BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG VIỆN KHOA HỌC KỸ THUẬT BƯU ĐIỆN THUYẾT MINH TIÊU CHUẨN QUỐC GIA “CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN - CÁC YÊU CẦU” HÀ NỘI, 2017 MỤC LỤC Tên gọi ký hiệu quy chuẩn .4 2.1 Tên tiêu chuẩn 2.2 Ký hiệu QCVN Đặt vấn đề 3.1 Nghiên cứu khảo sát tình hình ngồi nước việc áp dụng tiêu chuẩn ISO/IEC 27001 3.1.1 Tình hình áp dụng tiêu chuẩn ISO27001 Việt Nam 3.1.2 Tình hình áp dụng ISO27001 giới .7 3.2 Nghiên cứu tình hình cập nhật ISO/IEC 27001 để lựa chọn làm tài liệu tham chiếu Rà soát so sánh tiêu chuẩn ISO/IEC 27001:2005 ISO/IEC 27001:2013 10 4.1 Những lợi ích cập nhật lên phiên ISO/IEC 27001:2013 .10 4.2 Những cập nhật 10 4.3 Các khái niệm giới thiệu (hoặc cập nhật) sau: .12 4.4 So sánh ISO/IEC 27001:2005 ISO/IEC 27001:2013 14 4.4.1 So sánh khác theo Điều khoản 15 Khoản 0: Giới thiệu 15 Điều 1: Phạm vi 15 Điều 2: Tài liệu viện dẫn 16 Điều 3: Thuật ngữ chữ viết tắt 16 Điều 4: Bối cảnh tổ chức 16 Điều 5: Ban lãnh đạo 16 Điều 6: Lập kế hoạch 17 Điều Hỗ trợ 18 Điều Vận hành .18 10 Điều Đánh giá hiệu .18 11 Điều 10 Cải tiến 19 4.4.2 So sánh khác phần Biện pháp kiểm soát 22 Rà soát cập nhật tiêu chuẩn quốc gia theo phiên ISO/IEC 27001:2013 .25 5.1 Lý mục đích cập nhật tiêu chuẩn 25 5.2 Dự thảo tiêu chuẩn 26 Phương pháp xây dựng tiêu chuẩn 26 Cấu trúc tiêu chuẩn .26 Đối chiếu tài nội dung tiêu chuẩn tài liệu tham khảo 27 29 Tên gọi ký hiệu quy chuẩn 2.1 Tên tiêu chuẩn Tên tiêu chuẩn: “Công nghệ thống tin – Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các yêu cầu" 2.2 Ký hiệu QCVN TCVN XXXX:YYYY/BTTTT Đặt vấn đề 3.1 Nghiên cứu khảo sát tình hình ngồi nước việc áp dụng tiêu chuẩn ISO/IEC 27001 3.1.1 Tình hình áp dụng tiêu chuẩn ISO27001 Việt Nam Nhận thức tầm quan trọng việc áp dụng ISO 27001, đặc biệt nước phát triển – nơi trình độ ứng dụng CNTT chưa cao, phải thường xuyên đối mặt với nhiều nguy bị thất thơng tin, doanh nghiệp Việt Nam có công ty tham gia thực Hệ thống quản lý bảo mật thông tin ISO 27001 Tháng 1/2007: Công ty CSC Việt Nam (Computer Sciences Corporation) trở thành đơn vị có chứng nhận ISO 27001 Đến tháng 7/2013 Việt Nam có đơn vị (CSC Vietnam, FPT IS, FPT Soft, GHP FarEast, ISB Corporation Vietnam…) đạt chứng nhận ISO 27001 10 đơn vị (HPT Soft, VietUnion, Quantic…) trình triển khai ứng dụng tiêu chuẩn Đến hết năm 2012, Việt Nam có 249 chứng ISO 27001 Cũng qua số liệu này, thấy số đơn vị đạt chứng nhận ISO 27001 Việt Nam khiêm tốn so với Nhật Bản (53290 chứng nhận), Trung Quốc (8294 chứng nhận), Malaixia (759 chứng nhận) Một nguyên nhân tình trạng chi phí để đạt chứng nhận ISO 27001 cao, bao gồm chi phí tư vấn, cấp chứng nhận đặc biệt chi phí doanh nghiệp phải bỏ để thực biện pháp kiểm soát rủi ro Tuy nhiên, nhận thức tầm quan trọng bảo mật thông tin, số lượng doanh nghiệp thực cấp chứng ISO 27001 Việt Nam tăng hàng năm Năm 2014, Việt Nam cấp 94 chứng ISO 27001, nhiều so với năm 2013 2012 55 50 chứng So sánh với nước khu vực Đông Nam Á áp dụng tiêu chuẩn ISO 22000, tổng số chứng cấp Việt Nam đứng thứ 5, sau Malaysia, Thái Lan, Philipin, Singapo Như vậy, khu vực Đông Nam Á, In đô nê xi a quốc gia đầu việc áp dụng ISO 27001 Nhu cầu mong muốn triển khai tuân thủ yêu cầu biện pháp kiểm sốt an tồn thơng tin mong muốn có nhận ISO/IEC 27001 ngày tăng nhanh Khi đơn vị có nhu cầu mong muốn triển khai, tuân thủ cấp chứng nhận theo ISO/IEC 27001 tăng nhu cầu sử dụng, áp dụng hướng dẫn theo biện pháp đảm bảo an toàn thơng tin thuộc tiêu chuẩn 27000 nói chung tiêu chuẩn ISO/IEC 27001 nói riêng ngày lớn ISO 27001:2013 quản lý an tồn thơng tin bước nâng cấp so với tiêu chuẩn ISO 27001:2005, tổ chức ngân hàng, tài quan tâm đánh giá toàn diện dựa việc quản lý rủi ro đe dọa tài sản thông tin, ước tính mức độ ảnh hưởng triển khai biện pháp nhằm đảm bảo tính bảo mật, tồn vẹn, sẵn sàng cho tài sản thông tin tổ chức, nhà đầu tư, khách hàng… trì tính liên tục hoạt động kinh doanh Các đơn vị cấp chứng an tồn thơng tin theo tiêu chuẩn ISO 27001:2013 Việt Nam thời điểm Công ty Hệ thống Thông tin FPT (FPT IS) đơn vị Việt Nam đạt chứng ISO 27001 đơn vị tư vấn, triển khai Hệ thống ISMS cho nhiều doanh nghiệp, tổ chức FPT IS đề xuất tổ chức xây dựng ISMS theo bước để đáp ứng yêu cầu tiêu chuẩn ISO 27001: 2013 Ngày 02/7/2015 - Trung tâm Internet Việt Nam (VNNIC) tổ chức Lễ trao chứng nhận hệ thống quản lý an tồn bảo mật thơng tin theo tiêu chuẩn ISO/IEC 27001:2013 hoạt động quản lý vận hành trung tâm liệu IDC hệ thống DNS quốc gia ”.vn” Tổ chức D.A.S - tổ chức chứng nhận quốc tế hàng đầu Vương quốc Anh công nhận ban hành Ngày 7/7/2015, trụ sở 57 Lý Thường Kiệt, Hà Nội, TPBank tổ chức lễ đón nhận Chứng nhận Hệ thống quản lý An tồn thơng tin theo tiêu chuẩn ISO/IEC 27001:2013 từ TUVRheiland - tổ chức quốc tế uy tín chuyên đánh giá cấp chứng ISO cho nhiều tổ chức nước Ngày 20/11/2015, Hà Nội, Ngân hàng TMCP Sài Gòn – Hà Nội (SHB ) tổ chức Lễ đón nhận Chứng Hệ thống quản lý An tồn thơng tin (ISMS) theo tiêu chuẩn ISO/IEC-27001:2013 từ đơn vị kiểm toán độc lập TÜV NORD - tổ chức quốc tế uy tín chuyên đánh giá cấp chứng ISO cho tổ chức nước Năm 2013, Tập đoàn Bảo Việt đơn vị lĩnh vực tài bảo hiểm tiên phong đạt chứng nhận Hệ thống Quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC 27001:2005 ISO/IEC 27001 tiêu chuẩn quốc tế quản lý an tồn thơng tin biên soạn tổ chức quốc tế tiêu chuẩn hóa (ISO International organization for standardization) Hội đồng Điện tử quốc tế (IEC International Electrotechnical Commission) Việc triển khai, áp dụng tuân thủ hệ thống quản lý an tồn thơng tin điều kiện tiên để thi hành lấy chứng nhận toàn diện Năm 2015, theo yêu cầu tổ chức công nhận quốc tế, đơn vị đạt chứng nhận hệ thống quản lý an tồn thơng tin theo tiêu chuẩn quốc tế ISO 27001:2005 cần thực chuyển đổi sang phiên tiêu chuẩn ISO/IEC 27001:2013 Sau tháng triển khai nâng cấp, Tập đoàn Bảo Việt chuyển đổi thành công lên phiên Hệ thống Quản lý an tồn thơng tin ISO/IEC 27001:2013 Tháng 07/2015, công ty CP Tin học Lạc Việt vinh dự Tổ chức chứng nhận quốc tế TÜV Rheinland cấp chứng ISO/IEC 27001: 2013 hệ thống quản lý an tồn thơng tin (ATTT) cơng ty theo tiêu chuẩn quốc tế Sau thời gian đánh giá trụ sở Lạc Việt số 23 Nguyễn Thị Huỳnh, P.8, Q Phú Nhuận, TP.HCM, Lạc Việt chuyển đổi thành công phiên Hệ thống quản lý ATTT theo tiêu chuẩn ISO/IEC 27001:2013 Đây giai đoạn tái chứng nhận chứng ATTT lần Lạc Việt Trước đó, Lạc Việt cấp chứng nhận Quản lý chất lượng ISO 9001:2005 lần đầu vào tháng 11/2008, lần vào tháng 5/2012 Ngoài ra, Lạc Việt sở hữu chứng quốc tế khác như: CMMI level ISO 9001:2008 VIETCOMBANK - NGÂN HÀNG ĐẦU TIÊN CỦA NGÀNH ĐÓN NHẬN CHỨNG CHỈ ISO/IEC 27001:2013 Ngày 12/12/2014, Hà Nội, diễn “Lễ đón nhận Chứng Hệ thống quản lý an tồn thơng tin cho hoạt động kinh doanh Vietcombank theo tiêu chuẩn ISO/IEC – 27001:2013 với phạm vi áp dụng toàn hệ thống” Tổ chức Chứng nhận TÜV Rheinland CHLB Đức trao cho Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) Buổi Lễ có tham dự Ơng Frank Juettner - Tổng giám đốc TÜV Rheinland đoàn công tác Tháng 01/2016, EVNICT nhận Giấy chứng nhận Hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC 27001:2013 Tháng 07/2014, SeABank đạt tiêu chuẩn ISO/IEC 27001:2013 Quản lý an tồn bảo mật thơng tin - Ngân hàng TMCP Đông Nam Á (SeABank) vừa đơn vị kiểm tốn độc lập TÜV RHEINLAND Cộng hịa Liên bang Đức chứng nhận đạt yêu cầu an toàn bảo mật theo tiêu chuẩn quốc tế ISO/IEC 27001:2013 cấp chứng số 0115305017 Hệ thống Quản lý an tồn bảo mật thơng tin (ISMS) Ngày 19/11/2015, Gimasys nhận chứng an tồn bảo mật thơng tin theo tiêu chuẩn ISO/IEC 27001:2013 3.1.2 Tình hình áp dụng ISO27001 giới Báo cáo thống kê (The ISO Survey of Certifications) Tổ chức Tiêu chuẩn hóa quốc tế - ISO cơng bố cho thấy số lượng tổ chức, doanh nghiệp áp dụng hệ thống quản lý: ISO 9001, ISO 14001, ISO/TS 16949, ISO 13485, ISO/IEC 27001 ISO 22000 tăng thêm hàng năm nói chung Riêng ISO/IEC 27001 thống kê bảng tồn giới Tăng trưởng hàng năm – tính theo % Year 2007 2008 2009 2010 2011 2012 2013 2014 2015 TOTAL 33% 20% 40% 21% 12% 13% 10% 6% 20% Africa 67% 60% 194% -2% 13% 60% 55% 20% 63% 111% 89% 39% 17% 28% 35% 34% 0% 27% North America 42% 89% 52% 2% 32% 27% 29% 14% 78% Europe 35% 52% 64% 35% 13% 21% 25% 9% 21% East Asia and Pacific 32% 5% 27% 19% 10% 8% -3% 3% 15% Central America / South Central and South Asia 36% 62% 55% 2% 13% 11% 20% 12% 14% Middle East 92% 80% 61% 6% 28% 19% 36% 13% 19% Top 10 quốc gia chứng nhận ISO/IEC 27001 – năm 2015 Japan 8240 United Kingdom India 2790 2490 China United States of America 2469 1247 Romania Italy 1078 1013 Germany Taipei, Chinese 994 939 10 Spain 676 Bảng đưa nhìn tổng quan tốc độ tăng trưởng việc áp dụng ISO/IEC 27001 năm từ 2007-2015 Qua năm, qua bảng tổng hợp thấy rõ ràng ISO/IEC 27001 tiêu chuẩn có tăng trưởng áp dụng mạnh mẽ tiêu chuẩn hệ thống quản lý toàn giới ISO/IEC 27001 hệ thống quản lý an tồn thơng tin, áp dụng với tổ chức, doanh nghiệp có nhu cầu đảm bảo an tồn cho tài sản thơng tin để ngăn ngừa thiệt hạt tài sản thông tin bị hư hại, mát hay bị xâm nhập trái phép Ba quốc gia có tổng số chứng ISO/IEC 27001 cấp nhiều Nhật Bản, Ấn Độ Vương quốc Anh, ba nước có số chứng cấp nhiều 3.2 Nghiên cứu tình hình cập nhật ISO/IEC 27001 để lựa chọn làm tài liệu tham chiếu Tiêu chuẩn ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems — Requirements, tổ chức tiêu chuẩn quốc tế ban hành năm 2005 Nhóm xây dựng dự thảo TCVN sử dụng tiêu chuẩn quốc tế ISO/IEC 27001:2005 làm tài liệu gốc để xây dựng tiêu chuẩn quốc gia " Cơng nghệ thơng tin- Hệ thống quản lý an tồn thông tin – Các yêu cầu " để xây dựng tiêu chuẩn quốc gia ISO/IEC 27001:2009 theo nguyên tắc áp dụng ngun vẹn, có chỉnh sửa thể thức trình bày theo quy định hành trình bày Tiêu chuẩn quốc gia Qua năm áp dụng, đến năm 2013, có nhiều thay đổi giới an tồn thơng tin mối đe dọa, điểm yếu kỹ thuật rủi ro liên quan đến điện toán đám mây, liệu lớn an ninh mạng Trong năm đó, tổ chức tiêu chuẩn quốc gia toàn giới tổ chức họp với chuyên gia chuyên ngành tìm kiếm điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 ISO/IEC 27002:2013 Kết tích cực tinh giản trình áp dụng cách bổ sung số mức độ an ninh trước chưa có Tiêu chuẩn ISO/ IEC 27001: 2013 công bố ngày 01 tháng 10 năm 2013 Có nhiều thay đổi hai tiêu chuẩn ISO 27001 tiêu chuẩn 27002 ảnh hưởng gần 18000 tổ chức chứng nhận Tiêu chuẩn ISO/ IEC 27001: 2013 phiên sau tiêu chuẩn ISO/IEC 27001:2005, thời điểm có phần đính (Corrigendum) năm 2014 2015 bổ sung thêm vào phiên 2013 Hai phần đính có lượng thơng tin thay đổi Rà sốt so sánh tiêu chuẩn ISO/IEC 27001:2005 ISO/IEC 27001:2013 4.1 Những lợi ích cập nhật lên phiên ISO/IEC 27001:2013 ISO đưa phiên cập nhật, dựa kinh nghiệm người dùng tổ chức chứng nhận theo hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC 27001:2005 Phiên cung cấp cách tiếp cận hợp lý linh hoạt nhằm quản lý rủi ro hiệu Tiêu chuẩn sửa đổi thực số cải thiện cho an tồn thơng tin kiểm soát Phụ lục A để đảm bảo tiêu chuẩn hành có khả đối phó với rủi ro thơng tin ngày cao nay, cụ thể đánh cắp nhận dạng, rủi ro liên quan đến thiết bị di động lỗ hổng bảo mật trực tuyến khác Cuối tiêu chuẩn ISO/IEC 27001 phiên sửa đổi để phù hợp với cấu trúc cấp cao sử dụng tất tiêu chuẩn hệ thống quản lý thực tích hợp với hệ thống quản lý khác cách dễ dàng Tiêu chuẩn ISO/IEC 27001 giúp tổ chức muốn thực tích hợp nhiều hệ thống quản lý thời điểm Sự giống cấu trúc tiêu chuẩn tiết kiệm kinh phí thời gian tổ chức họ áp dụng sách thủ tục thích hợp.Ví dụ, tổ chức muốn tích hợp hệ thống an tồn thơng tin họ (ISO/IEC 27001) với hệ thống quản lý khác Hệ thống quản lý kinh doanh liên tục (ISO/IEC 22301), Hệ thống quản lý dịch vụ thông tin (ISO/IEC 20.0001) Hệ thống quản lý chất lượng (ISO 9001) 4.2 Những cập nhật Phiên ISO 27001:2013 có số khác biệt so lớn so với phiên cũ ISO 27001:2005 sau: 10 4.4.1 So sánh khác theo Điều khoản Việc thay đổi cấu trúc “Điều khoản” phiên so với phiên cũ với mục đích đồng cấu trúc, yêu cầu với tiêu chuẩn quản lý khác Hệ thống quản lý chất lượng ISO 9001:2013 Hệ thống Quản lý rủi ro ISO 31000:2009 Ngoài ra, tiêu chuẩn bổ sung thêm mục “Bối cảnh tổ chức” giúp tổ chức đánh giá rõ trạng Bảng 2: So sánh “Điều khoản” phiên cũ lên phiên tiêu Điều khoản ISO 27001:2013 ISO 27001:2005 Bối cảnh tổ chức Hệ thống quản lý ATTT (ISMS) Sự Lãnh đạo Trách nhiệm lãnh đạo Lập kế hoạch Đánh giá nội ISMS Hỗ trợ Soát xét lãnh đạo ISMS Vận hành Cải tiến ISMS Đánh giá hiệu 10 Cải tiến Khoản 0: Giới thiệu Điều khoản rút ngắn so với phiên cũ Đặc biệt phần mơ hình PDCA gỡ bỏ Lý cho điều yêu cầu để cải tiến liên tục (xem Điều 10) PDCA cách tiếp cận để đáp ứng yêu cầu Có cách tiếp cận khác, tổ chức tự sử dụng chúng họ muốn Việc giới thiệu để ý tới thứ tự u cầu trình bày, nêu thứ tự không phản ánh tầm quan trọng chúng hàm ý thứ tự mà chúng thực Điều 1: Phạm vi Điều rút ngắn gọn nhiều so với phiên trước Đặc biệt khơng có tài liệu tham khảo để loại trừ biện pháp kiểm soát Phụ Lục A 15 Điều 2: Tài liệu viện dẫn Tài liệu viện dẫn ISO/IEC 27000, Công nghệ thông tin – Các kỹ thuật an toàn – Các hệ thống quản lý an tồn thơng tin – Tổng quan từ vựng Điều 3: Thuật ngữ chữ viết tắt Khơng cịn thuật ngữ chữ viết tắt ISO/IEC 27001:2013 Thay vào đó, người đọc tham chiếu tới ISO/IEC 27000 Tuy nhiên, cần đảm bảo bạn sử dụng phiên tiêu chuẩn ISO/IEC 27000 công bố sau ISO/IEC 27001:2013 ban hành khơng khơng chứa thuật ngữ định nghĩa xác Đây tài liệu quan trọng để đọc Nhiều định nghĩa, ví dụ “hệ thống quản lý” “Biện pháp kiểm soát” thay đổi phù hợp với định nghĩa đưa thị ISO ISO 31000 Điều 4: Bối cảnh tổ chức Đây điều khoản phần đề cập đến khái niệm khấu hao hành động phòng ngừa phần thiết lập bối cảnh cho ISMS Nó đáp ứng mục tiêu cách vẽ vấn đề nội bên ngồi có liên quan đến (tức vấn đề có ảnh hưởng đến khả tổ chức để đạt kết dự kiến ISMS nó) với yêu cầu bên kiên quan để xác định phạm vi ISMS Lưu ý thuật ngữ “vấn đề” (issue) không bao gồm vấn đề, mà chủ đề hành động phòng ngừa tiêu chuẩn trước đó, chủ đề quan trọng cho ISMS để giải quyết, chẳng hạn bất ký mục tiêu đảm bảo thị trường quản trị mà tổ chức thiết lập cho ISMS Hướng dẫn chi tiết đưa Mục 5.3 ISO 31000:2009 Lưu ý rằng, thuật ngữ “yêu cầu” (requirement) “nhu cầu mong muốn nêu lên, thường ngụ ý bắt buộc” Kết hợp với mục 4.2, điều thân coi yêu cầu quản trị, nói ISMS mà không phù hợp với kỳ vọng thường chấp nhận bị loại trù khơng phù hợp với tiêu chuẩn Yêu cầu cuối (Mục 4.4) việc thiết lập, thực hiện, trì cải thiện liên tục ISMS theo yêu cầu tiêu chuẩn Điều 5: Ban lãnh đạo Mục đích yêu cầu chứng minh vai trò cam kết ban lãnh đạo cấp cao tổ chức Trách nhiệm cụ thể ban quản lý cấp cao thiết lập sách an tồn thơng tin định nghĩa đặc điểm, thuộc tính mà sách bao gồm theo tiêu chuẩn tổ chức Cuối yêu cầu trách nhiệm quyền hạn bên 16 liên quan qua đánh giá ISMS tổ chức có phù hợp với yêu cầu ISO/IEC 27001 không đưa báo cáo hiệu suất ISMS Điều 6: Lập kế hoạch Khoản 6.1.1: Yêu cầu chung: Yêu cầu rõ phải xem xét vấn đề nêu khoản 4.1 4.2 để xác định rủi ro nguy cần phải giải Phần đầu yêu cầu liên quan đến đánh giá rủi ro (từ đầu đến 6.1.1c), phần sau (từ 6.1.1 d) liên quan đến xử lý rủi ro Phần chi tiết yêu cầu đánh giá rủi ro xử lý rủi ro nêu khoản 6.1.2 6.1.3 Khoản 6.1.2: Đánh giá rủi ro an tồn thơng tin: Đánh giá rủi ro phiên xếp hướng dẫn theo nguyên tắc tiêu chuẩn ISO 31000 quản lý rủi ro, điều khoản loại bỏ yêu cầu phân loại loại tài sản, mối nguy hại, lỗ hổng bảo mật thông tin Tổ chức tiếp cận phương pháp đánh giá rủi ro cách rộng mà phù hợp với tiêu chuẩn Trong tiêu chuẩn ISO/IEC 27001:2013, tiêu chấp nhận rủi ro diễn tả điều khoản (terms) khác với tiêu chuẩn trước phải chia mức chấp nhận rủi ro Trong khoản đưa thuật ngữ “chủ sở hữu rủi ro (risk owner)” để thay cho “chủ sở hữu tài sản (asset owner)” “Chủ sở hữu rủi ro” khái niệm dùng tiêu chuẩn ISO 31000 định nghĩa “người tổ chức có trách nhiệm thẩm quyền quản lý rủi ro” Sau tổ chức xác định người sở hữu rủi ro, họ yêu cầu phê duyệt kế hoạch xử lý rủi ro rủi ro chưa đánh giá (tại mục 6.1.3 f) Khoản 6.1.3 Xứ lý rủi ro an toàn thông tin: Xử lý rủi ro phiên tương tự ISO/IEC 27001:2005 Tuy nhiên, việc xử lý rủi ro liên quan đến việc xác định kiểm soát cần thiết việc lựa chọn kiểm soát từ Phụ lục A Tiêu chuẩn giữ lại Phụ lục A kiểm tra chéo qua đảm bảo kiểm sốt cần thiết không bị loại bỏ Tổ chức yêu cầu xây dựng “thông báo áp dụng - SOA” Xây dựng phê duyệt kế hoạch xử lý rủi ro phần khoản Khoản 6.2 Mục tiêu kế hoạch để đạt an tồn thơng tin tổ chức: Trong khoản liên quan đến mục tiêu an tồn thơng tin tổ chức Thuật ngữ “liên quan đến chức mức độ” sử dụng yêu cầu này, “chức năng” hiểu chức tổ chức, “mức độ” mức độ quản lý ban quản lý cấp cao (top management) Khoản đưa thuộc tính để đạt an tồn thơng tin tổ chức phải có 17 Điều Hỗ trợ Điều khoản bắt đầu với yêu cầu tổ chức phải xác định cung cấp nguồn lực cần thiết để thiết lập, thực hiện, trì cải tiến liên tục hệ thống an tồn thơng tin (ISMS) Điều khoản quan trọng bao gồm nguồn lực mà ISMS cần phải có Ngồi ra, u cầu lực, nhận thức truyền thông (với bên bên tổ chức) đưa Điều tương ứng với phần yêu cầu ISO/IEC 27001:2005 Điểm khác biệt Điều so với phiên trước thuật ngữ “thông tin lập tài liệu (documented information)” sử dụng để thay thuật ngữ “tài liệu” “hồ sơ” phiên 2005 Yêu cầu liên quan đến khởi tạo cập nhật, kiểm soát tài liệu hồ sơ tổ chức, yêu cầu nhấn mạnh đến mục đích, nội dung văn nhiều hơn, tổ chức phải tự tài liệu hóa thơng tin xun suốt tiêu chuẩn Điều Vận hành Điều khoản nói thực kế hoạch q trình đưa điều khoản trước Khoản 8.1 Thực hoạt động xác định khoản 6.1, mục tiêu an tồn thơng tin đạt q trình outsource bên ngồi Khoản 8.2 đề cập đến hiệu suất việc đánh giá rủi ro an tồn thơng tin kế hoạch khoảng thời gian Khoản 8.3 đề cập đến việc thực kế hoạch xử lý rủi ro 10 Điều Đánh giá hiệu Khoản 9.1 Giám sát, đo lường, phân tích đánh giá: tổ chức phải xác định thông tin cần đánh giá hiệu suất an tồn thơng tin hiệu hệ thống ISMS Các trình kiểm soát cần giám sát, đo lường Phương thức phù hợp để giám sát, đo lường, phân tích để đảm bảo đạt kết mong muốn Thời điểm, nguồn lực thực Khoản 9.2 Đánh giá nội bộ: Yêu cầu tương tự phiên trước Việc đánh giá nội phải thực khách quan, mục đích thời điểm Khoản 9.3 Đánh giá quản lý: Trong phiên trước yêu cầu thông tin đầu vào đầu việc đánh giá quản lý thời gián đánh giá tối thiểu năm/1 lần Tại phiên tổ chức phải đảm báo hệ thống ISMS đánh giá phù hợp, đầy đủ hiệu với tổ chức Tuy nhiên, đánh giá quản lý đưa số vấn đề cần xem 18 xét không đưa yêu cầu chi tiết phiên trước Thời gian tối thiểu thực đánh giá không đưa vào tiêu chuẩn mà tùy thuộc vào tổ chức 11 Điều 10 Cải tiến Khoản 10.1 Sự không phù hợp hành động khắc phục: Tổ chức phát khơng phù hợp phải có biện pháp áp dụng hành động kiểm soát, liên hệ đến hậu quả, đánh giá nguyên nhân tài liệu hóa chứng Khoản 10.2 Cải thiện liên tục: Yêu cầu tổ chức phải liên tục cải tiến đảm bảo ISMS đạt phù hợp, đầy đủ hiệu So sánh chi tiết nội dung điều khoản Bảng A liệt kê tiêu đề mục nhỏ ISO/IEC 27001:2013 cột bên trái Đối với cột, danh mục cột bên phải cho thấy tiêu đề mục ISO/IEC 27001:2005 tương ứng số cách Bảng 3: Bảng so sánh thay đổi điều khoản ISO/IEC 27001:2013 ISO/IEC 27001:2005 Giới thiệu Giới thiệu Phạm vi áp dụng Phạm vi áp dụng Tiêu chuẩn viện dẫn Tiêu chuẩn viện dẫn Thuật ngữ định nghĩa Thuật ngữ định nghĩa 4.1 Hiểu tổ chức bối cảnh 8.3 Hành động phòng ngừa tổ chức 4.2 Hiểu nhu cầu mong muốn 5.2.1(c) xác định áp dụng yêu cầu bên quan tâm pháp lý, quy định nghĩa vụ an tồn thơng tin hợp đồng; 4.3 Xác định phạm vi hệ thống quản lý an 4.2.1 a) Xác định phạm vi giới hạn tồn thơng tin hệ thống ISMS 4.2.3 f) đảm bảo phạm vi đặt phù hợp 4.4 Hệ thống quản lý an tồn thơng tin 4.1 Các yêu cầu chung 5.1 Sự lãnh đạo cam kết 5.1 Cam kết ban quản lý 5.2 Chính sách 4.2.1 b) Xây dựng hoạch định sách ISMS 19 5.3 Vai trò, trách nhiệm quyền hạn 5.1 c) thiết lập vai trò trách nhiệm tổ chức an tồn thơng tin 6.1.1 6.1 Hành động để giải 8.3 Hành động phòng ngừa rủi ro hội 6.1.2 Đánh giá rủi ro an tồn thơng tin 4.2.1 c) Xác định phương pháp tiếp cận đánh giá rủi ro tổ chức 4.2.1 d) Xác định rủi ro 4.2.1 e) Phân tích ước lượng rủi ro 6.1.3 Xử lý rủi ro an tồn thơng tin 4.2.1 f) Xác định đánh giá lựa chọn cho việc xử lý rủi ro 4.2.1 g) Lựa chọn mục tiêu quản lý biện pháp quản lý để xử lý rủi ro 4.2.1 h) Trình ban quản lý phê chuẩn rủi ro tồn đọng đề xuất 4.2.1 j) Chuẩn bị thông báo áp dụng 4.2.2 a) Lập kế hoạch xử lý rủi ro 6.2 Các mục tiêu an tồn thơng tin 5.1 b) đảm bảo mục tiêu kế hoạch định để đạt chúng hoạch hệ thống ISMS xây dựng 7.1 Nguồn lực 4.2.2 g) Quản lý tài nguyên dành cho hệ thống ISMS 5.2.1 Cấp phát nguồn lực 7.2 Năng lực 5.2.2 Đào tạo, nhận thức lực 7.3 Nhận thức 4.2.2 e) Triển khai chương trình đào tạo nâng cao nhận thức 5.2.2 Đào tạo, nhận thức lực 7.4 Truyền thông 4.2.4 c) Thông báo thống với bên liên quan hành động cải tiến hệ thống ISMS 5.1 d) trao đổi với tổ chức tầm quan trọng 7.5 Thông tin lập tài liệu 4.3 Các yêu cầu hệ thống tài liệu 8.1 Lập kế hoạch kiểm soát vận hành 4.2.2 f) Quản lý hoạt động hệ thống ISMS 8.2 4.2.3 d) Soát xét đánh giá rủi ro Đánh giá rủi ro an tồn thơng tin 20 8.3 Xử lý rủi ro an tồn thơng tin 4.2.2 b) Triển khai kế hoạch xử lý rủi ro 4.2.2 c) Triển khai biện pháp quản lý 9.1 Giám sát, đo lường, phân tích đánh 4.2.2 d) Xác định cách đánh giá hiệu lực giá biện pháp quản lý 4.2.3 b) Thường xuyên soát xét hiệu lực hệ thống ISMS 4.2.3 c) Đánh giá hiệu lực biện pháp quản lý 9.2 Đánh giá nội 4.2.3 e) Thực việc kiểm toán nội hệ thống ISMS Kiểm toán nội hệ thống ISMS 9.3 Soát xét ban quản lý 4.2.3 f) Thực soát xét ban quản lý hệ thống ISMS Soát xét ban quản lý hệ thống ISMS 10.1 Điểm không phù hợp hành 4.2.4 Duy trì cải tiến hệ thống ISMS động khắc phục 8.2 Hành động khắc phục 10.2 Cải tiến liên tục 4.2.4 Duy trì cải tiến hệ thống ISMS 8.1 Cải tiến thường xuyên 21 4.4.2 So sánh khác phần Biện pháp kiểm soát Trong phần Biện pháp kiểm soát, Phụ lục A, bao gồm 14 lĩnh vực với 35 mục tiêu kiểm soát (ứng với 114 biện pháp kiểm soát) Các tổ chức lựa chọn biện pháp kiểm soát số nêu phù hợp với tổ chức để áp dụng Bảng 4: Bảng so sánh “Biện pháp kiểm soát” phiên phiên cũ: Sự thay đổi “Biện pháp kiểm soát” phiên nhằm phù hợp với xu hướng phát triển công nghệ, yêu cầu thực tiễn tổ chức cho thấy quan tâm nhiều kiểm sốt an tồn mã hóa hay vấn đề ATTT làm việc với nhà cung cấp Đặc biệt, việc thay đổi thứ tự đưa vị trí mục ATTT nhân lên trước mục quản lý tài sản cho thấy người yếu tố quan trọng việc xây dựng, vận hành, trì cải tiến hệ thống ISMS 4.4.2.1 - Phụ luc A Tên Phụ lục A phiên thay đổi thành “bản tham khảo mục tiêu kiểm soát kiểm soát” có nghĩa kiểm sốt mang tính chất tham khảo không bắt buộc Phần hướng dẫn Phụ lục A đơn giản Phụ lục A 22 sử dụng cho khoản 6.1.3 Các thay đổi Phụ lục A so với phiên trước bao gồm: 14 điều kiểm soát an ninh thay cho 11 điều; 35 chủng loại (categories) an ninh thay cho 33 chủng loại; 114 kiểm soát thay cho 133 kiểm soát loại bỏ số kiểm sốt cũ, thêm số kiểm soát sửa lại số kiểm soát cũ 4.4.2.2 Phụ lục khác Trong Phụ Lục B cũ, nguyên tắc OECD tiêu chuẩn quốc tế này, loại bỏ, tham chiếu cũ, đề cập tới PDCA Phụ lục C cũ, tương ứng ISO 9001:2000, ISO 14001:2004 tiêu chuẩn quốc tế này, loại bỏ hai tiêu chuẩn sửa đổi sử dụng cấu trúc mức cao tương tự văn cốt lõi giống hệt ISO/IEC 27001:2013 Phụ lục B, Tài liệu tham khảo ISO/IEC 27001:2013 phiên cập nhật phiên cũ, Phục Lục D ISO/IEC 27001:2005 Bảng liệt kê nhóm kiểm sốt Phụ Lục A ISO/IEC 27001:2013 cột bên trái Mỗi nhóm có mục tiêu kiểm soát chung Số ngoặc số biện pháp quản lý nhóm Bên phải 11 cột tương ứng với biện pháp quản lý 11 tiêu đề mục Phụ Lục A ISO/IEC 27001:2005 Hàng Ngang có nghĩa tương ứng năm 2013 2015 Để xem mối quan hệ xác, tham khảo liệu đồ chi tiết ISO/IEC 27001:2013 (number of controls) ISO/IEC 27001:2005 x A.7.2 Trong thời gian làm việc (3) x A.7.3 Chấm dứt thay đổi công việc (1) 23 A.15 Sự tuân thủ x x A.7.1 Trước tuyển dụng (2) A.14 Quản lý liên tục x x x A.6.2 Các thiết bị di động làm việc từ xa (2) A.13 Quản lý cố x A.6.1 Tổ chức nội (5) A.12 Tiếp nhận, phát triển trì A.11 Quản lý truy cập A.10 Quản lý truyền thơng A.9 an tồn vật lý A.8 tài nguyên người A.7 Quản lý tài sản A.6 Tổ chức A.5 Chính sách an tồn A.5.1 Định hướng quản lý an tồn thơng tin (2) x x A.8.2 Phân loại thông tin (3) x x A.8.1 Trách nhiệm tài sản (4) x A.8.3 Xử lý phương tiện truyền thông (3) x A.9.1 Các yêu cầu nhiệp vụ cho việc kiểm soát truy cập (2) x x A.9.2 Quản lý truy cập người dùng (6) x A.9.3 Trách nhiệm người sử dụng (1) x A.10.1 Biện pháp kiểm soát mật mã (2) x x A.9.4 Quản lý truy cập vào hệ thống ứng dụng (5) x A.11.1 Khu vực an toàn (6) x A.12.1 Các thủ tục trách nhiệm vận hành (4) x x A.11.2 Thiết bị (9) x A.12.2 Bảo vệ chống lại phần mềm độc hại (1) x A.12.3 Sao lưu (1) x A.12.4 Ghi nhật ký giám sát (4) x A.12.5 Quản lý phần mềm vận hành (1) x A.12.6 Quản lý lỗ hổng kỹ thuật (2) x A.12.7 Xem xét việc đánh giá hệ thống thơng tin (1) x x x A.14.2 An tồn trình hỗ trợ phát triển (9) x A.14.1 Các u cầu an tồn hệ thống thơng tin (3) x x A.13.2 Truyền thông tin (4) x x A.13.1 Quản lý an toàn mạng (3) x A.14.3 Dữ liệu kiểm thử (1) x A.15.1 An tồn thơng tin mối quan hệ với nhà cung cấp (3) x A.15.2 Quản lý chuyển giao dịch vụ nhà cung cấp (2) x A.16.1 Quản lý cố cải tiến an tồn thơng tin (7) x A.17.1 Đảm bảo an tồn thơng tin liên tục (3) A.17.2 Dự phịng (1) 24 x x A.18.2 Sốt xét an tồn thơng tin (3) x A.18.1 Sự tn thủ với yêu cầu pháp lý hợp đồng (5) Rà soát cập nhật tiêu chuẩn quốc gia theo phiên ISO/IEC 27001:2013 5.1 Lý mục đích cập nhật tiêu chuẩn Có nhiều thay đổi giới an tồn thơng tin mối đe dọa, điểm yếu kỹ thuật rủi ro liên quan đến điện toán đám mây, liệu lớn an ninh mạng năm Trong năm qua, tổ chức tiêu chuẩn quốc gia toàn giới tổ chức họp với chuyên gia chuyên ngành tìm kiếm điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 ISO/IEC 27002:2013 Kết tích cực tinh giản q trình áp dụng cách bổ sung số mức độ an ninh trước chưa có Tiêu chuẩn ISO/ IEC 27001: 2013 công bố ngày 01 tháng 10 năm 2013 Có nhiều thay đổi hai tiêu chuẩn ISO 27001 tiêu chuẩn 27002 ảnh hưởng gần 18000 tổ chức chứng nhận Tuy nhiên, có hai ảnh hưởng lớn khác tới việc sửa đổi Đầu tiên ISO yêu cầu tất tiêu chuẩn hệ thống quản lý sửa đổi làm phải phù hợp với cầu trúc mức cao văn cốt lõi giống bất chấp Phụ lục SL tới Phần ISO/IEC Sự phù hợp với yêu cầu có xu hướng làm cho tất tiêu quẩn hệ thống quản lý nhìn giống nhau, với ý định yêu cầu hệ thống quản lý mà không kỷ luật cụ thể giống hệt tất tiêu chuẩn hệ thống quản lý Đây tin tốt cho tổ chức vận hành hệ thống quản lý tích hợp, ví dụ: hệ thống quản lý phù hợp với nhiều tiêu chuẩn ISO 9001 (chất lượng), ISO 22301 (tính liên tục nghiệp vụ) tiêu chuẩn ISO 27001 Ảnh hưởng thứ hai định găn kết ISO/IEC 27001 với nguyên tắc hướng dẫn đưa ISO 31000 (quản lý rủi ro) Một lần nữa, tin tốt cho hệ thống quản lý tích hợp tổ chức áp dụng phương pháp đánh giá rủi ro nhiều Do vậy, xây dựng rà soát, cập nhật tiêu chuẩn quốc gia quản lý an toàn thông tin theo ISO27001 cần thiết Một tiêu chuẩn ISO/IEC 27001:2013 cơng bố thức tổ chức có thời gian gia hạn 12 tháng trước tái chứng nhận Đến nay, khoảng năm từ ngày phiên quốc tế công bố cập nhật, vậy, việc phiên quốc gia phải cập nhật theo điều bắt buộc Tiêu chuẩn cập nhật phải đảm bảo phù hợp với tiêu chuẩn cập nhật quốc tế 25