TCVN xxx:2010 TCVN TIÊU CHUẨN QUỐC GIA TCVN xxx:2015 ISO/IEC 27002:2013 CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN THÔNG TIN Information technology – Security techniques – Code of practice for infomation security management HÀ NỘI – 2015 TCVN xxx:2015 TCVN xxx:2015 Mục lục Lời nói đầu Phạm vi áp dụng 11 Tiêu chuẩn viện dẫn 11 Thuật ngữ định nghĩa 11 Cấu trúc tiêu chuẩn Error! Bookmark not defined 4.1 Các mệnh đề Error! Bookmark not defined 4.2 Phân loại kiểm soát Error! Bookmark not defined Chính sách an tồn thơng tin Error! Bookmark not defined 5.1 Hướng dẫn quản lý an tồn thơng tin Error! Bookmark not defined 5.1.1 Chính sách cho an tồn thơng tin Error! Bookmark not defined 5.1.2 Sốt xét lại sách an tồn thơng tin Error! Bookmark not defined Tổ chức an tồn thơng tin Error! Bookmark not defined 6.1 6.2 Tổ chức bên Error! Bookmark not defined 6.1.1 Vài trò trách nhiệm đảm bảo an tồn thơng tin Error! Bookmark not defined 6.1.2 Phân tách nhiệm vụ Error! Bookmark not defined 6.1.3 Liên lạc với quan/ tổ chức có thẩm quyền Error! Bookmark not defined 6.1.4 Liên lạc với nhóm chuyên gia Error! Bookmark not defined 6.1.5 An tồn thơng tin quản lý dự án Error! Bookmark not defined Thiết bị di động làm việc qua mạng Error! Bookmark not defined 6.2.1 Chính sách sử dụng thiết bị di động Error! Bookmark not defined 6.2.2 Làm việc từ xa Error! Bookmark not defined An toàn nguồn nhân lực Error! Bookmark not defined 7.1 7.2 Trước tuyển dụng Error! Bookmark not defined 7.1.1 Thẩm tra Error! Bookmark not defined 7.1.2 Điều khoản điều kiện tuyển dụng Error! Bookmark not defined Trong thời gian làm việc Error! Bookmark not defined 7.2.1 Trách nhiệm ban quản lý Error! Bookmark not defined TCVN xxx:2010 7.3 7.2.2 Nhận thức, giáo dục đào tạo an tồn thơng tin Error! Bookmark not defined 7.2.3 Xử lý kỷ luật Error! Bookmark not defined Chấm dứt thay đổi công việc Error! Bookmark not defined 7.3.1 Quản lý tài sản Error! Bookmark not defined 8.1 8.2 8.3 Trách nhiệm tài sản Error! Bookmark not defined 8.1.1 Kiểm kê tài sản Error! Bookmark not defined 8.1.2 Quyền sở hữu tài sản Error! Bookmark not defined 8.1.3 Sử dụng hợp lý tài sản Error! Bookmark not defined 8.1.4 Trả lại tài sản Error! Bookmark not defined Phân loại thông tin Error! Bookmark not defined 8.2.1 Phân loại thông tin Error! Bookmark not defined 8.2.2 Gắn nhãn thông tin Error! Bookmark not defined 8.2.3 Xử lý tài sản Error! Bookmark not defined Xử lý thiết bị lưu trữ Error! Bookmark not defined 8.3.1 Quản lý phương tiện lưu trữ thông tin di động Error! Bookmark not defined 8.3.2 Loại bỏ phương tiện lưu trữ thông tin Error! Bookmark not defined 8.3.3 Vận chuyển phương tiện vật lý Error! Bookmark not defined Kiểm soát truy cập Error! Bookmark not defined 9.1 9.2 Trách nhiệm kết thúc thay đổi hợp đồng Error! Bookmark not defined Yêu cầu nghiệp vụ quản lý truy cập Error! Bookmark not defined 9.1.1 Chính sách quản lý truy cập Error! Bookmark not defined 9.1.2 Truy cập mạng dịch vụ mạng Error! Bookmark not defined Quản lý truy cập người dùng Error! Bookmark not defined 9.2.1 Đăng kí hủy thành viên đăng kí Error! Bookmark not defined 9.2.2 Dự liệu truy cập người dùng Error! Bookmark not defined 9.2.3 Quản lý đặc quyền truy cập Error! Bookmark not defined 9.2.4 Quản lý thông tin xác thực bí mật người dùng Error! Bookmark not defined 9.2.5 Soát xét quyền truy cập người dùng Error! Bookmark not defined 9.2.6 Hủy bỏ chỉnh sửa quyền truy cập Error! Bookmark not defined TCVN xxx:2015 Các trách nhiệm người dùng Error! Bookmark not defined 9.3 9.3.1 Quản lý truy cập ứng dụng hệ thống Error! Bookmark not defined 9.4 10 Sử dụng thông tin xác thực bí mật Error! Bookmark not defined 9.4.1 Hạn chế truy cập ứng dụng hệ thống Error! Bookmark not defined 9.4.2 Các thủ tục đăng nhập an toàn Error! Bookmark not defined 9.4.3 Hệ thống quản lý mật Error! Bookmark not defined 9.4.4 Sử dụng chương trình tiện ích đặc quyền Error! Bookmark not defined 9.4.5 Quản lý truy cập tới mã nguồn chương trình Error! Bookmark not defined Mã hóa Error! Bookmark not defined 10.1 Kiểm sốt mã hóa Error! Bookmark not defined 10.1.1 Chính sách sử dụng kiểm sốt mã hóa Error! Bookmark not defined 10.1.2 Quản lý khóa Error! Bookmark not defined 11 An tồn mơi trường vật lý Error! Bookmark not defined 11.1 Các khu vực an toàn Error! Bookmark not defined 11.1.1 Vành đai an toàn vật lý Error! Bookmark not defined 11.1.2 Kiểm soát cổng truy cập vật lý Error! Bookmark not defined 11.1.3 Bảo vệ văn phòng, phòng làm việc vật dụng Error! Bookmark not defined 11.1.4 Bảo vệ chống lại mối đe dọa từ bên ngồi từ mơi trườngError! Bookmark not defined 11.1.5 Làm việc khu vực an toàn Error! Bookmark not defined 11.1.6 Các khu vực truy cập tự do, phân phối chuyển hàng Error! Bookmark not defined 11.2 Đảm bảo an toàn trang thiết bị Error! Bookmark not defined 11.2.1 Bố trí bảo vệ thiết bị Error! Bookmark not defined 11.2.2 Các tiện ích hỗ trợ Error! Bookmark not defined 11.2.3 An toàn cho dây cáp Error! Bookmark not defined 11.2.4 Bảo dưỡng thiết bị Error! Bookmark not defined 11.2.5 An toàn di chuyển thiết bị Error! Bookmark not defined 11.2.6 An toàn cho thiết bị hoạt động bên trụ sở tổ chứcError! Bookmark not defined TCVN xxx:2010 11.2.7 Xử lý an toàn tái sử dụng thiết bị Error! Bookmark not defined 11.2.8 Thiết bị người dùng không giám sát Error! Bookmark not defined 11.2.9 Chính sách hình bàn làm việc Error! Bookmark not defined 12 An toàn thao tác Error! Bookmark not defined 12.1 Thủ tục trách nhiệm thao tác Error! Bookmark not defined 12.1.1 Các thủ tục vận hành ghi thành văn Error! Bookmark not defined 12.1.2 Quản lý thay đổi Error! Bookmark not defined 12.1.3 Quản lý lực Error! Bookmark not defined 12.1.4 Phân tách chức phát triển, kiểm thử môi trường vận hànhError! Bookmark not defined 12.2 Bảo vệ khỏi phần mềm độc hại Error! Bookmark not defined 12.2.1 Kiểm soát chống lại phần mềm độc hại Error! Bookmark not defined 12.3 Sao lưu Error! Bookmark not defined 12.3.1 Thông tin lưu Error! Bookmark not defined 12.4 Lưu nhật ký giám sát Error! Bookmark not defined 12.4.1 Lưu nhật ký kiện Error! Bookmark not defined 12.4.2 Bảo vệ thông tin nhật ký Error! Bookmark not defined 12.4.3 Nhật ký người điều hành người quản trị Error! Bookmark not defined 12.4.4 Đồng thời gian Error! Bookmark not defined 12.5 Kiểm soát phần mềm điều hành Error! Bookmark not defined 12.5.1 Cài đặt phần mềm hệ thống hoạt động Error! Bookmark not defined 12.6 Quản lý điểm yếu kỹ thuật Error! Bookmark not defined 12.6.1 Quản lý điểm yếu kỹ thuật Error! Bookmark not defined 12.6.2 Hạn chế cài đặt phần mềm Error! Bookmark not defined 12.7 Xem xét việc đánh giá hệ thống thông tin Error! Bookmark not defined 12.7.1 Các kiểm sốt đánh giá hệ thống thơng tin Error! Bookmark not defined 13 An tồn truyền thơng Error! Bookmark not defined 13.1 Quản lý an toàn mạng Error! Bookmark not defined 13.1.1 Các biện pháp kiểm soát mạng Error! Bookmark not defined TCVN xxx:2015 13.1.2 An toàn dịch vụ mạng Error! Bookmark not defined 13.1.3 Phân tách mạng Error! Bookmark not defined 13.2 An tồn truyền tải thơng tin Error! Bookmark not defined 13.2.1 Các sách thủ tục truyền tải thơng tin Error! Bookmark not defined 13.2.2 Các thỏa thuận truyền tải thông tin Error! Bookmark not defined 13.2.3 Thông điệp điện tử Error! Bookmark not defined 13.2.4 Các thỏa thuận bảo mật hay không tiết lộ Error! Bookmark not defined 14 Trưng dụng hệ thống, phát triển bảo trì Error! Bookmark not defined 14.1 Yêu cầu đảm bảo an tồn cho hệ thống thơng tin Error! Bookmark not defined 14.1.1 Phân tích đặc tả u cầu an tồn thơng tin Error! Bookmark not defined 14.1.2 An toàn dịch vụ ứng dụng mạng công cộng Error! Bookmark not defined 14.1.3 Bảo vệ dịch vụ ứng dụng giao dịch Error! Bookmark not defined 14.2 Bảo đảm an tồn quy trình hỗ trợ phát triển Error! Bookmark not defined 14.2.1 Chính sách phát triển an tồn Error! Bookmark not defined 14.2.2 Thay đổi thủ tục kiểm soát hệ thống Error! Bookmark not defined 14.2.3 Soát sét kỹ thuật ứng dụng sau thay đổi tảng hệ điều hành Error! Bookmark not defined 14.2.4 Hạn chế thay đối gói phần mềm Error! Bookmark not defined 14.2.5 Các nguyên tắc kỹ thuật hệ thống an ninh Error! Bookmark not defined 14.2.6 Môi trường phát triển an toàn Error! Bookmark not defined 14.2.7 Phát triển thuê khoán Error! Bookmark not defined 14.2.8 Kiểm thử bảo mật hệ thống Error! Bookmark not defined 14.2.9 Kiểm thử chấp nhận hệ thống Error! Bookmark not defined 14.3 Dữ liệu kiểm thử Error! Bookmark not defined 14.3.1 Bảo vệ liệu kiểm thử Error! Bookmark not defined 15 Các mối quan hệ nhà cung cấp Error! Bookmark not defined 15.1 An tồn thơng tin mối quan hệ nhà cung cấp Error! Bookmark not defined 15.1.1 Chính sách an tồn thơng tin mối quan hệ nhà cung cấpError! Bookmark not defined TCVN xxx:2010 15.1.2 Đảm bảo an toàn thỏa thuận cung cấp Error! Bookmark not defined 15.1.3 Chuỗi cung ứng sản phẩm, dịch vụ công nghệ thông tin truyền thông Error! Bookmark not defined 15.2 Quản lý chuỗi dịch vụ giao hàng Error! Bookmark not defined 15.2.1 Giám sát đánh giá nhà cung cấp dịch vụ Error! Bookmark not defined 15.3 16 Quản lý thay đổi nhà cung cấp dịch vụ Error! Bookmark not defined Quản lý cố an tồn thơng tin Error! Bookmark not defined 16.1 Quản lý cố an tồn thơng tin cải thiện Error! Bookmark not defined 16.1.1 Trách nhiệm thủ tục Error! Bookmark not defined 16.1.2 Báo cáo cố an tồn thơng tin Error! Bookmark not defined 16.1.3 Báo cáo điểm yếu an toàn thông tin Error! Bookmark not defined 16.1.4 Đánh giá định cố an tồn thơng tin Error! Bookmark not defined 16.1.5 Ứng phó cố an tồn thơng tin Error! Bookmark not defined 16.1.6 Rút học kinh nghiệm từ cố an tồn thơng tin Error! Bookmark not defined 16.1.7 Thu thập chứng Error! Bookmark not defined 17 Các khía cạnh an tồn thơng tin quản lý nghiệp vụ liên tục Error! Bookmark not defined 17.1 An tồn thơng tin liên tục Error! Bookmark not defined 17.1.1 Lập kế hoạch an tồn thơng tin liên tục Error! Bookmark not defined 17.1.2 Thực an tồn thơng tin liên tục Error! Bookmark not defined 17.1.3 Xác minh, xem xét đánh giá an tồn thơng tin liên tục Error! Bookmark not defined 17.2 Sự dư thừa Error! Bookmark not defined 17.2.1 Tính sẵn sang phương tiện xử lý thông tin Error! Bookmark not defined 18 Sự tuân thủ Error! Bookmark not defined 18.1 Sự tuân thủ yêu cầu pháp lý hợp đồng Error! Bookmark not defined 18.1.1 Xác định điều luật áp dụng yêu cầu hợp đồng Error! Bookmark not defined 18.1.2 Quyền sở hữu trí tuệ Error! Bookmark not defined 18.1.3 Bảo vệ hồ sơ Error! Bookmark not defined 18.1.4 Bảo mật riêng tư bảo vệ thông tin cá nhân Error! Bookmark not defined 18.1.5 Qui định quản lý mã hóa Error! Bookmark not defined TCVN xxx:2015 18.2 Xem xét an tồn thơng tin Error! Bookmark not defined 18.2.1 Xem xét độc lập an tồn thơng tin Error! Bookmark not defined 18.2.2 Sự tuân thủ tiêu chuẩn sách an tồn Error! Bookmark not defined 18.2.3 Đánh giá tương thích kỹ thuật Error! Bookmark not defined Thư mục tài liệu tham khảo Error! Bookmark not defined TCVN xxx:2010 Lời nói đầu TCVN xxx:2015 xây dựng sở chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27002:2013 Tổ chức tiêu chuẩn hóa quốc tế ISO Ủy ban kỹ thuật điện quốc tế IEC TCVN xxx:2015 Viện Công nghệ thông tin, Đại học Quốc gia Hà nội biên soạn, Bộ Thông tin Truyền thông đề nghị,Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ tiết lộ theo Quyết định số 10 TCVN xxx:2015 11 TCVN xxx:2010 TIÊU CHUẨN QUỐC GIA TCVN XXX:2015 Công nghệ thơng tin – Các kỹ thuật an tồn - Quy tắc thực hành quản lý an tồn thơng tin Information technology – Security techniques – Code of practice for infomation security management Phạm vi áp dụng Tiêu chuẩn đưa hướng dẫn cho tiêu chuẩn an tồn thơng tin cho tổ chức thực hành quản lý an tồn thơng tin bao gồm lựa chọn, thực quản lý kiểm sốt có tính đến mơi trường rủi ro an tồn thơng tin tổ chức Tiêu chuẩn thiết kế để sử dụng tổ chức có ý định: a) chọn lựa kiểm sốt q trình thực hệ thống quản lý an tồn thơng tin dựa tiêu chuẩn ISO/IEC 27001; [10] b) thực kiểm sốt an tồn thơng tin chấp nhận chung; c) phát triển hướng dẫn quản lý an tồn thơng tin riêng Tiêu chuẩn viện dẫn Tiêu chuẩn tham chiếu … Các tài liệu sau đây, toàn phần, tham chiếu tài liệu thiếu cho ứng dụng Đối với tài liệu ghi thời gian, áp dụng phiên trích dẫn Đối với tài liệu không ghi thời gian, phiên tài liệu tham chiếu (bao gồm sửa đổi) áp dụng ISO / IEC 27000, Công nghệ thông tin - Kỹ thuật an tồn – Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng Thuật ngữ định nghĩa Đối với mục đích tài liệu này, thuật ngữ định nghĩa ISO/IEC 27000 áp dụng 12 ... học Công nghệ tiết lộ theo Quy? ??t định số 10 TCVN xxx:2015 11 TCVN xxx:2010 TIÊU CHUẨN QUỐC GIA TCVN XXX:2015 Công nghệ thơng tin – Các kỹ thuật an tồn - Quy tắc thực hành quản lý an tồn thơng tin. .. infomation security management Phạm vi áp dụng Tiêu chuẩn đưa hướng dẫn cho tiêu chuẩn an toàn thông tin cho tổ chức thực hành quản lý an tồn thơng tin bao gồm lựa chọn, thực quản lý kiểm sốt có tính... gian, áp dụng phiên trích dẫn Đối với tài liệu không ghi thời gian, phiên tài liệu tham chiếu (bao gồm sửa đổi) áp dụng ISO / IEC 27000, Công nghệ thông tin - Kỹ thuật an tồn – Hệ thống quản lý