Professional Documents
Culture Documents
ISO 27004-2009-Vi
ISO 27004-2009-Vi
- Đo lường
Tuân thủ với Tiêu chuẩn Anh không thể mang lại quyền miễn trừ các nghĩa
vụ pháp lý.
Tiêu chuẩn Anh này được công bố dưới sự ủy quyền của Tiểu ban Chính sách
và Chiến lược các Tiêu chuẩn vào ngày 31 tháng Một năm 2010.
Bản sửa đổi/lỗi chính tả được ban hành kể từ khi xuất bản.
Tập tin PDF này có thể bao gồm các kiểu chữ đã được nhúng. Theo chính sách
cấp phép của Adobe, tập tin này có thể được in ra hoặc được xem nhưng không
được phép sửa đổi trừ khi các kiểu chữ đã được nhúng được cấp phép để cài
đặt vào máy tính đang thực hiện việc sửa đổi. Đối với việc tải về tập tin này ,
các bên phải chấp nhận trong đó trách nhiệm không vi phạm chính sách cấp
phép của Adobe. Tiểu ban thư ký trung tâm của ISO không chịu nghĩa vụ pháp
lý cho lĩnh vực này.
Các chi tiết về các sản phẩm phần mềm được sử dụng để soạn thảo tập tin PDF
này có thể được tìm thấy trong phần Thông tin chung liên quan đến tập tin
này; các tham số tạo ra tập tin PDF đã được tối ưu hóa cho mục đích in ấn.
Mọi sự cẩn trọng đã được đưa ra để đảm bảo rằng tập tin này là thích hợp để
sử dụng bởi các thành viên của ISO. Trong những sự kiện không chắc chắn có
vấn đề gì liên quan tới nó, vui lòng thông báo cho Tiểu ban thư ký trung tâm
theo địa chỉ dưới đây.
Lời tựa
ISO (Tổ chức Tiêu chuẩn hóa Quốc tế) và IEC (Ủy ban Kỹ thuật điện Quốc tế)
hình thành nên hệ thống đặc biệt cho việc tiêu chuẩn hóa trên toàn cầu. Các
quốc gia thành viên của ISO hoặc IEC tham gia vào việc phát triển các Tiêu
chuẩn Quốc tế thông qua các tiểu ban kỹ thuật được thiết lập bởi tổ chức tương
ứng để xử lý các lĩnh vực hoạt động kỹ thuật cụ thể. Các tiểu ban kỹ thuật ISO
và IEC cộng tác trong các lĩnh vực mà cả hai bên cùng quan tâm. Các tổ chức
quốc tế khác, chính phủ và phi chính phủ, có mối liên hệ với ISO và IEC cũng
tham gia vào công việc này. Trong lĩnh vực công nghệ thông tin, ISO và IEC
đã thành lập một tiểu ban kỹ thuật chung, ISO/IEC JTC 1.
Các Tiêu chuẩn Quốc tế được soạn thảo tương xứng với các quy tắc được đưa
ra trong Các Định hướng ISO/IEC, Phần 2.
Nhiệm vụ chính của tiểu ban kỹ thuật chung là chuẩn bị các Tiêu chuẩn Quốc
tế. Bản phác thảo các Tiêu chuẩn Quốc tế được thông qua bởi tiểu ban kỹ
thuật chung sẽ được gửi đến các quốc gia thành viên để bỏ phiếu. Việc công bố
một Tiêu chuẩn Quốc tế đòi hỏi sự phê duyệt của ít nhất 75% số quốc gia tham
gia bỏ phiếu.
Cần chú ý đến khả năng một số thành phần của tài liệu này có thể là đối tượng
của quyền sáng chế. ISO và IEC sẽ không chịu trách nhiệm cho việc xác định
bất kỳ hoặc toàn bộ các quyền sáng chế như vậy.
ISO/IEC 27004 đã được chuẩn bị bởi Tiểu ban Kỹ thuật chung ISO/IEC JTC 1,
Công nghệ thông tin, Tiểu ban 27, Các kỹ thuật bảo mật công nghệ thông tin.
0 Giới thiệu
0.1 Tổng quan
Tiêu chuẩn Quốc tế cung cấp hướng dẫn cho việc phát triển và sử dụng các
thước đo và biện pháp đo lường nhằm đánh giá tính hiệu quả của việc triển
khai hệ thống quản lý bảo mật thông tin (ISMS) và các biện pháp kiểm soát
hoặc nhóm các biện pháp kiểm soát (bảo mật thông tin), như đã được xác định
trong ISO/IEC 27001.
Điều này bao gồm chính sách, quản lý bảo mật thông tin, các mục tiêu kiểm
soát, các biện pháp kiểm soát, các quy trình và thủ tục, và sự hỗ trợ quy trình
sửa đổi, giúp xác định xem liệu có bất kỳ quy trình hoặc biện pháp kiểm soát
ISMS nào cần được thay đổi hay cải thiện không. Cần lưu ý rằng không có biện
pháp đo lường kiểm soát nào có thể đảm bảo bảo mật hoàn toàn.
Việc triển khai phương pháp tiếp cận này cấu thành một Chương trình Đo
lường Bảo mật Thông tin. Chương trình Đo lường Bảo mật Thông tin sẽ giúp
cấp quản lý xác định và đánh giá những điểm không-tuân thủ và các quy trình
và biện pháp kiểm soát ISMS không hiệu quả cũng như các hành động ưu tiên
tương xứng với sự cải thiện hoặc thay đổi trong các quy trình và/hoặc các biện
pháp kiểm soát đó. Nó cũng có thể giúp tổ chức trong việc chứng minh sự tuân
thủ với ISO/IEC 27001 và cung cấp các bằng chứng bổ sung để cấp quản lý
xem xét và các quy trình quản lý bảo mật thông tin.
Tiêu chuẩn Quốc tế này giả định rằng khởi điểm cho sự phát triển các thước đo
và các biện pháp đo lường là một sự hiểu biết đúng đắn về các rủi ro bảo mật
thông tin mà tổ chức đang đối mặt, và rằng các hành động đánh giá rủi ro của
một tổ chức đã được hoàn thành một cách đúng đắn (ví dụ, dựa trên ISO/IEC
27005), như được yêu cầu bởi ISO/IEC 27001. Chương trình Đo lường Bảo mật
Thông tin sẽ khuyên khích một tổ chức cung cấp những thông tin đáng tin cậy
cho các bên liên quan đang quan tâm tới những rủi ro bảo mật thông tin của tổ
chức và trạng thái hiện tại của ISMS đã triển khai để quản lý những rủi ro đó.
Nếu được triển khai một cách hiệu quả, Chương trình Đo lường Bảo mật Thông
tin sẽ cải thiện sự tin tưởng của các bên liên quan về các kết quả đo lường, và
cho phép các bên liên quan sử dụng các thước đo đó để tiếp tục cải thiện bảo
mật thông tin và ISMS.
Những kết quả đo lường được tích lũy sẽ cho phép so sánh tiến độ trong việc
đạt được các mục tiêu bảo mật thông tin theo một khoảng thời gian như là một
phần của quy trình cải tiến liên tục ISMS của tổ chức.
“đo lường tính hiệu quả của các biện pháp kiểm soát để xác minh rằng các yêu
cầu bảo mật đã được đáp ứng”. ISO/IEC 27001 đồng thời yêu cầu tổ chức phải
“xác định cách đo lường tính hiệu quả của các biện pháp kiểm soát hoặc nhóm
các biện pháp kiểm soát được chọn và chỉ định cách làm thế nào mà các thước
đo đó được sử dụng để đánh giá tính hiệu quả của các biện pháp kiểm soát
nhằm mang lại các kết quả có thể so sánh và có thể thực hiện lại”
Phương pháp tiếp cận được thông qua bởi một tổ chức để hoàn thành các yêu
cầu về biệ pháp đo lường được chỉ định trong ISO/IEC 27001 sẽ thay đổi dựa
trên một số các yếu tố quan trọng, bao gồm các rủi ro bảo mật thông tin mà tổ
chức đang đối mặt, quy mô tổ chức của nó, các tài nguyên sẵn có, và các yêu
cầu luật lệ, các quy định và hợp đồng có thể áp dụng được. Sự lựa chọn và
biện minh cẩn thận về phương pháp được sử dụng để hoàn thành các yêu cầu
về đo lường là rất quan trọng để đảm bảo rằng các tài nguyên dư thừa không
được dành cho những hành động này của ISMS để gây tổn hại cho những thứ
khác. Một cách lý tưởng, các hành động đo lường liên tục phải được tích hợp
vào các hoạt động thường xuyên của tổ chức với các yêu cầu về nguồn lực bổ
sung thêm tối thiểu.
Tiêu chuẩn Quốc tế này đưa ra các khuyến nghị liên quan đến những hành động
dưới đây như là cơ sở cho một tổ chức để hoàn thành các yêu cầu về đo lường
được chỉ định trong ISO/IEC 27001:
a) phát triển các thước đo (ví dụ, các thước đo cơ bản, các thước đo dẫn
xuất và thước đo các chỉ số);
b) triển khai và vận hành một Chương trình Đo lường Bảo mật Thông tin;
c) thu thập và phân tích dữ liệu;
d) phát triển các kết quả đo lường;
e) truyền đạt các kết quả đo lường đã phát triển đến các bên liên quan;
f) sử dụng các kết quả đo lường như là yếu tố đóng góp cho các quyết định
liên quan tới ISMS;
g) sử dụng các kết quả đo lường để xác định các nhu cầu về cải thiện ISMS
đã được triển khai, bao gồm phạm vi, các chính sách, mục tiêu, biện
pháp kiểm soát, quy trình và thủ tục của nó; và
h) tạo điều kiện cải thiện liên tục Chương trình Đo lường Bảo mật Thông
tin.
Một trong những yếu tố sẽ tác động đến năng lực của tổ chức để đạt được biện
pháp đo lường là quy mô của nó. Nói chung, quy mô và độ phức tạp của doanh
nghiệp kết hợp với tầm quan trọng của bảo mật thông tin ảnh hưởng đến mức
độ đo lường cần có, cả về khái niệm số lượng các thước đo sẽ được chọn lẫn
tần suất thu thập và phân tích dữ liệu. Đối với SMEs (Doanh nghiệp Vừa và
Nhỏ) một chương trình đo lường bảo mật thông tin ít toàn diện hơn sẽ là đủ,
trong khi những doanh nghiệp lớn hơn sẽ triển khai và vận hành nhiều Chương
trình Đo lường Bảo mật Thông tin.
Một Chương trình Đo lường Bảo mật Thông tin đơn lẻ có thể là đủ cho các tổ
chức nhỏ, trong khi đối với các doanh nghiệp lớn hơn, có thể có nhu cầu về
nhiều Chương trình Đo lường Bảo mật Thông tin.
Hướng dẫn đã được cung cấp bởi Tiêu chuẩn Quốc tế này sẽ dẫn đến việc tạo
ra được một tài liệu mà sẽ đóng góp vào việc chứng minh rằng tính hiệu quả
của biện pháp kiểm soát được đo lường và đánh giá.
1 Phạm vi
Tiêu chuẩn Quốc tế này cung cấp hướng dẫn cho việc phát triển và sử dụng các
thước đo và biện pháp đo lường nhằm đánh giá tính hiệu quả của một hệ thống
quản lý bảo mật thông tin (ISMS) và các biện pháp kiểm soát hoặc nhóm các
biện pháp kiểm soát, như được chỉ định trong ISO 27001.
Tiêu chuẩn Quốc tế này có thể được áp dụng cho mọi loại hình và quy mô của
tổ chức.
LƯU Ý: Tài liệu này sử dụng các hình thức ngôn từ để diễn đạt các điều khoản (ví
dụ như “ shall”, “shall not”, “should”, “should not”, “ may ”, “need not”, “can” và
“ cannot”) đã được xác định trong Định hướng ISO/IEC, Phần 2, 2004, P hụ lục H.
Xem thê m ISO/IEC 27000:2009, Phụ lục A.
thước đo được xác định theo thuộc tính và phương pháp định lượng nó.
[ISO/IEC 15939:2007]
LƯU Ý: Một thước đo cơ bản là độc lập về mặt chức năng với các thước đo khác.
3.4 dữ liệu
tập hợp các giá trị được chỉ định cho thước đo cơ bản, các thước đo dẫn xuất
và/hoặc các chỉ số.
[ISO/IEC 15939:2007]
3.7 chỉ số
Thước đo cung cấp một ước tính hoặc đánh giá về các thuộc tính được chỉ định
có nguồn gốc từ một mô hình phân tích cùng với sự lưu tâm đến các nhu cầu
thông tin đã được xác định.
3.9 thước đo
Biến số mà giá trị được chỉ định là kết quả của biện pháp đo lường.
[ISO/IEC 15939:2007]
LƯU Ý: Khái niệm “ các thước đo” được sử dụng để đề cập chung đến các thước đo
cơ sở, thước đo dẫn xuất và các chỉ số.
VÍ DỤ: So sánh tỷ lệ lỗi đo được với tỷ lệ lỗi theo kế hoạch cùng với việc
đánh giá xem liệu sự khác biệt giữa hai tỷ lệ nói trên có chỉ ra một vấn đề hay
không.
Thuật toán hoặc sự tính toán đã hoàn thành để kết hợp hai hoặc nhiều hơn các
thước đo cơ sở.
[ISO/IEC 15939:2007]
3.15 phạm vi
Tập hợp các giá trị được sắp xếp, liên tục hoặc tùy ý, hoặc một tập hợp các thể
loại mà các thuộc tính được ánh xạ.
[ISO/IEC 15939:2007]
LƯU Ý: Các loại tỷ lệ phụ thuộc vào bản chất của mối quan hệ giữa các giá trị trong
phạm vi. Bốn loại phạm vi phổ biến được xác định như sau:
danh nghĩa: các giá trị đo lường là rõ ràng;
thứ tự: các giá trị đo lường được xếp hạng;
khoảng: các giá trị đo lường có khoảng cách bằng nhau tương ứng với các đại
lượng bằng nhau của các thuộc tính;
tỷ lê: các giá trị đo lường có khoảng cách bằng nhau tương ứng với các đại
lượng bằng nhau của các thuộc tính, khi giá trị bằng 0 tương ứng với không
có thuộc tính nào.
Chúng chỉ là các ví dụ về các loại phạm vi.
Xác nhận, thông qua việc cung cấp các bằng chứng mục tiêu về các yêu cầu
được chỉ định đã được hoàn thành.
[ISO/IEC 15939:2007]
LƯU Ý: Điều này còn được gọi là kiểm nghiệm tính tuân thủ.
Ngoài ra, Phụ lục A cung cấp một mẫu ví dụ cho cấu trúc đo lường mà trong
đó các yếu tố cấu thành là các thành phần củ Mô hình Đo lường Bảo mật
Thông tin (xem Điều 7). Phụ lục B cung cấp các ví dụ cấu trúc đo lường đối
với các biện pháp kiểm soát hoặc quy trinhg cụ thể của ISMS, sử dụng biểu
mẫu đã được cung cấp trong Phụ lục A.
Những ví dụ này được dự định nhằm trợ giúp một tổ chức về cách triển khai
Đo lường Bảo mật Thông tin như thế nào và làm thế nào để ghi lại các hành
động đo lường và kết quả của chúng.
Hình 1 minh họa cho mối quan hệ tuần hoàn đầu vào-đầu ra của các hành động
đo lường trong mối tương quan với chu trình Plan-Do-Check-Act (PDCA),
được chỉ định trong ISO/IEC 27001. Các con số trong mỗi hình đại diện cho
các điều khoản con có liên quan của ISO/IEC 27001:2005.
Hình 1 – Các đầu vào và đầu ra trong chu trình PDCA của ISMS về quản lý
bảo mật thông tin.
Tổ chức nên thiết lập các mục tiêu đo lường dựa trên một số các cân nhắc, bao
gồm:
a) vai trò của bảo mật thông tin trong việc hỗ trợ các hành động kinh doanh
tổng thể của tổ chức và các rủi ro mà tổ chức đang phải đối mặt;
b) các yêu cầu pháp lý, quy định và hợp đồng có thể áp dụng được;
c) cấu trúc tổ chức;
d) chi phí và lợi ích của việc triển khai đo lường bảo mật thông tin;
e) tiêu chí chấp thuận rủi ro của tổ chức; và
f) nhu cầu so sánh vài ISMS trong cùng một tổ chức.
Chương trình Đo lường Bảo mật Thông tin và các cấu trúc đo lường đã được
phát triển nên đảm bảo rằng một tổ chức đạt được các mục tiêu và có thể lặp
lại được phép đo một cách hiệu quả và cung cấp các kết quả đo lường cho các
bên có liên quan để xác định nhu cầu về cải thiện ISMS đã được triển khai, bao
gồm phạm vi của nó, các chính sách, mục tiêu, các biện pháp kiểm soát, các
quy trình và thủ tục.
Một Chương trình Đo lường Bảo mật Thông tin nên bao gồm các quy trình sau
đây:
a) phát triển các thước đo và biện pháp đo lường (xem Điều 7);
b) vận hành các biện pháp đo lường (xem Điều 8);
c) báo cáo phân tích dữ liệu và các kết quả đo lường (xem Điều 9); và
d) đánh giá và cải thiện Chương trình Đo lường Bảo mật Thông tin (xem
Điều 10).
Cấu trúc tổ chức và vận hành của một Chương trình Đo lường Bảo mật Thông
tin nên được xác định bằng cách tính đến phạm vi và độ phức tạp của ISMS mà
nó (Chương trình Đo lường Bảo mật Thông tin) là một thành phần trong đó.
Trong mọi trường hợp, các vai trò và trách nhiệm đối với Chương trình Đo
lường Bảo mật Thông tin nên được chỉ định một cách rõ ràng cho các cá nhân
có năng lực (xem 7.5.8).
Các thước đo đã chọn và triển khai bởi Chương trình Đo lường Bảo mật Thông
tin nên có liên quan trực tiếp đến việc vận hành một ISMS, các thước đo khác,
cũng như là các quy trình kinh doanh của tổ chức. Phép đo lường có thể được
tích hợp vào các hoạt động vận hành thường lệ của ISMS hoặc được hoàn
thành theo khoảng thời gian định kỳ đã được xác định bởi cấp quản lý ISMS.
chính sách, mục tiêu, các biện pháp kiểm soát, các quy trình và thủ tục
của ISMS;
i) chấp thuận những thông tin phản hồi về các kết quả đo lường từ các bên
liên quan; và
j) những đánh giá về tính hữu ích của các kết quả đo lường và sự triển khai
các cải thiện đã được xác định.
Khi đã triển khai thành công, một Chương trình Đo lường Bảo mật Thông tin
có thể:
1) Chứng minh tính tuân thủ của một tổ chức đối với các yêu cầu pháp lý
hoặc quy định và các nghĩa vụ hợp đồng;
2) Hỗ trợ việc xác định các vấn đề bảo mật thông tin mà chưa được biết đến
hoặc chưa được phát hiện trước đây;
3) Trợ giúp việc thỏa mãn các yêu cầu báo cáo của cấp quản lý khi nêu ra
các thước đo cho các hành động trong quá khứ và hiện tại; và
4) Được sử dụng như là đầu vào trong quy trình quản lý bảo mật thông tin,
các cuộc kiểm toán ISMS nội bộ và các xem xét của cấp quản lý.
LƯU Ý: Điều 7 cung cấp thông tin chi tiết về các thành phần riêng lẻ của mô hình đo
lường bảo mật thông tin.
Những điều khoản phụ tiếp theo sau giới thiệu các thành phần riêng lẻ của mô
hình. Chúng cũng cung cấp các ví dụ về cách mà các thành phần riêng lẻ đó
được sử dụng như thế nào.
Thông tin cần thiết hoặc mục đích của biện pháp đo lường sử dụng trong các ví
dụ bao gồm trong Bảng 1 đến 4 của các điều khoản con dưới đây là để đánh giá
tình trạng nhận thức về tính tuân thủ với chính sách bảo mật của tổ chức giữa
các cá nhân (Mục tiêu kiểm soát A.8.2, và Các biện pháp kiểm soát A.8.2.1 và
A8.2.2 của ISO/IEC 27001:2005).
Một phương pháp đo lường là một trình tự logic của các hoạt động được sử
dụng trong việc định lượng một thuộc tính liên quan đến phạm vi đã được chỉ
định. Hoạt động có thể liên quan đến nhiều hành động chẳng hạn như đếm các
sự kiện hoặc quan sát thời gian trôi qua.
Một phương pháp đo lường có thể áp dụng nhiều thuộc tính đối với một đối
tượng của biện pháp đo lường. Các ví dụ về một đối tượng của biện pháp đo
lường bao gồm nhưng không giới hạn:
Hiệu suất của các biện pháp kiểm soát đã triển khai trong ISMS;
Tình trạng của tài sản thông tin được bảo vệ bởi các biện pháp kiểm
soát;
Hiệu suất của các quy trình được triển khai trong ISMS;
Hành vi của các cá nhân chịu trách nhiệm đối với ISMS đã triển khai;
Những hành động của các đơn vị tổ chức chịu trách nhiệm bảo mật thông
tin; và
Mức độ hài lòng của các bên liên quan.
Một phương pháp đo lường có thể sử dụng các đối tượng đo lường của các biện
pháp đo lường và các thuộc tính từ các nguồn khác nhau, chẳng hạn như:
Các kết quả phân tích và đánh giá rủi ro;
Bảng câu hỏi và phỏng vấn nhân viên;
Các báo cáo kiểm toán nội bộ và/hoặc bên ngoài;
Hồ sơ về các sự kiện, chẳng hạn như các nhật ký, báo cáo thống kê, và
dấu vết kiểm toán;
Các báo cáo sự cố, đặc biệt là các báo cáo về các sự cố dẫn đến tác
động;
Các kết quả kiểm nghiệm, ví dụ, từ kiểm nghiệm xâm nhập, kỹ thuật xã
hội, các công cụ tuân thủ, và các công cụ kiểm toán bảo mật; hoặc
Hồ sơ từ các quy trình và chương trình liên quan tới bảo mật thông tin
của tổ chức, ví dụ, các kết quả đào tạo nâng cao nhận thức về bảo mật
thông tin.
Bảng 1-4 dưới đây thể hiện việc ứng dụng mô hình bảo mật thông tin đối với
các kiểm soát sau đây:
“Biện pháp kiểm soát 2” đề cập tới kiểm soát A.8.2.1 Trách nhiệm của
cấp quản lý trong ISO/IEC 27001:2005 («Cấp quản lý sẽ đòi hỏi nhân
viên, nhà thầu và người dùng của bên thứ ba áp dụng biện pháp bảo mật
tương xứng với các chính sách và thủ tục đã được thiết lập của tổ
chức”) được triển khai như sau: “Mọi cá nhân liên quan tới ISMS phải
ký một thỏa thuận trước khi được cấp quyền truy cập tới một hệ thống
thông tin”;
“Biện pháp kiểm soát 1” đề cập tới kiểm soát A.8.2.2 “Giáo dục và đào
tạo, nâng cao nhận thức về bảo mật thông tin” trong ISO/IEC
27001:2005 («Mọi nhân viên của tổ chức và, khi có liên quan, nhà thầu
và ngưới dùng của bên thứ ba sẽ nhận được sự đào tạo nâng cao nhận
thức tương xứng và cập nhật thường xuyên về các chính sách và thủ tục
của tổ chức, có liên quan đến chức năng công việc của họ”); được triển
khai như sau: “Mọi cá nhân liên quan tới ISMS phải nhận được sự đào
tạo nâng cao nhận thức về bảo mật thông tin trước khi được cấp quyền
truy cập tới một hệ thống thông tin”.
Các cấu trúc đo lường tương ứng được bao hàm trong B.1.
LƯU Ý: Bảng 1 đến 4 bao gồm các cột khác nhau (Bảng 1, 4 cột, và Bảng 3, 3 cột)
trong đó mỗi cột được gán một ký hiệu chữ cái. Những sự kết hợp ký hiệu chữ cái và
con số được sử dụng trong các hộp tiếp theo để tham chiếu tới hộp trước đó. Các mũi
tên chỉ định luồng dữ liệu giữa các thành phần riêng lẻ của mô hình đo lường bảo
mật thông tin trong ví dụ cụ thể.
Bảng 1 bao gồm một ví dụ về mối quan hệ giữa đối tượng đo lường, thuộc tính,
phương pháp đo lường và thước đo cơ sở để đo lường các đối tượng được thiết
lập cho các biện pháp kiểm soát đã triển khai được mô tả ở trên.
Một chức năng đo lường là một phép tính toán được sử dụng để kết hợp các
thước đo cơ sở cùng nhau để tạo ra một thước đo dẫn xuất.
Thang đo và đơn vị (đo) của thước đo dẫn xuất phụ thuộc vào các thang đo và
đơn vị của các thước đo cơ sở mà nó (thước đo dẫn xuất) được cấu tạo thành
cũng như cách mà chúng (các thước đo cơ sở) được kết hợp lại bằng chức năng
đo lường như thế nào.
Chức năng đo lường có thể liên quan tới nhiều kỹ thuật khác nhau, chẳng hạn
như tính trung bình các thước đo cơ sở, áp dụng trọng số đối với các thước đo
cơ sở, hoặc chỉ định các giá trị định tính cho các thước đo cơ sở. Chức năng đo
lường có thể tổ hợp các thước đo cơ sở sử dụng các thang đo khác nhau, chẳng
hạn như tỷ lệ phần trăm và các kết quả đánh giá định tính.
Một ví dụ về mối quan hệ giữa các yếu tố khác của việc ứng dụng mô hình đo
lường bảo mật thông tin, tức là thước đo cơ sở, chức năng đo lường và thước
đo dẫn xuất được trình bày trong Bảng 2.
cầu thông tin đã được xác định. Các chỉ số có được bởi việc áp dụng một mô
hình phân tích đối với một thước đo cơ sở và/hoặc thước đo dẫn xuất và kết
hợp chúng với tiêu chí ra quyết định. Thang đo và phương pháp đo lường ảnh
hưởng đến việc lựa chọn các kỹ thuật phân tích được sử dụng để tạo ra các chỉ
số.
Một ví dụ về mối quan hệ giữa các thước đo dẫn xuất, mô hình phân tích và
các chỉ số đối với việc ứng dụng mô hình đo lường bảo mật thông tin được
trình bày trong Bảng 3.
LƯU Ý: Nếu một chỉ số được trình bày dưới dạng một hình thức đồ họa, nó nên có
thể được sử dụng bởi người dùng bị khiế m thị hoặc khi các bản sao đơn sắc được sử
dụng. Để làm được điều đó, mô tả chỉ số nên bao gồm màu sắc, tô bóng, phông chữ
hoặc các phương pháp trực quan khác.
ví dụ, để tiến hành phân tích xu hướng dựa trên csc chỉ số nhận được tại những
thời điểm khác nhau.
Một ví dụ về mối quan hệ giữa các yếu tố sau cùng của việc ứng dụng mô hình
đo lường bảo mật thông tin (nghĩa là chỉ số, tiêu chí quyết định và các kết quả
đo lường) được trình bày trong Bảng 4.
f) Đảm bảo rằng các công cụ và thiết bị đã sử dụng để thu thập thông tin
được duy trì một cách đúng đắn;
g) Thiết lập mục đích của đo lường cho mỗi cấu trúc đo lường;
h) Đảm bảo rằng đo lường cung cấp thông tin đầy đủ cho các bên có liên
quan liên quan tới tính hiệu quả của ISMS và nhu cầu về việc cải thiện
ISMS đã triển khai, bao gồm phạm vi, các chính sách, mục tiêu, biện
pháp kiểm soát, quy trình và thủ tục của nó (ISMS đã triển khai); và
i) Đảm bảo rằng đo lường cung cấp thông tin đầy đủ cho các bên có liên
quan liên quan tới tính hiệu quả của các biện pháp kiểm soát hoặc nhóm
các biện pháp kiểm soát và nhu cầu cải thiện các biện pháp kiểm soát đã
triển khai.
Thông qua việc chỉ định các vai trò và trách nhiệm đo lường thích hợp, cấp
quản lý nên đảm bảo các kết quả đo lường không bị ảnh hưởng bởi chủ sở hữu
của thông tin (xem 7.5.8). Điều này có thể đạt được thông qua phân tách nhiệm
vụ hoặc, nếu việc phân tách nhiệm vụ là không khả thi, thông qua việc sử
dụng các tài liệu chi tiết cho phép các kiểm nghiệm độc lập.
LƯU Ý: Điều 5.2.1 của ISO/IEC 27001:2005 chỉ định yêu cầu đối với việc cung cấp
các tài nguyên cho việc triển khai và vận hành ISMS.
và các biện pháp kiểm soát hoặc nhóm các biện pháp kiểm soát đã triển khai,
và xác định các tổ hợp các cấu trúc đo lường cụ thể của tổ chức. Các hành
động cần thiết để phát triển các thước đo và biện pháp đo lường nên được thiết
lập và lập thành văn bản, bao gồm:
a) Xác định phạm vi đo lường (xem 7.2);
b) Xác định yêu cầu thông tin (xem 7.3);
c) Lựa chọn đối tượng đo lường và các thuộc tính của nó (xem 7.4);
d) Phát triển các cấu trúc đo lường (xem 7.5);
e) Áp dụng các cấu trúc đo lường (xem 7.6);
f) Thiết lập các quy trình và công cụ thu thập và phân tích dữ liệu (xem
7.7); và
g) Thiết lập phương pháp tiếp cận và lập thành văn bản việc triển khai đo
lường (xem 7.8).
Khi thiết lập những hành động này, tổ chức nên tính đến các tài nguyên tài
chính, nhân sự, và cơ sở hạ tầng (vật lý và các công cụ).
Các bên liên quan có liên quan nên được xác định và nên tham gia vào việc xác
định phạm vi đo lường. Các bên liên quan có liên quan có thể là nội bộ hoặc
bên ngoài các đơn vị tổ chức, chẳng hạn như các quản lý dự án, quản lý hệ
thống thông tin, hoặc người ra quyết định bảo mật thông tin. Các kết quả đo
lường cụ thể xác định tính hiệu quả của các biện pháp kiểm soát riêng lẻ hoặc
nhóm các biện pháp kiểm soát nên được xác định và truyền đạt lại cho các bên
liên quan có liên quan.
Tổ chức có thể xem xét việc giới hạn số các kết quả đo lường được báo cáo
cho người ra quyết định trong một khoảng thời gian nhất định để đảm bảo khả
năng của họ ảnh hưởng đến việc cải thiện ISMS dựa trên các kết quả đo lường
đã được báo cáo. Quá nhiều các báo cáo đo lường được báo cáo sẽ tác động tới
khả năng của người ra quyết định tập trung nỗ lực và độ ưu tiên vào các hành
động cải thiện trong tương lai. Các kết quả đo lường nên được thiết lập độ ưu
tiên dựa trên tầm quan trọng của nhu cầu thông tin tương xứng và các mục tiêu
ISMS thích hợp.
LƯU Ý: Phạm vi đo lường liên quan đế n phạm vi của ISMS đã được thiết lập tương
ứng với 4.2.1 a) của ISO/IEC 27001:2005.
Những hành động dưới đây nên được hoàn thành để xác định các nhu cầu thông
tin có liên quan:
a) Thực thi ISMS và các quy trình của nó, ví dụ như:
1) Chính sách và các mục tiêu, các mục tiêu và biện pháp kiểm soát
ISMS;
2) Các yêu cầu pháp lý, quy định, hợp đồng và của tổ chức về bảo
mật thông tin;
3) Các kết quả của quy trình quản lý bảo mật thông tin, như được mô
tả trong ISO/IEC 27001.
b) Thiết lập độ ưu tiên cho các nhu cầu thông tin đã được xác định, chẳng
hạn như:
1) Các ưu tiên xử lý rủi ro;
2) Những năng lực và tài nguyên của một tổ chức;
3) Các mối quan tâm của các bên liên quan;
4) Thông tin được yêu cầu để đáp ứng các yêu cầu pháp lý, quy định
và hợp đồng;
5) Giá trị của thông tin liên quan đến chi phí đo lường.
c) Lựa chọn một tập hợp con của thông tin được yêu cầu để được giải quyết
trong các hành động đo lường từ danh sách đã được thiết lập ưu tiên, và
d) Lập thành văn bản và truyền đạt những nhu cầu thông tin đã lựa chọn
cho tất cả các bên liên quan có liên quan.
Mọi thước đo liên quan đã áp dụng cho một ISMS, các biện pháp kiểm soát
hoặc nhóm các biện pháp kiểm soát đã được triển khai nên được triển khai dựa
trên những nhu cầu thông tin đã lựa chọn.
Đối tượng và các thuộc tính của nó sẽ được sử dụng bởi biện pháp đo lường
nên được lựa chọn dựa trên mức độ ưu tiên của nhu cầu thông tin tương ứng.
Các giá trị được gán cho một thước đo cơ sở liên quan có được bằng cách áp
dụng một phương pháp đo lường thích hợp đối với các thuộc tính được lựa
chọn. Sự lựa chọn (các thuộc tính) này nên đảm bảo rằng:
- Thước đo cơ sở liên quan và một phương pháp đo lường thích hợp có thể
được xác định; và
- Các kết quả đo lường có ý nghĩa có thể được phát triển dựa trên các giá
trị đã có được và các thước đo đã được phát triển.
Các đặc trưng của các thuộc tính đã được lựa chọn xác định loại phương pháp
đo lường nào cần được sử dụng để có được các giá trị sẽ được chỉ định cho các
thước đo cơ sở (ví dụ, định tính hoặc định lượng).
Đối tượng và các thuộc tính của nó đã được lựa chọn nên được lập thành văn
bản, cùng với cơ sở hợp lý của sự lựa chọn.
Dữ liệu mô tả đối tượng đo lường và các thuộc tính tương ứng nên được sử
dụng như là giá trị sẽ được gán cho các thước đo cơ sở. Các ví dụ về các đối
tượng đo lường bao gồm nhưng không giới hạn:
- Các sản phẩm và dịch vụ;
- Các quy trình;
- Những tài sản khả dụng như cơ sở vật chất, các ứng dụng, và các hệ
thống thông tin như đã được xác định trong ISO/IEC 27001:2005 (Kiểm
kê tài sản, A.7.1.1);
- Các đơn vị kinh doanh;
- Các vị trí địa lý; và
- Các dịch vụ của bên thứ ba.
Các thuộc tính nên được đánh giá để đảm bảo rằng:
a) Các thuộc tính phù hợp đã được lựa chọn để đo lường; và
b) Việc lựa chọn dữ liệu được xác định để đảm bảo số lượng đầy đủ các
thuộc tính để biện pháp đo lường được hiệu quả.
Chỉ có các thuộc tính liên quan tới thước đo cơ sở tương ứng mới nên được lựa
chọn. Tuy vậy việc lựa chọn các thuộc tính nên xem xét mức độ khó khăn
trong việc có được các thuộc tính để đo lường, nhưng không nên chỉ thực hiện
dựa trên dữ liệu dễ dàng lấy được hoặc thuộc tính dễ đo lường được.
phép sự lựa chọn các thước đo sẽ được triển khai. Những thước đo mới được
xác định có thể liên quan tới sự thích ứng của một thước đo hiện có.
LƯU Ý: Việc xác định các thước đo cơ bản có liên quan chặt chẽ với việc xác định
các đối tượng đo lường và các thuộc tính của chúng.
Các thước đo đã được xác định có khả năng đáp ứng được nhu cầu thông tin đã
chọn nên được lựa chọn. Thông tin bối cảnh cần thiết để diễn giải hoặc bình
thường hoá các thước đo cũng nên được xem xét.
LƯU Ý: Rất nhiều sự kết hợp các thước đo khác nhau (ví dụ, các thước đo cơ sở, các
thước đo dẫn xuất, và các chỉ số) có thể được chọn để giải quy ết một nhu c ầu thông
tin cụ thể.
Các thước đo đã được chọn nên phản ảnh độ ưu tiên của nhu cầu thông tin. Csc
tiêu chí ví dụ khác có thể được sử dụng trong việc lựa chọn các thước đo bao
gồm:
- Dễ dàng lựa chọn dữ liệu;
- Tính sẵn sàng của nguồn nhân lực để lựa chọn và quản lý dữ liệu;
- Tính sẵn sàng của các công cụ thích hợp;
- Số lượng các chỉ số có khả năng liên quan được hỗ trở bởi thước đo cơ
sở;
- Dễ dàng diễn giải;
- Số lượng người dùng của các kết quả đo lường được phát triển;
- Bằng chứng về tính phù hợp với mục đích hoặc nhu cầu thông tin; và
- Chi phí của việc thu thập, quản lý, và phân tích dữ liệu.
Một phương pháp đo lường có thể là chủ quan hoặc khách quan. Các phương
pháp chủ quan dựa trên việc định lượng liên quan đến sự đánh giá của con
người, trong khi các phương pháp khách quan sử dụng việc định lượng dựa
trên các quy tắc số học chẳng hạn như đếm những gì có thể được triển khai bởi
con người hoặc các phương tiện tự động hoá.
Phương pháp đo lường định lượng các thuộc tính như là các giá trị bằng cách
áp dụng một thang đo thích hợp. Mỗi một thang đo sử dụng các đơn vị đo
lường. Chỉ có định lượng như nhau với cùng một đơn vị đo lường mới có thể
so sánh trực tiếp được.
Đối với mỗi phương pháp đo lường, quy trình xác minh nên được thiết lập và
lập thành văn bản. Việc xác minh này nên đảm bảo một mức độ tự tin trong giá
trị sẽ có được bằng cách áp dụng một phương pháp đo lường cho một thuộc
BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)
Chuyển ngữ: Nguyễn Thế Hùng – Email: nguyenthehung.it@gmail.com
ISO 27004:2009 – Công nghệ thông tin – Các kỹ thuật bảo mật - Quản lý bảo mật thông tin - Đo lường
tính của đối tượng đo lường và được gán cho một thước đo cơ sở. Khi cần để
xác định giá trị hợp lệ, các công cụ được sử dụng để có được các thuộc tính
nên được chuẩn hoá và xác minh tại những khoảng thời gian xác định.
Độ chính xác của phương pháp đo lường nên tính đến độ lệch tương ứng hoặc
sự khác biệt nên được ghi nhận lại.
Một phương pháp đo lường nên nhất quán theo thời gian để các giá trị đã gán
cho một thước đo cơ sở được thực hiện tại những thời điểm khác nhau có thể
so sánh được và các giá trị đã gán cho một thước đo dẫn xuất và một chỉ số
cũng có thể so sánh được.
Một chức năng đo lường (ví dụ, một tính toán) có thể bao gồm nhiều kỹ thuật
đa dạng, chẳng hạn như lấy giá trị trung bình của mọi giá trị đã gán cho các
thước đo cơ sở, áp dụng trọng số cho các giá trị đã gán cho các thước đo cơ sở,
hoặc gán các giá trị định tính cho những giá trị đã gán cho các thước đo cơ sở
trước khi tính tổng của chúng trong một giá trị sẽ được gán cho một thước đo
dẫn xuất. Chức năng đo lường có thể tổ hợp các giá trị đã gán cho các thước đo
cơ sở bằng cách sử dụng các thang đo khác nhau, chẳng hạn như tỷ lệ phần
trăm và các kết quả đánh giá định tính.
Mô hình phân tích tổ hợp các thước đo có liên quan theo cách mà sẽ đem lại
một kết quả đầu ra có ý nghĩa đối với các bên liên quan.
Tiêu chí ra quyết định được áp dụng cho một chỉ số cũng nên được xem xét khi
xác định mô hình phân tích.
Thỉnh thoảng, một mô hình phân tích có thể đơn giản như là việc chuyển đổi
một giá trị đơn lẻ được gán cho một thước đo dẫn xuất thành giá trị sẽ được
gán cho một chỉ số.
Các định dạng trình bày của các chỉ số sẽ thường mô tả một cách trực quan các
thước đo và cung cấp một sự giải thích bằng ngôn ngữ lời nói về các chỉ số.
Các định dạng trình bày các chỉ số nên được tuỳ chỉnh để đáp ứng nhu cầu
thông tin của khách hàng.
Tiêu chí quyết định thiết lập một đích nhắm mục tiêu mà mức độ thành công
(xem 5.3) được đo lường và cung cấp hướng dẫn về việc diễn giải các chỉ số
trong sự liên quan tới mức độ gần gũi của nó với mục tiêu được nhắm đến.
Các mục tiêu nhắm đến nên được thiết lập cho từng mục liên quan đến hiệu
suất của các quy trình và biện pháp kiểm soát ISMS, việc đạt được các mục
tiêu, và tính hiệu quả của ISMS được đánh giá.
Cấp quản lý có thể quyết định không đặt mục tiêu được nhắm đến cho các chỉ
số cho đến khi dữ liệu ban đầu đã được thu thập. Sau khi các hành động khắc
phục dựa trên dữ liệu ban đầu được xác định, các tiêu chí quyết định thích hợp
và các mốc thời gian triển khai có thể được xác định phù hợp với thực tế đối
với một ISMS cụ thể. Nếu không thể thiết lập các tiêu chí quyết định tại thời
điểm đó, thì Ban Giám đốc cần đánh giá xem đối tượng đo lường và các biện
pháp tương ứng có mang lại giá trị mong đợi cho tổ chức hay không.
Việc thiết lập các tiêu chí quyết định có thể được tạo điều kiện thuận lợi nếu
có sẵn dữ liệu lịch sử liên quan đến các biện pháp đã phát triển hoặc đã chọn.
Các xu hướng được quan sát trong quá khứ sẽ cung cấp cái nhìn sâu sắc về
phạm vi hiệu suất đã tồn tại trước đây và hướng dẫn việc tạo ra các tiêu chí
quyết định thực tế. Tiêu chí quyết định có thể được tính toán hoặc dựa trên sự
hiểu biết khái niệm về hành vi mong đợi. Tiêu chí quyết định có thể được rút
ra từ dữ liệu lịch sử, kế hoạch và phương pháp phỏng đoán, hoặc được tính
toán như giới hạn kiểm soát thống kê hoặc giới hạn tin cậy thống kê.
Phụ lục A cung cấp ví dụ một cấu trúc đo lường chung kết hợp chặt chẽ từ a)
đến h). Phụ lục B cung cấp các ví dụ về cấu trúc đo lường được áp dụng để đo
lường các quy trình và biện pháp kiểm soát ISMS.
a) Thu thập dữ liệu, bao gồm lưu trữ và xác minh dữ liệu (xem 8.3). Các
thủ tục nên xác định cách dữ liệu được thu thập như thế nào bằng cách
sử dụng phương pháp đo lường, chức năng đo lường và mô hình phân
tích, cũng như cách thức và nơi chung được lưu trữ cùng nhau với bất kỳ
bối cảnh thông tin cần thiết để hiểu và xác minh dữ liệu. Việc xác minh
dữ liệu có thể được hoàn thành bằng cách kiểm tra dữ liệu so với một
danh sách kiểm tra được cấu trúc để xác nhận rằng dữ liệu bị mất là tối
thiểu, và rằng giá trị được gán cho mỗi thước đo là hợp lệ;
LƯU Ý: Việc xác minh các giá trị được gán cho các thước đo cơ bản liên quan
chặt chẽ với việc xác minh phương pháp đo lường (xem 7.5.3).
b) Phân tích dữ liệu và báo cáo các kết quả đo lường đã phát triển. Các thủ
tục nên chỉ định các kỹ thuật phân tích dữ liệu (xem 9.2), và tần suất,
định dạng và các phương pháp báo cáo các kết quả đo lường. Phạm vi
của các công cụ mà có thể cần đến để hoàn thành phân tích dữ liệu nên
được xác định.
7.8 Triển khai biện pháp đo lường và lập thành tài liệu
Phương pháp đo lường tổng thể nên được lập thành tài liệu trong một kế hoạch
triển khai. Kế hoạch triển khai tối thiểu nên bao gồm những thông tin dưới
đây:
a) Triển khai Chương trình Đo lường Bảo mật Thông tin cho tổ chức;
b) Các đặc tả kỹ thuật của biện pháp đo lường như sau:
1) Cấu trúc đo lường chung của tổ chức;
2) Các cấu trúc đo lường riêng lẻ của tổ chức; và
3) Định nghĩa phạm vi và các thủ tục thu thập và phân tích dữ liệu;
c) Kế hoạch lịch biểu để hoàn thành các hành động đo lường;
d) Các hồ sơ được tạo ra thông qua việc hoàn thành các hành động đo
lường, bao gồm dữ liệu đã thu thập và các hồ sơ phân tích; và
e) Các định dạng báo cáo cho các kết quả đo lường sẽ được báo cáo cho cấp
quản lý/các bên liên quan (xem ISO/IEC 27001:2005 Điều 7 “Sự xem xét
của cấp quản lý”.
1)
ngày, giờ, và vị trí thu thập dữ liệu;
2)
người thu thập thông tin;
3)
chủ sở hữu thông tin;
4)
bất kỳ vấn đề nào đã xảy ra trong quá trình thu thập mà có thể hữu
ích;
5) thông tin cho việc xác minh dữ liệu và xác nhận biện pháp đo
lường; và
c) xác minh dữ liệu đã được thu thập so với tiêu chí lựa chọn thước đo và
tiêu chí xác nhận cấu trúc đo lường.
Dữ liệu đã được thu thập và bất bỳ bối cảnh thông tin cần thiết nào nên được
hợp nhất và lưu trữ dưới định dạng có thể ghi được có lợi cho việc phân tích
dữ liệu.
9.2 Phân tích dữ liệu và phát triển các kết quả đo lường
Dữ liệu đã được thu thập nên được phân tích và diễn giải thành các tiêu chí ra
quyết định. Dữ liệu có thể được tổng kết, chuyển đổi, hoặc tái mã hóa trước
khi phân tích. Trong quá trình này, dữ liệu nên được xử lý để đưa ra các chỉ
số. Một số các kỹ thuật phân tích có thể được áp dụng. Độ sâu của phân tích
nên được xác định bởi bản chất của dữ liệu và nhu cầu thông tin.
LƯU Ý: Hướng dẫn thực hiện phân tích thống kê có thể tìm thấy trong ISO/TR
10017 (Hướng dẫn kỹ thuật thống kê cho ISO 9001).
Kết quả phân tích dữ liệu nên được diễn giải. Người phân tích kết quả (người
truyền thông) phải có khả năng rút ra một số kết luận ban đầu dựa trên kết quả.
Tuy nhiên, vì (những) người truyền thông có thể đã không tham gia trực tiếp
vào các quy trình quản lý và quy trình kỹ thuật, những kết luận ban đầu đó cần
được xem xét bởi các bên liên quan khác. Mọi diễn giải nên tính đến bối cảnh
của các thước đo.
Phân tích dữ liệu nên xác định những khoảng trống giữa kỳ vọng và thực tế của
các kết quả đo lường của một ISMS, các biện pháp kiểm soát hoặc nhóm các
biện pháp kiểm soát đã được triển khai. Những khoảng trống đã được xác định
sẽ chỉ ra các nhu cầu cải thiện ISMS đã được triển khai, bao gồm phạm vi của
nó, các chính sách, mục tiêu, các biện pháp kiểm soát, quy trình và thủ tục.
Những chỉ số minh chứng cho sự không tuân thủ hoặc hiệu suất kém nên đượ
xác định và có thể được phân loại như sau:
a) Kế hoạch xử lý rủi ro thất bại trong triển khai hoặc triển khai, vận hành
và quản lý các biện pháp kiểm soát hoặc quy trình ISMS không đầy đủ
(ví dụ các biện pháp kiểm soát và các quy trình ISMS có thể bị vượt qua
bởi các mối đe dọa);
b) Đánh giá rủi ro thất bại:
1) Các biện pháp kiểm soát hoặc các quy trình ISMS không hiệu quả
bởi vì chung không đầy đủ để chống lại ngay cả các mối đe dọa đã
được ước tính (ví dụ, bởi vì khả năng xảy ra của các mối đe dọa đã
được ước tính quá thấp) hoặc các mối đe dọa mới;
2) Các biện pháp kiểm soát hoặc các quy trình ISMS không được
triển khai, do các mối đe dọa bị bỏ sót.
Các báo cáo được sử dụng để truyền thông về các kết quả đo lường cho các bên
liên quan có liên quan nên được chuẩn bị qua việc sử dụng các định dạng báo
cáo thích hợp (xem 7.7) tương ứng với kế hoạch triển khai Chương trình Đo
lường Bảo mật Thông tin.
Những kết luận của việc phân tích nên được xem xét bởi các bên liên quan có
liên quan để đảm bảo dữ liệu được diễn giải đúng đắn. Các kết quả phân tích
dữ liệu nên được lập thành văn bản để truyền thông đến các bên liên quan.
Các kết quả đo lường nên được truyền đạt cho các bên liên quan khác nhau,
bao gồm nhưng không giới hạn:
- Khách hàng của biện pháp đo lường (xem 7.5.8);
- Các chủ sở hữu của thông tin (xem 7.5.8);
- Cá nhân chịu trách nhiệm quản lý bảo mật thông tin, đặc biệt khi thất bại
trong việc đánh giá rủi ro được phát hiện, và
- Cá nhân chịu trách nhiệm cho những khu vực cần cải thiện đã được xác
định.
Trong một vài trường hợp, tổ chức có thể yêu cầu phân phối các báo cáo về các
kết quả đo lường cho các bên thứ ba bên ngoài, bao gồm các cơ quan quản lý,
các cổ đông, khách hàng, và nhà cung cấp. Chúng tôi khuyến nghị rằng các báo
cáo về kết quả đo lường sẽ được phân phối ra bên ngoài chỉ bao gồm các dữ
liệu phù hợp cho việc phát hành ra bên ngoài và đã được phê duyệt bởi cấp
quản lý và các bên liên quan có liên quan trước khi được phát hành.
10 Đánh giá và cải thiện Chương trình Đo lường Bảo mật Thông
tin
10.1 Tổng quan
Tổ chức nên đánh giá những điều dưới đây tại khoảng thời gian đã định:
a) Tính hiệu quả của Chương trình Đo lường Bảo mật Thông tin đã được
triển khai để đảm bảo rằng nó (Chương trình Đo lường Bảo mật Thông
tin):
1) Đem lại được các kết quả đo lường một cách hiệu quả;
2) Được thực thi như đã định;
3) Giải quyết những thay đổi trong ISMS và/hoặc các biện pháp kiếm
soát đã được triển khai;
4) Giải quyết những thay đổi trong môi trường (ví dụ, các yêu cầu, pháp
luật, hoặc công nghệ); và
b) Tính hữu ích của các kết quả đo lường đã được phát triển để đảm bảo
rằng chúng đáp ứng được các nhu cầu thông tin có liên quan.
Cấp quản lý nên chỉ định tần suất của việc đánh giá nêu trên, lên kế hoạch định
kỳ xem xét và thiết lập cơ chế để khiến cho những xem xét đó có khả năng
(xem điều 7.2 của ISO/IEC 27001:2005).
Những hành động liên quan nên là, như dưới đây:
1) xác định tiêu chí đánh giá cho Chương trình Đo lường Bảo mật Thông
tin (xem 10.2);
2) giám sát, xem xét và đánh giá biện pháp đo lường (xem 10.3); và
3) triển khai các cải thiện (xem 10.4).
10.2 Xác định tiêu chí đánh giá Chương trình Đo lường Bảo mật
Thông tin
Tổ chức nên xác định tiêu chí cho việc đánh giá tính hiệu quả của Chương
trình Đo lường Bảo mật Thông tin cũng như tính hữu ích của các kết quả đo
lường đã được phát triển. Tiêu chí nên được xác định khi bắt đầu triển khai
Chương trình Đo lường Bảo mật Thông tin, có tính đến bối cảnh của các mục
tiêu kỹ thuật và mục tiêu kinh doanh của tổ chức.
Các tiêu chí khả dĩ nhất khi tổ chức nên đánh giá và cải thiện Chương trình Đo
lường Bảo mật Thông tin đã triển khai là:
- Những thay đổi trong mục tiêu kinh doanh của tổ chức;
- Những thay đổi trong pháp luật hoặc yêu cầu quy định và nghĩa vụ hợp
đồng về bảo mật thông tin;
BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)
Chuyển ngữ: Nguyễn Thế Hùng – Email: nguyenthehung.it@gmail.com
ISO 27004:2009 – Công nghệ thông tin – Các kỹ thuật bảo mật - Quản lý bảo mật thông tin - Đo lường
- Những thay đổi trong các yêu cầu của tổ chức về bảo mật thông tin;
- Những thay đổi trong các rủi ro bảo mật thông tin đối với tổ chức;
- Tính sẵn sàng của dữ liệu được cải thiện hơn hoặc phù hợp hơn và các
phương pháp để thu thập dữ liệu cho mục đích đo lường được tăng
cường;
- Những thay đổi đối với đối tượng đo lường và/hoặc các thuộc tính của
nó.
Các tiêu chí dưới đây có thể được áp dụng để đánh giá các kết quả đo lường đã
được phát triển:
a) Các kết quả đo lường là:
1) Dễ hiểu;
2) Được truyền đạt một cách kịp thời; và
3) Khách quan, có thể so sánh được và có thể tái lập được.
b) Các quy trình đã được thiết lập để phát triển các kết quả đo lường là:
1) Được các định rõ ràng;
2) Dễ vận hành; và
3) Được tuân thủ một cách dúng đắn.
c) Các kết quả đo lường có ích trong việc cải thiện bảo mật thông tin;
d) Các kết quả đo lường giải quyết được các nhu cầu thông tin.
10.3 Giám sát, xem xét và đánh giá Chương trình Đo lường Bảo mật
Thông tin
Tổ chức nên giám sát, xem xét và đánh giá Chương trình Đo lường Bảo mật
Thông tin của mình so với các tiêu chí đã được thiết lập (xem 10.2).
Tổ chức nên xác định các nhu cầu tiềm ẩn cho việc cải thiện Chương trình Đo
lường Bảo mật Thông tin, bao gồm:
a) Sửa đổi hoặc loại bỏ các cấu trúc đo lường đã được thông qua mà không
còn phù hợp nữa; và
b) Tái phân bổ tài nguyên để hỗ trợ Chương trình Đo lường Bảo mật Thông
tin.
Tổ chức cũng nên xác định những nhu cầu tiền ẩn về cải thiện ISMS đã được
triển khai, bao gồm phạm vi, các chính sách, mục tiêu, các biện pháp kiểm
soát, các quy trình và thủ tục của nó, và lập thành văn bản các quyết định của
cấp quản lý để cho phép so sánh và phân tích xu hướng trong những lần xem
xét sau đó.
Các kết quả của quá trình đánh giá này và nhu cầu tiềm ẩn về sự cải thiện đã
được xác định nên được truyền đạt cho các bên liên quan để cho phép đưa ra
quyết định liên quan đến các cải thiện cần thiết.
Tổ chức nên đảm bảo rằng thông tin phản hồi được tìm kiếm từ các bên liên
quan về các kết quả của quá trình đánh giá này và về các nhu cầu tiềm ẩn về sự
cải thiện. Tổ chức nên hiểu rằng thông tin phản hồi là một trong những đầu
vào liên quan tới tính hiệu quả của Chương trình Đo lường Bảo mật Thông tin.
Tổ chức nên đảm bảo rằng các cải thiện đã được phê duyệt của Chương trình
Đo lường Bảo mật Thông tin được triển khai như đã hoạch định.
Tổ chức có thể áp dụng các kỹ thuật quản lý dự án để hoàn thành các cải thiện.
Các biện pháp k iểm Các ví dụ cấu Tên của ví dụ cấu trúc đo lường
soát và quy trình trúc đo lường
liên quan (Điều liên quan
khoản trong ISO/IEC (tham khảo
27001:2005 hoặc số trong Phụ lục
kiểm soát trong Phụ này )
lục A)
Điều 4.2.2 h) B.4.1 Tính hiệu quả của Quản lý sự cố bảo mật
thông tin.
Điều 5.2.2 d) B.1.1 Các cá nhân được đào tạo về ISMS.
Điều 8.2 B.4.2 Triển khai các hành động khắc phục.
Kiểm soát A.6.1.8 B.3 Quy trình xem xét ISMS
Kiểm soát A.6.1.1 và B.5 Ca m kết của cấp quản lý.
A.6.1.2
Kiểm soát A.6.2.3 B.10 Bảo mật trong Các thỏa thuận với bên thứ
ba.
Kiểm soát A.8.2 và B.1.2 Đào tạo bảo mật thông tin.
A.8.2.2
Kiểm soát A.8.1.2 B.7 Các kiểm soát truy cập vật lý.
Kiểm soát A.9.2.4 B.9 Quản lý bảo trì định kỳ .
Kiểm soát A.10.4.1 B.6 Bảo vệ chống lại mã độc.
Kiểm soát A.10.10.1 B.8 Xem xét các tập tin nhật ký.
và A.10.10.2
Kiểm soát A.11.3.1 B.2.1 Chất lượng mật khẩu – thủ công.
Kiểm soát A.11.3.1 B.2.2 Chất lượng mật khẩu – tự động.
Các định dạng báo cáo Biểu đồ thanh với các thanh màu được mã hóa dựa trên
tiêu chí quy ết định. Tóm tắt ngắn gọn về ý nghĩa của
thước đo và các hành động khả dĩ của cấp quản lý nên
được đính kèm vào biểu đồ thanh.
Các bên liên quan
Khách hàng của Đo Nhà quản lý chịu trách nhiệm về ISMS.
lường
Người xem xét biện pháp Nhà quản lý chịu trách nhiệm về ISMS.
đo lường
Chủ sở hữu thông tin Nhà quản lý Đào tạo – Nhân sự.
Người thu thập thông tin Quản lý đào tạo – Phòng Nhân sự.
Người truyền đạt thông Nhà quản lý chịu trách nhiệm về ISMS.
tin
Tần suất/Khoảng thời gian
Tần suất thu thập dữ Hàng tháng, vào ngày làm việc đầu tiên của tháng.
liệu
Tần suất phân tích dữ Hàng quý.
liệu
Tần suất báo cáo k ết quả Hàng quý.
đo lường
Điều chỉnh biện pháp đo Xem xét hàng năm.
lường
Khoảng đo lường Hàng năm.
Vàng – chỉ số nên được theo dõi một cách chặt chẽ về
khả năng trượt sang Đỏ.
Xanh – không đòi hỏi hành động nào.
Các kết quả Đo lường
Diễn giải chỉ số Theo chỉ định của tổ chức.
Các định dạng báo cáo Biểu đồ thanh với các thanh màu được mã hóa dựa trên
tiêu chí quy ết định. Tóm tắt ngắn gọn về ý nghĩa của
thước đo và các hành động khả dĩ của cấp quản lý nên
được đính kèm vào biểu đồ thanh.
Các bên liên quan
Khách hàng của Đo Các nhà quản lý chịu trách nhiệm về ISMS. Quản lý bảo
lường mật. Quản lý đào tạo.
Người xem xét biện pháp Nhà quản lý bảo mật.
đo lường
Chủ sở hữu thông tin Chuy ên viên bảo mật thông tin và Nhà quản lý đào tạo.
Người thu thập thông tin Quản lý đào tạo – Phòng Nhân sự.
Người truyền đạt thông Các nhà quản lý chịu trách nhiệm về ISMS.
tin
Tần suất/Khoảng thời gian
Tần suất thu thập dữ Hàng tháng, vào ngày làm việc đầu tiên của tháng.
liệu
Tần suất phân tích dữ Hàng quý.
liệu
Tần suất báo cáo k ết quả Hàng quý.
đo lường
Điều chỉnh biện pháp đo Xem xét hàng năm.
lường
Khoảng đo lường Hàng năm.
B.1.3 Tuân thủ nâng cao nhận thức bảo mật thông tin
X ác định Cấu trúc Đo lường
T ê n cấ u tr úc đo lườ ng Tuân thủ chính sách nâng cao nhận thức bảo mật thông
tin
Sô định danh Theo chỉ định của tổ chức.
Mục đí ch c ủa cấ u trúc đo Đánh giá tình trạng của sự tuân thủ chính sách nâng cao
l ường nhận thức bảo mật thông tin của tổ chức giữa các cá
nhân liên quan.
M ụ c t i ê u k i ểm soá t/ q uy A.8.2 Trong khi tiến hành công việc.
trình Mục tiêu: Đảm bảo rằng mọi nhân viên, nhà thầu và
người sử dụng của bên thứ ba nhận thức được về các
mối đe dọa và mối quan tâm về bảo mật thông tin, trách
nhiệm và nghĩa vụ của họ, và được trang bị để hỗ trợ
chính sách bảo mật của tổ chức trong tiến trình công
việc hàng ngày của họ, và để giảm thiểu rủi ro do lỗi
con người.
K i ểm soá t (1 )/ quy trì nh (1 ) A.8.2.2. Mọi nhân viên của tổ chức và, nếu có thể, các
nhà thầu và người sử dụng của bên thứ ba sẽ nhận được
đào tạo nâng cao nhận thức và thường xuy ên được cập
nhật về các chính sách và thủ tục của tổ chức, có liên
quan đến chức năng công việc của họ.
(Triển khai) Mọi cá nhân liên quan tới ISMS phải nhận
được đào tạo nâng cao nhận thức bảo mật thông tin
trước khi được cấp quy ền truy cập tới một hệ thống
thông tin. Đào tạo bao gồm: ………
K i ểm soá t (2 )/ quy trì nh (2 ) A.8.2.1 Cấp quản lý sẽ y êu cầu nhân viên, nhà thầu và
người sử dụng bên thứ ba ký thỏa thuận người sử dụng
trước khi được cấp quy ền truy cập tới một hệ thống
thông tin.
Đối tượng của Đo lường và các Thuộc tính
Đối tượng của đo lường 1.1 Kế hoạch/lịch biểu đào tạo nâng cao nhận thức bảo
mật thông tin.
1.2 Cá nhân đã hoàn thành hoặc đang được đào tạo.
2.1 Kế hoạch ký các thỏa thuận người dùng/lịch biểu.
2.2 Cá nhân đã ký thỏa thuận.
Thuộc tính 1.1 Cá nhân được xác định trong kế hoạch.
1.2 Tình trạng của các cá nhân liên quan đến đào tạo.
2.1 Cá nhân được xác định trong kế hoạch để ký (thỏa
thuận).
2.2 Tình trạng liên quan đến việc ký thỏa thuận của các
cá nhân.
Đặc tả k ỹ thuật của Thước đo Cơ sở (1)
Thước đo cơ sở Số lượng nhân viên nhận được đào tạo nâng cao nhận
thức bảo mật thông tin hằng năm.
Số lượng nhân viên cần được đào tạo nâng cao nhận
thức bảo mật thông tin hằng năm.
Phương pháp đo lường Đếm nhật ký/bản đăng ký với trường/dòng đào tạo nâng
cao nhận thức bảo mật thông tin được điền giá trị là “Đã
nhận được”.
Kiểu phương pháp đo Khách quan.
lường
Thang đo Số học.
Kiểu thang đo Tỷ lệ.
Đơn vị đo lường Nhân viên.
Đặc tả k ỹ thuật của Thước đo Dẫn xuất
Thước đo dẫn xuất Tỷ lệ phần trăm của các cá nhân đã nhận được đào tạo
BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)
Chuyển ngữ: Nguyễn Thế Hùng – Email: nguyenthehung.it@gmail.com
ISO 27004:2009 – Công nghệ thông tin – Các kỹ thuật bảo mật - Quản lý bảo mật thông tin - Đo lường
nâng cao nhận thức bảo mật thông tin hằng năm.
Chức năng đo lường Số lượng nhân viên đã nhận được đào tạo bảo mật thông
tin hàng năm/Số lượng nhân viên cần nhận được đào tạo
bảo mật thông tin hàng năm * 100
Đặc tả k ỹ thuật của các Chỉ số
Chỉ số Biểu đồ thanh mô tả tính tuân thủ qua vài chu kỳ báo
cáo liên quan tới các ngưỡng (đỏ, vàng, xanh, với mã
nhận dạng màu) được xác định bởi Mô hình phân tích.
Số chu kỳ báo cáo sẽ được sử dụng trong biểu đồ nên
được xác định bởi tổ chức.
Mô hình phân tích 0 – 60%: Đỏ, 60 – 90%: Vàng, 90 – 100%: Xanh. Đối
với Vàng, nếu không đạt được ít nhất tiến độ 10% trên
mỗi quý, thứ hạng sẽ tự động chuy ển sang Đỏ.
Đặc tả k ỹ thuật của Tiêu chí Quyết định
Tiêu chí quyết định Đỏ - sự can thiệp được y êu cầu, sự phân tích mối quan
hệ nhân quả phải được tiến hành để xác định lý do của
sự không tuân thủ và hiệu suất kém.
Vàng – chỉ số nên được theo dõi một cách chặt chẽ về
khả năng trượt sang Đỏ.
Xanh – không đòi hỏi hành động nào.
Các kết quả Đo lường
Diễn giải chỉ số Theo chỉ định của tổ chức.
Các định dạng báo cáo Biểu đồ thanh với các thanh màu được mã hóa dựa trên
tiêu chí quy ết định. Tóm tắt ngắn gọn về ý nghĩa của
thước đo và các hành động khả dĩ của cấp quản lý nên
được đính kèm vào biểu đồ thanh.
Các bên liên quan
Khách hàng của Đo Các nhà quản lý chịu trách nhiệm về ISMS. Quản lý bảo
lường mật. Quản lý đào tạo.
Người xem xét biện pháp Nhà quản lý bảo mật.
đo lường
Chủ sở hữu thông tin Chuy ên viên bảo mật thông tin và Nhà quản lý đào tạo.
Người thu thập thông tin Quản lý đào tạo – Phòng Nhân sự.
Người truyền đạt thông Các nhà quản lý chịu trách nhiệm về ISMS.
tin
Tần suất/Khoảng thời gian
Tần suất thu thập dữ Hàng tháng, vào ngày làm việc đầu tiên của tháng.
liệu
Tần suất phân tích dữ Hàng quý.
liệu
Tần suất báo cáo k ết quả Hàng quý.
đo lường
Điều chỉnh biện pháp đo Xem xét hàng năm.
lường
Khoảng đo lường Hàng năm.
Mô hình phân tích a) Phép chia [Tổng số lượng mật khẩu đã tuân thủ
chính sách chất lượng mật khẩu của tổ chức] cho
[Số lượng mật khẩu đã đăng ký]
b) So sánh với tỷ lệ trước đó.
Đặc tả k ỹ thuật của Tiêu chí Quyết định
Tiêu chí quyết định Mục tiêu kiểm soát là đạt được và không đòi hỏi thê m
hành động nào nếu tỷ lệ kết quả là hơn 0.9. Nếu kết quả
tỷ lệ nằm giữa 0.8 và 0.9 thì mục tiêu kiểm soát không
đạt được nhưng khuy nh hướng tích cực chỉ ra sự cải
thiện. Nếu kết quả tỷ lệ thấp hơn 0.8 hành động tức thì
nên được tiến hành.
Các kết quả Đo lường
Diễn giải chỉ số Diễn giải cho chỉ số a) nên như sau:
Các tiêu chí của tổ chức để tuân thủ với chính
sách mật khẩu của tổ chức được đáp ứng thỏa
đáng ở tỷ lệ lớn hơn 0,9.
Các tiêu chí của tổ chức để tuân thủ với chính
sách mật khẩu tổ chức được đáp ứng không đạt
y êu cầu ở mức [0,8 ≤ tỷ lệ ≤ 0,9].
Các tiêu chí của tổ chức để tuân thủ với chính
sách mật khẩu của tổ chức không được đáp ứng ở
tỷ lệ nhỏ hơn 0,8.
Chủ sở hữu thông tin Các nhà quản lý chịu trách nhiệm về ISMS
Người thu thập thông tin Nhà quản lý Quản lý sự cố.
Người truyền đạt thông Ủy ban Quản lý ISMS.
tin
Tần suất/Khoảng thời gian
Tần suất thu thập dữ Hàng tháng.
liệu
Tần suất phân tích dữ Hàng tháng.
liệu
Tần suất báo cáo k ết quả Hàng tháng.
đo lường
Điều chỉnh biện pháp đo 6 tháng.
lường
Khoảng đo lường Hàng tháng.
nay
2.2 Số lượng các nhà quản lý đã tha m dự các cuộc
họp xem xét của cấp quản lý cho đến nay .
Phương pháp đo lường 1.1 Đế m số cuộc họp xe m xét của cấp quản lý đã được
lập lịch biểu cho đến nay .
1.2 Với mỗi cuộc họp xem xét của cấp quản lý cho đến
nay , đếm số nhà quản lý đã lập kế hoạch tha m dự và
thêm một mục mới với giá trị mặc định cho các cuộc
họp ngoài kế hoạch đã tiến hành theo cách đặc biệt.
2.1.1 Đếm số cuộc họp xem xét của cấp quản lý đã
lên kế hoạch được tiến hành cho đến nay .
2.1.2 Đếm số cuộc họp xem xét của cấp quản lý
ngoài kế hoạch kế hoạch được tiến hành cho
đến nay .
2.1.3 Đếm số cuộc họp xem xét của cấp quản lý đã
được lập lịch biểu lại được tiến hành cho đến
nay .
2.2 Đối với tất cả các cuộc họp xem xét của cấp quản lý
đã được tiến hành, đếm số lượng các nhà quản lý đã
tham dự.
Kiểu phương pháp đo 1.1 Khách quan
lường 1.2 Khách quan hoặc chủ quan
2.1.1 Khách quan
2.1.2 Khách quan
2.1.3 Khách quan
2.2 Khách quan
Thang đo 1.1 số nguy ên từ 0 đến vô cùng
1.2 số nguy ên từ 0 đến vô cùng
2.1.1 số nguy ên từ 0 đến vô cùng
2.1.2 số nguy ên từ 0 đến vô cùng
2.1.3 số nguy ên từ 0 đến vô cùng
2.2 số nguyên từ 0 đến vô cùng
Kiểu thang đo 1.1 Thứ tự
1.2 Thứ tự
2.1.1 Thứ tự
2.1.2 Thứ tự
2.1.3 Thứ tự
2.2 Thứ tự
Đơn vị đo lường 1.1 Cuộc họp
1.2 Cá nhân
2.1.1 Cuộc họp
2.1.2 Cuộc họp
2.1.3 Cuộc họp
2.2 Cá nhân
Đặc tả k ỹ thuật của Thước đo Dẫn xuất
Thước đo dẫn xuất a) Số các cuộc họp xem xét của cấp quản lý được
tiến hành cho đến nay.
b) Tỷ lệ tham gia trong các cuộc họp xem xét của
cấp quản lý đã được tiến hành cho đến nay.
Chức năng đo lường a) Cộng [số các cuộc họp xe m xét của cấp quản lý
đã được lên kế hoạc h cho đến nay ] với [số các
cuộc họp xem xét của cấp quản lý ngoài kế hoạch
cho đến nay ] và [số cuộc họp xem xét của cấp
quản lý được lập lịch biểu lại cho đến nay ].
b) Đối với mỗi cuộc họp xem xét của cấp quản lý,
Chia [số nhà quản lý đã tha m dự vào cuộc họp
xem xét của cấp quản lý] cho [số nhà quản lý đã
BS ISO/IEC 27004:2009 – ISO/IEEC 27004:2009(E)
Chuyển ngữ: Nguyễn Thế Hùng – Email: nguyenthehung.it@gmail.com
ISO 27004:2009 – Công nghệ thông tin – Các kỹ thuật bảo mật - Quản lý bảo mật thông tin - Đo lường
lập lịch biểu tham gia cuộc họp xem xét của cấp
quản lý].
Đặc tả k ỹ thuật của các Chỉ số
Chỉ số a) Những cuộc họp xe m xét của cấp quản lý đã hoàn
thành cho đến nay.
b) Tỷ lệ tham dự trung bình trong các cuộc họp xe m
xét của cấp quản lý cho đến nay .
Mô hình phân tích a) Chia [số cuộc họp xem xét của cấp quản lý đã
hoàn thành] cho [số cuộc họp xe m xét của cấp
quản lý đã được lập lịch biểu].
b) Tính toán giá trị trung bình và lệch pha tiêu
chuẩn của tất cả các tỷ lệ tham gia vào các cuộc
họp xem xét của cấp quản lý.
Đặc tả k ỹ thuật của Tiêu chí Quyết định
Tiêu chí quyết định Tỷ lệ kết quả của chỉ số a) phải nằm rơi vào khoảng từ
0,7 đến 1,1 để kết luận cuối cùng về thành tựu của mục
tiêu kiểm soát và không cần hành động nào. Ngay cả khi
không đạt, nó (chỉ số a)) vẫn nên trên 0.5 để kết luận về
thành tựu ít nhất.
Đối với chỉ số b), các giới hạn độ tự tin đã được tính
toán dựa trên độ lệch tiêu chuẩn cho biết khả năng đạt
được rằng kết quả thực tế gần với tỷ lệ tham gia trung
bình. Giới hạn độ tự tin rất rộng cho thấy khả năng sự
lệch hướng lớn và cần có kế hoạch dự phòng để đối phó
với kết quả này.
Các kết quả Đo lường
Diễn giải chỉ số Diễn giải cho chỉ số a) nên như sau:
Các tiêu chí tổ chức về quản lý bảo mật thông tin
trong tổ chức trong quá trình xem xét kỹ lưỡng
của cấp quản lý đã được đáp ứng một cách thỏa
đáng ở mức 0.7 ≤ tỷ lệ ≤ 1.1.
Các tiêu chí tổ chức không đạt y êu cầu ở mức
[0.5 ≤ tỷ lệ < 0.7 hoặc tỷ lệ > 1.1]. Kết quả này
chỉ ra khả năng thiếu cam kết của cấp quả n lý và
có thể đòi hỏi phải có hành động khắc phục. Các
kết quả đo lường tiếp theo nên được giám sát và
đánh giá để cải thiện.
Các tiêu chí tổ chức không đạt ở mức [0 ≤ tỷ lệ <
0.5]. Kết quả này chỉ ra sự thiếu cam kết của cấp
quản lý và đòi hỏi sự can thiệp ngay lập tức để
triển khai một hành động khắc phục thích hợp.
Quản lý cấp cao nên được thông báo về kết quả.
Tỷ lệ gần với 0 có thể chỉ ra sự thiếu cam kết của
quản lý cấp cao. Nếu các nhà quản lý ISMS
không xe m những xe m xét của cấp quản lý về
ISMS là một mối ưu tiên, họ có thể bị ảnh hưởng
bởi quản lý cấp cao.
Hiệu quả/tác động của các tiêu chí không được đáp ứng
là khả năng thiếu một quy trình xem xét của cấp quản lý
liên tục và hiệu quả.
Nguy ên nhân tiề m ẩn của sự sai lệch trong chỉ số b) có
thể hoạch định không chính xác, sự cam kết không đầy
đủ của các nhà quản lý chịu trách nhiệm về ISMS, xung
đột các ưu tiên và/hoặc công việc quá mức là m ảnh
hưởng tới các nhà quản lý ISMS.
Các định dạng báo cáo Biểu đồ thanh mô tả chỉ số với các tiêu chí qua vài chu
cần thiết.
Các định dạng báo cáo Dòng xu hướng mô tả tỷ lệ về nhận diện và ngă n chặn
phần mềm độc hại với các dòng được đưa ra trong các
chu kỳ báo cáo trước đây .
Các bên liên quan
Khách hàng của Đo Quản lý bảo mật.
lường
Người xem xét biện pháp Quản lý bảo mật.
đo lường
Chủ sở hữu thông tin Quản trị viên hệ thống.
Người thu thập thông tin Quản lý bảo mật, Quản trị viên hệ thống, Quản lý mạng.
Người truyền đạt thông Điều phối viên dịch vụ.
tin
Tần suất/Khoảng thời gian
Tần suất thu thập dữ Hàng ngày .
liệu
Tần suất phân tích dữ Hàng tháng.
liệu
Tần suất báo cáo k ết quả Hàng tháng.
đo lường
Điều chỉnh biện pháp đo Xem xét hàng năm.
lường
Khoảng đo lường Có thể áp dụng 1 năm.
B.10 Bảo mật trong các thỏa thuận với bên thứ ba
X ác định Cấu trúc Đo lường
T ê n cấ u tr úc đo lườ ng Bảo mật trong các thỏa thuận với bên thứ ba.
Sô định danh Theo chỉ định của tổ chức.
Mục đí ch c ủa cấ u trúc đo Đánh giá mức độ mà bảo mật được xác định trong các
l ường thỏa thuận với bên thứ ba trong việc xử lý thông tin cá
nhân.
M ụ c t i ê u k i ểm soá t/ q uy Mục tiêu kiể m soát A.6.2 [27001:2005]. Duy trì bảo mật
trình của thông tin và các phương tiện xử lý thông tin của tổ
chức mà được truy cập, xử lý, truyền tải đến, hoặc quản
lý bởi bên thứ ba.
K i ểm soá t (1 )/ quy trì nh (1 ) Kiểm soát A.6.2.3 [27001:2005]. Các thỏa thuận với bên
thứ ba liên quan tới việc truy cập, xử lý, truy ền thông
hoặc quản lý thông tin hoặc phương tiện xử lý thông tin
của tổ chức, hoặc thêm và o các sản phầm hoặc dịch vụ
vào các phương tiện xử lý thông tin phải bao gồm mọi
yêu cầu bảo mật liên quan.
Đối tượng của Đo lường và các Thuộc tính
Đối tượng của đo lường Các thỏa thuận với bên thứ ba.
Thuộc tính Các điều khoản hoặc y êu cầu bảo mật trong mỗi thỏa
thuận với bên thứ ba.
Đặc tả k ỹ thuật của Thước đo Cơ sở (1)
Thước đo cơ sở Số lượng các thỏa thuận với bên thứ ba.
Phương pháp đo lường Xem xét các thỏa thuận với bên thứ ba, đếm số lượng
các thỏa thuận.
Kiểu phương pháp đo Khách quan.
lường
Thang đo Số nguy ên từ 0 đến vô cùng.
Kiểu thang đo Thứ tự.
Đơn vị đo lường Thỏa thuận với bên thứ ba.
Đặc tả k ỹ thuật của Thước đo Cơ sở (2)
Thước đo cơ sở Số lượng các y êu cầu bảo mật tiêu chuẩn được y êu cầu
đối với các thỏa thuận với bên thứ ba.
Phương pháp đo lường Xác định số lượng các y êu cầu bảo mật phải được xác
định trong mỗi thỏa thuận theo chính sách (bảo mật).
Kiểu phương pháp đo Khách quan.
lường
Thang đo Số nguy ên từ số 0 đến vô cùng.
Kiểu thang đo Thứ tự.
Đơn vị đo lường Yêu cầu.
Đặc tả k ỹ thuật của Thước đo Cơ sở (3)
Thước đo cơ sở Số lượng các y êu cầu bảo mật đã được xác định trong
mỗi thỏa thuận với bên thứ ba.
Phương pháp đo lường Xem xét các thỏa thuận với bên thứ ba, đếm số lượng
các y êu cầu bảo mật đã được xác định trong mỗi thỏa
thuận.
Kiểu phương pháp đo Khách quan.
lường
Thang đo Số nguy ên từ số 0 đến vô cùng.
Kiểu thang đo Thứ tự.
Đơn vị đo lường Yêu cầu.
Đặc tả k ỹ thuật của Thước đo Dẫn xuất
Thước đo dẫn xuất Tỷ lệ phần tră m trung bình của các y êu cầu bảo mật liên
quan được xác định trong các thỏa thuận với bên thứ ba.
Chức năng đo lường Tổng của (với mỗi thỏa thuận (số lượng các y êu cầu bắt