TCVN TIÊU CHUẨN QUỐC GIA TCVN xxxx:2014 ISO/IEC 27003:2010 Xuất lần CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN TRIỂN KHAI HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN Information technology – Security techniques – Infomation security management system implementation guidance HÀ NỘI – 2014 Mục lục Phạm vi áp dụng .7 Tài liệu viện dẫn Thuật ngữ định nghĩa .8 Cấu trúc tiêu chuẩn 4.1 Cấu trúc chung điều 4.2 Cấu trúc chung điều 4.3 Biểu đồ 10 Được cấp quản lý phê chuẩn cho khởi động dự án ISMS 12 5.1 Tổng quan cách thức để cấp quản lý phê chuẩn cho khởi động dự án ISMS 12 5.2 Làm rõ ưu tiên tổ chức cho phát triển ISMS .14 5.3 Xác định phạm vi ISMS sơ 17 5.4 5.3.1 Phát triển phạm vi ISMS sơ 17 5.3.2 Xác định vai trò trách nhiệm phạm vi ISMS sơ 18 Xây dựng tình nghiệp vụ kế hoạch dự án trình cấp quản lý phê chuẩn 19 Xác định phạm vi, giới hạn sách ISMS .21 6.1 Tổng quan xác định phạm vi, giới hạn sách ISMS 21 6.2 Xác định phạm vi giới hạn tổ chức 24 6.3 Xác định phạm vi giới hạn công nghệ thông tin (ICT) 25 6.4 Xác định phạm vi giới hạn vật lý 27 6.5 Phối hợp phạm vi giới hạn để nhận phạm vi giới hạn ISMS 28 6.6 Phát triển sách ISMS cấp quản lý phê chuẩn 28 Tiến hành phân tích u cầu an tồn thông tin 30 7.1 Tổng quan tiến hành phân tích u cầu an tồn thơng tin 30 7.2 Xác định yêu cầu an toàn thơng tin cho quy trình ISMS 32 7.3 Xác định tài sản thuộc phạm vi ISMS 33 7.4 Tiến hành đánh giá an toàn thông tin .34 Tiến hành đánh giá rủi ro lập kế hoạch xử lý rủi ro 36 8.1 Tổng quan tiến hành đánh giá rủi ro lập kế hoạch xử lý rủi ro .36 8.2 Tiến hành đánh giá rủi ro 38 8.3 Chọn lựa mục tiêu biện pháp quản lý 39 8.4 Được cấp quản lý cho phép triển khai vận hành ISMS .40 Thiết kế ISMS 41 9.1 Tổng quan thiết kế ISMS 41 9.2 Thiết kế an tồn thơng tin tổ chức .45 9.2.1 Thiết kế cấu tổ chức thức cho an tồn thơng tin 45 9.2.2 Thiết kế cấu trúc hệ thống tài liệu ISMS .46 9.2.3 Thiết kế sách an tồn thơng tin 48 9.2.4 Phát triển tiêu chuẩn thủ tục an tồn thơng tin 49 9.3 Thiết kế an tồn thơng tin vật lý ICT 51 9.4 Thiết kế an toàn thông tin ISMS cụ thể 53 9.5 9.4.1 Lập kế hoạch soát xét cấp quản lý 53 9.4.2 Thiết kế chương trình giáo dục, đào tạo nâng cao nhận thức an tồn thơng tin 55 Đưa kế hoạch dự án ISMS thức .57 Phụ lục A (tham khảo): Danh sách hoạt động 59 Phụ lục B (tham khảo): Các vai trị trách nhiệm an tồn thông tin .66 Phụ lục C (tham khảo): Thông tin đánh giá nội .71 Phụ lục D (tham khảo): Cấu trúc sách .73 Phụ lục E (tham khảo): Giám sát đo lường đánh giá 78 Thư mục tài liệu tham khảo .85 Lời nói đầu TCVN xxxx:2014 hồn tồn tương đương với ISO/IEC 27003:2010 TCVN xxxx:2014 Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TIÊU CHUẨN QUỐC GIA TCVN xxxx:2014 Công nghệ thơng tin – Các kỹ thuật an tồn – Hướng dẫn triển khai hệ thớng quản lý an tồn thông tin Information technology – Security techniques – Infomation security management system implementation guidance Phạm vi áp dụng Tiêu chuẩn tập trung vào khía cạnh then chốt để thiết kế triển khai thành công hệ thống quản lý an tồn thơng tin (ISMS) theo TCVN ISO/IEC 27001:2009 Tiêu chuẩn mơ tả quy trình đặc tả thiết kế ISMS từ lúc khởi đầu đến đưa kế hoạch triển khai Tiêu chuẩn mơ tả quy trình để cấp quản lý phê chuẩn cho triển khai ISMS, xác định dự án triển khai ISMS (trong tiêu chuẩn gọi dự án ISMS), đưa hướng dẫn lập kế hoạch dự án ISMS để có kế hoạch triển khai dự án ISMS thức Tiêu chuẩn dành cho tổ chức triển khai ISMS Tiêu chuẩn áp dụng cho tất tổ chức loại hình (ví dụ, doanh nghiệp thương mại, quan phủ, tổ chức phi lợi nhuận) với đủ loại quy mô Mỗi tổ chức có tính phức tạp rủi ro riêng, yêu cầu cụ thể tổ chức chi phối việc triển khai ISMS Các tổ chức có quy mơ nhỏ nhận thấy hoạt động đưa tiêu chuẩn áp dụng cho họ đơn giản hóa Các tổ chức phức hợp quy mơ lớn nhận thấy cần phải có hệ thống quản lý tổ chức theo phân cấp để quản lý hoạt động tiêu chuẩn cách hiệu Tuy nhiên, hai loại tổ chức áp dụng tiêu chuẩn để lập kế hoạch cho hoạt động phù hợp Tiêu chuẩn đưa khuyến nghị giải thích; nhiên, không rõ yêu cầu cụ thể Tiêu chuẩn sử dụng phối hợp với TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011, không chủ ý thay đổi và/hoặc giảm bớt yêu cầu TCVN ISO/IEC 27001:2009 khuyến nghị TCVN ISO/IEC 27002:2011 Sẽ không phù hợp yêu cầu tuân thủ tiêu chuẩn Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn không ghi năm cơng bố áp dụng phiên (bao gồm sửa đổi, bổ sung) - ISO/IEC 27000:2009, Information technology – Security techniques – Information security management systems – Overview and vocabulary (Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an tồn thơng tin – Tổng quan từ vựng) TCVN xxxx:2014 - TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin – Các yêu cầu Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa nêu ISO/IEC 27000:2009, TCVN ISO/IEC 27001:2009 thuật ngữ, định nghĩa sau: 3.1 Dự án ISMS (ISMS project) Các hoạt động có cấu trúc tổ chức thực để triển khai ISMS Cấu trúc tiêu chuẩn 4.1 Cấu trúc chung điều Triển khai ISMS hoạt động quan trọng nhìn chung thực dự án tổ chức Tiêu chuẩn giải thích q trình triển khai ISMS tập trung vào việc khởi động, lập kế hoạch xác định dự án Quy trình lập kế hoạch triển khai ISMS thức gồm năm giai đoạn giai đoạn thể điều Tất điều có cấu trúc giống mô tả Năm giai đoạn bao gồm: a) Được cấp quản lý phê chuẩn cho khởi động dự án ISMS (Điều 5); b) Xác định phạm vi ISMS sách ISMS (Điều 6); c) Tiến hành phân tích u cầu an tồn thơng tin (Điều 7); d) Tiến hành lập kế hoạch đánh giá rủi ro xử lý rủi ro (Điều 8); e) Thiết kế ISMS (Điều 9) Hình mơ tả năm giai đoạn quy trình lập kế hoạch dự án ISMS theo tiêu chuẩn ISO/IEC tài liệu đầu TCVN xxxx:2014 Hình - Các giai đoạn dự án ISMS Thông tin chi tiết đề cập phụ lục sau: Phụ lục A – Tóm tắt hoạt động có tham chiếu TCVN ISO/IEC 27001:2009 Phụ lục B – Các vai trò trách nhiệm an tồn thơng tin Phụ lục C – Thông tin lập kế hoạch đánh giá nội Phụ lục D – Cấu trúc sách Phụ lục E – Thông tin lập kế hoạch giám sát đo lường đánh giá 4.2 Cấu trúc chung điều Mỗi điều bao gồm: a) phần đầu điều, hộp văn bản, đưa nhiều mục tiêu thể nội dung cần đạt được; b) nhiều hoạt động cần thiết để đạt (các) mục tiêu giai đoạn Mỗi hoạt động mơ tả điều nhỏ Các mô tả hoạt động điều nhỏ cấu trúc sau: Hoạt động Phần Hoạt động xác định điều cần thỏa mãn để đạt toàn phần mục tiêu giai đoạn Đầu vào TCVN xxxx:2014 Phần Đầu vào mô tả xuất phát điểm, ví dụ định có văn đầu từ hoạt động khác mô tả tiêu chuẩn Các đầu vào tham chiếu tới tồn đầu từ hoạt động liên quan thông tin cụ thể từ hoạt động bổ sung sau điều tham chiếu Hướng dẫn Phần Hướng dẫn cung cấp thông tin chi tiết cho phép thực hoạt động Một số hướng dẫn khơng phù hợp cho trường hợp có cách khác phù hợp để đạt kết dự kiến Đầu Phần Đầu mô tả (các) kết (các) sản phẩm thu hoạt động hồn thành; ví dụ, văn Các đầu giống không phụ thuộc vào quy mô tổ chức phạm vi ISMS Thông tin khác Phần Thông tin khác cung cấp thông tin bổ sung hỗ trợ việc triển khai hoạt động, ví dụ thơng tin tham chiếu đến tiêu chuẩn khác CHÚ THÍCH: Các giai đoạn hoạt động mô tả tiêu chuẩn bao gồm chuỗi hoạt động thực đề xuất dựa phụ thuộc xác định qua mô tả “đầu vào” “đầu ra” Tuy nhiên, tùy thuộc vào nhiều yếu tố khác (ví dụ, hiệu lực hệ thống quản lý hành, hiểu biết tầm quan trọng an tồn thơng tin, lý triển khai ISMS), tổ chức lựa chọn hoạt động theo thứ tự cần thiết để chuẩn bị cho việc thiết lập triển khai ISMS 4.3 Biểu đồ Các dự án thường mô tả dạng biểu đồ đồ họa tổng quan hoạt động đầu Hình thể thích cho biểu đồ nằm điều nhỏ tổng quan giai đoạn Các biểu đồ đưa thông tin tổng quan hoạt động giai đoạn 10 TCVN xxxx:2014 mục tiêu quản lý, biện pháp quản lý, quy trình thủ tục đánh giá, kết đánh giá trước lên kế hoạch cho chương trình đánh giá Khi thực đánh giá, phải lập tài liệu tiêu, phạm vi áp dụng, tần suất phương pháp đánh giá Tính khách quan cơng quy trình đánh giá phải đảm bảo lựa chọn đánh giá viên Mỗi đánh giá viên yêu cầu phải có lực sau thực quy trình đánh giá: a) lập kế hoạch thực đánh giá; b) lập báo cáo kết quả; c) đề xuất hành động khắc phục phịng ngừa,… Ngồi ra, tổ chức phải xác định trách nhiệm đánh giá viên danh sách quy trình đánh giá tài liệu thủ tục kiểm tra Mỗi người quản lý chịu trách nhiệm quy trình đánh giá nên đảm bảo vấn đề không tuân thủ nguyên nhân chúng làm sáng tỏ Tuy nhiên, điều khơng có nghĩa không tuân thủ thiết phải giải Hơn nữa, hành động khắc phục thi hành phải thẩm tra có báo cáo kết thẩm tra Trên quan điểm quản trị, đánh giá ISMS nội thực có hiệu lực thuộc kết hợp với đánh giá nội khác tổ chức Khi thực đánh giá nội bộ, cần tham khảo ISO/IEC 27006:2007 “Các yêu cầu tổ chức đánh giá cấp chứng nhận ISMS” 72 TCVN xxxx:2014 Phụ lục D (Tham khảo) Cấu trúc sách Phụ lục đưa hướng dẫn bổ sung cấu trúc sách, bao gồm sách an tồn thơng tin Nhìn chung, sách tun bố cấp quản lý mục đích định hướng tổng thể (xem FCD 27000 TCVN ISO/IEC 27002:2011) Nội dung sách hướng dẫn hành động định liên quan đến chủ đề sách Mỗi tổ chức đưa nhiều sách; sách tập trung lĩnh vực hoạt động quan trọng tổ chức Bên cạnh số sách độc lập có sách có mối quan hệ phân cấp Về khía cạnh an tồn sách thường tổ chức theo phân cấp Thơng thường, sách an tồn tổ chức sách cấp cao Chính sách hỗ trợ sách cụ thể hơn, bao gồm sách an tồn thơng tin sách hệ thống quản lý an tồn thơng tin Như vậy, sách an tồn thơng tin hỗ trợ sách cụ thể vấn đề liên quan đến khía cạnh an tồn thơng tin Rất nhiều sách đưa tiêu chuẩn ISO/IEC 27002:2011 ISO/IEC 27002:2005, ví dụ sách an tồn thơng tin liên quan đến kiểm sốt truy cập, hình bàn làm việc sạch, sử dụng dịch vụ mạng, sử dụng biện pháp quản lý mật Trong số trường hợp bổ sung thêm phân cấp sách khác Hình ví dụ kiểu phân cấp sách Hình D.1 – Phân cấp sách 73 TCVN xxxx:2014 TCVN ISO/IEC 27001:2009 yêu cầu tổ chức phải có sách ISMS sách an tồn thông tin Tuy nhiên, tiêu chuẩn rõ quan hệ cụ thể sách Các yêu cầu sách ISMS đưa 4.2.1 TCVN ISO/IEC 27001:2009 Các hướng dẫn sách an tồn thơng tin đưa 4.1.1 ISO/IEC 27002:2011 ISO/IEC 27002:2005 Những sách phát triển dạng sách phân cấp, sách ISMS cấp thấp sách an tồn thơng tin, sách an tồn thơng tin cấp thấp sách ISMS Nội dung sách dựa nội dung hoạt động tổ chức Đặc biệt, vấn đề sau nên xem xét thiết lập sách khung sách tổ chức: 1) mục đích mục tiêu tổ chức; 2) chiến lược thông qua để đạt mục tiêu; 3) cấu trúc quy trình tổ chức thơng qua; 4) mục đích mục tiêu liên quan đến chủ đề sách; 5) yêu cầu sách phân cấp liên quan cao Các vấn đề thể hình bên Hình D.2 – Các đầu vào để phát triển sách Mỗi sách có cấu trúc sau: Tóm tắt sách: hai câu tổng quan sách (mục gộp vào phần giới thiệu) Giới thiệu: giải thích ngắn gọn chủ đề sách Phạm vi: mơ tả phận hoạt động tổ chức mà sách tác động đến Nếu phần phạm vi cần liệt kê sách khác hỗ trợ sách Các mục tiêu: mơ tả ý nghĩa sách 74 TCVN xxxx:2014 Các nguyên tắc: mô tả quy tắc liên quan đến hành động, định để đạt mục tiêu sách Trong số trường hợp, nên xác định quy trình liên quan đến chủ đề sách sau quy tắc thực thi quy trình Các trách nhiệm: mơ tả người chịu trách nhiệm hành động để đáp ứng yêu cầu sách Trong số trường hợp, phải đưa mơ tả cấu tổ chức trách nhiệm cá nhân theo vai trò phân bổ Các kết chính: mơ tả kết nghiệp vụ đáp ứng mục tiêu đề Các sách liên quan: mơ tả sách khác liên quan đến việc đạt mục tiêu, thường hình thức đưa thơng tin chi tiết bổ sung liên quan đến chủ đề cụ thể LƯU Ý: Nội dung sách tổ chức theo nhiều cách khác Ví dụ, tổ chức tập trung vào vai trò trách nhiệm mơ tả ngắn gọn mục tiêu, áp dụng nguyên tắc đặc biệt với việc mô tả trách nhiệm Dưới ví dụ sách an tồn thơng tin, thể cấu trúc nội dung sách Chính sách an tồn thơng tin (ví dụ) Tóm tắt chính sách Thơng tin phải ln bảo vệ, cho dù chúng dạng cho dù chúng có chia sẻ, trao đổi lưu trữ Giới thiệu Thơng tin tồn nhiều hình thức Nó in viết giấy, lưu trữ dạng thông tin điện tử, chuyển qua đường bưu điện phương tiện điện tử, thể phim, nói hội thoại An tồn thơng tin bảo vệ thông tin trước mối đe dọa khác để đảm bảo tính liên tục hoạt động nghiệp vụ, giảm thiểu rủi ro, tối đa hóa lợi nhuận đầu tư hội kinh doanh Phạm vi Chính sách hỗ trợ sách an tồn chung tổ chức Chính sách áp dụng cho toàn tổ chức Các mục tiêu an tồn thơng tin Chiến lược rủi ro an tồn thơng tin vận hành thơng hiểu xử lý để tổ chức chấp nhận Sự bí mật thơng tin khách hàng, kế hoạch phát triển tiếp thị sản phẩm bảo vệ Sự toàn vẹn hồ sơ kiểm tra đảm bảo 75 TCVN xxxx:2014 Mạng nội dịch vụ trang thông tin điện tử công cộng đáp ứng tiêu chuẩn cụ thể Các ngun tắc an tồn thơng tin Tổ chức khuyến khích xử lý rủi ro chịu đựng số rủi ro mà tổ chức bảo thủ không chấp nhận trường hợp rủi ro thông tin thông hiểu, giám sát xử lý cần thiết Chi tiết cách tiếp cận thực đánh giá xử lý rủi ro đề cạp sách ISMS Tất nhân viên phải nhận thức có trách nhiệm an tồn thơng tin liên quan đến vai trị cơng việc họ Sẵn sàng cung cấp biện pháp quản lý an tồn thơng tin quy trình quản lý dự án vận hành Các khả gian lận liên quan đến việc lạm dụng hệ thống thông tin xem xét trình quản lý tổng thể hệ thống thông tin Các hồ sơ tình trạng an tồn thơng tin phải ln sẵn sàng Các rủi ro an tồn thơng tin giám sát hành động thực thi có thay đổi gây rủi ro vượt mức cho phép Chỉ tiêu phân loại rủi ro chấp nhận rủi ro nêu sách ISMS Các tình trạng nằm ngồi sức chịu đựng tổ chức khiến tổ chức vi phạm điều luật quy định luật pháp Các trách nhiệm Ban lãnh đạo cấp cao chịu trách nhiệm đảm bảo an tồn thơng tin tồn tổ chức xử lý thích đáng Mỗi người lãnh đạo cấp cao chịu trách nhiệm đảm bảo nhân viên cấp họ thực bảo vệ thông tin theo tiêu chuẩn tổ chức Giám đốc an tồn thơng tin đưa gợi ý cho ban lãnh đạo cấp cao, cung cấp hỗ trợ chuyên môn cho đội ngũ nhân viên tổ chức, đảm bảo báo cáo tình trạng an tồn thơng tin tổ chức sẵn sàng Mỗi nhân viên có trách nhiệm an tồn thơng tin theo phận công việc mà họ đảm nhiệm Các kết chính Các cố an toàn thơng tin khơng làm phát sinh chi phí không mong muốn nghiêm trọng làm gián đoạn nghiêm trọng dịch vụ hoạt động nghiệp vụ Các thiệt hại gian lận nhận biết nằm giới hạn chấp nhận 76 TCVN xxxx:2014 Sự chấp nhận khách hàng sản phẩm dịch vụ không bị ảnh hưởng bất lợi vấn đề liên quan đến an tồn thơng tin Các chính sách liên quan Các sách chi tiết sau cung cấp nguyên tắc hướng dẫn khía cạnh cụ thể an tồn thơng tin sách hệ thống quản lý an tồn thơng tin (ISMS) sách kiểm sốt truy cập sách bàn làm việc hình sách phần mềm trái phép sách liên quan đến tập tin thu thập từ qua mạng bên ngồi sách liên quan đến mã điện thoại di động sách lưu sách liên quan đến việc trao đổi thơng tin tổ chức sách liên quan đến việc sử dụng phép thiết bị truyền thơng điện tử 10 sách lưu trữ hồ sơ 11 sách sử dụng dịch vụ mạng 12 sách liên quan đến tính tốn truyền thơng di động 13 sách làm việc từ xa 14 sách sử dụng biện pháp quản lý mật 15 sách tuân thủ 16 sách quyền phần mềm 17 sách loại bỏ phần mềm 18 sách bảo vệ liệu quyền riêng tư Tất sách hỗ trợ:  xác định rủi ro, cách cung cấp danh sách biện pháp quản lý, chúng sử dụng để xác định lổ hổng thiết kế triển khai hệ thống;  xử lý rủi ro, cách hỗ trợ xác định biện pháp xử lý khiếm khuyết mối đe dọa xác định Cả hai quy trình Xác định rủi ro Xử lý rủi ro xác định phần Các nguyên tắc sách Tham khảo Chính sách ISMS để có thêm thơng tin chi tiết 77 TCVN xxxx:2014 Phụ lục E (Tham khảo) Giám sát đo lường đánh giá Phụ lục đưa hướng dẫn bổ sung hỗ trợ lập kế hoạch thiết kế giám sát, đánh giá an tồn thơng tin Thơng tin Thiết lập giám sát đo lường đánh giá Thiết kế yêu cầu ISMS cụ thể phải bao gồm chương trình giám sát đo kiểm ISMS để hỗ trợ việc soát xét cấp quản lý Thiết kế giám sát: Hình E.1 – Quy trình giám sát Chuẩn bị phối hợp: định danh tài sản có liên quan cần giám sát Cần lưu ý giám sát quy trình liên tục, vậy, thiết kế cần quan tâm đến việc thiết lập quy trình giám sát thiết kế yêu cầu hoạt động giám sát thực tế Các hoạt động cần phối hợp với nhau, phần thiết kế Dựa thơng tin cho phạm vi tài sản xác định, kết hợp với kết từ phân tích rủi ro việc lựa chọn biện pháp quản lý, xác định mục tiêu giám sát Những mục tiêu phải bao gồm:  Điều cần phát  Thời gian  Điều cần chống lại Trên thực tế, hoạt động/quy trình tổ chức thiết lập trước tài sản liên quan phạm vi cơng việc giám sát (giải thích câu hỏi Điều cần chống lại trên) Để thiết kế giám sát, cần phải lựa chọn tài sản quan trọng dựa quan điểm an toàn thơng tin 78 TCVN xxxx:2014 Cũng cần lưu ý đến việc xử lý rủi ro lựa chọn biện pháp quản lý để tìm cần phải giám sát tài sản hoạt động/quy trình tổ chức liên quan (giải thích cho câu hỏi Điều cần phát Khi nào) Vì giám sát có khía cạnh pháp lý nên việc thiết kế giám sát phải kiểm tra cho gặp vấn đề pháp lý Để đảm bảo công việc giám sát thực hiệu điều quan trọng phải phối hợp đưa thiết kế thức tất hoạt động/quy trình cần giám sát Giám sát hoạt động: Để trì mức độ an tồn thơng tin định phải áp dụng xác biện pháp quản lý an tồn thơng tin xác định phù hợp; cố an toàn phải phát giải kịp thời, hiệu suất hệ thống quản lý an tồn thơng tin phải giám sát thường xun Các kiểm tra thường xuyên phải thực để xem liệu tất biện pháp quản lý có áp dụng triển khai theo kế hoạch nội dung an tồn thơng tin khơng Các kiểm tra phải kiểm tra xem biện pháp quản lý kỹ thuật (ví dụ, biện pháp liên quan đến cấu hình) biện pháp quản lý tổ chức (ví dụ, quy trình, thủ tục vận hành) có tn thủ khơng Các kiểm tra phải hướng việc tìm kiếm biện pháp khắc phục nhược điểm Nếu kiểm tra chấp nhận điều quan trọng tất cá nhân tham gia phải nhận thức cách làm việc mục tiêu kiểm tra Sự thảo luận giải pháp khả thi cho vấn đề với tham gia cá nhân suốt kiểm tra chuẩn bị sẵn biện pháp khắc phục thích hợp vấn đề quan trọng Các kiểm tra phải chuẩn bị kỹ lưỡng để đảm bảo chúng đạt mục tiêu cách hiệu đến mức đồng thời gây gián đoạn đến guống máy công việc Triển khai chung kiểm tra phải thống trước với cấp quản lý Các hoạt động thiết kế thuộc ba hình thức khác sau:  báo cáo cố  xác minh không tuân thủ chức quản lý  kiểm tra thường xuyên khác Hơn nữa, kết từ hoạt động phải thiết kế cách thức xây dựng báo cáo cách thức báo cáo thông tin lên cấp quản lý Hệ thống tài liệu thức phải mơ tả thiết kế hoạt động mục đích chúng, trách nhiệm liên quan Yêu cầu kết giám sát Các kết giám sát gồm: a) Các báo cáo hoạt động giám sát theo mức độ chi tiết yêu cầu 79 TCVN xxxx:2014 Cũng giống kết hoạt động giám sát, nên lập hồ sơ giám sát cấp quản lý Tất thơng tin cấp quản lý u cầu để hồn thành nhiệm vụ quản lý giám sát họ nên ghi vào hồ sơ theo mức độ chi tiết yêu cầu b) Các thông tin để cấp quản lý đưa định cần hành động tức thời Các báo cáo trình lên cấp quản lý phải kết thúc danh sách hành động đề xuất theo thứ tự ưu tiên rõ ràng với đánh giá thực tế chi phí dự kiến để triển khai hành động Điều đảm bảo nhận định cần thiết từ cấp quản lý mà không bị chậm trễ mức Xây dựng chương trình đo lường đánh giá an tồn thơng tin Tổng quan thiết kế chương trình đo lường đánh giá an tồn thơng tin Quy trình đo lường đánh giá nên đưa vào chu trình ISMS dự án tổ chức, sử dụng để thực cải tiến liên tục quy trình kết liên quan dự án tổ chức Quy trình liên quan đến chương trình đo lường đánh giá an tồn thơng tin (ISO/IEC 27004:2009) Thiết kế chương trình cần xem xét quan điểm chu trình ISMS Hình mơ tả cách thức đưa quy trình đo lường đánh giá vào chu trình ISMS Các chức sau chức cần có hệ thống quản lý để đảm bảo thỏa mãn vấn đề yêu cầu mong muốn, ví dụ thực cấu PDCA; đo lường đánh giá tính đắn đầu hiệu lực nó; cung cấp thông tin phản hồi kết đo lường đánh giá cho người quản lý quy trình Để có đo lường đánh giá đúng, cần sử dụng thơng tin có trước, đặc biệt là: a) sách ISMS, bao gồm phạm vi giới hạn; b) kết từ đánh giá rủi ro; c) biện pháp quản lý chọn; d) mục tiêu quản lý; e) mục tiêu an tồn thơng tin cụ thể; f) quy trình cụ thể, nguồn lực phân loại chúng Cấp quản lý nên thiết lập trì cam kết quy trình đo lường đánh giá tổng thể Khi triển khai quy trình đo lường đánh giá, cấp quản lý nên: a) chấp nhận yêu cầu đo lường đánh giá; xem ISO/IEC 27004:2009 để có thơng tin cụ thể; b) lưu ý đến nhu cầu thơng tin; xem ISO/IEC 27004:2009 để có thông tin cụ thể; c) nhận cam kết đội ngũ nhân viên thông qua hoạt động sau: 80 TCVN xxxx:2014  Tổ chức nên thể rõ cam kết thơng qua, ví dụ, sách đo lường đánh giá cho tổ chức, phân bổ trách nhiệm nhiệm vụ, đào tạo, phân bổ ngân quỹ nguồn lực khác  Nên định cá nhân đơn vị thuộc tổ chức chịu trách nhiệm chương trình đo lường đánh giá  Một cá nhân đơn vị thuộc tổ chức chịu trách nhiệm công bố tầm quan trọng kết đo lường đánh giá ISMS tới toàn tổ chức để đảm bảo chúng tổ chức chấp nhận sử dụng, việc nên có hỗ trợ cấp quản lý  Đảm bảo liệu đo lường đánh giá ISMS thu thập, phân tích, báo cáo tới CIO bên liên quan khác  Giáo dục người quản lý chuyên môn việc sử dụng kết đo lường đánh giá ISMS cho định sách, phân bổ nguồn lực, ngân quỹ Thiết kế chương trình đo lường đánh giá an tồn thơng tin nên có tham gia cá nhân sau: a) Quản lý cấp cao b) Những người sử dụng sản phẩm an tồn thơng tin c) Những người phụ trách hệ thống thông tin d) Những người phụ trách an tồn thơng tin Chương trình đo lường đánh giá an tồn thơng tin thiết lập để thu minh chứng hiệu lực ISMS, mục tiêu biện pháp quản lý ISMS Chương trình mơ tả ISO/IEC 27004:2009 Các kết đo lường đánh giá phù hợp Giai đoạn Lập kế hoạch nên kiểm soát để thỏa mãn mục tiêu Mỗi tổ chức có chương trình đo lường đánh giá an tồn thơng tin phù hợp riêng tùy theo cấu trúc tổ chức: a) Quy mô tổ chức b) Mức độ phức tạp tổ chức c) Các rủi ro tổng thể/Nhu cầu an toàn thơng tin Nhìn chung, tổ chức có quy mơ lớn phức tạp cần có chương trình đo lường đánh giá với phạm vi rộng Tuy nhiên, mức độ rủi ro tổng thể ảnh hưởng đến phạm vi chương trình đo lường đánh giá Nếu tác động an tồn thơng tin yếu nghiêm trọng tổ chức tương đối nhỏ cần có chương trình đo lường đánh giá tồn diện để kiểm sốt hết rủi ro tổ chức lớn đối mặt với tác động tương tự Phạm vi chương trình đo lường 81 TCVN xxxx:2014 đánh giá ước lượng dựa biện pháp quản lý lựa chọn cần kiểm sốt kết từ phân tích rủi ro Thiết kế chương trình đo lường đánh giá an tồn thơng tin Người chịu trách nhiệm chương trình đo lường đánh giá an tồn thơng tin nên quan tâm đến vấn đề sau đây: a) Phạm vi chương trình đo lường đánh giá b) Các đo lường đánh giá c) Thực đo lường đánh giá d) Thời gian thực đo lường đánh giá e) Báo cáo kết đo Phạm vi chương trình đo lường đánh giá nên bao hàm phạm vi, mục tiêu biện pháp quản lý ISMS Việc đo lường đánh giá ISMS nên thiết lập theo đặc thù tổ chức, tổ chức, địa điểm tổ chức, tài sản công nghệ tổ chức, bao gồm thông tin chi tiết chứng cụ thể việc loại bỏ đối tượng phạm vi ISMS Các đối tương bị loại bỏ biện pháp quản lý an toàn, quy trình, hệ thống, khu vực chức năng, tồn sở, chi nhánh, tổ chức gồm nhiều chi nhánh Khi lựa chọn đo lường đánh giá, điều Quy trình đo lường đánh giá hệ thống an tồn thơng tin ISO/IEC 27004:2009 quy định điểm xuất phát đối tượng đo Để thiết lập chương trình đo lường đánh giá, đối tượng nên xác định rõ Các đối tượng quy trình nguồn lực (Xem thêm chi tiết ISO/IEC 27004:2009) Khi xác định chương trình này, đối tượng xác định phạm vi ISMS thường chia nhỏ để tìm đối tượng thực cần đánh giá Quy trình xác định minh họa ví dụ sau đây: Tổ chức đối tượng tổng thể - Quy trình tổ chức A/ hệ thống ICT X phận đối tượng đại diện cho đối tượng – Các đối tượng thuộc quy trình có ảnh hưởng đến an tồn thơng tin (con người, quy định, hệ thống mạng, ứng dụng, thiết bị…) nhìn chung đối tượng đo lường đánh giá nhằm thấy hiệu việc bảo vệ thông tin Khi triển khai thực Chương trình đo lường đánh giá an tồn thơng tin, cần lưu ý đối tượng đo lường đánh giá thuộc nhiều quy trình tổ chức phạm vi ISMS, có tác động nhiều tới hiệu lực ISMS mục tiêu quản lý Nhìn chung, đối tượng nên phân cấp ưu tiên theo phạm vi chương trình, chẳng hạn Tổ chức an tồn thơng tin quy trình liên quan, phịng máy tính, đồng nghiệp có liên quan đến an tồn thơng tin… Thời gian thực đo lường đánh giá thay đổi, việc đo lường đánh giá nên kết thúc tổng kết vào khoảng thời gian định để khớp với chương trình sốt xét cấp 82 TCVN xxxx:2014 quản lý quy trình cải tiến liên tục mong đợi ISMS Thiết kế chương trình nên thể rõ điều Công tác báo cáo kết đánh giá nên thiết kế cho việc công bố đảm bảo theo ISO/IEC 27004:2009 Thiết kế chương trình đo lường đánh giá an tồn thơng tin nên với quy định thủ tục đo lường đánh giá, tài liệu nên cấp quản lý phê chuẩn Tài liệu nên chứa nội dung sau: a) Các trách nhiệm chương trình đo lường đánh giá an tồn thơng tin b) Các trách nhiệm truyền thông c) Phạm vi đo lường đánh giá d) Cách thức thực (phương pháp sử dụng, nội thực hiện, thuê ngoài…) e) Thời gian thực f) Các thức lập hồ sơ Nếu tổ chức xây dựng điểm đánh giá riêng chúng phải ghi thành tài liệu thuộc giai đoạn thiết kế, tham khảo thông tin chi tiết ISO/IEC 27004:2009 Tài liệu mang tính chất tổng quan khơng cần phải cấp quản lý ký chi tiết thay đổi triển khai Đo lường đánh giá hiệu lực ISMS Khi thiết lập phạm vi chương trình đo lường đánh giá an tồn thơng tin triển khai, cần lưu ý không nên đưa số lượng đối tượng đo lường đánh giá lớn Nếu số lượng đối tượng lớn, chia nhỏ chương trình thành nhiều phận khác Phạm vi phận coi phần đo lường đánh giá riêng để so sánh, mục đích chúng thường là: kết hợp phần đo lường đánh giá để đưa dấu hiệu để đánh giá hiệu lực ISMS Các phạm vi nhỏ thường đơn vị tổ chức xác định giới hạn rõ ràng Sự kết hợp đối tượng tham gia vào quy trình tổ chức công việc đo lường đánh giá đối tượng thuộc phạm vi nhỏ hình thành phạm vi phù hợp cho Chương trình đo lường đánh giá an tồn thơng tin Vì vậy, hiệu lực tồn ISMS đo lường đánh giá dựa việc đo lường đánh giá kết hai nhiều quy trình/đối tượng Vì mục tiêu đo lường đánh giá hiệu lực ISMS nên điều quan trọng phải đo lường đánh giá mục tiêu quản lý biện pháp quản lý Số lượng phù hợp biện pháp quản lý khía cạnh, cịn biện pháp quản lý có đủ để đánh giá hiệu lực ISMS không lại vấn đề khác (Có thể có lý khác cho việc hạn chế phạm vi Chương trình đo lường đánh giá an tồn thơng tin, đề cập ISO/IEC 27004:2009) 83 TCVN xxxx:2014 Hình E.2 – Hai nội dung đo lường đánh giá hiệu lực theo quy trình PDCA ISMS quy trình ví dụ tổ chức Khi sử dụng kết đo lường đánh giá để đánh giá hiệu lực ISMS, mục tiêu quản lý biện pháp quản lý có điều vơ quan trọng cấp quản lý phải nhận thức rõ phạm vi Chương trình đo lường đánh giá an tồn thơng tin Người chịu trách nhiệm chương trình đo lường đánh giá nên cấp quản lý phê chuẩn phạm vi Chương trình đo lường đánh giá an tồn thơng tin trước triển khai chương trình CHÚ THÍCH 1: Yêu cầu liên quan đến việc đo lường đánh giá hiệu lực TCVN ISO/IEC 27001:2009 "đánh giá biện pháp quản lý nhóm biện pháp quản lý" (Xem 4.2.2 d) TCVN ISO/IEC 27001:2009) CHÚ THÍCH 2: Yêu cầu liên quan đến hiệu lực toàn ISMS TCVN ISO/IEC 27001:2009 "sốt xét hiệu lực tồn ISMS", khơng u cầu "đánh giá tồn ISMS" Khi thực đo lường đánh giá thực tế, sử dụng đội ngũ nhân viên nội bộ, bên ngoài, kết hợp hai Quy mô, cấu trúc văn hóa tổ chức yếu tố cần xem xét đánh giá nguồn lực nội bên ngồi Các tổ chức, cơng ty quy mơ vừa nhỏ có nhiều thuận lợi sử dụng hỗ trợ từ bên tổ chức lớn Tùy theo văn hóa tổ chức, kết từ việc sử dụng nguồn lực bên ngồi cịn mang lại kết có giá trị Nếu tổ chức thường tiến hành đánh giá nội bộ, việc sử dụng nguồn lực nội thực có giá trị 84 TCVN xxxx:2014 Thư mục tài liệu tham khảo [1] TCVN ISO 9001:2008, Hệ thống quản lý chất lượng – Các yêu cầu [2] TCVN ISO 14001:2005, Hệ thống quản lý môi trường – Các yêu cầu hướng dẫn sử dụng [3] TCVN 8709-1:2011, Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an tồn CNTT - Phần 1: Giới thiệu mơ hình tổng quát [4] TCVN 8709-2:2011, Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức an tồn [5] TCVN 8709-3:2011, Cơng nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an tồn [6] TCVN ISO/IEC 27001:2009, Cơng nghệ thơng tin - Hệ thống quản lý an tồn thông tin – Các yêu cầu [7] ISO/IEC 15026 (all parts), Systems and software engineering – Systems and software assurance [8] TCVN 8695 – 1:2011, Công nghệ thông tin – Quản lý dịch vụ – Phần 1: Các yêu cầu [9] ISO/IEC 15443-1:2005, Information technology Security techniques – A framework for IT security assurance – Part 1: Overview and framework [10] ISO/IEC 15443-2:2005, Information technology Security techniques – A framework for IT security assurance – Part 2: Assurance methods [11] ISO/IEC 15443-3:2007, Information technology Security techniques – A framework for IT security assurance – Part 3: Analysis of assurance methods [12] ISO/IEC 15939:2007, Systems and software engineering – Measurement process [13] ISO/IEC 16085:2006, Systems and software engineering – Life cycle processes – Rick management [14] ISO/IEC 16326:2009, Systems and software engineering – Life cycle processes – Project management [15] ISO/IEC 18045:2008, Information technology Security techniques – Methodology for IT security evaluation [16] ISO/IEC TR 19791:2006, Information technology Security techniques – Security assessment of operational systems [17] ISO/IEC 20004:2009, Information technology - Security techniques – Information security management - Measurement 85 TCVN xxxx:2014 [18] ISO/IEC 20005:2008, Information technology - Security techniques – Information security risk management [19] [20] ISO 21500, Project management – Guide to project management ISO/IEC 27006:2007, Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems ISO/IEC 180284, Information technology Security techniques – IT Netwwork security - Part 4: Securing remote access 86