TCCS TIÊU CHUẨN CƠ SỞ HIỆP HỘI AN TỒN THƠNG TIN VIỆT NAM TCCS 01: 2019/VNISA Xuất lần 01 TIÊU CHUẨN KỸ THUẬT VỀ GIẢI PHÁP HÓA ĐƠN ĐIỆN TỬ AN TOÀN HÀ NỘI – 2019 Mục lục Lời nói đầu Lời giới thiệu Phạm vi đối tượng áp dụng Tài liệu tham chiếu Thuật ngữ viết tắt Nội dung Tiêu chuẩn kỹ thuật 4.1 Mô tả chung 4.2 Các phương pháp đánh giá đo lường chuẩn 4.3 Mô tả chi tiết yêu cầu bắt buộc Phụ lục 18 5.1 Mẫu đánh giá Chức năng, nghiệp vụ Giải pháp 18 5.2 Mẫu đánh giá an toàn thông tin hệ thống máy chủ 20 5.3 Mẫu đánh giá Phần mềm, ứng dụng 26 5.4 Mẫu đánh giá an tồn thơng tin vật lý 33 5.5 Mẫu đánh giá tổ chức, nhân tiêu chí khác 35 Lời nói đầu TCCS 01: 2019/VNISA – Tiêu chuẩn kỹ thuật Giải pháp hóa đơn điện tử an tồn Hiệp hội An tồn thơng tin Việt Nam biên soạn công bố Câu lạc Chữ ký số Giao dịch điện tử Việt Nam (VCDC) đơn vị giúp Hiệp hội xây dựng nội dung Tiêu chuẩn TCCS 01: 2019/VNISA xây dựng sở tham khảo tài liệu TCVN 11930 Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu an tồn hệ thống thơng tin theo cấp độ, văn quy phạm pháp luật liên quan tới phạm vi tiêu chuẩn Lời giới thiệu Hóa đơn lĩnh vực quan trọng lĩnh vực tài chính, sở để tính tốn tiền thuế mà doanh nghiệp, cá nhân cần hoàn thành nghĩa vụ nộp thuế với nhà nước Hệ thống cung cấp Dịch vụ hóa đơn điện tử hệ thống quan trọng hệ thống quản lý liệu hóa đơn điện tử doanh nghiệp nhiều năm Giải pháp Hóa đơn điện tử an toàn cần phải đảm bảo tiêu chí nghiệp vụ, tiêu chí an tồn thông tin (ATTT) đảm bảo hạn chế đến mức cao rủi ro liên quan tới liệu hóa đơn doanh nghiệp Theo đề xuất Câu lạc Chữ ký số Giao dịch điện tử Việt Nam, Hiệp hội An tồn Thơng tin Việt Nam (VNISA) ban hành tiêu chuẩn kỹ thuật (TCKT) giải pháp Hóa đơn điện tử (HĐĐT) an tồn với mục đích đưa tiêu chí tối thiểu mà giải pháp Hóa đơn điện tử nên có để đáp ứng: - Các quy định Nhà nước ATTT - Các yêu cầu khách hàng ATTT Các tiêu chí an tồn thơng tin áp dụng cho hệ thống phần mềm VNISA Bộ TCKT làm sở cho việc đánh giá, công nhận giải pháp HĐĐT đạt tiêu chuẩn ATTT theo tiêu chí VNISA Bộ TCKT bao gồm 05 phần: - Phần 1: Phạm vi đối tượng áp dụng - Phần 2: Tài liệu liên quan - Phần 3: Thuật ngữ viết tắt - Phần 4: Nội dung Tiêu chuẩn kỹ thuật - Phần 5: Phụ lục Hệ thống cung cấp dịch vụ HĐĐT VNISA định nghĩa tương đương với hệ thống thông tin cấp độ (level 3) hệ thống mà bị phá hoại làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng cộng trật tự, an toàn xã hội làm tổn hại tới quốc phòng, anh ninh quốc gia (TCVN 11930) Các TCKT sử dụng để đánh giá giải pháp HĐĐT an tồn kế thừa có bổ sung TCKT liên quan, phù hợp mặt tổng thể với quy định nhà nước lĩnh vực Hệ thống đánh giá Đạt khi: Đáp ứng 100% yêu cầu TCKT TIÊU CHUẨN CƠ SỞ TCCS 01: 2019/VNISA Tiêu chuẩn kỹ thuật giải pháp hóa đơn điện tử an toàn Phạm vi đối tượng áp dụng - Phạm vi: + + - Đối tượng áp dụng: + + Các tổ chức, cá nhân thành viên VNISA có liên quan lĩnh vực cần tuân thủ chấp hành nội dung đề cập TCCS Các Doanh nghiệp, cá nhân, tổ chức sử dụng tài liệu tham khảo việc xây dựng, lựa chọn, đánh giá tính ATTT giải pháp HĐĐT an toàn Tài liệu tham chiếu Nghị định 26/2007/NĐ-CP Quy định thi hành luật giao dịch điện tử Chữ ký số Dịch vụ Chứng thực Chữ ký số Thông tư 06/2015/TT-BTTTT Quy định danh mục tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số Thông tư 32/2011/TT-BTC Hướng dẫn khởi tạo, phát hành sử dụng Hóa đơn điện tử bán hàng hóa cung ứng dịch vụ Nghị Định 119/2018/NĐ-CP Quy định hóa đơn điện tử bán hàng hóa, cung cấp – – – – dịch vụ TCVN 11930: 2017 Công nghệ thơng tin – Các kỹ thuật an tồn – u cầu an tồn hệ thống thơng tin theo cấp độ – Tài liệu áp dụng hoạt động kiểm tra, đánh giá, chứng nhận truyền thông, đào tạo VNISA VNISA sử dụng tài liệu tiêu chuẩn sở Hiệp hội hoạt động chuyên môn theo quy định pháp luật Tài liệu có tính chất tham khảo để tổ chức, cá nhân vận dụng vào hoạt động xây dựng, lựa chọn, hoàn thiện giải pháp HĐĐT Thuật ngữ viết tắt ATTT An tồn thơng tin CSDL Cơ sở liệu (Database) CCID (protocol) Chuẩn giao thức USB cho phép thiết bị thẻ thông minh kết nối với máy tính qua giao diện USB (Chip card interface device) FIPS Là tiêu chuẩn Chính phủ liên bang Hoa Kỳ phát triển công bố sử dụng hệ thống máy tính quan phi phủ nhà thầu phủ (Federal Information Processing Standard) HĐĐT Hóa đơn điện tử HSM Thiết bị phần cứng bảo mật chuyên dụng dùng để tạo, lưu trữ bảo vệ khóa quan trọng CA SubCA (Hardware Security Module) HA Là đặc điểm hệ thống nhằm đảm bảo mức độ hiệu hoạt TCCS 01: 2019/VNISA động đảm bảo khoảng thời gian hoạt động bình thường thời gian cao tải (High Availability) IP Mã bảo vệ quốc tế (International Protection) NĐ Nghị định NĐ-CP Nghị định phủ PC Máy vi tính cá nhân (Personal Computer) PCCC Phịng cháy chữa cháy SHA Hàm băm an toàn (Secure Hash Algorithm) TCKT Tiêu chuẩn kỹ thuật TCVN Tiêu chuẩn Việt Nam TT-BTTTT Thông tư Bộ thông tin truyền thông TT Thơng tư TT-BTC Thơng tư Bộ tài Nội dung Tiêu chuẩn kỹ thuật 4.1 Mơ tả chung Hóa đơn chứng từ kế toán tổ chức, cá nhân bán hàng hóa, cung cấp dịch vụ lập, ghi nhận thơng tin bán hàng hóa, cung cấp dịch vụ theo quy định luật kế tốn Hóa đơn điện tử hóa đơn thể dạng liệu điện tử tổ chức, cá nhân bán hàng hóa, cung cấp dịch vụ lập, ghi nhận thơng tin bán hàng hóa, cung cấp dịch vụ, ký số, ký điện tử theo quy định phương tiện điện tử, bao gồm trường hợp hóa đơn khởi tạo từ máy tính tiền có kết nối chuyển liệu điện tử với quan thuế Giải pháp Hóa đơn điện tử giải pháp hệ thống phần mềm, phần cứng, quy trình để triển khai cho phép doanh nghiệp khởi tạo, lập, gửi, nhận, lưu trữ quản lý Hóa đơn phương tiện điện tử Yêu cầu Hệ thống cho Giải pháp hóa đơn điện tử cần đáp ứng tiêu chí: - Tính đầy đủ chức nghiệp vụ HĐĐT theo quy định nhà nước - ATTT máy chủ - Các phương pháp đánh giá đo lường chuẩn 4.2 a Phương pháp đánh giá: kiểm tra hoạt động thực tiễn chức năng, hệ thống, giải pháp - ATTT phần mềm, ứng dụng, bảo vệ liệu ATTT vật lý Tổ chức Nhân Các tiêu chí khác ( chi tiết hóa ) Nguyên tắc đánh giá: Dựa việc kiểm tra, đo lường kết hoạt động chức hệ thống, giải pháp có đạt mức phù hợp với yêu cầu, tiêu, tiêu chuẩn cơng bố Mục đích áp dụng để đánh giá: Tính phù hợp, tính xác chức theo tiêu chí đề Phương thức thực hiện: Chạy thử thực tế, tình huống, kiểm tra chức năng, tổng hợp kết đánh giá TCCS 01: 2019/VNISA b Phương pháp đánh giá: Lấy ý kiến chuyên gia - Nguyên tắc đánh giá: Dựa ý kiến nhận xét chuyên gia hàng đầu Hội đồng chuyên gia chuyên ngành sở kinh nghiệm phân tích tài liệu hồ sơ biên vận hành hệ thống - Mục đích áp dụng: Có thể áp dụng để đánh giá tiêu chí phi chức như: Tính bảo mật, kiến trúc cơng nghệ, khả bảo trì, khả tương tác, khả phân tích, khả thay đổi được, khả cài đặt phần mềm, khả chịu lỗi, khả phục hồi, khả tương thích, chất lượng mã nguồn - c Phương thức thực hiện: Tổng hợp ý kiến chuyên gia nhận xét đánh giá tài liệu giải pháp, công nghệ áp dụng, hồ sơ hệ thống kết vận hành thử nghiệm thực tiễn Các phương pháp khác - Tùy theo tình hình thực tế, xem xét áp dụng bổ sung không giới hạn phương pháp khác phù hợp với đối tượng mục tiêu đánh giá - Các phương pháp bổ sung phải mô tả đầy đủ báo cáo mục tiêu chí đánh giá liên quan TCCS 01: 2019/VNISA 4.3 Mô tả chi tiết yêu cầu bắt buộc Phương pháp đánh giá TT I Nội dung đánh giá Chức khởi tạo HĐĐT 1.2 Chức lập HĐĐT 1.3 Chức gửi, nhận HĐĐT 1.5 1.6 Quy trình thực Kết cần đạt Đầy đủ chức nghiệp vụ HĐĐT 1.1 1.4 Các tiêu chí Là chức đáp ứng nghiệp vụ để dịch vụ HĐĐT hoạt động theo quy định Nhà nước hóa đơn điện tử Chức ký số xác thực cần đáp Chức lưu trữ HĐĐT ứng yêu cầu: Chức quản lý HĐĐT: tìm - Ký xác thực với tất nhà cung kiếm, thay thế, điều chỉnh Hóa cấp hợp pháp cơng nhận theo quy đơn điện tử định pháp luật Chức ký số HĐĐT - Áp dụng phương pháp Các chức có đầy đánh giá, kiểm tra hoạt đủ thực NĐ19, TT32, NĐ động thực tiễn nghiệp vụ 130 chức Ký xác thực theo quy định pháp luật Chức ký số áp dụng thuật toán hàm băm tối thiểu SHA1 trở lên Chức ký số xác thực cần đáp 1.7 II Tài liệu tham chiếu (nếu có) ứng yêu cầu: - Ký xác thực với tất nhà cung Chức xác thực chữ ký số cấp hợp pháp công nhận theo quy HĐĐT định pháp luật - Ký xác thực theo quy quy định pháp luật Bảo đảm an toàn máy chủ, thiết bị hệ thống Áp dụng phương pháp Các chức có đầy đánh giá, kiểm tra hoạt đủ thực động thực tiễn nghiệp vụ chức TCCS 01: 2019/VNISA 2.1 Xác thực Kiểm sốt truy cập Thiết lập sách xác thực người dùng truy cập, quản Áp dụng phương pháp Hệ thống có thiết Là sách xác thực người dùng đánh giá, kiểm tra hoạt lý sử dụng máy chủ thiết lập sách quản trị quản trị truy cập máy chủ hệ thống động thực tiễn bị hệ thống (nếu thiết bị có người dùng chức chức xác thực) TCVN 11930 Áp dụng phương pháp Hệ thống vô hiệu hóa đánh giá, kiểm tra hoạt tài khồn mặc định, cổng quản cổng quản trị mặc định hoạt động tài khoản, cổng động thực tiễn trị mặc định (nếu có) khơng phép quản trị mặc định chức TCVN 11930 Yêu cầu sử dụng mật - Thay đổi mật mặc định Áp dụng phương pháp mạnh có sử dụng - Thiết lập mật mạnh đánh giá, kiểm tra hoạt Hệ thống áp dụng phần mềm cơng cụ giúp quản - Thời gian thay đổi mật định kỳ < động thực tiễn sách mật mạnh trị viên quản lý mật hệ tháng chức thống - Số lần nhập sai mật TCVN 11930 Thay đổi vơ hiệu hóa Khơng cho phép tài khoản mặc định, Thiết lập sách quản lý truy cập, IP truy Giới hạn, kiểm sốt thơng tin truy cập, thời gian truy cập,… đến cập tới máy chủ: IP, thời gian, số lượng máy chủ thiết bị hệ truy cập thống vận hành từ xa 2.2 Áp dụng phương pháp TCVN 11930 Hệ thống có sách đánh giá, kiểm tra hoạt quản lý truy cập, cấu động thực tiễn hình kiểm sốt truy cập chức Nhật ký hệ thống Nhật ký hệ thống cần lưu trữ Áp dụng phương pháp Lưu đầy đủ thông tin hoạt động tác đầy đủ thông tin đánh giá, kiểm tra hoạt động đến máy chủ thời gian quy Hệ thống có đầy đủ sau: Log tường lửa, thông tin động thực tiễn định, phục vụ việc truy vết, xác định Log tác động đăng nhập vào máy chủ, thiết chức Kết hợp nguyên nhân vụ việc bị, thông tin tác động người phương pháp đánh giá, TCVN 11930 TCCS 01: 2019/VNISA dùng phiên đăng nhập Các thông tin lưu tối thiểu thời gian tháng gần lấy ý kiến chuyên gia (so với thời điểm đánh giá) 2.3 Phòng chống xâm nhập, phần mềm độc hại Sử dụng tường lửa (firewall) để ngăn chặn truy cấp trái phép tới máy chủ, thiết bị hệ thống Sử dụng giao thức mạng an tồn Vơ hiệu hóa giao thức mạng khơng an tồn, dịch vụ mặc định không sử dụng máy chủ, thiết bị Quản lý, kiểm soát kết nối hợp pháp Áp dụng phương pháp Có sử dụng tường lửa, đánh giá, kiểm tra hoạt có cấu hình ngăn chặn động thực tiễn truy cập bất hợp pháp chức TCVN 11930 Máy tính (windows server, Linux …) thường có giao thức mạng, dịch vụ mặc định Nếu không sử dụng phải vơ hiệu hóa thơng tin để tránh bị lợi dụng lỗ hổng Áp dụng phương pháp đánh giá, kiểm tra hoạt động thực tiễn chức TCVN 11930 Vơ hiệu hóa giao thức mạng, dịch vụ mặc định không sử dụng cho dịch vụ Áp dụng phương pháp đánh giá, kiểm tra hoạt Có phương án cập nhật động thực tiễn nâng cấp, vá lỗi hệ Có phương án, kế hoạch cập nhật chức Kết hợp Có phương án khả thi điều hành dịch vụ thường xuyên vá hệ điều hành phương pháp đánh giá, kèm máy chủ, thiết bị lấy ý kiến chuyên gia 10 TCVN 11930 TCCS 01: 2019/VNISA thời gian tháng gần (so với thời điểm đánh giá) Phòng chống xâm nhập, phần mềm độc hại Sử dụng tường lửa (fỉewall) để ngăn chặn truy cập trái phép tới máy chủ, thiết bị hệ thống Đã thiết lập luật chặn cho máy chủ, thiết bị hệ thống tường lửa theo mô hình hệ thống Có sử dụng tường lửa, có cấu hình ngăn chặn truy cập bất hợp pháp Đã vơ hiệu hóa HTTP Đã vơ hiệu hóa Ping, Telnet Đã vơ hiệu hóa: TLS 1.1 Sử dụng giao thức mạng an tồn Vơ hiệu hóa giao thức mạng khơng an tồn, dịch vụ mặc định khơng sử dụng máy chủ, thiết bị Đã vơ hiệu hóa, TLS 1.0, TLS 1.1 Đã sử dụng giao thức an toàn: HTTPS (Khuyến nghị nên chuyển sang giao thức TLS v2) Đã sử dụng giao thức an toàn: TLS v2 Có phương án cập nhật nâng cấp, vá lỗi hệ điều hành Vô hiệu hóa giao thức mạng, dịch vụ mặc định khơng sử dụng cho dịch vụ Đã có phương án định kỳ cập nhật vá hệ điều hành tối thiểu tháng lần Có phương án khả thi 23 TCCS 01: 2019/VNISA dịch vụ kèm máy chủ, thiết bị Máy chủ cài đặt phần mềm diệt Virus, phần mềm phòng chống mã độc hại Đã cài đặt phần mềm diệt virus có quyền thường xuyên cập nhật phiên Có cài đặt phần mềm diệt virus đủ mạnh Đã có quy trình, quy định định Có sách định kỳ dị qt xử lý phần mềm độc hại, điểm yếu ATTT kỳ tháng lần dò quét xử lý phần mềm độc hại, điểm yếu ATTT (đã chứng nhận tổ chức có giấy phép kinh doanh dịch vụ ATTT) Hoặc thuê tổ chức thứ có Có quy trình, quy định dị qt xử lý giấy phép kinh doanh dịch vụ ATTT giám sát an toàn hệ thống Đã có quyền (nếu phần mềm phí) cho Hệ quản trị CSDL Máy chủ cài đặt phần mềm có quyền (OS, DB) Đã có quyền (nếu phần Có quyền Hệ điều mềm phí) cho hệ điều hành hành phần mềm sử dụng hệ thống Xử lý máy chủ, thiết bị chuyển giao mục đích sử dụng Có phương án xóa Đã có quy trình sách Có quy trình, quy định xử liệu khơng cịn sử việc xóa liệu đảm bảo lý thiết bị chuyển giao 24 TCCS 01: 2019/VNISA dụng Đảm bảo liệu khơng thể phục hồi sau xóa khơng thể khơi phục sau xóa hủy bỏ Sử dụng phần mềm chuyên dụng Sử dụng phá hủy vật lý Sử dụng định dạng nhiều lần Sử dụng Phương pháp khác 25 TCCS 01: 2019/VNISA 5.3 Mẫu đánh giá Phần mềm, ứng dụng MẪU ĐÁNH GIÁ PHẦN MỀM, ỨNG DỤNG (Các yêu cầu bắt buộc) Bài đo kết TCKT Các tiêu Kết mong muốn 1.Xác thực, kiểm soát truy cập Mật phải mã hóa lưu trữ Lưu trữ mã hóa thơng tin nhạy cảm Bản dự phịng CSDL Các thơng tin nhạy cảm phải mã hóa CSDL mã hóa Đảm bảo an tồn mật người gồm: sử dụng - Thay đổi mật mặc định - Sử dụng mật 26 Đã có sách mật phải bao gồm chữ hoa, chữ thường, ký tự đặc biệt dài ký tự Đã thiết lập sách bắt buộc tháng thay đổi mật lần Có áp dụng sách mật mạnh Thực tế Có Khơng Kết luận TCCS 01: 2019/VNISA mạnh - Thiết lập thời gian thay đổi mật - Số lần nhập sai mật Thiết lập thời gian ngắt kết nối khơng có u cầu từ người dùng Thiết lập phân quyền người dùng mức liệu Đã thiết lập số lần nhập sai mật lần bị khóa tài khoản Đã giới hạn thời gian ngắt kết Ứng dụng có thiết lập nối khơng có thao tác (Khơng q phút) thông số thời gian ngắt kết nối Kiểm tra mặt sách phân quyền người dùng theo giải pháp Ứng dụng có phân quyền mức liệu Nhật ký hệ thống Ghi, lưu trữ nhật ký hệ thống thời gian tối thiểu 03 tháng, với thông tin sau: - Thông tin truy cập ứng dụng - Lỗi phát sinh hệ thống - Thông tin tác động, cấu hình từ quản trị viên Tồn log nghiệp vụ từ trước lúc kiểm tra tháng Tồn Log tác động cấu hình từ quản trị viên từ trước lúc Ứng dụng có đầy đủ Log tác động kiểm tra tháng Tồn log truy cập người dùng từ trước lúc kiểm tra tháng 27 TCCS 01: 2019/VNISA Nhật ký tác động lập, sửa, xóa, hủy hóa đơn điện tử phải lưu trữ thời gian tối thiểu 10 năm kể từ thời điểm thực thành Đã có giải pháp lưu trữ log nghiệp vụ tối thiểu 10 năm an tồn tồn vẹn Có ghi nhật ký đơn vị đánh giá chứng minh khả lưu trữ tối thiểu 10 năm công giao dịch An toàn ứng dụng mã nguồn, bảo mật liệu Đã mã hóa thơng tin mật lưu trữ CSDL Mã hóa thơng tin nhạy cảm, bí mật lưu trữ, truyền thơng tin qua kênh kết nối Có phương án bảo vệ ứng dụng chống lại công phổ biến như: SQL Injection, OS Command injection, XSS, CSRF, RFI, LFI, Xpath injection 28 Đã sử dụng giao thức an toàn: HTTPS TLS v2 Ứng dụng có mã hóa thơng tin nhạy cảm Đã mã hóa liệu dự phịng đảm bảo lưu trữ an toàn toàn vẹn chưa Đã có phương án bảo vệ ứng dụng chống lại loại công phổ biến như: SQL Injection, OS Command injection, XSS, CSRF, RFI, LFI, Xpath injection đánh giá (pentest) Ứng dụng khắc phục lỗ hổng Hệ thống phải trang bị giải pháp bảo vệ tường lửa ứng dụng TCCS 01: 2019/VNISA Ứng dụng có chức thơng báo lỗi người dùng qua web Có chức thơng báo lỗi cho người dùng Ứng dụng có chức thơng báo lỗi người dùng qua SMS Ứng dụng có chức thông báo lỗi người dùng qua email Sử dụng chữ ký số để chống chối bỏ, xác thực liệu, thông tin quan trọng theo quy định Chức ký số xác thực ký số thực theo tiêu chuẩn Thông tư số 06/2015/TTBTTTT ngày 23/03/2015 Có thơng báo thơng tin lỗi Đã sử dụng chữ ký số để xác thực thông tin quan trọng: Hóa đơn điện tử Chữ ký số hóa đơn tuân theo tiêu chuẩn Thông Áp dụng thuật toán, thư viện SHA, RSA tư số 06/2015/TT-BTTTT ngày 23/03/2015, Nghị Định 130/2018/NĐ-CP 27/9/2018 ngày Sao lưu dự phịng, bảo đảm an tồn liệu 29 TCCS 01: 2019/VNISA Đã có sách lưu liệu, log tác động, hệ điều hành định kỳ (Thời gian lưu trữ, Có sách lưu dự phòng liệu, log tác động, hệ điều hành định kỳ phương án lưu trữ đảm bảo an toàn tồn vẹn) Đã có phương án đồng liệu hệ thống hệ thống dự phịng phải đồng thời gian thực đảm bảo liệu hệ thống ln đầy đủ Đã có tối thiểu đường truyền Đường internet: Đường đường dự phải nhà cung cấp khác băng thông tối thiểu phòng tối thiểu 10MB đường truyền 10MB Thiết bị lữu trữ Chứng thư số: thiết bị USB Token, HSM thiết bị tương đương đảm bảo tiêu chuẩn Thiết bị lưu trữ chứng thư số khối an ninh phần cứng FIPS PUB 140-2 tối thiểu level nhà nước (Nghị Định 130/2018/NĐ-CP, TT06/2015/TT-BTTTT) 30 Có sách lưu liệu Thiết bị lưu trữ thẻ Token Smart card FIPS PUB 140-2 tối thiểu level Có tối thiểu đường truyền có tốc độ theo quy định TCCS 01: 2019/VNISA Thiết bị lưu trữ chứng thư số khác Hệ thống tường lửa, IPS/IDS Có khả phát hiện, cảnh báo ngăn chặn truy cập bất hợp pháp, hình thức công môi trường mạng Hệ thống tường lửa, IPS/IDS Có khả phát hiện, cảnh báo ngăn chặn truy cập bất hợp pháp, hình thức cơng mơi trường mạng Có lưu trữ chứng thư số HSM thiết bị tương đương Có hệ thống Tường lửa IPS/IDS tương đương phát cơng dị qt thử nghiệm Đã cài đặt công nghệ cluster Hệ thống máy chủ cài đặt theo công nghệ cluster, load balancing, quản trị từ xa Có cán trực hệ thống 24/7 Có điện thoại hỗ trợ KH Hệ thống UPS, hệ thống máy phát điện đảm bảo Đã cài đặt công nghệ load balancing Đã phân công công cán trực hệ thống 24/7 Đã có số điện thoại hỗ trợ khách hàng online 24/7 Kiểm tra đánh giá tài liệu kỹ thuật mô tả hệ thống điện dự phịng - Server có dự phịng - Có hệ thống lưu trữ liệu đủ thời gian tối thiểu 10 năm - Có nhân trực 24/7 Hệ thống UPS hoạt động online: Khi ngắt điện hệ thống UPS hoạt động 31 TCCS 01: 2019/VNISA hoạt động hệ thống 24/7 Đã lắp đặt hệ thống UPS Đã có hệ thống máy phát điện dự phịng Đã có sách nhật ký thực tế việc bảo dưỡng UPS hệ thống điện dự phòng đảm bảo hệ thống hoạt động bình thường 32 kích hoạt máy phát điện hoạt động d TCCS 01: 2019/VNISA 5.4 Mẫu đánh giá an tồn thơng tin vật lý MẪU ĐÁNH GIÁ NHÂN SỰ VÀ TIÊU CHÍ KHÁC (Các yêu cầu bắt buộc) Bài đo kết TCKT Các tiêu Đã lắp đặt hệ thống camera an ninh cho hệ thống hệ thống dự phịng Có hệ thống camera an ninh giám sát phịng máy Đã lưu trữ liệu Camera đủ tối thiểu tháng tính từ ngày Kết mong muốn Thực tế Có Khơng Kết luận - Có hệ thống Camera hoạt động tốt - Có khả xem lại liệu vòng tối thiểu tháng từ ngày kiểm tra kiểm tra Có phương án hệ thống dự phịng đảm bảo trì hoạt động an tồn, liên tục có phương án xử lý tình bất thường, khắc phục cố: quy trình phục hồi liệu gặp cố; thời gian phục hồi liệu tối đa 08 kể Đã có hệ thống dự phịng thảm họa đảm bảo khoảng cách tối thiểu 20 Km so với hệ thống Đã ban hành quy trình xử lý cố chưa? - Có quy trình văn hóa - Thử nghiệm quy trình thực tế để đảm bảo quy trình phù hợp có hiệu lực 33 TCCS 01: 2019/VNISA từ thời điểm hệ thống gặp cố Đã có hệ thống báo cháy, báo nổ Các yêu cầu đảm bảo an tồn PCCC: Có hệ thống báo cháy, báo nổ, chống sét, có hệ thống điều hịa tập trung - Có hệ thống báo cháy, Đã có hệ thống điều hịa riêng tập trung báo khói - Có hệ thống điều hịa tập trung… cịn hoạt động bình thường Đã có sách định kỳ kiểm tra hệ thống có hoạt động bình thường khơng? Có hệ thống dự phòng thảm họa (DR) đặt cách xa hệ thống 20Km 34 Đã có hệ thống dự phịng thảm họa đảm bảo khoảng cách tối thiểu 20Km so với hệ thống Có hệ thống dự phịng thảm họa với tính đầy đủ hệ thống TCCS 01: 2019/VNISA 5.5 Mẫu đánh giá tổ chức, nhân tiêu chí khác MẪU ĐÁNH GIÁ NHÂN SỰ VÀ TIÊU CHÍ KHÁC (Các yêu cầu bắt buộc) Bài đo kết TCKT Các tiêu Kết mong muốn Có giấy phép đăng ký kinh doanh Căn theo thời gian giấy phép đăng ký kinh doanh Đã có hợp đồng cung cấp dịch vụ Căn theo hợp đồng tổ chức Đã có cam kết bảo lãnh Cung cấp giấy bảo lãnh ngân hàng cịn hiệu lực Thực tế Có Khơng Kết luận Tổ chức Có tối thiểu 05 năm hoạt động lĩnh vực công nghệ thông tin Đã triển khai hệ thống, ứng dụng công nghệ thông tin cho tối thiểu 10 tổ chức Có cam kết bảo lãnh tổ chức tín dụng hoạt động hợp pháp Việt Nam với giá trị tỷ đồng để giải rủi ro bồi thường thiệt hại xảy trình cung cấp dịch vụ 35 TCCS 01: 2019/VNISA Nhân Có tối thiểu 20 cán kỹ thuật trình độ đại học chuyên ngành công nghệ thông tin Cán phụ trách ATTT phải có trình độ đại học, chun ngành CNTT, an tồn thơng tin phù hợp với vị trí tuyển dụng Cán phụ trách quản trị mạng phải có trình độ đại học, chuyên ngành CNTT Có quy định, quy trình đảm bảo ATTT liên quan tới hệ thống cung cấp dịch vụ HĐĐT đơn vị 36 Bằng cấp, chứng nhận hợp lệ Cung cấp cấp hợp lệ Tối thiểu phải có 01 cán phụ trách đào tạo ATTT (có đại học chuyên ngành ATTT chứng ATTT CEH, Sec+ ECSA, LPT,… tương đương) có kinh nghiệm làm việc tối thiểu năm lĩnh vực ATTT Cung cấp cấp, chứng nhận hợp lệ Tối thiểu phải có cán phụ trách quản trị mạng có chứng quản trị mạng (CCNA, MCSA, CEH… tương đương) Có văn ban hành quy định Cung cấp cấp, chứng nhận hợp lệ Quy định, quy trình TCCS 01: 2019/VNISA Cán kỹ thuật có cam kết giữ bí mật thơng tin liên quan tới tổ chức sau nghỉ việc Đã có cam kết giữ bí mật thơng tin kết thúc hợp đồng Căn theo hợp đồng, quy định tổ chức Các tiêu chí khác Thời gian dừng hệ thống để bảo trì khơng q 2% tổng số cung cấp dịch vụ; Kiểm tra đánh giá quy trình xử lý cố Kiểm tra thực tế nhật ký báo cáo cố thời gian khắc phục, thông báo cho khách hàng Thời gian dừng hệ thống nhật ký