháp kiểm soát 14.2.2 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Tổ chức cần thận trọng tiến hành kiểm tra tương thích kỹ thuật cách thường xuyên hệ thống giao dịch tài trực tuyến (ví dụ: ngân hàng trực tuyến), đặc biệt hệ thống sẵn sàng khách hàng chứa thơng tin tài thông tin khách hàng, nhằm đảm bảo chúng chúng triển khai phù hợp với điều luật quy định hành 15.2.3 Giám sát việc tuân thủ Biện pháp kiểm soát: Các tổ chức cần đảm bảo yêu cầu pháp lý, quy định hợp đồng liên quan kiểm tra định kỳ phạm vi quản lý an tồn thơng tin nhằm đảm bảo giám sát tuân thủ Hướng dẫn triển khai Quy trình giám sát tuân thủ cần xác định để thường xuyên đối chiếu yếu tố sau: a) Các yêu cầu pháp lý, quy định hợp đồng áp dụng cho an tồn thơng tin, b) Phạm vi quản lý an tồn thơng tin tổ chức, bao gồm mục tiêu kiểm soát, biện pháp kiểm sốt, sách, tiêu chuẩn an tồn yêu cầu an toàn khác thực tổ chức Việc đối chiếu cần thực thường xuyên để giải thay đổi pháp lý hành phạm vi quản lý an tồn thơng tin, ví dụ việc đánh giá, giảm thiểu rủi ro có thay đổi quan trọng xảy Tổ chức cần phải xác định xử lý trường hợp không tuân thủ quy định pháp lý Thư mục tài liệu tham khảo [1] Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures (version 1.2) [2] COBIT - Control Objectives for Information Technology - Version 4.1 - IT Governance Institute and Information Systems Audit and Control Association (ISACA) [3] TCVN 10541:2014 (ISO/IEC 27003:2010), Công nghệ thơng tin - Các kỹ thuật an tồn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin [4] TCVN 10542:2014 (ISO/IEC 27004:2009), Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an tồn thơng tin - Đo lường [5] TCVN 10295:2014 (ISO/IEC 27005:2011), Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý rủi ro an tồn thơng tin [6] ISO/TR 13569:2005, Financial services - Information security guidelines [7] ISO/IEC 24762:2008, Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services [8] ISO/IEC 27031:2011, Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity [9] TCVN 9801-1:2013 (ISO/IEC 27033-1:2009), Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng - Phần 1: Tổng quan khái niệm [10] ISO/IEC 27033-2:2012, Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security [11] TCVN 9801-3:2014 (ISO/IEC 27033-3:2010): Cơng nghệ thơng tin - Kỹ thuật an tồn - An toàn mạng - Phần 3: Các kịch kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát [12] TCVN 11239:2015 (ISO/IEC 27035:2011), Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý cố an tồn thơng tin [13] TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin - Các yêu cầu [14] TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005), Cơng nghệ thơng tin - Các kỹ thuật an tồn Quy tắc thực hành quản lý an tồn thơng tin MỤC LỤC Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ, định nghĩa thuật ngữ viết tắt 3.1 Thuật ngữ định nghĩa 3.2 Ký hiệu thuật ngữ viết tắt Cấu trúc tiêu chuẩn Chính sách an tồn thơng tin Tổ chức đảm bảo an tồn thơng tin 6.1 Tổ chức nội 6.1.1 Cam kết lãnh đạo đảm bảo an tồn thơng tin 6.1.2 Phối hợp bảo đảm an tồn thơng tin 6.1.3 Phân định trách nhiệm đảm bảo an tồn thơng tin 6.1.4 Quy trình cấp phép cho phương tiện xử lý thông tin 6.1.5 Các thỏa thuận bảo mật 6.1.6 Liên lạc với quan/tổ chức có thẩm quyền 6.1.7 Liên lạc với nhóm chuyên gia 6.1.8 Xem xét độc lập an toàn thơng tin 6.2 Các bên tham gia bên ngồi 6.2.1 Xác định rủi ro liên quan đến bên tham gia bên 6.2.2 Giải an toàn làm việc với khách hàng 6.2.3 Giải an toàn thỏa thuận với bên thứ ba Quản lý tài sản 7.1 Trách nhiệm tài sản 7.1.1 Kiểm kê tài sản 7.1.2 Quyền sở hữu tài sản 7.1.3 Sử dụng hợp lý tài sản 7.2 Phân loại thơng tin Đảm bảo an tồn thơng tin từ nguồn nhân lực 8.1 Trước tuyển dụng 8.1.1 Các vai trò trách nhiệm 8.1.2 Thẩm tra 8.1.3 Điều khoản điều kiện tuyển dụng 8.2 Trong thời gian làm việc 8.2.1 Trách nhiệm lãnh đạo 8.2.2 Nhận thức, giáo dục đào tạo an toàn thông tin 8.3 Chấm dứt thay đổi công việc Đảm bảo an tồn vật lý mơi trường 9.1 Các khu vực an toàn 9.1.1 Vành đai an tồn vật lý 9.1.2 Kiểm sốt cổng truy cập vật lý 9.1.3 Bảo vệ văn phòng, phòng làm việc vật dụng 9.1.4 Bảo vệ chống lại mối đe dọa bên ngồi mơi trường 9.1.5 Làm việc khu vực an toàn 9.1.6 Các khu vực truy cập tự do, phân phối tập kết hàng 9.2 Đảm bảo an tồn trang thiết bị 9.2.1 Bố trí bảo vệ thiết bị 9.2.2 Các tiện ích hỗ trợ 9.2.3 An toàn cho việc dây cáp 9.2.4 Bảo dưỡng thiết bị 9.2.5 An toàn cho thiết bị hoạt động bên trụ sở tổ chức 9.2.6 An toàn loại bỏ tái sử dụng thiết bị 9.2.7 Di rời tài sản 10 Quản lý truyền thông vận hành 10.1 Các trách nhiệm thủ tục vận hành 10.1.1 Các thủ tục vận hành ghi thành văn 10.1.2 Quản lý thay đổi 10.1.3 Phân tách nhiệm vụ 10.1.4 Phân tách chức phát triển, kiểm thử vận hành 10.2 Quản lý chuyển giao dịch vụ bên thứ ba 10.3 Lập kế hoạch chấp nhận hệ thống 10.3.1 Quản lý lực hệ thống 10.3.2 Chấp nhận hệ thống 10.4 Bảo vệ chống lại mã độc hại mã di động 10.4.1 Quản lý chống lại mã độc hại 10.4.2 Quản lý mã di động 10.5 Sao lưu 10.6 Quản lý an toàn mạng 10.7 Xử lý phương tiện 10.7.1 Quản lý phương tiện di dời 10.7.2 Loại bỏ phương tiện 10.7.3 Các thủ tục xử lý thơng tin 10.7.4 An tồn cho tài liệu hệ thống 10.8 Trao đổi thông tin 10.9 Các dịch vụ thương mại điện tử 10.9.1 Thương mại điện tử 10.9.2 Các giao dịch trực tuyến 10.9.3 Thông tin công khai 10.9.4 Dịch vụ ngân hàng trực tuyến 10.10 Giám sát 10.10.1 Ghi nhật ký đánh giá 10.10.2 Giám sát sử dụng hệ thống 10.10.3 Bảo vệ thông tin nhật ký 10.10.4 Nhật ký người điều hành người quản trị 10.10.5 Ghi nhật ký lỗi 10.10.6 Đồng thời gian 11 Quản lý truy cập 12 Tiếp nhận, trì phát triển hệ thống thơng tin 12.1 Yêu cầu đảm bảo an toàn cho hệ thống thơng tin 12.1.1 Phân tích đặc tả yêu cầu an toàn 12.2 Xử lý ứng dụng 12.3 Quản lý mã hóa 12.3.1 Chính sách sử dụng biện pháp kiểm sốt mã hóa 12.3.2 Quản lý khóa 12.4 An tồn cho tệp tin hệ thống 12.4.1 Quản lý phần mềm điều hành 12.4.2 Bảo vệ liệu kiểm tra hệ thống 12.4.3 Quản lý truy cập đến mã nguồn chương trình 12.5 Đảm bảo an tồn quy trình hỗ trợ phát triển 12.6 Quản lý điểm yếu kỹ thuật 13 Quản lý cố an toàn thông tin 14 Quản lý liên tục hoạt động nghiệp vụ 14.1 Các khía cạnh an tồn thơng tin quản lý liên tục hoạt động nghiệp vụ 14.1.1 Tính đến an tồn thơng tin q trình quản lý tính liên tục hoạt động nghiệp vụ 14.1.2 Đánh giá rủi ro liên tục hoạt động tổ chức 14.1.3 Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin 14.1.4 Khung hoạch định hoạt động nghiệp vụ 14.1.5 Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động nghiệp vụ 15 Sự tuân thủ 15.1 Sự tuân thủ quy định pháp lý 15.2 Sự tuân thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật 15.2.1 Sự tuân thủ tiêu chuẩn sách an tồn 15.2.2 Kiểm tra tương thích kỹ thuật 15.2.3 Giám sát việc tuân thủ Thư mục tài liệu tham khảo ... bị đầu cuối tự phục vụ Cấu trúc tiêu chuẩn Tiêu chuẩn cung cấp thêm hướng dẫn an tồn thơng tin bổ sung biện pháp kiểm soát an tồn thơng tin đưa tiêu chuẩn TCVN ISO/IEC 27002:2011 từ điều đến điều... bị Áp dụng biện pháp kiểm soát 8.2.4 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Bên cạnh hướng dẫn tiêu chuẩn tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cần xem xét... liên quan đến bên tham gia bên Áp dụng biện pháp kiểm soát 5.2.1 từ TCVN ISO/IEC 27002:2011 hướng dẫn bổ sung sau: Hướng dẫn triển khai Bên cạnh hướng dẫn tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ