ISO 27004-2009-Vi

ISO 27004:2009 – Công nghệ thông tin – Các kỹ thuật bảo mật - Quản lý bảo mật thông tin
- Đo lường
BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

Chuyển ngữ: Nguyễn Thế Hùng – Email: nguyenthehung.it@gmail.com
ISO 27004:2009 – Công nghệ thông tin – Các kỹ thuật bảo mật - Quản lý bảo mật thông tin - Đo lường
Lời tựa quốc gia

Tiêu chuẩn này của Anh là triển khai ISO/IEC 27004:2009 của Vương quốc
Anh.
Sự tham gia của Vương quốc Anh trong quá trình chuẩn bị được giao phó cho
Tiểu ban kỹ thuật IST/33, CNTT – Các kỹ thuật bảo mật.
Danh sách các tổ chức đại diện trong Tiểu ban này có thể có được bằng cách
gửi yêu cầu đến thư ký của Tiểu ban.
Ấn phẩm này không có ngụ ý bao gồm mọi điều khoản cần thiết của một hợp
đồng. Người sử dụng (tiêu chuẩn) chịu trách nhiệm cho việc áp dụng nó một
cách chính xác.
Tuân thủ với Tiêu chuẩn Anh không thể mang lại quyền miễn trừ các nghĩa
vụ pháp lý.
Tiêu chuẩn Anh này được công bố dưới sự ủy quyền của Tiểu ban Chính sách
và Chiến lược các Tiêu chuẩn vào ngày 31 tháng Một năm 2010.
Bản sửa đổi/lỗi chính tả được ban hành kể từ khi xuất bản.
Ngày Bình luận

Tuyên bố từ chối trách nhiệm (với định dạng) PDF
Tập tin PDF này có thể bao gồm các kiểu chữ đã được nhúng. Theo chính sách
cấp phép của Adobe, tập tin này có thể được in ra hoặc được xem nhưng không
được phép sửa đổi trừ khi các kiểu chữ đã được nhúng được cấp phép để cài
đặt vào máy tính đang thực hiện việc sửa đổi. Đối với việc tải về tập tin này ,
các bên phải chấp nhận trong đó trách nhiệm không vi phạm chính sách cấp
phép của Adobe. Tiểu ban thư ký trung tâm của ISO không chịu nghĩa vụ pháp
lý cho lĩnh vực này.
Adobe là nhãn hiệu thương mại của Adobe Systems Incorporate.
Các chi tiết về các sản phẩm phần mềm được sử dụng để soạn thảo tập tin PDF
này có thể được tìm thấy trong phần Thông tin chung liên quan đến tập tin
này; các tham số tạo ra tập tin PDF đã được tối ưu hóa cho mục đích in ấn.
Mọi sự cẩn trọng đã được đưa ra để đảm bảo rằng tập tin này là thích hợp để
sử dụng bởi các thành viên của ISO. Trong những sự kiện không chắc chắn có
vấn đề gì liên quan tới nó, vui lòng thông báo cho Tiểu ban thư ký trung tâm
theo địa chỉ dưới đây.
TÀI LIỆU ĐÃ ĐƯỢC BẢO VỆ BẢN QUYỀN

© ISO/IEC 2010
Đã được đăng ký bản quyền. Trừ khi có quy định khác, không một phần nào
của tài liệu này có thể được sao chép hoặc sử dụng dưới mọi hình thức hoặc
bất kỳ phương tiện nào, điện tử hoặc cơ học, kể cả photocopy và vi phim, mà
không có sự cho phép bằng văn bản của ISO theo địa chỉ dưới đây hoặc các cơ
quan thành viên của ISO tại quốc gia của người yêu cầu.
Văn phòng bản quyền ISO
Case postale 56 : CH-1211 Geneva 20
Điện thoại : +41 22 749 01 11
Fax : +41 22 749 09 47
Email : copyright@iso.org
Web : www.iso.org
Công bố tại Thụy Sỹ.

TIÊU CHUẨN ISO 27004:2009(E)

Mục lục
Lời tựa ........................................................................................................................................ 6
0 Giới thiệu ............................................................................................................................... 7
0.1 Tổng quan ...................................................................................................................... 7
0.2 Tổng quan về quản lý ................................................................................................. 7
1 Phạm vi ................................................................................................................................... 9
2 Quy phạm tham chiếu ......................................................................................................... 9
3 Các thuật ngữ và định nghĩa ............................................................................................ 9
4 Cấu trúc của Tiêu chuẩn Quốc tế này ......................................................................... 12
5 Tổng quan về đo lường bảo mật thông tin ................................................................. 12
5.1 Các mục tiêu đo lường bảo mật thông tin .......................................................... 12
5.2 Chương trình Đo lường Bảo mật Thông tin ....................................................... 13
5.3 Các yếu tố thành công .............................................................................................. 14
5.4 Mô hình đo lường bảo mật thông tin ................................................................... 15
5.4.1 Tổng quan ............................................................................................................. 15
5.4.2 Thước đo cơ sở và phương pháp đo lường ................................................. 16
5.4.3 Thước đo dẫn xuất và chức năng đo lường ................................................ 18
5.4.4 Các chỉ số và mô hình phân tích ................................................................... 19
5.4.5 Các kết quả đo lường và tiêu chí ra quyết định ........................................ 20
6 Các trách nhiệm của cấp quản lý .................................................................................. 21
6.1 Tổng quan .................................................................................................................... 21
6.2 Quản lý tài nguyên .................................................................................................... 22
6.3 Đào tạo, nhận thức và năng lực đo lường .......................................................... 22
7 Phát triển các thước đo và biện pháp đo lường ........................................................ 22
7.1 Tổng quan .................................................................................................................... 22
7.2 Xác định phạm vi đo lường .................................................................................... 23
7.3 Xác định nhu cầu thông tin ..................................................................................... 24
7.4 Lựa chọn đối tượng và thuộc tính ........................................................................ 24
7.5 Phát triển các cấu trúc đo lường ........................................................................... 25
7.5.1 Tổng quan ............................................................................................................. 25
7.5.2 Lựa chọn thước đo ............................................................................................. 25
7.5.3 Phương pháp đo lường ...................................................................................... 26
7.5.4 Chức năng đo lường .......................................................................................... 27
7.5.5 Mô hình phân tích .............................................................................................. 27

7.5.6 Các chỉ số ............................................................................................................. 28
7.5.7 Tiêu chí quyết định ........................................................................................... 28
7.5.8 Các bên liên quan ............................................................................................... 29
7.6 Cấu trúc đo lường ...................................................................................................... 29
7.7 Lựa chọn, phân tích và báo cáo dữ liệu .............................................................. 29
7.8 Triển khai biện pháp đo lường và lập thành tài liệu ....................................... 30
8 Vận hành đo lường ............................................................................................................ 31
8.1 Tổng quan .................................................................................................................... 31
8.2 Tích hợp thủ tục ........................................................................................................ 31
8.3 Thu thập, lưu trữ và xác minh dữ liệu ................................................................ 31
9 Phân tích dữ liệu và báo cáo các kết quả đo lường ................................................ 32
9.1 Tổng quan .................................................................................................................... 32
9.2 Phân tích dữ liệu và phát triển các kết quả đo lường ..................................... 32
9.3 Truyền đạt các kết quả đo lường........................................................................... 33
10 Đánh giá và cải thiện Chương trình Đo lường Bảo mật Thông tin .................. 34
10.1 Tổng quan .................................................................................................................. 34
10.2 Xác định tiêu chí đánh giá Chương trình Đo lường Bảo mật Thông tin 34
10.3 Giám sát, xem xét và đánh giá Chương trình Đo lường Bảo mật Thông
tin ........................................................................................................................................... 35
10.4 Triển khai các biện pháp cải thiện ..................................................................... 36
Phụ lục A (cung cấp thông tin) ......................................................................................... 37
Mẫu cấu trúc đo lường bảo mật thông tin ..................................................................... 37
Phụ lục B (cung cấp thông tin) ......................................................................................... 40
Các ví dụ về cấu trúc đo lường ......................................................................................... 40
Nguồn tham khảo .................................................................................................................. 75

Lời tựa
ISO (Tổ chức Tiêu chuẩn hóa Quốc tế) và IEC (Ủy ban Kỹ thuật điện Quốc tế)
hình thành nên hệ thống đặc biệt cho việc tiêu chuẩn hóa trên toàn cầu. Các
quốc gia thành viên của ISO hoặc IEC tham gia vào việc phát triển các Tiêu
chuẩn Quốc tế thông qua các tiểu ban kỹ thuật được thiết lập bởi tổ chức tương
ứng để xử lý các lĩnh vực hoạt động kỹ thuật cụ thể. Các tiểu ban kỹ thuật ISO
và IEC cộng tác trong các lĩnh vực mà cả hai bên cùng quan tâm. Các tổ chức
quốc tế khác, chính phủ và phi chính phủ, có mối liên hệ với ISO và IEC cũng
tham gia vào công việc này. Trong lĩnh vực công nghệ thông tin, ISO và IEC
đã thành lập một tiểu ban kỹ thuật chung, ISO/IEC JTC 1.
Các Tiêu chuẩn Quốc tế được soạn thảo tương xứng với các quy tắc được đưa
ra trong Các Định hướng ISO/IEC, Phần 2.
Nhiệm vụ chính của tiểu ban kỹ thuật chung là chuẩn bị các Tiêu chuẩn Quốc
tế. Bản phác thảo các Tiêu chuẩn Quốc tế được thông qua bởi tiểu ban kỹ
thuật chung sẽ được gửi đến các quốc gia thành viên để bỏ phiếu. Việc công bố
một Tiêu chuẩn Quốc tế đòi hỏi sự phê duyệt của ít nhất 75% số quốc gia tham
gia bỏ phiếu.
Cần chú ý đến khả năng một số thành phần của tài liệu này có thể là đối tượng
của quyền sáng chế. ISO và IEC sẽ không chịu trách nhiệm cho việc xác định
bất kỳ hoặc toàn bộ các quyền sáng chế như vậy.
ISO/IEC 27004 đã được chuẩn bị bởi Tiểu ban Kỹ thuật chung ISO/IEC JTC 1,
Công nghệ thông tin, Tiểu ban 27, Các kỹ thuật bảo mật công nghệ thông tin.

0 Giới thiệu
0.1 Tổng quan
Tiêu chuẩn Quốc tế cung cấp hướng dẫn cho việc phát triển và sử dụng các
thước đo và biện pháp đo lường nhằm đánh giá tính hiệu quả của việc triển
khai hệ thống quản lý bảo mật thông tin (ISMS) và các biện pháp kiểm soát
hoặc nhóm các biện pháp kiểm soát (bảo mật thông tin), như đã được xác định
trong ISO/IEC 27001.
Điều này bao gồm chính sách, quản lý bảo mật thông tin, các mục tiêu kiểm
soát, các biện pháp kiểm soát, các quy trình và thủ tục, và sự hỗ trợ quy trình
sửa đổi, giúp xác định xem liệu có bất kỳ quy trình hoặc biện pháp kiểm soát
ISMS nào cần được thay đổi hay cải thiện không. Cần lưu ý rằng không có biện
pháp đo lường kiểm soát nào có thể đảm bảo bảo mật hoàn toàn.
Việc triển khai phương pháp tiếp cận này cấu thành một Chương trình Đo
lường Bảo mật Thông tin. Chương trình Đo lường Bảo mật Thông tin sẽ giúp
cấp quản lý xác định và đánh giá những điểm không-tuân thủ và các quy trình
và biện pháp kiểm soát ISMS không hiệu quả cũng như các hành động ưu tiên
tương xứng với sự cải thiện hoặc thay đổi trong các quy trình và/hoặc các biện
pháp kiểm soát đó. Nó cũng có thể giúp tổ chức trong việc chứng minh sự tuân
thủ với ISO/IEC 27001 và cung cấp các bằng chứng bổ sung để cấp quản lý
xem xét và các quy trình quản lý bảo mật thông tin.
Tiêu chuẩn Quốc tế này giả định rằng khởi điểm cho sự phát triển các thước đo
và các biện pháp đo lường là một sự hiểu biết đúng đắn về các rủi ro bảo mật
thông tin mà tổ chức đang đối mặt, và rằng các hành động đánh giá rủi ro của
một tổ chức đã được hoàn thành một cách đúng đắn (ví dụ, dựa trên ISO/IEC
27005), như được yêu cầu bởi ISO/IEC 27001. Chương trình Đo lường Bảo mật
Thông tin sẽ khuyên khích một tổ chức cung cấp những thông tin đáng tin cậy
cho các bên liên quan đang quan tâm tới những rủi ro bảo mật thông tin của tổ
chức và trạng thái hiện tại của ISMS đã triển khai để quản lý những rủi ro đó.
Nếu được triển khai một cách hiệu quả, Chương trình Đo lường Bảo mật Thông
tin sẽ cải thiện sự tin tưởng của các bên liên quan về các kết quả đo lường, và
cho phép các bên liên quan sử dụng các thước đo đó để tiếp tục cải thiện bảo
mật thông tin và ISMS.
Những kết quả đo lường được tích lũy sẽ cho phép so sánh tiến độ trong việc
đạt được các mục tiêu bảo mật thông tin theo một khoảng thời gian như là một
phần của quy trình cải tiến liên tục ISMS của tổ chức.
0.2 Tổng quan về quản lý

ISO/IEC 27001 đòi hỏi tổ chức phải “trải qua việc xem xét định kỳ về tính
hiệu quả của ISMS có tính đến những kết quả từ việc đo lường hiệu quả” và
“đo lường tính hiệu quả của các biện pháp kiểm soát để xác minh rằng các yêu
cầu bảo mật đã được đáp ứng”. ISO/IEC 27001 đồng thời yêu cầu tổ chức phải
“xác định cách đo lường tính hiệu quả của các biện pháp kiểm soát hoặc nhóm
các biện pháp kiểm soát được chọn và chỉ định cách làm thế nào mà các thước
đo đó được sử dụng để đánh giá tính hiệu quả của các biện pháp kiểm soát
nhằm mang lại các kết quả có thể so sánh và có thể thực hiện lại”
Phương pháp tiếp cận được thông qua bởi một tổ chức để hoàn thành các yêu
cầu về biệ pháp đo lường được chỉ định trong ISO/IEC 27001 sẽ thay đổi dựa
trên một số các yếu tố quan trọng, bao gồm các rủi ro bảo mật thông tin mà tổ
chức đang đối mặt, quy mô tổ chức của nó, các tài nguyên sẵn có, và các yêu
cầu luật lệ, các quy định và hợp đồng có thể áp dụng được. Sự lựa chọn và
biện minh cẩn thận về phương pháp được sử dụng để hoàn thành các yêu cầu
về đo lường là rất quan trọng để đảm bảo rằng các tài nguyên dư thừa không
được dành cho những hành động này của ISMS để gây tổn hại cho những thứ
khác. Một cách lý tưởng, các hành động đo lường liên tục phải được tích hợp
vào các hoạt động thường xuyên của tổ chức với các yêu cầu về nguồn lực bổ
sung thêm tối thiểu.
Tiêu chuẩn Quốc tế này đưa ra các khuyến nghị liên quan đến những hành động
dưới đây như là cơ sở cho một tổ chức để hoàn thành các yêu cầu về đo lường
được chỉ định trong ISO/IEC 27001:
a) phát triển các thước đo (ví dụ, các thước đo cơ bản, các thước đo dẫn
xuất và thước đo các chỉ số);
b) triển khai và vận hành một Chương trình Đo lường Bảo mật Thông tin;
c) thu thập và phân tích dữ liệu;
d) phát triển các kết quả đo lường;
e) truyền đạt các kết quả đo lường đã phát triển đến các bên liên quan;
f) sử dụng các kết quả đo lường như là yếu tố đóng góp cho các quyết định
liên quan tới ISMS;
g) sử dụng các kết quả đo lường để xác định các nhu cầu về cải thiện ISMS
đã được triển khai, bao gồm phạm vi, các chính sách, mục tiêu, biện
pháp kiểm soát, quy trình và thủ tục của nó; và
h) tạo điều kiện cải thiện liên tục Chương trình Đo lường Bảo mật Thông
tin.
Một trong những yếu tố sẽ tác động đến năng lực của tổ chức để đạt được biện
pháp đo lường là quy mô của nó. Nói chung, quy mô và độ phức tạp của doanh
nghiệp kết hợp với tầm quan trọng của bảo mật thông tin ảnh hưởng đến mức
độ đo lường cần có, cả về khái niệm số lượng các thước đo sẽ được chọn lẫn
tần suất thu thập và phân tích dữ liệu. Đối với SMEs (Doanh nghiệp Vừa và
Nhỏ) một chương trình đo lường bảo mật thông tin ít toàn diện hơn sẽ là đủ,
trong khi những doanh nghiệp lớn hơn sẽ triển khai và vận hành nhiều Chương
trình Đo lường Bảo mật Thông tin.

Một Chương trình Đo lường Bảo mật Thông tin đơn lẻ có thể là đủ cho các tổ
chức nhỏ, trong khi đối với các doanh nghiệp lớn hơn, có thể có nhu cầu về
nhiều Chương trình Đo lường Bảo mật Thông tin.
Hướng dẫn đã được cung cấp bởi Tiêu chuẩn Quốc tế này sẽ dẫn đến việc tạo
ra được một tài liệu mà sẽ đóng góp vào việc chứng minh rằng tính hiệu quả
của biện pháp kiểm soát được đo lường và đánh giá.
1 Phạm vi
Tiêu chuẩn Quốc tế này cung cấp hướng dẫn cho việc phát triển và sử dụng các
thước đo và biện pháp đo lường nhằm đánh giá tính hiệu quả của một hệ thống
quản lý bảo mật thông tin (ISMS) và các biện pháp kiểm soát hoặc nhóm các
biện pháp kiểm soát, như được chỉ định trong ISO 27001.
Tiêu chuẩn Quốc tế này có thể được áp dụng cho mọi loại hình và quy mô của
tổ chức.
LƯU Ý: Tài liệu này sử dụng các hình thức ngôn từ để diễn đạt các điều khoản (ví
dụ như “ shall”, “shall not”, “should”, “should not”, “ may ”, “need not”, “can” và
“ cannot”) đã được xác định trong Định hướng ISO/IEC, Phần 2, 2004, P hụ lục H.
Xem thê m ISO/IEC 27000:2009, Phụ lục A.
2 Quy phạm tham chiếu

Những tài liệu tham chiếu dưới đây là không thể thiếu trong việc áp dụng Tiêu
chuẩn Quốc tế này. Đối với các tham chiếu đã lỗi thời, chỉ có phiên bản được
trích dẫn mới được áp dụng. Đối với các tham chiếu chưa lỗi thời, phiên bản
sau cùng của tài liệu tham chiếu (bao gồm bất kỳ sửa đổi nào) được áp dụng.
ISO/IEC 27000:2009, Công nghệ thông tin – Kỹ thuật bảo mật – Các hệ
thống quản lý bảo mật thông tin – Tổng quan và từ vựng.
ISO/IEC 27001:2005, Công nghệ thông tin – Kỹ thuật bảo mật – Các hệ
thống quản lý bảo mật thông tin – Các yêu cầu.
3 Các thuật ngữ và định nghĩa

Vì mục đích của tài liệu này, những thuật ngũ và định nghĩa trong ISO/IEC
27000:2009, ISO/IEC 27001:2005 và những điều sau đây được áp dụng
3.1 mô hình phân tich
thuật toán hoặc tính toán kết hợp một hoặc nhiều cơ sở và/hoặc các thước đo
dẫn xuất cùng với tiêu chí quyết định tương ứng.
3.2 thuộc tính

đặc tính hoặc đặc điểm của một đối tượng có thể được phân biệt một cách định
tính hoặc định lượng bởi con người hoặc các phương tiện tự động hóa.
[ISO/IEC 15939:2007]
3.3 thước đo cơ bản

thước đo được xác định theo thuộc tính và phương pháp định lượng nó.
[ISO/IEC 15939:2007]
LƯU Ý: Một thước đo cơ bản là độc lập về mặt chức năng với các thước đo khác.
3.4 dữ liệu
tập hợp các giá trị được chỉ định cho thước đo cơ bản, các thước đo dẫn xuất
và/hoặc các chỉ số.
[ISO/IEC 15939:2007]
3.5 tiêu chí quyết định

các ngưỡng, các mục tiêu được nhắm đến, hoặc các hình mẫu được sử dụng để
xác định nhu cầu đối với hành động hoặc nghiên cứu thêm, hoặc để mô tả mức
độ tự tin trong một kết quả được đưa ra.
[ISO/IEC 15939:2007]
3.6 thước đo dẫn xuất

thước đo mà được xác định như là một chức năng của một hoặc nhiều giá trị
của các thước đo cơ bản.
[ISO/IEC 15939:2007]
3.7 chỉ số
Thước đo cung cấp một ước tính hoặc đánh giá về các thuộc tính được chỉ định
có nguồn gốc từ một mô hình phân tích cùng với sự lưu tâm đến các nhu cầu
thông tin đã được xác định.
3.8 thông tin cần thiết

hiểu biết sâu sắc cần thiết để quản lý các mục tiêu, mục đích, rủi ro và vấn đề.
[ISO/IEC 15939:2007]
3.9 thước đo
Biến số mà giá trị được chỉ định là kết quả của biện pháp đo lường.
[ISO/IEC 15939:2007]
LƯU Ý: Khái niệm “ các thước đo” được sử dụng để đề cập chung đến các thước đo
cơ sở, thước đo dẫn xuất và các chỉ số.
VÍ DỤ: So sánh tỷ lệ lỗi đo được với tỷ lệ lỗi theo kế hoạch cùng với việc
đánh giá xem liệu sự khác biệt giữa hai tỷ lệ nói trên có chỉ ra một vấn đề hay
không.
3.10 biện pháp đo lường

quy trình có được thông tin về tính hiệu quả của ISMS và các biện pháp kiểm
soát sử dụng một phương pháp đo lường, một chức năng đo lường, một mô
hình phân tích, và tiêu chí quyết định.
3.11 chức năng đo lường

Thuật toán hoặc sự tính toán đã hoàn thành để kết hợp hai hoặc nhiều hơn các
thước đo cơ sở.
[ISO/IEC 15939:2007]
3.12 phương pháp đo lường

Chuỗi trình tự logic các hoạt động, được mô tả một cách chung chung, được sử
dụng trong việc định lượng một thuộc tính liên quan đến một phạm vi cụ thể.
[ISO/IEC 15939:2007]
LƯU Ý: Kiểu của phương pháp đo lường phụ thuộc và o bản chất của các hoạt động
được sử dụng để định lượng một thuộc tính. Có thể phân biệt hai kiểu (phương pháp
đo lường) như sau:
 chủ quan: việc định lượng có liên quan đến sự phán đoán của con người;
 khách quan: việc định lượng dựa trên các nguy ên tắc số học.
3.13 các kết quả đo lường

Một hoặc nhiều chỉ số và các diễn giải của chúng đáp ứng nhu cầu về thông
tin.
3.14 đối tượng

Mục được mô tả thông qua biện pháp đo lường các thuộc tính của nó.
3.15 phạm vi
Tập hợp các giá trị được sắp xếp, liên tục hoặc tùy ý, hoặc một tập hợp các thể
loại mà các thuộc tính được ánh xạ.
[ISO/IEC 15939:2007]
LƯU Ý: Các loại tỷ lệ phụ thuộc vào bản chất của mối quan hệ giữa các giá trị trong
phạm vi. Bốn loại phạm vi phổ biến được xác định như sau:
 danh nghĩa: các giá trị đo lường là rõ ràng;
 thứ tự: các giá trị đo lường được xếp hạng;
 khoảng: các giá trị đo lường có khoảng cách bằng nhau tương ứng với các đại
lượng bằng nhau của các thuộc tính;
 tỷ lê: các giá trị đo lường có khoảng cách bằng nhau tương ứng với các đại
lượng bằng nhau của các thuộc tính, khi giá trị bằng 0 tương ứng với không
có thuộc tính nào.
Chúng chỉ là các ví dụ về các loại phạm vi.
3.16 đơn vị đo lường

Đại lượng cụ thể, được xác định và thông qua theo quy ước, trong đó các đại
lượng khác cùng loại được so sánh nhằm thể hiện độ lớn của chúng cân đối với
đại lượng đó.
[ISO/IEC 15939:2007]
3.17 xác nhận

Xác nhận, thông qua việc cung cấp các mục tiêu bằng chứng về các yêu cầu
được chỉ định đã được hoàn thành.
3.18 xác minh

Xác nhận, thông qua việc cung cấp các bằng chứng mục tiêu về các yêu cầu
được chỉ định đã được hoàn thành.
[ISO/IEC 15939:2007]
LƯU Ý: Điều này còn được gọi là kiểm nghiệm tính tuân thủ.
4 Cấu trúc của Tiêu chuẩn Quốc tế này

Tiêu chuẩn Quốc tế này cung cấp một diễn giải về các thước đo và các hành
động đo lường cần thiết để đánh giá tính hiệu quả của các yêu cầu ISMS trong
quản lý các biện pháp kiểm soát bảo mật đầy đủ và tương xứng theo yêu cầu
trong ISO/IEC 27001:2005, 4.2.
Tiêu chuẩn Quốc tế này được cấu trúc như sau:
 Tổng quan về Chương trình Đo lường Bảo mật Thông tin và Mô hình Đo
lường Bảo mật Thông tin (Điều 5);
 Trách nhiệm quản lý đối với các biện pháp đo lường bảo mật thông tin
(Điều 6); và
 Các cấu trúc và quy trình đo lường (ví dụ, hoạch định và phát triển, triển
khai và vận hành, và cải thiện đo lường: truyền thông các kết quả đo
lường) sẽ được triển khai trong Chương trình Đo lường Bảo mật Thông
tin (Điều 7 – 10).
Ngoài ra, Phụ lục A cung cấp một mẫu ví dụ cho cấu trúc đo lường mà trong
đó các yếu tố cấu thành là các thành phần củ Mô hình Đo lường Bảo mật
Thông tin (xem Điều 7). Phụ lục B cung cấp các ví dụ cấu trúc đo lường đối
với các biện pháp kiểm soát hoặc quy trinhg cụ thể của ISMS, sử dụng biểu
mẫu đã được cung cấp trong Phụ lục A.
Những ví dụ này được dự định nhằm trợ giúp một tổ chức về cách triển khai
Đo lường Bảo mật Thông tin như thế nào và làm thế nào để ghi lại các hành
động đo lường và kết quả của chúng.
5 Tổng quan về đo lường bảo mật thông tin

5.1 Các mục tiêu đo lường bảo mật thông tin
Các mục tiêu của đo lường bảo mật thông tin trong ngữ cảnh của một ISMS
bao gồm:
a) đánh giá tính hiệu quả của các biện pháp kiểm soát hoặc nhóm các biện
pháp kiểm soát đã được triển khai (Xem “4.2.2 d)” trong Hình 1;
b) đánh giá tính hiệu quả của ISMS đã được triển khai (Xem “4.2.3 b),
trong Hình 1;
c) xác minh mức độ đáp ứng các yêu cầu bảo mật thông tin (Xem “4.2.3 b)”
trong Hình 1);
d) tạo điều kiện cải thiện hiệu suất của bảo mật thông tin về mặt các rủi ro
kinh doanh tổng thể của tổ chức;
e) cung cấp đầu vào để cấp quản lý xem xét nhằm tạo điều việc cho việc
đưa ra quyết định liên quan đến ISMS và sự biện minh cho những cải
thiện cần thiết của ISMS đã được triển khai.
Hình 1 minh họa cho mối quan hệ tuần hoàn đầu vào-đầu ra của các hành động
đo lường trong mối tương quan với chu trình Plan-Do-Check-Act (PDCA),
được chỉ định trong ISO/IEC 27001. Các con số trong mỗi hình đại diện cho
các điều khoản con có liên quan của ISO/IEC 27001:2005.
Hình 1 – Các đầu vào và đầu ra trong chu trình PDCA của ISMS về quản lý
bảo mật thông tin.
Tổ chức nên thiết lập các mục tiêu đo lường dựa trên một số các cân nhắc, bao
gồm:
a) vai trò của bảo mật thông tin trong việc hỗ trợ các hành động kinh doanh
tổng thể của tổ chức và các rủi ro mà tổ chức đang phải đối mặt;
b) các yêu cầu pháp lý, quy định và hợp đồng có thể áp dụng được;
c) cấu trúc tổ chức;
d) chi phí và lợi ích của việc triển khai đo lường bảo mật thông tin;
e) tiêu chí chấp thuận rủi ro của tổ chức; và
f) nhu cầu so sánh vài ISMS trong cùng một tổ chức.
5.2 Chương trình Đo lường Bảo mật Thông tin

Một tổ chức nên thiết lập và quản lý một Chương trình Đo lường Bảo mật
Thông tin để đạt được các mục tiêu đo lường đã được thiết lập và thông qua
mô hình PDCA trong phạm vi các hành động đo lường tổng thể của tổ chức.
Một tổ chức cũng nên phát triển và triển khai các cấu trúc đo lường để có được
các kết quả đo lường có thể lặp lại được, khách quan và hữu ích, dựa trên Mô
hình Đo lường Bảo mật Thông tin (xem 5.4).

Chương trình Đo lường Bảo mật Thông tin và các cấu trúc đo lường đã được
phát triển nên đảm bảo rằng một tổ chức đạt được các mục tiêu và có thể lặp
lại được phép đo một cách hiệu quả và cung cấp các kết quả đo lường cho các
bên có liên quan để xác định nhu cầu về cải thiện ISMS đã được triển khai, bao
gồm phạm vi của nó, các chính sách, mục tiêu, các biện pháp kiểm soát, các
quy trình và thủ tục.
Một Chương trình Đo lường Bảo mật Thông tin nên bao gồm các quy trình sau
đây:
a) phát triển các thước đo và biện pháp đo lường (xem Điều 7);
b) vận hành các biện pháp đo lường (xem Điều 8);
c) báo cáo phân tích dữ liệu và các kết quả đo lường (xem Điều 9); và
d) đánh giá và cải thiện Chương trình Đo lường Bảo mật Thông tin (xem
Điều 10).
Cấu trúc tổ chức và vận hành của một Chương trình Đo lường Bảo mật Thông
tin nên được xác định bằng cách tính đến phạm vi và độ phức tạp của ISMS mà
nó (Chương trình Đo lường Bảo mật Thông tin) là một thành phần trong đó.
Trong mọi trường hợp, các vai trò và trách nhiệm đối với Chương trình Đo
lường Bảo mật Thông tin nên được chỉ định một cách rõ ràng cho các cá nhân
có năng lực (xem 7.5.8).
Các thước đo đã chọn và triển khai bởi Chương trình Đo lường Bảo mật Thông
tin nên có liên quan trực tiếp đến việc vận hành một ISMS, các thước đo khác,
cũng như là các quy trình kinh doanh của tổ chức. Phép đo lường có thể được
tích hợp vào các hoạt động vận hành thường lệ của ISMS hoặc được hoàn
thành theo khoảng thời gian định kỳ đã được xác định bởi cấp quản lý ISMS.
5.3 Các yếu tố thành công

Dưới đây là một vài yếu tố đóng góp cho sự thành công của Chương trình Đo
lường Bảo mật Thông tin trong việc tạo điều kiện liên tục cải thiện ISMS:
a) cam kết của cấp quản lý được hỗ trợ bởi các nguồn lực tương ứng;
b) sự tồn tại của các quy trình và thủ tục ISMS;
c) một quy trình có thể lặp lại có khả năng thu thập và báo cáo dữ liệu có ý
nghĩa để cung cấp các khuynh hướng có liên quan trong một khoảng thời
gian;
d) các thước đo có thể định lượng dựa trên các mục tiêu ISMS;
e) dữ liệu có thể có được một cách dễ dàng có thể được sử dụng cho các
biện pháp đo lường;
f) sự đánh giá tính hiệu quả của Chương trình Đo lường Bảo mật Thông tin
và việc triển khai các cải thiện đã được xác định;
g) thu thâp, phân tích, và báo cáo dữ liệu đo lường theo định kỳ nhất quán
theo cách có ý nghĩa;
h) sử dụng các kết quả đo lường bởi các bên có liên quan đế xác định chu
cầu trong việc cải thiện ISMS đã được triển khai, bao gồm phạm vi, các

chính sách, mục tiêu, các biện pháp kiểm soát, các quy trình và thủ tục
của ISMS;
i) chấp thuận những thông tin phản hồi về các kết quả đo lường từ các bên
liên quan; và
j) những đánh giá về tính hữu ích của các kết quả đo lường và sự triển khai
các cải thiện đã được xác định.
Khi đã triển khai thành công, một Chương trình Đo lường Bảo mật Thông tin
có thể:
1) Chứng minh tính tuân thủ của một tổ chức đối với các yêu cầu pháp lý
hoặc quy định và các nghĩa vụ hợp đồng;
2) Hỗ trợ việc xác định các vấn đề bảo mật thông tin mà chưa được biết đến
hoặc chưa được phát hiện trước đây;
3) Trợ giúp việc thỏa mãn các yêu cầu báo cáo của cấp quản lý khi nêu ra
các thước đo cho các hành động trong quá khứ và hiện tại; và
4) Được sử dụng như là đầu vào trong quy trình quản lý bảo mật thông tin,
các cuộc kiểm toán ISMS nội bộ và các xem xét của cấp quản lý.
5.4 Mô hình đo lường bảo mật thông tin

LƯU Ý: Các khái niệm về mô hình đo lường bảo mật thông tin và các cấu trúc đo
lường được thông qua trong Tiêu chuẩn Quốc tế này dựa trên những điều trong
ISO/IEC 15939. Khái niệ m “sản phẩm thông tin“ được sử dụng trong ISO/IEC 15939
là một từ đồng nghĩa của “ các kết quả đo lường“ trong Tiêu chuẩ n Q uốc tế này và
“ quy trình đo lường“ sử dụng trong ISO/IEC 25939 là một từ đồng nghĩa của
“ Chương trình Đo lường“ trong Tiêu chuẩn Quốc tế này.
5.4.1 Tổng quan

Mô hình đo lường bảo mật thông tin mô tả cách làm thế nào mà các thuộc tính
liên quan được định lượng và chuyển đổi thành các chỉ số cung cấp một cơ sở
cho việc ra quyết định. Hình 2 minh họa cho mô hình đo lường bảo mật thông
tin.

Hình 2 – Mô hình đo lường bảo mật thông tin
LƯU Ý: Điều 7 cung cấp thông tin chi tiết về các thành phần riêng lẻ của mô hình đo
lường bảo mật thông tin.
Những điều khoản phụ tiếp theo sau giới thiệu các thành phần riêng lẻ của mô
hình. Chúng cũng cung cấp các ví dụ về cách mà các thành phần riêng lẻ đó
được sử dụng như thế nào.
Thông tin cần thiết hoặc mục đích của biện pháp đo lường sử dụng trong các ví
dụ bao gồm trong Bảng 1 đến 4 của các điều khoản con dưới đây là để đánh giá
tình trạng nhận thức về tính tuân thủ với chính sách bảo mật của tổ chức giữa
các cá nhân (Mục tiêu kiểm soát A.8.2, và Các biện pháp kiểm soát A.8.2.1 và
A8.2.2 của ISO/IEC 27001:2005).
5.4.2 Thước đo cơ sở và phương pháp đo lường

Một thước đo cơ sở là thước đo đơn giản nhất có thể có được. Một thước đo cơ
sở là kết quả từ việc áp dụng một phương pháp đo lường đối với các thuộc tính
đã chọn của một đối tượng của một biện pháp đo lường. Một đối tượng của
biện pháp đo lường có thể có nhiều thuộc tính, mà chỉ một vài trong số chúng
có thể cung cấp các giá trị hữu ích sẽ được chỉ định là một thước đo cơ sở.
Một thuộc tính nhất định có thể được sử dụng cho vài thước đo cơ sở khác
nhau.

Một phương pháp đo lường là một trình tự logic của các hoạt động được sử
dụng trong việc định lượng một thuộc tính liên quan đến phạm vi đã được chỉ
định. Hoạt động có thể liên quan đến nhiều hành động chẳng hạn như đếm các
sự kiện hoặc quan sát thời gian trôi qua.
Một phương pháp đo lường có thể áp dụng nhiều thuộc tính đối với một đối
tượng của biện pháp đo lường. Các ví dụ về một đối tượng của biện pháp đo
lường bao gồm nhưng không giới hạn:
 Hiệu suất của các biện pháp kiểm soát đã triển khai trong ISMS;
 Tình trạng của tài sản thông tin được bảo vệ bởi các biện pháp kiểm
soát;
 Hiệu suất của các quy trình được triển khai trong ISMS;
 Hành vi của các cá nhân chịu trách nhiệm đối với ISMS đã triển khai;
 Những hành động của các đơn vị tổ chức chịu trách nhiệm bảo mật thông
tin; và
 Mức độ hài lòng của các bên liên quan.
Một phương pháp đo lường có thể sử dụng các đối tượng đo lường của các biện
pháp đo lường và các thuộc tính từ các nguồn khác nhau, chẳng hạn như:
 Các kết quả phân tích và đánh giá rủi ro;
 Bảng câu hỏi và phỏng vấn nhân viên;
 Các báo cáo kiểm toán nội bộ và/hoặc bên ngoài;
 Hồ sơ về các sự kiện, chẳng hạn như các nhật ký, báo cáo thống kê, và
dấu vết kiểm toán;
 Các báo cáo sự cố, đặc biệt là các báo cáo về các sự cố dẫn đến tác
động;
 Các kết quả kiểm nghiệm, ví dụ, từ kiểm nghiệm xâm nhập, kỹ thuật xã
hội, các công cụ tuân thủ, và các công cụ kiểm toán bảo mật; hoặc
 Hồ sơ từ các quy trình và chương trình liên quan tới bảo mật thông tin
của tổ chức, ví dụ, các kết quả đào tạo nâng cao nhận thức về bảo mật
thông tin.
Bảng 1-4 dưới đây thể hiện việc ứng dụng mô hình bảo mật thông tin đối với
các kiểm soát sau đây:
 “Biện pháp kiểm soát 2” đề cập tới kiểm soát A.8.2.1 Trách nhiệm của
cấp quản lý trong ISO/IEC 27001:2005 («Cấp quản lý sẽ đòi hỏi nhân
viên, nhà thầu và người dùng của bên thứ ba áp dụng biện pháp bảo mật
tương xứng với các chính sách và thủ tục đã được thiết lập của tổ
chức”) được triển khai như sau: “Mọi cá nhân liên quan tới ISMS phải
ký một thỏa thuận trước khi được cấp quyền truy cập tới một hệ thống
thông tin”;
 “Biện pháp kiểm soát 1” đề cập tới kiểm soát A.8.2.2 “Giáo dục và đào
tạo, nâng cao nhận thức về bảo mật thông tin” trong ISO/IEC
27001:2005 («Mọi nhân viên của tổ chức và, khi có liên quan, nhà thầu
và ngưới dùng của bên thứ ba sẽ nhận được sự đào tạo nâng cao nhận

thức tương xứng và cập nhật thường xuyên về các chính sách và thủ tục
của tổ chức, có liên quan đến chức năng công việc của họ”); được triển
khai như sau: “Mọi cá nhân liên quan tới ISMS phải nhận được sự đào
tạo nâng cao nhận thức về bảo mật thông tin trước khi được cấp quyền
truy cập tới một hệ thống thông tin”.
Các cấu trúc đo lường tương ứng được bao hàm trong B.1.
LƯU Ý: Bảng 1 đến 4 bao gồm các cột khác nhau (Bảng 1, 4 cột, và Bảng 3, 3 cột)
trong đó mỗi cột được gán một ký hiệu chữ cái. Những sự kết hợp ký hiệu chữ cái và
con số được sử dụng trong các hộp tiếp theo để tham chiếu tới hộp trước đó. Các mũi
tên chỉ định luồng dữ liệu giữa các thành phần riêng lẻ của mô hình đo lường bảo
mật thông tin trong ví dụ cụ thể.
Bảng 1 bao gồm một ví dụ về mối quan hệ giữa đối tượng đo lường, thuộc tính,
phương pháp đo lường và thước đo cơ sở để đo lường các đối tượng được thiết
lập cho các biện pháp kiểm soát đã triển khai được mô tả ở trên.
Bảng 1 – Ví dụ về thước đo cơ sở và phương pháp đo lường.
5.4.3 Thước đo dẫn xuất và chức năng đo lường

Một thước đo dẫn xuất là một tổng hợp của hai thước đo cơ sở hoặc nhiều hơn.
Một thước đo cơ sở nhất định có thể đóng vai trò như là đầu vào của vài thước
đo dẫn xuất.

Một chức năng đo lường là một phép tính toán được sử dụng để kết hợp các
thước đo cơ sở cùng nhau để tạo ra một thước đo dẫn xuất.
Thang đo và đơn vị (đo) của thước đo dẫn xuất phụ thuộc vào các thang đo và
đơn vị của các thước đo cơ sở mà nó (thước đo dẫn xuất) được cấu tạo thành
cũng như cách mà chúng (các thước đo cơ sở) được kết hợp lại bằng chức năng
đo lường như thế nào.
Chức năng đo lường có thể liên quan tới nhiều kỹ thuật khác nhau, chẳng hạn
như tính trung bình các thước đo cơ sở, áp dụng trọng số đối với các thước đo
cơ sở, hoặc chỉ định các giá trị định tính cho các thước đo cơ sở. Chức năng đo
lường có thể tổ hợp các thước đo cơ sở sử dụng các thang đo khác nhau, chẳng
hạn như tỷ lệ phần trăm và các kết quả đánh giá định tính.
Một ví dụ về mối quan hệ giữa các yếu tố khác của việc ứng dụng mô hình đo
lường bảo mật thông tin, tức là thước đo cơ sở, chức năng đo lường và thước
đo dẫn xuất được trình bày trong Bảng 2.
Bảng 2 – Ví dụ về thước đo dẫn xuất và chức năng đo lường.
5.4.4 Các chỉ số và mô hình phân tích

Một chỉ số là một thước đo cung cấp một ước tính hoặc đánh giá về các thuộc
tính được chỉ định có nguồn gốc từ một mô hình phân tích liên quan đến nhu

cầu thông tin đã được xác định. Các chỉ số có được bởi việc áp dụng một mô
hình phân tích đối với một thước đo cơ sở và/hoặc thước đo dẫn xuất và kết
hợp chúng với tiêu chí ra quyết định. Thang đo và phương pháp đo lường ảnh
hưởng đến việc lựa chọn các kỹ thuật phân tích được sử dụng để tạo ra các chỉ
số.
Một ví dụ về mối quan hệ giữa các thước đo dẫn xuất, mô hình phân tích và
các chỉ số đối với việc ứng dụng mô hình đo lường bảo mật thông tin được
trình bày trong Bảng 3.
Bảng 3 – Ví dụ về chỉ số và mô hình phân tích.
LƯU Ý: Nếu một chỉ số được trình bày dưới dạng một hình thức đồ họa, nó nên có
thể được sử dụng bởi người dùng bị khiế m thị hoặc khi các bản sao đơn sắc được sử
dụng. Để làm được điều đó, mô tả chỉ số nên bao gồm màu sắc, tô bóng, phông chữ
hoặc các phương pháp trực quan khác.
5.4.5 Các kết quả đo lường và tiêu chí ra quyết định

Các kết quả đo lường được phát triển cùng với sự diễn giải các chỉ số có thể áp
dụng được dựa trên tiêu chí ra quyết định đã được xác định và nên được xem
xét trong bối cảnh các mục tiêu đo lường tổng thể về đánh giá tính hiệu quả
của ISMS. Tiêu chí ra quyết định được sử dụng để xác định nhu cầu cho hành
động hoặc xem xét thêm, cũng như là để mô tả mức độ tự tin trong các kết quả
đo lường. Tiêu chí ra quyết định có thể được áp dụng cho một loạt các chỉ số,

ví dụ, để tiến hành phân tích xu hướng dựa trên csc chỉ số nhận được tại những
thời điểm khác nhau.
Một ví dụ về mối quan hệ giữa các yếu tố sau cùng của việc ứng dụng mô hình
đo lường bảo mật thông tin (nghĩa là chỉ số, tiêu chí quyết định và các kết quả
đo lường) được trình bày trong Bảng 4.
Bảng 4 – Ví dụ về các kết quả đo lường và mô hình phân tích.
6 Các trách nhiệm của cấp quản lý

6.1 Tổng quan
Cấp quản lý chịu trách nhiệm cho việc thiết lập Chương trình Đo lường Bảo
mật Thông tin, có sự tham gia của các bên liên quan (xem 7.5.8) trong các
hành động đo lường, chấp thuận các kết quả đo lường như là một đầu vào để
cấp quản lý xem xét và sử dụng kết quả đo lường trong các hành động cải thiện
bên trong ISMS.
Để đạt được điều này, cấp quản lý nên:

a) Thiết lập các mục tiêu cho Chương trình Đo lường Bảo mật Thông tin;
b) Thiết lập một chính sách cho Chương trình Đo lường Bảo mật Thông tin;
c) Thiết lập các vai trò và trách nhiệm cho Chương trình Đo lường Bảo mật
Thông tin;
d) Cung cấp đầy đủ tài nguyên để hoàn thành đo lường bao gồm con người,
tài chính, công cụ và cơ sở hạ tầng;
e) Đảm bảo rằng các mục tiêu của Chương trình Đo lường Bảo mật Thông
tin được hoàn thành;

f) Đảm bảo rằng các công cụ và thiết bị đã sử dụng để thu thập thông tin
được duy trì một cách đúng đắn;
g) Thiết lập mục đích của đo lường cho mỗi cấu trúc đo lường;
h) Đảm bảo rằng đo lường cung cấp thông tin đầy đủ cho các bên có liên
quan liên quan tới tính hiệu quả của ISMS và nhu cầu về việc cải thiện
ISMS đã triển khai, bao gồm phạm vi, các chính sách, mục tiêu, biện
pháp kiểm soát, quy trình và thủ tục của nó (ISMS đã triển khai); và
i) Đảm bảo rằng đo lường cung cấp thông tin đầy đủ cho các bên có liên
quan liên quan tới tính hiệu quả của các biện pháp kiểm soát hoặc nhóm
các biện pháp kiểm soát và nhu cầu cải thiện các biện pháp kiểm soát đã
triển khai.
Thông qua việc chỉ định các vai trò và trách nhiệm đo lường thích hợp, cấp
quản lý nên đảm bảo các kết quả đo lường không bị ảnh hưởng bởi chủ sở hữu
của thông tin (xem 7.5.8). Điều này có thể đạt được thông qua phân tách nhiệm
vụ hoặc, nếu việc phân tách nhiệm vụ là không khả thi, thông qua việc sử
dụng các tài liệu chi tiết cho phép các kiểm nghiệm độc lập.
6.2 Quản lý tài nguyên

Cấp quản lý nên chỉ định và cung cấp các tài nguyên để hỗ trợ các hành động
đo lường thiết yếu, chẳng hạn như thu thập, phân tích, lưu trữ, báo cáo và phân
phối thông tin. Việc phân bổ tài nguyên nên bao gồm sự chỉ định về:
a) Các cá nhân với trách nhiệm đối với mọi khía cạnh của Chương trình Đo
lường Bảo mật Thông tin;
b) Hỗ trợ tương xứng về tài chính; và
c) Hỗ trợ tương xứng về cơ sở hạ tầng, chẳng hạn như cơ sở hạ tầng vật lý
và các công cụ sử dụng để hoàn thành quy trình đo lường.
LƯU Ý: Điều 5.2.1 của ISO/IEC 27001:2005 chỉ định yêu cầu đối với việc cung cấp
các tài nguyên cho việc triển khai và vận hành ISMS.
6.3 Đào tạo, nhận thức và năng lực đo lường

Cấp quản lý nên đảm bảo rằng:
a) Các bên liên quan (xem 7.5.8) được đào tạo một cách đầy đủ về việc đạt
được các vai trò và trách nhiệm của họ trong triển khai Chương trình Đo
lường Bảo mật Thông tin, và được chứng nhận một cách thích hợp để
hoàn thành các vai trò và trách nhiệm của họ; và
b) Các bên liên quan hiểu về nhiệm vụ của họ bao gồm việc đưa ra các lời
khuyên cho việc cải thiện Chương trình Đo lường Bảo mật Thông tin đã
triển khai.
7 Phát triển các thước đo và biện pháp đo lường

7.1 Tổng quan
Điều khoản này cung cấp hướng dẫn về việc làm thế nào để phát triển các
thước đo và biện pháp đo lường cho mục đích đánh giá tính hiệu của của ISMS

và các biện pháp kiểm soát hoặc nhóm các biện pháp kiểm soát đã triển khai,
và xác định các tổ hợp các cấu trúc đo lường cụ thể của tổ chức. Các hành
động cần thiết để phát triển các thước đo và biện pháp đo lường nên được thiết
lập và lập thành văn bản, bao gồm:
a) Xác định phạm vi đo lường (xem 7.2);
b) Xác định yêu cầu thông tin (xem 7.3);
c) Lựa chọn đối tượng đo lường và các thuộc tính của nó (xem 7.4);
d) Phát triển các cấu trúc đo lường (xem 7.5);
e) Áp dụng các cấu trúc đo lường (xem 7.6);
f) Thiết lập các quy trình và công cụ thu thập và phân tích dữ liệu (xem
7.7); và
g) Thiết lập phương pháp tiếp cận và lập thành văn bản việc triển khai đo
lường (xem 7.8).
Khi thiết lập những hành động này, tổ chức nên tính đến các tài nguyên tài
chính, nhân sự, và cơ sở hạ tầng (vật lý và các công cụ).
7.2 Xác định phạm vi đo lường

Tùy thuộc vào năng lực và tài nguyên của một tổ chức, phạm vi ban đầu của
các hành động đo lường của một tổ chức sẽ được giới hạn chỉ trong những yếu
tố như các biện phạm kiểm soát cụ thể, các tài sản thông tin được bảo vệ bởi
các biện pháp kiểm soát cụ thể, các hành động cụ thể đối với bảo mật thông tin
được ưu tiên ở mức cao nhất bởi cấp quản lý. Theo thời gian, phạm vi của các
hành động đo lường sẽ được mở rộng để giải quyết các yếu tố khác của ISMS
và các biện pháp kiểm soát hoặc nhóm các biện pháp kiểm soát đã triển khai,
có tính đến các ưu tiên của các bên liên quan.
Các bên liên quan có liên quan nên được xác định và nên tham gia vào việc xác
định phạm vi đo lường. Các bên liên quan có liên quan có thể là nội bộ hoặc
bên ngoài các đơn vị tổ chức, chẳng hạn như các quản lý dự án, quản lý hệ
thống thông tin, hoặc người ra quyết định bảo mật thông tin. Các kết quả đo
lường cụ thể xác định tính hiệu quả của các biện pháp kiểm soát riêng lẻ hoặc
nhóm các biện pháp kiểm soát nên được xác định và truyền đạt lại cho các bên
liên quan có liên quan.
Tổ chức có thể xem xét việc giới hạn số các kết quả đo lường được báo cáo
cho người ra quyết định trong một khoảng thời gian nhất định để đảm bảo khả
năng của họ ảnh hưởng đến việc cải thiện ISMS dựa trên các kết quả đo lường
đã được báo cáo. Quá nhiều các báo cáo đo lường được báo cáo sẽ tác động tới
khả năng của người ra quyết định tập trung nỗ lực và độ ưu tiên vào các hành
động cải thiện trong tương lai. Các kết quả đo lường nên được thiết lập độ ưu
tiên dựa trên tầm quan trọng của nhu cầu thông tin tương xứng và các mục tiêu
ISMS thích hợp.

LƯU Ý: Phạm vi đo lường liên quan đế n phạm vi của ISMS đã được thiết lập tương
ứng với 4.2.1 a) của ISO/IEC 27001:2005.
7.3 Xác định nhu cầu thông tin

Mỗi cấu trúc đo lường nên tương ứng với, ít nhất, một nhu cầu thông tin. Một
ví dụ về nhu cầu thông tin, mô tả trong điểm khởi đầu như là mục đích của đo
lường và kết thúc với các tiêu chí ra quyết định liên quan được trình bày trong
Phụ lục A.
Những hành động dưới đây nên được hoàn thành để xác định các nhu cầu thông
tin có liên quan:
a) Thực thi ISMS và các quy trình của nó, ví dụ như:
1) Chính sách và các mục tiêu, các mục tiêu và biện pháp kiểm soát
ISMS;
2) Các yêu cầu pháp lý, quy định, hợp đồng và của tổ chức về bảo
mật thông tin;
3) Các kết quả của quy trình quản lý bảo mật thông tin, như được mô
tả trong ISO/IEC 27001.
b) Thiết lập độ ưu tiên cho các nhu cầu thông tin đã được xác định, chẳng
hạn như:
1) Các ưu tiên xử lý rủi ro;
2) Những năng lực và tài nguyên của một tổ chức;
3) Các mối quan tâm của các bên liên quan;
4) Thông tin được yêu cầu để đáp ứng các yêu cầu pháp lý, quy định
và hợp đồng;
5) Giá trị của thông tin liên quan đến chi phí đo lường.
c) Lựa chọn một tập hợp con của thông tin được yêu cầu để được giải quyết
trong các hành động đo lường từ danh sách đã được thiết lập ưu tiên, và
d) Lập thành văn bản và truyền đạt những nhu cầu thông tin đã lựa chọn
cho tất cả các bên liên quan có liên quan.
Mọi thước đo liên quan đã áp dụng cho một ISMS, các biện pháp kiểm soát
hoặc nhóm các biện pháp kiểm soát đã được triển khai nên được triển khai dựa
trên những nhu cầu thông tin đã lựa chọn.
7.4 Lựa chọn đối tượng và thuộc tính

Một đối tượng đo lường và các thuộc tính của nó nên được xác định theo bối
cảnh và phạm vi tổng thể của ISMS. Nên lưu ý rằng một đối tượng đo lường có
thể có vài thuộc tính có thể áp dụng được.
Đối tượng và các thuộc tính của nó sẽ được sử dụng bởi biện pháp đo lường
nên được lựa chọn dựa trên mức độ ưu tiên của nhu cầu thông tin tương ứng.

Các giá trị được gán cho một thước đo cơ sở liên quan có được bằng cách áp
dụng một phương pháp đo lường thích hợp đối với các thuộc tính được lựa
chọn. Sự lựa chọn (các thuộc tính) này nên đảm bảo rằng:
- Thước đo cơ sở liên quan và một phương pháp đo lường thích hợp có thể
được xác định; và
- Các kết quả đo lường có ý nghĩa có thể được phát triển dựa trên các giá
trị đã có được và các thước đo đã được phát triển.
Các đặc trưng của các thuộc tính đã được lựa chọn xác định loại phương pháp
đo lường nào cần được sử dụng để có được các giá trị sẽ được chỉ định cho các
thước đo cơ sở (ví dụ, định tính hoặc định lượng).
Đối tượng và các thuộc tính của nó đã được lựa chọn nên được lập thành văn
bản, cùng với cơ sở hợp lý của sự lựa chọn.
Dữ liệu mô tả đối tượng đo lường và các thuộc tính tương ứng nên được sử
dụng như là giá trị sẽ được gán cho các thước đo cơ sở. Các ví dụ về các đối
tượng đo lường bao gồm nhưng không giới hạn:
- Các sản phẩm và dịch vụ;
- Các quy trình;
- Những tài sản khả dụng như cơ sở vật chất, các ứng dụng, và các hệ
thống thông tin như đã được xác định trong ISO/IEC 27001:2005 (Kiểm
kê tài sản, A.7.1.1);
- Các đơn vị kinh doanh;
- Các vị trí địa lý; và
- Các dịch vụ của bên thứ ba.
Các thuộc tính nên được đánh giá để đảm bảo rằng:
a) Các thuộc tính phù hợp đã được lựa chọn để đo lường; và
b) Việc lựa chọn dữ liệu được xác định để đảm bảo số lượng đầy đủ các
thuộc tính để biện pháp đo lường được hiệu quả.
Chỉ có các thuộc tính liên quan tới thước đo cơ sở tương ứng mới nên được lựa
chọn. Tuy vậy việc lựa chọn các thuộc tính nên xem xét mức độ khó khăn
trong việc có được các thuộc tính để đo lường, nhưng không nên chỉ thực hiện
dựa trên dữ liệu dễ dàng lấy được hoặc thuộc tính dễ đo lường được.
7.5 Phát triển các cấu trúc đo lường

7.5.1 Tổng quan
Điều khoản con này (7.5) giải quyết vấn đề phát triển cấu trúc đo lường từ
7.5.2 (lựa chọn thước đo) đến 7.5.8 (các bên liên quan).
7.5.2 Lựa chọn thước đo

Các thước đo có khả năng đáp ứng được nhu cầu thông tin đã được chọn nên
được xác định. Các thước đo đã xác định nên xác định đầy đủ chi tiết để cho

phép sự lựa chọn các thước đo sẽ được triển khai. Những thước đo mới được
xác định có thể liên quan tới sự thích ứng của một thước đo hiện có.
LƯU Ý: Việc xác định các thước đo cơ bản có liên quan chặt chẽ với việc xác định
các đối tượng đo lường và các thuộc tính của chúng.
Các thước đo đã được xác định có khả năng đáp ứng được nhu cầu thông tin đã
chọn nên được lựa chọn. Thông tin bối cảnh cần thiết để diễn giải hoặc bình
thường hoá các thước đo cũng nên được xem xét.
LƯU Ý: Rất nhiều sự kết hợp các thước đo khác nhau (ví dụ, các thước đo cơ sở, các
thước đo dẫn xuất, và các chỉ số) có thể được chọn để giải quy ết một nhu c ầu thông
tin cụ thể.
Các thước đo đã được chọn nên phản ảnh độ ưu tiên của nhu cầu thông tin. Csc
tiêu chí ví dụ khác có thể được sử dụng trong việc lựa chọn các thước đo bao
gồm:
- Dễ dàng lựa chọn dữ liệu;
- Tính sẵn sàng của nguồn nhân lực để lựa chọn và quản lý dữ liệu;
- Tính sẵn sàng của các công cụ thích hợp;
- Số lượng các chỉ số có khả năng liên quan được hỗ trở bởi thước đo cơ
sở;
- Dễ dàng diễn giải;
- Số lượng người dùng của các kết quả đo lường được phát triển;
- Bằng chứng về tính phù hợp với mục đích hoặc nhu cầu thông tin; và
- Chi phí của việc thu thập, quản lý, và phân tích dữ liệu.
7.5.3 Phương pháp đo lường

Đối với mỗi thước đo cơ sở riêng lẻ, một phương pháp đo lường nên được xác
định. Phương pháp đo lường này được sử dụng để định lượng một đối tượng đo
lường thông qua việc chuyển đổi các thuộc tính thành gia trị sẽ được gán cho
thước đo cơ sở.
Một phương pháp đo lường có thể là chủ quan hoặc khách quan. Các phương
pháp chủ quan dựa trên việc định lượng liên quan đến sự đánh giá của con
người, trong khi các phương pháp khách quan sử dụng việc định lượng dựa
trên các quy tắc số học chẳng hạn như đếm những gì có thể được triển khai bởi
con người hoặc các phương tiện tự động hoá.
Phương pháp đo lường định lượng các thuộc tính như là các giá trị bằng cách
áp dụng một thang đo thích hợp. Mỗi một thang đo sử dụng các đơn vị đo
lường. Chỉ có định lượng như nhau với cùng một đơn vị đo lường mới có thể
so sánh trực tiếp được.
Đối với mỗi phương pháp đo lường, quy trình xác minh nên được thiết lập và
lập thành văn bản. Việc xác minh này nên đảm bảo một mức độ tự tin trong giá
trị sẽ có được bằng cách áp dụng một phương pháp đo lường cho một thuộc
tính của đối tượng đo lường và được gán cho một thước đo cơ sở. Khi cần để
xác định giá trị hợp lệ, các công cụ được sử dụng để có được các thuộc tính
nên được chuẩn hoá và xác minh tại những khoảng thời gian xác định.
Độ chính xác của phương pháp đo lường nên tính đến độ lệch tương ứng hoặc
sự khác biệt nên được ghi nhận lại.
Một phương pháp đo lường nên nhất quán theo thời gian để các giá trị đã gán
cho một thước đo cơ sở được thực hiện tại những thời điểm khác nhau có thể
so sánh được và các giá trị đã gán cho một thước đo dẫn xuất và một chỉ số
cũng có thể so sánh được.
7.5.4 Chức năng đo lường

Đối với mỗi thước đo dẫn xuất riêng lẻ, một chức năng đo lường nên được xác
định được áp dụng cho hai hoặc nhiều giá trị được gán cho các thước đo cơ
sở. Chức năng đo lường này được sử dụng để chuyển đổi những giá trị được
gán cho một hoặc nhiều thước đo cơ sở thành giá trị sẽ được gán cho một
thước đo dẫn xuất. Trong một vài trường hợp, một thước đo cơ sở có thể đóng
góp trực tiếp cho mô hình phân tích bổ sung cho một thước đo dẫn xuất.
Một chức năng đo lường (ví dụ, một tính toán) có thể bao gồm nhiều kỹ thuật
đa dạng, chẳng hạn như lấy giá trị trung bình của mọi giá trị đã gán cho các
thước đo cơ sở, áp dụng trọng số cho các giá trị đã gán cho các thước đo cơ sở,
hoặc gán các giá trị định tính cho những giá trị đã gán cho các thước đo cơ sở
trước khi tính tổng của chúng trong một giá trị sẽ được gán cho một thước đo
dẫn xuất. Chức năng đo lường có thể tổ hợp các giá trị đã gán cho các thước đo
cơ sở bằng cách sử dụng các thang đo khác nhau, chẳng hạn như tỷ lệ phần
trăm và các kết quả đánh giá định tính.
7.5.5 Mô hình phân tích

Đối với mỗi một chỉ số, một mô hình phân tích nên được xác định cho mục
đích chuyển đổi một hoặc nhiều giá trị đã gán cho một thước đo cơ sở và/hoặc
thước đo dẫn xuất thành giá trị sẽ được gán cho chỉ số.
Mô hình phân tích tổ hợp các thước đo có liên quan theo cách mà sẽ đem lại
một kết quả đầu ra có ý nghĩa đối với các bên liên quan.
Tiêu chí ra quyết định được áp dụng cho một chỉ số cũng nên được xem xét khi
xác định mô hình phân tích.
Thỉnh thoảng, một mô hình phân tích có thể đơn giản như là việc chuyển đổi
một giá trị đơn lẻ được gán cho một thước đo dẫn xuất thành giá trị sẽ được
gán cho một chỉ số.

7.5.6 Các chỉ số

Các giá trị được gán cho các chỉ số sẽ được đưa ra bằng cách tính tổng số giá
trị đã gán cho thước đo dẫn xuất và diễn giải chúng dựa trên tiêu chí ra quyết
định. Đối với mỗi chỉ số mà sẽ được báo cáo cho khách hàng, một khuôn dạng
trình bày của các chỉ số như là một phần của các định dạng báo cáo (xem 7.7)
nên được xác định.
Các định dạng trình bày của các chỉ số sẽ thường mô tả một cách trực quan các
thước đo và cung cấp một sự giải thích bằng ngôn ngữ lời nói về các chỉ số.
Các định dạng trình bày các chỉ số nên được tuỳ chỉnh để đáp ứng nhu cầu
thông tin của khách hàng.
7.5.7 Tiêu chí quyết định

Tiêu chí quyết định tương ứng với từng chỉ số nên được xác định và lập thành
văn bản dựa trên các mục tiêu bảo mật thông tin, để cung cấp hướng dẫn có thể
thực hiện được cho các bên liên quan. Hướng dẫn này nên xác định các kỳ
vọng về tiến trình và các ngưỡng cho việc khởi nguồn các hành động cải thiện
dựa trên các chỉ số.
Tiêu chí quyết định thiết lập một đích nhắm mục tiêu mà mức độ thành công
(xem 5.3) được đo lường và cung cấp hướng dẫn về việc diễn giải các chỉ số
trong sự liên quan tới mức độ gần gũi của nó với mục tiêu được nhắm đến.
Các mục tiêu nhắm đến nên được thiết lập cho từng mục liên quan đến hiệu
suất của các quy trình và biện pháp kiểm soát ISMS, việc đạt được các mục
tiêu, và tính hiệu quả của ISMS được đánh giá.
Cấp quản lý có thể quyết định không đặt mục tiêu được nhắm đến cho các chỉ
số cho đến khi dữ liệu ban đầu đã được thu thập. Sau khi các hành động khắc
phục dựa trên dữ liệu ban đầu được xác định, các tiêu chí quyết định thích hợp
và các mốc thời gian triển khai có thể được xác định phù hợp với thực tế đối
với một ISMS cụ thể. Nếu không thể thiết lập các tiêu chí quyết định tại thời
điểm đó, thì Ban Giám đốc cần đánh giá xem đối tượng đo lường và các biện
pháp tương ứng có mang lại giá trị mong đợi cho tổ chức hay không.
Việc thiết lập các tiêu chí quyết định có thể được tạo điều kiện thuận lợi nếu
có sẵn dữ liệu lịch sử liên quan đến các biện pháp đã phát triển hoặc đã chọn.
Các xu hướng được quan sát trong quá khứ sẽ cung cấp cái nhìn sâu sắc về
phạm vi hiệu suất đã tồn tại trước đây và hướng dẫn việc tạo ra các tiêu chí
quyết định thực tế. Tiêu chí quyết định có thể được tính toán hoặc dựa trên sự
hiểu biết khái niệm về hành vi mong đợi. Tiêu chí quyết định có thể được rút
ra từ dữ liệu lịch sử, kế hoạch và phương pháp phỏng đoán, hoặc được tính
toán như giới hạn kiểm soát thống kê hoặc giới hạn tin cậy thống kê.

7.5.8 Các bên liên quan

Đối với thước đo cơ sở và/hoặc thước đo dẫn xuất, các bên liên quan thích hợp
nên được xác định và lập thành văn bản. Các bên liên quan có thể bao gồm:
a) Khách hàng của biện pháp đo lường: cấp quản lý hoặc các bên có lợi ích
khác yêu cầu hoặc đòi hỏi thông tin về tính hiệu quả của một ISMS, các
biện pháp kiểm soát hoặc nhóm các biện pháp kiểm soát;
b) Người xem xét biện pháp đo lường: cá nhân hoặc đơn vị của tổ chức xác
nhận rằng các cấu trúc đo lường đã phát triển là thích hợp để đánh giá
tính hiệu quả của ISMS, các biện pháp kiểm soát hoặc nhóm các biện
pháp kiểm soát;
c) Chủ sở hữu của thông tin: cá nhân hoặc đơn vị của tổ chức sở hữu thông
tin về một đối tượng đo lường và các thuộc tính và chịu trách nhiệm cho
các biện pháp đo lường;
d) Người thu thập thông tin: cá nhân hoặc đơn vị của tổ chức chịu trách
nhiệm thu thập, ghi nhận và lưu trữ dữ liệu; và
e) Người truyền đạt thông tin: cá nhân hoặc đơn vị của tổ chức chịu trách
nhiệm cho việc phân tích dữ liệu và truyền đạt các kết quả đo lường.
7.6 Cấu trúc đo lường

Tối thiểu, thông tin đặc tả kỹ thuật về cấu trúc đo lường nên bao gồm những
thông tin sau đây:
a) Mục đích của biện pháp đo lường;
b) Mục tiêu kiểm soát sẽ đạt được bởi các biện pháp kiểm soát, và các biện
pháp kiểm soát, nhóm các biện pháp kiểm soát và quy trình ISMS cụ thể
sẽ được đo lường;
c) Đối tượng của biện pháp đo lường;
d) Dữ liệu sẽ được thu thập và sử dụng;
e) Quy trình thu thập và phân tích dữ liệu;
f) Quy trình báo cáo về kết quả đo lường; bao gồm các định dạng báo cáo;
g) Các vai trò và trách nhiệm của các bên liên quan có liên quan; và
h) Chu trình xem xét biện pháp đo lường để đảm bảo về tính hữu ích của
chúng trong mối tương quan với một nhu cầu thông tin.
Phụ lục A cung cấp ví dụ một cấu trúc đo lường chung kết hợp chặt chẽ từ a)
đến h). Phụ lục B cung cấp các ví dụ về cấu trúc đo lường được áp dụng để đo
lường các quy trình và biện pháp kiểm soát ISMS.
7.7 Lựa chọn, phân tích và báo cáo dữ liệu

Các thủ tục thu thập và phân tích dữ liệu, và các quy trình báo cáo về các kết
quả đo lường đã được phát triển nên được thiết lập. Các công cụ hỗ trợ, thiết
bị và kỹ thuật đo lường cũng nên được thiết lập, nếu được yêu cầu.Những thủ
tục, công cụ, thiết bị đo lường và kỹ thuật này sẽ xác định những hành động
sau đây:

a) Thu thập dữ liệu, bao gồm lưu trữ và xác minh dữ liệu (xem 8.3). Các
thủ tục nên xác định cách dữ liệu được thu thập như thế nào bằng cách
sử dụng phương pháp đo lường, chức năng đo lường và mô hình phân
tích, cũng như cách thức và nơi chung được lưu trữ cùng nhau với bất kỳ
bối cảnh thông tin cần thiết để hiểu và xác minh dữ liệu. Việc xác minh
dữ liệu có thể được hoàn thành bằng cách kiểm tra dữ liệu so với một
danh sách kiểm tra được cấu trúc để xác nhận rằng dữ liệu bị mất là tối
thiểu, và rằng giá trị được gán cho mỗi thước đo là hợp lệ;
LƯU Ý: Việc xác minh các giá trị được gán cho các thước đo cơ bản liên quan
chặt chẽ với việc xác minh phương pháp đo lường (xem 7.5.3).
b) Phân tích dữ liệu và báo cáo các kết quả đo lường đã phát triển. Các thủ
tục nên chỉ định các kỹ thuật phân tích dữ liệu (xem 9.2), và tần suất,
định dạng và các phương pháp báo cáo các kết quả đo lường. Phạm vi
của các công cụ mà có thể cần đến để hoàn thành phân tích dữ liệu nên
được xác định.
Các ví dụ về các định dạng báo cáo bao gồm:

a) Các thẻ điểm (scorecard) để cung cấp thông tin chiến lược bằng cách
tích hợp các chỉ số cấp cao;
b) Các bảng đo điều hành và vận hành ít tập trung hơn vào các mục tiêu
chiến lược và gắn chặt hơn vào tính hiệu quả của các biện pháp kiểm
soát và quy trình cụ thể;
c) Các báo cáo, từ bản chất đơn giản và không thay đổi, chẳng hạn như một
danh sách các thước đo cho một khoảng thời gian nhất định, đến các báo
cáo gồm nhiều tab liên kết phức tạp hơn với các nhóm lồng ghép vào
nhau, các bản tóm tắt xoay vòng, và dữ liệu tỉ mỉ hoặc liên kết động.
Các báo cáo được sử dụng tốt nhất khi người sử dụng cần xem dữ liệu
thô trong một định dạng dễ-đọc; và
d) Đồng hồ đo để thể hiện các giá trị động bao gồm các cảnh báo, các thành
phần đồ hoạ bổ sung và dán nhãn các điểm đầu cuối.
7.8 Triển khai biện pháp đo lường và lập thành tài liệu
Phương pháp đo lường tổng thể nên được lập thành tài liệu trong một kế hoạch
triển khai. Kế hoạch triển khai tối thiểu nên bao gồm những thông tin dưới
đây:
a) Triển khai Chương trình Đo lường Bảo mật Thông tin cho tổ chức;
b) Các đặc tả kỹ thuật của biện pháp đo lường như sau:
1) Cấu trúc đo lường chung của tổ chức;
2) Các cấu trúc đo lường riêng lẻ của tổ chức; và
3) Định nghĩa phạm vi và các thủ tục thu thập và phân tích dữ liệu;
c) Kế hoạch lịch biểu để hoàn thành các hành động đo lường;
d) Các hồ sơ được tạo ra thông qua việc hoàn thành các hành động đo
lường, bao gồm dữ liệu đã thu thập và các hồ sơ phân tích; và

e) Các định dạng báo cáo cho các kết quả đo lường sẽ được báo cáo cho cấp
quản lý/các bên liên quan (xem ISO/IEC 27001:2005 Điều 7 “Sự xem xét
của cấp quản lý”.
8 Vận hành đo lường

8.1 Tổng quan
Việc vận hành đo lường bảo mật thông tin bao gồm các hành động thiết yếu
trong việc đảm bảo rằng các kết quả đo lường đã phát triển cung cấp thông tin
đầy đủ liên quan đến tính hiệu của của một ISMS, các biện pháp kiểm soát
hoặc nhóm các biện pháp kiểm soát đã triển khai và nhu cầu về các hành động
cải thiện thích hợp.
Hành động này bao gồm những điều sau đây:
a) Tích hợp các thủ tục đo lường vào vận hành tổng thể của ISMS;
b) Thu thập, lưu trữ và xác minh dữ liệu.
8.2 Tích hợp thủ tục

Chương trình Đo lường Bảo mật Thông tin nên được tích hợp đầy đủ vào và
được sử dụng bởi ISMS. Các thủ tục đo lường nên được phối hợp với vận hành
ISMS, bao gồm:
a) Xác định và lập thành văn bản các vai trò, quyền hạn và trách nhiệm,
liên quan đến phát triển, triển khai, và duy trì đo lường bảo mật thông
tin;
b) Thu thập dữ liệu, và, khi cần thiết, điều chỉnh việc vận hành ISMS hiện
tại để phù hợp với các hành động tạo ra và thu thập dữ liệu;
c) Truyền đạt những thay đổi trong các hành động thu thập dữ liệu tới các
bên liên quan có liên quan;
d) Duy trì năng lực của người thu thập dữ liệu và hiểu biết về các kiểu dữ
liệu, công cụ thu thập dữ liệu, và các thủ tục thu thập dữ liệu được yêu
cầu;
e) Phát triển các chính sách và thủ tục xác định việc sử dụng biện pháp đo
lường trong tổ chức, phổ biến thông tin đo lường, kiểm toán và xem xét
Chương trình Đo lường Bảo mật Thông tin;
f) Tích hợp phân tích và báo cáo dữ liệu vào các quy trình liên quan để
đảm bảo hiệu suất thường lệ của chúng;
g) Giám sát, xem xét và đánh giá các kết quả đo lường;
h) Thiết lập một quy trình cho việc dần loại bỏ các thước đo và thêm vào
các thước đo mới để đảm bảo chúng phát triển cùng với tổ chức; và
i) Thiết lập một quy trình xác định thời gian sử dụng hữu ích của dữ liệu
lịch sử để phân tích xu hướng.
8.3 Thu thập, lưu trữ và xác minh dữ liệu

Các hành động thu thập, lưu trữ và xác minh dữ liệu bao gồm:
a) Thu thập dữ liệu được yêu cầu trong một khoảng thời gian định kỳ đều
đặn sử dụng một phương pháp đo lường được chỉ định;
b) Lập thành văn bản việc thu thập dữ liệu, bao gồm:
1)
ngày, giờ, và vị trí thu thập dữ liệu;
2)
người thu thập thông tin;
3)
chủ sở hữu thông tin;
4)
bất kỳ vấn đề nào đã xảy ra trong quá trình thu thập mà có thể hữu
ích;
5) thông tin cho việc xác minh dữ liệu và xác nhận biện pháp đo
lường; và
c) xác minh dữ liệu đã được thu thập so với tiêu chí lựa chọn thước đo và
tiêu chí xác nhận cấu trúc đo lường.
Dữ liệu đã được thu thập và bất bỳ bối cảnh thông tin cần thiết nào nên được
hợp nhất và lưu trữ dưới định dạng có thể ghi được có lợi cho việc phân tích
dữ liệu.
9 Phân tích dữ liệu và báo cáo các kết quả đo lường

9.1 Tổng quan
Dữ liệu đã được thu thập nên được phân tích để phát triển các kết quả đo lường
và các kết quả đo lường đã được phát triển nên được truyền đạt lại.
Hành động này bao gồm:

a) phân tích dữ liệu và phát triển các kết quả đo lường; và
b) truyền đạt các kết quả đo lường tới các bên liên quan có liên quan.
9.2 Phân tích dữ liệu và phát triển các kết quả đo lường
Dữ liệu đã được thu thập nên được phân tích và diễn giải thành các tiêu chí ra
quyết định. Dữ liệu có thể được tổng kết, chuyển đổi, hoặc tái mã hóa trước
khi phân tích. Trong quá trình này, dữ liệu nên được xử lý để đưa ra các chỉ
số. Một số các kỹ thuật phân tích có thể được áp dụng. Độ sâu của phân tích
nên được xác định bởi bản chất của dữ liệu và nhu cầu thông tin.
LƯU Ý: Hướng dẫn thực hiện phân tích thống kê có thể tìm thấy trong ISO/TR
10017 (Hướng dẫn kỹ thuật thống kê cho ISO 9001).
Kết quả phân tích dữ liệu nên được diễn giải. Người phân tích kết quả (người
truyền thông) phải có khả năng rút ra một số kết luận ban đầu dựa trên kết quả.
Tuy nhiên, vì (những) người truyền thông có thể đã không tham gia trực tiếp
vào các quy trình quản lý và quy trình kỹ thuật, những kết luận ban đầu đó cần
được xem xét bởi các bên liên quan khác. Mọi diễn giải nên tính đến bối cảnh
của các thước đo.
Phân tích dữ liệu nên xác định những khoảng trống giữa kỳ vọng và thực tế của
các kết quả đo lường của một ISMS, các biện pháp kiểm soát hoặc nhóm các
biện pháp kiểm soát đã được triển khai. Những khoảng trống đã được xác định
sẽ chỉ ra các nhu cầu cải thiện ISMS đã được triển khai, bao gồm phạm vi của
nó, các chính sách, mục tiêu, các biện pháp kiểm soát, quy trình và thủ tục.

Những chỉ số minh chứng cho sự không tuân thủ hoặc hiệu suất kém nên đượ
xác định và có thể được phân loại như sau:
a) Kế hoạch xử lý rủi ro thất bại trong triển khai hoặc triển khai, vận hành
và quản lý các biện pháp kiểm soát hoặc quy trình ISMS không đầy đủ
(ví dụ các biện pháp kiểm soát và các quy trình ISMS có thể bị vượt qua
bởi các mối đe dọa);
b) Đánh giá rủi ro thất bại:
1) Các biện pháp kiểm soát hoặc các quy trình ISMS không hiệu quả
bởi vì chung không đầy đủ để chống lại ngay cả các mối đe dọa đã
được ước tính (ví dụ, bởi vì khả năng xảy ra của các mối đe dọa đã
được ước tính quá thấp) hoặc các mối đe dọa mới;
2) Các biện pháp kiểm soát hoặc các quy trình ISMS không được
triển khai, do các mối đe dọa bị bỏ sót.
Các báo cáo được sử dụng để truyền thông về các kết quả đo lường cho các bên
liên quan có liên quan nên được chuẩn bị qua việc sử dụng các định dạng báo
cáo thích hợp (xem 7.7) tương ứng với kế hoạch triển khai Chương trình Đo
lường Bảo mật Thông tin.
Những kết luận của việc phân tích nên được xem xét bởi các bên liên quan có
liên quan để đảm bảo dữ liệu được diễn giải đúng đắn. Các kết quả phân tích
dữ liệu nên được lập thành văn bản để truyền thông đến các bên liên quan.
9.3 Truyền đạt các kết quả đo lường

Người truyền đạt thông tin nên xác định cách truyền đạt các kết quả đo lường
bảo mật thông tin như thế nào, chẳng hạn như:
- Những kết quả đo lường nào sẽ được báo cáo nội bộ và bên ngoài;
- Liệt kê các thước đo tương ứng với các bên liên quan riêng lẻ, và các
bên khác có lợi ích liên quan;
- Chỉ định các kết quả đo lường sẽ được cung cấp, và hình thức trình bày,
phù hợp với nhu cầu của mỗi nhóm; và
- Các phương tiện thu thập thông tin phản hồi từ các bên liên quan sẽ
được sử dụng để đánh giá tính hữu ích của các kết quả đo lường và tính
hiệu quả của Chương trình Đo lường Bảo mật Thông tin.
Các kết quả đo lường nên được truyền đạt cho các bên liên quan khác nhau,
bao gồm nhưng không giới hạn:
- Khách hàng của biện pháp đo lường (xem 7.5.8);
- Các chủ sở hữu của thông tin (xem 7.5.8);
- Cá nhân chịu trách nhiệm quản lý bảo mật thông tin, đặc biệt khi thất bại
trong việc đánh giá rủi ro được phát hiện, và
- Cá nhân chịu trách nhiệm cho những khu vực cần cải thiện đã được xác
định.

Trong một vài trường hợp, tổ chức có thể yêu cầu phân phối các báo cáo về các
kết quả đo lường cho các bên thứ ba bên ngoài, bao gồm các cơ quan quản lý,
các cổ đông, khách hàng, và nhà cung cấp. Chúng tôi khuyến nghị rằng các báo
cáo về kết quả đo lường sẽ được phân phối ra bên ngoài chỉ bao gồm các dữ
liệu phù hợp cho việc phát hành ra bên ngoài và đã được phê duyệt bởi cấp
quản lý và các bên liên quan có liên quan trước khi được phát hành.
10 Đánh giá và cải thiện Chương trình Đo lường Bảo mật Thông
tin
10.1 Tổng quan
Tổ chức nên đánh giá những điều dưới đây tại khoảng thời gian đã định:
a) Tính hiệu quả của Chương trình Đo lường Bảo mật Thông tin đã được
triển khai để đảm bảo rằng nó (Chương trình Đo lường Bảo mật Thông
tin):
1) Đem lại được các kết quả đo lường một cách hiệu quả;
2) Được thực thi như đã định;
3) Giải quyết những thay đổi trong ISMS và/hoặc các biện pháp kiếm
soát đã được triển khai;
4) Giải quyết những thay đổi trong môi trường (ví dụ, các yêu cầu, pháp
luật, hoặc công nghệ); và
b) Tính hữu ích của các kết quả đo lường đã được phát triển để đảm bảo
rằng chúng đáp ứng được các nhu cầu thông tin có liên quan.
Cấp quản lý nên chỉ định tần suất của việc đánh giá nêu trên, lên kế hoạch định
kỳ xem xét và thiết lập cơ chế để khiến cho những xem xét đó có khả năng
(xem điều 7.2 của ISO/IEC 27001:2005).
Những hành động liên quan nên là, như dưới đây:
1) xác định tiêu chí đánh giá cho Chương trình Đo lường Bảo mật Thông
tin (xem 10.2);
2) giám sát, xem xét và đánh giá biện pháp đo lường (xem 10.3); và
3) triển khai các cải thiện (xem 10.4).
10.2 Xác định tiêu chí đánh giá Chương trình Đo lường Bảo mật
Thông tin
Tổ chức nên xác định tiêu chí cho việc đánh giá tính hiệu quả của Chương
trình Đo lường Bảo mật Thông tin cũng như tính hữu ích của các kết quả đo
lường đã được phát triển. Tiêu chí nên được xác định khi bắt đầu triển khai
Chương trình Đo lường Bảo mật Thông tin, có tính đến bối cảnh của các mục
tiêu kỹ thuật và mục tiêu kinh doanh của tổ chức.
Các tiêu chí khả dĩ nhất khi tổ chức nên đánh giá và cải thiện Chương trình Đo
lường Bảo mật Thông tin đã triển khai là:
- Những thay đổi trong mục tiêu kinh doanh của tổ chức;
- Những thay đổi trong pháp luật hoặc yêu cầu quy định và nghĩa vụ hợp
đồng về bảo mật thông tin;
- Những thay đổi trong các yêu cầu của tổ chức về bảo mật thông tin;
- Những thay đổi trong các rủi ro bảo mật thông tin đối với tổ chức;
- Tính sẵn sàng của dữ liệu được cải thiện hơn hoặc phù hợp hơn và các
phương pháp để thu thập dữ liệu cho mục đích đo lường được tăng
cường;
- Những thay đổi đối với đối tượng đo lường và/hoặc các thuộc tính của
nó.
Các tiêu chí dưới đây có thể được áp dụng để đánh giá các kết quả đo lường đã
được phát triển:
a) Các kết quả đo lường là:
1) Dễ hiểu;
2) Được truyền đạt một cách kịp thời; và
3) Khách quan, có thể so sánh được và có thể tái lập được.
b) Các quy trình đã được thiết lập để phát triển các kết quả đo lường là:
1) Được các định rõ ràng;
2) Dễ vận hành; và
3) Được tuân thủ một cách dúng đắn.
c) Các kết quả đo lường có ích trong việc cải thiện bảo mật thông tin;
d) Các kết quả đo lường giải quyết được các nhu cầu thông tin.
10.3 Giám sát, xem xét và đánh giá Chương trình Đo lường Bảo mật
Thông tin
Tổ chức nên giám sát, xem xét và đánh giá Chương trình Đo lường Bảo mật
Thông tin của mình so với các tiêu chí đã được thiết lập (xem 10.2).
Tổ chức nên xác định các nhu cầu tiềm ẩn cho việc cải thiện Chương trình Đo
lường Bảo mật Thông tin, bao gồm:
a) Sửa đổi hoặc loại bỏ các cấu trúc đo lường đã được thông qua mà không
còn phù hợp nữa; và
b) Tái phân bổ tài nguyên để hỗ trợ Chương trình Đo lường Bảo mật Thông
tin.
Tổ chức cũng nên xác định những nhu cầu tiền ẩn về cải thiện ISMS đã được
triển khai, bao gồm phạm vi, các chính sách, mục tiêu, các biện pháp kiểm
soát, các quy trình và thủ tục của nó, và lập thành văn bản các quyết định của
cấp quản lý để cho phép so sánh và phân tích xu hướng trong những lần xem
xét sau đó.
Các kết quả của quá trình đánh giá này và nhu cầu tiềm ẩn về sự cải thiện đã
được xác định nên được truyền đạt cho các bên liên quan để cho phép đưa ra
quyết định liên quan đến các cải thiện cần thiết.
Tổ chức nên đảm bảo rằng thông tin phản hồi được tìm kiếm từ các bên liên
quan về các kết quả của quá trình đánh giá này và về các nhu cầu tiềm ẩn về sự

cải thiện. Tổ chức nên hiểu rằng thông tin phản hồi là một trong những đầu
vào liên quan tới tính hiệu quả của Chương trình Đo lường Bảo mật Thông tin.
10.4 Triển khai các biện pháp cải thiện

Tổ chức nên đảm bảo rằng các bên liên quan xác định nhu cầu về sự cải thiện
của Chương trình Đo lường Bảo mật Thông tin (xem điều 7.3 e) của ISO/IEC
27001:2005). Các cải thiện đã được xác định nên được phê duyệt bởi cấp quản
lý. Các kế hoạch được phê duyệt nên được lập thành văn bản và truyền đạt tới
các bên liên quan thích hợp.
Tổ chức nên đảm bảo rằng các cải thiện đã được phê duyệt của Chương trình
Đo lường Bảo mật Thông tin được triển khai như đã hoạch định.
Tổ chức có thể áp dụng các kỹ thuật quản lý dự án để hoàn thành các cải thiện.

Phụ lục A (cung cấp thông tin)

Mẫu cấu trúc đo lường bảo mật thông tin
Phụ lục A cung cấp một mẫu ví dụ về cấu trúc đo lường bảo mật thông tin bao
gồm mọi thành phần được xác định trong 7.5 như đã được mô tả trong 7.4. Các
tổ chức có thể điều chỉnh lại mẫu này để phù hợp với các yêu cầu của mình.
X ác định Cấu trúc Đo lường
T ê n cấ u tr úc đo lườ ng T ên củ a bi ện p h áp đo lư ờng
Sô định danh Số định d anh du y nhất cụ th ể củ a tổ c h ứ c.
Mục đí ch c ủa cấ u trúc đo Mô t ả lý do của việ c đ ưa ra bi ện phá p đo l ường.
l ường
M ụ c t i ê u k i ểm soá t/ q uy Mục ti êu kiể m s o át/ quy t r ình đ ang đ ư ợc đo l ư ờng (đã lập kế
trình ho ạch hoặ c đ ược t riển kh ai ) .
K i ểm soá t (1 )/ quy trì nh (1 ) Ki ểm soát /quy t rình đang đ ư ợc đo lường .
K i ểm soá t (2 )/ quy trì nh (2 ) Tùy chọn: các k i ểm so át /quy t rình kh ác t ro ng nhó m đ ư ợc bao
gồ m t rong c ùng một th ước đo , n ếu có th ể (đã lập k ế ho ạc h
ho ặc đ ượ c t ri ển kh ai ) .
Đối tượng của Đo lường và các Thuộc tính
Đối tượng của đo lường Đối tượng (thực thể) được mô tả thông qua biện pháp đo
lường các thuộc tính của nó. Một đối tượng có thể bao
gồm các quy trình, kế hoạch, dự án, tài nguy ên, và các
hệ thống, hoặc các thành phần hệ thống.
Thuộc tính Đặc tính hoặc đặc điểm của một đối tượng đo lường mà
có thể được nhận biết một cách định tính hoặc định
lượng bởi con người hoặc phương tiện tự động hóa.
Đặc tả k ỹ thuật của Thước đo Cơ sở (đối với mỗi thước đo cơ sở [1…n])
Thước đo cơ sở Một thước đo cơ sở được xác định về mặt thuộc tính và
phương pháp đo lường được chỉ định để định lượng nó
(ví dụ, số nhân viên đã được đào tạo, số site, chi phí
tích lũy đến hiện tại). Khi dữ liệu đã được thu thập, một
giá trị được gán cho một thước đo cơ sở.
Phương pháp đo lường Trình tự logic của các hoạt động được sử dụng trong
việc định lượng một thuộc tính liên quan tới một thang
đo được chỉ định.
Kiểu phương pháp đo Tùy thuộc vào bản chất của các hoạt động được sủ dụng
lường để định lượng một thuộc tính, có hai kiểu của phương
pháp (đo lường) được phân biệt:
- Chủ quan: sự định lượng liên quan đến sự phán
đoán của con người.
- Khách quan: sự định lượng dựa trên các quy tắc
số học chẳng hạn như phép đếm.
Thang đo Bộ các giá trị hoặc các danh mục được sắp thứ tự mà
thuộc tính của thước đo cơ sở được ánh xạ.
Kiểu thang đo Tùy thuộc vào bản chất của mối quan hệ giữa các giá trị
trên thang đo, có bốn kiểu thang đo được định nghĩa
chung chung: Danh nghĩa, Thứ tự, Khoảng thời gian, và
Tỷ lệ.
Đơn vị đo lường Đại lượng cụ thể, được xác định và thông qua theo quy
tắc, với bất kỳ đại lượng nào khác cùng loại có thể được
so sánh để biểu thị tỷ lệ của hai đại lượng dưới dạ ng
một con số.
Đặc tả k ỹ thuật của Thước đo Dẫn xuất
Thước đo dẫn xuất Một thước đo có nguồn gốc như là một chức năng của
hai thước đo cơ sở hoặc hơn.
Chức năng đo lường Thuật toán hoặc sự tính toán được hoàn thành để kết
hợp hai thước đo cơ sở hoặc hơn. Thang đo và đơn vị

của thước đo dẫn xuất tùy thuộc vào các thang đo và

đơn vị của các thước đo cơ sở mà từ đó chúng được cấu
tạo cũng như là cách mà chúng được kết hợp lại bởi
chức năng.
Đặc tả k ỹ thuật của các Chỉ số
Chỉ số Thước đo cung cấp một ước tính hoặc đánh giá về các
thuộc tính cụ thể có nguồn gốc từ một mô hình phân tích
liên quan đến một nhu cầu thông tin đã xác định. Các
chỉ số là cơ sở cho phân tích và ra quy ết định.
Mô hình phân tích Thuật toán hoặc sự tính toán kết hợp một hoặc nhiều cá c
thước đo cơ sở và/hoặc thước đo dẫn xuất với tiêu chí ra
quy ết định tương ứng. Nó được dựa trên một sự hiểu
biết về, hoặc giả định về, mối quan hệ được kỳ vọng
giữa thước đo cơ sở và/hoặc dẫn xuất với hành vi của nó
(thước đo) theo thời gian. Một mô hình phân tích đe m
lại các tính toán hoặc đánh giá liên quan đến một nhu
cầu thông tin đã được xác định.
Đặc tả k ỹ thuật của Tiêu chí Quyết định
Tiêu chí quyết định Các ngưỡng, mục tiêu nhắm đến, hoặc khuôn mẫu đã sử
dụng để xác định nhu cầu về hành động hoặc xem xét bổ
sung, hoặc để mô tả mức độ tự tin trong kết quả đem lại.
Tiêu chí quy ết định giúp diễn giải các kết quả đo lường.
Các kết quả Đo lường
Diễn giải chỉ số Một mô tả về cách mà mẫu c hỉ số (xe m hình mẫu trong
mô tả chỉ số) nên được diễn giải như thế nào.
Các định dạng báo cáo Các định dạng báo cáo nên được xác định và lập thành
văn bản. Mô tả những quan sát mà một tổ chức hoặc chủ
sở hữu của thông tin có lẽ muốn ghi lại. Các định dạng
báo cáo sẽ mô tả trực quan các thước đo và cung cấp sự
giải thích bằng ngôn từ về các chỉ số. Các định dạng báo
cáo nên được tùy chỉnh đối với khách hàng (của) thông
tin.
Các bên liên quan
Khách hàng của Đo Cấp quản lý hoặc các bên liên quan khác có lợi ích đòi
lường hỏi hoặc yêu cầu thông tin về tính hiệu quả của ISMS,
các biện pháp kiểm soát hoặc nhóm các biện pháp kiể m
soát.
Người xem xét biện pháp Cá nhân hoặc đơn vị tổ chức xác minh rằng các cấu trúc
đo lường đo lường đã được phát triển là phù hợp để đánh giá tính
hiệu quả của ISMS, các biện pháp kiểm soát hoặc nhóm
các biện pháp kiểm soát.
Chủ sở hữu thông tin Cá nhân hoặc đơn vị tổ chức sở hữu thông tin về một
đối tượng đo lường và các thuộc tính và chịu trách
nhiệm đo lường.
Người thu thập thông tin Các nhân hoặc đơn vị tổ chức chịu trách nhiệm thu thập,
ghi nhận và lưu trữ dữ liệu.
Người truyền đạt thông Cá nhân hoặc đơn vị tổ chức chịu trách nhiệm phân tích
tin dữ liệu và truyền đạt các kết quả đo lường.
Tần suất/Khoảng thời gian
Tần suất thu thập dữ Bao lâu thì dữ liệu được thu thập.
liệu
Tần suất phân tích dữ Bao lâu thì dữ liệu được phân tích.
liệu
Tần suất báo cáo k ết quả Bao lâu thì các kết quả đo lường được báo cáo (có thể
đo lường với tần suất ít hơn thu thập thông tin).
Điều chỉnh biện pháp đo Ngày điều chỉnh biện pháp đo lường (hết hạn hoặc đổi
lường mới hiệu lực của biện pháp đo lường).

Khoảng đo lường Xác định khoảng thời gian được đo lường.

Phụ lục B (cung cấp thông tin)

Các ví dụ về cấu trúc đo lường
Những điều dưới đây cung cấp các ví dụ về các cấu trúc đo lường. Những ví dụ
này nhằm chứng minh cách làm thế nào áp dụng Tiêu chuẩn Quốc tế này sử
dụng biểu mẫu được đưa ra trong Phụ lục A.
Mục lục
B.1 Đào tạo ISMS
B.1.1 Các cá nhân đã được đào tạo về ISMS
B.1.2 Đào tạo Bảo mật Thông tin
B.1.3 Tuân thủ Nhận thức Bảo mật Thông tin
B.2 Chính sách mật khẩu
B.2.1 Chất lượng Mật khẩu – thủ công
B.2.2 Chất lượng Mật khẩu – tự động
B.3 Quy trình xem xét ISMS
B.4 Cai thiện liên tục ISMS Quản lý sự cố bảo mật thông tin
B.4.1 Tính hiệu quả
B.4.2 Triển khai các hành động khắc phục
B.5 Cam kết của cấp quản lý
B.6 Bảo vệ chống lại mã độc
B.7 Kiểm soát truy cập vật lý
B.8 Xem xét các tập tin nhật ký
B.9 Quản lý bảo trì định kỳ
B.10 Bảo mật trong Các Thỏa thuận Bên thứ ba
Các biện pháp k iểm Các ví dụ cấu Tên của ví dụ cấu trúc đo lường
soát và quy trình trúc đo lường
liên quan (Điều liên quan
khoản trong ISO/IEC (tham khảo
27001:2005 hoặc số trong Phụ lục
kiểm soát trong Phụ này )
lục A)
Điều 4.2.2 h) B.4.1 Tính hiệu quả của Quản lý sự cố bảo mật
thông tin.
Điều 5.2.2 d) B.1.1 Các cá nhân được đào tạo về ISMS.
Điều 8.2 B.4.2 Triển khai các hành động khắc phục.
Kiểm soát A.6.1.8 B.3 Quy trình xem xét ISMS
Kiểm soát A.6.1.1 và B.5 Ca m kết của cấp quản lý.
A.6.1.2
Kiểm soát A.6.2.3 B.10 Bảo mật trong Các thỏa thuận với bên thứ
ba.
Kiểm soát A.8.2 và B.1.2 Đào tạo bảo mật thông tin.
A.8.2.2
Kiểm soát A.8.1.2 B.7 Các kiểm soát truy cập vật lý.
Kiểm soát A.9.2.4 B.9 Quản lý bảo trì định kỳ .
Kiểm soát A.10.4.1 B.6 Bảo vệ chống lại mã độc.
Kiểm soát A.10.10.1 B.8 Xem xét các tập tin nhật ký.
và A.10.10.2
Kiểm soát A.11.3.1 B.2.1 Chất lượng mật khẩu – thủ công.
Kiểm soát A.11.3.1 B.2.2 Chất lượng mật khẩu – tự động.


B.1 Đào tạo ISMS

B.1.1 Các cá nhân được đào tạo về ISMS
T ê n cấ u tr úc đo lườ ng Các cá nhân được đào tạo về ISMS.
Sô định danh Theo chỉ định của tổ chức.
Mục đí ch c ủa cấ u trúc đo Thiết lập biện pháp kiểm soát tính tuân thủ với chính
l ường sách bảo mật thông tin của tổ chức.
M ụ c t i ê u k i ểm soá t/ q uy Điều 5.2.2 [27001:2005]. Đào tạo, nhận thức và năng
trình lực.
K i ểm soá t (1 )/ quy trì nh (1 ) Điều 5.2.2.d [27001:2005]. Đào tạo, nhận thức và năng
lực.
Tổ chức sẽ đả m bảo rằng mọi cá nhân được chỉ định
trách nhiệm đã được xác định trong ISMS có đủ năng
lực để hoà n thành các tác vụ được y êu cầu bởi: d) duy
trì hồ sơ ghi nhận về giáo dục, đào tạo, các kỹ năng,
kinh nghiệm và chứng nhận.
K i ểm soá t (2 )/ quy trì nh (2 ) Tùy chọn: các biện pháp kiể m soát khác trong nhóm
được bao gồm trong cùng một thước đo, nếu có thể (đã
được lên kế hoạch hoặc được triển khai).
Đối tượng của đo lường Cơ sở dữ liệu nhân viên.
Thuộc tính Theo chỉ định của tổ chức.
Đặc tả k ỹ thuật của Thước đo Cơ sở (đối với mỗi thước đo cơ sở [1…n])
Thước đo cơ sở Số lượng nhân viên đã nhận được đào tạo về ISMS
tương ứng với kế hoạch đào tạo ISMS hàng năm.
Số lượng nhân viên cần được đào tạo về ISMS.
Phương pháp đo lường Đếm nhật ký/bản đăng ký với trường/dòng đào tạo ISMS
được điền giá trị là “Đã nhận được”.
Kiểu phương pháp đo Khách quan.
lường
Thang đo Số học.
Kiểu thang đo Tỷ lệ.
Đơn vị đo lường Nhân viên.
Thước đo dẫn xuất Tỷ lệ phần trăm cá nhân được đào tạo về ISMS.
Chức năng đo lường Số lượng nhân viên đã nhận được đào tạo về ISMS/số
lượng nhân viên cần được đào tạo về ISMS * 100
Chỉ số Sử dụng mã màu với với mã nhận dạng mà u. Biểu đồ
dạng thanh mô tả sự tuân thủ qua vài chu kỳ báo cáo
liên quan tới các ngưỡng (đỏ, vàng, xanh) đã được xác
định bởi Mô hình phân tích. Số chu kỳ báo cáo sẽ được
sử dụng trong biểu đồ nên được xác định bởi tổ chức.
Mô hình phân tích 0 – 60%: Đỏ, 60 – 90%: Vàng, 90 – 100%: Xanh. Đối
với Vàng, nếu không đạt được ít nhất tiến độ 10% trên
mỗi quý, thứ hạng sẽ tự động hạ xuống Đỏ.
Tiêu chí quyết định Đỏ - sự can thiệp được y êu cầu, sự phân tích mối quan
hệ nhân quả phải được tiến hành để xác định lý do của
sự không tuân thủ và hiệu suất kém.
Vàng – chỉ số nên được theo dõi một cách chặt chẽ về
khả năng trượt sang Đỏ.
Xanh – không đòi hỏi hành động nào.
Diễn giải chỉ số Theo chỉ định của tổ chức.

Các định dạng báo cáo Biểu đồ thanh với các thanh màu được mã hóa dựa trên
tiêu chí quy ết định. Tóm tắt ngắn gọn về ý nghĩa của
thước đo và các hành động khả dĩ của cấp quản lý nên
được đính kèm vào biểu đồ thanh.
Khách hàng của Đo Nhà quản lý chịu trách nhiệm về ISMS.
lường
Người xem xét biện pháp Nhà quản lý chịu trách nhiệm về ISMS.
đo lường
Chủ sở hữu thông tin Nhà quản lý Đào tạo – Nhân sự.
Người thu thập thông tin Quản lý đào tạo – Phòng Nhân sự.
Người truyền đạt thông Nhà quản lý chịu trách nhiệm về ISMS.
tin
Tần suất thu thập dữ Hàng tháng, vào ngày làm việc đầu tiên của tháng.
liệu
Tần suất phân tích dữ Hàng quý.
liệu
Tần suất báo cáo k ết quả Hàng quý.
đo lường
Điều chỉnh biện pháp đo Xem xét hàng năm.
lường
Khoảng đo lường Hàng năm.

B.1.2 Đào tạo bảo mật thông tin

T ê n cấ u tr úc đo lườ ng Đào tạo bảo mật thông tin.
Mục đí ch c ủa cấ u trúc đo Đánh giá tính tuân thủ với y êu cầu về đào tạo nâng cao
l ường nhận thức bảo mật thông tin hàng nă m.
M ụ c t i ê u k i ểm soá t/ q uy A.8.2 Trong khi tiến hành công việc.
trình Mục tiêu: Đảm bảo rằng mọi nhân viên, nhà thầu và
người sử dụng của bên thứ ba nhận thức được về các
mối đe dọa và mối quan tâm về bảo mật thông tin, trách
nhiệm và nghĩa vụ của họ, và được trang bị để hỗ trợ
chính sách bảo mật của tổ chức trong tiến trình công
việc hàng ngày của họ, và để giảm thiểu rủi ro do lỗi
con người.
K i ểm soá t (1 )/ quy trì nh (1 ) A.8.2.2. [27001:2005]. Đào tạo, giáo dục và nâng cao
nhận thức về bảo mật thông tin.
Mọi nhân viên của tổ chức và, nếu c ó thể, các nhà thầu
và người sử dụng của bên thứ ba sẽ nhận được đào tạo
nâng cao nhận thức và thường xuy ên được cập nhật về
các chính sách và thủ tục của tổ chức, có liên quan đến
chức năng công việc của họ.
Đối tượng của đo lường Cơ sở dữ liệu nhân viên
Thuộc tính Hồ sơ đào tạo.
Đặc tả k ỹ thuật của Thước đo Cơ sở (1)
Thước đo cơ sở Số lượng nhân viên nhận được đào tạo nâng cao nhận
thức bảo mật thông tin hằng năm.
Số lượng nhân viên cần được đào tạo nâng cao nhận
Phương pháp đo lường Đếm nhật ký/bản đăng ký với trường/dòng đào tạo nâng
cao nhận thức bảo mật thông tin được điền giá trị là “Đã
nhận được”.
lường
Thước đo dẫn xuất Tỷ lệ phần trăm của các cá nhân đã nhận được đào tạo
nâng cao nhận thức bảo mật thông tin hằng năm.
Chức năng đo lường Số lượng nhân viên đã nhận được đào tạo bảo mật thông
tin hàng năm/Số lượng nhân viên cần nhận được đào tạo
bảo mật thông tin hàng năm * 100
Chỉ số Biểu đồ thanh mô tả tính tuân thủ qua vài chu kỳ báo
cáo liên quan tới các ngưỡng (đỏ, vàng, xanh, với mã
nhận dạng màu) được xác định bởi Mô hình phân tích.
Số chu kỳ báo cáo sẽ được sử dụng trong biểu đồ nên
được xác định bởi tổ chức.
mỗi quý, thứ hạng sẽ tự động chuy ển sang Đỏ.
Khách hàng của Đo Các nhà quản lý chịu trách nhiệm về ISMS. Quản lý bảo
lường mật. Quản lý đào tạo.
Người xem xét biện pháp Nhà quản lý bảo mật.
đo lường
Chủ sở hữu thông tin Chuy ên viên bảo mật thông tin và Nhà quản lý đào tạo.
Người truyền đạt thông Các nhà quản lý chịu trách nhiệm về ISMS.
tin
liệu
liệu
đo lường
lường

B.1.3 Tuân thủ nâng cao nhận thức bảo mật thông tin
T ê n cấ u tr úc đo lườ ng Tuân thủ chính sách nâng cao nhận thức bảo mật thông
tin
Mục đí ch c ủa cấ u trúc đo Đánh giá tình trạng của sự tuân thủ chính sách nâng cao
l ường nhận thức bảo mật thông tin của tổ chức giữa các cá
nhân liên quan.
M ụ c t i ê u k i ểm soá t/ q uy A.8.2 Trong khi tiến hành công việc.
trình Mục tiêu: Đảm bảo rằng mọi nhân viên, nhà thầu và
người sử dụng của bên thứ ba nhận thức được về các
mối đe dọa và mối quan tâm về bảo mật thông tin, trách
nhiệm và nghĩa vụ của họ, và được trang bị để hỗ trợ
chính sách bảo mật của tổ chức trong tiến trình công
việc hàng ngày của họ, và để giảm thiểu rủi ro do lỗi
con người.
K i ểm soá t (1 )/ quy trì nh (1 ) A.8.2.2. Mọi nhân viên của tổ chức và, nếu có thể, các
nhà thầu và người sử dụng của bên thứ ba sẽ nhận được
đào tạo nâng cao nhận thức và thường xuy ên được cập
nhật về các chính sách và thủ tục của tổ chức, có liên
quan đến chức năng công việc của họ.
(Triển khai) Mọi cá nhân liên quan tới ISMS phải nhận
được đào tạo nâng cao nhận thức bảo mật thông tin
trước khi được cấp quy ền truy cập tới một hệ thống
thông tin. Đào tạo bao gồm: ………
K i ểm soá t (2 )/ quy trì nh (2 ) A.8.2.1 Cấp quản lý sẽ y êu cầu nhân viên, nhà thầu và
người sử dụng bên thứ ba ký thỏa thuận người sử dụng
trước khi được cấp quy ền truy cập tới một hệ thống
thông tin.
Đối tượng của đo lường 1.1 Kế hoạch/lịch biểu đào tạo nâng cao nhận thức bảo
mật thông tin.
1.2 Cá nhân đã hoàn thành hoặc đang được đào tạo.
2.1 Kế hoạch ký các thỏa thuận người dùng/lịch biểu.
2.2 Cá nhân đã ký thỏa thuận.
Thuộc tính 1.1 Cá nhân được xác định trong kế hoạch.
1.2 Tình trạng của các cá nhân liên quan đến đào tạo.
2.1 Cá nhân được xác định trong kế hoạch để ký (thỏa
thuận).
2.2 Tình trạng liên quan đến việc ký thỏa thuận của các
cá nhân.
Thước đo cơ sở Số lượng nhân viên nhận được đào tạo nâng cao nhận
Số lượng nhân viên cần được đào tạo nâng cao nhận
Phương pháp đo lường Đếm nhật ký/bản đăng ký với trường/dòng đào tạo nâng
cao nhận thức bảo mật thông tin được điền giá trị là “Đã
nhận được”.
lường
Thước đo dẫn xuất Tỷ lệ phần trăm của các cá nhân đã nhận được đào tạo
nâng cao nhận thức bảo mật thông tin hằng năm.
Chức năng đo lường Số lượng nhân viên đã nhận được đào tạo bảo mật thông
tin hàng năm/Số lượng nhân viên cần nhận được đào tạo
bảo mật thông tin hàng năm * 100
Chỉ số Biểu đồ thanh mô tả tính tuân thủ qua vài chu kỳ báo
cáo liên quan tới các ngưỡng (đỏ, vàng, xanh, với mã
nhận dạng màu) được xác định bởi Mô hình phân tích.
Số chu kỳ báo cáo sẽ được sử dụng trong biểu đồ nên
được xác định bởi tổ chức.
mỗi quý, thứ hạng sẽ tự động chuy ển sang Đỏ.
Khách hàng của Đo Các nhà quản lý chịu trách nhiệm về ISMS. Quản lý bảo
lường mật. Quản lý đào tạo.
Người xem xét biện pháp Nhà quản lý bảo mật.
đo lường
Chủ sở hữu thông tin Chuy ên viên bảo mật thông tin và Nhà quản lý đào tạo.
tin
liệu
liệu
đo lường
lường

B.2 Các chính sách mật khẩu

B.2.1 Chất lượng mật khẩu – thủ công
T ê n cấ u tr úc đo lườ ng Chất lượng mật khẩu.
Mục đí ch c ủa cấ u trúc đo Đánh giá chất lượng của các mật khẩu được sử dụng bởi
l ường người dùng để truy cập vào các hệ thống CNTT của tổ
chức.
M ụ c t i ê u k i ểm soá t/ q uy Ngăn ngừa việc người dùng lựa chọn c ác mật khẩu
trình không bảo mật.
K i ểm soá t (1 )/ quy trì nh (1 ) A.11.3.1 Người dùng sẽ được yêu cầu tuân theo những
thực tiễn bảo mật tốt trong việc lựa chọn và sừ dụng các
mật khẩu.
Triển khai
Mọi người dùng phải lựa chọn mật khẩu mạnh mẽ c ho
mọi hệ thống, trong đó:
1) dài hơn 8 (ký tự);
2) không dựa trên bất kỳ điều gì mà một ai đó khác
có thể dễ dàng đoán được hoặc có được bằng cách
sử dụng những thông tin cá nhân liên quan, ví dụ,
tên, số điện thoại, và ngày sinh, v.v…
3) không bao gồm những từ có trong từ điển;
4) không bao gồm chuỗi ký tự giống nhau liên tiếp,
toàn ký tự số hoặc toàn ký tự chữ cái,
Mọi tài khoản người dùng và mật khẩu của các hệ thống
CNTT của tổ chức phải được kiểm soát bởi hệ thống
nhân viên.
Đối tượng của đo lường Cơ sở dữ liệu mật khẩu người dùng.
Thuộc tính Các mật khẩu riêng lẻ.
Thước đo cơ sở 1 Số lượng mật khẩu đã đăng ký.
2 Số lượng mật khẩu đáp ứng được chính sách chất
lượng mật khẩu của tổ chức đối với từng người dùng.
Phương pháp đo lường 1 Đếm số lượng mật khẩu trong cơ sở dữ liệu mật khẩu
người dùng.
2 Hỏi từng người dùng về số mật khẩu đáp ứng được
chính sách mật khẩu c ủa tổ chức.
Kiểu phương pháp đo 1 Khách quan.
lường 2 Chủ quan.
Thang đo 1 số nguy ên từ số 0 đến vô cùng.
2 số nguy ên từ số 0 đến vô cùng.
Kiểu thang đo 1 Thứ tự.
2 Thứ tự.
Đơn vị đo lường 1 Mật khẩu.
2 Mật khẩu.
Thước đo dẫn xuất Tổng số lượng mật khẩu tuân thủ chính sách chất lượng
mật khẩu của tổ chức.
Chức năng đo lường ∑ của [Tổng số lượng mật khẩu tuân thủ chính sách chất
lượng mật khẩu của tổ chức đối với mỗi người dùng].
Chỉ số a) Tỷ lệ mật khẩu đáp ứng được chính sách chất
lượng mật khẩu của tổ chức.
b) Xu hướng của tình trạng tuân thủ liên quan đến
chính sách chất lượng mật khẩu.
Mô hình phân tích a) Phép chia [Tổng số lượng mật khẩu đã tuân thủ
chính sách chất lượng mật khẩu của tổ chức] cho
[Số lượng mật khẩu đã đăng ký]
b) So sánh với tỷ lệ trước đó.
Tiêu chí quyết định Mục tiêu kiểm soát là đạt được và không đòi hỏi thê m
hành động nào nếu tỷ lệ kết quả là hơn 0.9. Nếu kết quả
tỷ lệ nằm giữa 0.8 và 0.9 thì mục tiêu kiểm soát không
đạt được nhưng khuy nh hướng tích cực chỉ ra sự cải
thiện. Nếu kết quả tỷ lệ thấp hơn 0.8 hành động tức thì
nên được tiến hành.
Diễn giải chỉ số Diễn giải cho chỉ số a) nên như sau:
 Các tiêu chí của tổ chức để tuân thủ với chính
sách mật khẩu của tổ chức được đáp ứng thỏa
đáng ở tỷ lệ lớn hơn 0,9.
sách mật khẩu tổ chức được đáp ứng không đạt
y êu cầu ở mức [0,8 ≤ tỷ lệ ≤ 0,9].
sách mật khẩu của tổ chức không được đáp ứng ở
tỷ lệ nhỏ hơn 0,8.
Diễn giải cho các chỉ số b) nên như sau:

 Xu hướng tăng cho thấy mức độ tuân thủ được cải
thiện, xu hướng giảm chỉ ra sự tuân thủ xấu đi.
 Mức độ thay đổi xu hướng có thể cung cấp hiểu
biết sâu sắc về tính hiệu quả của các biện pháp
kiểm soát đã được triển khai.
 Xu hướng tiêu cực có thể đòi hỏi các biện pháp
kiểm soát hơn nữa như nâng cao nhận thức, hoặc
các phương tiện kỹ thuật để bắt buộc lựa chọn
mật khẩu mạnh hoặc thay đổi mật khẩu định kỳ.
 Các xu hướng tích cực nên được kiểm tra chi tiết
để ước tính các điều khoản cần thiết để đáp ứng
chính sách mật khẩu từ tỷ lệ hiện tại.
Hiệu quả/tác động của các tiêu chí không được đáp ứng
làm gia tăng nguy cơ vi phạm tính bảo mật.
Các nguy ên nhân tiềm ẩn của sự sai lệch bao gồm thiếu
nhận thức về bảo mật, thiếu sót trong triển khai kỹ thuật
và thiếu thời gian để triển khai trên tất cả các hệ thống
CNTT
Các định dạng báo cáo Đường xu hướng mô tả số lượng mật khẩu tuân thủ
chính sách chất lượng mật khẩu của tổ chức, được chồng
lên các đường xu hư ớng được đưa ra trong các chu kỳ
báo cáo trước đó.
Khách hàng của Đo Các nhà quản lý chịu trách nhiệm về ISMS, Quản lý bảo
lường mật.
Người xem xét biện pháp Quản lý bảo mật.
đo lường
Chủ sở hữu thông tin Quản trị viên hệ thống.
Người thu thập thông tin Nhân viên bảo mật
Người truyền đạt thông Nhân viên bảo mật.
tin
Tần suất thu thập dữ Hàng năm.

liệu
Tần suất phân tích dữ Hàng năm.
liệu
Tần suất báo cáo k ết quả Hàng năm.
đo lường
Điều chỉnh biện pháp đo Xem xét và cập nhật hàng năm.
lường

B.2.2 Chất lượng mật khẩu – tự động

T ê n cấ u tr úc đo lườ ng Chất lượng mật khẩu.
Mục đí ch c ủa cấ u trúc đo Đánh giá chất lượng của các mật khẩu được sử dụng bởi
l ường người dùng để truy cập vào các hệ thống CNTT của tổ
chức.
M ụ c t i ê u k i ểm soá t/ q uy Ngăn ngừa việc người dùng lựa chọn c ác mật khẩu
trình không bảo mật.
K i ểm soá t (1 )/ quy trì nh (1 ) A.11.3.1 Người dùng sẽ được yêu cầu tuân theo những
thực tiễn bảo mật tốt trong việc lựa chọn và sừ dụng các
mật khẩu.
Triển khai
Mọi người dùng phải lựa chọn mật khẩu mạnh mẽ c ho
mọi hệ thống, trong đó:
5) dài hơn 8 (ký tự);
6) không dựa trên bất kỳ điều gì mà một ai đó khác
có thể dễ dàng đoán được hoặc có được bằng cách
sử dụng những thông tin cá nhân liên quan, ví dụ,
tên, số điện thoại, và ngày sinh, v.v…
7) không bao gồm những từ có trong từ điển;
8) không bao gồm chuỗi ký tự giống nhau liên tiếp,
toàn ký tự số hoặc toàn ký tự chữ cái,
Mọi tài khoản người dùng và mật khẩu của các hệ thống
CNTT của tổ chức phải được kiểm soát bởi hệ thống
nhân viên.
Độ mạnh của mật khẩu phải được kiểm tra bằng cách sử
dụng phần mề m bẻ khóa mật khẩu.
Đối tượng của đo lường Cơ sở dữ liệu tài khoản hệ thống nhân viên.
Thuộc tính Các mật khẩu riêng lẻ được lưu trữ trong các hồ sơ tài
khoản hệ thống nhân viên.
Đặc tả k ỹ thuật của Thước đo Cơ sở
Thước đo cơ sở 1 Tổng số lượng mật khẩu.
2 Tổng số lượng mật khẩu không thể bẻ khóa được.
Phương pháp đo lường 1 Chạy truy vấn trên các hồ sơ tài khoản nhân viên.
2 Chạy phần mềm bẻ khóa mật khẩu trên các hồ sơ tài
khoản nhân viên sử dụng phương pháp tấn công lai
ghép.
lường 2 Khách quan.
2 Thứ tự.
Đơn vị đo lường 1 Mật khẩu.
2 Mật khẩu.
Thước đo dẫn xuất Không có.
Chức năng đo lường Không có.
Chỉ số 1 Tỷ lệ mật khẩu có thể bẻ khóa được trong vòng 4 giờ.
2 Xu hướng của tỷ lệ 1.
Mô hình phân tích c) Phép chia [Tổng số lượng mật khẩu không thể bẻ
khóa được] cho [Tổng số lượng mật khẩu]
d) So sánh với tỷ lệ trước đó.

Tiêu chí quyết định Mục tiêu kiểm soát là đạt được và không đòi hỏi thê m
hành động nào nếu tỷ lệ kết quả là hơn 0.9. Nếu kết quả
tỷ lệ nằm giữa 0.8 và 0.9 thì mục tiêu kiểm soát không
đạt được nhưng khuy nh hướng tích cực chỉ ra sự cải
thiện. Nếu kết quả tỷ lệ thấp hơn 0.8 hành động tức thì
nên được tiến hành.
sách mật khẩu của tổ chức được đáp ứng thỏa
đáng ở tỷ lệ lớn hơn 0,9.
sách mật khẩu tổ chức được đáp ứng không đạt
y êu cầu ở mức [0,8 ≤ tỷ lệ ≤ 0,9].
sách mật khẩu của tổ chức không được đáp ứng ở
tỷ lệ nhỏ hơn 0,8.
Diễn giải cho các chỉ số b) nên như sau:

 Xu hướng tăng cho thấy mức độ tuân thủ được cải
thiện, xu hướng giảm chỉ ra sự tuân thủ xấu đi.
 Mức độ thay đổi xu hướng có thể cung cấp hiểu
biết sâu sắc về tính hiệu quả của các biện pháp
kiểm soát đã được triển khai.
 Xu hướng tiêu cực có thể đòi hỏi các biện pháp
kiểm soát hơn nữa như nâng cao nhận thức, hoặc
các phương tiện kỹ thuật để bắt buộc lựa chọn
mật khẩu mạnh hoặc thay đổi mật khẩu định kỳ.
 Các xu hướng tích cực nên được kiểm tra chi tiết
để ước tính các điều khoản cần thiết để đáp ứng
chính sách mật khẩu từ tỷ lệ hiện tại.
làm gia tăng nguy cơ vi phạm tính bảo mật.
Các nguy ên nhân tiềm ẩn của sự sai lệch bao gồm thiếu
nhận thức về bảo mật, thiếu sót trong triển khai kỹ thuật
và thiếu thời gian để triển khai trên tất cả các hệ thống
CNTT
Các định dạng báo cáo Đường xu hướng mô tả số lượng mật khẩu có thể bẻ
khóa được đối với mọi hồ sơ đã được kiểm nghiệm,
được chồng lên các đường xu hướng được đưa ra trong
các kiểm nghiệm trước đó.
lường mật.
đo lường
Người thu thập thông tin Nhân viên bảo mật
tin
Tần suất thu thập dữ Hàng tuần.
liệu
Tần suất phân tích dữ Hàng tuần.
liệu
Tần suất báo cáo k ết quả Hàng tuần.

đo lường
Điều chỉnh biện pháp đo Xem xét và cập nhật hàng năm.
lường
Khoảng đo lường Có thể áp dụng 3 năm.

B.3 Quy trình xem xét ISMS

T ê n cấ u tr úc đo lườ ng Quy trình xem xét ISMS
Mục đí ch c ủa cấ u trúc đo Đánh giá mức độ hoàn thành các xem xét độc lập về bảo
l ường mật thông tin.
M ụ c t i ê u k i ểm soá t/ q uy Quản lý bảo mật thông tin trong tổ chức.
trình
K i ểm soá t (1 )/ quy trì nh (1 )
A.6.1.8 Phương pháp tiếp cận của tổ chức trong việc
quản lý bảo mật thông tin và sự triển khai nó (nghĩa là
các mục tiêu kiểm soát, các biện pháp kiể m soát, chính
sách, quy trình, và thủ tục về bảo mật thông tin) phải
được xe m xét một cách độc lập theo định kỳ thời gian
đã được hoạch định, hoặc khi những thay đổi quan trọng
xảy ra trong triển khai bảo mật.
(Triển khai)
Phương pháp tiếp cận của tổ chức trong việc quản lý
bảo mật thông tin và sự triển khai nó được xem xét hàng
quý bởi một bên thứ ba chuy ên về tư vấn bảo mật.
Đối tượng của đo lường 1. Các báo cáo xem xét của bên thứ ba.
2. Các kế hoạch xem xét của bên thứ ba.
Thuộc tính 1. Các xem xét của bên thứ ba đã được báo cáo.
2. Các xem xét của bên thứ ba đã được hoạch định.
Thước đo cơ sở 1 Số lượng xem xét đã tiến hành bởi bên thứ ba.
2 Tổng số xem xét của bên thứ ba đã được hoạch định.
Phương pháp đo lường 1 Đếm số lượng báo cáo về xem xét định kỳ đã được
thực hiện bởi bên thứ ba.
2 Đếm số lượng các xem xét của bên thứ ba đã được
hoạch định.
lường 2 Khách quan.
2 Thứ tự.
Đơn vị đo lường 1 Xem xét.
2 Xem xét.
Chỉ số Tỷ lệ tiến độ các xem xét độc lập đã được hoàn thành.
Mô hình phân tích Phép chia [Số các xem xét đã được tiến hành bởi bên
thứ ba] cho [Tổng số các xem xét bởi bên thứ ba đã
được hoạch định]
Tiêu chí quyết định Tỷ lệ kết quả của chỉ số nên chủ y ếu rơi vào khoảng
giữa 0.8 và 1.1 để kết luận về thành tựu của mục tiêu
kiểm soát và không đòi hỏi hành động nà o thêm. Và nó
nên hơn 0.6 nếu nó thất bại trong việc đáp ứng các điều
kiện chính.
Diễn giải chỉ số Diễn giải cho chỉ số này nên như sau:
 Các tiêu chí tổ chức về quản lý bảo mật thông tin
trong tổ chức được bê n thứ ba đánh giá kỹ lưỡng

đã được đáp ứng một cách thỏa đáng ở mức 0.8 ≤
tỷ lệ ≤ 1.1.
 Các tiêu chí tổ chức không đạt y êu cầu ở mức
[0.6 ≤ tỷ lệ < 0.8 hoặc tỷ lệ > 1.1]. Sự giám sát
được đòi hỏi để đả m bảo tiến độ phù hợp được
thực hiện.
 Các tiêu chí tổ chức không đạt ở mức [0 ≤ tỷ lệ <
0.6]. Cần có sự can thiệp ngay lập tức để đảm bảo
đạt được những tiến bộ thích hợp.
Nếu vào cuối quý thứ hai, chỉ số a) không đạt y êu cầu,
cần có hành động khắc phục và nên được thông báo c ho
cấp quản lý chịu trách nhiệm về ISMS.
Nếu vào cuối năm, chỉ số a) không đạt y êu cầu, quản lý
cấp cao phải được thông báo và yêu cầu họ hỗ trợ.
cho thấy quá trình xem xét của cấp quản lý không hiệu
quả.
Nguy ên nhân tiềm ẩn của sự sai lệch bao gồm thiếu
ngân sác h, hoạch định không chính xác và thiếu sự cam
kết của nhân sự/quản lý quan trọng.
Các định dạng báo cáo Biểu đồ thanh mô tả sự tuân thủ qua vài chu kỳ báo cáo
liên quan tới các ngưỡng đã đư ợc xác định bởi tiêu chí
ra quyết định.
Khách hàng của Đo Các nhà quản lý chịu trách nhiệm về ISMS, Quản lý Hệ
lường thống chất lượng.
Người xem xét biện pháp Các nhà quản lý chịu trách nhiệm về ISMS.
đo lường
Chủ sở hữu thông tin Các nhà quản lý chịu trách nhiệm về ISMS
Người thu thập thông tin Kiểm toán nội bộ. Quản lý chất lượng.
Người truyền đạt thông Kiểm toán nội bộ. Quản lý chất lượng. Các nhà quản lý
tin chịu trách nhiệm về I SMS.
Tần suất thu thập dữ Hàng quý.
liệu
liệu
đo lường
Điều chỉnh biện pháp đo Xem xét và cập nhật mỗi 2 năm.
lường

B.4 Liên tục cải thiện ISMS

B.4.1 Tính hiệu quả trong quản lý sự cố bảo mật thông tin
T ê n cấ u tr úc đo lườ ng Tính hiệu quả trong quản lý sự cố bảo mật thông tin
Mục đí ch c ủa cấ u trúc đo Đánh giá tính hiệu quả của quản lý sự cố bảo mật thông
l ường tin.
M ụ c t i ê u k i ểm soá t/ q uy Cho phép nhận diện kịp thời các sự kiện bảo mật và ứng
trình phó với các sự cố bảo mật.
K i ểm soá t (1 )/ quy trì nh (1 ) Điều 4.2.2 h) [27001:2005]
Đối tượng của đo lường ISMS.
Thuộc tính Sự cố riêng lẻ.
Thước đo cơ sở Số các ngưỡng đã được xác định trước.
Phương pháp đo lường Đếm các sự cố bảo mật thông tin đã xảy ra được báo cáo
theo thời gian.
lường
Kiểu thang đo Thứ tự.
Đơn vị đo lường Sự cố.
Thước đo dẫn xuất Các sự cố vượt quá ngưỡng.
Chức năng đo lường So sánh tổng số sự cố cùng với nguowxng.
Chỉ số Biểu đồ dòng mô tả dòng nằm ngang không thay đổi
minh họa cho (các) ngưỡng so với tổng số sự cố qua vài
chu kỳ báo cáo.
Mô hình phân tích Đỏ khi tổng số sự cố vượt ngưỡng (vượt lên trên dòng
biểu đồ nói trên); vàng khi tổng số sự cố nằm trong 10%
của ngưỡng, xanh khi tổng số sự cố dưới ngưỡng 10%
hoặc hơn.
Tiêu chí quyết định Đỏ - Đòi hỏi sự điều tra ngay lập tức về nguy ên nhân
của sự gia tăng số lượng các sự cố. Vàng – số lượng
cần được giám sát chặt chẽ và nên bắt đầu điều tra nếu
số lượng không được cải thiện. Xanh – không đòi hỏi
thêm hành động.
Diễn giải chỉ số Nếu Đỏ được quan sát thấy trong hai chu kỳ báo cáo,
một xe m xét về các thủ tục quản lý sự cố được đòi hỏi
để khắc phục các thủ tục hiện hành hoặc xác định c ác
thủ tục bổ sung. Nếu xu hướng không được đảo ngược
trong hai c hu kỳ báo cáo tiếp theo, đòi hỏi những hành
động khắc phục, chẳng hạn như đề xuất mở rộng phạm
vi của ISMS.
Các định dạng báo cáo Biểu đồ dòng.
Khách hàng của Đo Ủy ban Quản lý ISMS.
lường Các nhà quản lý chịu trách nhiệm về ISMS.
Quản lý bảo mật.
Quản lý sự cố.
đo lường
Người thu thập thông tin Nhà quản lý Quản lý sự cố.
Người truyền đạt thông Ủy ban Quản lý ISMS.
tin
Tần suất thu thập dữ Hàng tháng.
liệu
Tần suất phân tích dữ Hàng tháng.
liệu
Tần suất báo cáo k ết quả Hàng tháng.
đo lường
Điều chỉnh biện pháp đo 6 tháng.
lường
Khoảng đo lường Hàng tháng.

B.4.2 Triển khai hành động khắc phục

T ê n cấ u tr úc đo lườ ng Triển khai hành động khắc phục.
Sô định danh Định danh theo chỉ định của tổ chức.
Mục đí ch c ủa cấ u trúc đo Đánh giá hiệu suất của việc triển khai hành động khắc
l ường phục.
M ụ c t i ê u k i ểm soá t/ q uy Điều 8.2 [27001:2005]. Hành động khắc phục.
trình Tổ chức phải thực hiện hành động để giảm thiểu nguy ên
nhân của sự không phù hợp với các y êu cầu của ISMS
nhằm ngăn ngừa sự tái diễn.
K i ểm soá t (1 )/ quy trì nh (1 ) Thủ tục đã được lập thành văn bản về hành động khắc
phục phải xác định các yêu cầu cho:
a) xác định những điểm không tuân thủ;
b) xác định nguy ên nhân của những điểm không tuân
thủ;
c) đánh giá nhu cầu cho các hành động để đảm bảo
rằng những điểm không tuân thủ không tái diễn;
d) xác định và triển khai các hành động khắc phục
cần thiết;
e) ghi nhận các kết quả của hành động đã được thực
thi;
(đã triển khai)
……
Tổ chức xác định các hành động khắc phục cần thiết, và
ban hành báo cáo hành động khắc phục ghi lại thông tin
liên quan đến sự không phù hợp, nguy ên nhân của nó, và
ngày tới hạn để tiến hành các hành động khắc phục.
Tùy vào báo cáo nhận được, nhà quản lý chịu trách
nhiệm về khu vực nơi mà sự không phù hợp được phát
hiện ra được y êu cầu để đảm bả o rằng những hành động
được tiến hành mà không bị trì hoãn để làm giảm những
điểm không phù hợp đã được phát hiện và nguy ên nhân
của chúng.
Nếu hành động khắc phục không được triển khai như
được y êu cầu, nguy ên nhân của việc không triển khai
phải được xác định, cũng như các biện pháp thay thế
cho hành động khắc phục ban đầ u được xác định là thích
hợp.
Những hành động được thực hiện với thời gian tương
ứng và các kết quả nên được lập thành văn bản. Nếu
hành động khắc phục không được triển khai như đã
định, nguy ên nhân và hành động thay thế phải được ghi
nhận lại. Báo cáo phải được cung cấp cho Quản lý Bảo
mật Thông tin.
Đối tượng của đo lường Báo cáo hành động khắc phục.
Thuộc tính Ngày đến hạn của hành động khắ c phục trong báo cáo.
Ngày tiến hành hành động khắc phục trong báo cáo ghi
nhận.
Nguy ên nhân của sự trì hoãn và không tiến hành hành
động khắc phục.
Thước đo cơ sở 1. Số lượng các hành động khắc phục đã được lên kế
hoạch cho đến nay.
2. Số lượng các hành động khắc phục đã triển khai
như kế hoạch cho đến nay.
3. Số lượng các hành động khắc phục không được

triển khai cùng với lý do, cho đến nay.
Phương pháp đo lường 1. Đế m số lượng hành động khắc phục đã lên kế
hoạch sẽ được triển khai cho đến nay.
2. Đế m số lượng hành động khắ c phục được ghi
nhận là đã triển khai theo ngày đến hạn.
3. Đế m số lượng hành động khắ c phục được ghi
nhận là đã được lên kế hoạch nhưng không được
tiến hành cùng với lý do.
Kiểu phương pháp đo 1 – 3 Khách quan.
lường
Thang đo 1 – 3 số nguy ên từ số 0 đến vô cùng.
Kiểu thang đo 1 – 3 Thứ tự.
Đơn vị đo lường 1 – 3 Hành động khắc phục.
Thước đo dẫn xuất a) Hành động khắc phục không được triển khai cho
đến nay.
b) Hành động khắc phục không được triển khai mà
không có lý do chính đáng.
Chức năng đo lường a) Phép trừ [Các hành động khắc phục được thực
hiện như đã hoạch định đến hôm nay ] từ [Những
hành động khắc phục đã được hoạch định đến
hôm nay ].
b) Phép trừ [Hành động khắc phục không được triển
khai đến hôm nay ] từ [Những hành động khắc
phục không được thực hiện như đã hoạch định
cùng với lý do, đến hôm nay ].
Chỉ số a) Trạng thái được biểu thị như là một tỷ lệ, của
hành động khắc phục không được triển khai.
b) Trạng thái được biểu thị như là một tỷ lệ, của
hành động khắc phục không được triển khai mà
không có lý do.
c) Xu hướng của các trạng thái.
Mô hình phân tích a) Phép chia [Hành động khắc phục không được
triển khai đến nay ] cho [Các hành động khắc
phục đã được hoạch định cho đến nay]
b) Phép chia [Hành động khắc phục không được
triển khai mà không có lý do] cho [Các hành
động khắc phục đã được hoạch định cho đến nay ]
c) So sánh các trạng thái với các trạng thái trước
đây .
Tiêu chí quyết định Để kết luận sau cùng về thành tựu của mục tiêu và
không cần hành động, tỷ lệ của chỉ số a) và b), theo thứ
tự, nên rơi vào khoảng giữa 0.4 và 0.0 và giữa 0.2 và
0.0, và Xu hướng của chỉ số c) nên giảm trong hai chu
kỳ báo cáo gần nhất. Chỉ số c) nên được trình bày trên
cơ sở so sánh với các chỉ số trước đây để từ đó xu
hướng triển khai hành động khắc phục có thể được kiểm
tra chi tiết.
Diễn giải chỉ số Diễn giải cho chỉ số a) và b) nên như sau:
Các hành động khắc phục đã được hoạch định phải được
triển khai trừ khi các ưu tiên của tổ chứ c đã thay đổi
dẫn đến nhu cầu triển khai các hành động khắc phục

khác nhau hoặc chuyển hướng các nguồn lực đã được

phân bổ cho việc triển khai hành động khắc phục. Nếu
trên 40% hành động khắc phục không được triển khai
bất kể lý do, hành động của cấp quản lý là bắt buộc.
Nếu trên 20% hành động khắc phục không được triển
khai mà không có lý do chính đáng, hành động của cấp
quản lý là bắt buộc.
Các hành động khắc phục đã không được triển khai cần
được kiểm tra để chi tiết xác định lý do của việc không
triển khai. Tùy thuộc vào tỷ lệ phần trăm tổng thể của
(hành động khắc phục) không được triển khai và lý do
không đượ c triển khai, hành động bổ sung có thể được
yêu cầu.
Diễn giải cho chỉ số c) nên như sau:
Một xu hướng trong việc triển khai hà nh động khắc
phục nên được kiểm tra chi tiết về bất kỳ sự suy giảm
tổng thể nào trong hiệu suất hoặc về cải thiện đáng kể
trong hiệu suất.
Nếu tỷ lệ phần trăm của hành động khắc phục được triển
khai giả m một cách đều đặn trong 2 kỳ báo cáo gần
nhất, hành động của cấp quản lý là bắt buộc bất kể sự
thất bại trong các lý do về sự không tuân thủ.
Các ảnh hưởng/tác động của các tiêu chí không được
đáp ứng có khả năng là thiếu sự cải tiến liên tục ISMS.
Các nguy ên nhân tiềm ẩn có thể bao gồm thiếu nguồn
lực, hoạch định không chính xác, và thiếu nhân sự quan
trọng và cam kết quản lý.
Các định dạng báo cáo Biểu đồ thanh được xếp chồng với tuyên bố về các kết
quả đo lường bao gồm một tóm tắt về những gì phát
hiện được và các hành động khả dĩ của cấp quản lý, mô
tả tổng số các hành động khắc phục, phân tách thành đã
được triển khai, chưa được triển khai với lý do xác
đáng, và không được triển khai với lý do hợp lý.
Khách hàng của Đo Các nhà quản lý chịu trách nhiệm về ISMS, Quản lý Bảo
lường mật thông tin.
đo lường
Người thu thập thông tin Các nhà quản lý chịu trách nhiệm về ISMS.
tin
Tần suất thu thập dữ Hàng quý.
liệu
liệu
đo lường
lường

B.5 Cam kết của cấp quản lý

T ê n cấ u tr úc đo lườ ng Tần suất xem xét của cấp quản lý
Mục đí ch c ủa cấ u trúc đo Đánh giá cam kết của cấp quản lý và những hành động
l ường xem xét bảo mật thông tin bất kể các hành động xem xét
của cấp quản lý.
M ụ c t i ê u k i ểm soá t/ q uy A.6.1 Quản lý bảo mật thông tin trong tổ chức (đã được
trình hoạch định)
Quản lý bảo mật thông tin trong tổ chức thông qua việc
hoàn thành xem xét của cấp quản lý một cách thường
xuy ên.
K i ểm soá t (1 )/ quy trì nh (1 ) A.6.1.1 Cam kết của cấp quản lý đối với bảo mật thông
tin.
Cấp quản lý phải hỗ trợ bảo mật một c ách chủ động
trong tổ chức thông qua định hướng rõ ràng, cam kết
được minh chứng, sự chỉ định r õ ràng, và kiến thức về
bảo mật thông tin (đã triển khai).
Hàng tháng, tổ chức phải có cuộc họp xem xét của cấp
quản lý để hỗ trợ cho bảo mật trong tổ chức thông qua
định hướng rõ ràng, ca m kết được minh chứng, sự chỉ
định rõ ràng, và kiến thức về bảo mật thông tin.
Xem xét c ủa cấp quả n lý đối với ISMS nên kết hợp với
xem xét của cấp quản lý đối với QMS.
K i ểm soá t (2 )/ quy trì nh (2 ) A.6.1.2 Điều phối bảo mật thông tin
Những hành động bảo mật thông tin phải được điều phối
bởi các đại diện từ các bộ phận khác nhau của tổ chức
liên quan đến các vai trò và chức năng công việc.
(đã triển khai).
Các đại diện từ các bộ phận khác nhau (của tổ chức)
nắm giữ các vai trò và trách nhiệm nên phối hợp và
tham gia và xem xét của cấp quản lý.
Đối tượng của đo lường 1. Kế hoạch/lịch biểu xem xét bảo mật thông tin của
cấp quản lý.
2. Hồ sơ các cuộc họp xem xét của cấp quản lý.
Thuộc tính 1.1 Ngày họp xem xét của cấp quản lý đã được lập lịch
biểu trong kế hoạch.
1.2 Lịch biểu của các nhà quản lý tham gia vào các cuộc
họp xem xét của cấp quản lý.
2.1 Ngày của các cuộc họp xe m xét của cấp quản lý
được ghi nhận lại trong các biên bản cuộc họp.
2.2 Các nhà quản lý được ghi nhận lại là đã tham gia
vào các cuộc họp xem xét của cấp quản lý.
Thước đo cơ sở 1.1 Số các cuộc họp xem xét của cấp quản lý đã được
lên kế hoạch đến nay.
1.2 Số lượng các nhà quản lý đã lập lịch biểu tham dự
các cuộc họp xem xét của cấp quản lý.
2.1.1 Số lượng đã được hoạch định của các cuộc
họp xe m xét của cấp quản lý được tiến hành
cho đến na y.
2.1.2 Số lượng các cuộc họp xem xét của cấp quản
lý ngoài kế hoạch được tiến hành cho đến nay .
2.1.3 Số lượng được lập lịch biểu lại của các cuộc
họp của cấp quản lý được tiến hành cho đến
nay
2.2 Số lượng các nhà quản lý đã tha m dự các cuộc
họp xem xét của cấp quản lý cho đến nay .
Phương pháp đo lường 1.1 Đế m số cuộc họp xe m xét của cấp quản lý đã được
lập lịch biểu cho đến nay .
1.2 Với mỗi cuộc họp xem xét của cấp quản lý cho đến
nay , đếm số nhà quản lý đã lập kế hoạch tha m dự và
thêm một mục mới với giá trị mặc định cho các cuộc
họp ngoài kế hoạch đã tiến hành theo cách đặc biệt.
2.1.1 Đếm số cuộc họp xem xét của cấp quản lý đã
lên kế hoạch được tiến hành cho đến nay .
2.1.2 Đếm số cuộc họp xem xét của cấp quản lý
ngoài kế hoạch kế hoạch được tiến hành cho
đến nay .
2.1.3 Đếm số cuộc họp xem xét của cấp quản lý đã
được lập lịch biểu lại được tiến hành cho đến
nay .
2.2 Đối với tất cả các cuộc họp xem xét của cấp quản lý
đã được tiến hành, đếm số lượng các nhà quản lý đã
tham dự.
Kiểu phương pháp đo 1.1 Khách quan
lường 1.2 Khách quan hoặc chủ quan
2.1.1 Khách quan
2.1.2 Khách quan
2.1.3 Khách quan
2.2 Khách quan
Thang đo 1.1 số nguy ên từ 0 đến vô cùng
1.2 số nguy ên từ 0 đến vô cùng
2.1.1 số nguy ên từ 0 đến vô cùng
2.2 số nguyên từ 0 đến vô cùng
Kiểu thang đo 1.1 Thứ tự
1.2 Thứ tự
2.1.1 Thứ tự
2.1.2 Thứ tự
2.1.3 Thứ tự
2.2 Thứ tự
Đơn vị đo lường 1.1 Cuộc họp
1.2 Cá nhân
2.1.1 Cuộc họp
2.1.2 Cuộc họp
2.1.3 Cuộc họp
2.2 Cá nhân
Thước đo dẫn xuất a) Số các cuộc họp xem xét của cấp quản lý được
tiến hành cho đến nay.
b) Tỷ lệ tham gia trong các cuộc họp xem xét của
cấp quản lý đã được tiến hành cho đến nay.
Chức năng đo lường a) Cộng [số các cuộc họp xe m xét của cấp quản lý
đã được lên kế hoạc h cho đến nay ] với [số các
cuộc họp xem xét của cấp quản lý ngoài kế hoạch
cho đến nay ] và [số cuộc họp xem xét của cấp
quản lý được lập lịch biểu lại cho đến nay ].
b) Đối với mỗi cuộc họp xem xét của cấp quản lý,
Chia [số nhà quản lý đã tha m dự vào cuộc họp
xem xét của cấp quản lý] cho [số nhà quản lý đã
lập lịch biểu tham gia cuộc họp xem xét của cấp
quản lý].
Chỉ số a) Những cuộc họp xe m xét của cấp quản lý đã hoàn
thành cho đến nay.
b) Tỷ lệ tham dự trung bình trong các cuộc họp xe m
xét của cấp quản lý cho đến nay .
Mô hình phân tích a) Chia [số cuộc họp xem xét của cấp quản lý đã
hoàn thành] cho [số cuộc họp xe m xét của cấp
quản lý đã được lập lịch biểu].
b) Tính toán giá trị trung bình và lệch pha tiêu
chuẩn của tất cả các tỷ lệ tham gia vào các cuộc
họp xem xét của cấp quản lý.
Tiêu chí quyết định Tỷ lệ kết quả của chỉ số a) phải nằm rơi vào khoảng từ
0,7 đến 1,1 để kết luận cuối cùng về thành tựu của mục
tiêu kiểm soát và không cần hành động nào. Ngay cả khi
không đạt, nó (chỉ số a)) vẫn nên trên 0.5 để kết luận về
thành tựu ít nhất.
Đối với chỉ số b), các giới hạn độ tự tin đã được tính
toán dựa trên độ lệch tiêu chuẩn cho biết khả năng đạt
được rằng kết quả thực tế gần với tỷ lệ tham gia trung
bình. Giới hạn độ tự tin rất rộng cho thấy khả năng sự
lệch hướng lớn và cần có kế hoạch dự phòng để đối phó
với kết quả này.
 Các tiêu chí tổ chức về quản lý bảo mật thông tin
trong tổ chức trong quá trình xem xét kỹ lưỡng
của cấp quản lý đã được đáp ứng một cách thỏa
đáng ở mức 0.7 ≤ tỷ lệ ≤ 1.1.
 Các tiêu chí tổ chức không đạt y êu cầu ở mức
[0.5 ≤ tỷ lệ < 0.7 hoặc tỷ lệ > 1.1]. Kết quả này
chỉ ra khả năng thiếu cam kết của cấp quả n lý và
có thể đòi hỏi phải có hành động khắc phục. Các
kết quả đo lường tiếp theo nên được giám sát và
đánh giá để cải thiện.
 Các tiêu chí tổ chức không đạt ở mức [0 ≤ tỷ lệ <
0.5]. Kết quả này chỉ ra sự thiếu cam kết của cấp
quản lý và đòi hỏi sự can thiệp ngay lập tức để
triển khai một hành động khắc phục thích hợp.
Quản lý cấp cao nên được thông báo về kết quả.
Tỷ lệ gần với 0 có thể chỉ ra sự thiếu cam kết của
quản lý cấp cao. Nếu các nhà quản lý ISMS
không xe m những xe m xét của cấp quản lý về
ISMS là một mối ưu tiên, họ có thể bị ảnh hưởng
bởi quản lý cấp cao.
là khả năng thiếu một quy trình xem xét của cấp quản lý
liên tục và hiệu quả.
Nguy ên nhân tiề m ẩn của sự sai lệch trong chỉ số b) có
thể hoạch định không chính xác, sự cam kết không đầy
đủ của các nhà quản lý chịu trách nhiệm về ISMS, xung
đột các ưu tiên và/hoặc công việc quá mức là m ảnh
hưởng tới các nhà quản lý ISMS.
Các định dạng báo cáo Biểu đồ thanh mô tả chỉ số với các tiêu chí qua vài chu

kỳ thu thập và báo cáo dữ liệu cùng với tuy ên bố về các

kết quả đo lường. Số lượng chu kỳ thu thập và báo cáo
dữ liệu nên được xác định bởi tổ chức.
Khách hàng của Đo Các nhà quản lý chịu trách nhiệm về ISMS, Quản lý Hệ
lường thống chất lượng.
Người xem xét biện pháp Cơ quan c ó thẩm quy ền về Chương trình kiểm toán
đo lường ISMS nội bộ.
Chủ sở hữu thông tin Nhà quản lý hệ thống chất lượng.
Giả định hệ thống quản lý QMS và ISMS đã được kết
hợp.
Người thu thập thông tin Quản lý chất lượng, Quản lý bảo mật thông tin.
Người truyền đạt thông Quản lý bảo mật thông tin. Quản lý chất lượng.
tin
liệu
liệu
đo lường
lường

B.6 Bảo vệ chống lại mã độc

T ê n cấ u tr úc đo lườ ng Bảo vệ chống lại phần mềm độc hại.
Mục đí ch c ủa cấ u trúc đo Đánh giá tính hiệu quả của biện pháp bảo vệ hệ thống
l ường chống lại các cuộc tấn công của phần mề m độc hại.
M ụ c t i ê u k i ểm soá t/ q uy Mục tiêu kiểm soát A.10.4.1 [27001:2005]. Bảo vệ tính
trình toàn vẹn của phần mềm và thông tin.
(đã lập kế hoạch)
Để bảo vệ tính toàn vẹn của phầ n mềm và thông tin khỏi
phần mềm độc hại.
K i ểm soá t (1 )/ quy trì nh (1 ) Kiểm soát 10.4.1 [27001:2005]. Các kiểm soát chống lại
mã độc.
Các biện pháp kiểm soát nhận diện, ngăn ngừa và khôi
phục để bả o vệ chống lại mã độc hại và các thủ tục nâng
cao nhận thức của người dùng tương xứng phải được
triển khai.
Đối tượng của đo lường 1. Các báo cáo sự cố.
2. Các nhật ký của phần mềm đối phó với phần mề m
độc hại.
Thuộc tính Các sự cố gây ra bởi phần mềm độc hại.
Thước đo cơ sở 1. Số các sự cố bảo mật gây ra bởi phần mềm độc
hại.
2. Tổng số cá c cuộc tấn công gây ra bởi phần mề m
độc hại đã được chặn lại.
Phương pháp đo lường 1. Đế m số sự cố bảo mật gây ra bởi phần mềm độc
hại trong các báo cáo Sự cố.
2. Đế m số hồ sơ ghi nhận các cuộc tấn công đã được
chặn lại.
Kiểu phương pháp đo 1. Khách quan.
lường 2. Khách quan.
Thang đo 1. số nguy ên từ số 0 đến vô cùng.
2. số nguy ên từ số 0 đến vô cùng.
Kiểu thang đo 1. Thứ tự.
2. Thứ tự.
Đơn vị đo lường 1. Sự cố bảo mật.
2. Các hồ sơ.
Thước đo dẫn xuất Sức mạnh bảo vệ đối với phần mềm độc hại.
Chức năng đo lường Số lượng các sự cố bảo mật gây ra bởi phần mềm độc
hại/số lượng các cuộc tấn công gây ra bởi phần mề m độc
hại đã được nhận diện và ngăn chặn.
Chỉ số Xu hướng về các cuộc tấn công được nhận dạng nhưng
đã không được ngăn chặn qua nhiều chu kỳ báo cáo.
Mô hình phân tích So sánh tỷ lệ với tỷ lệ phần trăm trước đó.
Tiêu chí quyết định Các dòng xu hướng nên được giữ bên dưới các số được
chỉ định. Kết quả xu hướng nên giảm hoặc không đổi.
Diễn giải chỉ số Xu hướng tăng cho thấy sự tuân thủ ké m đi, xu hướng
giảm cho thấy sự tuân thủ được cải thiện; và
Khi xu hướng tăng lên một cách đáng kể, điều tra về
nguy ên nhân và khả năng về các biện pháp đối phó là
cần thiết.
Các định dạng báo cáo Dòng xu hướng mô tả tỷ lệ về nhận diện và ngă n chặn
phần mềm độc hại với các dòng được đưa ra trong các
chu kỳ báo cáo trước đây .
Khách hàng của Đo Quản lý bảo mật.
lường
đo lường
Người thu thập thông tin Quản lý bảo mật, Quản trị viên hệ thống, Quản lý mạng.
Người truyền đạt thông Điều phối viên dịch vụ.
tin
Tần suất thu thập dữ Hàng ngày .
liệu
liệu
Tần suất báo cáo k ết quả Hàng tháng.
đo lường
lường

B.7 Các kiểm soát truy cập vật lý

T ê n cấ u tr úc đo lườ ng Kiểm soát truy cập vật lý với thẻ truy cập.
Mục đí ch c ủa cấ u trúc đo Thể hiện sự tồn tại, mức độ và chất lượng của hệ thống
l ường được sử dụng để kiểm soát truy cập.
M ụ c t i ê u k i ểm soá t/ q uy Mục tiêu kiểm soát A.9.1 [27001:2005]. N găn ngừa truy
trình cập vật lý trái phép, gây thiệt hại và can thiệp vào các
cơ sở vật chất và thông tin của tổ chức.
K i ểm soá t (1 )/ quy trì nh (1 ) Kiểm soát A.9.1.2 [27001:2005]. Các kiểm soát truy cập
vật lý. Các khu vực an ninh phải được bảo vệ bởi các
biện pháp kiể m soát truy cập thích hợp để đảm bảo rằng
chỉ có những người được ủy quyền mới được phép truy
cập.
Đối tượng của đo lường Các khu vực an ninh.
Thuộc tính Hồ sơ quản lý nhận dạng.
Thước đo cơ sở Kiểm soát truy cập vật lý với thẻ truy cập.
Phương pháp đo lường Phương pháp đo lường tương đối trong đó mỗi mứ c tập
hợp con là một phần của mức trên. Kiểm soát loại hệ
thống kiểm soát truy nhập và kiểm tra các khía cạnh
dưới đây:
- Sự tồn tại của hệ thống thẻ kiểm soát truy cập;
- Việc sử dụng mã PIN;
- Chức năng ghi nhật ký;
- Xác thực sinh trắc học.
Kiểu phương pháp đo Chủ quan.
lường
Thang đo 0 – 5
0 Không có hệ thống k iểm soát truy cập.
1 Có một hệ thống truy cập sử dụng Mã P IN (hệ thống
một y ếu tố) để kiểm soát truy nhập.
2 Có một hệ thống thẻ (card) kiểm soát truy cập sử
dụng thẻ tr uy nhập (hệ thống một y ếu tố) để kiể m soát
truy nhập.
3 Có một hệ thống thẻ truy cập sử dụng thẻ truy nhập
và mã PIN để kiể m soát truy nhập.
4 Trước đó (3) + chức năng ghi nhật ký được kích hoạt.
5 Trước đó (4) + mã PIN được thay thế bằng xác thực
sinh trắc học (vân tay , nhận dạng giọng nói, quét võng
mạc, v.v…).
Đơn vị đo lường N/A.
Chỉ số Các thanh tiến trình. Đỏ cho đến 0.8, Xanh là giữa 0.8
và 1.
Mô hình phân tích Phân tích các thước đo.
Tiêu chí quyết định Giá trị 3 = đạt y êu cầu.
Diễn giải chỉ số Dưới 3 là không đạt yêu cầu, trong đó (3 – cấp độ thực
tế = lỗ hổng bảo mậ t), các nỗ lực hành động sẽ được
tiến hành dựa trên mứ c độ của lỗ hổng bảo mật.

Trên 3 là đạt yêu cầu với mức xuất sắc, trong đó mức độ
có thể chỉ ra đầu tư vượt mức liên quan đến vấn đề đã
được đo lường.
Các định dạng báo cáo Biểu đồ.
Khách hàng của Đo Ủy ban Quản lý.
lường
Người xem xét biện pháp Kiểm toán viên nội bộ/bên ngoài.
đo lường
Chủ sở hữu thông tin Nhà quản lý cơ sở vật chất.
Người thu thập thông tin Kiểm toán viên nội bộ/bên ngoài.
Người truyền đạt thông Kiểm toán viên nội bộ và Quản lý bảo mật.
tin
liệu
liệu
đo lường
Điều chỉnh biện pháp đo 12 tháng.
lường
Khoảng đo lường Có thể áp dụng 12 tháng.

B.8 Xem xét các tập tin nhật ký

T ê n cấ u tr úc đo lườ ng Xem xét các tập tin nhật ký.
Sô định danh Số định danh duy nhất theo chỉ định của tổ chức.
Mục đí ch c ủa cấ u trúc đo Đánh giá tình trạng của sự tuân thủ về xem xét thường
l ường xuy ên các tập tin nhật ký hệ thống quan trọng.
M ụ c t i ê u k i ểm soá t/ q uy Mục tiêu kiểm soat A.10.10 [27001:2005]. Nhận diện
trình các hành động xử lý thông tin trái phép.
(đã lên kế hoạch)
Để nhận diện các hành động xử lý thông tin trái phép
của các hệ thống quan trọng từ các nhật ký hệ thống.
K i ể m so á t (1 Kiểm soát A.10.10.2 [27001:2005]. Các thủ tục giám sát
việc sử dụng các phương tiện xử lý thông tin phải được
thiết lập và các kết quả của các hành động giám sát
được xem xét một cách thường xuy ên.
Đối tượng của đo lường Hệ thống.
Thuộc tính Các tập tin hệ thống riêng lẻ.
Thước đo cơ sở Số lượng các tập tin nhật ký.
Phương pháp đo lường Cộng tổng số các tập tin nhật ký đã được liệt kê trong
danh sách xem xét nhật ký.
lường
Thang đo Số nguy ên từ số 0 đến vô cùng.
Đơn vị đo lường Tập tin nhật ký.
Thước đo cơ sở Số lượng tập tin nhật ký được xem xét.
Phương pháp đo lường Cộng tổng số tập tin nhật ký trên mọi hệ thống trong
phạm vi ISMS.
lường
Thước đo cơ sở Số lượng hệ thống trong phạm vi ISMS.
Phương pháp đo lường Xác định số lượng tập tin nhật ký được xem xét.
lường
Thước đo dẫn xuất Tỷ lệ phần trăm các tập tin nhật ký kiể m toán được xem
xét khi được yêu cầu theo khoảng thời gian.
Chức năng đo lường (# của các tập tin nhật ký được xem xét trong khoảng
thời gian cụ thể)/(tổng # của các tập tin nhật ký) * 100
Chỉ số Biểu đồ dòng về xu hướng theo khoảng thời gian trong
tỷ lệ xem xét nhật ký kiểm toán.
Mô hình phân tích Xu hướng tăng lên đến 100% là được mong muốn.
Tiêu chí quyết định Kết quả dưới 20% nên được kiể m tra kỹ lưỡng về các
nguy ên nhân của mức dưới hiệu suất này.

Diễn giải chỉ số Giá trị nằm dưới giá trị được tổ chức xác định là không
đạt yêu cầu trong đó (giá trị do tổ chức xác định – giá
trị thực tế = lỗ hổng bảo mật). Hành động của cấp quản
lý được y êu cầu dựa trên mức độ của lỗ hổng bảo mật.
Những giá trị vượt trên giá trị được tổ chức xác định có
thể chỉ ra sự đầu tư quá mức trừ khi các cơ chế kiểm
soát truy cập đó là bắt buộc theo đánh giá rủi ro.
Các định dạng báo cáo Biểu đồ dòng mô tả xu hướng với tóm tắc các điểm tìm
được và bất kỳ hành động quản lý nào được đề xuất.
lường mật.
đo lường
Chủ sở hữu thông tin Quản lý bảo mật.
Người thu thập thông tin Nhân viên bảo mật.
tin
liệu
liệu
đo lường
lường

B.9 Quản lý bảo trì định kỳ

T ê n cấ u tr úc đo lườ ng Quản lý bảo trì định kỳ .
Sô định danh Do tổ chức chỉ định.
Mục đí ch c ủa cấ u trúc đo Đánh giá tính kịp thời của các hoạt động bảo trì liên
l ường quan đến lịch trình.
M ụ c t i ê u k i ểm soá t/ q uy Mục tiêu kiểm soát A.9.2 [27001:2005]. Ngăn chặn mất
trình mát, thiệt hại, trộm cắp hoặc sự xâ m phạm các tài sản và
sự gián đoạn trong các hoạt động của tổ chức.
(đã được lập kế hoạch)
Để ngăn chặn mất mát, thiệt hại, trộm cắp hoặc sự xâ m
phạm các tài sản và sự gián đoạn trong các hoạt động
của tổ chức thông qua bảo trì hệ thống định kỳ.
K i ểm soá t (1 ) Kiểm soát A.9.2.4 [27001:2005]. Các thiết bị phải được
bảo trì một cách đúng đắn để đảm bảo tính sẵn sàng và
toàn vẹn liên tục.
Đối tượng của đo lường 1. Kế hoạch/lịch trình bảo trì hệ thống.
2. Hồ sơ bảo trì hệ thống.
Thuộc tính 1. Ngày được lập kế hoạch/lên lịch trình bảo trì hệ
thống.
2. Ngày hoàn thành bảo trì hệ thống.
Thước đo cơ sở 1. Ngày đã được lập lịch trình bảo trì.
2. Ngày hoàn thành bảo trì.
3. Tổng số sự kiện bảo trì đã được lập kế hoạch.
4. Tổng số sự kiện bảo trì đã hoàn thành.
Phương pháp đo lường 1. Trích xuất ngày đã được lập lịch trình từ kế
hoạch bảo trì hệ thống.
2. Trích xuất ngày hoàn thành từ hồ sơ bảo trì hệ
thống.
3. Đế m số lượng sự kiện bảo trì đã được lập kế
hoạch trong kế hoạch bảo trì hệ thống.
4. Đế m số hồ sơ bảo trì (hệ thống).
lường
Thang đo 1. Thời gian.
2. Thời gian.
3. Số nguy ên từ 0 đến vô cùng.
4. Số nguy ên từ 0 đến vô cùng.
Kiểu thang đo 1. Danh sách.
2. Danh sách.
3. Thứ tự.
4. Thứ tự.
Đơn vị đo lường 1. Khoảng thời gian.
2. Khoảng thời gian.
3. Sự kiện bảo trì.
4. Sự kiện bảo trì.
Thước đo dẫn xuất Sự trì hoãn bảo trì cho mỗi sự kiện bảo trì đã hoàn
thành.
Chức năng đo lường Với mỗi sự kiện đã hoàn thành, trừ [Ngày bảo trì thực
tế] từ [Ngày bảo trì đã được lập lịch trình].
Chỉ số 1. Trung bình của bảo trì bị trì hoãn.
2. Tỷ lệ sự kiện bảo trì đã hoàn thành.
3. Xu hướng của trung bình của bảo trì bị trì hoãn.

4. Xu hướng của tỷ lệ sự kiện bảo trì đã hoàn
thành.
Mô hình phân tích 1. Chia (tổng của [Bảo trì bị trì hoãn cho mỗi sự
kiện bảo trì đã hoàn thành]) cho [Số sự kiện bảo
trì đã hoàn thành].
2. Chia [Số sự kiện bảo trì đã hoàn thành] cho [Số
sự kiện bảo trì đã được lập kế hoạch]
3. So sánh chỉ số 1 theo nhiều khoảng thời gian.
4. So sánh chỉ số 2 theo nhiều khoảng thời gian.
Tiêu chí quyết định 1. Do tổ chức chỉ định, ví dụ, nếu trung bình trì
hoãn thường xuy ên ở mức trên 3 ngày , nguy ên
nhân cần được kiểm tra kỹ lưỡng.
2. Tỷ lệ của sự kiện bảo trì đã hoàn thành nên lớn
hơn 0.9.
3. Xu hướng phải ổn định hoặc gần với 0.
4. Xu hướng phải ổn định hoặc tăng lên.
Diễn giải chỉ số Chỉ số giúp đo lường chất lượng của quy trình bảo trì
thiết bị.
Các định dạng báo cáo Biểu đồ dòng mô tả độ lệch trung bình của độ trì hoãn
bảo trì, được thê m vào cùng với các dòng được đưa ra
trong các chu kỳ báo cáo trước đây và số lượng các hệ
thống trong phạm vi.
Một sự giải thích về các điểm tìm được và các khuyến
nghị cho các hành động khả dĩ của cấp quản lý.
lường mật.
đo lường
tin
liệu
liệu
đo lường
Điều chỉnh biện pháp đo Hàng năm.
lường

B.10 Bảo mật trong các thỏa thuận với bên thứ ba
T ê n cấ u tr úc đo lườ ng Bảo mật trong các thỏa thuận với bên thứ ba.
Mục đí ch c ủa cấ u trúc đo Đánh giá mức độ mà bảo mật được xác định trong các
l ường thỏa thuận với bên thứ ba trong việc xử lý thông tin cá
nhân.
M ụ c t i ê u k i ểm soá t/ q uy Mục tiêu kiể m soát A.6.2 [27001:2005]. Duy trì bảo mật
trình của thông tin và các phương tiện xử lý thông tin của tổ
chức mà được truy cập, xử lý, truyền tải đến, hoặc quản
lý bởi bên thứ ba.
K i ểm soá t (1 )/ quy trì nh (1 ) Kiểm soát A.6.2.3 [27001:2005]. Các thỏa thuận với bên
thứ ba liên quan tới việc truy cập, xử lý, truy ền thông
hoặc quản lý thông tin hoặc phương tiện xử lý thông tin
của tổ chức, hoặc thêm và o các sản phầm hoặc dịch vụ
vào các phương tiện xử lý thông tin phải bao gồm mọi
yêu cầu bảo mật liên quan.
Đối tượng của đo lường Các thỏa thuận với bên thứ ba.
Thuộc tính Các điều khoản hoặc y êu cầu bảo mật trong mỗi thỏa
thuận với bên thứ ba.
Thước đo cơ sở Số lượng các thỏa thuận với bên thứ ba.
Phương pháp đo lường Xem xét các thỏa thuận với bên thứ ba, đếm số lượng
các thỏa thuận.
lường
Thang đo Số nguy ên từ 0 đến vô cùng.
Đơn vị đo lường Thỏa thuận với bên thứ ba.
Thước đo cơ sở Số lượng các y êu cầu bảo mật tiêu chuẩn được y êu cầu
đối với các thỏa thuận với bên thứ ba.
Phương pháp đo lường Xác định số lượng các y êu cầu bảo mật phải được xác
định trong mỗi thỏa thuận theo chính sách (bảo mật).
lường
Đơn vị đo lường Yêu cầu.
Thước đo cơ sở Số lượng các y êu cầu bảo mật đã được xác định trong
mỗi thỏa thuận với bên thứ ba.
Phương pháp đo lường Xem xét các thỏa thuận với bên thứ ba, đếm số lượng
các y êu cầu bảo mật đã được xác định trong mỗi thỏa
thuận.
lường
Đơn vị đo lường Yêu cầu.
Thước đo dẫn xuất Tỷ lệ phần tră m trung bình của các y êu cầu bảo mật liên
quan được xác định trong các thỏa thuận với bên thứ ba.
Chức năng đo lường Tổng của (với mỗi thỏa thuận (số lượng các y êu cầu bắt

buộc – số lượng các y êu cầu được xác định))/số lượng

các thỏa thuận.
Chỉ số 1. Tỷ lệ chênh lệch trung bình của các y êu cầu (bảo
mật) tiêu chuẩn so với các y êu cầu được xác định.
2. Xu hướng của tỷ lệ.
Mô hình phân tích 1. Tổng của (đối với mỗi thoả thuận ([Tổng số các
y êu cầu bảo mật đã xác định] – [Tổng số các yêu
cầu tiêu chuẩn]))/[Số lượng các thỏa thuận với
bên thứ ba].
2. So sánh chỉ số 1 với các chỉ số trước đây .
Tiêu chí quyết định 1. Chỉ số 1 nên lớn hơn 0.9.
2. Chỉ số 2 nên ổn định hoặc tăng lên.
Diễn giải chỉ số Chỉ số này cung cấp cái nhìn sâu sắc về khả năng của
các chức năng thuê ngoài để xác định các y êu cầu bảo
mật.
Các định dạng báo cáo Biểu đồ dòng mô tả một xu hướng qua nhiề u chu kỳ báo
cáo. Tóm tắt ngắn gọn về các điể m tìm được và các hành
động khả dĩ của cấp quản lý.
lường mật.
đo lường
Chủ sở hữu thông tin Nhân viên hợp đồng.
tin
liệu
liệu
đo lường
Điều chỉnh biện pháp đo 2 năm.
lường

Nguồn tham khảo

[1] ISO 9000:2005, Quality management systems — Fundamentals and
vocabulary
[2] ISO/IEC 27002:2005, Information technology — Security techniques —
Code of practice for information security management
[3] ISO/IEC 15504-3:2004, Information technology — Process assessment —
Part 3: Guidance on performing an assessment
[4] ISO/IEC 15939:2007, Systems and software engineering — Measurement
process
[5] ISO/IEC 27005:2008, Information technology — Security techniques —
Information security risk management
[6] ISO/TR 10017:2003, Guidance on statistical techniques for ISO 9001:2000
[7] ISO Guide 99:2007, International vocabulary of metrology — Basic and
general concepts and associated terms (VIM)
[8] NIST Special Publication 800-55, Revision 1, Performance Measurement
Guide for Information Security, July 2008
[9] ISO/IEC TR 18044:2004, Information technology — Security techniques —
Information security incident management


ISO 27004-2009-Vi

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ISO 27004-2009-Vi

Uploaded by

Copyright:

Available Formats

ISO 27004:2009 – Công nghệ thông tin – Các kỹ thuật bảo mật - Quản lý bảo mật thông tin

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

Lời tựa quốc gia

Ngày Bình luận

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

Tuyên bố từ chối trách nhiệm (với định dạng) PDF

Adobe là nhãn hiệu thương mại của Adobe Systems Incorporate.

TÀI LIỆU ĐÃ ĐƯỢC BẢO VỆ BẢN QUYỀN

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

TIÊU CHUẨN ISO 27004:2009(E)

7.5.5 Mô hình phân tích .............................................................................................. 27

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

0.2 Tổng quan về quản lý

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

2 Quy phạm tham chiếu

3 Các thuật ngữ và định nghĩa

3.2 thuộc tính

3.3 thước đo cơ bản

3.5 tiêu chí quyết định

3.6 thước đo dẫn xuất

3.8 thông tin cần thiết

3.10 biện pháp đo lường

3.11 chức năng đo lường

3.12 phương pháp đo lường

3.13 các kết quả đo lường

3.14 đối tượng

3.16 đơn vị đo lường

3.17 xác nhận

3.18 xác minh

4 Cấu trúc của Tiêu chuẩn Quốc tế này

5 Tổng quan về đo lường bảo mật thông tin

5.2 Chương trình Đo lường Bảo mật Thông tin

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

5.3 Các yếu tố thành công

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

5.4 Mô hình đo lường bảo mật thông tin

5.4.1 Tổng quan

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

Hình 2 – Mô hình đo lường bảo mật thông tin

5.4.2 Thước đo cơ sở và phương pháp đo lường

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

Bảng 1 – Ví dụ về thước đo cơ sở và phương pháp đo lường.

5.4.3 Thước đo dẫn xuất và chức năng đo lường

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

Bảng 2 – Ví dụ về thước đo dẫn xuất và chức năng đo lường.

5.4.4 Các chỉ số và mô hình phân tích

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

Bảng 3 – Ví dụ về chỉ số và mô hình phân tích.

5.4.5 Các kết quả đo lường và tiêu chí ra quyết định

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

Bảng 4 – Ví dụ về các kết quả đo lường và mô hình phân tích.

6 Các trách nhiệm của cấp quản lý

Để đạt được điều này, cấp quản lý nên:

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

6.2 Quản lý tài nguyên

6.3 Đào tạo, nhận thức và năng lực đo lường

7 Phát triển các thước đo và biện pháp đo lường

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

7.2 Xác định phạm vi đo lường

BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)

7.3 Xác định nhu cầu thông tin