ISO 27002-2013-Vi

Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát
bảo mật thông tin
1|Page
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
TIÊU CHUẨN ISO 27002:2013(E)

MỤC LỤC
Lời tựa...............................................................................................................................................8
0 Giới thiệu......................................................................................................................................9
0.1 Bối cảnh..............................................................................................................................9
0.2 Các yêu cầu bảo mật thông tin ..................................................................................10
0.3 Lựa chọn các kiểm soát ...............................................................................................10
0.4 Phát triển các hướng dẫn của bạn .............................................................................11
0.5 Cân nhắc vòng đời .........................................................................................................11
0.6 Các tiêu chuẩn liên quan .............................................................................................11
1 Phạm vi....................................................................................................................................12
2 Quy phạm tham chiếu ..........................................................................................................12
3 Khái niệm và định nghĩa ....................................................................................................12
4 Cấu trúc của tiêu chuẩn này ..............................................................................................12
4.1 Các điều khoản...............................................................................................................12
4.2 Các loại kiểm soát .........................................................................................................13
5 Các chính sách bảo mật thông tin ...................................................................................13
5.1 Quản lý định hướng bảo mật thông tin ...................................................................13
5.1.1 Các chính sách bảo mật thông tin ........................................................................13
5.1.2 Xem xét đánh giá các tiêu chuẩn bảo mật thông tin .......................................15
6 Tổ chức bảo mật thông tin .................................................................................................15
6.1 Tổ chức nội bộ................................................................................................................15
6.1.1 Những vai trò và trách nhiệm trong bảo mật thông tin .................................15
6.1.2 Phân tách nhiệm vụ ...................................................................................................16
6.1.3 Liên hệ với các cơ quan có thẩm quyền .............................................................17
6.1.4 Liên hệ với các nhóm mục đích đặc biệt ............................................................17
6.1.5 Bảo mật thông tin trong quản lý dự án ...............................................................18
6.2 Các thiết bị di động và làm việc từ xa ....................................................................18
6.2.1 Chính sách thiết bị di động ....................................................................................18
6.2.2 Làm việc từ xa ..........................................................................................................20
7 Bảo mật về nhân sự..............................................................................................................21
7.1 Trước khi bắt đầu công việc .......................................................................................21
7.1.1 Sàng lọc........................................................................................................................22
7.1.2 Các điều khoản và điều kiện làm việc ................................................................23
2|Page
7.2 Trong khi làm việc........................................................................................................24

7.2.1 Trách nhiệm của cấp quản lý .................................................................................24
7.2.2 Nhận thức, giáo dục và đào tạo bảo mật thông tin .........................................25
7.2.3 Quy trình kỷ luật .......................................................................................................26
7.3 Hủy bỏ hợp đồng và thay đổi công việc .................................................................27
7.3.1 Chấm dứt hoặc thay đổi trách nhiệm công việc ...............................................27
8 Quản lý tài sản...........................................................................................................................28
8.1 Trách nhiệm với các tài sản ...........................................................................................28
8.1.1. Kiểm kê tài sản.........................................................................................................28
8.1.2 Chủ sở hữu của tài sản .............................................................................................29
8.1.3 Việc sử dụng tài sản có thể được chấp nhận .....................................................30
8.1.4 Trả lại tài sản.............................................................................................................30
8.2 Phân loại thông tin ...........................................................................................................30
8.2.1 Phân loại thông tin ....................................................................................................31
8.2.2 Dán nhãn thông tin ....................................................................................................32
8.2.3 Xử lý tài sản................................................................................................................33
8.3 Xử lý phương tiện .............................................................................................................33
8.3.1 Quản lý các phương tiện có thể di dời được .....................................................33
8.3.2 Loại bỏ phương tiện .................................................................................................34
8.3.3 Di dời phương tiện vật lý ........................................................................................35
9 Kiểm soát truy cập ...................................................................................................................36
9.1 Yêu cầu doanh nghiệp về kiểm soát truy cập ...........................................................36
9.1.1 Chính sách kiểm soát truy cập ..............................................................................36
9.1.2 Truy cập hệ thống mạng và các dịch vụ mạng .................................................37
9.2 Quản lý truy cập người dùng .........................................................................................38
9.2.1 Đăng ký và hủy đăng ký người dùng ...................................................................38
9.2.2 Việc cấp quyền truy cập ..........................................................................................39
9.2.3 Quản lý các đặc quyền truy cập ............................................................................40
9.2.4 Quản lý thông tin xác minh người dùng bí mật ...............................................41
9.2.5 Xem xét quyền truy cập của người dùng ............................................................41
9.2.6 Hủy bỏ hoặc điều chỉnh quyền truy cập .............................................................42
9.3 Trách nhiệm của người dùng .........................................................................................43
9.3.1 Sử dụng thông tin xác minh bí mật ......................................................................43
9.4 Kiểm soát truy cập hệ thống và ứng dụng .................................................................44
3|Page
9.4.1 Giới hạn truy cập thông tin ....................................................................................44

9.4.2 Các thủ tục đăng nhập bảo mật .............................................................................45
9.4.3 Hệ thống quản lý mật khẩu .....................................................................................46
9.4.4 Sử dụng các chương trình tiện ích đặc quyền ...................................................46
9.4.5 Kiểm soát truy cập đối với mã nguồn .................................................................47
10 Mã hóa.......................................................................................................................................48
10.1 Kiểm soát mã hóa...........................................................................................................48
10.1.1 Chính sách về việc sử dụng các biện pháp kiểm soát mã hóa ...................48
10.1.2 Quản lý khóa (mã hóa) ..........................................................................................49
11 Bảo mật vật lý và môi trường .............................................................................................51
11.1.1 Các khu vực an ninh ...............................................................................................51
11.1.2 Các kiểm soát lối vào vật lý ................................................................................52
11.1.3 Bảo mật các văn phòng, phòng (làm việc) và thiết bị .................................53
11.1.4 Bảo vệ chống lại các mối đe dọa từ bên ngoài và từ môi trường .............53
11.1.5 Làm việc trong các khu vực an ninh .................................................................54
11.1.6 Khu vực giao hàng và bốc hàng ..........................................................................54
11.2 Thiết bị..............................................................................................................................55
11.2.1 Định vị và bảo vệ thiết bị .....................................................................................55
11.2.2 Các tiện ích hỗ trợ ..................................................................................................56
11.2.3 Bảo mật cáp ..............................................................................................................56
11.2.4 Bảo trì thiết bị .........................................................................................................57
11.2.5 Di chuyển tài sản ....................................................................................................57
11.2.6 Bảo mật thiết bị và tài sản bên ngoài cơ sở ....................................................58
11.2.7 Bảo mật thiết bị được loại bỏ hoặc tái sử dụng .............................................59
11.2.8 Thiết bị vắng mặ người dùng ..............................................................................60
11.2.9 Chính sách bàn làm việc và màn hình gọn gàng ............................................60
12 Bảo mật vận hành...................................................................................................................61
12.1 Các thủ tục và trách nhiệm vận hành ........................................................................61
12.1.1 Các thủ tục và trách nhiệm vận hành ................................................................61
12.1.2 Quản lý thay đổi ......................................................................................................62
12.1.3 Quản lý năng lực .....................................................................................................62
12.1.4 Phân tách các môi trường phát triển, kiểm thử và vận hành .....................63
12.2 Bảo vệ khỏi phần mềm độc hại...................................................................................65
12.2.1 Các kiểm soát chống lại phần mềm độc hại ....................................................65
4|Page
12.3 Sao lưu...............................................................................................................................66

12.3.1 Sao lưu thông tin .....................................................................................................66
12.4 Ghi nhật ký và giám sát ................................................................................................68
12.4.1 Ghi nhật ký sự kiện ................................................................................................68
12.4.2 Bảo vệ thông tin nhật ký .......................................................................................69
12.4.3 Các nhật ký quản trị và vận hành .......................................................................69
12.4.4 Đồng bộ hóa đồng hồ .............................................................................................70
12.5 Kiểm soát phần mềm vận hành ...................................................................................70
12.5.1 Cài đặt phần mềm trên các hệ thống vận hành ...............................................70
12.6 Quản lý các lỗ hổng kỹ thuật ......................................................................................72
12.6.1 Quản lý các lỗ hổng kỹ thuật ..............................................................................72
12.6.2 Hạn chế cài đặt phần mềm ....................................................................................73
12.7 Các mối quan tâm về kiểm toán bảo mật thông tin ..............................................74
12.7.1 Kiểm soát việc kiểm toán hệ thống thông tin .................................................74
13 Bảo mật truyền thông ............................................................................................................75
13.1 Các kiểm soát mạng .......................................................................................................75
13.1.1 Quản lý bảo mật mạng ...........................................................................................75
13.1.2 Bảo mật các dịch vụ mạng ....................................................................................75
13.1.3 Sự tách biệt các mạng ............................................................................................76
13.2 Truyền tải thông tin .......................................................................................................77
13.2.1 Các chính sách và thủ tục truyền tải thông tin ..............................................77
13.2.2 Những thỏa thuận truyền tải thông tin .............................................................79
13.2.3 Thông điệp điện tử ..................................................................................................79
13.2.4 Tính bảo mật hoặc các thỏa thuận không tiết lộ ............................................80
14 Thu nhận, phát triển và bảo trì hệ thống .........................................................................81
14.1 Yêu cầu bảo mật đối với các hệ thống thông tin .................................................81
14.1.1 Phân tích và đặc tả các yêu cầu bảo mật thông tin .......................................81
14.1.2 Bảo mật các dịch vụ ứng dụng trên mạng công cộng ...................................83
14.1.3 Bảo vệ các giao dịch dịch vụ ứng dụng ...........................................................84
14.2 Bảo mật trong giai đoạn phát triển và các quy trình hỗ trợ ..............................85
14.2.1 Chính sách bảo mật phát triển .............................................................................85
14.2.2 Các thủ tục kiểm soát thay đổi hệ thống ........................................................86
14.2.3 Xem xét kỹ thuật của ứng dụng sau khi nền tảng vận hành thay đổi ....87
14.2.4 Những hạn chế trong thay đổi đối với các gói phần mềm ..........................87
5|Page
14.2.5 Các nguyên tắc kỹ thuật bảo mật hệ thống .....................................................88

14.2.6 Bảo vệ môi trường phát triển ..............................................................................89
14.2.7 Phát triển được thuê ngoài ...................................................................................90
14.2.8 Kiểm nghiệm bảo mật hệ thống ..........................................................................90
14.2.9 Kiểm nghiệm chấp thuận hệ thống .....................................................................91
14.3 Dữ liệu kiểm nghiệm....................................................................................................91
14.3.1 Bảo vệ dữ liệu kiểm nghiệm ................................................................................91
15 Mối quan hệ với nhà cung cấp ...........................................................................................92
15.1.1 Chính sách bảo mật thông tin đối với mối quan hệ với nhà cung cấp ....92
15.1.2 Giải quyết vấn đề bảo mật trong các thỏa thuận với nhà cung cấp .........93
15.1.3 Chuỗi cung ứng công nghệ thông tin và truyền thông .................................95
15.2 Quản lý việc chuyển giao dịch vụ của nhà cung cấp ...........................................96
15.2.1 Giám sát và đánh giá các dịch vụ của nhà cung cấp ....................................96
15.2.2 Quản lý những thay đổi đối với nhà cung cấp các dịch vụ ........................97
16 Quản lý sự cố bảo mật thông tin ........................................................................................98
16.1 Quản lý sự cố bảo mật thông tin và các cải thiện .................................................98
16.1.1 Trách nhiệm và các thủ tục ..................................................................................98
16.1.2 Báo cáo các sự kiện bảo mật thông tin .............................................................99
16.1.3 Báo cáo các điểm yếu bảo mật thông tin .......................................................100
16.1.4 Đánh giá và quyết định về các sự kiện bảo mật thông tin ........................100
16.1.5 Ứng phó với các sự cố bảo mật thông tin ......................................................101
16.1.6 Rút kinh nghiệm từ các sự cố bảo mật thông tin .........................................102
16.1.7 Thu thập bằng chứng ............................................................................................102
17 Các khía cạnh bảo mật thông tin trong quản lý kinh doanh liên tục ....................103
17.1 Tính liên tục bảo mật thông tin ................................................................................103
17.1.1 Hoạch định bảo mật thông tin liên tục ...........................................................103
17.1.2 Triển khai bảo mật thông tin liên tục .............................................................104
17.1.3 Xác minh, xem xét và đánh giá bảo mật thông tin liên tục ......................105
17.2 Các dự phòng.................................................................................................................106
17.2.1 Tính sẵn sàng của các thiết bị xử lý thông tin .............................................106
18 Tuân thủ..................................................................................................................................106
18.1 Tuân thủ luật pháp và các quy định hợp đồng .....................................................106
18.1.1 Xác định các yêu cầu pháp lý và hợp đồng có thể áp dụng .....................106
18.1.2 Quyền sở hữu trí tuệ ............................................................................................107
6|Page
18.1.3 Bảo vệ hồ sơ...........................................................................................................108

18.1.4 Quyền riêng tư và bảo vệ thông tin định danh cá nhân .............................109
18.1.5 Quy định về các kiểm soát mã hoá ..................................................................110
18.2 Xem xét bảo mật thông tin .........................................................................................110
18.2.1 Đánh giá độc lập về bảo mật thông tin ...........................................................110
18.2.2 Tuân thủ các chính sách và tiêu chuẩn bảo mật ..........................................111
18.2.3 Đánh giá bảo mật kỹ thuật .................................................................................112
Nguồn tham khảo........................................................................................................................113
7|Page
Lời tựa
ISO (Tổ chức quốc tế về tiêu chuẩn hóa) và IEC (Ủy ban quốc tế kỹ thuật điện)
định hình các hệ thống đặc biệt cho sự tiêu chuẩn hóa toàn cầu. Các quốc gia là
thành viên của ISO hoặc IEC tham gia vào việc phát triển các Tiêu chuấn quốc tế
thông qua các ủy ban kỹ thuật được thành lập bởi tổ chức tương ứng để đối phó
với các lĩnh vực hoạt động kỹ thuật cụ thể. Các ủy ban ISO và IEC cộng tác trong
các lĩnh vực có cùng mối quan tâm chung. Các tổ chức quốc tế khác, chính phủ và
phi chính phủ, trong mối liên quan với ISO và IEC, cũng đóng góp một phần công
việc. Trong lĩnh vực CNTT, ISO và IEC đã thiết lập một ủy ban kỹ thuật chung, đó
là ISO/IEX JTC1.
Các Tiêu chuẩn Quốc tế được soạn thảo phù hợp với các quy định trong Phần 2,
Các Hướng dẫn ISO/IEC.
ISO/IEC 27002 được chuẩn bị bởi Ủy ban Kỹ thuật hỗn hợp ISO/IEC JTC 1, Công
nghệ thông tin , ủy ban con SC27, Kỹ thuật bảo mật thông tin.
Sự chú ý được thu hút vào khả năng một số thành phần của tài liệu này có thể là
đối tượng của quyền sáng chế. ISO sẽ không chịu trách nhiệm xác định bất kỳ hoặc
tất cả các quyền về bằng sáng chế đó.
Phiên bản thứ hai này hủy bỏ và thay thế cho phiên bản đầu tiên (ISO
27002:2005), và đã được duyệt lại về mặt cấu trúc và kỹ thuật.
8|Page
0 Giới thiệu
1.1 Bối cảnh
Tiêu chuẩn Quốc tế này được thiết kế cho các tổ chức để sử dụng như là bản tham
chiếu trong việc lựa chọn các kiểm soát trong phạm vi quy trình triển khai Hệ
thống Quản lý Bảo mật Thông tin (ISMS) dựa trên ISO/IEC 27001 ( 1 0 ) hoặc như là
một tài liệu hướng dẫn để các tổ chức triển khai các kiểm soát bảo mật thông tin
phổ biến đã được chấp nhận. Tiêu chuẩn này cũng được dự định để sử dụng trong
việc phát triển ngành – và tổ chức – các hướng dẫn quản lý bảo mật thông tin cụ
thể, trong mối quan tâm đối với (các) môi trường rủi ro bảo mật thông tin cụ thể.
Các tổ chức trong mọi ngành nghề với mọi quy mô (bao gồm cả khu vực công và tư
nhân, thương mại và phi lợi nhuận), thu thập, xử lý, lưu trữ và truyền tải thông tin
trong mọi định dạng bao gồm điện tử, vật lý và bằng lời nói (ví dụ, trao đổi và
thuyết trình).
Giá trị của thông tin vượt lên trên cả những tuef ngữ đã được viết, các con số và
hình ảnh: kiến thức, các ý tưởng, ý kiến và các nhãn hiệu là những ví dụ về những
định dạng vô hình của thông tin. Trong một thế giới được liên kết, thông tin và các
quy trình, hệ thống, mạng lưới có liên quan, và những con người tham gia vào hoạt
động của chúng, xử lý và bảo vệ, là những tài sản mà, giống như những tài sản
quan trọng khác của tổ chức, là có giá trị đối với việc kinh doanh của tổ chức và
do đó, xứng đáng hoặc đòi hỏi sự bảo vệ chống lại các mối nguy cơ khác nhau.
Các tài sản là đối tượng của cả các mối đe dọa cố ý và vô tình trong khi các quy
trình, hệ thống, mạng lưới và con người đều có những lỗ hổng cố hữu. Những thay
đổi trong quy trình kinh doanh và các hệ thống, hoặc những thay đổi bên ngoài
khác (chẳng hạn như những luật lệ và quy định mới) có thể tạo ra những rủi ro bảo
mật thông tin mới. Do đó, với vô số cách mà các mối đe dọa có thể lợi dụng các lỗ
hổng để gây thiệt hại cho tổ chức, những rủi ro bảo mật thông tin luôn luôn hiện
hữu. Bảo mật thông tin hiệu quả làm giảm thiểu những rủi ro đó bằng cách bảo vệ
tổ chức chống lại những mối đe dọa và lỗ hổng, và giảm thiểu tác động đối với các
tài sản.
Bảo mật thông tin đạt được bằng cách triển khai bộ các kiểm soát phù hợp, bao
gồm các chính sách, các quy trình, thủ tục, cấu trúc tổ chức và các chức năng phần
mềm cũng như phần cứng. Các kiểm soát này cần được thiết lập, triển khai, giám
sát, xem xét và tăng cường, khi cần thiết, để đảm bảo rằng các mục tiêu kinh
doanh cũng như mục tiêu bảo mật cụ thể của tổ chức được đáp ứng. Một ISMS
chẳng hạn như đã được chỉ định trong ISO/IEC 27001 ( 1 0 ) có một cái nhìn toàn diện,
được kết hợp về các rủi ro bảo mật thông tin của tổ chức để triển khai một bộ kiểm
soát toàn diện về bảo mật thông tin trong khuôn khổ tổng thể của một hệ thống
quản lý mạch lạc.
Rất nhiều hệ thống thông tin đã không được thiết kế để được bảo mật theo ý nghĩa
của ISO/IEC 27001 ( 1 0 ) cũng như theo tiêu chuẩn này. Bảo mật có thể đạt được
thông qua các biện pháp kỹ thuật bị giới hạn và nên được hỗ trợ bởi các thủ tục và
quản lý thích hợp. Việc xác định các kiểm soát nào nên có đòi hỏi sự hoạch định
9|Page
kỹ lưỡng và sự chú ý đến chi tiết. Một ISMS thành công yêu cầu sự hỗ trợ từ mọi
nhân viên trong tổ chức. Nó cũng có thể yêu cầu sự tham gia của các cổ đông, nhà
cung cấp hoặc bên thứ ba bên ngoài khác. Lời khuyên đặc biệt từ các bên thứ ba
bên ngoài cũng có thể là cần thiết.
Theo một ý nghĩa tổng quát hơn, bảo mật thông tin hiệu quả cũng đảm bảo với cấp
quản lý và các cổ đông khác rằng những tài sản của tổ chức được bảo vệ và an toàn
một cách hợp lý trước các mối nguy hại, và do đó, hoạt động như một yếu tố doanh
nghiệp.
1.2 Các yêu cầu bảo mật thông tin

Điều thiết yếu là một tổ chức xác định được các yêu cầu bảo mật của mình. Có ba
nguồn chính của các yêu cầu bảo mật như sau:
a) sự đánh giá rủi ro đối với tổ chức, trong mối tương quan với các mục tiêu và
chiến lược kinh doanh tổng thể. Thông qua quá trình đánh giá rủi ro, các
mối đe dọa đối với tài sản được xác định, các lỗ hổng và khả năng lặp lại
được đánh giá và các tác động tiềm tàng được ước lượng;
b) luật, các điều khoản, các quy định và các yêu cầu hợp đồng mà một tổ chức,
các đối tác thương mại, các nhà thầu và nhà cung cấp dịch vụ phải đáp ứng,
cũng như môi trường văn hóa xã hội của họ;
c) bộ các nguyên tắc, các mục tiêu và yêu cầu kinh doanh về quản lý, xử lý,
lưu trữ, truyền thông và lưu giữ thông tin mà một tổ chức đã phát triển để hỗ
trợ hoạt động của mình.
Các nguồn lực được sử dụng trong việc triển khai các kiểm soát cần phải được cân
bằng chống lại những tác hại đối với doanh nghiệp có thể xảy ra khi không có các
kiểm soát đó. Kết quả từ việc đánh giá rủi ro sẽ giúp hướng dẫn và xác định những
hành động quản trị phù hợp và các mối ưu tiên trong việc quản lý rủi ro bảo mật
thông tin và trong triển khai các kiểm soát đã được chọn nhằm bảo vệ chống lại
những rủi ro đó.
ISO/IEC 27005 ( 1 1 ) cung cấp hướng dẫn quản lý rủi ro bảo mật thông tin, bao gồm
những lời khuyên về đánh giá rủi ro, cách xử lý rủi ro, chấp nhật rủi ro, truyền
thông về rủi ro, giám sát rủi ro và xem xét rủi ro.
1.3 Lựa chọn các kiểm soát

Các kiểm soát có thể được lựa chọn từ tiêu chuẩn này hoặc từ các bộ kiểm soát
khác, hoặc các kiểm soát mới có thể được thiết kế để đáp ứng các nhu cầu cụ thể
một cách phù hợp.
Việc lựa chọn các kiểm soát là độc lập tùy thuộc vào quyết định của tổ chức dựa
trên các tiêu chí về chấp nhận rủi ro, các lựa chọn xử lý rủi ro và phương pháp
quản lý rủi ro tổng thể được áp dụng cho tổ chức và cũng nên là đối tượng của mọi
luật pháp và quy định của quốc gia cũng như quốc tế. Việc lựa chọn kiếm soát
10 | P a g e
cũng dựa theo cách thức mà các kiểm soát tương tác để cung cấp sự bảo vệ sâu
sắc.
Vài kiểm soát trong tiêu chuẩn này có thể được cân nhắc như là các nguyên tắc
hướng dẫn cho quản lý bảo mật thông tin và có thể được áp dụng cho hầu hết các
tổ chức. Các kiểm soát được giải thích một cách chi tiết dưới đây cùng với các
hướng dẫn triển khai. Những thông tin thêm về việc lựa chọn các kiểm soát cũng
như các lựa chọn xử lý rủi ro có thể tìm thấy trong ISO/IEC 27005 ( 1 1 ) .
1.4 Phát triển các hướng dẫn của bạn

Tiêu chuẩn Quốc tế này có thể được xem là điểm khởi đầu để phát triển những
hướng dẫn cụ thể của tổ chức. Không phải mọi kiểm soát và hướng dẫn trong bô
quy tắc thực hành này đều có thể áp dụng được. Thêm vào đó, các kiểm soát và
hướng dẫn bổ sung không bao gồm trong tiêu chuẩn này cũng có thể được yêu cầu.
Khi các tài liệu bao hàm các hướng dẫn và kiểm soát bổ sung được phát triển, có
thể hữu ích khi bao gồm các tham chiếu chéo đến các điều khoản trong tiêu chuẩn
này nếu có thể để tạo điều kiện cho việc kiểm tra tuân thủ bởi các kiểm toán viên
và các đối tác kinh doanh khác.
1.5 Cân nhắc vòng đời

Thông tin có vòng đời tự nhiên của nó, từ việc tạo ra và nguồn gốc khởi thủy
thông qua quá trình lưu trữ, xử lý, sử dụng và truyền tải cho đến sự phân rã hoặc
phá hủy sau sùng của nó (thông tin). Giá trị của, và rủi ro đối với, những tài sản
có thể khác nhau trong suốt đời sống của nó (ví dụ, tiết lộ trái phép hoặc đánh cắp
các tài khoản tài chính của công ty là ít quan trọng hơn sau khi chúng được công
bố một cách chính thức) nhưng bảo mật thông tin vẫn rất quan trọng ở mức độ nào
đó trong tất cả các giai đoạn.
Các hệ thống thông tin có vòng đời mà trong đó chúng được hình thành, chỉ định,
thiết kế, phát triển, kiểm tra, triển khai, sử dụng, duy trì và cuối cùng, được cho
nghỉ hưu và loại bỏ khỏi dịch vụ. Bảo mật thông tin phải được tính đến trong mọi
giai đoạn. Phát triển hệ thống mới và thay đổi hệ thống hiện có tạo cơ hội cho tổ
chức để cập nhật và cải thiện các kiểm soát bảo mật, nắm bắt các sự cố thực tế và
hiện tại đồng thời xử lý các rủi ro bảo mật thông tin.
1.6 Các tiêu chuẩn liên quan

Trong khi tiêu chuẩn này đề xuất hướng dẫn trên một phạm vi rộng về các kiểm
soát bảo mật thông tin đã được áp dụng một cách phổ biến trong nhiều tổ chức
khác nhau, những tiêu chuẩn còn lại trong họ ISO/IEC 27000 cung cấp những
khuyến nghị hoặc các yêu cầu bổ sung cho những khía cạnh khác của quy trình
tổng thể về quản lý bảo mật thông tin.
Tham khảo ISO/IEC 27000 để có thêm giới thiệu tổng quát về cả ISMS và họ các
tiêu chuẩn khác. ISO/IEC 27000 cung cấp một chú giải, định nghĩa một cách chính
11 | P a g e
thức phần lớn các khái niệm được sử dụng trong toàn bộ họ tiêu chuẩn ISO/IEC
27000, và mô tả phạm vi cũng như mục tiêu của mỗi tiêu chuẩn trong họ.
2 Phạm vi
Tiêu chuẩn Quốc tế này đưa ra các hướng dẫn về các tiêu chuẩn bảo mật thông
tin thuộc về tổ chức và thực tiễn quản lý bảo mật thông tin bao gồm sự lựa
chọn, triển khai, và quản lý các kiểm soát trên cơ sở xem xét (các) môi trường
rủi ro bảo mật thông tin của tổ chức.
Tiêu chuẩn Quốc tế này được thiết kế để được sử dung bởi các tổ chức có ý
định:
a) lựa chọn các kiểm soát trong vòng quy trình triển khai một Hệ thống Quản
lý Bảo mật Thông tin dựa trên ISO/IEC 27001 ( 1 0 ) ;
b) triển khai các kiểm soát bảo mật thông tin phổ biến đã được chấp nhận;
c) phát triển các hướng dẫn quản lý bảo mật thông tin của riêng mình.
d)
3 Quy phạm tham chiếu
Những tài liệu dưới đây, toàn bộ hoặc từng phần, được tham chiếu một cách
quy chuẩn trong tài liệu này và là không thể thiếu cho việc ứng dụng nó. Với
các tham chiều lỗi thời, chỉ có những phiên bản được viện dẫn được áp dụng.
Với các tham chiếu chưa lỗi thời, phiên bản mới nhất của tài liệu được tham
chiếu (bao gồm mọi sửa đổi) được áp dụng.
ISO/IEC 27000, Công nghệ thông tin – Kỹ thuật bảo mật – Các hệ thống quản
lý bảo mật thông tin – Tổng quan và từ vựng.
4 Khái niệm và định nghĩa

Cho mục đích của tài liệu này, những khái niệm và định nghĩa trong họ tiêu
chuẩn ISO/IEC 27000 được áp dụng.
5 Cấu trúc của tiêu chuẩn này

Tiêu chuẩn này bao gồm 14 điều khoản bao hàm chung một tổng thể 35 mục
bảo mật chính và 114 kiểm soát.
5.1 Các điều khoản

Mỗi điều khoản định nghĩa các kiểm soát bảo mật bao gồm một hoặc nhiều các
mục bảo mật chính.
Thứ tự của các điều khoản trong tiêu chuẩn này không thể hiện cho tầm quan
trọng của chúng. Tùy thuộc vào hoàn cảnh, các kiểm soát trong bất kỳ hoặc tất
cả các điều khoản có thể trở nên quan trọng, do đó mỗi tổ chức đang áp dụng
tiêu chuẩn này nên xác định các kiểm soát có thể áp dụng được, tầm quan
trọng và ứng dụng của chúng (các kiểm soát) cho từng quy trình kinh doanh
riêng lẻ. Như vậy, các danh sách trong tiêu chuẩn này không xếp theo thứ tự
ưu tiên.
12 | P a g e
5.2 Các loại kiểm soát

Mỗi thể loại kiểm soát bảo mật chính yếu bao gồm:
a) một mục tiêu kiểm soát tuyên bố những gì cần đạt được,
b) một hoặc nhiều kiểm soát mà có thể áp dụng để đạt được mục tiêu kiểm
soát.
Các mô tả kiểm soát được cấu trúc như sau:
Kiểm soát
Mô tả các trình bày về kiểm soát cụ thể, để đáp ứng mục tiêu kiểm soát.
Hướng dẫn triển khai

Cung cấp thông tin chi tiết hơn để hỗ trợ việc triển khai kiểm soát và đáp ứng
mục tiêu kiểm soát. Hướng dẫn có thể không hoàn toàn phù hợp hoặc đầy đủ
cho mọi tình huống và có lẽ không đáp ứng các yêu cầu kiểm soát cụ thể của
tổ chức.
Thông tin khác

Cung cấp những thông tin thêm mà có thể cần thiết để cân nhắc, ví dụ như xem
xét luật pháp và tham chiếu từ các tiêu chuẩn khác. Nếu không có thêm thông
tin nào được cung cấp thì phần này sẽ không được thể hiện.
6 Các chính sách bảo mật thông tin

6.1 Quản lý định hướng bảo mật thông tin
Mục tiêu : Cung cấp định hướng quản lý và hỗ trợ bảo mật thông tin phù hợp
với các yêu cầu kinh doanh và luật và các quy định có liên quan.
5.1.1 Các chính sách bảo mật thông tin

Kiểm soát
Một bộ các chính sách bảo mật thông tin nên được định nghĩa, phê duyệt bởi
cấp quản lý, công bố và truyền thông đến các nhân viên và các bên thứ ba bên
ngoài có liên quan.

Ở cấp độ cao nhất, các tổ chức nên định nghĩa một “chính sách bảo mật thông
tin” được phê duyệt bởi cấp quản lý và trình bày phương pháp tiếp cận của tổ
chức để quản lý các mục tiêu bảo mật thông tin của mình.
Các chinh sách bảo mật thông tin nên giải quyết các yêu cầu được tạo ra bởi:
a) chiến lược kinh doanh;
b) các quy định, luật pháp và các hợp đồng;
c) mối đe dọa môi trường bảo mật thông tin hiện tại và dự đoán.
Chính sách bảo mật thông tin nên bao gồm các tuyên bố liên quan đến:
a) sự định nghĩa bảo mật thông tin, các mục tiêu và các nguyên tắc hướng dẫn
mọi hành động có liên quan đến bảo mật thông tin;
13 | P a g e
b) phân công trách nhiệm tổng thể và cụ thể trong quản lý bảo mật thông tin
để xác định các vai trò;
c) các quy trình xử lý các sai lệch và ngoại lệ.
Tại cấp độ thấp hơn, chính sách bảo mật thông tin nên được hỗ trợ bởi các
chính sách cho chủ đề cụ thể, mà tiếp tục bắt buộc triển khai các kiểm soát bảo
mật thông tin và thường được tổ chức để giải quyết nhu cầu về các nhóm đích
nhắm mục tiêu nhất định trong một tổ chức hoặc để bao quát những chủ đề
nhất định.
Các ví dụ về các chủ đề chính sách bao gồm:

a) kiểm soát truy cập (xem Điều 9 );
b) phân loại (và xử lý) thông tin (xem 8.2 );
c) bảo mật vật lý và môi trường (xem Điều 11 );
d) các chủ đề định hướng người dùng như:
1) việc sử dụng các tài sản được chấp thuận (xem 8.1.3 );
2) bàn làm việc, màn hình máy tính sạch sẽ , gọn gàng (xem 11.2.9 );
3) truyền tải thông tin (xem 13.2.1 );
4) các thiết bị di động và làm việc từ xa (xem 6.2 );
5) các hạn chế cài đặt và sử dụng phần mềm (xem 12.6.2 );
e) sao lưu (xem 12.3 );
f) truyền tải thông tin (xem 13.2 );
g) bảo vệ khỏi phần mềm độc hại (xem 12.2 );
h) quản lý các lỗ hổng kỹ thuật (xem 12.6.1 );
i) kiểm soát mã hoá (xem Điều 10 );
j) bảo mật truyền thông (xem Điều 13 );
k) quyền riêng tư và bảo vệ thông tin danh tính cá nhân (xem 18.1.4);
l) quan hệ với nhà cung cấp (xem Điều 15 ).
Những chính sách này nên được truyền tải đến các nhân viên và các bên thứ ba
bên ngoài có liên quan trong một định dạng thích đáng, có thể truy cập được
và hiểu được bởi những độc giả được nhắm đến, ví dụ, trong bối cảnh về một
“chương trình đào tạo, giáo dục và nhận thức bảo mật thông tin” (xem 7.2.2 ).
Thông tin khác

Nhu cầu về các chính sách nội bộ cho bảo mật thông tin là khác nhau đối với
các tổ chức. Các chính sách nội bộ đặc biệt hữu ích trong các tổ chức lớn hơn
và phức tạp hơn nơi mà chúng (các chính sách nội bộ) định nghĩa và chấp
thuận các mức độ kiểm soát được tách biệt từ việc triển khai các kiểm soát
hoặc trong tình huống nơi mà một chính sách đang áp dụng cho nhiều cá nhân
khác nhau hoặc các chức năng khác nhau trong tổ chức. Các chính sách về bảo
mật thông tin có thể được phát hành trong một tài liệu “chính sách bảo mật
thông tin” đơn lẻ hoặc một bộ các tài liệu riêng rẽ nhưng có liên quan với
nhau.
Nếu bất kỳ chính sách bảo mật thông tin nào được phân phối ra ngoài phạm vi
tổ chức, nên cẩn thận để tránh làm lộ những thông tin mật.
14 | P a g e
Một vài tổ chức sử dụng những khái niệm khác cho các tài liệu chính sách,
chẳng hạn như “Các Tiêu chuẩn”, “Các Hướng dẫn” hoặc “Các Quy tắc”.
5.1.2 Xem xét đánh giá các tiêu chuẩn bảo mật thông tin
Kiểm soát
Các chính sách bảo mật thông tin nên được xem xét đánh giá trong khoảng thời
gian đã được định hoặc nếu những thay đổi quan trọng diễn ra để đảm bảo
chúng tiếp tục phù hợp, chính xác và hiệu quả.

Mỗi chính sách nên có một chủ sở hữu, người mà đã được cấp quản lý phê
duyệt để phát triển, xem xét và đánh giá các chính sách. Việc xem xét nên bao
gồm cả đánh giá các cơ hội để cải thiện các chính sách của tổ chức và phương
pháp quản lý bảo mật thông tin để đáp ứng lại những thay đổi đối với môi
trường tổ chức, hoàn cảnh kinh doanh, các điều kiện pháp lý hoặc môi trường
kỹ thuật.
Việc xem xét các chính sách bảo mật thông tin nên tính đến kết quả đánh giá
của cấp quản lý.
Nên đạt được sự phê duyệt của cấp quản lý cho một chính sách đã được sửa
đổi.
7 Tổ chức bảo mật thông tin

7.1 Tổ chức nội bộ
Mục tiêu : Để thiết lập một khuôn khổ quản lý để khởi đầu và kiểm soát việc
triển khai và vận hành bảo mật thông tin trong tổ chức.
6.1.1 Những vai trò và trách nhiệm trong bảo mật thông tin
Kiểm soát
Mọi trách nhiệm bảo mật thông tin nên được định nghĩa và phân bổ.

Việc phân bổ trách nhiệm bảo mật thông tin nên được thực hiện theo các chính
sách bảo mật thông tin (xem 5.1.1 ). Trách nhiệm trong việc bảo vệ các tài sản
riêng lẻ và thực hiện các quy trình bảo mật thông tin cụ thể nên được xác định.
Trách nhiệm trong các hành động quản lý rủi ro bảo mật thông tin và đặc biệt
trong chấp nhận rủi ro còn lại nên được xác định. Những trách nhiệm này cần
được bổ sung, khi cần thiết, với hướng dẫn chi t iết cho từng cơ sở và địa điểm
xử lý thông tin. Trách nhiệm cục bộ trong việc bảo vệ các tài sản và thực hiện
các quy trình bảo mật cụ thể nên được xác định.
Các cá nhân cùng với trách nhiệm bảo mật thông tin đã được phân bổ có thể uỷ
quyền các nhiệm vụ bảo mật lại cho người khác. Tuy nhiên, họ vẫn có trách
15 | P a g e
nhiệm và nên xác định rằng bất kỳ nhiệm vụ đã uỷ quyền (cho người khác) nào
phải được thực thi một cách chính xác.
Những khu vực mà các cá nhân chịu trách nhiệm nên được tuyên bố. Cụ thể
như sau:
a) những tài sản và quy trình bảo mật thông tin nên được xác định và định
nghĩa;
b) thực thể chịu trách nhiệm cho mỗi tài sản hoặc quy trình bảo mật thông tin
nên được bổ nhiệm và chi tiết trách nhiệm này nên được ghi lại (xem
8.1.2 );
c) các cấp độ uỷ quyền nên được định nghĩa và ghi lại;
d) để có thể hoàn thành các trách nhiệm trong lĩnh vực bảo mật thông tin,
những cá nhân đã được bổ nhiệm nên thành thạo trong lĩnh vực này và được
trao cơ hội để cập nhật những phát triển;
e) việc điều phối và giám sát các yếu tố bảo mật thông tin trong mối quan hệ
với nhà cung cấp nên được xác định và ghi lại.
Thông tin khác

Rất nhiều tổ chức bổ nhiệm một quản lý bảo mật thông tin để chịu trách nhiệm
tổng thể cho việc phát triển và triển khai bảo mật thông tin để hỗ trợ cho việc
xác định các kiểm soát.
Tuy nhiên, trách nhiệm về việc cung cấp và triển khai các kiểm soát sẽ thường
vẫn thuộc về các cá nhân quản lý. Một thực tiễn phổ biến là bổ nhiệm một chủ
sở hữu cho mỗi tài sản, người mà chịu trách nhiệm bảo vệ (tài sản) qua từng
ngày.
6.1.2 Phân tách nhiệm vụ

Kiểm soát
Xung đột về nhiệm vụ và các khu vực trách nhiệm nên được tách biệt nhằm
làm giảm thiểu có hội cho sự điều chỉnh trái phép hoặc cố tình hoặc sử dụng
sai mục đích các tài sản của tổ chức.

Cần lưu ý rằng không một cá nhân đơn lẻ nào có thể truy cập, điều chỉnh hoặc
sử dụng các tài sản mà không được sự uỷ quyền hoặc nhận dạng. Sự khởi đầu
của một sự kiện nên được tách biệt khỏi sự uỷ quyền của nó. Khả năng câu kết
nên được cân nhắc trong việc thiết kế các kiểm soát.
Các tổ chức nhỏ có thể nhận thấy rằng sự phân tách nhiệm vụ là khó để đạt
được, tuy nhiên nguyên tắc nên được áp dụng càng nhiều và càng thực tế càng
tốt. Bất cứ khi nào khó phân tách (nhiệm vụ), các kiểm soát khác như việc
giám sát các hành động, các dấu vết kiểm toán và quản lý giám sát nên được
cân nhắc.
16 | P a g e
Thông tin khác

Sự phân tách nhiệm vụ là một phương pháp để làm giảm thiểu rủi ro trong việc
sử dụng sai mục đích hoặc sử dụng vô ý các tài sản của tổ chức.
6.1.3 Liên hệ với các cơ quan có thẩm quyền

Kiểm soát
Những mối liên hệ thích đáng với các cơ quan có thẩm quyền nên được duy trì.

Các tổ chức nên có các thủ tục xác định khi nào và bởi cơ quan thẩm quyền
nào (ví dụ, cơ quan thực thi luật pháp, các cơ quan quản lý, cơ quan giám sát)
nên được liên hệ và các sự cố bảo mật thông tin được xác định nên được báo
cáo một cách kịp thời (ví dụ, nếu nghi ngờ rằng luật pháp có lẽ đang bị vi
phạm).
Thông tin khác

Các tổ chức đang bị tấn công từ Internet có thể cần đến các cơ quan có thẩm
quyền để thực thi các hành động chống lại các nguồn tấn công.
Việc duy trì các mối liên hệ như trên có thể là một yêu cầu để hỗ trợ trong
việc quản lý sự cố bảo mật thông tin (xem Điều 16 ) hoặc quy trình hoạch định
kinh doanh liên tục và dự phòng (xem Điều 17 ). Các liên hệ với các cơ quan
quản lý cũng rất hữu ích để dự đoán và chuẩn bị cho các thay đổi sắp tới trong
pháp lý hoặc quy định mà các tổ chức cần phải triển khai. Các mối liên hệ với
các cơ quan có thẩm quyền khác bao gồm các dịch vụ tiện ích, dịch vụ khẩn
cấp, các nhà cung cấp điện và dịch vụ an toàn và sức khoẻ, ví dụ, cơ quan
phòng cháy chữa cháy (liên quan tới kinh doanh liên tục), nhà cung cấp viễn
thông (liên quan tới định tuyến và tính sẵn sàng), và nhà cung cấp nước (liên
quan tới các thiết bị làm mát cho thiết bị).
6.1.4 Liên hệ với các nhóm mục đích đặc biệt

Kiểm soát
Những mối liên hệ phù hợp với các nhóm mục đích đặc biệt hoặc các diễn đàn
bảo mật thông tin đặc biệt và các hiệp hội chuyên nghiệp nên được duy trì.

Tư cách thành viên trong các nhóm hoặc các diễn đàn chung mục đích đặc biệt
nên được coi là phương tiện để:
a) tăng cường kiến thức về những thực tiễn tốt nhất và giữ cho các thông tin
bảo mật được cập nhật;
b) đảm bảo sự hiểu biết về môi trường bảo mật thông tin là hiện hành và đầy
đủ;
c) nhận được các cảnh bảo, các lời khuyên và bản vá cập nhật sớm liên quan
đến các cuộc tấn công và các lỗ hổng;
d) được tiếp cận với chuyên gia tư vấn bảo mật thông tin;
17 | P a g e
e) chia sẻ và trao đổi thông tin về những công nghệ, sản phẩm và các mối đe
doạ hoặc lỗ hổng mới;
f) cung cấp các điểm liên lạc phù hợp khi xử lý các sự cố bảo mật thông tin
(xem Điều 16 ).
Thông tin khác

Thoả thuận chia sẻ thông tin có thể được thiết lập để cải thiện sự hợp tác và
phối hợp trong các vấn đề về bảo mật. Những thoả thuận như vậy nên xác định
các yêu cầu về bảo vệ các thông tin mật.
6.1.5 Bảo mật thông tin trong quản lý dự án

Kiểm soát
Bảo mật thông tin nên được xác định trong quản lý dự án, bất kể kiểu dự án.

Bảo mật thông tin nên được tích hợp trong (các) phương pháp quản lý dự án
của tổ chức để đảm bảo rằng những rủi ro bảo mật thông tin được xác định và
xử lý như một phần của một dự án. Điều này được áp dụng một cách tổng quát
cho bất kỳ dự án nào bất kể điều lệ của nó, ví dụ, một dự án về quy trình kinh
doanh cốt lõi, CNTT, quản lý phương tiện và các quy trình hỗ trợ khác. Các
phương pháp quản lý dự án đang sử dụng nên đòi hỏi rằng:
a) các mục tiêu bảo mật thông tin được bao gồm trong các mục tiêu của dự án;
b) một sự đánh giá rủi ro bảo mật thông tin được thực hiện tại giai đoạn ban
đầu của dự án để xác định các kiểm soát cần thiết;
c) bảo mật thông tin là một phần của mọi giai đoạn của phương pháp luận dự
án được áp dụng.
Hàm ý bảo mật thông tin cần được giải quyết và xem xét một cách thường
xuyên trong tất cả các dự án. Trách nhiệm bảo mật thông tin nên được xác
định và phân bổ cho những vai trò được chỉ định trong các phương pháp quản
lý dự án.
7.2 Các thiết bị di động và làm việc từ xa

Mục tiêu : Để đảm bảo bảo mật trong việc làm việc từ xa và sử dụng các thiết
bị di động.
6.2.1 Chính sách thiết bị di động

Kiểm soát
Một chính sách và sự hỗ trợ các phương pháp đo lường bảo mật nên được
thông qua để quản lý những rủi ro khi sử dụng các thiết bị di động.

Khi sử dụng các thiết bị di động, cần phải đặc biệt thận trọng để đảm bảo
rằng những thông tin kinh doanh không bị đe dọa. Chính sách thiết bị di
18 | P a g e
động nên tính đến các rủi ro khi làm việc với các thiết bị di động trong môi
trường không được bảo vệ.
Chính sách thiết bị di động nên xem xét:
a) đăng ký thiết bị di động;
b) các yêu cầu bảo vệ vật lý;
c) sự hạn chế cài đặt phần mềm;
d) các yêu cầu về các phiên bản phần mềm thiết bị di động và việc áp dụng
các bản vá cập nhật;
e) hạn chế về việc kết nối tới các dịch vụ thông tin;
f) các kiểm soát truy cập;
g) các kỹ thuật mã hóa;
h) bảo vệ chống lại các phần mềm độc hại;
i) vô hiệu hóa kết nối từ xa; xóa bỏ hoặc khóa thiết bị;
j) sao lưu;
k) sử dụng dịch vụ và ứng dụng web.
Cần phải thận trọng khi sử dụng các thiết bị di động ở khu vực công cộng,
phòng họp hoặc những nơi không được bảo vệ. Nên áp dụng các biện pháp
bảo vệ để ngăn ngừa sự truy cập trái phép vào (thiết bị) hoặc tiết lộ trái
phép những thông tin được lưu trữ và xử lý trên các thiết bị (di động) đó, ví
dụ như sử dụng các kỹ thuật mã hóa (xem Điều 10) và bắt buộc sử dụng
thông tin xác minh bảo mật (xem 9.2.4 ).
Các thiết bị di động cũng cần được bảo vệ về mặt vật lý để chống trộm cắp,
đặc biệt là khi không có mặt, ví dụ như trong xe hơi và các hình thức vận
chuyển khác, phòng khách sạn, trung tâm hội nghị và nơi gặp gỡ. Một thủ
tục cụ thể có tính đến các yêu cầu pháp lý, bảo hiểm và các yêu cầu bảo mật
khác của tổ chức nên được thiết lập cho các trường hợp mất cắp hoặc làm
mất thiết bị di động. Các thiết bị chứa những thông tin kinh doanh quan
trọng, nhạy cảm hoặc then chốt không nên bị bỏ mặc và, nếu có thể, nên
được khóa vật lý hoặc sử dụng khóa đặc biệt để bảo mật thiết bị.
Sự đào tạo nên được tổ chức cho nhân viên sử dụng các thiết bị di động để
nâng cao nhận thức của họ về các rủi ro bổ sung do cách làm việc này và các
biện pháp kiểm soát nên được triển khai.
Trường hợp chính sách thiết bị di động cho phép sử dụng các thiết bị di
động thuộc sở hữu cá nhân, chính sách và các biện pháp bảo mật liên quan
cũng cần xem xét:
a) tách biệt giữa sử dụng thiết bị các thiết bị cá nhân và thiết bị của tổ
chức, bao gồm việc sử dụng phần mềm để hỗ trợ sự tách biệt và bảo vệ
dữ liệu kinh doanh trên thiết bị cá nhân;
b) chỉ cung cấp sự truy cập đến thông tin của tổ chức sau khi người dùng đã
ký một thỏa thuận người dùng cuối về sự nhận thức trách nhiệm của họ
(bảo vệ vật lý, cập nhật phần mềm, v.v…), miễn trừ quyền sở hữu đối với
19 | P a g e
dữ liệu của tổ chức, chấp nhận việc xóa sạch từ xa dữ liệu của tổ chức
trong những trường hợp bị trộm cắp hoặc làm mất thiết bị hoặc khi không
còn được ủy quyền sử dụng dịch vụ. Chính sách này nên tính đến các quy
định về quyền riêng tư.
Thông tin khác

Kết nối không dây trên thiết bị di động là tương tự như các kiểu kết nối
mạng khác, nhưng mức độ quan trọng khác nhau nên được cân nhắc khi xác
định các kiểm soát. Những điểm khác biệt thông thường là:
a) vài giao thức bảo mật không dây thường non trẻ và có những điểm yếu đã
được biết đến;
b) những thông tin lưu trữ trên thiết bị di động có thể không được sao lưu
bởi vì giới hạn của băng thông của kết nối mạng hoặc vì các thiết bị di
động có thể không được kết nối tại thời điểm mà việc sao lưu đã được lên
lịch trình.
Một cách tổng quát, các thiết bị di động chia sẻ những chức năng phổ biến,
chẳng hạn như kết nối mạng, truy cập internet, email và xử lý tập tin, với
các thiết bị sử dụng cố định. Các kiểm soát bảo mật thông tin cho các thiết
bị di động thường bao gồm những điều được áp dụng cho các thiết bị sử
dụng cố định để giải quyết các mối đe dọa do việc sử dụng chúng (thiết bị di
động) bên ngoài các văn phòng của tổ chức.
6.2.2 Làm việc từ xa

Kiểm soát
Một chính sách và sự hỗ trợ các biện pháp đo lường bảo mật nên được triển
khai để bảo vệ thông tin đã truy cập, xử lý và lưu trữ tại nơi làm việc từ xa.

Các tổ chức cho phép các hoạt động làm việc từ xa nên ban hành một chính
sách định nghĩa các điều kiện và các hạn chế trong khi làm việc từ xa. Trong
trường hợp có thể áp dụng được và được pháp luật cho phép, những vấn đề
sau nên được cân nhắc:
a) điều kiện bảo mật vật lý của địa điểm làm việc từ xa, có tính đến các điều
kiện bảo mật vật lý của tòa nhà và môi trường cục bộ;
b) môi trường làm việc từ xa vật lý được đề xuất;
c) các yêu cầu về bảo mật truyền thông, có tính đến nhu cầu truy cập từ xa
vào những hệ thống nội bộ của tổ chức, độ nhạy cảm của thông tin sẽ
được truy cập và truyền qua kênh kết nối và độ nhạy cảm của hệ thống
nội bộ;
d) cung cấp sự truy cập màn hình ảo để ngăn ngừa việc xử lý và lưu trữ
thông tin trên các thiết bị thuộc sở hữu cá nhân;
e) mối đe dọa từ việc truy cập trái phép tới thông tin hoặc tài nguyên từ
những người khác cùng sử dụng nơi ở chung, ví dụ, gia đình và bạn bè;
20 | P a g e
f) việc sử dụng mạng tại nhà và các yêu cầu hoặc các hạn chế trong thiết
lập cấu hình của dịch vụ mạng không dây;
g) các chính sách và các thủ tục để ngăn ngừa những tranh chấp có liên
quan đến quyền sở hữu trí tuệ được phát triển trên các thiết bị thuộc sở
hữu cá nhân;
h) truy cập vào những thiết bị cá nhân (để xác minh điều kiện bảo mật của
thiết bị hoặc trong một quá trình điều tra);
i) các thỏa thuận cấp phép sử dụng phần mềm sao cho tổ chức có thể trở
thành người chịu trách nhiệm cấp phép cho các phần mềm trên các máy
trạm thuộc sở hữu các nhân của nhân viên hoặc những người sử dụng
thuộc bên ngoài;
j) bảo vệ chống phần mềm độc hại và các yêu cầu tường lửa.
Các hướng dẫn và thỏa thuận được xem xét nên bao gồm:
a) việc cung cấp các thiết bị phù hợp và thiết bị lưu trữ cho các hoạt động
làm việc từ xa, khi mà việc sử dụng các thiết bị thuộc sở hữu cá nhân
không chịu sự kiểm soát của tổ chức là không được chấp nhận;
b) một định nghĩa về giấy phép làm việc, giờ làm việc, phân loại thông tin
mà có thể được xử lý và những hệ thống và các dịch vụ nội bộ mà những
người làm việc từ xa được cấp phép truy cập;
c) việc cung cấp các thiết bị truyền thông phù hợp, bao gồm các phương
pháp để bảo vệ truy cập từ xa;
d) bảo mật vật lý;
e) các quy tắc và hướng dẫn về sự truy cập của gia đình và khách thăm vào
thiết bị và thông tin;
f) việc cung cấp hỗ trợ phần cứng và phần mềm và bảo trì;
g) việc cung cấp sự bảo hiểm;
h) các thủ tục sao lưu và kinh doanh liên tục;
i) kiểm toán và giám sát bảo mật;
j) việc thu hồi thẩm quyền và quyền truy cập, và trả lại thiết bị khi các hoạt
động làm việc từ xa bị hủy bỏ.
Thông tin khác

Làm việc từ xa đề cập đến mọi hình thức làm việc bên ngoài văn phòng, bao
gồm các môi trường làm việc phi truyền thống, chẳng hạn như những khái
niệm đề cập đến môi trường “làm việc từ xa”, “nơi làm việc linh hoạt”, “làm
việc ở xa” và “công việc ảo”.
8 Bảo mật về nhân sự

8.1 Trước khi bắt đầu công việc
Mục tiêu : Để đảm bảo rằng nhân viên và nhà thầu hiểu rõ trách nhiệm của họ
và phù hợp với vai trò mà họ được cân nhắc.
21 | P a g e
7.1.1 Sàng lọc

Kiểm soát
Việc kiểm tra xác minh lý lịch của mọi ứng viên khi tuyển dụng nên được
tiến hành phù hợp với các quy định, luật và các nội quy có liên quan và nên
tương xứng với các yêu cầu của doanh nghiệp, sự phân loại thông tin sẽ
được truy cập và các rủi ro nhận thức được.

Việc xác minh nên tính đến các quyền riêng tư có liên quan, sự bảo vệ các
thông tin danh tính cá nhân, và việc tuyển dụng dựa vào pháp luật, và nên,
nơi được chấp nhận, bao gồm những điều dưới đây:
a) tính sẵn sàng của các đặc điểm tham chiếu thỏa đáng, ví dụ: một doanh
nghiệp và một cá nhân;
b) sự xác minh (đầy đủ và chính xác) về sơ yếu lý lich của người nộp đơn;
c) xác nhận về trình độ học vấn và trình độ chuyên môn ( mà người nộp đơn
– người dịch ) đã khẳng định;
d) sự xác minh danh tính độc lập (hộ chiếu hoặc tài liệu tương tự);
e) sự xác minh chi tiết hơn, chẳng hạn nhu xem xét về tín dụng hoặc hồ sơ
tội phạm.
Khi một cá nhân được thuê cho một vai trò bảo mật thông tin cụ thể, các tổ
chức nên đảm bảo rằng ứng viên:
a) có năng lực cần thiết để hoàn thành vai trò bảo mật;
b) có thể được tin cậy để đảm nhiệm vai trò, đặc biệt nếu vai trò đó là rất
quan trọng đối với tổ chức.
Khi một công việc, ngay cả khi bắt đầu bổ nhiệm hoặc thăng chức, liên quan
đến người có quyền truy cập vào các thiết bị xử lý thông tin, và, đặc biệt,
nếu chúng (thiết bị) đang xử lý những thông tin bí mật, ví dụ như thông tin
tài chính hoặc thông tin có tính bảo mật cao, tổ chức cũng nên cân nhắc
thêm, và xác minh chi tiết hơn.
Các thủ tục nên xác định các tiêu chí và các hạn chế trong quá trình xem xét
xác minh, ví dụ, ai là người đủ điều kiện để sàng lọc và như thế nào, khi nào
và tại sao việc xem xét xác minh được tiến hành.
Một quy trình sàng lọc cũng nên đảm bảo cho các nhà thầu. Trong những
trường hợp đó, thỏa thuận giữa tổ chức và nhà thầu nên chỉ định trách nhiệm
cho việc thực hiện sàng lọc và các thủ tục thông báo cần được tuân theo nếu
quá trình sàng lọc chưa hoàn tất hoặc nếu các kết quả đem lại sự nghi ngờ
hoặc lo lắng.
Thông tin về mọi ứng viên đang được xem xét cho các vị trí bên trong tổ
chức nên được thu thập và xử lý một cách phù hợp với các quy định pháp lý
22 | P a g e
tương xứng hiện hành theo thẩm quyền có liên quan. Tùy thuộc vào quy định
pháp lý có thể áp dụng được, các ứng viên nên được thông báo trước về các
hành động sàng lọc.
7.1.2 Các điều khoản và điều kiện làm việc

Kiểm soát
Các thỏa thuận hợp đồng với nhân viên và các nhà thầu nên tuyên bố về
trách nhiệm của họ và của tổ chức trong việc bảo mật thông tin.

Các nghĩa vụ hợp đồng cho nhân viên và các nhà thầu nên phản ảnh các
chính sách của tổ chức về bảo mật thông tin ngoài việc làm rõ và nêu rõ (các
điểm dưới đây):
a) rằng nhân viên và nhà thầu, người mà được cấp quyền truy cập vào những
thôn tin bí mật nên ký một thỏa thuận bảo mật hoặc thỏa thuận không tiết
lộ trước khi được cấp quyền truy cập vào các thiết bị xử lý thông tin.
(xem 13.2.4 );
b) quyền hạn và nghĩa vụ pháp lý của nhân viên và nhà thầu, ví dụ liên quan
đến luật bản quyền hoặc quy định bảo vệ dữ liệu (xem 18.2 . và 18.1.4 );
c) những nghĩa vụ trong việc phân loại thông tin và quản lý các tài sản
thuộc về tổ chức tương ứng với thông tin, các thiết bị xử lý thông tin và
các dịch vụ thông tin được xử lý bởi nhân viên hoặc nhà thầu (xem Điều
8 );
d) nghĩa vụ của nhân viên hoặc nhà thầu trong việc xử lý những thông tin
nhận được từ các công ty khác hoặc bên thứ ba bên ngoài khác;
e) những hành động sẽ được tiến hành nếu nhân viên hoặc nhà thầu thiếu
tôn trọng các yêu cầu bảo mật của tổ chức.
Vai trò và trách nhiệm bảo mật thông tin nên được truyền thông đến các ứng
viên trong quá trình trước khi tuyển dụng.
Tổ chức nên đảm bảo rằng nhân viên và nhà thầu đồng ý với những điều
khoản và điều kiện làm việc có liên quan đến bảo mật thông tin phù hợp với
bản chất và mức độ truy cập mà họ sẽ có đối với các tài sản của tổ chức liên
kết với các hệ thông và dịch vụ thông tin.
Khi thích hợp, những trách nhiệm được bao gồm trong điều khoản và điều
kiện làm việc phải được tiếp tục trong một khoảng thời gian đã xác định sau
khi kết thúc công việc (xem 7.3 ).
Thông tin khác

Một quy tắc ứng xử có thể được sử dụng để nêu rõ trách nhiệm bảo mật
thông tin của nhân viên hoặc nhà thầu bất kể đó là tính bảo mật, bảo vệ dữ
liệu, quy tắc đạo đức, cách sử dụng phù hợp thiết bị và cơ sở vật chất của tổ
chức cũng như những thực tiễn đáng tin cậy mà tổ chức kỳ vọng. Một bên
23 | P a g e
thứ ba bên ngoài, có liên kết với nhà thầu, có thể được yêu cầu tham gia vào
các thỏa thuận hợp đồng thay mặt cho cá nhân được ký kết hợp đồng.
8.2 Trong khi làm việc

Mục tiêu : Để đảm bảo rằng nhân viên và nhà thầu nhận thức được và hoàn
thành nghĩa vụ bảo mật thông tin của họ.
7.2.1 Trách nhiệm của cấp quản lý

Kiểm soát
Cấp quản lý nên yêu cầu mọi nhân viên và nhà thầu áp dụng bảo mật thông
tin một cách phù hợp với các chính sách và thủ tục đã được thiết lập trong tổ
chức.

Trách nhiệm của cấp quản lý nên bao gồm việc đảm bảo rằng các nhân viên
và nhà thầu:
a) được tóm tắt một cách đúng đắn về các vai trò và nghĩa vụ bảo mật thông
tin của họ trước khi được cấp quyền truy cập vào thông tin và hệ thống
thông tin bí mật;
b) được cung cấp các hướng dẫn nêu rõ những kỳ vọng bảo mật thông tin
đối với vai trò của họ trong tổ chức;
c) được khuyển khích đáp ứng các chính sách bảo mật thông tin của tổ chức;
d) đạt được mức độ nhận thức về bảo mật thông tin liên quan đến các vai trò
và trách nhiệm của họ trong tổ chức (xem 7.2.2 );
e) thích ứng với các điều khoản và điều kiện làm việc, bao gồm chính sách
bảo mật thông tin và các phương pháp làm việc thích đáng của tổ chức;
f) được cung cấp một kênh báo cáo ẩn danh để báo cáo về những vi phạm
các chính sách và thủ tục bảo mật thông tin (“thổi còi”).
Cấp quản lý nên giải thích thêm để hỗ trợ cho các chính sách, thủ tục và
kiểm soát bảo mật thông tin, và hành động như một hình mẫu.
Thông tin khác

Nếu nhân viên và nhà thầu không được nhận thức về nghĩa vụ bảo mật thông
tin của họ, họ có thể gây ra những thiệt hại đáng kể cho một tổ chức. Những
cá nhân đã được khuyến khích có khả năng đáng được tin cậy hơn và ít gây
ra sự cố bảo mật thông tin hơn.
Quản lý tồi có thể khiến cho nhân viên cảm thấy bị đánh giá thấp từ đó dẫn
đển tác động bảo mật thông tin tiêu cực đối với tổ chức. Ví dụ, quản lý tồi
có thể dẫn đến việc bảo mật thông tin bị bỏ qua hoặc có khả năng sử dụng
sai tài sản của tổ chức.
7.2.2 Nhận thức, giáo dục và đào tạo bảo mật thông tin
Kiểm soát
24 | P a g e
Tất cả nhân viên của tổ chức và những nhà thầu có liên quan, nên nhận được
quá trình giáo dục và đào tạo thích đáng và thường xuyên được cập nhật về
các chính sách và thủ tục liên quan đến chức năng công việc của họ.

Một chương trình nâng cao nhận thức về bảo mật thông tin nên nhắm đến
mục đích làm nhân viên và các nhà thầu có liên quan nhận thức được về
trách nhiệm của họ trong bảo mật thông tin và những biện pháp mà những
trách nhiệm đó được thực hiện.
Một chương trình nâng cao nhận thức bảo mật thông tin phải được thiết lập
trên phù hợp với các chính sách và thủ tục có liên quan của tổ chức về bảo
mật thông tin, có tính đến những thông tin của tổ chức cần được bảo vệ, và
các kiểm soát đã được triển khai để bảo vệ thông tin. Chương trình nâng cao
nhận thức nên bao gồm một số hoạt động nâng cao nhận thức chẳng hạn như
các chiến dịch (ví dụ như “ngày bảo mật thông tin”) và phát hành các tập
sách nhỏ hoặc các bản tin (về bảo mật thông tin).
Chương trình nâng cao nhận thức nên được hoạch định dựa trên tính toán về
vai trò của nhân viên trong tổ chức, và, nếu có liên quan, những kỳ vọng của
tổ chức về nhận thức (về bảo mật thông tin) của các nhà thầu. Những hoạt
động trong chương trình nâng cao nhận thức nên được lập lịch biểu theo thời
gian, tốt nhất là một cách thường xuyên, để từ đó, những hoạt động này
được lặp lại và áp dụng cho những nhân viên và nhà thầu mới. Chương trình
nâng cao nhận thức cũng nên được cập nhật thường xuyên để luôn phù hợp
với các chính sách và thủ tục của tổ chức, và nên được xây dựng trên những
bài học kinh nghiệm từ các sự cố bảo mật thông tin.
Chương trình đào tạo nhận thức nên được hoàn thành theo yêu cầu từ chương
trình nâng cao nhận thức về bảo mật thông tin. Đào tạo nhận thức có thể sử
dụng các phương tiện chuyển giao khác nhau bao gồm phòng học trực tiếp,
đào tạo từ xa, dựa trên trang web, theo nhịp độ bản thân và các phương tiện
khác.
Việc giáo dục và đào tạo về bảo mật thông tin nên bao gồm các khía cạnh
tổng quát như:
a) nêu rõ cam kết của cấp quản lý về bảo mật thông tin trong toàn bộ tổ
chức;
b) yêu cầu phải trở nên quen thuộc và tuân thủ với các quy tắc và nghĩa vụ
bảo mật thông tin, như được xác định trong các chính sách, tiêu chuẩn,
luật, quy định, hợp đồng và các thỏa thuận;
c) trách nhiệm của cá nhân đối với hành động và không hành động của
mình, và trách nhiệm tổng thể đối với việc bảo mật và bảo vệ thông tin
thuộc về tổ chức và bên thứ ba bên ngoài;
25 | P a g e
d) các thủ tục bảo mật thông tin cơ bản (chẳng hạn như việc báo cáo sự cố
bảo mật thông tin) và các kiểm soát cơ bản (ví dụ bảo mật mật khẩu,
kiểm soát mã độc hại và bàn làm việc gọn gàng);
e) đầu mối liên hệ và các nguồn lực cho các thông tin và lời khuyên tư vấn
bổ sung về các vấn đề bảo mật thông tin, bao gồm các tài liệu thêm về
đào tạo và giáo dục bảo mật thông tin.
Việc đào tạo và giáo dục bảo mật thông tin nên được tiến hành một cách
định kỳ. Giáo dục và đào tạo ban đầu áp dụng cho những ai chuyển sang vị
trí hoặc vai trò mới về cơ bản với các yêu cầu bảo mật thông tin khác, không
chỉ cho những người mới bắt đầu và nên được tiến hành trước khi vai trò đó
được kích hoạt.
Tổ chức nên phát triển chương trình đào tạo và giáo dục để có thể thực hiện
việc đào tạo và giáo dục một cách hiệu quả. Chương trình này nên liên kết
với các chính sách và thủ tục bảo mật thông tin có liên quan của tổ chức,
trên cơ sở tính đến việc xem xét những thông tin cần bảo mật của tổ chức,
và các kiểm soát phải được triển khai để bảo vệ thông tin. Chương trình nên
xem xét các định dạng khác nhau của việc đào tạo và giáo dục, ví dụ, các bài
giảng hoặc tự học.
Thông tin khác

Khi tổ chức một chương trình nâng cao nhận thức, điều quan trọng không
chỉ là “cái gì” và “như thế nào” mà còn là “tại sao”. Điều quan trọng là
nhân viên hiểu về mục đích nhắm đến của bảo mật thông tin và những tác
động tiềm tàng, cả tích cực và tiêu cực, của những hành vi của họ đối với tổ
chức.
Nhận thức, giáo dục và đào tạo có thể là một phần của, hoặc được tổ chức
kết hợp với các hoạt động đào tạo khác, ví dụ như đào tạo tổng quát về
CNTT và bảo mật. Các hoạt động nhận thức, giáo dục và đào tạo nên phù
hợp và có liên quan tới những vai trò, trách nhiệm và kỹ năng của các cá
nhân.
Một quy trình đánh giá về sự hiểu biết của nhân viên có thể được tiến hành
vào cuối của một khóa nâng cao nhận thức, giáo dục và đào tạo để kiểm tra
kiến thức đã được truyền tải.
7.2.3 Quy trình kỷ luật

Kiểm soát
Nên có một quy trình kỷ luật chính thức và được truyền thông để thực hiện
những hành động đối với những nhân viên đã vi phạm bảo mật thông tin.
26 | P a g e
Quy trình kỷ luật không nên được khởi đầu mà không có sự xác minh trước
rằng một sự vi phạm bảo mật thông tin đã diễn ra (xem 16.1.7 ).
Quy trình kỷ luật chính thức nên đảm bảo sự đối đãi đúng đắn và công bằng
đối với những nhân viên bị nghi ngờ là đã vi phạm bảo mật thông tin. Quy
trình kỷ luật chính thức nên đưa ra phản ứng được cân nhắc đến các yếu tố
như bản chất và mức độ của vi phạm, tác động của nó (sự vi phạm) tới doanh
nghiệp, bất kể đây là vi phạm lần đầu hay sự tái phạm, người vi phạm đã
được đào tạo đúng đắn hay không, các quy định liên quan, các hợp đồng
kinh doanh và các yếu tố khác theo yêu cầu.
Quy trình kỷ luật cũng nên được sử dụng như là một rào cản để ngăn chặn
nhân viên vi phạm các chính sách và thủ tục bảo mật thông tin của tổ chức
và các vi phạm bảo mật thông tin khác. Những vi phạm cố ý có thể đòi hỏi
những hành động ngay lập tức.
Thông tin khác

Quy trình kỷ luật cũng có thể trở thành động lực hoặc khuyến khích nếu như
các biện pháp trừng phạt tích cực được xác định cho các hành vi đáng chú ý
liên quan đến bảo mật thông tin.
8.3 Hủy bỏ hợp đồng và thay đổi công việc

Mục tiêu : Để bảo vệ những lợi ích của tổ chức như một phần của quy trình
thay đổi hoặc chấm dứt công việc.
7.3.1 Chấm dứt hoặc thay đổi trách nhiệm công việc
Kiểm soát
Trách nhiệm và nghĩa vụ bảo mật thông tin vẫn còn hiệu lực sau khi chấm
dứt hoặc thay đổi công việc nên được định nghĩa, truyền tải đến nhân viên
hoặc nhà thầu và được thi hành.

Việc truyền thông về chấm dứt trách nhiệm nên bao gồm những trách nhiệm
bảo mật thông tin tiếp diễn, các trách nhiệm pháp lý và, khi thích đáng,
những trách nhiệm được bao hàm trong bất kỳ thỏa thuận bảo mật nào (xem
13.2.4 ) và trong các điều khoản và điều kiện làm việc (xem 7.1.2 ) tiếp tục
trong một khoảng thời gian đã được xác định sau khi kết thúc công việc của
nhân viên hoặc nhà thầu.
Những trách nhiệm và nghĩa vụ vẫn có giá trị sau khi chấm dứt công việc
nên bao gồm trong các điều khoản và điều kiện làm việc của nhân viên và
nhà thầu (xem 7.1.2 ).
27 | P a g e
Những thay đổi về trách nhiệm hoặc công việc cần được quản lý như là sự
chấm dứt trách nhiệm hoặc công việc hiện tại kết hợp với việc khởi đầu
trách nhiệm hoặc công việc mới.
Thông tin khác

Chức năng của bộ phận nhân sự chịu trách nhiệm tổng thể về toàn bộ quy
trình chấm dứt và làm việc cùng với các quản lý giám sát nhân viên rời khỏi
để quản lý các yếu tố bảo mật thông tin của các thủ tục có liên quan. Trong
trường hợp một nhà thầu cung cấp thông qua một bên thứ ba bên ngoài, quy
trình chấm dứt này được thực hiện bởi bên thứ ba bên ngoài theo hợp đồng
giữa tổ chức và bên thứ ba bên ngoài.
Có thể cần phải thông báo đến nhân viên, khách hàng, hoặc các nhà thầu về
những thay đổi đối với các sắp xếp về nhân sự và hoạt động.
8 Quản lý tài sản

8.1 Trách nhiệm với các tài sản
Mục tiêu : Để xác định những tài sản thuộc về tổ chức và định nghĩa những
trách nhiệm bảo vệ thích đáng.
8.1.1. Kiểm kê tài sản

Kiểm soát
Những tài sản tương ứng với thông tin và các thiết bị xử lý thông tin nên
được xác định và một bản kiểm kê các tài sản đó nên được soạn thảo và duy
trì.

Một tổ chức nên xác định các tài sản liên quan đến vòng đời của thông tin
và ghi lại tầm quan trọng của chúng. Vòng đời của thông tin nên bao gồm sự
khởi tạo, xử lý, lưu trữ, truyền tải, xóa và hủy bỏ. Tài liệu nên được duy trì
trong những biên bản kiểm kê dành riêng hoặc đang có sẵn nếu thích hợp.
Bản kiểm kê tài sản phải chính xác, nhất quán và được liên kết với các bản
kiểm kê khác.
Đối với mỗi tài sản đã được xác định, chủ sở hữu của tài sản nên được chỉ
định (xem 8.1.2 ) và sự phân loại nên được xác định (xem 8.2 ).
Thông tin khác

Các bản kiểm kê tài sản giúp đảm bảo rằng sự bảo vệ hiệu quả đang được áp
dụng, và có thể được yêu cầu cho những mục đích khác, chẳng hạn như sức
khỏe và an toàn, bảo hiểm hoặc các lý do tài chính (quản lý tài sản).
ISO/IEC 27005 ( 1 1 ) cung cấp các ví dụ về tài sản mà có thể cần được cân
nhắc bởi tổ chức khi xác định các tài sản. Quy trình tổng hợp một bản kiểm
28 | P a g e
kê tài sản là điều kiện tiên quyết quan trọng của quản lý rủi ro (xem thêm
ISO/IEC 27000 và ISO/IEC 27005 ( 1 1 ) ).
8.1.2 Chủ sở hữu của tài sản

Kiểm soát
Tài sản được duy trì trong bản kiểm kê nên được sở hữu.

Các cá nhân cũng như các thực thể khác chịu trách nhiệm quản lý đã được
phê duyệt cho vòng đời của tài sàn đủ điều kiện để được chỉ định là chủ sở
hữu của tài sản.
Một quy trình nhằm đảm bảo việc chỉ định chủ sở hữu của tài sản đúng thời
điểm thường được triển khai. Chủ sở hữu nên được chỉ định khi tài sản được
tạo ra hoặc khi tài sản được chuyển cho tổ chức. Chủ sở hữu tài sản nên chịu
trách nhiệm quản lý tài sản một cách đúng đắn trong suốt vòng đời của tài
sản.
Chủ sở hữu tài sản nên:

a) đảm bảo rằng tài sản được kiểm kê;
b) đảm bảo rằng tài sản được phân loại và bảo vệ một các thích ứng;
c) định nghĩa và xem xét định kỳ các hạn chế cũng như việc phân loại đối
với các tài sản quan trọng, có tính đến các chính sách kiểm soát truy cập
có thể áp dụng được;
d) đảm bảo việc xử lý đúng đắn khi tài sản được xóa hoặc hủy bỏ.
Thông tin khác

Chủ sở hữu đã được xác định có thể là một cá nhân hoặc một thực thể người
chịu trách nhiệm quản lý đã được phê duyệt để kiểm soát toàn bộ vòng đời
của một tài sản. Chủ sở hữu đã được xác định không cần thiết phải có bất kỳ
quyền sở hữu nào đối với tài sản ( nghĩa là tài sản đó không được mua và trả
tiền bởi chủ sở hữu đã được xác định mà là bởi tổ chức. Đối với khái niệm
chủ sở hữu tài sản đã được xác định trong phần này hàm ý chỉ người được
chỉ định quản lý tài sản trong suốt vòng đời của nó – người dịch ).
Những nhiệm vụ thường ngày có thể được ủy thác, ví dụ cho một người bảo
quản chăm sóc tài sản trên cơ sở hang ngày, nhưng trách nhiệm vẫn thuộc về
chủ sở hữu.
Trong một hệ thống thông tin phức tạp, có thể sẽ rất hữu ích khi chỉ định
một nhóm các tài sản hoạt động cùng nhau để cung cấp một dịch vụ cụ thể.
Trong trường hợp này, chủ sở hữu của dịch vụ này được tính cho việc
chuyển giao dịch vụ, bao gồm sự vận hành của tài sản của nó (dịch vụ).
29 | P a g e
8.1.3 Việc sử dụng tài sản có thể được chấp nhận

Kiểm soát
Những quy tắc về việc sử dụng tincó thể chấp nhận được thông tin và các tài
sản tương ứng với thông tin cũng như các thiết bị xử lý thông tin nên được
xác định, ghi lại và triển khai.

Nhân viên và những người dung thuộc về bên thứ ba bên ngoài sử dụng hoặc
có quyền truy cập tới các tài sản của tổ chức nên được nâng cao nhận thức
về các yêu cầu bảo mật thông tin đối với các tài sản của tổ chức tương ứng
với thông tin và các thiết bị xử lý thông tin và các tài nguyên. Họ nên chịu
trách nhiệm về việc sử dụng của họ đối với bất kỳ tài nguyên xử lý thông tin
nào và bất kỳ việc sử dụng nào như vậy đều được thực hiện theo trách nhiệm
của họ.
8.1.4 Trả lại tài sản

Kiểm soát
Tất cả nhân viên và người sử dụng thuộc bên thứ ba bên ngoài phải trả lại
mọi tài sản thuộc về tổ chức mà họ được cấp tùy thuộc vào việc chấm dứt
công việc, hợp đồng hoặc thỏa thuận.
Thông tin khác

Quy trình chấm dứt nên được chính thức hóa để bao gồm việc trả lại mọi tài
sản vật lý và điện tử đã phát hành trước đó thuộc sở hữu hoặc được ủy thác
(sở hữu) cho tổ chức.
Trong những trường hợp mà nhân viên hoặc người dung thuộc bên thứ ba
bên ngoài mua thiết bị của tổ chức hoặc sử dụng thiết bị của cá nhân họ, các
thủ tục phải được tuân theo để đảm bảo rằng mọi thông tin liên quan đã
được chuyển lại cho tổ chức và được xóa bỏ một cách an toàn khỏi thiết bị
(xem 11.2.7 ).
Trong những trường hợp mà nhân viên hoặc người dung thuộc bên thứ ba
bên ngoài có những kiến thức quan trọng đối với quá trình vận hành đang
tiếp diễn, những thông tin đó nên được ghi lại và chuyển cho tổ chức.
Trong quá trình thông báo về sự chấm dứt, tổ chức nên kiểm soát việc sao
chép trái phép những thông tin liên quan (ví dụ như tài sản sở hữu trí tuệ)
bởi nhân viên hoặc bên thứ ba bị chấm dứt.
8.2 Phân loại thông tin

Mục tiêu : Để đảm bảo rằng thông tin có được mức độ bảo vệ tương xứng phù
hợp với độ quan trọng của nó (thông tin) đối với tổ chức.
30 | P a g e
8.2.1 Phân loại thông tin

Kiểm soát
Thông tin nên được phân loại theo các yêu cầu về các quy định pháp lý, giá
trị, tầm quan trọng và độ nhạy cảm đối với việc tiết lộ hoặc sửa đổi trái
phép.

Các phân loại và các kiểm soát bảo vệ thông tin tương ứng nên tính đến các
nhu cầu kinh doanh về chia sẻ hoặc hạn chế thông tin, cũng như là các yêu
cầu pháp lý. Những tài sản, có thể khác với thông tin, cũng có thể được phân
loại phù hợp với sự phân loại thông tin được lưu trữ, được xử lý bởi, hoặc
nói cách khác, được xử lý hoặc bảo vệ bởi tài sản.
Các chủ sở hữu của tài sản thông tin phải chịu trách nhiệm về việc phân loại
chúng.
Kế hoạch phân loại nên bao gồm các quy ước để phân loại và tiêu chí để
xem xét việc phân loại qua thời gian. Cấp độ bảo vệ trong kế hoạc (phân
loại) nên được đánh giá bởi việc phân tích tính bảo mật, tính toàn vẹn và
tính sẵn sàng và bất kỳ yêu cầu nào khác cho thông tin được xem xét. Kế
hoạch cũng nên liên kết với chính sách kiểm soát truy cập (xem 9.1.1 ).
Mỗi cấp độ nên được đặt tên phù hợp với bối cảnh ứng dụng kế hoạch phân
loại.
Kế hoạch (phân loại) nên nhất quán trong toàn bộ tổ chức để từ đó mọi
người sẽ phân loại thông tin và tài sản liên quan theo cùng một cách thức
giống nhau, có một hiểu biết phổ quát về các yêu cầu bảo vệ và áp dụng các
biện pháp bảo vệ một cách thích đáng.
Việc phân loại nên được bao gồm trong các quy trình của tổ chức, và nhất
quán và liên kết trong toàn bộ tổ chức. Kết quả của việc phân loại nên thể
hiện được giá trị của tài sản dựa trên mức độ nhạy cảm và quan trọng đối
với tổ chức, ví dụ, về mặt bảo mật, toàn vẹn và sẵn sàng. Kết quả của việc
phân loại nên được cập nhật tương ứng với những thay đổi về giá trị, độ
nhạy cảm và tầm quan trọng trong suốt vòng đời của chúng ( tài sản được
phân loại – người dịch ).
Thông tin khác

Việc phân loại tài sản cung cấp cho những người đang xử lý thông tin một
chỉ dẫn ngắn gọn về cách làm thể nào xử lý và bảo vệ chúng (thông tin).
Việc tạo ra các nhóm thông tin có nhu cầu bảo vệ tương tự và chỉ định các
thủ tục bảo mật thông tin áp dụng cho mọi thông tin trong mỗi nhóm tạo
31 | P a g e
điều kiện thuận lợi cho việc này. Phương pháp tiếp cận này làm giảm yêu
cầu đánh giá rủi ro và tùy chỉnh thiết kế các kiểm soát cho từng trường hợp.
Thông tin có thể không còn nhạy cảm hoặc quan trọng sau một khoảng thời
gin nhất định, ví dụ, khi thông tin được công bố công khai. Các yếu tố này
cần được xem xét đến bởi vì phân loại-quá mức có thể dẫn tới việc triển
khai các kiểm soát không cần thiết làm tang chi phí hoặc ngược lại, phân
loại-quá thấp có thể gây nguy hiểm cho việc đạt được các mục tiêu kinh
doanh.
Một ví dụ về kế hoạch phân loại thông tin bảo mật có thể dựa trên 4 mức độ
sau đây:
a) việc tiết lộ không gây thiệt hại;
b) việc tiết lộ gây ra sự bối rối không quan trọng hoặc sự khó chịu nhỏ
trong hoạt động;
c) việc tiết lộ gây ra tác động đáng kể trong ngắn hạn đến hoạt động hoặc
đến các mục tiêu chiến thuật;
d) việc tiết lộ gây ra tác động nghiêm trọng trong dài hạn đối với các mục
tiêu chiến lược hoặc khiến cho sự tồn tại của tổ chức gặp phải rủi ro.
8.2.2 Dán nhãn thông tin

Kiểm soát
Một bộ các thủ tục thích ứng cho việc dán nhãn thông tin nên được phát
triển và triển khai tương xứng với kế hoạch phân loại thông tin đã được
thông qua bởi tổ chức.

Các thủ tục dán nhãn thông tin cần bao phủ thông tin và tài sản liên quan
đến nó (thông tin) trong cả định dạng vật lý và điện tử. Việc dán nhãn nên
phản ảnh kế hoạch phân loại đã được thiết lập trong bước 8.2.1. Các nhãn
nên dễ dàng được nhận biết. Các thủ tục nên đưa ra hướng dẫn về nơi và
cách mà các nhãn được đính kèm trong khi xem xét về cách mà thông tin
được truy cập hoặc tài sản được xử lý tùy thuộc vào loại phương tiện. Các
thủ tục có thể định nghĩa các trường hợp khi mà việc dán nhãn bị bỏ sót, ví
dụ như dán nhãn các thông tin không-bảo mật để giảm tải công việc. Nhân
viên và các nhà thầu nên được nâng cao nhận thức về các thủ tục dán nhãn.
Đầu ra từ những hệ thống bao hàm thông tin được phân loại là nhạy cảm
hoặc quan trọng nên được gán nhãn phân loại tương ứng.
Thông tin khác

Dán nhãn thông tin được phân loại là yêu cầu chính yếu trong những sắp xếp
chia sẻ thông tin. Các nhãn vật lý và metadata là các dạng phổ biến của việc
dán nhãn.
32 | P a g e
Việc dán nhãn thông tin và tài sản liên quan đến nó (thông tin) thỉnh thoảng
có thể có những tác động tiêu cực. Những tài sản đã phân loại dễ nhận biết
hơn và từ đó bị đánh cắp bởi người trong cuộc hoặc bởi những kẻ tấn công
bên ngoài.
8.2.3 Xử lý tài sản

Kiểm soát
Các thủ tục xử lý tài sản nên được phát triển và triển khai một cách tương
xứng với kế hoạch phân loại tài sản đã được thông qua bởi tổ chức.

Các thủ tục nên được soạn thảo về việc xử lý, phái triển, lưu trữ, và truyền
tải thông tin nhất quán với phân loại của nó (xem 8.2.1 ).
Các mục sau đây nên được xem xét:

a) các hạn chế truy cập hỗ trợ cho các yêu cầu bảo vệ đối với mỗi cấp độ
phân loại;
b) duy trì một bản ghi chính thức về những người nhận tài sản được uỷ
quyền;
c) bảo vệ các bản sao tạm thời hoặc vĩnh viễn của thông tin với mức độ nhất
quán với sự bảo vệ của thông tin nguyên bản;
d) lưu trữ tài sản CNTT tương xứng với các đặc tả kỹ thuật của nhà xản
xuất;
e) đánh dấu rõ ràng mọi bản sao của phươn tiện để được chú ý bởi người
nhận được uỷ quyền.
Kế hoạch phân loại được sử dụng trong tổ chức có thể không bằng với các
kế hoạch được sử dụng bởi các tổ chức khác, ngay cả nểu tên gọi của các
mức độ là như nhau; ngoài ra, thông tin truyền tải giữa các tổ chức có thể
thay đổi trong sự phân loại tuỳ theo bối cảnh của nó trong mỗi tổ chức, ngay
cả nếu các kế hoạch phân loại chúng giống hệt nhau.
Những thoả thuận với các tổ chức khác có chứa thông tin chia sẻ nên bao
gồm các thủ tục để xác định sự phân loại của thông tin đó, và để diễn giải
các nhãn phân loại từ các tổ chức khác.
8.3 Xử lý phương tiện

Mục tiêu : Ngăn ngừa việc tiết lộ, điều chỉnh, di dời hoặc phá huỷ trái phép
thông tin được lưu trữ trong phương tiện.
8.3.1 Quản lý các phương tiện có thể di dời được

Kiểm soát
Các thủ tục nên được triển khai để quản lý những phương tiện có thể di
chuyển được tương xứng với kế hoạch phân loại đã được thông qua bởi tổ
chức.
33 | P a g e

Các hướng dẫn sau đây về việc quản lý các phương tiện có thể di chuyển
được nên được cân nhắc:
a) nếu không còn được yêu cầu, nội dung của bất kỳ phương tiện có thể tái
sử dụng nào mà có thể được dời khỏi tổ chức nên được làm cho nó trở
nên không thể khôi phục được;
b) khi cần thiết và thực tế, việc uỷ quyền nên được yêu cầu cho các phương
tiện được dời khỏi tổ chức và một bản ghi về việc di dời như vậy nên
được giữ lại trong trường hợp duy trì một dấu vết kiểm toán;
c) mọi phương tiện nên được lưu trữ trong một môi trường an toàn và bảo
mật, tương ứng với các đặc tả kỹ thuật của nhà sản xuất;
d) nếu tính bảo mật và tính toàn vẹn của dữ liệu được cân nhắc cẩn trọng,
các kỹ thuật mã hoá nên được sử dụng để bảo vệ dữ liệu trên các phương
tiện có thể di dời được;
e) nhằm giảm thiểu rủi ro của việc hạ cấp thiết bị trong khi dữ liệu được lưu
trữ (trong phương tiện) vẫn còn cần đến, dữ liệu nên được chuyển sang
các phương tiện mới trước khi trở thành không thể đọc được;
f) nhiều bản sao của dữ liệu có giá trị nên được lưu trữ trong các phương
tiện riêng biệt để giảm thiểu hơn nữa nguy cơ dữ liệu bị hư hỏng hoặc
mất mát do tình cờ;
g) việc đăng ký các phương tiện có thể di dời được nên được cân nhắc để
giới hạn nguy cơ mất mát dữ liệu;
h) các ổ đĩa phương tiện di dời được chỉ nên được kích hoạt nếu có một lý
do để làm như vậy;
i) khi có nhu cầu phải sử dụng phương tiện có thể di dời được để truyền tải
dữ liệu thì các phương tiện như vậy nên được giám sát
Các thủ tục và các cấp độ uỷ quyền nên được ghi lại.
8.3.2 Loại bỏ phương tiện

Kiểm soát
Phương tiện nên được loại bỏ một cách an toàn khi không còn được yêu cầu,
sử dụng các thủ tục chính thức.
Hướng dẫn triên khai

Các thủ tục chính thức cho việc loại bỏ phương tiện một cách an toàn nên
được thiết lập để giảm rủi ro về việc bị lộ những thông tin mật cho những
người không được uỷ quyền. Các thủ tục loại bỏ một cách an toàn phương
tiện bao gồm những thông tin mật nên tương xứng với độ nhạy cảm của
những thông tin đó. Các mục dưới đây nên được cân nhắc:
a) phương tiện bao gồm thông tin mật nên được lưu trữ và loại bỏ một cách
an toàn, ví dụ, bởi sự thiêu huỷ hoặc băm nhỏ, hoặc xoá dữ liệu bởi một
ứng dụng khác trong tổ chức;
34 | P a g e
b) các thủ tục nên có sẵn để xác định các mục có thể cần phải loại bỏ một
cách an toàn;
c) có thể sẽ dễ hơn khi sắp xếp mọi mục phương tiện để thu thập và loại bỏ
một cách an toàn thay vì cố gắng tách biệt từng mục nhạy cảm;
d) rất nhiều tổ chức đưa ra tập hợp và các dịch vụ loại bỏ phương tiện; cần
phải thận trọng trong việc lựa chọn một bên thứ ba phù hợp có đủ kinh
nghiệm và các kiểm soát đầy đủ;
e) loại bỏ các mục nhạy cảm nên được ghi nhật ký lại để duy trì một dấu vết
kiểm toán.
Khi tích lũy các phương tiện để loại bỏ, cần tính đến hiệu ứng tập thể, có
thể làm cho một lượng lớn thông tin không nhạy cảm trở thành nhạy cảm.
Thông tin khác

Các thiết bị hư hỏng có chứa dữ liệu nhạy cảm có thể đòi hỏi một sự đánh
giá rủi ro để xác định xem liệu các mục nên được phá hủy vật lý thay vì gửi
đi để sửa chữa hoặc vứt bỏ nó (xem 11.2.7 ).
8.3.3 Di dời phương tiện vật lý

Kiểm soát
Phương tiện có chứa thông tin nên được bảo vệ khỏi sự truy cập, sử dụng
hoặc sửa đổi trái phép trong quá trình di chuyển.

Các hướng dẫn dưới đây nên được cân nhắc để bảo vệ phương tiện có chứa
thông tin sẽ được di chuyển:
a) nên sử dụng phương tiện vận chuyển hoặc người vận chuyển đáng tin cậy;
b) một danh sách những người vận chuyển được ủy quyền nên được chấp
thuận bởi cấp quản lý;
c) các thủ tục xác minh danh tính của người vận chuyển nên được phát
triển;
d) việc đóng gói phải đủ để bảo vệ nội dung khỏi bất kỳ hư hỏng vật lý nào
có khả năng phát sinh trong quá trình vận chuyển và tương xứng với bất
kỳ đặc tả kỹ thuật nào của nhà sản xuất, ví dụ bảo vệ khỏi bất kỳ yếu tố
môi trường nào có thể làm giảm hiệu quả khôi phục của phương tiện như
tiếp xúc với nguồn nhiệt, độ ẩm hoặc trường điện từ;
e) các nhật ký nên được giữ lại, xác định nội dung của phương tiện, mức
bảo vệ đã áp dụng, cũng như ghi lại thời gian vận chuyển đến người bảo
quản quá cảnh và thời điểm nhận được tại đích đến.
Thông tin khác

Thông tin có thể bị tổn hại bởi truy cập, sử dụng hoặc sửa đổi trái phép
trong quá trình vận chuyển vật lý, ví dụ khi gửi phương tiện thông qua dịch
vụ bưu điện hoặc qua người vận chuyển. Trong kiểm soát này, phương tiện
bao gồm các văn bản bằng giấy.
35 | P a g e
Khi thông tin mật trong các phương tiện không được mã hóa, các biện pháp
bảo vệ vật lý bổ sung cho phương tiện nên được xem xét.
9 Kiểm soát truy cập

9.1 Yêu cầu doanh nghiệp về kiểm soát truy cập
Mục tiêu : Giới hạn truy cập đến thông tin và các thiết bị xử lý thông tin.
9.1.1 Chính sách kiểm soát truy cập

Kiểm soát
Một chính sách kiểm soát truy cập nên được thiết lập, ghi lại và xem xét dựa
trên yêu cầu bảo mật thông tin và yêu cầu kinh doanh.

Chủ sở hữu của tài sản nên xác định các quy tắc kiểm soát truy cập tương
xứng, quyền truy cập và các hạn chế cho những vai trò người dùng cụ thể
đối với những tài sản thuộc quyền sở hữu (quản lý) của họ, cùng với tổng
cộng về chi tiết và tính nghiêm ngặt của các kiểm soát phản ảnh những rủi
ro bảo mật thông tin tương ứng.
Các kiểm soát truy cập là cả truy cập vật lý lẫn truy cập logic (xem Điều 11 )
và chúng nên được xem xét cùng với nhau. Những người dùng và các nhà
cung cấp dịch vụ nên được cung cấp một tuyên bố rõ ràng về các yêu cầu
kinh doanh cần được đáp ứng bởi kiểm soát truy cập.
Chính sách (kiểm soát truy cập) nên tính đến những điều sau đây:
a) các yêu cầu bảo mật của các ứng dụng doanh nghiệp;
b) các chính sách về sự phổ biến thông tin và ủy quyền, ví dụ như nguyên
tắc cần-được-biết và các mức độ bảo mật thông tin và sự phân loại thông
tin (xem 8.2 );
c) tính nhất quán giữa quyền truy cập và các chính sách phân loại thông tin
của các hệ thống và mạng;
d) các quy định liên quan và bất kỳ nghĩa vụ hợp đồng nào có liên quan đến
việc giới hạn truy cập và dữ liệu hoặc dịch vụ (xem 18.1 );
e) quản lý quyền truy cập trong một môi trường phân phối và kết nối mạng
mà nhận biết được tất cả các kiểu kết nối có sẵn;
f) sự tách biệt các vai trò truy cập, ví dụ, yêu cầu truy cập, ủy quyền truy
cập và quản lý truy cập;
g) các yêu cầu về sự ủy quyền chính thức cho các yêu cầu truy cập (xem
9.2.1 và 9.2.2 );
h) các yêu cầu về việc định kỳ xem xét quyền truy cập (xem 9.2.5 );
i) hủy bỏ quyền truy cập (xem 9.2.6 );
j) lưu giữ các bản ghi về mọi sự kiện quan trọng liên quan đến việc sử dụng
và quản lý danh tính người dùng và thông tin xác minh bảo mật;
k) các vai trò với đặc quyền truy cập (xem 9.2.3 ).
36 | P a g e
Thông tin khác

Cần phải thận trọng khi xác định các quy tắc kiểm soát truy cập để xem xét:
a) việc thiết lập các quy tắc dựa trên lập luận “Mọi thứ đều bị cấm trừ khi
được chấp thuận một cách rõ ràng” hơn là một quy tắc yếu ớt “Mọi thứ
đều được chấp thuận trừ khi bị cấm một cách rõ ràng”;
b) những thay đổi trong các nhãn dán thông tin (xem 8.2.2 ) được khởi đầu
một cách tự động bởi các thiết bị xử lý thông tin và chúng được khởi đầu
theo sự thận trọng của người dùng;
c) những thay đổi trong quyền của người dùng được khởi đầu một cách tự
động bởi hệ thống thông tin và chúng được khởi đầu bởi một quản trị
viên;
d) các quy tắc đòi hỏi và không đòi hỏi sự phê duyệt cụ thể trước khi ban
hành.
Các quy tắc kiểm soát truy cập nên được hỗ trợ bởi các thủ tục chính thức
(xem 9.2 , 9.3 và 9.4 ) và các trách nhiệm đã được xác định (xem 6.1.1 và
9.3 ).
Các kiểm soát truy cập căn cứ vào vai trò là một phương pháp được sử dụng
một cách thành công bởi nhiều tổ chức để liên kết quyền truy cập với các vai
trò trong doanh nghiệp.
Hai trong số các nguyên tắc phổ biến thường xuyên định hướng chính sách
kiểm soát truy cập là:
a) Cần-được-biết: bạn chỉ được cấp quyền truy cập tới thông tin mà bạn cần
để hoàn thành các tác vụ của mình (các tác vụ/vai trò khác nhau có nghĩa
là quyền cần-được-biết khác nhau và do đó các hồ sơ truy cập khác
nhau);
b) Cần-được-sử dụng: bạn chỉ được cấp quyền truy cập tới thiết bị xử lý
thông tin (thiết bị CNTT, các ứng dụng, các thủ tục, các phòng) mà bạn
cần để hoàn thành tác vụ/công việc/vai trò của mình.
9.1.2 Truy cập hệ thống mạng và các dịch vụ mạng

Kiểm soát
Người dùng chỉ nên được cung cấp sự truy cập đến hệ thống mạng và các
dịch vụ mạng mà họ được ủy quyền một cách riêng biệt để sử dụng.

Một chính sách nên được xây dựng liên quan đến việc sử dụng mạng và các
dịch vụ mạng. Chính sách này nên bao gồm:
a) những mạng và dịch vụ mạng mà được chấp thuận cho phép truy cập;
b) các thủ tục ủy quyền cho việc xác định ai được cho phép truy cập vào
mạng và dịch vụ mạng nào;
37 | P a g e
c) các kiểm soát và thủ tục quản lý để bảo vệ truy cập tới các kết nối mạng
và dịch vụ mạng;
d) các phương tiện sử dụng để truy cập mạng và dịch vụ mạng (ví dụ, sử
dụng VPN hoặc mạng không dây);
e) các yêu cầu xác minh người dùng để truy cập vào các dịch vụ mạng khác
nhau;
f) giám sách việc sử dụng các dịch vụ mạng.
Chính sách này về sử dụng các dịch vụ mạng nên nhất quán với chính sách
kiểm soát truy cập của tổ chức (xem 9.1.1 ).
Thông tin khác

Các kết nối trái phép và không bảo mật tới các dịch vụ mạng có thể ảnh
hưởng tới toàn bộ tổ chức. Kiểm soát này là đặc biệt quan trọng cho các kết
nối mạng tới các ứng dụng nhạy cảm hoặc quan trọng của doanh nghiệp hoặc
tới những người dùng trong các khu vực rủi ro cao, ví dụ như các khu vực
công cộng hoặc nằm bên ngoài tầm kiểm soát và quản lý bảo mật thông tin
của tổ chức.
9.2 Quản lý truy cập người dùng

Mục tiêu : Đảm bảo rằng truy cập người dùng hợp pháp và để ngăn ngừa truy
cập trái phép tới các hệ thống và dịch vụ.
9.2.1 Đăng ký và hủy đăng ký người dùng

Kiểm soát
Một quy trình đăng ký và hủy đăng ký người dùng chính thức nên được phát
triển để cho phép chỉ định quyền truy cập.

Quy trình quản lý các danh tính người dùng nên bao gồm:
a) việc sử dụng danh tính người dùng duy nhất để cho phép người dùng
được liên kết với và chịu trách nhiệm cho những hành động của họ, việc
sử dụng các danh tính người dùng chia sẻ chỉ nên được chấp thuận khi
chúng cần thiết cho việc kinh doanh hoặc có lý do để làm thế và nên
được phê duyệt và ghi lại;
b) ngay lập tức vô hiệu hóa hoặc xóa danh tính người dùng của người rời
khỏi tổ chức (xem 9.2.6 );
c) định kỳ xác định và xóa bỏ hoặc vô hiệu hóa những danh tính người dùng
dự phòng;
d) đảm bảo rằng những danh tính người dùng dự phòng không được phát
hành cho những người dùng khác.
Thông tin khác

Việc cung cấp hoặc thu hồi truy cập tới thông tin hoặc các thiết bị xử lý
thông tin thông thường là một thủ tục bao gồm hai bước:
38 | P a g e
a) chỉ định và kích hoạt, hoặc thu hồi, một danh tính người dùng;
b) cung cấp, hoặc thu hồi, các quyền truy cập tới danh tính người dùng đó.
9.2.2 Việc cấp quyền truy cập

Kiểm soát
Một quy trình cung cấp quyền truy cập người dùng chính thức nên được
triển khai để chỉ định hoặc thu hồi quyền truy cập cho mọi kiểu người dùng
tới mọi hệ thống và dịch vụ.

Quy trình cung cấp cho việc chỉ định hoặc thu hồi quyền truy cập được cấp
cho các danh tính người dùng nên bao gồm:
a) đạt được sự ủy quyền từ chủ sở hữu của hệ thống hoặc dịch vụ thông tin
về việc sử dụng hệ thống hoặc dịch vụ thông tin (xem kiểm soát 8.1.2 ),
phê duyệt riêng biệt cho các quyền truy cập từ cấp quản lý cũng có thể
phù hợp;
b) xác minh rằng mức độ truy cập được cấp có tương xứng với các chính
sách truy cập (xem 9.1 ) và có nhất quán với các yêu cầu khác như phân
tách nhiệm vụ (xem 6.1.2 ) không;
c) đảm bảo rằng các quyền truy cập không được kích hoạt (ví dụ bởi nhà
cung cấp dịch vụ) trước khi các thủ tục ủy quyền được hoàn tất;
d) duy trì một bản ghi tập trung của các quyền truy cập đã cấp cho một danh
tính người dùng để truy cập vào các hệ thống và dịch vụ thông tin;
e) thay đổi quyền truy cập đối với những người dùng thay đổi vai trò hoặc
công việc và ngay lập tức hủy bỏ hoặc khóa quyền truy cập của những
người dùng rời khỏi tổ chức;
f) định kỳ xem xét quyền truy cập cùng với chủ sở hữu của hệ thống hoặc
dịch vụ thông tin (xem 9.2.5 ).
Thông tin khác

Nên cân nhắc việc thiết lập các vai trò truy cập người dùng dựa trên các yêu
cầu kinh doanh tổng hợp một số các quyền truy cập vào những hồ sơ truy
cập người dùng thông thường. Các yêu cầu truy cập và sự xem xét (xem
9.2.4 ) được quản lý dễ dàng hơn ở cấp độ các vai trò như vậy hơn là ở cấp
độ các quyền cụ thể.
Nên cân nhắc việc bao gồm các điều khoản trong các hợp đồng cá nhân và
hợp đồng dịch vụ quy định các biện pháp trừng phạt nếu các cá nhân hoặc
nhà thầu cố gắng truy cập trái phép (xem 7.1.2 , 7.2.3 , 13.2.4 và 15.1.2 ).
9.2.3 Quản lý các đặc quyền truy cập

Kiểm soát
39 | P a g e
Việc cấp phát và sử dụng các đặc quyền truy cập nên được hạn chế và kiểm
soát.

Việc cấp phát các đặc quyền truy cập nên được kiểm soát thông qua một
quy trình ủy quyền chính thức tương ứng với chính sách kiểm soát truy cập
có liên quan (xem kiểm soát 9.1.1 ). Các bước sau nên được cân nhắc:
a) đặc quyền truy cập tương ứng với mỗi hệ thống hoặc quy trình, ví dụ như
hệ điều hành, hệ thống quản lý cơ sở dữ liệu và mỗi ứng dụng và người
dùng mà họ (những người cần đặc quyền truy cập – người dịch ) cần được
cấp phát nên được xác định;
b) đặc quyền truy cập nên được cấp phát cho những người dùng trên cơ sở
cần-để-sử dụng và trên cơ sở từng sự kiện phù hợp với chính sách kiểm
soát truy cập (xem 9.1.1 ), ví dụ, dựa trên yêu cầu tối thiểu cho vai trò
chức năng của họ;
c) một quy trình ủy quyền và một bản ghi tất cả các cấp phát đặc quyền
(truy cập) nên được duy trì. Các đặc quyền truy cập không nên được cấp
cho đến khi quy trình ủy quyền được hoàn tất;
d) các yêu cầu về sự hết hạn của những đặc quyền truy cập nên được xác
định;
e) những đặc quyền truy cập nên được chỉ định cho một danh tính người
dùng khác với danh tính được sử dụng cho các hoạt động thông thường.
Những hoạt động thông thường không nên được hoàn tất bởi danh tính
người dùng đặc quyền;
f) trình độ chuyên môn của những người dùng có đặc quyền truy cập nên
được xem xét thường xuyên nhằm xác minh rằng họ phù hợp với nhiệm
vụ của họ;
g) các thủ tục cụ thể nên được thiết lập và duy trì để ngăn chặn việc sử dụng
trái phép những danh tính người dùng là quản trị viên chung, tùy thuộc
vào khả năng thiết lập cấu hình của hệ thống;
h) đối với những danh tính người dùng là quản trị viên chung, tính bảo mật
của thông tin xác thực bí mật nên được bảo quản khi được chia sẻ (ví dụ,
thay đổi mật khẩu thường xuyên và càng sớm càng tốt khi một người
dùng đặc quyền rời khỏi (tổ chức) hoặc thay đổi công việc, truyền tải
chúng (mật khẩu đặc quyền – người dịch ) giữa những người dùng đặc
quyền bằng các cơ chế thích hợp).
Thông tin khác

Sử dụng không phù hợp các đặc quyền quản trị hệ thống (bất kỳ chức năng
hoặc thiết bị của một hệ thống thông tin mà cho phép người dùng ghi đè lên
các kiểm soát hệ thống hoặc ứng dụng) là yếu tố chính gây ra thất bại hoặc
vi phạm hệ thống.
40 | P a g e
9.2.4 Quản lý thông tin xác minh người dùng bí mật

Kiểm soát
Việc cấp phát thông tin xác minh bí mật nên được kiểm soát thông qua một
quy trình quản lý chính thức.

Quy trình nên bao gồm các yêu cầu dưới đây:
a) người dùng nên được yêu cầu ký vào một tuyên bố để giữ bí mật thông
tin xác minh bí mật cá nhân và giữ thông tin xác thực bí mật của nhóm
(tức là được chia sẻ) chỉ trong phạm vi các thành viên của nhóm, bản
tuyên bố đã ký này có thể được bao gồm trong các điều khoản và điều
kiện làm việc (xem 7.1.2 );
b) khi người dùng được yêu cầu duy trì thông tin xác minh bí mật của riêng
họ, họ nên được cung cấp thông tin xác minh bí mật tạm thời ban đầu, mà
họ bị bắt buộc phải thay đổi sau lần sử dụng đầu tiên;
c) các thủ tục nên được thiết lập để xác minh danh tính của một người dùng
trước khi cung cấp thông tin xác minh bí mật mới, thay thể hoặc tạm
thời;
d) thông tin xác minh bí mật tạm thời nên được cấp cho người dùng theo
cách thức bí mật, sử dụng hệ thống email của bên thứ ba bên ngoài hoặc
không được bảo vệ (văn bản thô) nên bị ngăn chặn;
e) thông tin xác minh bí mật tạm thời nên là duy nhất đối với một cá nhân
và không nên có thể dễ dàng đoán được;
f) người dùng nên xác nhận về việc nhận được thông tin xác minh bí mật;
g) thông tin xác minh bí mật mặc định của nhà cung cấp nên được thay thế
khi cài đặt hệ thống hoặc phần mềm.
Thông tin khác

Mật khẩu là một loại thông tin xác minh bí mật thường được sử dụng và là
phương tiện phổ biến để xác minh danh tính của người dùng. Các loại thông
tin xác minh bí mật khác là các khóa mã hóa và dữ liệu khác được lưu trên
một khóa cứng (ví dụ: thẻ thông minh) tạo ra mã xác thực.
9.2.5 Xem xét quyền truy cập của người dùng

Kiểm soát
Chủ sở hữu tài sản nên xem xét quyền truy cập của người dùng một cách
thường xuyên.

Việc xem xét quyền truy cập nên cân nhắc đến những điều sau đây:
a) quyền truy cập của người dùng nên được xem xét thường xuyên và sau
bất kỳ thay đổi nào, chẳng hạn như thăng chức, giáng chức, hoặc chấm
dứt công việc (xem Điều 7 );
b) quyền truy cập của người dùng nên được xem xét và tái cấp phát khi
chuyển từ một vai trò này sang vai trò khác trong cùng một tổ chức;
41 | P a g e
c) việc ủy quyền các đặc quyền truy cập nên được xem xét một cách thường
xuyên hơn;
d) việc cấp phát đặc quyền nên được kiểm tra một định kỳ để đảm bảo rằng
các đặc quyền trái phép đã không đạt được;
e) những thay đổi đối với các đặc quyền truy cập nên được ghi nhật ký lại
để xem xét định kỳ.
Thông tin khác

Kiểm soát này là bù lại cho những điểm yếu khả dĩ trong việc thực thi các
kiểm soát 9.2.1 , 9.2.2 và 9.2.6 .
9.2.6 Hủy bỏ hoặc điều chỉnh quyền truy cập

Kiểm soát
Quyền truy cập của mọi nhân viên và người dùng của bên thứ ba bên ngoài
đến thông tin và thiết bị xử lý thông tin nên được hủy bỏ theo sự chấm dứt
công việc, hợp đồng hoặc thỏa thuận, hoặc được điều chỉnh theo những thay
đổi.

Tùy theo sự chấm dứt, quyền truy cập của một cá nhân đến thông tin và tài
sản tương ứng với các thiết bị xử lý thông tin và các dịch vụ nên được hủy
bỏ hoặc đình chỉ. Điều này sẽ xác định rằng quyền truy cập có cần thiết phải
hủy bỏ hay không. Những thay đổi trong công việc nên được phản ảnh trong
sự hủy bỏ toàn bộ quyền truy cập mà không được phê duyệt cho công việc
mới. Quyền truy cập mà nên được hủy bỏ hoặc điều chỉnh bao gồm các truy
cập vật lý và logic. Việc hủy bỏ hoặc điều chỉnh có thể được thực hiện bằng
cách hủy bỏ, thu hồi hoặc thay thể các khóa, các thẻ xác minh danh tính,
thiết bị xử lý thông tin hoặc thuê bao. Bất kỳ tài liệu nào xác định quyền
truy cập của nhân viên hoặc nhà thầu nên phản ảnh sự hủy bỏ hoặc điều
chỉnh quyền truy cập. Nếu một nhân viên rời khỏi tổ chức hoặc người dùng
thuộc bên thứ ba bên ngoài có các mật khẩu của danh tính người dùng đã
biết vẫn còn hoạt động, chúng (mật khẩu) nên được thay đổi khi chấm dứt
hoặc thay đổi công việc, hợp đồng hoặc thỏa thuận.
Quyền truy cập vào thông tin và tài sản tương ứng với các thiết bị xử lý
thông tin nên được giảm thiểu hoặc hủy bỏ trước khi công việc hủy bỏ hoặc
thay đổi, tùy thuộc vào việc đánh giá các yếu tố rủi ro như:
a) việc chấm dứt hoặc thay đổi được bắt đầu bởi nhân viên, người dùng
thuộc bên thứ ba bên ngoài hoặc bởi cấp quản lý, và lý do của sự chấm
dứt;
b) trách nhiệm hiện tại của nhân viên, người dùng thuộc bên thứ ba bên
ngoài hoặc người dùng khác;
c) giá trị của tài sản hiện tại đang có thể truy cập được.
Thông tin khác

42 | P a g e
Trong một số trường hợp nhất định, quyền truy cập có thể được cấp phát
trên cơ sở khả dụng cho nhiều người hơn là những nhân viên rời khỏi tổ
chức hoặc người dùng thuộc bên thứ ba bên ngoài, ví dụ: các danh tính
nhóm. Đối với những trường hợp như vậy, các cá nhân rời khỏi tổ chức nên
được hủy bỏ khỏi bất kỳ danh sách nhóm truy cập nào và việc sắp xếp nên
được thực hiện để thông báo cho mọi nhân viên cũng như người dùng thuộc
bên thứ ba bên ngoài khác có liên quan để họ không chia sẻ thông tin này
với người rời khỏi.
Đối với trường hợp sự chấm dứt do cấp quản lý khởi xướng, các nhân viên
hoặc người dùng thuộc bên thứ ba bên ngoài bất mãn có thể cố tình làm hư
hỏng thông tin hoặc phá hoại các thiết bị xử lý thông tin. Trong những
trường hợp nhân viên từ chức hoặc bị sa thải, họ có thể bị cám dỗ để thu
thập thông tin cho việc sử dụng trong tương lai.
9.3 Trách nhiệm của người dùng

Mục tiêu : Khiến cho người dùng chịu trách nhiệm bảo vệ thông tin xác minh
của họ.
9.3.1 Sử dụng thông tin xác minh bí mật

Kiểm soát
Người dùng nên được yêu cầu tuân theo các thực tiễn của tổ chức trong việc
sử dụng thông tin xác minh bí mật.

Mọi nhân viên nên được thông báo để:
a) đảm bảo tính bảo mật của các thông tin xác minh bí mật, đảm bảo rằng nó
không được tiết lộ cho bất kỳ bên thứ ba nào khác, bao gồm những người
có thẩm quyền;
b) ngăn chặn việc giữ một bản ghi (ví dụ như ghi ra giấy, phần mềm hoặc
thiết bị cầm tay) của thông tin xác minh bí mật, trừ khi có thể được lưu
trữ một cách bảo mật và phương pháp lưu trữ đã được phê duyệt (ví dụ,
(phần mềm) quản lý mật khẩu);
c) thay đổi thông tin xác minh bí mật bất cứ khi nào có dấu hiệu về sự thỏa
hiệp có thể xảy ra;
d) khi các mật khẩu được sử dụng như là thông tin xác minh bí mật, chọn
các mật khẩu chất lượng với độ dài tối thiểu đầy đủ:
a. dễ nhớ;
b. không dựa trên bất cứ gì mà người nào khác có thể dễ đoán hoặc có
được bằng cách sử dụng thông tin liên quan cá nhân, ví dụ như tên,
số điện thoại, và ngày sinh, v.v…;
c. không dễ bị tấn công từ điển (ví dụ, không bao gồm các từ trong từ
điển);
d. không có các ký tự giống nhau liên tiếp, toàn chữ số hoặc toàn chữ
cái;
43 | P a g e
e. nếu là tạm thời, được thay đổi ngay sau lần đăng nhập đầu tiên;
e) không chia sẻ thông tin xác minh bí mật của người dùng;
f) đảm bảo sự bảo vệ mật khẩu phù hợp khi mật khẩu được sử dụng làm
thông tin xác minh bí mật khi các thủ tục đăng nhập tự động được sử
dụng;
g) không sử dụng cùng thông tin xác minh bí mật cho mục đích công việc và
mục đích cá nhân.
Thông tin khác

Việc cung cấp Đăng nhập duy nhất - Single Sign On (SSL) hoặc các công cụ
quản lý thông tin xác minh bí mật khác làm giảm thiểu lượng thông tin bí
mật mà người dùng được yêu cầu phải bảo vệ và do đó có thể làm tăng hiệu
quả của kiểm soát này. Tuy nhiên, những công cụ này cũng có thể làm tăng
tác động của việc tiết lộ thông tin xác minh bí mật.
9.4 Kiểm soát truy cập hệ thống và ứng dụng

Mục tiêu : Ngăn chặn việc truy cập trái phép tới các hệ thống và ứng dụng.
9.4.1 Giới hạn truy cập thông tin

Kiểm soát
Truy cập tới thông tin và các chức năng hệ thống ứng dụng nên được hạn
chế một cách tương xứng với chính sách kiểm soát truy cập.

Việc giới hạn truy cập nên căn cứ trên các yêu cầu ứng dụng doanh nghiệp
riêng lẻ và phù hợp với chính sách kiểm soát truy cập đã định nghĩa.
Những mục dưới đây nên được xem xét để hỗ trợ các yêu cầu hạn chế truy
cập:
a) cung cấp thanh menu để kiểm soát truy cập tới các chức năng hệ thống
ứng dụng;
b) kiểm soát dữ liệu nào có thể được truy cập bởi người dùng cụ thể nào;
c) kiểm soát quyền truy cập của người dùng, ví dụ, đọc, ghi, xóa và thực
thi;
d) kiểm soát quyền truy cập ứng dụng khác;
e) giới hạn thông tin được đóng gói trong kết quả đầu ra;
f) cung cấp các kiểm soát vật lý hoặc logic cho việc cô lập những ứng dụng,
dữ liệu ứng dụng hoặc hệ thống nhạy cảm.
9.4.2 Các thủ tục đăng nhập bảo mật

Kiểm soát
44 | P a g e
Khi được yêu cầu bởi chính sách kiểm soát truy cập, việc truy cập vào các
hệ thống và ứng dụng nên được kiểm soát bởi một thủ tục đăng nhập bảo
mật.

Một kỹ thuật xác minh phù hợp nên được lựa chọn để chứng minh danh tính
đã được xác nhận của một người dùng.
Khi đòi hỏi cơ chế xác thực và xác minh danh tính mạnh mẽ, các phương
pháp xác thực thay thế cho mật khẩu, chẳng hạn như phương tiện mã hóa,
thẻ thông minh, token hoặc phương tiện sinh trắc học, nên được sử dụng.
Thủ tục đăng nhập vào một hệ thống hoặc ứng dụng nên được thiết kế để tối
thiểu hóa cơ hội truy cập trái phép. Thủ tục đăng nhập do đó nên để lộ thông
tin tối thiểu về hệ thống hoặc ứng dụng, nhằm ngăn chặn việc cung cấp cho
một người dùng trái phép bất kỳ sự hỗ trợ không cần thiết nào. Một thủ tục
đăng nhập tốt nên:
a) không hiển thị thông tin nhận diện hệ thống hoặc ứng dụng cho đến khi
quá trình đăng nhập thực sự hoàn tất;
b) hiển thị một thông báo chung cảnh báo rằng máy tính chỉ nên được truy
cập bởi người dùng được ủy quyền;
c) không hiển thị tin nhắn giúp đỡ trong quá trình đăng nhập mà có thể hỗ
trợ cho người dùng trái phép;
d) chỉ công nhận thông tin đăng nhập được hoàn thành khi mọi dữ liệu đã
được nhập. Nếu một điều kiện lỗi xảy ra, hệ thống không nên chỉ rõ ra
phần nào của dữ liệu là đúng hoặc sai;
e) bảo vệ chống lại những nỗ lực tấn công brute-force;
f) ghi lại nhật ký cả những nỗ lực thành công và không thành công;
g) cảnh báo một sự kiện bảo mật nếu một nỗ lực tiềm năng hoặc vi phạm
thành công kiểm soát đăng nhập được phát hiện;
h) hiển thị những thông tin dưới đây khi hoàn thành đăng nhập thành công:
1) ngày giờ của lần đăng nhập thành công trước đó;
2) chi thiết về bất kỳ nỗ lực đăng nhập không thành công nào kể từ
lần đăng nhập thành công trước đó;
i) không hiển thị mật khẩu đã được nhập;
j) không chuyển mật khẩu dưới dạng văn bản thô ngang qua mạng;
k) kết thúc các phiên làm việc không hoạt động sau một khoảng thời gian
định trước nếu không có bất kỳ hoạt động nào, đặc biệt trong các khu vực
rủi ro cao như ở khu vực công cộng hoặc bên ngoài tầm quản lý bảo mật
tổ chức hoặc trên các thiết bị di động;
l) hạn chế thời gian kết nối để cung cấp thêm bảo mật cho các ứng dụng rủi
ro cao và giảm thiểu cửa sổ cơ hội cho việc truy cập trái phép.
Thông tin khác
45 | P a g e
Các mật khẩu là con đường phổ biến để cung cấp danh tính và xác minh dựa
trên một bí mật mà chỉ có người dùng mới biết. Điều tương tự cũng có thể
đạt được với các phương tiện mã hóa và các giao thức xác minh. Độ mạnh
mẽ của việc xác minh người dùng nên tương ứng với mức độ phân loại thông
tin sẽ được truy cập.
Nếu mật khẩu được truyền tải dưới dạng văn bản thô qua hệ thống mạng
trong phiên đăng nhập, chúng có thể bị bắt lại bởi một chương trình
“sniffer’ mạng.
9.4.3 Hệ thống quản lý mật khẩu

Kiểm soát
Các hệ thống quản lý mật khẩu nên được tương tác và nên đảm bảo chất
lượng của mật khẩu.

Một hệ thống quản lý mật khẩu nên:
a) bắt buộc sử dụng danh tính người dùng và mật khẩu một cách riêng rẽ để
đảm bảo tính trách nhiệm;
b) cho phép người dùng lựa chọn và thay đổi mật khẩu của họ và bao gồm
một thủ tục xác nhận để cho phép các lỗi đầu vào;
c) bắt buộc lựa chọn một mật khẩu chất lượng;
d) bắt buộc người dùng phải đổi mật khẩu của họ sau lần đăng nhập đầu
tiên;
e) bắt buộc thay đổi mật khẩu thường xuyên và khi cần thiết;
f) duy trì một bản ghi các mật khẩu đã sử dụng trước đây và ngăn chặn việc
tái sử dụng (mật khẩu);
g) không hiển thị mật khẩu trên màn hình khi đang được nhập vào;
h) lưu giữ tập tin mật khẩu một cách tách biệt giữa dữ liệu hệ thống ứng
dụng;
i) lưu trữ và truyền tải mật khẩu dưới định dạng được bảo vệ.
Thông tin khác

Vài ứng dụng đòi hỏi người dùng mật khẩu phải được chỉ định bởi một
người có thẩm quyền độc lập, trong những trường hợp như vậy, các điểm b),
d), và e) trong hướng dẫn nói trên không được áp dụng. Trong phần lớn các
trường hợp, mật khẩu là được lựa chọn và duy trì bởi người dùng.
9.4.4 Sử dụng các chương trình tiện ích đặc quyền

Kiểm soát
Việc sử dụng các chương trình tiện ích đặc quyền mà có thể có khả năng
vượt qua các kiểm soát ứng dụng và hệ thống nên được hạn chế và kiểm soat
chặt chẽ.

46 | P a g e
Những hướng dẫn sau đây về việc sử dụng các chương trình tiện ích mà có
thể có khả năng vượt qua các kiểm soát ứng dụng và hệ thống nên được xem
xét:
a) sử dụng các thủ tục xác định, xác minh và ủy quyền đối với các chương
trình tiện ích;
b) phân tách các chương trình tiện ích khỏi các phần mềm ứng dụng;
c) hạn chế việc sử dụng các chương trình tiện ích ở một số tối thiểu những
người dùng thực tế đáng tin cậy và được ủy quyền (xem 9.2.3 );
d) cấp phép cho việc sử dụng đặc biệt các chương trình tiện ích;
e) hạn chế tính sẵn có của các chương trình tiện ích, ví dụ, cho một khoảng
thời gian thay đổi được ủy quyền;
f) ghi nhật ký mọi sử dụng các chương trình tiện ích;
g) xác định và ghi nhận lại các mức độ ủy quyền của các chương trình tiện
ích;
h) hủy bỏ hoặc vô hiệu hóa mọi chương trình tiện ích không cần thiết;
i) không làm cho các chương trình tiện ích trở nên sẵn có đối với người
dùng có quyền truy cập vào các ứng dụng trên các hệ thống nơi mà sự
phân tách nhiệm vụ được yêu cầu.
Thông tin khác

Phần lớn các cài đặt máy tính đều có một hoặc nhiều chương trình tiện ích
mà có khả năng vượt qua các kiểm soát hệ thống và ứng dụng.
9.4.5 Kiểm soát truy cập đối với mã nguồn

Kiểm soát
Truy cập tới mã nguồn chương trình nên bị hạn chế.

Truy cập tới mã nguồn của chương trình và các mục tương ứng (chẳng hạn
như thiết kế, đặc tả kỹ thuật, kế hoạch kiểm tra và kế hoạch thông qua) nên
được kiểm soát chặt chẽ, nhằm ngăn chặn việc giới thiệu trái phép các chức
năng và tránh những thay đổi không chủ đích cũng như để duy trì tính bảo
mật của tài sản sở hữu trí tuệ có giá trị. Đối với mã nguồn phần mềm, điều
này có thể đạt được bằng cách kiểm soát trung tâm lưu trữ mã nguồn, Những
hướng dẫn dưới đây nên được xem xét để kiểm soát truy cập tới những thư
viện phần mềm như vậy nhằm làm giảm khả năng làm gián đoạn các chương
trình máy tính:
a) nếu có thể, các thư viện nguồn của chương trình không nên được xử lý
bởi hệ điều hành;
b) mã nguồn chương trình và các thư viện nguồn chương trình nên được
quản lý tùy thuộc vào các thủ tục đã thiết lập;
c) nhân viên hỗ trợ không nên có quyền truy cập không giới hạn vào các
thư việ nguồn chương trình;
47 | P a g e
d) việc cập nhật các thư viện nguồn chương trình và các mục liên quan và
phát hành mã phần mềm đến các lập trình viên chỉ nên được hoàn thành
sau khi đã nhận được sự ủy quyền thích hợp;
e) các danh sách chương trình nên được giữ trong một môi trường an toàn;
f) một nhật ký kiểm toán nên được duy trì về mọi truy cập tới các thư viện
nguồn chương trình;
g) việc duy trì và sao chép các thư viện nguồn chương trình nên là đối
tượng của thủ tục kiểm soát thay đổi chặt chẽ.
Nếu mã nguồn chương trình được dự định để được công bố, các kiểm soát bổ
sung nhằm giúp đảm bảo tính toàn vẹn của nó (ví dụ chữ ký số) nên được
cân nhắc.
10 Mã hóa
10.1 Kiểm soát mã hóa
Mục tiêu : Để đảm bảo việc sử dụng việc mã hóa đúng đắn và hiệu quả nhằm
bảo vệ tính bảo mật, tính xác thực và/hoặc tính toàn vẹn của thông tin.
10.1.1 Chính sách về việc sử dụng các biện pháp kiểm soát mã hóa
Kiểm soát
Một chính sách về việc sử dụng các biện pháp kiểm soát mã hóa để bảo vệ
thông tin nên được phát triển và triển khai.

Khi phát triển một chính sách mã hóa, những điều dưới đây nên được cân
nhắc:
a) phương pháp tiếp cận quản lý hướng tới việc sử dụng các kiểm soát mã
hóa trong toàn tổ chức, bao gồm các nguyên tắc tổng thể mà theo đó
thông tin kinh doanh nên được bảo vệ;
b) dựa trên một đánh giá rủi ro, mức độ yêu cầu về bảo vệ nên được xác
định có tính đến kiểu, độ mạnh và chất lượng của thuật toán mã hóa yêu
cầu;
c) việc sử dụng mã hóa để bảo vệ thông tin được truyền đi bởi thiết bị di
động hoặc các phương tiện di động hay qua một tuyến giao tiếp;
d) phương pháp tiếp cận quản lý khóa (mã hóa), bao gồm các phương pháp
để xử lý việc bảo vệ các khóa mã hóa và khôi phục thông tin đã được mã
hóa trong trường hợp bị các khóa mất, bị đe dọa hoặc bị hư hỏng;
e) những vai trò và trách nhiệm, chẳng hạn ai là người chịu trách nhiệm về:
1) việc triển khai chính sách;
2) quản lý khóa (mã hóa), bao gồm việc khởi tạo khóa (xem 10.1.2 );
f) các tiêu chuẩn cần được đáp ứng để triển khai một cách hiệu quả trên
toàn bộ tổ chức (giải pháp nào được sử dụng cho quy trình kinh doanh
nào);
g) tác động của việc sử dụng thông tin mã hóa trong các kiểm soát dựa trên
việc xét duyệt nội dung (ví dụ, nhận dạng phần mềm độc hại);
48 | P a g e
Khi triển khai chính sách mã hóa của tổ chức, nên xem xét đến các quy định
và những giới hạn của quốc gia mà có thể áp dụng vào việc sử dụng các kỹ
thuật mã hóa trong những phần khác nhau của thế giới và cho việc phát hành
luồng thông tin được mã hóa xuyên biên giới (xem 18.1.5 ).
Các kiểm soát mã hóa có thể được sử dụng để đạt được các mục tiêu bảo mật
thông tin khác nhau, ví dụ:
a) tính bảo mật: sử dụng mã hóa thông tin để bảo vệ những thông tin nhạy
cảm hoặc quan trọng, bất kể là lưu trữ hay được truyền đi;
b) tính toàn vẹn/xác thực: sử dụng các chữ ký số hoặc thông điệp có chứa
mã xác minh để xác nhận tính xác thực hoặc tính toàn vẹn của thông tin
nhạy cảm hoặc quan trọng được lưu trữ hoặc truyền đi;
c) không thừa nhận: sử dụng các kỹ thuật mã hóa để cung cấp bằng chứng
về một sự kiện hoặc hành động xảy ra hoặc không;
d) tính xác thực: sử dụng các kỹ thuật mã hóa để xác minh người dung và
các thực thể hệ thống khác đang yêu cầu truy cập tới hoặc giao dịch với
người dung hệ thống, thực thể và tài nguyên.
Thông tin khác

Việc đưa ra một quyết định rằng một giải pháp mã hóa có phù hợp hay
không nên được xem như là một phần của quy trình đành giá rủi ro và lựa
chọn các kiểm soát rộng lớn hơn. Sự đánh giá này sau đó có thể được sử
dụng để xác định một kiểm soát mã hóa có phù hợp không, kiểu kiểm soát
nào nên được áp dụng, và cho những mục đích cũng như quy trình kinh
doanh nào.
Một chính sách về việc sử dụng các kiểm soát mã hóa là cần thiết để tối đa
hóa những lợi ích và tối thiểu hóa các rủi ro của việc sử dụng các kỹ thuật
mã hóa và để ngăn chặn việc sử dụng không phù hợp hoặc không đúng đắn.
Nên tìm kiếm lời khuyên từ các chuyên gia khi lựa chọn các kiểm soát mã
hóa phù hợp để đáp ứng các mục tiêu chính sách bảo mật thông tin.
10.1.2 Quản lý khóa (mã hóa)

Kiểm soát
Một chính sách về việc sử dụng, bảo vệ và thời gian sống của các khóa mã
hóa nên được phát triển và triển khai trong toàn bộ vòng đời của chúng.

Chính sách (quản lý khóa mã hóa – người dịch ) nên bao gồm các yêu cầu về
quản lý các khóa mã hóa trong toàn bộ vòng đời của chúng, bao gồm khởi
tạo, lưu trữ, lưu giữ, trích xuất, phân phối, ngưng sử dụng và phá hủy các
khóa mã hóa.
49 | P a g e
Mọi khoác mã hóa nên được bảo vệ khỏi sự điều chỉnh và mất mát. Ngoài ra,
các khóa bí mật và công khai cần sự bảo vệ khỏi việc sử dụng trái phép cũng
như là tiết lộ. Các thiết bị được sử dụng để khởi tạo, lưu trữ và lưu giữ khóa
nên được bảo vệ vật lý.
Một hệ thống quản lý khóa nên dựa trên một bộ các tiêu chuẩn, các thủ tục
và phương pháp bảo mật đã thỏa thuận về:
a) việc khởi tạo khóa cho các hệ thống mã hóa khác nhau và các ứng dụng
khác nhau;
b) phát hành và đạt được các chứng chỉ khóa công cộng;
c) phân phối các khóa đến các thực thể được dự định, bao gồm cách thức
các khóa được kích hoạt như thế nào khi đã nhận được;
d) lưu trữ các khóa, bao gồm cách mà người dung được ủy quyền có thể truy
cập đến khóa như thế nào;
e) thay đổi hoặc cập nhật các khóa, bao gồm các quy tắc khi nào thì các
khóa nên được thay đổi và việc này được thực hiện như thế nào;
f) xử lý các khóa đã bị thỏa hiệp (bị lộ);
g) thu hồi các khóa, bao gồm việc các khóa nên được thu lại hoặc hủy kích
hoạt như thế nào, ví dụ, khi các khóa đã bị lộ hoặc khi người dung rời
khỏi tổ chức (khi đó, các khóa cũng nên được lưu giữ);
h) khôi phục các khóa bị mất hoặc hư hỏng;
i) sao lưu hoặc lưu giữ các khóa;
j) phá hủy các khóa;
k) ghi nhật ký và kiểm toán các hành động liên quan đến quản lý khóa.
Nhằm làm giảm thiểu khả năng sử dụng sai, ngày kích hoạt và hủy kích hoạt
các khóa nên được xác định để từ đó các khóa chỉ có thể được sử dụng trong
khoảng thời gian đã xác định trong chính sách quản lý khóa.
Ngoài ra, để quản lý một các an toàn các khóa bí mật và công khai, tính xác
thực của các khóa công khai cũng nên được xem xét. Quy trình xác thực này
có thể được hoàn tất bằng cách sử dụng các chứng chỉ khóa công khai, thông
thường được phát hành bởi một cơ quan có thẩm quyền cấp chứng chỉ, nên là
một tổ chức được công nhận với các kiểm soát và thủ tục phù hợp có sẵn để
cung cấp các mức độ tin cập cần thiết.
Các thành phần của các thỏa thuận mức dịch vụ hoặc các hợp đồng với các
nhà cung cấp bên ngoài về các dịch vụ mã hóa, chẳng hạn như với một cơ
quan có thẩm quyền cấp chứng chỉ, nên bao hàm các vấn đề về trách nhiệm
pháp lý, độ tin cậy của dịch vụ và thời gian đáp ứng đối với việc cung cấp
dịch vụ (xem 15.2 ).
50 | P a g e
Thông tin khác

Việc quản lý các khóa mã hóa là điều kiện thiết yếu để sử dụng các kỹ thuật
mã hóa một cách hiệu quả. ISO/IEC 11770 ( 2 ) ( 3 ) ( 4 ) cung cấp nhiều thông tin
hơn về quản lý khóa (mã hóa).
Các kỹ thuật mã hóa cũng có thể được sử dụng để bảo vệ các khóa mã hóa.
Các thủ tục có thể cần được xem xét để xử lý các yêu cầu pháp lý để truy
cập tới các khóa mã hóa, ví dụ, thông tin được mã hóa có thể được yêu cầu
cung cấp dưới dạng không mã hóa để làm bằng chứng trước tòa.
11 Bảo mật vật lý và môi trường

Mục tiêu : Để ngăn chặn các truy cập vật lý trái phép, phá hoại và can thiệp
vào thông tin và các thiết bị xử lý thông tin của tổ chức.
11.1.1 Các khu vực an ninh

Kiểm soát
Những phạm vi an ninh nên được định nghĩa và sử dụng để bảo vệ những
khu vực có chứa thông tin và các thiết bị xử lý thông tin nhạy cảm hoặc
quan trọng.

Các phạm vi an ninh nên được xem xét và triển khai tại những nơi thích
đáng cho các phạm vi an ninh vật lý:
a) các phạm vi an ninh nên được định nghĩa, và vị trí cũng như độ mạnh của
mỗi trong một phạm vi nên phụ thuộc vào các yêu cầu an ninh của các tài
sản trong vòng phạm vi và các kết quả của một đánh giá rủi ro;
b) các phạm vi của một tòa nhà hoặc một vị trí có chứa các thiết bị xử lý
thông tin nên được đảm bảo về mặt vật lý (ví dụ, không nên có khoảng
trống trong phạm vi hoặc khu vực nơi mà việc đột nhập có thể xảy ra một
cách dễ dàng); trần mái, tường và sàn nhà nên được xây dựng kiên cố và
các cửa phía ngoài nên được bảo vệ một cách phù hợp chống lại việc truy
cập trái phép với các cơ chế kiểm soát (ví dụ, rào chắn, báo động, khóa);
các cửa và cửa sổ nên được khóa khi vắng mặt và tầng bảo vệ bên ngoài
nên được xem xét cho các cửa sổ, đặc biệt là đối với tầng trệt;
c) một khu vực tiếp tân hoặc phương tiện khác để kiểm soát truy cập vật lý
vào trong vị trí hoặc tòa nhà nên được bố trí, truy cập vào vị trí hoặc tòa
nhà nên được giới hạn chỉ cho những người được ủy quyền;
d) các rào chắn vật lý nên, ở những nơi có thể áp dụng, được xây dựng để
ngăn chặn việc truy cập vật lý trái phép và ô nhiễm môi trường;
e) mọi cửa thoát hiểm chống cháy trong phạm vi an ninh nên được báo
động, giám sát và kiểm tra kết hợp với các bức tường để thiết lập các
mức độ được yêu cầu về mức độ kháng cháy tương ứng với các tiêu chuẩn
phù hợp của vùng, quốc gia và quốc tế, và chúng nên vận hành một cách
tương xứng với các quy tắc phòng cháy chữa cháy địa phương một cách
an toàn;
51 | P a g e
f) các hệ thống phát hiện xâm nhập phù hợp nên được thiết lập theo các tiêu
chuẩn quốc gia, vùng và quốc tế và được kiểm tra thường xuyên để bảo
đảm cho các cửa bên ngoài và các cửa sổ có thể xâm nhập được, các khu
vực không có người nên được báo động mọi lúc, sự đảm bảo cũng nên
được cung cấp cho các khu vực khác, chẳng hạn như phòng máy tính hoặc
phòng truyền thông;
g) các thiết bị xử lý thông tin được quản lý bởi tổ chức nên được tách biệt
về mặt vật lý khỏi những thiết bị được quản lý bởi bên thứ ba bên ngoài
khác.
Thông tin khác

Sự bảo vệ vật lý có thể đạt được bằng việc tạo ra một hoặc nhiều rào cản vật
lý xung quanh các cơ sở của tổ chức và các thiết bị xử lý thông tin. Việc sử
dụng nhiều rào cản cung cấp them sự bảo vệ, khi đó sự thất bại của một rào
cản đơn lẻ không có nghĩa là an ninh bị xâm phạm một cách tức khắc.
Một khu vực an ninh có thể là một văn phòng có thể khóa lại được hoặc
phòng máy chủ được bao quanh bởi một rào cản an ninh vật lý liền lạc. Các
rào cản bổ sung và các phạm vi để kiểm soát truy cập vật lý có thể cần thiết
giữa các khu vực với các yêu cầu an ninh khác nhau bên trong phạm vi an
ninh. Nên đặc biệt chú ý đặc biệt đến an ninh truy cập vật lý trong trường
hợp tòa nhà đang nắm giữ tài sản của nhiều tổ chức.
Việc ứng dụng các kiểm soát vật lý, đặc biệt đối với các khu vực an ninh,
nên được điều chỉnh phù hợp với các điều kiện kinh tế và kỹ thuật của tổ
chức nhu đã được nêu trong đánh giá rủi ro.
11.1.2 Các kiểm soát lối vào vật lý

Kiểm soát
Những khu vực an ninh nên được bảo vệ bởi các kiểm soát lối vào thích hợp
để đảm bảo rằng chỉ có những ai được ủy quyền mới được phép truy cập.

Những hướng dẫn dưới đây nên được xem xét:
a) ngày giờ vào ra của khách thăm nên được ghi lại, và mọi khách thăm nên
được giám sát cho trừ khi việc truy cập của họ đã được phê duyệt trước
đó, họ chỉ nên được cấp quyền truy cập cho những mục đích cụ thể và
được ủy quyền, và nên được ban hành với những hướng dẫn về các yêu
cầu an ninh đối với khu vực và các thủ tục khẩn cấp. Danh tính của khách
thăm nên được xác minh bởi một phương tiện phù hợp;
b) truy cập tới những khu vực nơi mà thông tin bí mật được xử lý hoặc lưu
trữ nên được hạn chế chỉ trong phạm vi những người được ủy quyền bằng
cách triển khai các kiểm soát truy cập tương ứng, ví dụ, bằng cách triển
khai một cơ chế xác minh hai lớp như thẻ truy cập hoặc số PIN bí mật;
52 | P a g e
c) sách nhật ký vật lý hoặc bản dấu vết kiểm toán điện tử về mọi truy cập
nên được duy trì và giám sát một cách an toàn;
d) mọi nhân viên, nhà thầu và các bên thứ ba bên ngoài nên được yêu cầu
trang bị một vài hình thức giấy tờ tùy thân có thể nhìn thấy được và phải
thông báo ngay lập tức cho nhân viên an ninh nếu họ gặp những khách
thăm không được sắp xếp và bấy kỳ ai không mang giấy tờ tùy thân.;
e) nhân viên dịch vụ hỗ trợ của bên ngoài nên được cấp quyền truy cập giới
hạn vào những khu vực an ninh hoặc các thiết bị xử lý thông tin chỉ khi
được yêu cầu, việc truy cập này nên được ủy quyền và giám sát;
f) quyền truy cập vào những khu vực an ninh nên được xem xét và cập nhật
thường xuyên, và được thu hồi khi cần thiết (xem 9.2.5 và 9.2.6 ).
11.1.3 Bảo mật các văn phòng, phòng (làm việc) và thiết bị
Kiểm soát
An ninh vật lý cho các văn phòng, phòng làm việc và các thiết bị nên được
xác định và áp dụng.

Những hướng dẫn dưới đây nên được cân nhắc để bảo mật các văn phòng,
phòng làm việc và các thiết bị:
a) các thiết bị chính yếu nên được xác định vị trí để ngăn ngừa việc truy cập
công cộng;
b) nếu có thể, các tòa nhà không nên phô trương và đưa ra các biểu lộ về
mục đích của chúng, không có các dấu hiệu rõ ràng, kể cả bên ngoài hoặc
bên trong, cho thấy sự hiện diện của các hoạt động xử lý thông tin;
c) các phương tiện ( xử lý thông tin – người dịch ) nên được thiết lập cấu
hình để ngăn chặn thông tin hoặc những hoạt động mật có thể nhìn thấy
và nghe được từ bên ngoài. Trường điện từ bảo vệ cũng nên được cân
nhắc khi thích hợp;
d) các thư mục và danh bạ điện thoại nội bộ xác định vị trí của các phương
tiện xử lý thông tin mật không nên có thể đọc được bởi bất kỳ cá nhân
trái phép nào.
11.1.4 Bảo vệ chống lại các mối đe dọa từ bên ngoài và từ môi trường
Kiểm soát
Sự bảo vệ vật lý chống lại những thảm họa tự nhiên, tấn công độc hại hoặc
những tai nạn nên được thiết kế và áp dụng.

Nên tham vấn lời khuyên từ các chuyên gia về cách ngăn ngừa thiệt hại từ
hỏa hoạn, lũ lụt, động đất, nổ, bất ổn dân sự và các hình thức thảm họa tự
nhiên hoặc do con người gây ra khác.
53 | P a g e
11.1.5 Làm việc trong các khu vực an ninh

Kiểm soát
Các thủ tục về việc làm việc trong các khu vực an ninh nên được thiết kế và
áp dụng.

Những hướng dẫn sau đây nên được xem xét:
a) nhân viên chỉ nên được biết về sự tồn tại của, và các hành động trong
phạm vi, của một khu vực an ninh trên cơ sở cần-được-biết ( không phổ
biến rộng rãi về các khu vực an ninh – người dịch );
b) làm việc tại những khu vực an ninh mà không có sự giám sát nên được
hạn chế cho những lý do an toàn và để ngăn chặn cơ hội cho những hành
động ác ý;
c) những khoảng trống trong các khu vực an ninh nên được khóa lại và xem
xét định kỳ;
d) chụp ảnh, quay phim, ghi âm và các thiết bị ghi khác, chẳng hạn như máy
quay trên các thiết bị di động, nên bị cấm, trừ khi được ủy quyền.
Sự sắp xếp để làm việc trong các khu vực an ninh bao gồm các kiểm soát đối
với nhân viên và người dung thuộc bên thứ ba bên ngoài làm việc trong khu
vực an ninh và sự sắp xếp này bao hàm mọi hành động diễn ra trong khu vực
an ninh.
11.1.6 Khu vực giao hàng và bốc hàng

Kiểm soát
Các điểm truy cập như khu vực bốc dỡ hang hóa và các điểm khác nơi mà
những người không được phép có thể đi vào trong nên được kiểm soát và,
nếu có thể, được cô lập khỏi các thiết bị xử lý thông tin để ngăn chặn việc
truy cập trái phép.

Những hướng dẫn dưới đây nên được xem xét:
a) việc truy cập và khu vực bốc dỡ hang hóa từ bên ngoài tòa nhà nên được
hạn chế chỉ cho những nhân viên đã được xác định và ủy quyền;
b) khu vực bốc dỡ hang hóa nên được thiết kế sao cho việc cung cấp ( hang
hóa – người dịch ) có thể được bốc dỡ mà nhân viên giao hàng không cần
phải truy cập vào các phần khác của tòa nhà;
c) các cửa bên ngoài của khu vực bốc dỡ hang hóa nên được bảo mật khi các
cửa bên trong được mở ra;
d) hang hóa đến nên được kiểm tra và xem xét để tìm kiếm chất nổ, hóa chất
hoặc các vật liệu nguy hiểm khác trước khi nó được chuyển đến khu vực
bốc dỡ hang hóa;
e) hang hóa đến cũng nên được đăng ký một cách tương ứng với các thủ tục
quản lý tài sản (xem Điều 8) trước khi được mang vào vị trí;
f) các lô hàng đến và đi nên được tách biệt về mặt vật lý, nếu có thể;
54 | P a g e
g) hàng hoá đến nên được kiểm tra để tìm kiếm bằng chứng về sự giả mạo
trên đường đi. Nếu sự giả mạo bị phát hiện, nên báo cáo ngay lập tức cho
nhân viên an ninh.
11.2 Thiết bị
Mục tiêu : Để ngăn ngừa sự mất mát, hư hỏng, mất cắp hoặc thoả hiệp của tải
sản và sự gián đoạn trong vận hành của tổ chức.
11.2.1 Định vị và bảo vệ thiết bị

Kiểm soát
Các thiết bị nên được xác định vị trí và bảo vệ để giảm thiểu các rủi ro từ
các mối đe doạ và nguy hiểm từ môi trường, và các cơ hội truy cập trái
phép.

Những hướng dẫn dưới đây nên được xem xét để bảo vệ thiết bị:
a) thiết bị nên được định vị để tối thiểu hoá sự truy cập trái phép vào khu
vực làm việc;
b) các thiết bị xử lý thông tin đang xử lý những thông tin nhạy cảm nên
được xác định vị trí một cách cẩn thận để giảm thiểu rủi ro thông tin bị
xem bởi nhân viên không được uỷ quyền trong quá trình sử dụng chúng;
c) các thiết bị lưu trữ nên được bảo mật để ngăn ngừa truy cập trái phép;
d) các mục đòi hỏi sự bảo vệ đặc biệt nên được bảo vệ để làm giảm mức độ
bào vệ tổng thể cần thiết;
e) các kiểm soát nên được áp dụng để làm giảm thiểu rủi ro tiềm tang của
các nguy cơ vật lý và môi trường, ví dụ, trộm cắp, hoả hoạn, cháy nổ,
khói, nước (hoặc hệ thống cung cấp nước bị lỗi), bụi, độ rung, hiệu ứng
hoá học, nguồn cấp điện bị nhiễu, truyền thông bị nhiễu, bức xạ điện từ
và phá hoại;
f) các hướng dẫn về việc ăn, uống và hút thuốc lá trong khu vực gần với các
thiết bị xử lý thông tin nên được thiết lập;
g) các điều kiện môi trường, chẳng hạn như nhiệt độ và độ ẩm, nên được
giám sát các điều kiện có thể ảnh hưởng xấu tới hoạt động của các thiết
bị xử lý thông tin;
h) bảo vệ chống sét nên được áp dụng cho mọi toà nhà và các bộ lọc chống
sét nên được lắp đặt cho mọi tuyến cung cấp điện và tín hiệu viễn thông
liên lạc;
i) việc sử dụng các phương pháp bảo vệ đặc biệt, chẳng hạn như các màng
mỏng bảo vệ bàn phím, nên được cân nhắc cho các thiết bị trong môi
trường công nghiệp;
j) các thiết bị xử lý thông tin bí mật nên được bảo vệ để tối thiểu hoá rủi ro
từ việc thông tin bị rò rỉ do bức xạ điện từ.
55 | P a g e
11.2.2 Các tiện ích hỗ trợ

Kiểm soát
Thiết bị nên được bảo vệ khỏi các sự cố về nguồn điện và các gián đoạn
khác gây ra bởi thất bại của các tiện ích hỗ trợ.

Các tiện ích hỗ trợ (ví dụ, điện, liên lạc viễn thông, cấp nước, gas, nước
thải, thông gió và điều hoà không khí) nên:
a) tuân thủ các đặc tả kỹ thuật từ nhà sản xuất thiết bị và các quy định của
địa phương;
b) được đánh giá thường xuyên về công suất của chúng để đáp ứng được sự
phát triển của doanh nghiệp và sự tương tác với các tiện ích hỗ trợ khác;
c) được kiểm tra và kiểm nghiệm thường xuyên để đảm bảo các chức năng
hoạt động đúng đắn;
d) nếu cần thiết, được cảnh báo khi phát hiện ra trục trặc;
e) nếu cần thiết, có nhiều nguồn cung cấp với định tuyến vật lý đa dạng.
Nên cung cấp hệ thống đèn và kênh liên lạc khẩn cấp. Các công tắc khẩn cấp
để ngắt nguồn điện, nước, gas hoặc các tiện ích nên được bố trí gần lối thoát
hiểm hoặc trong phòng thiết bị.
Thông tin khác

Dự phòng bổ sung cho các kết nối mạng có thể đạt được bằng nhiều định
tuyến từ nhiều nhà cung cấp tiện ích khác nhau.
11.2.3 Bảo mật cáp

Kiểm soát
Cáp nguồn điện và cáp viễn thông liên lạc truyền tải dữ liệu hoặc hỗ trợ các
dịch vụ thông tin nên được bảo vệ khỏi sự đánh chặn, xen ngang hoặc phá
hoại.

Những hướng dẫn dưới đây về bảo mật cáp nên được xem xét:
a) các đường nguồn điện và viễn thông đi vào các thiết bị xử lý thông tin
nên được lắp đặt ngầm dưới đất nếu có thể hoặc có các biện pháp bảo vệ
thay thế đầy đủ;
b) cáp nguồn điện nên được tách biệt khỏi cáp viễn thông để ngăn ngừa việc
bị nhiễu tín hiệu (viễn thông);
c) đối với các hệ thống nhạy cảm hoặc quan trọng, các kiểm soát thêm cần
xem xét bao gồm:
1) lắp đặt ống dẫn bọc thép và các phòng được khóa hoặc các hộp tại
các điểm kiểm tra và điểm cuối;
2) sử dụng chống nhiễu điện từ để bảo vệ cáp;
3) bắt đầu rà soát kỹ thuật và kiểm tra vật lý để phát hiện các thiết bị
trái phép được gắn vào cáp;
56 | P a g e
4) truy cập có kiểm soát vào phòng cáp và các bảng patch panel.
11.2.4 Bảo trì thiết bị

Kiểm soát
Thiết bị nên được bảo trì một cách đúng đắn để đảm bảo tính sẵn sàng và
toàn vẹn liên tục của nó.

Các hướng dẫn dưới đây về việc bảo trì thiết bị nên được xem xét:
a) thiết bị nên được bảo trì một cách thích đáng với các khuyến nghị về
khoảng thời gian dịch vụ và thông số kỹ thuật từ nhà cung cấp;
b) chỉ có nhân viên bảo trì được ủy quyền mới được phép sửa chữa và bảo
trì thiết bị;
c) nên lưu giữ hồ sơ về tất cả các lỗi nghi ngờ hoặc lỗi thực tế, và về tất cả
các biện pháp bảo trì ngăn ngừa và khắc phục;
d) các kiểm soát phù hợp nên được triển khai khi thiết bị đã được lập lịch
bảo trì, có tính đến yếu tố rằng việc bảo trì được thực hiện bởi nhân viên
tại chỗ hoặc bên ngoài tổ chức, khi cần thiết, nhũng thông tin mật nên
được xóa bỏ khỏi thiết bị hoặc nhân viên bảo trì nên được phổ biến rõ
ràng một cách đầy đủ;
e) mọi yêu cầu bảo trì được áp đặt bởi các chính sách bảo hiểm nên được
tuân thủ;
f) trước khi đưa thiết bị vận hành trở lại sau khi bảo trì, nó nên được kiểm
tra để đảm bảo rằng thiết bị đã không bị can thiệp và không gặp trục trặc;
11.2.5 Di chuyển tài sản

Kiểm soát
Thiết bị, thông tin hoặc phần mềm không nên được mang ra khỏi văn phòng
tổ chức mà không được ủy quyền trước.

Các hướng dẫn dưới đây nên được xem xét:
a) nhân viên và người dùng thuộc bên thứ ba bên ngoài có thẩm quyền để
được phép mang tài sản ra khỏi văn phòng tổ chức nên được xác định;
b) giới hạn thời gian cho việc di chuyển tài sản phải được thiết lập và sự
hoàn trả được xác minh để tuân thủ;
c) khi cần thiết và phù hợp, tài sản nên được ghi hồ sơ lại khi di chuyển ra
khỏi văn phòng tổ chức và được ghi lại khi hoàn trả;
d) danh tính, vai trò và mối quan hệ của bất kỳ ai xử lý hoặc sử dụng tài sản
nên được ghi lại thành văn bản và văn bản này được trả lại cùng với thiết
bị, thông tin hoặc phần mềm.
Thông tin khác

Các kiểm tra tại chỗ, được thực hiện để phát hiện việc di chuyển trái phép
tài sản, cũng có thể được tiến hành để phát hiện các thiết bị ghi âm trái
57 | P a g e
phép, vũ khí, v.v... và ngăn chặn việc chúng vào và ra khỏi văn phòng tổ
chức. Việc kiểm tra tại chỗ như vậy cần được thực hiện theo luật và quy
định có liên quan. Các cá nhân nên nhận thức được rằng việc kiểm tra tại
chỗ được thực hiện và việc xác minh chỉ nên được thực hiện khi có sự cho
phép phù hợp với các yêu cầu pháp lý và quy định.
11.2.6 Bảo mật thiết bị và tài sản bên ngoài cơ sở

Kiểm soát
Bảo mật nên được áp dụng cho các tài sản bên ngoài cơ sở, có tính đến các
rủi ro khác nhau của việc làm việc bên ngoài phạm vi các cơ sở của tổ chức.

Việc sử dụng bất kỳ thiết bị lưu trữ và xử lý thông tin nào bên ngoài phạm
vi các cơ sở của tổ chức nên được ủy quyền bởi cấp quản lý. Điều này áp
dụng cho thiết bị được sở hữu bởi tổ chức và những thiết bị thuộc sở hữu cá
nhân và được sử dụng với sự ủy quyền của tổ chức.
Những hướng dẫn dưới đây nên được xem xét để bảo vệ các thiết bị bên
ngoài (phạm vi) tổ chức:
a) các thiết bị và phương tiện được mang ra ngoài phạm vi tổ chức không
nên bị bỏ mặc ở những nơi công cộng;
b) các hướng dẫn của nhà sản xuất về việc bảo vệ thiết bị nên được tuân thủ
mọi thời điểm, ví dụ, bảo vệ chống tiếp xúc với các trường điện từ mạnh;
c) các kiểm soát đối với các địa điểm ngoài (phạm vi) cơ sở của tổ chức
chẳng hạn như những địa điểm làm việc ở nhà, làm việc từ xa và các địa
điểm tạm thời nên được xác định bằng một quy trình đánh giá rủi ro và
các kiểm soát phù hợp nếu thích đáng, ví dụ, các tủ hồ sơ có thể khóa lại
được, chính sách bàn làm việc gọn gàng, các kiểm soát truy cập máy tính
và bảo mật truyền thông với văn phòng (tổ chức) (xem thêm ISO/IEC
27033 ( 1 5 ) ( 1 6 ) ( 1 7 ) ( 1 8 ) ( 1 9 ) );
d) khi thiết bị bên ngoài phạm vi các cơ sở được luân chuyển giữa các cá
nhân hoặc bên thứ ba bên ngoài, một nhật ký nên được duy trì để xác
định chuỗi hành trình của sản phẩm bao gồm ít nhất tên và tổ chức của
những người chịu trách nhiệm về thiết bị.
Những rủi ro, ví dụ như hư hỏng, mất cắp hoặc bị nghe trộm, có thể khác
nhau đáng kể giữa các vị trị và nên được tính đến khi xác định các kiểm soát
phù hợp nhất.
Thông tin khác

Thiết bị lưu trữ và xử lý thông tin bao gồm mọi hình thức máy tính cá nhân,
máy của tổ chức, điện thoại di động, thẻ thông minh, giấy hoặc các hình
thức khác được lưu giữ để làm việc tại nhà hoặc được chuyển ra khỏi địa
điểm làm việc bình thường.
58 | P a g e
Thông tin thêm về các khía cạnh khác trong bảo vệ các thiết bị di động có
thể tìm thấy trong mục 6.2 .
Có thể thích hợp để tránh rủi ro bằng cách không khuyến khích một số nhân
viên làm việc từ xa hoặc hạn chế việc sử dụng các thiết bị CNTT di động
của họ.
11.2.7 Bảo mật thiết bị được loại bỏ hoặc tái sử dụng

Kiểm soát
Tất cả các hạng mục của thiết bị có chứa phương tiện lưu trữ nên được xác
minh để đảm bảo rằng mọi dữ liệu nhạy cảm và các phần mềm đã được cấp
phép đã bị xóa hoặc ghi đè lên một cách an toàn trước khi loại bỏ hoặc tái
sử dụng.

Thiết bị phải được xác minh để đảm bảo có hay không phương tiện lưu trữ
trước khi loại bỏ hoặc tái sử dụng.
Phương tiện lưu trữ có chứa thông tin bí mật hoặc có bản quyền nên bị phá
hủy về mặt vật lý hoặc thông tin nên bị phá hủy, xóa hoặc ghi đè bằng các
kỹ thuật làm cho thông tin gốc không thể truy xuất được thay vì sử dụng các
chức năng xóa hoặc định dạng tiêu chuẩn
Thông tin khác

Thiết bị đã bị hư hỏng có chứa phương tiện lưu trữ có thể đòi hỏi sự đánh
giá rủi ro để xác định xem các hạng mục đó nên được phá hủy vật lý hay
không thay vì gửi đi sửa chữa hoặc vứt bỏ. Thông tin có thể bị xâm phạm
thông qua việc loại bỏ hoặc tái sử dụng thiết bị một cách bất cẩn.
Ngoài việc xóa ổ đĩa an toàn, mã hóa toàn bộ ổ đĩa làm giảm nguy cơ bị lộ
thông tin bí mật khi thiết bị bị loại bỏ hoặc triển khai lại, miễn là:
a) quy trình mã hóa đủ mạnh và bao phủ toàn bộ ổ đĩa (bao gồm cả dung
lượng chùng, các tập tin hoán đổi, v.v...);
b) các khóa mã hóa đủ dài để chống lại các cuộc tấn công kiểu brute force;
c) tự bản thân các khóa mã hóa giữ được bí mật (ví dụ: không bao giờ được
lưu trữ trên cùng một đĩa).
Để được tư vấn thêm về mã hóa, hãy xem Điều 10 .
Các kỹ thuật ghi đè an toàn lên phương tiện lưu trữ là khác nhau tùy theo
công nghệ phương tiện lưu trữ. Các công cụ ghi đè nên được xem xét để đảm
bảo rằng chúng có thể áp dụng cho công nghệ của phương tiện lưu trữ.
59 | P a g e
11.2.8 Thiết bị vắng mặ người dùng

Kiểm soát
Người dùng nên đảm bảo rằng các thiết bị vắng mặt (người dùng) được bảo
vệ thích hợp.

Mọi người dùng nên được trang bị nhận thức về các yêu cầu bảo mật và các
thủ tục bảo vệ những thiết bị vắng mặt (người dùng), cũng như là trách
nhiệm của họ trong việc triển khai các biện pháp bảo vệ như vậy. Người
dùng nên được khuyến cáo để:
a) chấm dứt phiên ( làm việc – người dịch ) đang hoạt động khi đã kết thúc
(công việc – người dịch ), trừ khi chúng có thể được bảo vệ bằng một cơ
chế khóa phù hợp, ví dụ, mật khẩu bảo vệ màn hình chờ;
b) đăng xuất khỏi ứng dụng hoặc dịch vụ mạng khi không cần thiết;
c) bảo mật máy tính hoặc các thiết bị di động khỏi việc sử dụng trái phép
bằng cách khóa phím hoặc kiểm soát tương đương, ví dụ, mật khẩu truy
cập, khi không sử dụng.
11.2.9 Chính sách bàn làm việc và màn hình gọn gàng
Kiểm soát
Một chính sách bàn làm việc gọn gàng đối với các giấy tờ và phương tiện
lưu trữ di động và một chính sách màn hình gọn gàng đối với các thiết bị xử
lý thông tin nên được thông qua.

Chính sách bàn làm việc và màn hình gọn gàng nên tính đến sự phân loại
thông tin (xem 8.2 ), các yêu cầu luật lệ và hợp đồng (xem 18.1 ) và các rủi
ro tương ứng cũng như các khía cạnh văn hóa của tổ chức. Những hướng dẫn
dưới đây nên được xem xét:
a) những thông tin nhạy cảm hoặc quan trọng với tổ chức, ví dụ trên giấy
hoặc phương tiện lưu trữ điện tử, nên được khóa lại (lý tưởng nhất là
trong két sắt hoặc các hình thức đồ đạc an ninh khác) khi không cần đến,
đặc biệt là khi văn phòng bị bỏ trống;
b) các máy tính và các thiết bị đầu cuối nên được đăng xuất hoặc bảo vệ với
một cơ chế khóa màn hình và bàn phím được kiểm soát bởi mật khẩu,
token hoặc cơ chế xác minh người dùng tương tự khi vắng mặt (người
dùng) và nên được bảo vệ bởi khóa phím, mật khẩu hoặc các kiểm soát
khác khi không sử dụng;
c) việc sử dụng trái phép máy photocopy và các công nghệ tái tạo khác (ví
dụ như máy quét, máy ảnh kỹ thuật số) nên được ngăn chặn;
d) các phương tiện có chứa thông tin nhạy cảm hoặc đã được phân loại nên
được chuyển ra khỏi máy in ngay lập tức.
Thông tin khác
60 | P a g e
Một chính sách bàn làm việc/màn hình gọn gàng làm giảm rủi ro từ việc sử
dụng trái phép, mất mát hoặc hư hỏng đối với thông tin trong và ngoài giờ
làm việc thông thường. Két sắt và các hình thức khác của phương tiện lưu
trữ an toàn cũng có thể bảo vệ thông tin được lưu trữ để chống lại các thảm
họa như hỏa hoạn, động đất, lũ lụt và cháy nổ.
Hãy xem xét việc sử dụng các máy in với chức năng mã PIN, từ đó những
người khởi tạo là những người duy nhất có thể nhận được bản in của họ và
chỉ khi họ đứng ngay cạnh máy in.
12 Bảo mật vận hành

12.1 Các thủ tục và trách nhiệm vận hành
Mục tiêu : Để đảm bảo sự vận hành đúng đắn và an toàn của các hoạt động
của các thiết bị xử lý thông tin.
12.1.1 Các thủ tục và trách nhiệm vận hành

Kiểm soát
Các thủ tục vận hành nên được lập thành văn bản và đảm bảo có sẵn cho mọi
người dùng cần đến chúng.

Các thủ tục được lập thành văn bản nên được chuẩn bị cho các hoạt động
vận hành tương ứng với các thiết bị xử lý thông tin và truyền thông, chẳng
hạn như thủ tục khởi động và đóng máy tính, sao lưu, bảo trì thiết bị, xử lý
phương tiện, quản lý phòng máy tính và xử lý thư từ và an toàn.
Các thủ tục vận hành nên chỉ định các hướng dẫn vận hành, bao gồm
a) cài đặt và thiết lập cấu hình các hệ thống;
b) quản lý và xử lý thông tin bằng cả hai hình thức tự động và thủ công;
c) sao lưu (xem 12.3 );
d) các yêu cầu lập lịch biểu, bao gồm sự phụ thuộc lẫn nhau giữa các hệ
thống, thời điểm hoàn thành các công việc bắt đầu sớm nhất và muộn
nhất;
e) các hướng dẫn xử lý lỗi hoặc các điều kiện loại trừ khác mà có thể phát
sinh ra trong quá trình thực hiện công việc, bao gồm các hạn chế về việc
sử dụng các tiện ích hệ thống (xem 9.4.4 );
f) các liên hệ hỗ trợ và leo thang bao gồm các liên hệ hỗ trợ bên ngoài
trong trường hợp có khó khăn kỹ thuật hoặc không mong đợi trong vận
hành;
g) các hướng dẫn xử lý đầu ra và phương tiện đặc biệt, chẳng hạn như sử
dụng các văn phòng phẩm đặc biệt hoặc quản lý đầu ra bí mật bao gồm
các thủ tục loại bỏ an toàn các đầu ra từ các công việc thất bại (xem 8.3
và 11.2.7 );
h) các thủ tục khởi động và khôi phục hệ thống sử dụng trong trường hợp hệ
thống bị lỗi;
61 | P a g e
i) quản lý các dấu vết kiểm toán và thông tin nhật ký hệ thống (xem 12.4 );
j) các thủ tục giám sát.
Các thủ tục vận hành và các thủ tục được lập thành văn bản cho các hoạt
động hệ thống nên được coi là các tài liệu chính thức và các thay đổi được
ủy quyền bởi cấp quản lý. Khi khả thi về mặt kỹ thuật, các hệ thống thông
tin nên được quản lý một cách nhất quán, sử dụng cùng các thủ tục, công cụ
và tiện ích.
12.1.2 Quản lý thay đổi

Kiểm soát
Các thay đổi đối với tổ chức, quy trình kinh doanh, các thiết bị và hệ thống
xử lý thông tin gây ảnh hưởng đến bảo mật thông tin nên được kiểm soát.

Đặc biệt, những mục dưới đây nên được xem xét:
a) xác định và ghi lại các thay đổi quan trọng;
b) hoạch định và kiểm tra các thay đổi;
c) đánh giá các tác động tiềm năng, bao gồm các tác động bảo mật thông tin
của những thay đổi như vậy;
d) thủ tục phê duyệt chính thức các thay đổi được đề xuất;
e) xác minh rằng các yêu cầu bảo mật thông tin đã được đáp ứng;
f) truyền thông về các chi tiết thay đổi đến toàn bộ những người liên quan;
g) các thủ tục dự phòng, bao gồm các thủ tục và trách nhiệm cho việc hủy
bỏ và khôi phục từ những thay đổi không thành công và các sự kiện bất
ngờ;
h) cung cấp một quy trình thay đổi khẩn cấp để cho phép triển khai nhanh
chóng và có kiểm soát những thay đổi cần thiết để giải quyết một sự cố
(xem 16.1 );
Trách nhiệm và các thủ tục quản lý chính thức nên sẵn sàng để đảm bảo
kiểm soát thỏa đáng mọi thay đổi. Khi các thay đổi được thực hiện, một nhật
ký kiểm toán chứa mọi thông tin liên quan nên được lưu giữ.
Thông tin khác

Kiểm soát không thích đáng đối với các hệ thống và thiết bị xử lý thông tin
là một nguyên nhân phổ biến của lỗi hệ thống hoặc bảo mật. Những thay đổi
trong môi trường vận hành, đặc biệt khi chuyển đổi một hệ thống từ giai
đoạn phát triển sang vận hành, có thể ảnh hưởng đến độ tin cậy của các ứng
dụng (xem 14.2.2 ).
12.1.3 Quản lý năng lực

Kiểm soát
Việc sử dụng các tài nguyên nên được giám sát, điều chỉnh và dự đoán các
yêu cầu về năng lực trong tương lai để đảm bảo hiệu suất hệ thống được yêu
cầu.
62 | P a g e

Các yêu cầu về năng lực nên được xác định, có tính đến mức độ quan trọng
đối với tổ chức của hệ thống liên quan. Việc điều chỉnh và giám sát hệ thống
nên được áp dụng để đảm bảo và, nếu cần thiết, cải thiện tính sẵn sàng và
hiệu quả của các hệ thống. Các kiểm soát nhận diện nên được đưa ra để xác
định các vấn đề trong thời gian thích hợp. Việc dự đoán các yêu cầu về năng
lực trong tương lai phải tính đến các yêu cầu mới của hệ thống và kinh
doanh cũng như các xu hướng hiện tại và được dự đoán về năng lực xử lý
thông tin của tổ chức.
Cần đặc biệt chú ý đến bất kỳ nguồn lực nào có thời gian mua sắm kéo dài
hoặc có chi phí cao; do đó các nhà quản lý nên giám sát việc sử dụng các tài
nguyên hệ thống chính yếu. Họ nên xác định xu hướng sử dụng, đặc biệt là
liên quan đến các ứng dụng kinh doanh hoặc các công cụ quản lý hệ thống
thông tin.
Các nhà quản lý nên sử dụng thông tin này để xác định và tránh các tắc
nghẽn tiềm ẩn và sự phụ thuộc vào nhân sự chủ chốt có thể gây ra mối đe
dọa đối với bảo mật hệ thống hoặc các dịch vụ, đồng thời lên kế hoạch hành
động phù hợp.
Việc cung cấp đủ công suất có thể đạt được bằng cách gia tăng năng lực
hoặc giảm nhu cầu. Ví dụ về quản lý nhu cầu năng lực bao gồm:
a) xóa bỏ dữ liệu lỗi thời (không gian đĩa);
b) loại bỏ các ứng dụng, hệ thống, cơ sở dữ liệu hoặc môi trường;
c) tối ưu hóa các quy trình và lịch biểu các kịch bản lập trình lô;
d) tối ưu hóa logic ứng dụng hoặc truy vấn cơ sở dữ liệu;
e) từ chối hoặc hạn chế băng thông cho các dịch vụ đói-tài nguyên nếu
chúng không quá quan trọng đối với tổ chức (ví dụ như video streaming).
Kế hoạch quản lý năng lực được lập thành văn bản nên được xem xét đối với
các hệ thống có nhiệm vụ quan trọng.
Thông tin khác

Kiểm soát này cũng đề cập đến năng lực của nguồn nhân lực cũng như văn
phòng và cơ sở vật chất.
12.1.4 Phân tách các môi trường phát triển, kiểm thử và vận hành
Kiểm soát
Các môi trường phát triển, kiểm thử và vận hành nên được tách riêng để
giảm thiểu rủi ro về sự truy cập trái phép hoặc thay đổi trong môi trường
vận hành.
63 | P a g e

Mức độ phân tách giữa môi trường vận hành, kiểm thử và phát triển mà cần
thiết để ngăn ngừa các vấn đề trong vận hành nên được xác định và triển
khai.
Những mục dưới đây nên được xem xét:

a) các quy tắc chuyển đổi phần mềm từ trạng thái phát triển sang vận hành
nên được định nghĩa và ghi lại;
b) các phần mềm phát triển và vận hành nên được chạy trên các hệ thống
hoặc các máy tính vi xử lý khác nhau và trong trong các khu vực hoặc
thư mục khác nhau;
c) những thay đổi trong hệ thống và ứng dụng vận hành nên được kiểm thử
trong môi trường kiểm nghiệm trước khi được áp dụng cho các hệ thống
vận hành;
d) ngoại trừ những trường hợp ngoại lệ, việc kiểm nghiệm không nên được
thực hiện trên các hệ thống vận hành;
e) trình biên dịch, soạn thảo và các công cụ hoặc hệ thống phát triển khác
không nên có thể được truy cập từ các hệ thống vận hành nếu không cần
thiết;
f) người dùng nên sử dụng các biên dạng người dùng khác nhau cho các hệ
thống vận hành và kiểm thử, và trình thực đơn nên hiển thị các thông
điệp nhận dạng khác nhau để giảm thiểu nguy cơ lỗi;
g) những dữ liệu nhạy cảm không nên được sao chép vào môi trường hệ
thống kiểm nghiệm trừ khi các kiểm soát tương đương được cung cấp cho
hệ thống kiểm nghiệm (xem 14.3 ).
Thông tin khác

Những hoạt động phát triển và thử nghiệm có thể gây ra các vấn đề nghiêm
trọng, ví dụ những điều chỉnh không mong muốn các tập tin hoặc môi trường
hệ thống hoặc lỗi hệ thống. Cần phải duy trì một môi trường ổn định và đã
biết để thực hiện thử nghiệm có ý nghĩa và ngăn chặn quyền truy cập không
thích hợp của nhà phát triển vào môi trường vận hành.
Khi nhân viên phát triển và kiểm thử có quyền truy cập vào hệ thống và
thông tin vận hành, họ có thể đưa ra mã (lập trình) trái phép và chưa được
kiểm tra hoặc thay đổi dữ liệu vận hành. Trên một số hệ thống, khả năng này
có thể bị lạm dụng để thực hiện hành vi gian lận hoặc giới thiệu mã độc hại
hoặc chưa được kiểm tra, có thể gây ra các sự cố vận hành nghiêm trọng.
Nhân viên phát triển và kiểm thử cũng gây ra mối đe dọa đối với tính bảo
mật của thông tin vận hành. Các hoạt động phát triển và thử nghiệm có thể
gây ra những thay đổi ngoài ý muốn đối với phần mềm hoặc thông tin nếu
chúng chia sẻ cùng một môi trường máy tính. Do đó, việc tách biệt môi
trường phát triển, kiểm thử và vận hành là thỏa đáng để làm giảm nguy cơ
64 | P a g e
thay đổi ngẫu nhiên hoặc truy cập trái phép vào phần mềm vận hành và dữ
liệu kinh doanh (xem 14.3 về bảo vệ dữ liệu thử nghiệm).
12.2 Bảo vệ khỏi phần mềm độc hại

Mục tiêu : Để đảm bảo rằng thông tin và các thiết bị xử lý thông tin được bảo
vệ khỏi các chương trình độc hại.
12.2.1 Các kiểm soát chống lại phần mềm độc hại
Kiểm soát
Các kiểm soát nhận diện, ngăn ngừa và khôi phục để bảo vệ chống lại các
phần mềm độc hại nên được triển khai, kết hợp với sự nâng cao nhận thức
người dùng phù hợp.

Bảo vệ chống lại phần mềm độc hại nên dựa trên sự nhận diện phần mềm độc
hại và các phần mềm sửa lỗi, nâng cao nhận thức bảo mật thông tin và truy
cập hệ thống thích hợp và các kiểm soát quản lý thay đổi. Những hướng dẫn
dưới đây nên được xem xét:
a) thiết lập một chính sách chính thức ngăn cấm việc sử dụng các phần mềm
trái phép (xem 12.6.2 và 14.2 );
b) triển khai các kiểm soát ngăn chặn hoặc nhận diện việc sử dụng phần
mềm trái phép (ví dụ, danh sách ứng dụng trắng);
c) triển khai các kiểm soát ngăn ngừa hoặc nhận diện việc sử dụng các trang
web độc hại đã biết hoặc bị nghi ngờ (ví dụ, danh sách đen);
d) thiết lập một chính sách chính thức để bảo vệ khỏi các rủi ro tương ứng
với việc có được các tập tin hoặc phần mềm từ hoặc qua hệ thống mạng
bên ngoài hoặc trên bất kỳ phương tiện nào khác, chỉ định các biện pháp
bảo vệ nên được thực hiện;
e) giảm thiểu các lỗ hổng mà có thể bị khai thác bởi phần mềm độc hại, ví
dụ như qua quản lý các lỗ hổng kỹ thuật (xem 12.6 );
f) thực hiện việc xem xét thường xuyên các phần mềm và thành phần dữ
liệu hỗ trợ cho các quy trình kinh doanh quan trọng, sự hiện diện của bất
kỳ tập tin chưa được phê duyệt hoặc những điều chỉnh trái phép nên được
điều tra một cách chính thức;
g) việc cài đặt và cập nhật thường xuyên phần mềm nhận diện mã độc và
phần mềm sửa lỗi để quét các máy tính và phương tiện như là một biện
pháp kiểm soát phòng ngừa, hoặc theo cơ sở định kỳ, và quá trình quét
được thực hiện nên bao gồm:
1) quét bất kỳ tập tin nhận được qua hệ thống mạng hoặc dưới bất kỳ
hình thức phương tiện lưu trữ nào, để phát hiện phần mềm độc hại
trước khi sử dụng;
2) quét các tập tin đính kèm trong thư điện tử và các tập tin tải về để
phát hiện phần mềm độc hại trước khi sử dụng, việc này nên được
thực hiện trên các khu vực khác nhau, ví dụ tại máy chủ thư điện
tử, máy tính để bàn và khi đi vào hệ thống mạng của tổ chức;
65 | P a g e
3) quét các trang web để phát hiện phần mềm độc hại;
h) xác định các thủ tục và trách nhiệm để đối phó với việc bảo vệ chống lại
phần mềm độc hại trên hệ thống, đào tạo cách sử dụng chúng, báo cáo và
khôi phục sau các cuộc tấn công bằng phần mềm độc hại;
i) chuẩn bị các kế hoạch kinh doanh liên tục phù hợp để khôi phục sau các
cuộc tấn công bằng phần mềm độc hại, bao gồm mọi dữ liệu và phần mềm
được sao lưu cần thiết cũng như những chuẩn bị khôi phục (xem 12.3 );
j) triển khai các thủ tục để định kỳ thu thập thông tin, chẳng hạn như đăng
ký danh sách địa chỉ gửi thư hoặc xác minh các trang web cung cấp thông
tin về phần mềm độc hại mới;
k) triển khai các thủ tục xác minh thông tin liên quan đến phần mềm độc
hại, và đảm bảo rằng các bản tin cảnh báo là chính xác và đầy đủ thông
tin; các quản lý nên đảm bảo rằng các nguồn đủ điều kiện, ví dụ như các
tạp chí uy tín, các trang Internet đáng tin cậy hoặc các nhà cung cấp sản
xuất phần mềm bảo vệ chống lại phần mềm độc hại, được sử dụng để
phân biệt giữa trò lừa bịp và các phần mềm độc hại thực sự, tất cả người
dùng nên được nhận thức về vấn đề về trò lừa bịp và những việc cần làm
khi nhận được chúng;
l) cô lập các môi trường có thể gây ra các tác động thảm khốc.
Thông tin khác

Việc sử dụng hai hoặc nhiều hơn các sản phẩm phần mềm bảo vệ chống lại
phần mềm độc hại từ các nhà cung cấp và công nghệ khác nhau trong môi
trường xử lý thông tin có thể cải thiện hiệu quả của sự bảo vệ chống lại phần
mềm độc hại.
Nên thận trọng để bảo vệ khỏi sự xâm nhập của phần mềm độc hại trong quá
trình bảo trì và quy trình khẩn cấp, mà có thể bỏ qua các kiểm soát bảo vệ
phần mềm độc hại thông thường.
Trong một số điều kiện nhất định, bảo vệ chống lại phần mềm độc hại có thể
gây ra xáo trộn trong các hoạt động.
Việc sử dụng phần mềm phát hiện phần mềm độc hại và phần mềm sửa chữa
đơn độc để kiểm soát phần mềm độc hại thường không đầy đủ và cần phải đi
kèm với các thủ tục vận hành để ngăn chặn việc đưa phần mềm độc hại vào.
12.3 Sao lưu

Mục tiêu : Để bảo vệ khỏi sự mất mát dữ liệu.
12.3.1 Sao lưu thông tin

Kiểm soát
Các bản sao lưu thông tin, phần mềm và các hình ảnh hệ thống nên được
thực thi và kiểm tra thường xuyên một cách tương xứng với chính sách sao
lưu đã được thỏa thuận.
66 | P a g e

Một chính sách sao lưu nên được thiết lập để xác định các yêu cầu của tổ
chức về sao lưu thông tin, phần mềm và các hệ thống.
Chính sách sao lưu nên xác định các yêu cầu lưu giữ và bảo vệ.
Các thiết bị sao lưu thích hợp nên được cung cấp để đảm bảo rằng các mọi
thông tin và phần mềm thiết yếu có thể được khôi phục sau một thảm họa
hoặc lỗi phương tiện.
Khi thiết kế một kế hoạch sao lưu, những mục sau đây nên được xem xét:
a) các hồ sơ đầy đủ và chính xác về các bản sao lưu và các thủ tục khôi
phục được lập thành văn bản phải được lập ra;
b) phạm vi (ví dụ sao lưu đầy đủ - full hoặc chỉ sao lưu phần khác biệt -
differential) và tần suất sao lưu nên phản ảnh các yêu cầu kinh doanh của
tổ chức, các yêu cầu bảo mật đối với thông tin có liên quan và mức độ
quan trọng của thông tin đối với việc vận hành liên tục của tổ chức;
c) các bản sao lưu nên được lưu trữ tại một vị trí ở xa ( khỏi văn phòng của
tổ chức – người dịch ), với một khoảng cách đủ để thoát khỏi bất kỳ thiệt
hại nào gây ra bởi thảm họa tại địa điểm chính;
d) nên đưa ra mức độ bảo vệ vật lý và môi trường tương xứng với thông tin
sao lưu (xem Điều 11 ) nhất quán với các tiêu chuẩn được áp dụng tại địa
điểm chính;
e) phương tiện sao lưu nên được kiểm tra thường xuyên để đảm bảo rằng
chúng có thể được tin cậy để sử dụng khẩn cấp khi cần thiết, điều này
nên được kết hợp với việc kiểm tra các thủ tục khôi phục và kiểm tra thời
gian khôi phục được yêu cầu. Việc kiểm tra khả năng để khôi phục dữ
liệu đã sao lưu nên được thực hiện trên phương tiện kiểm tra chuyên
dụng, không phải bởi việc ghi đè lên phương tiện ban đầu trong trường
hợp quy trình sao lưu hoặc khôi phục không thành công và gây ra thiệt
hại hoặc mất mát dữ liệu không thể sửa chữa được;
f) trong những tình huống mà tính bảo mật là quan trọng, các bản sao lưu
nên được bảo vệ bằng các phương tiện mã hóa.
Các thủ tục vận hành nên giám sát việc thực thi quá trình sao lưu và giải
quyết các thất bại trong quá trình sao lưu đã được lập lịch biểu để đảm bảo
tính đầy đủ của các bản sao lưu tương ứng với chính sách sao lưu.
Những sắp xếp sao lưu các hệ thống và dịch vụ đơn lẻ nên được kiểm tra
thường xuyên để đảm bảo rằng chúng đáp ứng được các yêu cầu của kế
hoạch kinh doanh liên tục. Trong trường hợp đối với các hệ thống hoặc dịch
vụ quan trọng, việc sao lưu nên bao hàm mọi thông tin hệ thống, ứng dụng
và dữ liệu cần thiết cho việc khôi phục hệ thống đầy đủ sau một sự kiện
thảm họa.
67 | P a g e
Thời gian lưu giữ những thông tin kinh doanh thiết yếu nên được xác định,
có tính đến bất kỳ yêu cầu nào về việc lưu giữ các bản sao vĩnh viễn.
12.4 Ghi nhật ký và giám sát

Mục tiêu : Để ghi lại các sự kiện và tạo ra bằng chứng.
12.4.1 Ghi nhật ký sự kiện

Kiểm soát
Các nhật ký sự kiện ghi lại những hoạt động của người dùng, các ngoại lệ,
các lỗi và các sự kiện bảo mật thông tin nên được đưa ra, giữ lại và xem xét
thường xuyên.

Các nhật ký sự kiện bao gồm, nếu có liên quan:
a) danh tính người dùng;
b) các hoạt động hệ thống;
c) ngày, giờ và chi tiết của các sự kiện chính, ví dụ, đăng nhập và đăng
xuất;
d) nhận diện thiết bị hoặc vị trí nếu có thể và định danh hệ thống;
e) hồ sơ về những nỗ lực truy cập vào hệ thống thành công và bị từ chối;
f) hồ sơ về những nỗ lực truy cập vào dữ liệu cũng như tài nguyên khác
thành công và bị từ chối;
g) những thay đổi trong thiết lập cấu hình hệ thống;
h) sử dụng đặc quyền;
i) sử dụng các tiện ích và ứng dụng hệ thống;
j) các tập tin được truy cập và kiểu truy cập;
k) địa chỉ và giao thức mạng;
l) các cảnh báo được đưa ra bởi các hệ thống kiểm soát truy cập;
m) kích hoạc và hủy kích hoạt các hệ thống bảo vệ; chẳng hạn như các hệ
thống chống virus và các hệ thống phát hiện xâm nhập;
n) hồ sơ về các giao dịch được thực thi bởi người dùng ứng dụng.
Việc ghi nhật ký sự kiện thiết lập nền tảng cơ sở cho hệ thống giám sát tự
động hóa có khả năng tạo ra các báo cáo vững chắc và cảnh bảo an ninh hệ
thống.
Thông tin khác

Các nhật ký sự kiện có thể bao gồm thông tin nhạy cảm và thông tin định
danh cá nhân. Các biện pháp bảo vệ quyền riêng tư phù hợp nên được thực
hiện (xem 18.1.4 ).
Nếu có thể, quản trị viên hệ thống không nên có quyền xóa hoặc hủy kích
hoạt các nhật ký về các hoạt động của chính họ (xem 12.4.3 ).
68 | P a g e
12.4.2 Bảo vệ thông tin nhật ký

Kiểm soát
Các thiết bị ghi nhật ký và thông tin nhật ký nên được bảo vệ chống lại sự
can thiệp và truy cập trái phép.

Các kiểm soát nên hỗ trợ để bảo vệ chống lại những thay đổi trái phép đối
với thông tin nhật ký và các vấn đề vận hành với thiết bị ghi nhật ký, bao
gồm:
a) sự thay đổi các kiểu thông điệp được ghi lại;
b) các tập tin nhật ký bị chỉnh sửa hoặc bị xóa;
c) khả năng lưu trữ của các phương tiện ghi tập tin nhật ký bị vượt quá, dẫn
đến việc ghi lại các sự kiện bị thất bại hoặc ghi đè lên các sự kiện đã
được ghi lại trong quá khứ.
Vài nhật ký kiểm toán có thể được yêu cầu đế lưu lại như là một phần của
chính sách lưu giữ hồ sơ hoặc bởi vì các yêu cầu thu thập và tiếp tục lưu giữ
bằng chứng (xem 16.1.7 ).
Thông tin khác

Các nhật ký hệ thống thường bao gồm một lượng lớn thông tin, phần lớn
trong số đó không liên quan đến giám sát bảo mật thông tin. Để giúp xác
định các sự kiện quan trọng cho mục đích giám sát bảo mật thông tin, nên
xem xét việc sao chép các kiểu thông điệp phù hợp một cách tự động thành
một nhật ký thứ hai, hoặc sử dụng các tiện ích hệ thống hoặc công cụ kiểm
toán phù hợp để thực hiện sự dò hỏi và hợp lý hóa tập tin.
Các nhật ký hệ thống cần được bảo vệ, bởi vì nếu dữ liệu có thể được điều
chỉnh hoặc dữ liệu bên trong chúng (nhật ký) bị xóa, tình trạng hiện có của
chúng có thể tạo ra ý nghĩa sai lệch về bảo mật. Việc sao chép theo thời gian
thực các nhật ký tới một hệ thống nằm ngoài kiểm soát của một quản trị viên
hệ thống hoặc nhân viên vận hành có thể được sử dụng để bảo vệ các nhật
ký.
12.4.3 Các nhật ký quản trị và vận hành

Kiểm soát
Các hoạt động quản trị và vận hành hệ thống nên được ghi nhật ký và các
nhật ký được bảo vệ và xem xét thường xuyên.

Những người giữ các tài khoản người dùng đặc quyền có khả năng thao túng
các nhật ký trên các phương tiện xử lý thông tin do họ kiểm soát trực tiếp,
do đó, cần phải bảo vệ và xem xét các nhật ký để duy trì tính trách nhiệm
của những người dùng đặc quyền.
69 | P a g e
Thông tin khác

Một hệ thống nhận diện xâm nhập được quản lý nằm ngoài tầm kiểm soát
của các quản trị viên hệ thống và mạng có thể được sử dụng để giám sát các
hành động của các quản trị viên hệ thống và mạng để đảm bảo tính tuân thủ.
12.4.4 Đồng bộ hóa đồng hồ

Kiểm soát
Đồng hồ của mọi hệ thống xử lý thông tin liên quan trong một tổ chức hoặc
một khu vực bảo mật nên được đồng bộ với một nguồn tham chiếu thời gian
đơn lẻ.

Các yêu cầu bên ngoài và trong nội bộ về sự biểu thị, đồng bộ và tính chính
xác của thời gian nên được được lập thành văn bản. Những yêu cầu đó có thể
là các yêu cầu pháp lý, quy định, hợp đồng, tuân thủ các tiêu chuẩn hoặc các
yêu cầu về giám sát nội bộ. Một tham chiếu thời gian tiêu chuẩn để sử dụng
trong tổ chức nên được xác định.
Phương pháp tiếp cận của tổ chức để có được thời gian tham chiếu từ (các)
nguồn bên ngoài và cách đồng bộ hóa đồng hồ nội bộ một cách đáng tin cậy
nên được lập thành tài liệu và triển khai.
Thông tin khác

Việc thiết lập đúng các đồng hồ máy tính là rất quan trọng để đảm bảo tính
chính xác của các nhật ký kiểm toán, có thể được yêu cầu cho các cuộc điều
tra hoặc như là một bằng chứng trong các trường hợp pháp lý hoặc kỷ luật.
Những nhật ký kiểm toán không chính xác có thể cản trở các cuộc điều tra
như vậy và làm hư hỏng độ tin cậy của các bằng chứng đó. Một đồng hồ
được kết nối với một chương trình quảng bá thời gian vô tuyến từ đồng hồ
nguyên tử quốc gia có thể được sử dụng như là đồng hồ chính cho các hệ
thống ghi nhật ký. Một giao thức thời gian mạng có thể được sử dụng để giữ
tất cả máy chủ đồng bộ hóa với đồng hồ chính.
12.5 Kiểm soát phần mềm vận hành

Mục tiêu : Để đảm bảo tính toàn vẹn của các hệ thống vận hành.
12.5.1 Cài đặt phần mềm trên các hệ thống vận hành
Kiểm soát
Các thủ tục nên được triển khai để kiểm soát việc cài đặt những thay đổi
trong phần mềm trên các hệ thống vận hành.

Những hướng dẫn dưới đây nên được xem xét để kiểm soát những thay đổi
trong phần mềm trên các hệ thống vận hành.
70 | P a g e
a) việc cập nhật phần mềm vận hành, các ứng dụng và thư viện chương trình
chỉ nên được hoàn thành bởi các quản trị viên đã được đào tạo tùy theo
sự ủy quyền quản lý phù hợp;
b) các hệ thống vận hành chỉ nên giữ mã thực thi được phê duyệt mà không
giữ mã phát triển hoặc trình biên dịch;
c) các ứng dụng và phần mềm hệ điều hành chỉ nên được triển khai sau khi
kiểm tra phạm vi rộng và thành công, các kiểm tra nên bao gồm tính tiện
dụng, bảo mật, tác động tới hệ thống khác, và tính thân thiện với người
dùng và nên được thực hiện trên các hệ thống tách biệt (xem 12.1.4), nó
nên được đảm bảo rằng mọi thư viện nguồn chương trình tương ứng đã
được cập nhật;
d) một hệ thống kiểm soát cấu hình nên được sử dụng để kiểm soat mọi phần
mềm đã triển khai cũng như là hệ thống tài liệu;
e) một chiến lược dự phòng nên được đưa ra trước khi những thay đổi được
triển khai;
f) một nhật ký kiểm toán nên được duy trì về mọi cập nhật trong các thư
viện chương trình vận hành;
g) phiên bản trước đó của phần mềm ứng dụng nên được giữ lại như là một
phương tiện dự phòng;
h) những phiên bản cũ của phần mềm nên được lưu trữ, cùng với mọi thông
tin và các tham số, thủ tục, chi tiết cấu hình và phần mềm hỗ trợ được
yêu cầu, cho đến khi nào dữ liệu vẫn còn được lưu trữ.
Phần mềm do nhà cung cấp cung cấp được sử dụng trong các hệ thống vận
hành phải được duy trì ở mức độ được hỗ trợ bởi nhà cung cấp. Theo thời
gian, các nhà cung cấp phần mềm sẽ ngừng hỗ trợ các phiên bản phần mềm
cũ hơn. Tổ chức nên xem xét các rủi ro của việc dựa vào phần mềm không
được hỗ trợ.
Mọi quyết định nâng cấp lên bản phát hành mới phải tính đến các yêu cầu
kinh doanh về sự thay đổi và tính bảo mật của bản phát hành, ví dụ: sự ra
đời của chức năng bảo mật thông tin mới hoặc số lượng và mức độ nghiêm
trọng của các vấn đề bảo mật thông tin ảnh hưởng đến phiên bản này. Các
bản vá phần mềm nên được áp dụng khi chúng có thể giúp loại bỏ hoặc giảm
bớt các điểm yếu về bảo mật thông tin (xem 12.6 ).
Quyền truy cập vật lý hoặc lôgic chỉ nên được cấp cho các nhà cung cấp với
mục đích hỗ trợ khi cần thiết và được sự chấp thuận của cấp quản lý. Các
hoạt động của nhà cung cấp nên được giám sát (xem 15.2.1 ).
Phần mềm máy tính có thể dựa trên phần mềm và mô-đun được cung cấp bên
ngoài, cần được theo dõi và kiểm soát để tránh các thay đổi trái phép, có thể
gây ra các điểm yếu về bảo mật.
71 | P a g e
12.6 Quản lý các lỗ hổng kỹ thuật

Mục tiêu : Để ngăn chặn việc khai thác các lỗ hổng kỹ thuật.
12.6.1 Quản lý các lỗ hổng kỹ thuật

Kiểm soát
Thông tin về các lỗ hổng kỹ thuật của các hệ thống thông đang được sử dụng
nên được thu thập kịp thời, mức độ tiếp xúc của tổ chức đối với các lỗ hổng
đó được đánh giá và các biện pháp phù hợp được thực hiện để giải quyết
những rủi ro liên quan.

Một bản kiểm kê tài sản cập nhật và đầy đủ (xem Điều 8 ) là điều kiện tiên
quyết cho việc quản lý lỗ hổng kỹ thuật hiệu quả. Những thông tin cụ thể
cần thiết để hỗ trợ cho quản lý lỗ hổng kỹ thuật bao gồm nhà cung cấp phần
mềm, số phiên bản, tình trạng triển khai hiện tại (ví dụ, phần mềm nào được
cài đặt trên những hệ thống nào) và (những) nhân viên trong tổ chức chịu
trách nhiệm về phần mềm.
Hành động phù hợp và kịp thời nên được đưa ra để xác định những lỗ hổng
kỹ thuật tiềm ẩn. Hướng dẫn dưới đây nên được tuân theo để thiết lập một
quy trình quản lý hiệu quả đối với các lỗ hổng kỹ thuật:
a) tổ chức nên xác định và thiết lập các vai trò và trách nhiệm liên quan đến
quản lý lỗ hổng kỹ thuật, bao gồm giám sát lỗ hổng, đánh giá rủi ro lỗ
hổng, vá lỗi, theo dõi tài sản và bất kỳ trách nhiệm phối hợp nào được
yêu cầu;
b) các nguồn thông tin sẽ được sử dụng để xác định các lỗ hổng kỹ thuật
liên quan và để duy trì nhận thức về chúng nên được xác định cho phần
mềm và công nghệ khác (dựa trên bản kiểm kê tài sản, xem 8.1.1 ); các
nguồn thông tin này nên được cập nhật dựa trên những thay đổi trong bản
kiểm kê hoặc khi tìm thấy những nguồn mới hoặc hữu ích khác;
c) một mốc thời gian cần được xác định để phản ứng với các thông báo về
các lỗ hổng kỹ thuật có thể có liên quan;
d) khi đã xác định được lỗ hổng kỹ thuật tiềm ẩn, tổ chức nên xác định các
rủi ro liên quan và các hành động cần thực hiện; hành động đó có thể liên
quan đến việc vá lỗ hổng các hệ thống dễ bị tấn công hoặc áp dụng các
biện pháp kiểm soát khác;
e) tùy thuộc vào mức độ khẩn cấp của lỗ hổng kỹ thuật cần được giải quyết,
hành động đưa ra nên được thực hiện theo các biện pháp kiểm soát liên
quan đến quản lý thay đổi (xem 12.1.2 ) hoặc theo các thủ tục ứng phó sự
cố bảo mật thông tin (xem 16.1.5 );
f) nếu một bản vá có sẵn từ một nguồn hợp pháp, các rủi ro liên quan đến
việc cài đặt bản vá nên được đánh giá (rủi ro do lỗ hổng bảo mật gây ra
nên được so sánh với rủi ro khi cài đặt bản vá);
g) các bản vá lỗi nên được kiểm tra và đánh giá trước khi chúng được cài
đặt để đảm bảo chúng có hiệu quả và không gây ra các tác dụng phụ
72 | P a g e
không thể chấp nhận được; nếu không có sẵn bản vá lỗi, các biện pháp
kiểm soát khác nên được xem xét, chẳng hạn như:
1) tắt các dịch vụ hoặc khả năng liên quan đến lỗ hổng bảo mật;
2) điều chỉnh hoặc thêm các kiểm soát truy cập, ví dụ: các tường lửa
ở biên giới mạng (xem 13.1 );
3) tăng cường giám sát để phát hiện các cuộc tấn công thực tế;
4) nâng cao nhận thức về tính dễ bị tổn thương;
h) một nhật ký kiểm toán về tất cả các thủ tục đã thực hiện nên được lưu
giữ;
i) quá trình quản lý lỗ hổng kỹ thuật nên được giám sát và đánh giá thường
xuyên để đảm bảo hiệu lực và hiệu quả của nó;
j) các hệ thống có rủi ro cao cần được giải quyết trước tiên;
k) một quy trình quản lý lỗ hổng kỹ thuật hiệu quả nên được liên kết với các
hoạt động quản lý sự cố, để truyền dữ liệu về lỗ hổng bảo mật cho chức
năng ứng phó sự cố và cung cấp các quy trình kỹ thuật được thực hiện
nếu sự cố xảy ra;
l) xác định một thủ tục để giải quyết tình huống khi đã xác định được lỗ
hổng bảo mật nhưng không có biện pháp đối phó phù hợp. Trong tình
huống này, tổ chức nên đánh giá các rủi ro liên quan đến lỗ hổng bảo mật
đã biết và xác định các hành động nhận diện hiện và khắc phục thích hợp.
Thông tin khác

Quản lý lỗ hổng kỹ thuật có thể được xem xét như là chức năng phụ của
quản lý thay đổi và từ đó có thể tận dụng các quy trình và thủ tục quản lý
thay đổi (xem 12.1.2 và 14.2.2 );
Các nhà cung cấp thường phải chịu áp lực phải phát hành các bản vá lỗi
càng sớm càng tốt. Do đó, có khả năng rằng một bản vá lỗi không giải quyết
được vấn đề một cách đầy đủ và có những tác dụng phụ tiêu cực. Ngoài ra,
trong một vài trường hợp, không thể dễ dàng gỡ bỏ một bản vá sau khi bản
vá đã được áp dụng.
Nếu việc kiểm nghiệm thích hợp các bản vá lỗi không sẵn sàng, ví dụ bởi vì
lý do chi phí hoặc thiếu nguồn lực, một sự trì hoãn trong việc vá lỗi có thể
được cân nhắc để đánh giá những rủi ro liên quan, dựa trên những trải
nghiệm được báo cáo bởi người dùng khác. Việc sử dụng ISO/IEC 27031 ( 1 4 )
có thể sẽ đem lại lợi ích.
12.6.2 Hạn chế cài đặt phần mềm

Kiểm soát
Các quy tắc quản trị việc cài đặt phần mềm bởi người dùng nên được thiết
lập và triển khai.
73 | P a g e
Tổ chức nên xác định và bắt buộc hạn chế các kiểu phần mềm mà người
dùng có thể cài đặt.
Nguyên tắc ít đặc quyền nên được áp dụng. Nếu được cấp đặc quyền nhất
định, người dùng có thể có khả năng cài đặt phần mềm. Tổ chức nên xác
định kiểu cài đặt phần mềm được chấp thuận (ví dụ như các cập nhật và bản
vá bảo mật của phần mềm hiện tại) và kiểu cài đặt nào bị ngăn cấm (ví dụ
như phần mềm chỉ cho mục đích sử dụng cá nhân và phần mềm có phả hệ
liên quan đến độc hại không rõ ràng hoặc đáng ngờ). Những đặc quyền nên
được cấp tương xứng với vai trò của người dùng liên quan.
Thông tin khác

Việc cài đặt không kiểm soát phần mềm trên các thiết bị máy tính có thể dẫn
tới việc bộc lộ những lỗ hổng và sau đó bị lộ thông tin, mất tính toàn vẹn
hoặc các sự cố bảo mật thông tin khác, hoặc vi phạm quyền sở hữu trí tuệ.
12.7 Các mối quan tâm về kiểm toán bảo mật thông tin
Mục tiêu : Để tối thiểu hóa tác động của các hoạt động kiểm toán đối với các
hệ thống vận hành.
12.7.1 Kiểm soát việc kiểm toán hệ thống thông tin

Kiểm soát
Các yêu cầu và hoạt động kiểm toán liên quan đến việc xác minh các hệ
thống vận hành nên được hoạch định và chấp thuận một cách cẩn trọng để
tối thiểu sự gián đoạn các quy trình kinh doanh.

Những hướng dẫn dưới đây nên được tuân theo:
a) các yêu cầu kiểm toán đòi hỏi truy cập vào hệ thống và dữ liệu nên được
chấp thuận bởi cấp quản lý tương xứng;
b) phạm vi các kiểm nghiệm kiểm toán kỹ thuật nên được chấp thuận và
kiểm soát;
c) các kiểm nghiệm kiểm toán nên được giới hạn quyền truy cập chỉ đọc đối
với phần mềm và dữ liệu;
d) truy cập với quyền khác với quyền chỉ đọc chỉ nên được chấp thuận đối
với những bản sao được cô lập của các tập tin hệ thống, nên được xóa sau
khi hoàn tất kiểm toán, hoặc đưa ra các biện pháp bảo vệ phù hợp nếu có
nghĩa vụ phải giữ lại các tập tin đó theo các yêu cầu tài liệu kiểm toán;
e) các yêu cầu đặc biệt hoặc xử lý bổ sung nên được xác định và chấp
thuận;
f) các kiểm nghiệm kiểm toán mà có thể ảnh hưởng tới tính sẵn sàng của hệ
thông nên được tiến hành sau giờ làm việc;
g) mọi truy cập nên được giám sát và ghi lại nhật ký để đưa ra một dấu vết
tham chiếu;
74 | P a g e
13 Bảo mật truyền thông

Mục tiêu : Để đảm bảo sự bảo vệ thông tin trên các hệ thống mạng và các
thiết bị xử lý thông tin hỗ trợ của nó.
13.1 Các kiểm soát mạng

13.1.1 Quản lý bảo mật mạng
Kiểm soát
Các mạng nên được quản lý và kiểm soát để bảo vệ thông tin trên các hệ
thống và các ứng dụng.

Các kiểm soát nên được triển khai để đảm bảo sự bảo mật của thông tin trên
các mạng và sự bảo vệ của các dịch vụ được kết nối khỏi các truy cập trái
phép. Một cách cụ thể, những mục dưới đây nên được xem xét:
a) trách nhiệm và những thủ tục quản lý các thiết bị mạng nên được thiết
lập;
b) tránh nhiệm trong vận hành các (hệ thống) mạng nên được tách biệt khỏi
vận hành máy tính nếu phù hợp (xem 6.1.2 );
c) các kiểm soát đặc biệt nên được thiết lập để bảo vệ tính bảo mật và tính
toàn vẹn của dữ liệu lưu chuyển ngang qua những (hệ thống) mạng công
cộng hoặc qua các mạng không dây và để bảo vệ các ứng dụng và hệ
thống được kết nối (xem Điều 10 và 13.2 ); các kiểm soát đặc biệt cũng có
thể được yêu cầu để duy trì tính sẵn sàng của các dịch vụ mạng và các
máy tính được kết nối;
d) việc giám sát và ghi nhật ký phù hợp nên đươc áp dụng để cho phép ghi
lại và nhận diện các hành động mà có thể ảnh hưởng, hoặc liên quan tới,
bảo mật thông tin;
e) các hành động quản lý nên được điều phối chặt chẽ để tối ưu hóa các dịch
vụ cho tổ chức và để đảm bảo rằng các kiểm soát được áp dụng một cách
nhất quán trên cơ sở hạ tầng xử lý thông tin;
f) các hệ thống trên mạng nên được xác minh;
g) kết nối các hệ thống với mạng nên được hạn chế.
Thông tin khác

(15)
Thông tin bổ sung về bảo mật mạng có thể tìm thấy trong ISO/IEC 27003
(16)(17)(18)(19)
13.1.2 Bảo mật các dịch vụ mạng

Kiểm soát
Các cơ chế bảo mật, các mức dịch vụ và các yêu cầu quản lý của mọi dịch vụ
mạng nên được xác định và được bao gồm trong thỏa thuận dịch vụ mạng, kể
cả là các dịch vụ đó đuợc cung cấp nội bộ hoặc thuê ngoài.

75 | P a g e
Năng lực của nhà cung cấp dịch vụ mạng để quản lý các dịch vụ đã được
thỏa thuận theo một cách an toàn nên được xác định và giám sát thường
xuyên, và quyền được kiểm toán nên được thỏa thuận.
Các dịch vụ mạng bao gồm việc cung cấp các kết nối, các dịch vụ mạng
riêng và các mạng giá trị gia tang và các giải pháp an ninh mạng được quản
lý chẳng hạn như tường lửa và hệ thống phát hiện xâm nhập. Những dịch vụ
này có thể trải rộng từ đơn giản như bang thông không được quản lý đến
phức tạp như các đề xuất giá trị được cộng them.
Các chức năng bảo mật của các dịch vụ mạng có thể là:
a) công nghệ đã áp dụng cho bảo mật các dịch vụ mạng, chẳng hạn như xác
minh, mã hóa và kiểm soát kết nối mạng;
b) các tham số kỹ thuật được yêu cầu để kết nối an toàn với các dịch vụ
mạng phù hợp với các quy tắc bảo mật và kết nối mạng;
c) các thủ tục cho việc sử dụng dịch vụ mạng để hạn chế truy cập tới các
dịch vụ hoặc ứng dụng mạng, nếu cần thiết.
13.1.3 Sự tách biệt các mạng

Kiểm soát
Các nhóm dịch vụ thông tin, người dung và hệ thống thông tin nên được tách
biệt trên các mạng.

Một phương pháp quản lý bảo mật của các mạng lớn là chia nhỏ chúng thành
các khu vực mạng tách biệt. Các khu vực có thể được chọn dựa trên mức độ
tin cậy (ví dụ: khu vực truy cập công cộng, khu vực máy tính để bàn, khu
vực máy chủ), dọc theo các đơn vị tổ chức (ví dụ: nhân sự, tài chính, tiếp
thị) hoặc một số kết hợp (ví dụ: khu vực máy chủ kết nối với nhiều đơn vị tổ
chức). Việc phân tách có thể được thực hiện bằng cách sử dụng các mạng vật
lý khác nhau hoặc bằng cách sử dụng các mạng logic khác nhau (ví dụ: mạng
riêng ảo).
Chu vi của mỗi khu vực phải được xác định rõ ràng. Việc truy cập giữa các
miền mạng được chấp thuận, nhưng nên được kiểm soát ở ngoại vi bằng cách
sử dụng cửa ngõ - gateway (ví dụ: tường lửa, bộ định tuyến lọc). Các tiêu
chí để phân tách mạng thành các khu vực và quyền truy cập được chấp thuận
thông qua các cửa ngõ, nên dựa trên một đánh giá về các yêu cầu bảo mật
của từng khu vực. Việc đánh giá nên phù hợp với chính sách kiểm soát truy
cập (xem 9.1.1 ), các yêu cầu truy cập, giá trị và mức phân loại thông tin
được xử lý và cũng nên tính đến chi phí tương đối và tác động đến hiệu suất
của việc kết hợp công nghệ cửa ngõ thích hợp.
Mạng không dây đòi hỏi việc xử lý đặc biệt do chu vi mạng được xác định
kém. Đối với các môi trường nhạy cảm, nên cân nhắc để coi tất cả truy cập
76 | P a g e
không dây là các kết nối bên ngoài và để tách biệt quyền truy cập này khỏi
các mạng nội bộ cho đến khi truy cập đi qua cửa ngõ theo chính sách kiểm
soát mạng (xem 13.1.1 ) trước khi cấp quyền truy cập vào các hệ thống nội
bộ .
Các công nghệ xác thực, mã hóa và kiểm soát truy cập mạng ở mức độ người
dùng của các mạng không dây hiện đại, dựa trên các tiêu chuẩn có thể là đủ
để kết nối trực tiếp với mạng nội bộ của tổ chức khi được triển khai đúng
cách.
Thông tin khác

Các mạng thường mở rộng vượt quá ranh giới của tổ chức, vì các quan hệ
đối tác kinh doanh được hình thành đòi hỏi sự kết nối hoặc chia sẻ các thiết
bị xử lý thông tin và các thiết bị kết nối mạng. Sự mở rộng như vậy có thể
làm gia tăng rủi ro từ việc truy cập trái phép tới các hệ thống thông tin của
tổ chức sử dụng mạng, vài trong số chúng ( hệ thống thông tin – người dịch )
đòi hỏi sự bảo vệ khỏi những người dùng mạng khác bởi vì tính chất nhạy
cảm hoặc quan trọng của chúng.
13.2 Truyền tải thông tin

Mục tiêu : Để duy trì tính bảo mật của thông tin được truyền tải trong một tổ
chức và với bất kỳ thực thể bên ngoài nào khác.
13.2.1 Các chính sách và thủ tục truyền tải thông tin
Kiểm soát
Các chính sách, thủ tục và kiểm soát chính thức nên được đưa ra để bảo vệ
sự truyền tải thông tin thông qua việc sử dụng các kiểu thiết bị truyền thông.

Các thủ tục và kiểm soát để tuân theo khi sử dụng các thiết bị truyền thông
để truyền tải thông tin nên xem xét tới những mục sau:
a) các thủ tục được thiết kế để bảo vệ thông tin được truyền tải khỏi việc
nghe lén, sao chép, điều chỉnh định tuyến sai và phá hoại;
b) các thủ tục cho việc nhận diện ra và bảo vệ chống lại các phần mềm độc
hại mà có thể được truyền tải thông qua việc sử dụng các phương tiện
truyền thông điện tử;
c) các thủ tục cho việc bảo vệ thông tin điện tử nhạy cảm được truyền tải
dưới dạng một tập tin đính kèm (xem 12.2.1 );
d) chính sách hoặc các hướng dẫn phác thảo việc sử dụng có thể được cháp
nhận các thiết bị truyền thông (xem 8.1.3 );
e) trách nhiệm của nhân viên, bên thứ ba bên ngoài và những người dùng
khác là không gây hại cho tổ chức, ví dụ thông qua sự phỉ báng, quấy rối,
mạo danh, chuyển tiếp chuỗi thư, mua sắm trái phép, v.v…;
f) sử dụng các kỹ thuật mã hóa để bảo vệ tính bảo mật, tính toàn vẹn và tính
xác thực của thông tin (xem Điều 10 );
77 | P a g e
g) các hướng dẫn lưu giữ và loại bỏ mọi thư từ kinh doanh, bao gồm cả tin
nhắn, tương xứng với luật pháp và quy định của quốc gia và địa phương
có liên quan;
h) các kiểm soát và hạn chế thích hợp với việc sử dụng các thiết bị truyền
thông, ví dụ tự động chuyển tiếp thư điện tử đến địa chỉ mail bên ngoài
(tổ chức);
i) khuyến cáo nhân viên về các biện pháp phòng ngừa thích hợp để không
tiết lộ thông tin bí mật;
j) không để lại thông điệp có chứa thông tin bí mật trên những máy trả lời
tự động vì những tin nhắn này có thể bị những người không có thẩm
quyền chuyển phát lại, lưu trữ trên những hệ thống chung hoặc lưu trữ
một cách không chính xác do quay số sai;
k) khuyến cáo nhân viên về các vấn đề của việc sử dụng máy hoặc dịch vụ
fax, cụ thể:
1) truy cập trái phép tới kho lưu trữ thông điệp được xây dựng sẵn để
trích xuất thông điệp;
2) việc lập trình cố ý hoặc ngẫu nhiên của máy để gửi thông điệp tới
những số cụ thể;
3) gửi tài liệu và thông điệp tới số sai do gọi nhầm hoặc sử dụng sai
số đã được lưu trữ.
Ngoài ra, nhân viên nên được nhắc nhở rằng họ không nên có những cuộc
thảo luận bí mật ở những nơi công cộng hoặc qua những kênh truyền thông
không bảo mật, các văn phòng mở và khu vực hội họp.
Dịch vụ truyền tải thông tin nên tuân thủ bất kỳ yêu cầu pháp lý có liên
quan nào (xem 18.1 ).
Thông tin khác

Truyền tải thông tin có thể xảy ra qua việc sử dụng một số kiểu thiết bị
truyền thông khác nhau, bao gồm thư điện tử, thư thoại, máy fax và video.
Truyền tải phần mềm có thể xảy ra thông qua một số các phương tiện khác
nhau, bao gồm tải về từ Internet và có được từ nhà cung cấp bán các sản
phẩm có sẵn.
Các tác động kinh doanh, pháp lý và bảo mật liên quan đến trao đổi dữ liệu
điện tử, thương mại điện tử và truyền thông điện tử và các yêu cầu về kiểm
soát nên được xem xét.
13.2.2 Những thỏa thuận truyền tải thông tin

Kiểm soát
Những thỏa thuận nên giải quyết việc truyền tải an toàn thông tin kinh
doanh giữa tổ chức và bên thứ ba bên ngoài.
78 | P a g e

Những thỏa thuận truyền tải thông tin nên kết hợp chặt chẽ các mục dưới
đây:
a) trách nhiệm quản lý về việc kiểm soát và thông báo việc truyền, gửi và
nhận (thông tin);
b) các thủ tục để đảm bảo việc truy xuất nguồn gốc và không-từ chối;
c) các tiêu chuẩn kỹ thuật tối thiểu cho việc đóng gói và truyền tải;
d) các thỏa thuận giao kèo;
e) các tiêu chuẩn định danh chuyển phát nhanh;
f) trách nhiệm và trách nhiệm pháp lý trong sự kiện sự cố bảo mật thông
tin, ví dụ mất dữ liệu;
g) sử dụng một hệ thống nhãn dán được thỏa thuận cho những thông tin
nhạy cảm hoặc quan trọng, đảm bảo rằng ý nghĩa của các nhãn dán được
hiểu ngay lập tức và rằng thông tin được bảo vệ một cách thích hợp (xem
8.2 );
h) các tiêu chuẩn kỹ thuật cho việc ghi lại và đọc thông tin và phần mềm;
i) bất kỳ kiểm soát đặc biệt nào được yêu cầu để bảo vệ những mục nhạy
cảm, chẳng hạn như mật mã (xem Điều 10 );
j) duy trì một chuỗi hành trình đối với thông tin trong khi truyền tải;
k) các mức được chấp nhận đối với kiểm soát truy cập.
Các chính sách, thủ tục và tiêu chuẩn nên được thiết lập và duy trì để bảo vệ
thông tin và các phương tiện vật lý trong khi truyền tải (xem 8.3.3 ), và nên
được tham chiếu trong những thỏa thuận truyền tải như vậy.
Nội dung bảo mật thông tin của bất kỳ thỏa thuận nào nên phản ảnh độ nhạy
cảm của thông tin kinh doanh có liên quan.
Thông tin khác

Các thỏa thuận có thể là điện tử hoặc thủ công, và có thể được định dạng
như dạng hợp đồng. Đối với những thông tin mật, các cơ chế đặc biệt được
sử dụng cho việc truyền tải những thông tin như vậy nên nhất quán trong
toàn bộ tổ chức và các kiểu thỏa thuận.
13.2.3 Thông điệp điện tử

Kiểm soát
Thông tin có liên quan đến thông điệp điện tử nên được bảo vệ một cách
thích đáng.

Các xem xét về bảo mật thông tin đối với thông điệp điện tử nên bao gồm
các mục dưới đây:
a) sự bảo vệ các thông điệp khỏi sự truy cập, điều chỉnh trái phép hoặc từ
chối dịch vụ tương xứng với sơ đồ phân loại đã được tổ chức thông qua;
b) đảm bảo địa chỉ và sự truyền tải chính xác của thông điệp;
79 | P a g e
c) độ tin cậy và sẵn sàng của dịch vụ;

d) các cân nhắc pháp lý, ví dụ các yêu cầu về chữ ký điện tử;
e) có được sự phê duyệt trước khi sử dụng các dịch vụ công cộng bên ngoài
chẳng hạn như tin nhắn tức thời, mạng xã hội hoặc chia sẻ tập tin;
f) các mức độ mạnh mẽ của xác minh kiểm soát truy cập từ các mạng có thể
truy cập công cộng.
Thông tin khác

Có rất nhiều kiểu thông điệp điện tử chẳng hạn như email, trao đổi dữ liệu
điện tử và mạng xã hội đóng một vai trò trong giao tiếp kinh doanh.
13.2.4 Tính bảo mật hoặc các thỏa thuận không tiết lộ
Kiểm soát
Các yêu cầu về thỏa thuận bảo mật hoặc không tiết lộ phản ảnh nhu cầu của
tổ chức về sự bảo vệ thông tin nên được xác định, xem xét thường xuyên và
được ghi lại.

Các thỏa thuận bảo mật hoặc không tiết lộ nên giải quyết các yêu cầu bảo vệ
những thông tin bí mật và sử dụng các điều khoản có hiệu lực pháp lý. Các
thỏa thuận bảo mật hoặc không tiết lộ được áp dụng cho các bên thứ ba bên
ngoài hoặc nhân viên của tổ chức. Các thành phần nên được lựa chọn hoặc
thêm vào khi xem xét loại hình của bên khác và quyền truy cập có thể sử
dụng được hoặc xử lý thông tin bí mật. Để xác định các yêu cầu cho các thỏa
thuận bảo mật hoặc không tiết lộ, những thành phần dưới đây nên được xem
xét:
a) một định nghĩa về thông tin được bảo vệ (ví dụ thông tin bí mật);
b) thời hạn được kỳ vọng của một thỏa thuận, bao gồm các trường hợp mà
tính bảo mật có thể cần được duy trì vô hạn định;
c) các hành động được yêu cầu khi một thỏa thuận bị phá vỡ;
d) các trách nhiệm và hành động của các bên ký kết để tránh việc tiết lộ
thông tin trái phép;
e) chủ sở hữu của thông tin, bí mật thương mại và tài sản trí tuệ, và nó ( chủ
sở hữu – người dịch ) liên quan đến việc bảo vệ thông tin bí mật như thế
nào;
f) việc sử dụng thông tin bí mật được chấp thuận và quyền của các bên ký
kết để sử dụng thông tin;
g) quyền kiểm toán và giám sát các hành động liên quan tới thông tin bí
mật;
h) quy trình thông báo và báo cáo về việc tiết lộ trái phép hoặc rò rỉ thông
tin bí mật;
i) các điều khoản về việc thông tin được trả lại hoặc phá hủy khi chấm dứt
thỏa thuận;
j) những hành động mong đợi được đưa ra trong trường hợp thỏa thuận bị vi
phạm.
80 | P a g e
Căn cứ vào các yêu cầu bảo mật của một tổ chức, các thành phần khác có thể
cần thiết trong một thỏa thuận bảo mật hoặc không tiết lộ.
Các thỏa thuận bảo mật hoặc không tiết lộ nên tuân thủ mọi luật lệ và quy
định có thể được áp dụng về khu vực pháp lý mà chúng ( các thỏa thuận bảo
mật hoặc không tiết lộ - người dịch ) được áp dụng.
Các yêu cầu về các thỏa thuận bảo mật hoặc không tiết lộ nên được xem xét
một cách định kỳ và khi thay đổi xảy ra mà có ảnh hưởng tới các yêu cầu đó.
Thông tin khác

Các thỏa thuận bảo mật hoặc không tiết lộ bảo vệ thông tin thuộc về tổ chức
và thông báo cho các bên ký kết (thỏa thuận) về trách nhiệm của họ đối với
việc bảo vệ, sử dụng và tiết lộ thông tin một cách có trách nhiệm và có
quyền hạn.
Có thể có một nhu cầu cho một tổ chức để sử dụng các định dạng khác nhau
của thỏa thuận bảo mật hoặc không tiết lộ trong các trường hợp khác nhau.
14 Thu nhận, phát triển và bảo trì hệ thống

14.1 Yêu cầu bảo mật đối với các hệ thống thông tin
Mục tiêu : Để đảm bảo rằng bảo mật thông tin là một phần không thể thiếu
của hệ thống thông tin trong toàn bộ vòng đời. Điều này cũng bao gồm các
yêu cầu đối với các hệ thống thông tin cung cấp dịch vụ qua mạng công
cộng.
14.1.1 Phân tích và đặc tả các yêu cầu bảo mật thông tin
Kiểm soát
Các yêu cầu liên quan đến bảo mật thông tin nên được bao gồm trong các
yêu cầu đối với hệ thống thông tin mới hoặc tăng cường hệ thống thông tin
hiện hữu.

Các yêu cầu bảo mật thông tin nên được xác định bằng cách sử dụng các
phương pháp khác nhau chẳng hạn như bắt nguồn từ các yêu cầu tuân thủ
từ các chính sách và quy định, mô hình hóa nguy cơ, xem xét sự cố, hoặc sử
dụng ngưỡng cảnh báo lỗ hổng. Kết quả của việc xác định này nên được ghi
lại và xem xét bởi tất cả các bên liên quan.
Các yêu cầu và kiểm soát bảo mật thông tin nên phản ảnh giá trị kinh doanh
của thông tin có liên quan (xem 8.2 ) và tác động kinh doanh tiêu cực tiềm ẩn
có thể đến từ việc thiếu bảo mật đầy đủ.
81 | P a g e
Việc xác định và quản lý các yêu cầu bảo mật thông tin và các quy trình
tương ứng nên được tích hợp trong những giai đoạn đầu của các dự án hệ
thống thống tin. Việc xem xét sớm về các yêu cầu bảo mật thông tin, ví dụ
tại giai đoạn thiết kế, có thể dẫn đến các giải pháp hiệu quả và hiệu suất cao
về chi phí.
Các yêu cầu bảo mật thông tin nên xem xét:
a) độ tin cậy cần thiết đối với danh tính được xác nhận của người dùng
trong trường hợp nhận được yêu cầu xác thực người dùng;
b) các quy trình cấp phép truy cập và ủy quyền, cho những người dùng trong
tổ chức cũng như người dùng đặc quyền hoặc kỹ thuật viên;
c) thông báo cho người dùng và nhân viên vận hành về trách nhiệm và nghĩa
vụ của họ;
d) sự bảo vệ được yêu cầu cần thiết cho các tài sản liên quan, cụ thể là có
liên quan đến tính sẵn sàng, bảo mật và toàn vẹn;
e) những yêu cầu được bắt nguồn từ các quy trình kinh doanh, chẳng hạn
như việc giám sát và ghi nhật ký giao dịch, các yêu cầu không-từ chối;
f) những yêu cầu bắt buộc bởi các kiểm soát bảo mật khác, ví dụ như các
giao diện để ghi nhật ký và giám sát hoặc các hệ thống phát hiện rò rỉ.
Đối với các ứng dụng cung cấp các dịch vụ qua mạng công cộng hoặc thực
hiện các giao dịch, các kiểm soát chuyên biệt 14.1.2 và 14.1.3 nên được cân
nhắc.
Nếu sản phẩm được mua lại, quy trình kiểm tra và mua lại chính thức nên
được tuân thủ. Hợp đồng với nhà cung cấp nên giải quyết các yêu cầu bảo
mật đã xác định. Khi chức năng bảo mật trong một sản phẩm được đề xuất
không đáp ứng yêu cầu cụ thể, rủi ro được đưa ra và các biện pháp kiểm soát
tương ứng phải được xem xét lại trước khi mua sản phẩm.
Hướng dẫn sẵn có về cấu hình bảo mật của sản phẩm liên kết với ngăn xếp
phần mềm/dịch vụ cuối cùng của hệ thống đó nên được đánh giá và triển
khai.
Tiêu chí để chấp nhận sản phẩm nên được xác định, ví dụ: xét về chức năng
của chúng, điều này ( xác định tiêu chí chấp nhận sản phẩm – người dịch ) sẽ
đảm bảo rằng các yêu cầu bảo mật đã xác định được đáp ứng. Sản phẩm nên
được đánh giá dựa trên các tiêu chí này trước khi mua. Chức năng bổ sung
nên được xem xét để đảm bảo nó không gây ra những rủi ro bổ sung không
thể chấp nhận được.
Thông tin khác

ISO/IEC 27005 ( 1 1 ) và ISO 31000 ( 2 7 ) cung cấp hướng dẫn về việc sử dụng các
quy trình đánh giá rủi ro để xác định các kiểm soát để đáp ứng các yêu cầu
bảo mật thông tin.
82 | P a g e
14.1.2 Bảo mật các dịch vụ ứng dụng trên mạng công cộng
Kiểm soát
Thông tin liên quan đến các dịch vụ ứng dụng chạy ngang qua các mạng
công cộng nên được bảo vệ khỏi các hành động gian lận, tranh chấp hợp
đồng và tiết lộ và sửa đổi trái phép.

Các cân nhắc về bảo mật thông tin đối với các dịch vụ ứng dụng chạy ngang
qua các mạng công cộng nên bao gồm những điều dưới đây:
a) mức độ tin cậy mà mỗi bên yêu cầu về danh tính đã xác nhận của bên kia,
ví dụ: thông qua xác thực;
b) các quy trình ủy quyền liên quan đến người có thể phê duyệt nội dung
của, phát hành hoặc ký các tài liệu giao dịch chủ yếu;
c) đảm bảo rằng các đối tác giao tiếp được thông báo đầy đủ về các ủy
quyền của họ đối với việc cung cấp hoặc sử dụng dịch vụ;
d) xác định và đáp ứng các yêu cầu về tính bảo mật, tính toàn vẹn, bằng
chứng về việc gửi và nhận các tài liệu quan trọng và các hợp đồng không-
từ chối, ví dụ liên quan đến các quy trình đấu thầu và hợp đồng;
e) mức độ tin cậy được yêu cầu đối với tính toàn vẹn của các tài liệu quan
trọng;
f) các yêu cầu bảo vệ bất kỳ thông tin bí mật nào;
g) tính bảo mật và toàn vẹn của bất kỳ giao dịch đặt hàng, thông tin thanh
toán, chi tiết địa chỉ giao hàng và xác nhận nhận hàng;
h) mức độ xác minh tương ứng để xác minh thông tin thanh toán được cung
cấp bởi một khách hàng;
i) lựa chọn hình thức thanh toán thích hợp nhất để đề phòng gian lận;
j) mức độ bảo vệ được yêu cầu để duy trì tính bảo mật và toàn vẹn của
thông tin đặt hàng;
k) ngăn ngừa sự mất mát hoặc trùng lặp thông tin giao dịch;
l) trách nhiệm pháp lý liên quan tới bất kỳ giao dịch gian lận nào;
m) các yêu cầu bảo hiểm.
Rất nhiều trong số các cân nhắc nói trên có thể được giải quyết bởi việc áp
dụng các kiểm soát mã hóa (xem Điều 10 ), có tính đến việc tuân thủ các yêu
cầu pháp lý (xem Điều 18 , đặc biệt là 18.1.5 về các luật về mã hóa).
Các thỏa thuận về dịch vụ ứng dụng giữa các đối tác phải được hỗ trợ bởi
một thỏa thuận được lập thành văn bản cam kết rằng cả hai bên tuân theo các
điều khoản dịch vụ đã thỏa thuận, bao gồm các chi tiết về ủy quyền (xem
điểm b) ở trên).
Các yêu cầu về khả năng phục hồi chống lại các cuộc tấn công nên được xem
xét, có thể bao gồm các yêu cầu để bảo vệ các máy chủ ứng dụng liên quan
hoặc đảm bảo tính sẵn sàng của các kết nối mạng cần thiết để cung cấp dịch
vụ.
83 | P a g e
14.1.3 Bảo vệ các giao dịch dịch vụ ứng dụng

Kiểm soát
Thông tin có liên quan đến các giao dịch dịch vụ ứng dụng nên được bảo vệ
để ngăn chặn sự chuyển giao không hoàn chỉnh, định tuyến sai, sửa đổi
thông điệp trái phép, tiết lộ trái phép, sao chép hoặc phát lại trái phép thông
điệp.

Các cân nhắc bảo mật thông tin cho những giao dịch dịch vụ ứng dụng nên
bao gồm những điều dưới đây:
a) sử dụng chữ ký điện tử bởi các bên có tham gia vào giao dịch;
b) tất cả các khía cạnh của giao dịch, nghĩa là đảm bảo rằng:
1) thông tin xác minh bí mật của người dùng của tất cả các bên là hợp
lệ và xác thực;
2) giao dịch vẫn giữ được tính bảo mật;
3) quyền riêng tư liên quan tới tất cả các bên vẫn được đảm bảo;
c) kênh truyền thông giữa tất cả các bên liên quan được mã hóa;
d) các giao thức được sử dụng để giao tiếp giữa tất cả các bên liên quan
được bảo mật;
e) đảm bảo rằng các chi tiết giao dịch được lưu trữ bên ngoài tất cả các môi
trường công cộng có thể truy cập được, nghĩa là trên một nền tảng lưu trữ
hiện hữu trên mạng intranet của tổ chức, và không được lưu giữ và phơi
bày trên một phương tiện lưu trữ có thể truy cập trực tiêp từ Internet.;
f) khi một cơ quan có thẩm quyền đáng tin cậy được sử dụng (ví dụ: cho
mục đích ban hành và duy trì chữ ký kỹ thuật số hoặc chứng chỉ kỹ thuật
số), bảo mật được tích hợp và nhúng vào trong toàn bộ quy trình quản lý
chứng chỉ/chữ ký đầu cuối.
Thông tin khác
Mức độ của các kiểm soát đã thông qua cần phải tương xứng với mức độ rủi
ro tương ứng với mỗi hình thức giao dịch dịch vụ ứng dụng.
Các giao dịch có thể cần phải tuân thủ các yêu cầu và quy định pháp lý trong
khu vực pháp lý mà giao dịch được tạo ra, xử lý thông qua, hoàn thành hoặc
được lưu trữ.
14.2 Bảo mật trong giai đoạn phát triển và các quy trình hỗ trợ
Mục tiêu : Để đảm bảo rằng bảo mật thông tin được thiết kế và triển khai
trong vòng đời phát triển của các hệ thống thông tin.
14.2.1 Chính sách bảo mật phát triển

Kiểm soát
Các quy tắc về việc phát triển phần mềm và các hệ thống nên được thiết lập
và áp dụng cho các phát triển trong tổ chức.
84 | P a g e

Bảo mật phát triển là một yêu cầu xây dựng nên một dịch vụ, kiến trúc, phần
mềm và hệ thống được đảm bảo an toàn. Trong phạm vi một chính sách bảo
mật phát triển, những khía cạnh dưới đây nên được cân nhắc:
a) bảo mật môi trường phát triển;
b) hướng dẫn về bảo mật trong vòng đời phát triển phần mềm;
1) bảo mật trong phương pháp phát triển phần mềm;
2) hướng dẫn bảo mật mã (phần mềm) cho mỗi ngôn ngữ lập trình
được sử dụng;
c) các yêu cầu bảo mật trong giai đoạn thiết kế;
d) các điểm kiểm tra bảo mật trong các cột mốc thời gian quan trọng của dự
án;
e) kho lưu trữ an toàn;
f) bảo mật trong kiểm soát phiên bản;
g) kiến thức bảo mật ứng dụng được yêu cầu;
h) năng lực của nhà phát triển trong việc ngăn ngừa, tìm kiếm và sửa chữa
các lỗ hổng.
Các kỹ thuật bảo mật lập trình nên được sử dụng đối với cả những phát triển
mới và trong các kịch bản tái sử dụng mã khi các tiêu chuẩn được áp dụng
cho việc phát triển có thể không được biết đến hoặc không nhất quán với
thực tiễn tốt nhất hiện hành. Các tiêu chuẩn bảo mật mã phần mềm nên được
cân nhắc và ủy quyền sử dụng nếu có liên quan. Các nhà phát triển nên được
đào tạo trong cách sử dụng và thử nghiệm của họ và việc xem xét mã nên
xác minh cách sử dụng của họ.
Nếu việc phát triển được thuê ngoài, tổ chức nên đạt được sự đảm bảo rằng
bên thứ ba bên ngoài tuân thủ các quy tắc nói trên về bảo mật phát triển
(xem 14.2.7 ).
Thông tin khác

Việc phát triển cũng có thể diễn ra bên trong các ứng dụng chẳng hạn như
ứng dụng văn phòng, tập lệnh theo kịch bản, trình duyệt và cơ sở dữ liệu.
14.2.2 Các thủ tục kiểm soát thay đổi hệ thống

Kiểm soát
Những thay đổi đối với vòng đời phát triển nên được kiểm soát bởi việc sử
dụng các thủ tục kiểm soát thay đổi chính thức.

Các thủ tục kiểm soát thay đổi chính thức nên được ghi lại bằng văn bản và
được thi hành để đảm bảo tính toàn vẹn của hệ thống, các ứng dụng và các
sản phẩm, từ giai đoạn thiết kế ban đầu thông qua mọi nỗ lực bảo trì tiếp
theo.
85 | P a g e
Việc giới thiệu hệ thống mới và những thay đổi chính trong hệ thống hiện
tại nên tuân theo một quy trình chính thức về việc lập thành tài liệu, đặc tả
kỹ thuật, kiểm nghiệm, kiểm soát chất lượng và triển khai được quản lý.
Quy trình này nên bao gồm một sự đánh giá rủi ro, phân tích về tác động của
các thay đổi và đặc tả kỹ thuật về các kiểm soát bảo mật cần thiết. Quy trình
này cũng nên đảm bảo rằng các thủ tục kiểm soát và bảo mật hiện tại không
bị vi phạm, rằng các lập trình viên hỗ trợ chỉ được cấp quyền truy cập vào
các phần của hệ thống cần thiết cho công việc của họ và rằng thỏa thuận và
phê duyệt chính thức cho bất kỳ thay đổi nào đã đạt được.
Bất cứ khi nào có thể, các thủ tục kiểm soát ứng dụng và vận hành nên được
tích hợp (xem 11.1.2 ). Các thủ tục kiểm soát thay đổi nên bao gồm nhưng
không giới hạn:
a) duy trì một hồ sơ về các mức độ ủy quyền được thỏa thuận;
b) đảm bảo các thay đổi đã được đệ trình bởi người dùng được ủy quyền;
c) xem xét các kiểm soát và các thủ tục toàn vẹn để đảm bảo rằng chúng sẽ
không bị vi phạm bởi các thay đổi;
d) xác định mọi phần mềm, thông tin, thực thể cơ sở dữ liệu và phần cứng
đòi hỏi sự điều chỉnh;
e) xác định và kiểm nghiệm mã bảo mật quan trọng để tối thiểu hóa khả
năng xảy ra của các điểm yếu bảo mật đã được biết đến;
f) đạt được phê duyệt chính thức cho các đề xuất được chi tiết hóa trước khi
công việc bắt đầu;
g) đảm bảo người dùng được ủy quyền chấp nhận các thay đổi trước khi
triển khai;
h) đảm bảo rằng bộ tài liệu hệ thống được cập nhật khi hoàn thành mỗi thay
đổi và rằng những tài liệu cũ đã được cất giữ hoặc loại bỏ;
i) duy trì một kiểm soát phiên bản cho mọi cập nhật phần mềm;
j) duy trì một dấu vết kiểm toán về mọi yêu cầu thay đổi;
k) đảm bảo rằng tài liệu vận hành (xem 12.1.1 ) và thủ tục người dùng được
thay đổi nếu cần thiết để vẫn còn tương thích;
l) đảm bảo rằng việc triển khai các thay đổi được thực hiện đúng thời gian
và không can thiệp đến các quy trình kinh doanh có liên quan.
Thông tin khác

Việc thay đổi phần mềm có thể ảnh hưởng đến môi trường vận hành và
ngược lại.
Thực tiễn tốt bao gồm việc kiểm nghiệm phần mềm mới trong một môi
trường tách biệt khỏi môi trường thực và môi trường phát triển (xem 12.1.4 ).
Việc này cung cấp một phương tiện để có quyền kiểm soát phần mềm mới và
cho phép bảo vệ bổ sung các thông tin vận hành được sử dụng cho mục đích
kiểm nghiệm. Điều này nên bao gồm các bản vá lỗi, các gói dịch vụ và cập
nhật khác.
86 | P a g e
Khi cập nhật tự động được xem xét, rủi ro đối với tính toàn vẹn và tính sẵn
sàng của hệ thống nên được cân nhắc so với lợi ích từ việc triển khai nhanh
chóng các cập nhật. Các cập nhật được tự động hóa không nên được sử dụng
cho các hệ thống quan trọng khi vài cập nhật có thể khiến cho ứng dụng bị
lỗi nghiêm trọng.
14.2.3 Xem xét kỹ thuật của ứng dụng sau khi nền tảng vận hành thay đổi
Kiểm soát
Khi nền tảng vận hành thay đổi, những ứng dụng kinh doanh quan trọng nên
được xem xét và kiểm nghiệm để đảm bảo rằng không gây ra ảnh hưởng bất
lợi đối với việc vận hành tổ chức hoặc đối với bảo mật.

Quy trình này nên bao gồm:
a) xem xét về kiểm soát ứng dụng và các thủ tục toàn vẹn để đảm bảo rằng
chúng đã không bị vi phạm bởi sự thay đổi nền tảng vận hành;
b) đảm bảo rằng thông báo về việc thay đổi nền tảng vận hành được cung
cấp kịp thời để cho phép các kiểm nghiệm và xem xét được thực hiện
trước khi triển khai;
c) đảm bảo rằng những thay đổi phù hợp được thực hiện đối với kế hoạch
kinh doanh liên tục (xem Điều 17 ).
Thông tin khác

Nền tảng vận hành bao gồm hệ điều hành, cơ sở dữ liệu và các nền tảng phần
mềm trung gian. Kiểm soát cũng nên được áp dụng cho các thay đổi trong
ứng dụng.
14.2.4 Những hạn chế trong thay đổi đối với các gói phần mềm
Kiểm soát
Việc điều chỉnh các gói phần mềm không nên được khuyến khích, nên giới
hạn ở các thay đổi cần thiết và mọi thay đổi nên được kiểm soát chặt chẽ.

Trong chừng mực có thể và khả thi, các gói phần mềm do nhà cung cấp cung
cấp nên được sử dụng mà không cần điều chỉnh. Khi một gói phần mềm cần
được điều chỉnh, những điểm dưới đây nên được xem xét:
a) rủi ro về các kiểm soát được dựng sẵn và các quy trình toàn vẹn bị xâm
phạm;
b) liệu rằng việc điều chỉnh có cần sự cho phép của nhà cung cấp hay
không;
c) khả năng có được các thay đổi được yêu cầu từ nhà cung cấp nhu là các
cập nhật chương trình tiêu chuẩn;
d) tác động nếu tổ chức phải chịu trách nhiệm cho việc bảo trì phần mềm
trong tương lai như là kết quả của sự thay đổi;
87 | P a g e
e) tính tương thích với các phần mềm đang sử dụng.
Nếu những thay đổi là cần thiết, nguyên bản của phần mềm nên được giữ lại
và những thay đổi được áp dụng trên một bản sao được chỉ định (của phần
mềm). Một quy trình quản lý cập nhật phần mềm nên được triển khai để đảm
bảo phần lớn các bản vá được phê duyệt và các cập nhật ứng dụng hiện hành
được cài đặt trên mọi phần mềm được ủy quyền (xem 12.6.1 ). Mọi thay đổi
nên được kiểm nghiệm và lập thành tài liệu một cách đầy đủ, để từ đó chúng
có thể được tái áp dụng nếu cần thiết, đối với các cập nhật phần mềm trong
tương lai. Nếu được yêu cầu, các sửa đổi nên được kiểm nghiệm và thông
qua bởi một cơ quan đánh giá độc lập.
14.2.5 Các nguyên tắc kỹ thuật bảo mật hệ thống

Kiểm soát
Các nguyên tắc về kỹ thuật bảo mật hệ thống nên được thiết lập, lập thành
văn bản, duy trì và áp dụng cho bất kỳ nỗ lực triển khai hệ thống thông tin
nào.

Các thủ tục kỹ thuật bảo mật hệ thống thông tin dựa trên các nguyên tắc kỹ
thuật bảo mật nên được thiết lập, lập thành văn bản và áp dụng cho các hoạt
động kỹ thuật hệ thống thông tin nội bộ. Bảo mật nên được thiết kế trong
mọi lớp kiến trúc (doanh nghiệp, dữ liệu, các ứng dụng và công nghệ) cân
bằng nhu cầu bảo mật thông tin với nhu cầu về tính khả dụng. Công nghệ
mới nên được phân tích về bảo mật thông tin và thiết kế nên được xem xét
chống lại các hình thái tấn công đã được biết đến.
Những nguyên tắc này và các thủ tục kỹ thuật đã được thiết lập nên được
xem xét một cách thường xuyên để đảm bảo rằng chúng đóng góp một cách
hiệu quả cho các tiêu chuẩn tăng cường bảo mật trong các quy trình kỹ
thuật. Chúng cũng nên được xem xét một cách thường xuyên để đảm bảo
rằng chúng vẫn được cập nhật trong điều kiện chống lại bất kỳ mối đe dọa
tiềm ẩn mới nào và vẫn có thể được áp dụng cho những tiến bộ trong công
nghệ và giải pháp đang được áp dụng.
Các nguyên tắc bảo mật kỹ thuật đã được thiết lập nên được áp dụng, nếu
có thể, cho những hệ thống thông tin được thuê ngoài thông qua các hợp
đồng và những thỏa thuận ràng buộc giữa tổ chức và nhà cung cấp mà tổ
chức đang thuê ngoài. Tổ chức nên xác nhận rằng sự nghiêm ngặt trong các
nguyên tắc bảo mật kỹ thuật của nhà cung cấp có thể so sánh được với cái
(các nguyên tắc bảo mật kỹ thuật) mà tổ chức đang có.
Thông tin khác

Các thủ tục phát triển ứng dụng nên áp dụng các kỹ thuật bảo mật kỹ thuật
trong giai đoạn phát triển ứng dụng mà đang có các giao diện đầu vào và đầu
88 | P a g e
ra. Các kỹ thuật bảo mật kỹ thuật cung cấp hướng dẫn về các kỹ thuật xác
minh người dùng, kiểm soát phiên làm việc bảo mật, và phê chuẩn dữ liệu,
khử và loại bỏ mã gỡ lỗi.
14.2.6 Bảo vệ môi trường phát triển

Kiểm soát
Tổ chức nên thiết lập và bảo vệ một các thích đáng các môi trường phát
triển bảo mật dành cho phát triển hệ thống và những nỗ lực tích hợp bao
trùm toàn bộ vòng đời phát triển hệ thống.
Một môi trường phát triển an toàn bao gồm con người, các quy trình và công
nghệ liên quan tới phát triển và tích hợp hệ thống.
Tổ chức nên đánh giá các rủi ro liên quan tới những nỗ lực phát triển hệ
thống đơn lẻ và thiết lập những môi trường phát triển an toàn cho những nỗ
lực phát triển hệ thống cụ thể, cân nhắc các yếu tố dưới đây:
a) độ nhạy cảm của dữ liệu được xử lý, lưu trữ và truyền tải bởi hệ thống;
b) các yêu cầu nội bộ và bên ngoài có thể áp dụng, ví dụ từ các quy định
pháp lý và các chính sách;
c) các kiểm soát bảo mật đã được triển khai bởi tổ chức hỗ trợ cho phát
triển hệ thống;
d) độ tin cậy của nhân viên đang làm việc trong môi trường (xem 7.1.1 );
e) mức độ thuê ngoài liên quan đến phát triển hệ thống;
f) nhu cầu về sự tách biệt giữa các môi trường phát triển khác nhau;
g) kiểm soát truy cập tới môi trường phát triển;
h) sự giám sát thay đổi đối với môi trường và mã (phần mềm) được lưu trữ
trong nó;
i) sao lưu và khôi phục tại vị trí ngoại biên an toàn;
j) kiểm soát việc luân chuyển dữ liệu đến và đi khỏi môi trường.
Một khi mức độ bảo vệ được xác định cho một môi trường phát triển cụ thể,
tổ chức nên lập thành tài liệu tương ứng với các quy trình trong các thủ tục
bảo mật môi trường và cung cấp chúng cho tất cả các cá nhân cần đến chúng.
14.2.7 Phát triển được thuê ngoài

Kiểm soát
Tổ chức nên quản lý và giám sát những hoạt động trong việc phát triển hệ
thống được thuê ngoài.

Nếu việc phát triển hệ thống được thuê ngoài, những điểm dưới đây nên
được xem xét trong toàn bộ chuỗi cung cấp bên ngoài của tổ chức:
a) các thỏa thuận cấp phép, chủ sở hữu mã (phần mềm) và quyền tài sản sở
hữu trí tuệ liên quan đến những nội dung được thuê ngoài (xem 18.1.2 );
89 | P a g e
b) các yêu cầu hợp đồng về bảo mật thiết kế, lập trình và kiểm tra thực tế
(xem 14.2.1 );
c) cung cấp mô hình nguy cơ đã được phê duyệt cho nhà phát triển bên
ngoài;
d) kiểm nghiệm chấp thuận về chất lượng và độ chính xác của các sản phẩm
đã bàn giao;
e) cung cấp bằng chứng rằng các ngưỡng bảo mật đã sử dụng để thiết lập
mức độ chấp thuận tối thiểu về chất lượng của bảo mật và quyền riêng
tư;
f) cung cấp bằng chứng rằng kiểm nghiệm đầy đủ đã được áp dụng để bảo
vệ chống lại sự vắng mặt của cả các nội dung độc hại cố ý và vô ý khi
bàn giao (đoạn này đọc không hiểu – người dịch );
g) cung cấp bằng chứng rằng kiểm nghiệm đầy đủ đã được áp dụng để bảo
vệ chống lại sự tồn tại của các lỗ hổng đã được biết đến;
h) các thỏa thuận giao kèo, ví dụ nếu mã nguồn không còn khả dụng;
i) quyền kiểm toán các kiểm soát và quy trình phát triển thuộc về hợp đồng;
j) tài liệu hiệu quả về môi trường xây dựng được sử dụng để tạo ra các sản
phẩm có thể bàn giao được;
k) tổ chức vẫn có trách nhiệm tuân thủ các luật lệ và xác minh hiệu quả
kiểm soát có thể áp dụng được.
Thông tin khác

Thông tin thêm về mối quan hệ với nhà cung cấp có thể tìm thấy trong
ISO/IEC 27036. ( 2 1 ) ( 2 2 ) ( 2 3 )
14.2.8 Kiểm nghiệm bảo mật hệ thống

Kiểm soát
Việc kiểm nghiệm chức năng bảo mật nên được tiến hành trong quá trình
phát triển.

Các hệ thống mới và được cập nhật đòi hỏi việc kiểm nghiệm và xác minh
kỹ lưỡng trong suốt các quá trình phát triển, bao gồm sự chuẩn bị một lịch
biểu chi tiết các hoạt động và các đầu vào kiểm nghiệm và những đầu ra
được kỳ vọng trong một loạt các điều kiện. Đối với các phát triển bởi nội
bộ, ban đầu các kiểm nghiệm như vậy nên được hoàn thành bởi nhóm phát
triển. Việc kiểm nghiệm chấp thuận độc lập nên được thực hiện (đối với cả
các phát triển bởi nội bộ lẫn thuê ngoài) để đảm bảo rằng hệ thống hoạt
động như được kỳ vọng và chỉ như kỳ vọng (xem 14.1.1 và 14.2.9 ). Mức độ
của thử nghiệm nên tương xứng với tầm quan trọng và bản chất của hệ
thống.
14.2.9 Kiểm nghiệm chấp thuận hệ thống

Kiểm soát
90 | P a g e
Các chương trình kiểm nghiệm chấp thuận và các tiêu chí liên quan nên
được thiết lập cho các hệ thống thông tin mới, cập nhật và phiên bản mới.

Kiểm nghiệm chấp thuận hệ thống nên bao gồm kiểm nghiệm các yêu cầu
bảo mật thông tin (xem 14.1.1 và 14.1.2 ) và tuân thủ các thông lệ phát triển
hệ thống an toàn (xem 14.2.1 ). Việc kiểm nghiệm nên được tiến hành khi
nhận được các thành phần và hệ thống được tích hợp. Các tổ chức có thể tận
dụng các công cụ được tự động hóa, chẳng hạn như các công cụ phân tích mã
hoặc các máy quét lỗ hổng, và nên xác minh việc khắc phục các lỗi liên
quan đến bảo mật.
Việc kiểm nghiệm nên được hoàn thành trong một môi trường kiểm nghiệm
thực tế để đảm bảo rằng hệ thống sẽ không tạo ra các lỗ hổng bảo mật cho
môi trường của tổ chức và rằng các kiểm nghiệm đó là đáng tin cậy.
14.3 Dữ liệu kiểm nghiệm

Mục tiêu : Để đảm bảo sự bảo vệ cho dữ liệu được sử dụng trong kiểm
nghiệm.
14.3.1 Bảo vệ dữ liệu kiểm nghiệm

Kiểm soát
Dữ liệu kiểm nghiệm nên được lựa chọn một cách cẩn trọng, được bảo vệ và
được kiểm soát.

Nên tránh việc sử dụng dữ liệu vận hành có chứa những thông tin định danh
cá nhân hoặc bất kỳ thông tin mật nào khác cho việc kiểm nghiệm. Nếu
thông tin định danh cá nhân hoặc mặt khác, thông tin bí mật được sử dụng
cho mục đích kiểm nghiệm, mọi chi tiết và nội dung nhạy cảm nên được bảo
vệ bởi sự xóa bỏ hoặc điều chỉnh (xem ISO/IEC 29101 ( 2 6 ) ).
Những hướng dẫn dưới đây nên được áp dụng để bảo vệ dữ liệu vận hành,
khi được sử dụng cho mục đích kiểm nghiệm:
a) các thủ tục kiểm soát truy cập đang áp dụng cho các hệ thống ứng dụng
vận hành, cũng được áp dụng cho các hệ thống kiểm nghiệm ứng dụng;
b) nên được ủy quyền riêng biệt mỗi khi thông tin vận hành được sao chép
qua môi trường kiểm nghiệm;
c) thông tin vận hành nên được xóa khỏi một môi trường vận hành ngay lập
tức sau khi việc kiểm nghiệm hoàn tất;
d) việc sao chép và sử dụng thông tin vận hành nên được ghi nhật ký để
cung cấp một dấu vết kiểm toán.
Thông tin khác
91 | P a g e
Kiểm nghiệm hệ thống và kiểm nghiệm chấp thuận thường đòi hỏi một lượng
đáng kể dữ liệu kiểm nghiệm giống với dữ liệu vận hành càng tốt.
15 Mối quan hệ với nhà cung cấp

Mục tiêu : Để đảm bảo sự bảo vệ cho tài sản của tổ chức mà có thể truy cập
được bởi các nhà cung cấp.
15.1.1 Chính sách bảo mật thông tin đối với mối quan hệ với nhà cung cấp
Kiểm soát
Các yêu cầu bảo mật thông tin để giảm thiểu rủi ro tương ứng với sự truy
cập của nhà cung cấp đến các tài sản của tổ chức nên được thỏa thuận với
nhà cung cấp và được lập thành tài liệu.

Tổ chức nên xác định và bắt buộc các kiểm soát bảo mật thông tin trong một
chính sách để giải quyết một cách đặc biệt sự truy cập của nhà cung cấp tới
thông tin của tổ chức. Những kiểm soát này nên giải quyết các quy trình và
thủ tục sẽ được triển khai bởi tổ chức, cũng như là những quy trình và thủ
tục mà tổ chức nên yêu cầu nhà cung cấp triển khai, bao gồm:
a) xác định và lập thành văn bản các kiểu nhà cung cấp, ví dụ: dịch vụ
CNTT, các tiện ích hậu cần, các dịch vụ tài chính, các thành phần cơ sở
hạ tầng CNTT mà tổ chức sẽ cho phép truy cập thông tin của mình;
b) một quy trình và vòng đời được tiêu chuẩn hóa để quản lý các mối quan
hệ với nhà cung cấp;
c) xác định các kiểu truy cập thông tin mà các kiểu nhà cung cấp khác nhau
sẽ được phép, và sự giám sát và kiểm soát việc truy cập;
d) các yêu cầu tối thiểu về bảo mật thông tin đối với từng loại thông tin và
loại truy cập để làm cơ sở cho các thỏa thuận với nhà cung cấp riêng lẻ
dựa trên nhu cầu và yêu cầu kinh doanh của tổ chức và hồ sơ rủi ro của
họ (nhà cung cấp – người dịch );
e) các quy trình và thủ tục để giám sát việc tuân thủ các yêu cầu an toàn
thông tin đã được thiết lập đối với từng loại nhà cung cấp và loại hình
truy cập, bao gồm việc đánh giá bên thứ ba và thông qua sản phẩm;
f) các biện pháp kiểm soát tính chính xác và tính đầy đủ để đảm bảo tính
toàn vẹn của thông tin hoặc quá trình xử lý thông tin do một trong hai
bên cung cấp;
g) các loại nghĩa vụ có thể áp dụng cho các nhà cung cấp để bảo vệ thông
tin của tổ chức;
h) xử lý các sự cố và tình huống dự phòng liên quan đến sự truy cập của nhà
cung cấp bao gồm cả trách nhiệm của cả tổ chức và nhà cung cấp;
i) khả năng phục hồi và nếu cần, các thỏa thuận phục hồi và dự phòng để
đảm bảo tính sẵn có của thông tin hoặc việc xử lý thông tin do một trong
hai bên cung cấp;
j) đào tạo nhận thức cho nhân viên của tổ chức liên quan đến việc mua lại
tương ứng với các chính sách, quy trình và thủ tục có thể áp dụng;
92 | P a g e
k) đào tạo nhận thức cho nhân viên của tổ chức tương tác với nhân viên của
nhà cung cấp về các quy tắc hợp tác và hành vi thích hợp dựa trên loại
nhà cung cấp và mức độ truy cập của nhà cung cấp đối với hệ thống và
thông tin của tổ chức;
l) các điều kiện theo đó các yêu cầu và kiểm soát an toàn thông tin sẽ được
lập thành văn bản trong một thỏa thuận được ký bởi cả hai bên;
m) quản lý các quá trình chuyển đổi thông tin cần thiết, các phương tiện xử
lý thông tin và bất kỳ thứ gì khác cần được di chuyển và đảm bảo rằng an
toàn thông tin được duy trì trong suốt giai đoạn chuyển đổi.
Thông tin khác

Thông tin có thể gặp phải rủi ro gây ra bởi nhà cung cấp với sự quản lý bảo
mật thông tin không đầy đủ. Các kiểm soát nên được xác định và áp dụng để
quản lý truy cập của nhà cung cấp tới các thiết bị xử lý thông tin. Ví dụ, nếu
có một nhu cầu đặc biệt cho tính bảo mật của thông tin, các thỏa thuận
không tiết lộ có thể được sử dụng. Một ví dụ khác là rủi ro bảo vệ dữ liệu
khi thỏa thuận với nhà cung cấp tham gia vào truyền tải, hoặc truy cập tới,
thông tin xuyên qua ranh giới (của tổ chức). Tổ chức cần nhận thức được
rằng trách nhiệm pháp lý hoặc trách nhiệm hợp đồng về việc bảo vệ thông
tin vẫn là của tổ chức.
15.1.2 Giải quyết vấn đề bảo mật trong các thỏa thuận với nhà cung cấp
Kiểm soát
Mọi yêu cầu bảo mật thông tin liên quan nên được thiết lập và thỏa thuận
với từng nhà cung cấp mà có thể truy cập, xử lý, lưu trữ, truyền thông hoặc
cung cấp các thành phần cơ sở hạ tầng CNTT cho, hoặc thông tin của tổ
chức.

Các thỏa thuận với nhà cung cấp nên được thiết lập và lập thành văn bản để
đảm bảo rằng không có sự hiểu nhầm giữa tổ chức và nhà cung cấp liên quan
đến trách nhiệm pháp lý của cả hai bên để hoàn thành các yêu cầu bảo mật
thông tin liên quan.
Những điều khoản dưới đây nên được xem xét để đưa vào các thỏa thuận
nhằm đáp ứng các yêu cầu bảo mật thông tin đã được xác định:
a) mô tả thông tin sẽ được cung cấp hoặc truy cập và các phương pháp để
cung cấp hoặc truy cập tới thông tin;
b) phân loại thông tin tương ứng với kế hoạch phân loại (thông tin) của tổ
chức (xem 8.2 ), nếu cần thiết, bao gồm cả ánh xạ giữa kế hoạch phân loại
của tổ chức và kế hoạch phân loại của nhà cung cấp;
c) các yêu cầu pháp lý và quy định, bao gồm bảo vệ dữ liệu, quyền sở hữu
trí tuệ và bản quyền, và một mô tả về cách chúng được đảm bảo sẽ đáp
ứng như thế nào;
93 | P a g e
d) nghĩa vụ pháp lý của mỗi bên trong hợp đồng để triển khai một tập hợp
các kiểm soát bao gồm kiểm soát truy cập, xem xét hiệu suất, giám sát,
báo cáo và kiểm toán;
e) các quy tắc sử dụng thông tin được chấp nhận, bao gồm cả việc sử dụng
không được chấp nhận nếu cần thiết;
f) danh sách rõ ràng các nhân viên của nhà cung cấp được phép truy cập
hoặc nhận thông tin của tổ chức hoặc các thủ tục hoặc điều kiện để được
ủy quyền, và xóa bỏ sự ủy quyền, để nhân viên nhà cung cấp truy cập
hoặc nhận thông tin của tổ chức;
g) các chính sách bảo mật thông tin liên quan đến hợp đồng cụ thể;
h) các yêu cầu và thủ tục quản lý sự cố (đặc biệt là việc thông báo và sự
cộng tác trong quá trình khắc phục sự cố);
i) các yêu cầu đào tạo và nâng cao nhận thức đối với các thủ tục cụ thể và
các yêu cầu về bảo mật thông tin, ví dụ: để ứng phó sự cố, các thủ tục ủy
quyền;
j) các quy định liên quan đối với hợp đồng phụ, bao gồm các kiểm soát cần
được triển khai;
k) các thỏa thuận đối tác có liên quan, bao gồm người liên hệ về các vấn đề
bảo mật thông tin;
l) l) các yêu cầu sàng lọc, nếu có, đối với nhân viên của nhà cung cấp, bao
gồm trách nhiệm tiến hành sàng lọc và các thủ tục thông báo nếu việc
sàng lọc chưa được hoàn thành hoặc nếu kết quả dẫn tới nguyên nhân gây
nghi ngờ hoặc lo ngại;
m) quyền kiểm toán ( của tổ chức – người dịch ) các quy trình của nhà cung
cấp và các kiểm soát liên quan đến thỏa thuận;
n) các quy trình giải quyết lỗi và giải quyết xung đột;
o) nghĩa vụ pháp lý của nhà cung cấp phải cung cấp định kỳ một báo cáo
độc lập về tính hiệu quả của các biện pháp kiểm soát và thỏa thuận về
việc sửa chữa kịp thời các vấn đề liên quan được nêu trong báo cáo;
p) nghĩa vụ của nhà cung cấp để tuân thủ các yêu cầu bảo mật của tổ chức.
Thông tin khác

Các thỏa thuận có thể khác nhau một cách đáng kể giữa các tổ chức khsc
nhau và với các kiểu nhà cung cấp khác nhau. Do đó, nên cẩn trọng để bao
gồm mọi rủi ro và yêu cầu bảo mật thông tin có liên quan. Các thỏa thuận
với nhà cung cấp cũng có thể liên quan đến các bên khác (ví dụ nhà cung
cấp phụ).
Các thủ tục để tiếp tục xử lý trong trường hợp mà nhà cung cấp không thể
cung cấp các sản phẩm hoặc dịch vụ của họ nên được xem xét trong thỏa
thuận để tránh bất kỳ sự chậm trễ nào trong việc sắp xếp các sản phẩm hoặc
dịch vụ thay thế.
15.1.3 Chuỗi cung ứng công nghệ thông tin và truyền thông
Kiểm soát
94 | P a g e
Các thỏa thuận với nhà cung cấp nên bao gồm các yêu cầu để giải quyết
những rủi ro bảo mật thông tin liên quan đến chuỗi cung ứng các dịch vụ
công nghệ thông tin và truyền thông và sản phẩm.

Các chủ đề dưới đây nên được xem xét để bảo gồm trong các thỏa thuận với
nhà cung cấp liên quan đến bảo mật chuỗi cung ứng:
a) xác định các yêu cầu bảo mật thông tin để áp dụng cho việc mua lại sản
phẩm hoặc dịch vụ công nghệ thông tin và truyền thông bên cạnh các yêu
cầu chung về bảo mật thông tin đối với các mối quan hệ với nhà cung
cấp;
b) đối với các dịch vụ công nghệ thông tin và truyền thông, yêu cầu nhà
cung cấp phổ biến rộng rãi các yêu cầu bảo mật của tổ chức trong toàn bộ
chuỗi cung ứng nếu nhà cung cấp ký hợp đồng phụ cho các phần của dịch
vụ công nghệ thông tin và truyền thông được cung cấp cho tổ chức;
c) đối với các sản phẩm công nghệ thông tin và truyền thông, yêu cầu nhà
cung cấp phổ biến rộng rãi các thực tiễn bảo mật phù hợp trong toàn bộ
chuỗi cung ứng nếu các sản phẩm này bao gồm các thành phần được mua
từ các nhà cung cấp khác;
d) triển khai một quy trình giám sát và các phương pháp được chấp nhận để
xác nhận rằng các sản phẩm dịch vụ công nghệ thông tin và truyền thông
được chuyển giao tuân thủ các yêu cầu bảo mật đã được nêu;
e) triển khai một quy trình xác định các thành phần sản phẩm hoặc dịch vụ
quan trọng đối với việc duy trì chức năng và do đó đòi hỏi tăng cường sự
chú ý và giám sát khi được xây dựng bên ngoài tổ chức, đặc biệt nếu nhà
cung cấp cấp cao nhất thuê lại các yếu tố của sản phẩm hoặc thành phần
dịch vụ từ các nhà cung cấp khác;
f) đạt được sự đảm bảo rằng các thành phần quan trọng và nguồn gốc của
chúng có thể được truy tìm trong toàn bộ chuỗi cung ứng;
g) đạt được sự đảm bảo rằng các sản phẩm công nghệ thông tin và truyền
thông được chuyển giao đang hoạt động như mong đợi mà không có bất
kỳ tính năng bất ngờ hoặc không mong muốn nào;
h) xác định các quy tắc chia sẻ thông tin liên quan đến chuỗi cung ứng và
bất kỳ vấn đề tiềm ẩn và thỏa hiệp nào giữa tổ chức và nhà cung cấp;
i) triển khai các quy trình cụ thể để quản lý vòng đời và tính sẵn sàng của
thành phần công nghệ thông tin và truyền thông cũng như các rủi ro bảo
mật liên quan. Điều này bao gồm quản lý rủi ro về các thành phần không
còn khả dụng do các nhà cung cấp không còn kinh doanh hoặc các nhà
cung cấp không còn cung cấp các thành phần này do những tiến bộ công
nghệ.
Thông tin khác

Những thực tiễn quản lý rủi ro chuỗi cung ứng công nghệ thông tin và
truyền thông cụ thể được xây dựng dựa trên những thực tiễn chung về bảo
95 | P a g e
mật thông tin, chất lượng, quản lý dự án và kỹ thuật hệ thống nhưng không
thay thế chúng.
Các tổ chức được khuyến cáo để làm việc với các nhà cung cấp để hiểu về
chuỗi cung ứng công nghệ thông tin và truyền thông và bất kỳ vấn đề nào có
tác động quan trọng đến các sản phẩm và dịch vụ đang được cung cấp. Các
tổ chức có thể ảnh hưởng tới những thực tiễn bảo mật thông tin chuỗi cung
ứng công nghệ thông tin và truyền thông bằng cách làm rõ trong các thỏa
thuận với các nhà cung cấp của họ những vấn đề nên được giải quyết bởi các
nhà cung cấp khác trong chuỗi cung ứng công nghệ thông tin và truyền
thông.
Chuỗi cung ứng công nghệ thông tin và truyền thông được xác định ở đây
bao gồm dịch vụ điện toán đám mây.
15.2 Quản lý việc chuyển giao dịch vụ của nhà cung cấp
Mục tiêu : Để duy trì một mức thỏa thuận về bảo mật thông tin và chuyển
giao dịch vụ tương tự với các thỏa thuận với nhà cung cấp.
15.2.1 Giám sát và đánh giá các dịch vụ của nhà cung cấp
Kiểm soát
Các tổ chức nên giám sát, đánh giá, và kiểm toán thường xuyên việc chuyển
giao dịch vụ của nhà cung cấp.

Việc giám sát và đánh giá các dịch vụ của nhà cung cấp nên đảm bảo rằng
các điều khoản và điều kiện bảo mật thông tin của các thỏa thuận đang được
tuân thủ và rằng các sự cố và vấn đề bảo mật thông tin được quản lý một
cách đúng đắn.
Việc này nên liên quan đến một quy trình quan hệ quản lý dịch vụ giữa tổ
chức với nhà cung cấp để:
a) giám sát các mức hiệu suất dịch vụ để xác minh sự tuân thủ các thỏa
thuận;
b) đánh giá các báo cáo dịch vụ được cung cấp bởi nhà cung cấp và tổ chức
các cuộc họp tiến trình thường xuyên như được yêu cầu trong các thỏa
thuận;
c) tiến hành kiểm toán các nhà cung cấp, kết hợp với việc xem xét các báo
cáo của kiểm toán viên độc lập nếu có sẵn, và theo dõi các vấn đề đã
được xác định;
d) cung cấp thông tin về các sự cố bảo mật thông tin xem xét thông tin này
như được yêu cầu bởi các thỏa thuận và bất kỳ hướng dẫn và thủ tục hỗ
trợ nào;
96 | P a g e
e) xem xét các dấu vết kiểm toán nhà cung cấp và các hồ sơ về các sự kiện
bảo mật thông tin, các vấn đề trong vận hành, lỗi, truy vết các lỗi và các
gián đoạn liên quan đến các dịch vụ đã được chuyển giao;
f) giải quyết và quản lý bất kỳ vấn đề nào đã được xác định;
g) xem xét các khía cạnh bảo mật thông tin trong mối quan hệ của nhà cung
cấp với nhà cung cấp của họ;
h) đảm bảo rằng nhà cung cấp duy trì năng lực dịch vụ đầy đủ cùng với
những kế hoạch có thể hoạt động được thiết kế để đảm bảo rằng các mức
liên tục dịch vụ đã thỏa thuận được duy trì sau những lỗi dịch vụ hoặc
thảm họa nghiêm trọng (xem Điều 17 ).
Trách nhiệm trong việc quản lý mối quan hệ với nhà cung cấp nên được chỉ
định cho một cá nhân được bổ nhiệm hoặc đội quản lý dịch vụ. Ngoài ra, tổ
chức nên đảm bảo rằng các nhà cung cấp chỉnh định trách nhiệm xem xét sự
tuân thủ và thực thi các yêu cầu trong các thỏa thuận. Những kỹ năng kỹ
thuật và nguồn lực đầy đủ nên sẵn sàng để giám sát rằng những yêu cầu
trong thỏa thuận, đặc biệt là các yêu cầu bảo mật thông tin, đang được đáp
ứng. Những hành động thích đáng nên được thực hiện khi quan sát thấy sự
thiếu hụt trong dịch vụ cung cấp.
Tổ chức nên giữ kiểm soát tổng thể đầy đủ và minh bạch đối với mọi khía
cạnh bảo mật của thông tin hoặc thiết bị xử lý thông tin nhạy cảm hoặc
quan trọng được truy cập; xử lý hoặc quản lý bởi một nhà cung cấp. Tổ chức
cũng nên giữ tính minh bạch trong các hoạt động bảo mật chắng hạn như
quản lý thay đổi, xác định các lỗ hổng và báo cáo và phản ứng lại các sự cố
bảo mật thông tin thông qua một quy trình báo cáo được xác định.
15.2.2 Quản lý những thay đổi đối với nhà cung cấp các dịch vụ
Kiểm soát
Những thay đổi trong việc cung cấp các dịch vụ bởi các nhà cung cấp, bao
gồm bảo trì và cải thiện các chính sách, các thủ tục và các kiểm soát bảo
mật thông tin hiện hành, nên được quản lý, có tính đến tính chất quan trọng
của thông tin kinh doanh, các hệ thống và quy trình liên quan và tái đánh giá
rủi ro.

Những khía cạnh dưới đây nên được xem xét:
a) những thay đổi trong các thỏa thuận với nhà cung cấp;
b) những thay đổi được đưa ra bởi tổ chức để triển khai;
1) sự tăng cường những dịch vụ được đề xuất hiện hành;
2) phát triển bất kỳ ứng dụng và hệ thống mới;
3) điều chỉnh hoặc cập nhật các chính sách và thủ tục của tổ chức;
4) các kiểm soát mới hoặc được thay đổi để giải quyết các sự cố bảo
mật thông tin và để cải thiện bảo mật;
c) những thay đổi trong các dịch vụ của nhà cung cấp để triển khai:
97 | P a g e
1) những thay đổi và tăng cường trong hệ thống mạng;

2) sử dụng những công nghệ mới;
3) thông qua các sản phẩm mới hoặc các phiên bản/bản phát hành mới
hơn;
4) các công cụ và môi trường phát triển mới;
5) những thay đổi trong vị trí vật lý và các cơ sở vật chất dịch vụ;
6) thay đổi các nhà cung cấp;
7) hợp đồng con với nhà cung cấp khác.
16 Quản lý sự cố bảo mật thông tin

Mục tiêu : Để đảm bảo một sự nhất quán và phương pháp tiếp cận hiệu quả
đối với việc quản lý các sự cố bảo mật t hông tin, bao gồm truyền thông về
các sự kiện và điểm yếu bảo mật.
16.1 Quản lý sự cố bảo mật thông tin và các cải thiện

16.1.1 Trách nhiệm và các thủ tục
Kiểm soát
Trách nhiệm và các thủ tục quản lý nên được thiết lập để đảm bảo một phản
ứng nhanh, hiệu quả và ngăn nắp đối với các sự cố bảo mật thông tin.

Những hướng dẫn về trách nhiệm và các thủ tục quản lý liên quan tới quản
lý sự cố bảo mật thông tin nên được xem xét:
a) trách nhiệm quản lý nên được thiết lập để đảm bảo rằng những thủ tục
dưới đây được phát triển và truyền thông một cách thỏa đáng trong tổ
chức:
1) các thủ tục về kế hoạch và sự chuẩn bị cho phản ứng với sự cố;
2) các thủ tục giám sát, nhận dạng, phân tích và báo cáo về các sự
kiện và sự cố bảo mật thông tin;
3) các thủ tục về việc ghi lại nhật ký các hoạt động quản lý sự cố;
4) các thủ tục xử lý các bằng chứng pháp y;
5) các thủ tục đánh giá về và quyết định về các sự kiện bảo mật thông
tin và đánh giá về các điểm yếu bảo mật thông tin;
6) các thủ tục phản ứng bao gồm sự leo thang, khôi phục có kiểm soát
từ một sự cố và truyền thông nội bộ và cho những người hoặc tổ
chức bên ngoài;
b) các thủ tục đã thiết lập nên đảm bảo rằng:
1) nhân viên có trình độ xử lý những vấn đề liên quan tới các sự cố
bảo mật thông tin trong tổ chức;
2) đầu mối liên hệ dành cho việc phát hiện và báo cáo các sự cố bảo
mật được thiết lập;
3) những đầu mối liên hệ thích ứng với các cơ quan có thẩm quyền,
các nhóm hoặc diễn đàn lợi ích bên ngoài xử lý các vấn đề liên
quan tới các sự cố bảo mật thông tin, được duy trì;
c) các thủ tục báo cáo nên bao gồm:
98 | P a g e
1) sự chuẩn bị các hình thức báo cáo về sự kiện bảo mật thông tin để
hỗ trợ các hành động báo cáo và để giúp nhân viên báo cáo ghi nhớ
về mọi hành động cần thiết trong trường hợp xảy ra sự kiện bảo
mật thông tin;
2) thủ tục được thực hiện trong trường hợp xảy ra một sự kiện bảo
mật thông tin, ví dụ như ghi chú mọi chi tiết ngay lập tức, chẳng
hạn như kiểu không tuân thủ hoặc loại vi phạm, sự cố xảy ra, các
thông điệp trên màn hình và báo cáo ngay lập tức cho đầu mối liên
hệ và chỉ thực hiện nhũng hành động được sắp xếp;
3) tham chiếu tới một quy trình kỷ luật chính thức đã được thiết lập
để xử lý những nhân viên vi phạm bảo mật;
4) các quy trình phản hồi phù hợp để đảm bảo rằng những người báo
cáo về các sự kiện bảo mật được thông báo về kết quả sau khi vấn
đề được xử lý và đóng lại;
Những mục tiêu quản lý sự cố bảo mật thông tin nên được thỏa thuận với
cấp quản lý, và nó nên được đảm bảo rằng những người chịu trách nhiệm
quản lý sự cố bảo mật thông tin hiểu về các ưu tiên của tổ chức về xử lý các
sự cố bảo mật thông tin.
Thông tin khác

Các sự cố bảo mật thông tin có thể vượt ra khỏi ranh giới của tổ chức và
quốc gia. Để phản ứng lại với những sự cố như vậy, đòi hỏi phải gia tăng sự
phản ứng phối hợp và chia sẻ thông tin về những sự cố đó với các tổ chức
bên ngoài một các thích đáng.
Hướng dẫn chi tiết về quản lý sự cố bảo mật thông tin được cung cấp trong
ISO/IEC 27035. ( 2 0 )
16.1.2 Báo cáo các sự kiện bảo mật thông tin

Kiểm soát
Các sự kiện bảo mật thông tin nên được báo cáo thông qua các kênh quản lý
thích hợp càng sớm càng tốt.

Mọi nhân viên và nhà thầu nên được nâng cao nhận thức về trách nhiệm của
họ trong việc báo cáo các sự kiện bảo mật thông tin càng sớm càng tốt. Họ
cũng nên nhận thức được về thủ tục báo cáo các sự kiện bảo mật thông tin và
đầu mối liên hệ để báo cáo về những sự kiện bảo mật.
Những tình huống được cân nhắc về sự kiện bảo mật thông tin bao gồm:
a) kiểm soát bảo mật không hiệu quả;
99 | P a g e
b) vi phạm những kỳ vọng về tính toàn vẹn, bảo mật và sẵn sàng của thông
tin,
c) lỗi con người;
d) không tuân thủ các chính sách hoặc tiêu chuẩn;
e) vi phạm các thỏa thuận bảo mật vật lý;
f) những thay đổi hệ thống không được kiểm soát;
g) trục trặc phần cứng hoặc phần mềm;
h) vi phạm truy cập.
Thông tin khác

Trục trặc hoặc những hành vi bất thường khác của hệ thống có thể cho thấy
một cuộc tấn công bảo mật hoặc vi phạm bảo mật thực sự và do đó nên luôn
luôn được báo cáo như là một sự kiện bảo mật thông tin.
16.1.3 Báo cáo các điểm yếu bảo mật thông tin
Kiểm soát
Nhân viên và các nhà thầu đang sử dụng các hệ thống và dịch vụ thông tin
của tổ chức nên được yêu cầu ghi chú lại và báo cáo bất kỳ những điều quan
sát được hoặc nghi ngờ về các điểm yếu bảo mật thông tin của các hệ thống
hoặc dịch vụ.

Mọi nhân viên và nhà thầu nên báo cáo những vấn đề nói trên cho đầu mối
liên hệ càng nhanh càng tốt nhằm ngăn ngừa các sự cố bảo mật thông tin. Cơ
chế báo cáo nên càng dễ dàng, có thể truy cập và sẵn sàng càng tốt.
Thông tin khác

Nhân viên và nhà thầu nên được khuyến cáo không cố gắng để chứng minh
các điểm yếu bảo mật bị nghi ngờ. Việc kiểm tra các điểm yếu có thể thể
hiện cho khả năng sử dụng sai hệ thống và cũng có thể gây ra thiệt hại cho
hệ thống hoặc dịch vụ thông tin và dẫn đến trách nhiệm pháp lý đối với cá
nhân thực hiện việc kiểm tra.
16.1.4 Đánh giá và quyết định về các sự kiện bảo mật thông tin
Kiểm soát
Các sự kiện bảo mật thông tin nên được đánh giá và nên quyết định xem liệu
chúng (các sự kiện) có được phân loại là sự cố bảo mật thông tin hay không.

Đầu mối liên hệ nên đánh giá từng sự kiện bảo mật thông tin bằng cách sử
dụng thang phân loại sự cố và sự kiện bảo mật thông tin đã thỏa thuận và
quyết định xem sự kiện đó có được phân loại như là một sự cố bảo mật
thông tin hay không. Việc phân loại và thiết lập mức ưu tiên các sự cố có
thể giúp xác định tác động và quy mô của một sự cố.
100 | P a g e
Trong những trường hợp mà tổ chức có một đội ứng phó sự cố bảo mật thông
tin (ISIRT), việc đánh giá và ra quyết định có thể được chuyển tiếp cho
ISIRT để xác nhận hoặc đánh giá lại.
Kết quả của việc đánh giá và ra quyết định nên được ghi lại một cách chi
tiết cho mục đích tham chiếu và xác minh trong tương lai.
16.1.5 Ứng phó với các sự cố bảo mật thông tin

Kiểm soát
Các sự cố bảo mật thông tin nên được ứng phó một cách phù hợp với các thủ
tục đã được lập thành văn bản.

Các sự cố bảo mật thông tin nên được ứng phó bởi đầu mối liên lạc được chỉ
định và những người liên quan trong tổ chức hoặc bên thứ ba bên ngoài
(xem 16.1.1 ).
Việc ứng phó nên bao gồm những điều dưới đây:
a) thu thập bằng chứng càng sớm càng tốt sau khi xảy ra (sự cố);
b) tiến hành phân tích pháp y bảo mật thông tin, nếu được yêu cầu (xem
16.1.7 );
c) leo thang, nếu được yêu cầu;
d) đảm bảo rằng mọi hành động ứng phó liên quan được ghi nhật ký một
cách đúng đắn cho những phân tích sau này;
e) truyền thông về sự cố bảo mật thông tin hiện tại hoặc bất kỳ chi tiết nào
liên quan từ đó ( sự cố bảo mật hiện tại – người dịch ) cho những cá nhân
nội bộ và bên ngoài hoặc tổ chức theo nguyên tắc cần-được-biết;
f) xử lý (những) điểm yếu bảo mật thông tin được tìm thấy là gây ra hoặc
tham gia vào sự cố;
g) khi sự cố đã hoàn toàn được xử lý, đóng và ghi lại hồ sơ chính thức.
Phân tích trước (khi xảy ra) sự cố nên được tiến hành, nếu cần thiết, để xác
định nguồn của sự cố.
Thông tin khác

Mục tiêu hàng đầu của ứng phó sự cố là khôi phục lại “mức bảo mật bình
thường” và bắt đầu quá trình khôi phục cần thiết.
16.1.6 Rút kinh nghiệm từ các sự cố bảo mật thông tin

Kiểm soát
Kiến thức thu được từ việc phân tích và giải quyết các sự cố bảo mật thông
tin nên được sử dụng để giảm thiểu khả năng hoặc tác động của các sự cố
trong tương lai.

101 | P a g e
Nên có cơ chế hiện hữu để cho phép xác định kiểu, khối lượng và chi phí
cho các sự cố bảo mật thông tin. Thông tin thu được từ việc đánh giá các sự
cố bảo mật thông tin nên được sử dụng để xác định các sự cố định kỳ hoặc
có tác động lớn.
Thông tin khác

Việc đánh giá các sự cố bảo mật thông tin có thể chỉ ra nhu cầu về tăng
cường hoặc các kiểm soát bổ sung để giới hạn tần suất, thiệt hại và chi phí
của sự tái diễn ( sự cố - người dịch ) trong tương lai, hoặc được tính đến
trong quá trình xem xét chính sách bảo mật (xem 5.1.2 );
Với sự quan tâm đúng mức đến các yếu tố bảo mật, những giai thoại từ các
sự cố bảo mật thông tin thực tế có thể được sử dụng trong việc đào tạo nâng
cao nhận thức người dùng (xem 7.2.2 ) như là ví dụ về những gì có thể xảy
ra, làm thế nào để ứng phó với những sự cố như vậy và cách tránh chúng
trong tương lai.
16.1.7 Thu thập bằng chứng

Kiểm soát
Tổ chức nên xác định và áp dụng các thủ tục để xác định, thu thập, thu nhận
và bảo quản thông tin mà có thể làm bằng chứng.

Các thủ tục nội bộ nên được phát triển và tuân theo khi xử lý bằng chứng
cho mục đích kỷ luật và các hành động pháp lý.
Tổng thể, những thủ tục về bằng chứng này nên cung cấp các quy trình xác
định, thu thập, thu nhận và bảo quản bằng chứng một cách tương xứng với
các kiểu khác nhau của phương tiện, thiết bị và tình trạng thiết bị, ví dụ,
nguồn điện đang bật hay tắt. Những thủ tục này nên tính đến:
a) chuỗi hành trình sản phẩm;
b) sự an toàn của bằng chứng;
c) sự an toàn của nhân viên;
d) vai trò và trách nhiệm của những người liên quan;
e) trình độ chuyên môn của nhân viên;
f) tài liệu;
g) các cuộc họp tóm tắt;
Nếu có sẵn, nên tìm kiếm chứng nhận hoặc các phương tiện khác có liên
quan về trình độ nhân viên và các công cụ, để từ đó củng cố giá trị của các
bằng chứng được bảo quản.
Các bằng chứng pháp y có thể vượt quá ranh giới của tổ chức hoặc khu vực
pháp lý. Trong trường hợp đó, nên đảm bảo rằng tổ chức được phép thu thập
những thông tin cần thiết để làm bằng chứng pháp y. Các yêu cầu của các
102 | P a g e
khu vực pháp lý khác nhau cũng nên được cân nhắc để tối đa hóa cơ hội để
được thừa nhận trong các khu vực pháp lý có liên quan.
Thông tin khác

Xác định là quá trình liên quan đến việc tìm kiếm, công nhận và lập thành
văn bản những bằng chứng tiềm năng. Việc thu thập là quá trình thu thập
những đơn vị vật lý mà có thể bao hàm những bằng chứng tiềm năng. Thu
nhận là quá trình tạo ra một bản sao của dữ liệu trong một bộ đã được xác
định. Bảo quản là quá trình duy trì và bảo vệ tính toàn vẹn của điều kiện
nguyên thủy của bằng chứng tiềm năng.
ISO/IEC 27037 ( 2 4 ) cung cấp các hướng dẫn về xác định, thu thập, thu nhận
và bảo quản bằng chứng kỹ thuật số.
17 Các khía cạnh bảo mật thông tin trong quản lý kinh doanh liên
tục
17.1 Tính liên tục bảo mật thông tin
Mục tiêu : Tính liên tục bảo mật thông tin nên được gắn vào các hệ thống
quản lý kinh doanh liên tục của tổ chức.
17.1.1 Hoạch định bảo mật thông tin liên tục

Kiểm soát
Tổ chức nên xác định yêu cầu của mình về bảo mật thông tin và tính liên tục
của quản lý bảo mật thông tin trong những tình huống bất lợi, ví dụ, trong
một cuộc khủng hoảng hoặc thảm họa.

Một tổ chức nên xác định rằng bảo mật thông tin liên tục được gắn liền với
quy trình quản lý kinh doanh liên tục hay là trong quy trinh quản lý khôi
phục (sau) thảm họa. Csac yêu cầu bảo mật thông tin nên được xác định khi
hoạch định kinh doanh liên tục và khôi phục (sau) thảm họa.
Trong trường hợp không có kế hoạch kinh doanh liên tục, quản lý bảo mật
thông tin nên giả định rằng các yêu cầu bảo mật thông tin vẫn được giữ
nguyên trong các tình huống bất lợi, được so sánh với các điều kiện vận
hành bình thường. Ngoài ra, một tổ chức có thể hoàn thành một phân tích tác
động kinh doanh (BIA) của các khía cạnh bảo mật thông tin để xác định các
yêu cầu bảo mật thông tin có thể được áp dụng trong các tình huống bất lợi.
Thông tin khác

Trong trường hợp để giảm thiểu thời gian và nỗ lực của một phân tích tác
động kinh doanh “bổ sung” cho bảo mật thông tin, chúng tôi khuyến cáo gắn
các khía cạnh bảo mật thông tin vào quản lý kinh doanh liên tục thông
103 | P a g e
thường, hoặc phân tích tác động kinh doanh cho quản lý khôi phục (sau)
thảm họa. Điều này ngụ ý rằng các yêu cầu bảo mật thông tin liên tục được
xây dựng một cách rõ ràng trong các quy trình quản lý kinh doanh liên tục
hoặc quản lý khôi phục (sau) thảm họa.
Thông tin về quản lý kinh doanh liên tục có thể được tìm thấy trong
ISO/IEC 27031 ( 1 4 ) , ISO22313 ( 9 ) và ISO22031 ( 8 ) .
17.1.2 Triển khai bảo mật thông tin liên tục

Kiểm soát
Tổ chức nên thiết lâp, lập thành văn bản, triển khai và duy trì các quy trình,
thủ tục và các kiểm soát để đảm bảo được các mức độ được yêu cầu về tính
liên tục của bảo mật thông tin trong một tình huống bất lợi.

Một tổ chức nên đảm bảo rằng:
a) một cấu trúc quản lý đầy đủ được đưa ra để chuẩn bị cho, giảm thiểu và
ứng phó với một sự kiện gián đoạn bằng cách sử dụng nhân sự có đủ thẩm
quyền, kinh nghiệm và trình độ cần thiết;
b) nhân sự ứng phó sự cố với trách nhiệm, thẩm quyền và trình độ cần thiết
được bổ nhiệm để quản lý một sự cố và duy trì bảo mật thông tin;
c) các kế hoạch được lập thành văn bản, các thủ tục ứng phó và khôi phục
được phát triển và phê duyệt, chi tiết hoá cách mà tổ chức sẽ quản lý một
sự kiện gián đoạn và sẽ duy trì bảo mật thông tin của họ so với mức độ
đã được xác định trước như thế nào, dựa trên các mục tiêu bảo mật thông
tin đã được cấp quản lý phê duyệt (xem 17.1.1 );
Tuỳ thuộc vào các yêu cầu liên tục bảo mật thông tin, tổ chức nên thiết lập,
lập thành tài liệu, triển khai và duy trì:
a) các kiểm soát bảo mật thông tin trong các quy trình, thủ tục, các hệ thống
hỗ trợ và các công cụ kinh doanh liên tục hoặc khôi phục (sau) thảm hoạ;
b) các quy trình, các thủ tục và triển khai những thay đổi để duy trì các
kiểm soát bảo mật thông tin hiện hành trong một tình huống bất lợi;
c) các kiểm soát bù trừ cho các kiểm soát bảo mật thông tin mà không thể
duy trì trong một tình huống bất lợi.
Thông tin khác

Trong ngữ cảnh kinh doanh liên tục hoặc khôi phục (sau) thảm hoạ, các quy
trình và thủ tục cụ thể có thể đã được xác định. Thông tin được xử lý trong
các quy trình và thủ tục đó hoặc bên trong các hệ thống thông tin chuyên
biệt để hỗ trợ chúng nên được bảo vệ. Do đó, một tổ chức nên có sự tham
gia của các chuyên gia khi thiết lập, triển khai và duy trì các quy trình và
thủ tục kinh doanh liên tục hoặc khôi phục (sau) thảm hoạ.
104 | P a g e
Các kiểm soát bảo mật thông tin đã được triển khai nên tiếp tục được vận
hành trong một tình huống bất lợi. Nếu các kiểm soát bảo mật thông tin
không thể tiếp tục bảo vệ thông tin, các kiểm soát khác nên được thiết lập,
triển khai và duy trì để duy trì một mức độ chấp nhận được của bảo mật
thông tin.
17.1.3 Xác minh, xem xét và đánh giá bảo mật thông tin liên tục
Kiểm soát
Tổ chức nên xác minh một cách định kỳ và thường xuyên các kiểm soát bảo
mật thông tin liên tục đã được thiết lập và triển khai để đảm bảo rằng chúng
vẫn còn giá trị và hiệu quả trong các tình huống bất lợi.

Những thay đổi về tổ chức, kỹ thuật, thủ tục và quy trình, dù là trong bối
cảnh vận hành hay liên tục (kinh doanh), đều có thể dẫn tới những thay đổi
trong các yêu cầu bảo mật thông tin liên tục. Trong những trường hợp đó,
tính liên tục của các quy trình, thủ tục và kiểm soát về bảo mật thông tin
nên được xem xét so với các yêu cầu được thay đổi.
Tổ chức nên xác minh quản trị bảo mật thông tin liên tục của mình bằng
cách:
a) luyện tập và kiểm tra chức năng của các quy trình, thủ tục và các kiểm
soát bảo mật thông tin liên tục để đảm bảo rằng chúng nhất quán với các
mục tiêu bảo mật thông tin liên tục;
b) luyện tập và kiểm tra kiến thức và công việc thường ngày để vận hành
các quy trình, thủ tục và các kiểm soát bảo mật thông tin liên tục, để đảm
bảo rằng hiệu suất của chúng nhất quán với các mục tiêu bảo mật thông
tin liên tục;
c) xem xét tình trạng hiệu lực và tính hiệu quả của các thước đo bảo mật
thông tin liên tục khi các hệ thống thông tin, các quy trình, thủ tục và các
kiểm soát bảo mật thông tin hoặc các quy trình và giải pháp quản lý kinh
doanh liên tục/quản lý khôi phục (sau) thảm hoạ thay đổi.
Thông tin khác

Việc xác các kiểm soát bảo mật thông tin liên tục khác với việc kiểm nghiệm
và xác minh bảo mật thông tin tổng thể, và nên được thực hiện bên ngoài
phạm vi kiểm nghiệm về các thay đổi. Nếu có thể, tốt hơn hết là nên tích
hợp việc xác minh về các kiểm soát bảo mật thông tin liên tục với các kiểm
nghiệm kinh doanh liên tục hoặc khôi phục (sau) thảm hoạ của tổ chức.
17.2 Các dự phòng

Mục tiêu : Để đảm bảo tính sẵn sàng của các thiết bị xử lý thông tin.
17.2.1 Tính sẵn sàng của các thiết bị xử lý thông tin

Kiểm soát
105 | P a g e
Các thiết bị xử lý thông tin nên được triển khai với dự phòng đầy đủ để đáp
ứng các yêu cầu về tính sẵn sàng.

Tổ chức nên xác định các yêu cầu kinh doanh về tính sẵn sàng của các hệ
thống thông tin. Khi tính sẵn sàng không thể được đảm bảo bằng cách sử
dụng kiến trúc các hệ thống hiện hữu, các thành phần hoặc kiến trúc dự
phòng nên được cân nhắc.
Nếu được áp dụng, các hệ thống thông tin dự phòng nên được kiểm nghiệm
để đảm bảo sự chuyển đổi dự phòng từ thành phần này sang thành phần khác
hoạt động như đã định.
Thông tin khác

Việc triển khai các dự phòng có thể đem lại rủi ro cho tính toàn vẹn hoặc
tính bảo mật của thông tin và các hệ thống thông tin, vốn cần được xem xét
khi thiết kế các hệ thống thông tin.
18 Tuân thủ
18.1 Tuân thủ luật pháp và các quy định hợp đồng
Mục tiêu : Để tránh vi phạm các nghĩa vụ pháp lý, luật định, quy định và hợp
đồng liên quan tới hệ thống thông tin và bất kỳ yêu cầu bảo mật nào.
18.1.1 Xác định các yêu cầu pháp lý và hợp đồng có thể áp dụng
Kiểm soát
Tất các các yêu cầu pháp lý, quy định, hợp đồng có liên quan và phương
pháp tiếp cận của tổ chức để đáp ứng các yêu cầu này nên được xác định rõ
ràng, lập thành văn bản và được cập nhật cho mỗi hệ thống thông tin và tổ
chức.

Các kiểm soát và các trách nhiệm cá nhân cụ thể để đáp ứng các yêu cầu nói
trên nên được xác định và lập thành văn bản.
Các quản lý nên xác định mọi luật lệ có thể áp dụng với tổ chức của họ để
đáp ứng các yêu cầu cho loại hình kinh doanh của họ. Nếu tổ chức tiến hành
kinh doanh ở một quốc gia khác, các quản lý nên xem xét việc tuân thủ ở
mọi quốc gia có liên quan.
18.1.2 Quyền sở hữu trí tuệ

Kiểm soát
Các thủ tục thích đáng nên được triển khai để đảm bảo tuân thủ các yêu cầu
nghĩa vụ pháp lý, quy định và hợp đồng liên quan đến quyền sở hữu trí tuệ
và sử dụng các sản phẩm phần mềm độc quyền.
106 | P a g e

Những hướng dẫn dưới đây nên được xem xét để bảo vệ bất kỳ tài liệu nào
mà có thể được xem là tài sản trí tuệ:
a) công bố một chính sách tuân thủ quyền sở hữu trí tuệ xác định việc sử
dụng hợp pháp phần mềm và các sản phẩm thông tin;
b) chỉ có được phần mềm thông qua các nguồn đã được biết và có uy tín, để
đảm bảo bản quyền không bị vi phạm;
c) duy trì việc nâng cao nhận thức về các chính sách để bảo vệ quyền sở
hữu trí tuệ và đưa ra thông báo về ý định thi hành các hành động kỷ luật
đối với các cá nhân vi phạm chúng (các chính sách);
d) duy trì bản đăng ký tài sản thích đáng và xác định mọi tài sản cùng với
các yêu cầu để bảo vệ quyền sở hữu trí tuệ;
e) duy trì chứng cứ và bằng chứng về chủ sở hữu giấy phép sử dụng phần
mềm, các đĩa (phần mềm – người dịch ), các hướng dẫn, v.v…;
f) triển khai các kiểm soát để đảm bảo rằng bất kỳ số lượng người dung tối
đa được cấp phép trong giấy phép không bị vượt quá;
g) tiến hành xem xét rằng chỉ có phần mềm được uỷ quyền và các sản phẩm
có giẩy phép sử dụng mới được cài đặt;
h) cung cấp một chính sách để duy trì các điều kiện giấy phép sử dụng phần
mềm phù hợp;
i) cung cấp một chính sách để loại bỏ hoặc chuyển giao phần mềm cho
những người khác;
j) tuân thủ các điều kiện và điều khoản đối với các phần mềm và thông tin
có được từ các mạng công cộng;
k) không sao chép, chuyển đôi qua định dạng khác hoặc trích xuất từ các hồ
sơ thương mại (phim ảnh, âm thanh) khác với những điều được chấp
thuận bởi luật bản quyền;
l) không sao chép toàn bộ hoặc từng phần các quyển sách, điều khoản, báo
cáo hoặc tài liệu khác, khác với những điều được chấp thuận bởi luật bản
quyền.
Thông tin khác

Quyền sở hữu trí tuệ bao gồm bản quyền phần mềm hoặc tài liệu, bản quyền
thiết kết, thương mại, bằng sang chế và các giấy phép mã nguồn.
Các sản phẩm phần mềm trí tuệ thường được cung cấp theo một thoả thuận
cấp phép trong đó xác định các điều kiện và điều khoản cấp phép, ví dụ, giới
hạn việc sử dụng sản phẩm cho những máy móc cụ thể hoặc giới hạn việc
sao chép chỉ cho việc tạo ra các bản sao lưu. Tầm quan trọng và nhận thức
về quyền sở hữu trí tuệ nên được truyền thông cho nhân viên về phần mềm
được phát triển bởi tổ chức.
Các yêu cầu nghĩa vụ pháp lý, quy định và hợp đồng có thể đặt ra những
giới hạn về việc sao chép các tài liệu sở hữu trí tuệ. Cụ thể hơn, các yêu cầu
nói trên có thể đòi hỏi rằng chỉ có tài liệu được phát triển bởi tổ chức hoặc
107 | P a g e
được cấp phép hoặc cung cấp bởi nhà phát triển cho tổ chức mới có thể được
sử dụng. Vi phạm bản quyền có thể dẫn tời các hành động pháp lý, có thể
bao gồm phạt tiền và tố tụng hình sự.
18.1.3 Bảo vệ hồ sơ
Kiểm soát
Các hồ sơ nên được bảo vệ khỏi sự mất mát, phá huỷ , giả mạo, truy cập trái
phép và phát hành trái phép, tương ứng với các yêu cầu pháp lý, quy định,
hợp đồng và các yêu cầu kinh doanh.

Khi quyết định bảo vệ các hồ sơ cụ thể của tổ chức, nên xem xét phân loại
tương ứng của chúng dựa trên sơ đồ phân loại của tổ chức. Các hồ sơ nên
được phân loại thành các loại hồ sơ, ví dụ: hồ sơ kế toán, hồ sơ cơ sở dữ
liệu, nhật ký giao dịch, nhật ký kiểm toán và thủ tục hoạt động, mỗi nhật ký
đều có chi tiết về thời gian lưu giữ và loại phương tiện lưu trữ có thể được
chấp thuận, ví dụ: giấy, vi phim, từ tính, quang học. Bất kỳ chương trình và
khóa mật mã liên quan nào được liên kết với các kho lưu trữ hoặc chữ ký số
được mã hóa (xem Điều 10 ), cũng cần được lưu trữ để cho phép giải mã các
bản ghi trong khoảng thời gian mà bản ghi còn được lưu giữ.
Nên xem xét khả năng hư hỏng của phương tiện được sử dụng để lưu trữ hồ
sơ. Quy trình lưu trữ và xử lý nên được triển khai thích hợp theo khuyến
nghị của nhà sản xuất.
Khi phương tiện lưu trữ điện tử được lựa chọn, các thủ tục để đảm bảo khả
năng truy cập dữ liệu (cả phương tiện và định dạng có thể đọc được) trong
suốt thời gian lưu giữ nên được thiết lập để bảo vệ chống mất mát do thay
đổi công nghệ trong tương lai.
Hệ thống lưu trữ dữ liệu nên được lựa chọn sao cho dữ liệu được yêu cầu có
thể được truy xuất trong một khung thời gian và định dạng có thể chấp nhận
được, tùy thuộc vào các yêu cầu phải được hoàn thành.
Hệ thống lưu trữ và xử lý phải đảm bảo việc xác định được các hồ sơ và thời
hạn lưu giữ của chúng như đã được xác định bởi luật pháp hoặc quy định của
quốc gia hoặc khu vực, nếu có. Hệ thống này phải cho phép tiêu hủy hồ sơ
thích hợp sau khoảng thời gian đó nếu tổ chức không cần đến chúng nữa.
Để đáp ứng các mục tiêu bảo vệ hồ sơ này, những bước dưới đây nên được
thực hiện trong tổ chức:
a) các hướng dẫn cần được ban hành về việc lưu giữ, lưu trữ, xử lý và hủy
bỏ các hồ sơ và thông tin;
b) một lịch trình lưu giữ cần được lập ra để xác định các hồ sơ và khoảng
thời gian mà chúng vẫn cần được lưu giữ;
108 | P a g e
c) một bản kiểm kê các nguồn thông tin quan trọng nên được duy trì.
Thông tin khác

Một vài hồ sơ vẫn cần được bảo mật theo các yêu cầu nghĩa vụ pháp lý, quy
định hoặc hợp đồng, cũng như để hỗ trợ các hoạt động kinh doanh thiết yếu.
Các ví dụ bao gồm những hồ sơ có thể được yêu cầu như là bằng chứng cho
thấy rằng một tổ chức hoạt động theo các quy tắc pháp lý và quy định, dể
đảm bảo sự phòng vệ chống lại các hành động dân sự hoặc hình sự tiềm ẩn
hoặc để xác nhận về tình trạng tài chính của một tổ chức với các cổ đông,
bên thứ ba bên ngoài và các kiểm toán viên. Các luật lệ hoặc quy định của
quốc gia có thể thiết lập khoảng thời gian và nội dung dữ liệu cho việc lưu
giữ thông tin,
Thông tin thêm về quản lý hồ sơ của tổ chức có thể tìm thấy trong ISO
15489-1 ( 5 ) .
18.1.4 Quyền riêng tư và bảo vệ thông tin định danh cá nhân

Kiểm soát
Quyền riêng tư và bảo vệ thông tin định danh cá nhân nên được đảm bảo
theo yêu cầu trong các luật lệ và quy định liên quan nếu có.

Chính sách dữ liệu của một tổ chức về quyền riêng tư và bảo vệ thông tin
định danh cá nhân nên được phát triển và triển khai. Chính sách này nên
được truyền thông đến tất cả mọi người tham gia vào việc xử lý thông tin cá
nhân.
Việc tuân thủ chính sách này và các luật lệ và quy định liên quan đề cập đến
việc bảo vệ quyền riêng tư cá nhân và bảo vệ thông tin định danh cá nhân
đòi hỏi cấu trúc và kiểm soát quản lý phù hợp. Thường thì điều này đạt được
thành tựu tốt nhất bằng cách bổ nhiệm một cá nhân chịu trách nhiệm, chẳng
hạn như chuyên viên về quyền riêng tư, người nên cung cấp hướng dẫn cho
các nhà quản lý, người dùng và các nhà cung cấp dịch vụ về trách nhiệm cá
nhân của họ và các thủ tục cụ thể nên được tuân thủ. Trách nhiệm xử lý
thông tin định danh cá nhân và đảm bảo nâng cao nhận thức về các nguyên
tắc quyền riêng tư nên được xử lý một cách tương xứng với các luật lệ và
quy định có liên quan. Các biện pháp kỹ thuật và tổ chức thích hợp để bảo
vệ thông tin định danh cá nhân nên được triển khai.
Thông tin khác

ISO/IEC 29100 ( 2 5 ) cung cấp một khuôn khổ cao cấp về bảo vệ thông tin định
danh cá nhân trong các hệ thống công nghệ thông tin và truyền thông. Một
số quốc gia đưa ra luật lệ thiết lập các kiểm soát về việc thu thập, xử lý và
truyền tải thông tin định danh cá nhân (thông tin chung về các cá nhân đang
còn sống, người mà có thể được xác định thông qua những thông tin đó).
109 | P a g e
Tuỳ thuộc vào luật lệ quốc gia tương ứng, những kiểm soát đó có thể áp đặt
nghĩa vụ lên việc thu thập, xử lý và phổ biến thông tin định danh cá nhân, và
có thể giới hạn khả năng truyền tải thông tin định danh cá nhân sang quốc
gia khác.
18.1.5 Quy định về các kiểm soát mã hoá

Kiểm soát
Các kiểm soát mã hoá nên được sử dụng để tuân thủ mọi luật lệ, quy định và
thoả thuận có liên quan.

Những mục dưới đây nên được xem xét để tuân thủ các luật lệ, quy định và
thoả thuận có liên quan:
a) hạn chế nhập khẩu hoặc xuất khẩu phần cứng và phần mềm máy tính thực
hiện các chức năng mã hoá;
b) hạn chế nhập khẩu hoặc xuất khẩu phần cứng và phần mềm máy tính được
thiết kế để có thêm các chức năng mã hoá;
c) giới hạn việc sử dụng mã hoá;
d) các phương pháp truy cập bắt buộc hoặc tuỳ ý bởi các cơ quan có thẩm
quyền của quốc gia vào thông tin đã được mã hoá bằng phần cứng hoặc
phần mềm để cung cấp tính bảo mật của nội dung.
Nên tìm kiếm tư vấn phảp lý để đảm bảo tuân thủ các luật lệ và quy định có
liên quan. Trước khi thông tin đã được mã hoá hoặc các kiểm soát mã hoá
được truyền đi ngang ranh giới của các khu vực pháp lý, cũng nên được tư
vấn pháp lý.
18.2 Xem xét bảo mật thông tin

Mục tiêu : Để đảm bảo rằng bảo mật thông tin được triển khai và vận hành
tương xứng với các chính sách và thủ tục của tổ chức.
18.2.1 Đánh giá độc lập về bảo mật thông tin

Kiểm soát
Phương pháp tiếp cận của tổ chức để quản lý bảo mật thông tin và sự triển
khai bảo mật thông tin (ví dụ, kiểm soát các mục tiêu, các kiểm soát , chính
sách, quy trình và thủ tục bảo mật thông tin) nên được xem xét một cách độc
lập theo thời gian định kỳ đã được lên kế hoạch hoặc khi xảy ra các thay đổi
quan trọng.

Cấp quản lý nên khởi đầu việc xem xét độc lập. Việc xem xét độc lập là cần
thiết để đảm bảo tính phù hợp, chính xác và hiệu quả của phương pháp tiếp
cận của tổ chức để quản lý bảo mật thông tin. Việc xem xét nên bao gồm sự
đánh giá các cơ hội để cải thiện và nhu cầu thay đổi trong phương pháp tiếp
cận đối với bảo mật, bao gồm chính sách và các mục tiêu kiểm soát.
110 | P a g e
Sự xem xét như trên nên được tiến hành bởi các cá nhân độc lập với khu vực
được xem xét, ví dụ, chức năng kiểm toán viên nội bộ, một nhà quản lý độc
lập hoặc một tổ chức thứ ba bên ngoài chuyên thực hiện những đánh giá như
vậy. Các cá nhân tiến hành các xem xét như vậy nên có các kỹ năng và kinh
nghiệm phù hợp.
Kết quả của đánh giá độc lập nên được lập thành tài liệu và báo cáo cho cấp
quản lý nào đã khởi đầu việc xem xét. Những hồ sơ này nên được duy trì.
Nếu đánh giá độc lập xác định rằng phương pháp tiếp cận và sự triển khai
của tổ chức để quản lý bảo mật thông tin là không đầy đủ, ví dụ, các mục
tiêu và yêu cầu được lập thành văn bản không được đáp ứng hoặc không tuân
thủ với định hướng bảo mật thông tin đã tuyên bố trong các chính sách bảo
mật thông tin (xem 5.1.1 ), cấp quản lý nên cân nhắc các hành động khắc
phục.
Thông tin khác

ISO/IEC 27007 ( 1 2 ) “Hướng dẫn kiểm toán các hệ thống quản lý bảo mật
thông tin” và ISO/IEC TR 27008 ( 1 3 ) - “Hướng dẫn các kiểm toán viên về các
kiểm soát bảo mật thông tin” cũng cung cấp hướng dẫn để tiến hành việc
xem xét độc lập.
18.2.2 Tuân thủ các chính sách và tiêu chuẩn bảo mật
Kiểm soát
Các nhà quản lý nên xác định cách làm thế nào để đánh giá rằng các yêu cầu
bảo mật thông tin đã xác định trong các chính sách, tiêu chuẩn và các quy
định có thể áp dụng khác được đáp ứng như thế nào. Các công cụ đo lường
và báo cáo tự động nên được cân nhắc để việc xem xét định kỳ trở nên hiệu
quả.

Nếu bất kỳ điểm không tuân thủ nào được phát hiện ra từ kết quả của việc
xem xét, các nhà quản lý nên:
a) xác định nguyên nhân của sự không tuân thủ;
b) đánh giá nhu cầu về các hành động để đạt được tuân thủ;
c) triển khai các hành động khắc phục thích hợp;
d) xem xét hành động khắc phục đã thực hiện để xác minh tính hiệu quả của
nó (hành động khắc phục – người dịch ) và xác định bất kỳ khuyết điểm
hoặc điểm yếu nào.
Các kết quả của việc xem xét và các hành động khắc phục đã thực hiện bởi
các nhà quản lý nên được ghi lại và những hồ sơ này nên được duy trì. Các
111 | P a g e
nhà quản lý nên báo cáo các kết quả cho những cá nhân đang tiến hành đánh
giá độc lập (xem 18.2.1 ) khi một đánh giá độc lập được thực hiện trong khu
vực trách nhiệm của họ.
Thông tin khác

Việc giám sát vận hành hệ thống được bao gồm trong 12.4 .
18.2.3 Đánh giá bảo mật kỹ thuật

Kiểm soát
Các hệ thống thông tin nên được xem xét một cách định kỳ về tuân thủ với
các chính sách và tiêu chuẩn bảo mật thông tin của tổ chức.

Tuân thủ kỹ thuật nên được xem xét tốt nhất là cùng với sự trợ giúp của các
công cụ tự động hoá, mà các công cụ này tạo ra các báo cáo kỹ thuật cho các
diễn giải tiếp theo bởi một chuyên viên kỹ thuật. Ngoài ra, các xem xét thủ
công (được hỗ trợ bởi các công cụ phần mềm phù hợp, nếu cần thiết) có thể
được hoàn thành bởi một kỹ sư hệ thống có kinh nghiệm.
Nếu một kiểm nghiệm xâm nhập hoặc đánh giá lỗ hổng được sử dụng, nên
thận trọng bởi những hành động đó ( kiểm nghiệm xâm nhập hoặc đánh giá lỗ
hổng – người dịch ) có thể dẫn tới một sự vi phạm đối với bảo mật của hệ
thống. Các kiểm nghiệm đó nên được hoạch định, lập thành văn bản và lặp
đi lặp lại.
Bất kỳ đánh giá tuân thủ kỹ thuật nào cung chỉ nên được thực hiện bởi hoặc
dưới sự giám sát của các cá nhân được uỷ quyền và có đủ năng lực
Thông tin khác

Các đánh giá tuân thủ kỹ thuật liên quan đến việc kiểm tra các hệ thống vận
hành để đảm bảo rằng các kiểm soát phần cứng và phần mềm đã được triển
khai một cách đúng đắn. Kiểu đánh giá tuân thủ này đòi hỏi các chuyên gia
kỹ thuật có kinh nghiệm.
Đánh giá tuân thủ cũng bao gồm, ví dụ, kiểm nghiệm xâm nhập và đánh giá
lỗ hổng, vốn có thể được tiến hành bởi các chuyên gia độc lập được ký hợp
đồng đặc biệt cho mục đích này. Điều này có thể hữu ích trong việc nhận
diện những lỗ hổng trong các hệ thống và để điều tra các kiểm soát có hiệu
quả như thế nào trong việc ngăn ngừa sự truy cập trái phép qua các lỗ hổng
đó.
Kiểm nghiệm xâm nhập và đánh giá lỗ hổng cung cấp một ảnh chụp nhanh
của hệ thống trong một trạng thái đặc biệt tại một thời điểm cụ thể. Ảnh
chụp nhanh này được giới hạn trong những phần của hệ thống được kiểm
112 | P a g e
nghiệm thực tế trong (những) nỗ lực xâm nhập. Việc kiểm nghiệm xâm nhập
và đánh giá lỗ hổng không thay thế cho đánh giá rủi ro.
ISO/IEC TR 27008 ( 1 3 ) cung cấp hướng dẫn cụ thể liên quan đến các đánh giá
tuân thủ kỹ thuật.
113 | P a g e
Nguồn tham khảo

[1] ISO/IEC Directives, Part 2
[2] ISO/IEC 11770-1, Information technology Security techniques — Key management — Part
1: Framework
[3] ISO/IEC 11770-2, Information technology — Security techniques — Key management —
Part 2: Mechanisms using symmetric techniques
[4] ISO/IEC 11770-3, Information technology — Security techniques — Key management —
Part 3: Mechanisms using asymmetric techniques
[5] ISO 15489-1, Information and documentation — Records management — Part 1: General
[6] ISO/IEC 20000-1, Information technology — Service management — Part 1: Service
management system requirements
[7] ISO/IEC 20000-2,1)Information technology — Service management — Part 2: Guidance on
the
application of service management systems (ISO/IEC 20000-2:2005 đã đượ c huỷ bỏ và thay
thế bằ ng ISO/IEC 20000-2:2012, Information technology —Service management — Part 2:
Guidance on the application of service management systems)
[8] ISO 22301, Societal security — Business continuity management systems — Requirements
[9] ISO 22313, Societal security — Business continuity management systems — Guidance
[10] ISO/IEC 27001, Information technology — Security techniques — Information security
management systems — Requirements
risk management
[12] ISO/IEC 27007, Information technology — Security techniques — Guidelines for
information security management systems auditing
[13] ISO/IEC TR 27008, Information technology — Security techniques — Guidelines for
auditors on information security controls
information and communication technology readiness for business continuity
[15] ISO/IEC 27033-1, Information technology — Security techniques — Network security —
Part 1: Overview and concepts
Part 2: Guidelines for the design and implementation of network security
Part 3:Reference networking scenarios — Threats, design techniques and control issues
Part 4:Securing communications between networks using security gateways
Part 5:Securing communications across networks using Virtual Private Network (VPNs)
incidentmanagement
[21] ISO/IEC 27036-1, Information technology — Security techniques — Information security
for supplierrelationships — Part 1: Overview and concepts
for supplier relationships — Part 2: Common requirements
for supplier relationships — Part 3: Guidelines for ICT supply chain security
114 | P a g e

identification, collection, acquisition and preservation of digital evidence
[25] ISO/IEC 29100, Information technology — Security techniques — Privacy framework
[26] ISO/IEC 29101, Information technology — Security techniques — Privacy architecture
framework
[27] ISO 31000, Risk management — Principles and guidelines
115 | P a g e

ISO 27002-2013-Vi

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ISO 27002-2013-Vi

Uploaded by

Copyright:

Available Formats

Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát

bảo mật thông tin

TIÊU CHUẨN ISO 27002:2013(E)

7.2 Trong khi làm việc........................................................................................................24

9.4.1 Giới hạn truy cập thông tin ....................................................................................44

12.3 Sao lưu...............................................................................................................................66

14.2.5 Các nguyên tắc kỹ thuật bảo mật hệ thống .....................................................88

18.1.3 Bảo vệ hồ sơ...........................................................................................................108

1.2 Các yêu cầu bảo mật thông tin

1.3 Lựa chọn các kiểm soát

1.4 Phát triển các hướng dẫn của bạn

1.5 Cân nhắc vòng đời

1.6 Các tiêu chuẩn liên quan

4 Khái niệm và định nghĩa

5 Cấu trúc của tiêu chuẩn này

5.1 Các điều khoản

5.2 Các loại kiểm soát

Hướng dẫn triển khai

Thông tin khác

6 Các chính sách bảo mật thông tin

5.1.1 Các chính sách bảo mật thông tin

Hướng dẫn triển khai

Các ví dụ về các chủ đề chính sách bao gồm:

Thông tin khác

Hướng dẫn triển khai

7 Tổ chức bảo mật thông tin

Hướng dẫn triển khai

Thông tin khác

6.1.2 Phân tách nhiệm vụ

Hướng dẫn triển khai

Thông tin khác

6.1.3 Liên hệ với các cơ quan có thẩm quyền

Hướng dẫn triển khai

Thông tin khác

6.1.4 Liên hệ với các nhóm mục đích đặc biệt

Hướng dẫn triển khai

Thông tin khác

6.1.5 Bảo mật thông tin trong quản lý dự án

Hướng dẫn triển khai

7.2 Các thiết bị di động và làm việc từ xa

6.2.1 Chính sách thiết bị di động

Hướng dẫn triển khai

Thông tin khác

6.2.2 Làm việc từ xa

Hướng dẫn triển khai

Thông tin khác

8 Bảo mật về nhân sự

7.1.1 Sàng lọc

Hướng dẫn triển khai

7.1.2 Các điều khoản và điều kiện làm việc

Hướng dẫn triển khai

Thông tin khác

8.2 Trong khi làm việc

7.2.1 Trách nhiệm của cấp quản lý

Hướng dẫn triển khai

Thông tin khác

Hướng dẫn triển khai

Thông tin khác

7.2.3 Quy trình kỷ luật

Hướng dẫn triển khai

Thông tin khác

8.3 Hủy bỏ hợp đồng và thay đổi công việc

Hướng dẫn triển khai