TCVN xxx:2010 TCVN TIÊU CHUẨN QUỐC GIA TCVN xxx:2010 ISO/IEC 27002:2005 CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN THÔNG TIN Information technology – Security techniques – Code of practice for infomation security management HÀ NỘI – 2010 TCVN xxx:2010 TCVN xxx:2010 TCVN xxx:2010 Mục lục Lời nói đầu Phạm vi áp dụng .9 Tiêu chuẩn viện dẫn .9 Thuật ngữ định nghĩa .9 Đánh giá xử lý rủi ro .12 4.1 Đánh giá rủi ro an toàn 12 4.2 Xử lý rủi ro an tồn thơng tin 13 `Chính sách an tồn .14 5.1 Chính sách an tồn thơng tin 14 5.1.1 Tài liệu sách an tồn thơng tin .14 5.1.2 6.1 6.2 Sốt xét lại sách an tồn thông tin 15 Tổ chức đảm bảo an tồn thơng tin 16 Tổ chức nội 16 6.1.1 Cam kết ban quản lý đảm bảo an tồn thơng tin 16 6.1.2 Phối hợp đảm bảo an toàn thông tin 17 6.1.3 Phân định trách nhiệm đảm bảo an tồn thơng tin 18 6.1.4 Quy trình trao quyền cho phương tiện xử lý thông tin .19 6.1.5 Các thỏa thuận bảo mật 19 6.1.6 Liên lạc với quan/tổ chức có thẩm quyền .20 6.1.7 Liên lạc với nhóm chuyên gia 21 6.1.8 Tự soát xét an tồn thơng tin 21 Các bên tham gia bên 22 6.2.1 Xác định rủi ro liên quan đến bên tham gia bên .22 6.2.2 Giải an toàn làm việc với khách hàng 24 6.2.3 Giải an toàn thỏa thuận với bên thứ ba 26 Quản lý tài sản 29 7.1 Trách nhiệm tài sản .29 7.1.1 Kiểm kê tài sản 29 7.2 7.1.2 Quyền sở hữu tài sản .30 7.1.3 Sử dụng hợp lý tài sản .30 Phân loại thông tin 31 7.2.1 Hướng dẫn phân loại .31 7.2.2 8.1 8.2 Gắn nhãn xử lý thông tin .32 Đảm bảo an toàn tài nguyên người 33 Trước tuyển dụng 33 8.1.1 Các vai trò trách nhiệm .33 8.1.2 Thẩm tra 34 8.1.3 Điều khoản điều kiện tuyển dụng 35 Trong thời gian làm việc 36 8.2.1 Trách nhiệm ban quản lý 36 8.2.2 Nhận thức, giáo dục đào tạo an tồn thơng tin 37 TCVN xxx:2010 8.2.3 8.3 9.1 9.2 Xử lý kỷ luật 38 Chấm dứt thay đổi công việc 38 8.3.1 Trách nhiệm kết thúc hợp đồng .38 8.3.2 Bàn giao tài sản 39 8.3.3 Hủy bỏ quyền truy cập .39 Đảm bảo an tồn vật lý mơi trường 40 Các khu vực an toàn .40 9.1.1 Vành đai an toàn vật lý .41 9.1.2 Kiểm soát cổng truy cập vật lý 42 9.1.3 Bảo vệ văn phòng, phòng làm việc vật dụng .42 9.1.4 Bảo vệ chống lại mối đe dọa từ bên từ môi trường 43 9.1.5 Làm việc khu vực an toàn 43 9.1.6 Các khu vực truy cập tự do, phân phối chuyển hàng 44 Đảm bảo an toàn trang thiết bị .44 9.2.1 Bố trí bảo vệ thiết bị .45 9.2.2 Các tiện ích hỗ trợ 45 9.2.3 An toàn cho dây cáp 46 9.2.4 Bảo dưỡng thiết bị 47 9.2.5 An toàn cho thiết bị hoạt động bên trụ sở tổ chức 48 9.2.6 An toàn loại bỏ tái sử dụng thiết bị 48 9.2.7 Di dời tài sản .49 10 Quản lý truyền thông điều hành 49 10.1 Các trách nhiệm thủ tục điều hành 49 10.1.1 Các thủ tục vận hành ghi thành văn .49 10.1.2 Quản lý thay đổi 50 10.1.3 Phân tách nhiệm vụ 51 10.1.4 Phân tách chức phát triển, kiểm thử vận hành 52 10.2 Quản lý chuyển giao dịch vụ bên thứ ba 53 10.2.1 Chuyển giao dịch vụ 53 10.2.2 Giám sát soát xét dịch vụ bên thứ ba 53 10.2.3 Quản lý thay đổi dịch vụ bên thứ ba .54 10.3 Chấp nhận lập kế hoạch hệ thống .55 10.3.1 Quản lý lực hệ thống .55 10.3.2 Chấp nhận hệ thống 56 10.4 Bảo vệ chống lại mã độc hại mã di động 56 10.4.1 Quản lý chống lại mã độc hại 57 10.4.2 Kiểm soát mã di động 58 10.5 Sao lưu 59 10.5.1 Sao lưu thông tin 59 10.6 Quản lý an toàn mạng .60 10.6.1 Kiểm soát mạng 60 TCVN xxx:2010 10.6.2 An toàn cho dịch vụ mạng 61 10.7 Quản lý phương tiện .62 10.7.1 Quản lý phương tiện di dời .62 10.7.2 Loại bỏ phương tiện 62 10.7.3 Các thủ tục xử lý thông tin .63 10.7.4 An toàn cho tài liệu hệ thống .64 10.8 Trao đổi thông tin 64 10.8.1 Các sách thủ tục trao đổi thơng tin 65 10.8.2 Các thỏa thuận trao đổi 67 10.8.3 Vận chuyển phương tiện vật lý 68 10.8.4 Thông điệp điện tử 68 10.8.5 Các hệ thống thông tin nghiệp vụ 69 10.9 Các dịch vụ thương mại điện tử .70 10.9.1 Thương mại điện tử 70 10.9.2 Các giao dịch trực tuyến 71 10.9.3 Thông tin công khai 72 10.10 Giám sát .73 10.10.1 Ghi nhật ký kiểm toán .73 10.10.2 Giám sát sử dụng hệ thống 74 10.10.3 Bảo vệ thông tin nhật ký 75 10.10.4 Nhật ký người điều hành người quản trị 76 10.10.5 Ghi nhật ký lỗi 76 10.10.6 Đồng thời gian .77 11 Quản lý truy cập 77 11.1 Yêu cầu nghiệp vụ quản lý truy cập 77 11.1.1 Chính sách quản lý truy cập .78 11.2 Quản lý truy cập người dùng 79 11.2.1 Đăng ký thành viên 79 11.2.2 Quản lý đặc quyền 80 11.2.3 Quản lý mật người dùng 81 11.2.4 Soát xét quyền truy cập người dùng 82 11.3 Các trách nhiệm người dùng 82 11.3.1 Sử dụng mật 83 11.3.2 Các thiết bị không quản lý 84 11.3.3 Chính sách hình bàn làm việc 84 11.4 Quản lý truy cập mạng 85 11.4.1 Chính sách sử dụng dịch vụ mạng 85 11.4.2 Xác thực người dùng cho kết nối bên .86 11.4.3 Định danh thiết bị mạng 87 11.4.4 Chuẩn đoán từ xa bảo vệ cổng cấu hình 87 TCVN xxx:2010 11.4.5 Phân tách mạng 88 11.4.6 Quản lý kết nối mạng .89 11.4.7 Quản lý định tuyến mạng 89 11.5 Quản lý truy cập hệ thống điều hành 90 11.5.1 Các thủ tục đăng nhập an toàn 90 11.5.2 Định danh xác thực người dùng 91 11.5.3 Hệ thống quản lý mật 92 11.5.4 Sử dụng tiện ích hệ thống 93 11.5.5 Thời gian giới hạn phiên làm việc .94 11.5.6 Giới hạn thời gian kết nối 94 11.6 Điều khiển truy cập thông tin ứng dụng .95 11.6.1 Hạn chế truy cập thông tin .95 11.6.2 Cách ly hệ thống nhạy cảm 96 11.7 Tính tốn di động làm việc từ xa 96 11.7.1 Tính tốn truyền thơng qua thiết bị di động 96 11.7.2 Làm việc từ xa 98 12 Tiếp nhận, phát triển trì hệ thống thơng tin 99 12.1 Yêu cầu đảm bảo an tồn cho hệ thống thơng tin 99 12.1.1 Phân tích đặc tả yêu cầu an toàn 100 12.2 Xử lý ứng dụng 100 12.2.1 Kiểm tra tính hợp lệ liệu đầu vào .101 12.2.2 Kiểm soát việc xử lý nội 102 12.2.3 Tính tồn vẹn thông điệp .103 12.2.4 Kiểm tra tính hợp lệ liệu đầu 103 12.3 Quản lý mã hóa .104 12.3.1 Chính sách sử dụng biện pháp quản lý mã hóa .104 12.3.2 Quản lý khóa 105 12.4 An toàn cho tệp tin hệ thống 107 12.4.1 Quản lý phần mềm điều hành 107 12.4.2 Bảo vệ liệu kiểm tra hệ thống 108 12.4.3 Quản lý truy cập đến mã nguồn chương trình .109 12.5 Bảo đảm an tồn quy trình hỗ trợ phát triển 110 12.5.1 Các thủ tục quản lý thay đổi 110 12.5.2 Soát xét kỹ thuật ứng dụng sau thay đổi hệ thống điều hành 111 12.5.3 Hạn chế thay đối gói phần mềm 112 12.5.4 Sự rị rỉ thơng tin .112 12.5.5 Phát triển phần mềm thuê khoán 113 12.6 Quản lý điểm yếu kỹ thuật 114 12.6.1 Quản lý điểm yếu kỹ thuật 114 13 Quản lý cố an tồn thơng tin 116 13.1 Báo cáo kiện an tồn thơng tin nhược điểm 116 TCVN xxx:2010 13.1.1 Báo cáo kiện an tồn thơng tin 116 13.1.2 Báo cáo nhược điểm an tồn thơng tin 117 13.2 Quản lý cố an tồn thơng tin cải tiến 118 13.2.1 Các trách nhiệm thủ tục .118 13.2.2 Rút học kinh nghiệm từ cố an tồn thơng tin .120 13.2.3 Thu thập chứng 120 14 Quản lý liên tục hoạt động nghiệp vụ 121 14.1 Các khía cạnh an tồn thơng tin quản lý liên tục hoạt động nghiệp vụ 121 14.1.1 Tính đến an tồn thơng tin quy trình quản lý liên tục hoạt động nghiệp vụ 122 14.1.2 Đánh giá rủi ro liên tục hoạt động tổ chức 123 14.1.3 Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin 123 14.1.4 Khung hoạch định liên tục hoạt động nghiệp vụ .125 14.1.5 Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động tổ chức 126 15 Sự tuân thủ 127 15.1 Sự tuân thủ quy định pháp lý 127 15.1.1 Xác định điều luật áp dụng 127 15.1.2 Quyền sở hữu trí tuệ (IPR) 128 15.1.3 Bảo vệ hồ sơ tổ chức .129 15.1.4 Bảo vệ liệu riêng tư thông tin cá nhân 130 15.1.5 Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin 131 15.1.6 Quy định quản lý mã hóa 132 15.2 Sự tuân thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật 132 15.2.1 Sự tuân thủ tiêu chuẩn sách an tồn .132 15.2.2 Kiểm tra tương thích kỹ thuật 133 15.3 Xem xét việc kiểm toán hệ thống thông tin 134 15.3.1 Các biện pháp quản lý kiểm toán hệ thống thông tin 134 15.3.2 Bảo vệ cơng cụ kiểm tốn hệ thống thông tin 135 Thư mục tài liệu tham khảo 136 TCVN xxx:2010 Lời nói đầu TCVN xxx:2010 xây dựng sở chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27002 Tổ chức tiêu chuẩn hóa quốc tế ISO Ủy ban kỹ thuật điện quốc tế IEC TCVN xxx:2010 Viện Khoa học kỹ thuật Bưu điện, Học Viện cơng nghệ Bưu Viễn thông biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố theo Quyết định số TCVN xxx:2010 TIÊU CHUẨN QUỐC GIA TCVN XXX:2010 Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin Information technology – Security techniques – Code of practice for infomation security management Phạm vi áp dụng Tiêu chuẩn thiết lập hướng dẫn nguyên tắc chung cho hoạt động khởi tạo, triển khai, trì cải tiến cơng tác quản lý an tồn thơng tin tổ chức Mục tiêu tiêu chuẩn đưa hướng dẫn chung nhằm đạt mục đích thơng thường chấp nhận quản lý an tồn thơng tin Các mục tiêu biện pháp quản lý tiêu chuẩn xây dựng nhằm đáp ứng yêu cầu xác định trình đánh giá rủi ro Tiêu chuẩn đóng vai trị hướng dẫn thực hành việc xây dựng tiêu chuẩn an tồn thơng cho tổ chức thực hành quản lý an tồn thơng tin hiệu giúp tạo dựng tin cậy hoạt động liên tổ chức Tiêu chuẩn viện dẫn Tiêu chuẩn tham chiếu đến tiêu chuẩn ISO/IEC sau đây: – ISO/IEC 13335-1:2004, Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management – ISO/IEC TR 18044:2004, Information technology - Security techniques - Information security incident management – ISO/IEC 1335-3:1998, Information technology – Guidelines for the management of IT security Part 3: Techniques for management of IT security – ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT Security – ISO/IEC 18028, Information technology - Security techniques - IT network security – ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines for use in standards Thuật ngữ định nghĩa 3.1 Tài sản (asset) TCVN xxx:2010 a) hiểu rủi ro mà tổ chức đối mặt khía cạnh rủi ro có khả xảy ảnh hưởng chúng cách kịp thời, bao gồm định danh phân loại ưu tiên trình nghiệp vụ quan trọng (xem 14.1.2); b) xác định tài sản tham gia vào trình nghiệp vụ quan trọng(xem 7.1.1) c) hiểu rõ ảnh hưởng lên hoạt động nghiệp vụ gián đoạn cố thơng tin có khả xảy (quan trọng giải pháp tìm phải giải cố gây ảnh hưởng nhỏ, cố nghiêm trọng đe dọa tồn tổ chức), thiết lập mục tiêu nghiệp vụ phương tiện xử lý thông tin d) cân nhắc đến việc mua bảo hiểm phù hợp, việc phần quy trình quản lý liên tục hoạt động nghiệp chung, phần trình quản lý rủi ro hoạt động e) xác định quan tâm tới việc triển khai thêm biện pháp quản lý phòng ngừa giảm nhẹ thiệt hại f) xác định nguồn tài nguyên tài chính, tổ chức, kỹ thuật mơi trường thỏa đáng để xử lý yêu cầu an tồn thơng tin xác định g) đảm bảo an toàn cho nhân viên bảo vệ phương tiện xử lý thông tin tài sản tổ chức h) lập lập thành tài liệu kế hoạch quản lý liên tục hoạt động nghiệp vụ giải yêu cầu an tồn thơng tin tn theo chiến lược quản lý liên tục hoạt động nghiệp vụ thông qua (xem 14.1.3) i) kểm tra cập nhật định kỳ kết hoạch quy trình cần thực (xem 14.1.5) j) đảm bảo việc quản lý liên tục hoạt động nghiệp vụ phối hợp cấu quy trình tổ chức, trách nhiệm trình quản lý liên tục hoạt động nghiệp vụ cần phân mức độ phù hợp tổ chức (xem 6.1.1) 14.1.2 Đánh giá rủi ro liên tục hoạt động tổ chức Biện pháp quản lý Các kiện gây gián đoạn gián đoạn hoạt động tổ chức cần xác định với xác suất, ảnh hưởng hậu chúng an tồn thơng tin Hướng dẫn triển khai Các khía cạnh an tồn thơng tin liên tục hoạt động nghiệp vụ cần dựa việc xác định kiện (hoặc chuỗi kiện) gây gián đoạn q trình nghiệp vụ tổ chức, ví dụ cố thiết bị, lỗi người, cắp, cháy, thảm họa tự nhiên hoạt động khủng bố Sau cần đánh giá rủi ro nhằm xác định khả xảy ảnh hưởng gián đoạn đó, mặt thời gian, mức độ thiệt hại thời gian khôi phục 123 TCVN xxx:2010 Các đánh giá rủi ro liên tục hoạt động nghiệp vụ cần thực với tham gia đầy đủ chủ sở hữu trình nguồn tài nguyên nghiệp vụ Việc đánh giá cần xem xét trình nghiệp vụ không giới hạn với phương tiện xử lý thông tin, phải cho kết cụ thể an tồn thơng tin Điều quan trọng phải liên kết khía cạnh rủi ro khác với để có tranh hoàn chỉnh yêu cầu liên tục hoạt động nghiệp vụ tổ chức Việc đánh giá cần xác định, định lượng, phân loại ưu tiên rủi ro dựa tiêu chí mục tiêu tổ chức, phải bao hàm nguồn tài nguyên quan trọng, ảnh hưởng gián đoạn, thời gian gián đoạn cho phép, ưu tiên khôi phục Tùy thuộc vào kết trình đánh giá rủi ro, chiến lược liên tục hoạt động nghiệp vụ cần phát triển nhằm xác định cách tiếp cận chung liên tục hoạt động nghiệp vụ Một chiến lược thiết lập ban quản lý cần thơng qua, kế hoạch thiết lập thông qua để triển khai chiến lược 14.1.3 Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin Biện pháp quản lý Các kế hoạch phải phát triển triển khai nhằm trì khơi phục hoạt động điều hành đảm bảo tính sẵn sàng thông tin mức độ yêu cầu đáp ứng yêu cầu thời gian xử lý gián đoạn hư hỏng trình nghiệp vụ quan trọng Hướng dẫn triển khai Quá trình lên kế hoạch tính liên tục nghiệp vụ cần quan tâm tới điều sau: a) xác định thơng qua trách nhiệm thủ tục tính liên tục hoạt động nghiệp vụ; b) xác định độ mát thông tin dịch vụ mức chấp nhận được; c) triển khai thủ tục cho phép khôi phục phục hồi hoạt động nghiệp vụ tính sẵn sàng thơng tin theo thang thời gian yêu cầu; cần đưa yêu cầu ý đặc biệt đến việc đánh giá phụ thuộc nghiệp vụ nội bên hợp đồng có hiệu lực; d) thủ tục vận hành hoàn tất việc khôi phục phục hồi; e) tài liệu quy trình thủ tục; f) đào tạo phù hợp đội ngũ nhân viên trình thủ tục thông qua, gồm việc quản lý khủng hoảng; g) kiểm tra cập nhật kế hoạch Quá trình lập kế hoạch cần tập trung vào mục tiêu nghiệp vụ yêu cầu, ví dụ việc khôi phục dịch vụ truyền thông cụ thể cho khách hàng khoảng thời gian chấp nhận Các dịch vụ nguồn tài nguyên hỗ trợ trình cần xác định, bao gồm đội ngũ nhân viên, 124 TCVN xxx:2010 nguồn tài nguyên xử lý dạng thông tin, dàn xếp phương tiện xử lý thông tin dự phịng Các dàn xếp bao hàm dàn xếp với bên thứ ba hình thức thỏa thuận hai bên, dịch vụ thuê bao thương mại Các kế hoạch liên tục hoạt động nghiệp vụ cần tập trung vào điểm yếu tổ chức chứa thơng tin nhạy cảm cần bảo vệ thích hợp Các kế hoạch liên tục hoạt động nghiệp vụ cần lưu trữ địa điểm xa với khoảng cách đủ để không bị thiệt hại từ thảm họa điểm Ban quản lý cần đảm bảo chép phải cập nhật bảo vệ với mức an tồn địa điểm Các tài liệu khác cần cho việc thực kế hoạch tính liên tục cần lưu trữ vị trí xa Nếu sử dụng vị trí thay tạm thời mức độ biện pháp quản lý an toàn triển khai vị trí phải tương đương với vị trí Thơng tin khác Cũng cần ý kế hoạch hoạt động quản lý khủng hoảng (xem 14.1.3f) khác với quản lý liên tục hoạt động nghiệp vụ 14.1.4 Khung hoạch định liên tục hoạt động nghiệp vụ Biện pháp quản lý Một khung hoạch định kế hoạch đảm bảo liên tục hoạt động nghiệp vụ cần trì nhằm kế hoạch thực cách quán đạt yêu cầu đảm bảo an tồn thơng tin xác định mức độ ưu tiên cho việc kiểm tra trì Hướng dẫn triển khai Mỗi kế hoạch liên tục hoạt động nghiệp vụ phải mơ tả cách tiếp cận tính liên tục, ví dụ cách tiếp cận để đảm bảo tính sẵn sang an tồn thơng tin hệ thống thông tin Mỗi kế hoạch cần nêu rõ kế hoạch leo thang điều kiện hoạt động nó, cá nhân có trách nhiệm thực phận kế hoạch Khi có u cầu xác định thủ tục khẩn cấp hành, ví dụ kế hoạch di tản dàn xếp dự phòng, cần bổ sung hợp lý Các thủ tục cần nằm chương trình quản lý thay đổi tổ chức để đảm bảo vấn đề liên tục hoạt động nghiệp vụ giải thỏa đáng Mỗi kế hoạch cần có người sở hữu xác định Các thủ tục khẩn cấp, kế hoạch dự phịng nhân cơng, kế hoạch tiếp tục phỉa thuộc trách nhiệm người sở hữu tài nguyên nghiệp vụ trình liên quan Các dàn xếp dự phòng cho dịch vụ kỹ thuật thay thế, chẳng hạn phương tiện truyền thông xử lý thông tin, phải thuộc trách nhiệm nhà cung cấp dịch vụ Khung hoạch định liên tục hoạt động nghiệp vụ cần tập trung vào u cầu an tồn thơng tin xác định cần quan tâm tới điều sau: 125 TCVN xxx:2010 a) điều kiện khởi động kế hoạch, mơ tả quy trình phải thực (ví dụ cách đánh giá tình hình, người tham gia) trước kế hoạch khởi động; b) thủ tục khẩn cấp, mô tả hoạt động cần thực xảy cố gây nguy hiểm cho hoạt động nghiệp vụ; c) thủ tục dự phòng mơ tả hoạt động cần thực nhằm thúc đẩy hoạt động nghiệp vụ cần thiết hỗ trợ dịch vụ cho vị trí thay tạm thời khác, khơi phục trình nghiệp vụ theo thang thời gian yêu cầu; d) xác thủ tục vận hành tạm thời sau hồn việc phục hồi khơi phục; e) thủ tục tiếp tục lại mơ tả hoạt động cần thực để trở lại hoạt động nghiệp vụ bình thường; f) lịch trình bảo dưỡng quy định cách thức thời gian kế hoạch kiểm tra quy trình trì kế hoạch; g) hoạt động nhận thức, giáo dục đào tạo thiết kế nhằm thiết lập hiểu biết trình đảm bảo liên tục nghiệp vụ đảm bảo q trình tiếp tục có hiệu quả; h) trách nhiệm cá nhân, mơ tả người có trách nhiệm thực thành phần kế hoạch Các lựa chọn thay cần đề cử có yêu cầu; i) tài sản nguồn tài nguyên quan trọng cần để thực thủ tục khẩn cấp, dự phòng tiếp tục lại 14.1.5 Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động tổ chức Biện pháp quản lý Các kế hoạch liên tục hoạt động nghiệp vụ cần kiểm tra cập nhật thường xun nhằm ln đảm bảo tính cập nhật hiệu Hướng dẫn triển khai Các kiểm tra kế hoạch liên tục hoạt động nghiệp vụ cần đảm bảo tất thành viên nhóm khơi phục đội ngũ nhân viên có liên quan khác nhận thức kế hoạch trách nhiệm họ liên tục hoạt động nghiệp vụ an tồn thơng tin biết vai trò họ kế hoạch đề xuất Kế hoạch kiểm tra (các) kế hoạch liên tục hoạt động nghiệp vụ cần cách thức thời gian kiểm tra thành phần kế hoạch Mỗi thành phần (các) kế hoạch cần kiểm tra thường xuyên 126 TCVN xxx:2010 Phải sử dụng nhiều kỹ thuật kiểm tra để đảm bảo (các) kế hoạch vận hành đời sống thực tế Các kỹ thuật phải bao gồm: a) kiểm tra công nghệ cao kịch khác (trong thảo luận kịch khôi phục hoạt động nghiệp vụ sử dụng gián đoạn mẫu); b) mô (đặt biệt trình đào tạo người vai trò họ việc quản lý hậu cố/ khủng hoảng); c) kiểm tra việc khôi phục kỹ thuật (đảm bảo hệ thống thơng tin khôi phục thực sự); d) kiểm tra việc khôi phục vị trí khác (chạy quy trình nghiệp vụ song song với hoạt động khôi phục xa vị trí chính); e) kiểm tra phương tiện dịch vụ nhà cung cấp (đảm bảo dịch vụ sản phẩm cung cấp từ bên tuân theo cam kết hợp đồng); f) hoàn tất đợt diễn tập (kiểm tra để đảm bảo tổ chức, cá nhân, thiết bị, phương tiện q trình đối phó với gián đoạn) Những kỹ thuật sử dụng cho tổ chức Chúng phải áp dụng theo cách phù hợp với kế hoạch khôi phục cụ thể Các kết kiểm tra cần ghi lại hoạt động cần thực nhằm cải tiến kế hoạch cần thiết Trách nhiệm cần phân định việc thường xuyên soát xét kế hoạch liên tục hoạt động nghiệp vụ Sau xác định thay đổi hoạt động nghiệp vụ chưa phản ánh kế hoạch liên tục hoạt động nghiệp vụ phải cập nhật kế hoạch cách phù hợp Quá trình quản lý thay đổi thức cần đảm bảo kế hoạch cập nhật phân phối củng cố sốt xét tồn kế hoạch cách thường xuyên Các ví dụ thay đổi mà việc cập nhật kế hoạch liên tục hoạt động nghiệp vụ cần phải quan tâm việc thu nhận thiết bị mới, nâng cấp hệ thống thay đổi về: a) nhân sự; b) địa số điện thoại; c) chiến lược nghiệp vụ; d) vị trí, phương tiện nguồn tài nguyên; e) quy định pháp lý; f) nhà thầu, nhà cung cấp khách hàng thân thiết; g) quy trình, bị thu hồi; h) rủi ro (điều hành tài chính) 127 TCVN xxx:2010 15 Sự tuân thủ 15.1 Sự tuân thủ quy định pháp lý Mục tiêu: Nhằm tránh vi phạm pháp luật, quy định, nghĩa vụ theo hợp đồng ký kết, u cầu đảm bảo an tồn thơng tin Thiết kế, điều hành, sử dụng quản lý hệ thống thơng tin phải tn theo u cầu an tồn thơng tin luật pháp, quy định, giao kèo Có thể tìm thấy tư vấn yêu cầu pháp lý cụ thể từ cố vấn pháp luật tổ chức, người hành nghề luật pháp có đủ khả phù hợp Các yêu cầu pháp lý quốc gia khác thay đổi thông tin tạo quốc gia lại truyền sang quốc gia khác (nghĩa luồng liệu chuyển qua biên giới) 15.1.1 Xác định điều luật áp dụng Biện pháp quản lý Tất yêu cầu pháp lý, quy định, nghĩa vụ hợp đồng ký cách tiếp cận tổ chức để đáp ứng yêu cầu phải xác định rõ ràng, ghi thành văn cập nhật thường xuyên Hướng dẫn triển khai Các biện pháp quản lý cụ thể trách nhiệm cá nhân để đáp ứng yêu cầu phải xác định lập thành văn 15.1.2 Quyền sở hữu trí tuệ (IPR) Biện pháp quản lý Các thủ tục phù hợp cần triển khai nhằm đảm bảo phù hợp với yêu cầu pháp lý, quy định cam kết theo hợp đồng việc sử dụng tài liệu có quyền sở hữu trí tuệ sản phẩm phần mềm độc quyền Hướng dẫn triển khai Các hướng dẫn sau cần quan tâm để bảo vệ tài liệu có quyền sở hữu trí tuệ: a) cơng bố quyền sở hữu trí tuệ phải tn thủ theo sách xác định việc sử dụng hợp pháp sản phẩm thông tin phần mềm; b) lấy phần mềm qua nguồn quen biết đáng tin cậy, nhằm đảm bảo khơng vi phạm quyền; c) trì nhận thức sách bảo vệ quyền sở hữu trí tuệ, đưa lưu ý mục đích thực hoạt động kỷ luật cá nhân vi phạm sách; 128 TCVN xxx:2010 d) trì đăng ký tài sản phù hợp, xác định tất tài sản yêu cầu bảo vệ quyền sở hữu trí tuệ; e) trì chứng minh chứng quyền sở hữu quyền, đĩa điều khiển, sách hướng dẫn, …; f) triển khai biện pháp quản lý nhằm đảm bảo không bị vượt số lượng người dùng tối đa phép; g) thực kiểm tra để đảm bảo phần mềm cấp phép sản phẩm có quyền cài đặt; h) cung cấp sách trì điều kiện quyền thích hợp; i) cung cấp sách bố trí chuyển phần mềm cho người khác; j) Sử dụng cơng cụ kiểm tốn phù hợp; k) tn theo điều khoản điều kiện phần mềm thông tin lấy từ mạng công cộng; l) không nhân bản, chuyển đổi sang dạng khác lấy từ hồ sơ thương mại (phim ảnh, tiếng nói) trừ phép; m) khơng chép tồn phần sách, báo, báo cáo dạng tài liệu khác trừ luật quyền cho phép Thông tin khác Các quyền sở hữu trí tuệ bao gồm quyền phần mềm tài liệu, quyền thiết kế, đăng ký thương mại, sáng chế, đăng ký mã nguồn Các sản phẩm phần mềm có quyền thường cung cấp theo thỏa thuận đăng ký nhằm xác định điều khoản điều kiện đăng ký, ví dụ, giới hạn sử dụng sản phẩm với máy móc cụ thể giới hạn chép cho mục đích tạo lưu Trạng thái IPR phần mềm tổ chức phát triển địi hỏi phải cơng bố rõ ràng với đội ngũ nhân viên Các yêu cầu pháp lý, quy định giao kèo đặt giới hạn việc chép tài liệu có quyền Cụ thể là, chúng yêu cầu có tài liệu phát triển tổ chức, đăng ký quyền cung cấp người phát triển cho tổ chức, sử dụng Sự vi phạm quyền dẫn đến hoạt động pháp lý, kiện cáo có tính chất hình 15.1.3 Bảo vệ hồ sơ tổ chức Biện pháp quản lý Các hồ sơ quan trọng cần bảo vệ khỏi mát, phá hủy làm sai lệch, phù hợp với pháp luật, quy định, nghĩa vụ hợp đồng ký 129 TCVN xxx:2010 Hướng dẫn triển khai Các hồ sơ cần phân loại theo loại hồ sơ, ví dụ hồ sơ kế toán, hồ sơ sở liệu, nhật ký giao dịch, nhật ký kiểm toán, thủ tục điều hành, hồ sơ có thơng tin chi tiết giai đoạn sử dụng loại phương tiện lưu trữ, ví dụ giấy, phim, từ, quang Mọi tài liệu có khóa mã hóa liên quan chương trình liên quan đến văn mã hóa chữ ký số (xem 12.3), cần lưu trữ để giải mã hồ sơ Cần xem xét khả hư hỏng thiết bị sử dụng để lưu trữ hồ sơ Các thủ tục lưu trữ xử lý cần triển khai theo hướng dẫn nhà sản xuất Nếu cần lưu trữ thời gian dài nên xem xét sử dụng giấy vi phim Trường hợp thiết bị lưu trữ điện từ lựa chọn thủ tục nhằm đảm bảo khả truy cập liệu (cả khả đọc phương tiện định dạng) tồn q trình lưu trữ cần đưa nhằm bảo vệ an toàn trước mát thay đổi công nghệ tương lai Các hệ thống lưu trữ liệu cần chọn lựa cho liệu yêu cầu lấy lại định dạng khung thời gian mức chấp nhận được, tùy theo yêu cầu phải thỏa mãn Nếu thích hợp hệ thống lưu trữ xử lý cần đảm bảo định danh rõ hồ sơ thời gian lưu trữ chúng xác định yêu cầu pháp lý, quy định quốc gia khu vực Hệ thống phải cho phép hủy bỏ hồ sơ cách phù hợp sau thời gian lưu trữ chúng không cần thiết cho tổ chức Để thỏa mãn mục tiêu bảo vệ hồ sơ, bước sau cần thực nội tổ chức: a) đưa hướng dẫn việc sử dụng, lưu trữ, xử lý loại bỏ hồ sơ thông tin; b) kế hoạch lưu trữ cần phác thảo nhằm xác định hồ sơ khoảng thời gian lưu trữ chúng; c) việc kiểm kê nguồn tài nguyên thông tin quan trọng cần trì; d) biện pháp quản lý phù hợp cần triển khai nhằm bảo vệ hồ sơ thông tin khỏi bị mất, phá hủy làm giả Thơng tin khác Một số hồ sơ cần lưu giữ an toàn để tuân thủ yêu cầu pháp lý, quy định giao kèo, để hỗ trợ hoạt động nghiệp vụ cần thiết Ví dụ hồ sơ yêu cầu chứng cho thấy tổ chức hoạt động tuân theo quy định yêu cầu pháp lý, nhằm đảm bảo phịng thủ thích đáng trước hành động dân hình tiềm ẩn, để xác nhận tình trạng tài tổ chức trước cổ đông, bên liên quan, kiểm toán viên Khoảng thời gian nội dung liệu cần lưu trữ thơng tin có thể quy định điều luật quy tắc quốc gia Thông tin sâu việc quản lý hồ sơ tổ chức tìm thấy ISO 15489-1 130 TCVN xxx:2010 15.1.4 Bảo vệ liệu riêng tư thông tin cá nhân Biện pháp quản lý Việc bảo vệ liệu tính riêng tư cần đảm bảo theo yêu cầu pháp lý, quy định, điều khoản hợp đồng có Hướng dẫn triển khai Chính sách riêng tư bảo vệ liệu tổ chức cần phát triển triển khai Chính sách cần phổ biến cho tất nhân viên tham gia vào việc xử lý thơng tin cá nhân VIệc tn thủ sách tất yêu cầu pháp lý quy định bảo vệ liệu có liên quan đòi hỏi cấu biện pháp quản lý phù hợp Thông thường cách tốt để đạt điều định trách nhiệm cá nhân, ví dụ định nhân viên bảo vệ liệu, người phải đưa hướng dẫn cho người quản lý, người dùng, nhà cung cấp dịch vụ sở trách nhiệm cá nhân họ thủ tục cần phải tuân theo Trách nhiệm việc xử lý thông tin cá nhân đảm bảo nhận thức nguyên tắc bảo vệ liệu cần đề cập phù hợp tuân theo yêu cầu pháp lý quy định Các biện pháp kỹ thuật tổ chức phù hợp để bảo vệ thông tin cá nhân cần triển khai Thông tin khác Một số nước đưa quy định pháp lý biện pháp quản lý việc thu thập, xử lý, chuyển giao liệu cá nhân (nhìn chung, thơng tin người cịn sống xác định từ thơng tin đó) Tùy thuộc vào quy định pháp lý riêng quốc gia mà biện pháp quản lý áp đặt nhiệm vụ lên cá nhân thu thập, xử lý, phổ biến thông tin cá nhân, hạn chế khả truyền liệu tới nước khác 15.1.5 Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin Biện pháp quản lý Cần ngăn chặn người dùng khỏi việc sử dụng phương tiện xử lý thông tin vào mục đích khơng phép Hướng dẫn triển khai Ban quản lý cần thông qua việc sử dụng phương tiện xử lý thông tin Mọi sử dụng phương tiện cho mục đích phi nghiệp vụ mà chưa có thơng qua ban quản lý (xem 6.1.4), cho mục đích trái phép, coi sử dụng phương tiện cách không phù hợp Nếu hoạt động trái phép xác định trình giám sát biện pháp khác hoạt động cần đưa vào diện lưu ý người quản lý, cần quan tâm đến biện pháp xử phạt thỏa đáng và/hoặc hoạt động pháp lý Cần có tư vấn pháp lý trước triển khai thủ tục giám sát 131 TCVN xxx:2010 Mọi người dùng phải nhận thức phạm vi truy cập phép họ việc giám sát nhằm phát sử dụng trái phép Họ cấp cho giấy phép, mà người dùng ký vào tổ chức lưu giữ cách an toàn Các nhân viên tổ chức, người nhà thầu bên thứ ba cần tư vấn không truy cập trừ truy cập cấp phép Tại thời điểm đăng nhập, cần có thơng điệp cảnh báo phương tiện xử lý thông tin truy cập thuộc quyền sở hữu tổ chức truy cập chưa cấp phép bị cấm Người dùng phải hiểu biết phản ứng cách phù hợp với thơng điệp hình để tiếp tục q trình đăng nhập (xem 11.5.1) Thơng tin khác Các phương tiện xử lý thông tin tổ chức thường dành riêng trước tiên cho mục đích nghiệp vụ Các cơng cụ phát vi phạm, kiểm tra nội dung, công cụ giám sát khác giúp ngăn ngừa phát lạm dụng phương tiện xử lý thông tin Rất nhiều nước có quy định pháp lý việc bảo vệ chống lại việc lạm dụng máy tính Đó vi phạm có tính chất hình việc sử dụng máy tính cho mục đích trái phép Tính pháp lý việc giám sát sử dụng khác quốc gia địi hỏi ban quản lý phải tư vấn cho người dùng việc giám sát và/hoặc để nhận chấp thuận họ Nếu hệ thống truy cập sử dụng cho truy cập cơng cộng (ví dụ dịch vụ web cơng cộng) đối tượng cần giám sát an toàn bảo mật cần đưa thơng điệp thơng báo điều 15.1.6 Quy định quản lý mã hóa Biện pháp quản lý Quản lý mã hóa cần áp dụng phù hợp với thỏa thuận, luật pháp quy định liên quan Hướng dẫn triển khai Những vấn đề sau cần quan tâm nhằm tuân thủ thỏa thuận, luật pháp quy định liên quan: a) hạn chế việc nhập và/hoặc xuất phần mềm phần cứng máy tính để thực chức mã hóa; b) hạn chế việc nhập và/hoặc xuất phần mềm phần cứng máy tính thiết kế để bổ sung chức mã hóa c) hạn chế việc sử dụng mã hóa; d) phương pháp bắt buộc tùy chọn truy cập thực quan chức quốc gia tới thông tin mã hóa phần cứng phần mềm để có tính tin cậy nội dung 132 TCVN xxx:2010 Cần có tư vấn pháp lý để đảm bảo tuân thủ luật lệ quy định quốc gia Trước thơng tin mã hóa biện pháp quản lý mã hóa chuyển sang quốc gia khác cần có tư vấn pháp lý 15.2 Sự tuân thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật Mục tiêu: Nhằm đảm bảo tuân thủ hệ thống theo sách tiêu chuẩn an tồn tổ chức Sự an tồn hệ thống thơng tin cần soát xét định kỳ Các soát xét phải thực theo sách an tồn thông tin phù hợp tảng kỹ thuật, hệ thống thông tin cần kiểm tra tuân thủ theo tiêu chuẩn triển khai an toàn thông tin hành biện pháp quản lý an tồn thơng tin lập thành văn 15.2.1 Sự tuân thủ tiêu chuẩn sách an toàn Biện pháp quản lý Người quản lý cần đảm bảo thủ tục đảm bảo an toàn phạm vi trách nhiệm thực xác để đạt kết phù hợp với sách tiêu chuẩn an tồn Hướng dẫn triển khai Ban quản lý cần sốt xét định kỳ tuân thủ xử lý thông tin theo sách, tiêu chuẩn an tồn yêu cầu an toàn khác phạm vi trách nhiệm Nếu sốt xét tìm thấy khơng tn thủ ban quản lý cần: a) xác định nguyên nhân không tuân thủ; b) đánh giá nhu cầu cần có hoạt động để đảm bảo không tuân thủ không tái diễn; c) xác định triển khai hoạt động phịng ngừa thích hợp; d) sốt xét lại hoạt động phòng ngừa thực Các kết việc sốt xét hoạt động phịng ngừa thực người quản lý cần ghi lại báo cáo cần lưu lại Những người quản lý phải báo cáo kết đến người thực soát xét độc lập (xem 6.1.8) việc soát xét độc lập diễn phạm vi thuộc trách nhiệm họ Thông tin khác Nội dung giám sát điều hành việc sử dụng hệ thống đề cập 10.10 15.2.2 Kiểm tra tương thích kỹ thuật Biện pháp quản lý 133 TCVN xxx:2010 Các hệ thống thông tin cần kiểm tra thường xuyên tuân thủ tiêu chuẩn thực an toàn Hướng dẫn triển khai Việc kiểm tra tuân thủ kỹ thuật cần thực tay (nếu cần phải hỗ trợ công cụ phần mềm phù hợp) kỹ sư hệ thống có kinh nghiệm, và/hoặc với hỗ trợ công cụ tự động, công cụ cung cấp báo cáo kỹ thuật mà sau giải thích chuyên gia kỹ thuật Nếu thực kiểm tra thâm nhập đánh giá điểm yếu cần thận trọng hoạt động gây tổn hại đến an toàn hệ thống Những kiểm tra cần lên kế hoạch, lập thành văn lặp lại Mọi kiểm tra tuân thủ kỹ thuật thực người nhân viên có trình độ, có thẩm quyền, giám sát nhân viên Thông tin khác Kiểm tra tuân thủ kỹ thuật phải thực hệ thống điều hành nhằm đảm bảo biên pháp quản lý phần cứng phần mềm thực Loại kiểm tra tuân thủ đòi hỏi phải thực chuyên gia kỹ thuật thành thạo Kiểm tra tuân thủ bao gồm, ví dụ, kiểm tra xâm nhập đánh giá điểm yếu, kiểm tra thực chuyên gia độc lập ký hợp đồng thực mục đích Cách hữu ích việc phát điểm yếu hệ thống kiểm tra xem biện pháp quản lý có hiệu việc ngăn chặn truy cập trái phép điểm yếu không Việc kiểm tra xâm nhập đánh giá điểm yếu cung cấp đánh giá chung hệ thống trạng thái định vào thời điểm định Sự đánh giá giới hạn cho phần hệ thống thực kiểm tra nỗ lực xâm nhập Việc kiểm tra xâm nhập đánh giá điểm yếu thay việc đánh giá rủi ro 15.3 Xem xét việc kiểm tốn hệ thống thơng tin Mục tiêu: Nhằm tối ưu hóa giảm thiểu ảnh hưởng xấu từ/tới q trình kiểm tốn hệ thống thơng tin Cần có biện pháp quản lý nhằm bảo vệ an toàn cho hệ thống điều hành cơng cụ kiểm tốn kiểm tốn hệ thống thơng tin Việc bảo vệ u cầu nhằm bảo vệ tính tồn vẹn ngăn ngừa lạm dụng công cụ kiểm toán 15.3.1 Biện pháp quản lý 134 Các biện pháp quản lý kiểm tốn hệ thống thơng tin TCVN xxx:2010 Các yêu cầu hoạt động kiểm toán hệ thống điều hành cần hoạch định thận trọng thống nhằm hạn chế rủi ro đổ vỡ quy trình hoạt động nghiệp vụ Hướng dẫn triển khai Những hướng dẫn sau cần quan tâm: a) yêu cầu kiểm toán cần thông qua với ban quản lý; b) phạm vi kiểm tra cần thông qua quản lý; c) kiểm tra cần giới hạn truy cập đọc tới phần mềm liệu; d) truy cập khác truy cập đọc cho phép phân tách tệp tin hệ thống, phải xóa bỏ việc kiểm tốn hồn tất bảo vệ phù hợp có nghĩa vụ phải giữ lại tệp tin theo u cầu hồ sơ kiểm tốn e) nguồn tài nguyên sử dụng để thực thi kiểm tra phải xác định rõ sẵn sàng; f) yêu cầu xử lý đặc biệt xử lý thêm cần xác định rõ thông qua; g) truy cập phải giám sát ghi lại để cung cấp vết tham chiếu; việc sử dụng vết tham chiếu theo thời gian cần xem xét hệ thống liệu quan trọng; h) thủ tục, yêu cầu trách nhiệm phải lập thành văn bản; i) (những) người thực kiểm toán cần độc lập với hoạt động cần kiểm toán 15.3.2 Bảo vệ cơng cụ kiểm tốn hệ thống thông tin Biện pháp quản lý Truy cập tới cơng cụ kiểm tốn hệ thống thơng tin cần bảo vệ khỏi lạm dụng lợi dụng Hướng dẫn triển khai Các cơng cụ kiểm tốn hệ thống thơng tin, ví dụ, phần mềm tệp liệu, cần cách ly với hệ thống điều hành phát triển không giữ thư viện băng ghi âm khu vực có người dùng, trừ bảo vệ mức độ phù hợp Thông tin khác Nếu công việc kiểm tốn có tham gia bên thứ ba xuất rủi ro bên thứ ba lạm dụng cơng cụ kiểm tốn và truy cập vào thông tin Các biện pháp quản lý 6.2.1 (để đánh giá rủi ro) 9.1.2 (để hạn chế truy cập vật lý) cần quan tâm để giải rủi ro hậu nó, ví dụ thay đổi mật tiết lộ cho nhân viên kiểm toán 135 TCVN xxx:2010 Thư mục tài liệu tham khảo [1] ISO/IEC Guide 2:1996, Standardization and related activities General vocabulary [2] ISO/IEC Guide 73:2002, Risk management Vocabulary Guidelines for use in standards [3] ISO/IEC 13335-1:2004, Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management [4] ISO/IEC TR 13335-3:1998, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT Security [5] ISO/IEC 13888-1:1997, Information technology Security techniques Non-repudiation -Part 1: General [6] ISO/IEC 11770-1:1996, Information technology Security techniques Key management -Part 1: Framework [7] ISO/IEC 9796-2:2002, Information technology Security techniques Digital signature schemes giving message recovery Part 2: Integer factorization based mechanisms [8] ISO/IEC 9796-3:2000, Information technology Security techniques Digital signature schemes giving message recovery Part 3: Discrete logarithm based mechanisms [9] ISO/IEC 14888-1:1998, Information technology Security techniques Digital signatures with appendix Part 1: General [10] ISO/IEC 15408-1:1999, Information technology Security techniques Evaluation criteria for IT security Part 1: Introduction and general model [11] ISO/IEC TR 14516:2002, Information technology Security techniques Guidelines for the use and management of Trusted Third Party services [12] BS ISO 15489-1:2001, Information and documentation - Records management – Part 1: General [13] ISO 10007:2003, Guidelines for Configuration Management [14] ISO/IEC 12207:1995, Information technology Software life cycle processes [15] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [16] OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security [17] OECD Guidelines for Cryptography Policy, 1997 [18] IEEE P1363 – 2000, Standard Specifications for Public-Key Cryptography 136 TCVN xxx:2010 [19] ISO/IEC 18028-4, Information technology Security techniques – IT Netwwork security - Part 4: Securing remote access [20] ISO/IEC TR 18044, Information technology – Security techniques – Information security incident management 137 ... Bộ Khoa học Công nghệ công bố theo Quyết định số TCVN xxx:2010 TIÊU CHUẨN QUỐC GIA TCVN XXX:2010 Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin Information... vụ pháp lý truy cập, xử lý, truyền thông, quản lý thông tin phương tiện xử lý thông tin tổ chức Thông tin khác Thông tin bị rủi ro tổ chức thứ ba quản lý an tồn thơng tin khơng phù hợp Các biện... 1335-3 (Các hướng dẫn quản lý an tồn cơng nghệ thơng tin: Các kỹ thuật quản lý an tồn cơng nghệ thơng tin) 4.2 Xử lý rủi ro an tồn thơng tin Trước quan tâm đến việc xử lý rủi ro, tổ chức cần