ISO 27003-2010-Vi

ISO 27003:2010 – Công nghệ thông tin – Các kỹ thuật bảo mật -Hướng dẫn triển khai hệ thống
quản lý bảo mất thông tin
BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Chuyển ngữ: Nguyễn Thế Hùng – Email: nguyenthehung.it@gmail.com
ISO 27003:2010 – Công nghệ thông tin – Các kỹ thuật bảo mật -Hướng dẫn triển khai hệ thống quản lý bảo mất thông tin
Lời tựa quốc gia

Tiêu chuẩn này của Anh là triển khai ISO/IEC 27003:2010 của Vương quốc
Anh.
Sự tham gia của Vương quốc Anh trong quá trình chuẩn bị được giao phó cho
Tiểu ban kỹ thuật IST/33, CNTT – Các kỹ thuật bảo mật.
Danh sách các tổ chức đại diện trong Tiểu ban này có thể có được bằng cách
gửi yêu cầu đến thư ký của Tiểu ban.
Ấn phẩm này không có ngụ ý bao gồm mọi điều khoản cần thiết của một hợp
đồng. Người sử dụng (tiêu chuẩn) chịu trách nhiệm cho việc áp dụng nó chính
xác.
Tuân thủ với Tiêu chuẩn Anh không thể mang lại quyền miễn trừ các nghĩa
vụ pháp lý.
Tiêu chuẩn Anh này được công bố dưới sự ủy quyền của Tiểu ban Chính sách
và Chiến lược các Tiêu chuẩn vào ngày 28 tháng Hai năm 2010.
Bản sửa đổi/lỗi chính tả được ban hành kể từ khi xuất bản.
Ngày Bình luận

Tuyên bố từ chối trách nhiệm (với định dạng) PDF

Tập tin PDF này có thể bao gồm các kiểu chữ đã được nhúng. Theo chính sách
cấp phép của Adobe, tập tin này có thể được in ra hoặc được xem nhưng không
được phép sửa đổi trừ khi các kiểu chữ đã được nhúng được cấp phép để cài
đặt vào máy tính đang thực hiện việc sửa đổi. Đối với việc tải về tập tin này,
các bên phải chấp nhận trong đó trách nhiệm không vi phạm chính sách cấp
phép của Adobe. Tiểu ban thư ký trung tâm của ISO không chịu nghĩa vụ pháp
lý cho lĩnh vực này.
Adobe là nhãn hiệu thương mại của Adobe Systems Incorporate.
Các chi tiết về các sản phẩm phần mềm được sử dụng để soạn thảo tập tin PDF
này có thể được tìm thấy trong phần Thông tin chung liên quan đến tập tin
này; các tham số tạo ra tập tin PDF đã được tối ưu hóa cho mục đích in ấn.
Mọi sự cẩn trọng đã được đưa ra để đảm bảo rằng tập tin này là thích hợp để
sử dụng bởi các thành viên của ISO. Trong những sự kiện không chắc chắn có
vấn đề gì liên quan tới nó, vui lòng thông báo cho Tiểu ban thư ký trung tâm
theo địa chỉ dưới đây.
TÀI LIỆU ĐÃ ĐƯỢC BẢO VỆ BẢN QUYỀN

© ISO/IEC 2010
Đã được đăng ký bản quyền. Trừ khi có quy định khác, không một phần nào
của tài liệu này có thể được sao chép hoặc sử dụng dưới mọi hình thức hoặc
bất kỳ phương tiện nào, điện tử hoặc cơ học, kể cả photocopy và vi phim, mà
không có sự cho phép bằng văn bản của ISO theo địa chỉ dưới đây hoặc các cơ
quan thành viên của ISO tại quốc gia của người yêu cầu.
Văn phòng bản quyền ISO
Case postale 56 : CH-1211 Geneva 20
Điện thoại : +41 22 749 01 11
Fax : +41 22 749 09 47
Email : copyright@iso.org
Web : www.iso.org

Công bố tại Thụy Sỹ.
TIÊU CHUẨN ISO 27003:2010(E)

Table of Contents
Lời tựa ........................................................................................................................................ 6
Giới thiệu .................................................................................................................................. 7
1 Phạm vi ................................................................................................................................... 8
2 Quy phạm tham chiếu ......................................................................................................... 9
3 Các thuật ngữ và định nghĩa ............................................................................................ 9
3.1 Dự án ISMS ................................................................................................................... 9
4 Cấu trúc của Tiêu chuẩn Quốc tế này ........................................................................... 9
4.1 Cấu trúc chung của các điều khoản ........................................................................ 9
4.2 Cấu trúc chung của một điều khoản ..................................................................... 10
4.3 Các biểu đồ .................................................................................................................. 11
5 Có được phê duyệt của cấp quản lý cho sự khởi đầu một dự án ISMS ............. 13
5.1 Tổng quan về việc có được phê duyệt của cấp quản lý cho sự khởi đầu
một dự án ISMS ................................................................................................................. 13
5.2 Làm rõ các ưu tiên của tổ chức để phát triển một ISMS .............................. 14
5.3 Xác định phạm vi sơ bộ của ISMS ....................................................................... 17
5.4 Xây dựng đề án kinh doanh và kế hoạch dự án để cấp quản lý phê duyệt
................................................................................................................................................ 19
6 Xác định phạm vi, các ranh giới và chính sách ISMS ........................................... 21
6.1 Tổng quan về xác định phạm vi, ranh giới và chính sách ISMS ................. 21
6.2 Xác định phạm vi và ranh giới của tổ chức ....................................................... 24
6.3 Xác định phạm vi và ranh giới của công nghệ truyền thông thông tin
(ICT) ..................................................................................................................................... 25
6.4 Xác định phạm vi và ranh giới vật lý .................................................................. 27
6.5 Tích hợp các phạm vi và ranh giới để có được phạm vi và ranh giới của
ISMS ..................................................................................................................................... 28
6.6 Phát triển chính sách ISMS và có được phê duyệt từ cấp quản lý ............. 28
7 Tiến hành phân tích các yêu cầu bảo mật thông tin ............................................... 29
7.1 Tổng quan về phân tích các yêu cầu bảo mật thông tin ................................. 29
7.2 Xác định các yêu cầu bảo mật thông tin đối với quy trình ISMS ............... 30
7.3 Xác định các tài sản trong phạm vi ISMS .......................................................... 32
7.4 Tiến hành đánh giá bảo mật thông tin ................................................................. 33
8 Tiến hành đánh giá rủi ro và hoạch định xử lý rủi ro ............................................ 35

8.1 Tổng quan về việc tiến hành đánh giá rủi ro và hoạch định xử lý rủi ro . 35
8.2 Tiến hành đánh giá rủi ro ........................................................................................ 36
8.3 Lựa chọn các mục tiêu kiểm soát và các biện pháp kiểm soát .................... 38
8.4 Có được sự phê duyệt của cấp quản lý cho triển khai và vận hành ISMS 39
9 Thiết kế ISMS .................................................................................................................... 40
9.1 Tổng quan về thiết kế ISMS ................................................................................... 40
9.2 Thiết kế bảo mật thông tin tổ chức ...................................................................... 43
9.3 Thiết kế bảo mật thông tin vật lý và ICT ........................................................... 50
9.4 Thiết kế bảo mật thông tin ISMS cụ thể ............................................................. 52
9.5 Tiến hành kế hoạch dự án ISMS cuối cùng ....................................................... 56
Phụ lục A (cung cấp thông tin) ......................................................................................... 58
Mô tả danh mục kiểm tra .................................................................................................... 58
Phụ lục B (cung cấp thông tin) ......................................................................................... 63
Vai trò và trách nhiệm bảo mật thông tin ...................................................................... 63
Phụ lục C (cung cấp thông tin) ......................................................................................... 68
Thông tin về kiểm toán nội bộ .......................................................................................... 68
Phụ lục D (cung cấp thông tin) ......................................................................................... 70
Cấu trúc của các chính sách .............................................................................................. 70
Phụ lục E (cung cấp thông tin) ......................................................................................... 75
Giám sát và đo lường ........................................................................................................... 75
Nguồn tham khảo .................................................................................................................. 82

Lời tựa
ISO (Tổ chức Tiêu chuẩn hóa Quốc tế) và IEC (Ủy ban Kỹ thuật điện Quốc tế)
hình thành nên hệ thống đặc biệt cho việc tiêu chuẩn hóa trên toàn cầu. Các
quốc gia thành viên của ISO hoặc IEC tham gia vào việc phát triển các Tiêu
chuẩn Quốc tế thông qua các tiểu ban kỹ thuật được thiết lập bởi tổ chức tương
ứng để xử lý các lĩnh vực hoạt động kỹ thuật cụ thể. Các tiểu ban kỹ thuật ISO
và IEC cộng tác trong các lĩnh vực mà cả hai bên cùng quan tâm. Các tổ chức
quốc tế khác, chính phủ và phi chính phủ, có mối liên hệ với ISO và IEC cũng
tham gia vào công việc này. Trong lĩnh vực công nghệ thông tin, ISO và IEC
đã thành lập một tiểu ban kỹ thuật chung, ISO/IEC JTC 1.
Các Tiêu chuẩn Quốc tế được soạn thảo tương xứng với các quy tắc được đưa
ra trong Các Định hướng ISO/IEC, Phần 2.
Nhiệm vụ chính của tiểu ban kỹ thuật chung là chuẩn bị các Tiêu chuẩn Quốc
tế. Bản phác thảo các Tiêu chuẩn Quốc tế được thông qua bởi tiểu ban kỹ
thuật chung sẽ được gửi đến các quốc gia thành viên để bỏ phiếu. Việc công bố
một Tiêu chuẩn Quốc tế đòi hỏi sự phê duyệt của ít nhất 75% số quốc gia tham
gia bỏ phiếu.
ISO/IEC 27003 đã được chuẩn bị bởi Tiểu ban Kỹ thuật chung ISO/IEC JTC 1,
Công nghệ thông tin , Tiểu ban 27, Các kỹ thuật bảo mật công nghệ thông tin.

Giới thiệu
Mục đích của Tiêu chuẩn Quốc tế này là để cung cấp hướng dẫn thực hành cho
việc phát triển kế hoạch triển khai một Hệ thống Quản lý Bảo mật Thông tin
(Information Security Management System – ISMS) trong một tổ chức tương
ứng với ISO/IEC 27001:2005. Việc triển khai một ISMS trên thực tế thường
được thực hiện như là một dự án.
Quy trình được mô tả trong Tiêu chuẩn Quốc tế này đã được thiết kế để cung
cấp sự hỗ trợ trong việc triển khai ISO/IEC 27001:2005; (bao gồm các phần
liên quan từ Điều 4, 5 và 7); và tài liệu:
a) sự chuẩn bị cho việc bắt đầu kế hoạch triển khai ISMS trong một tổ
chức, xác định cấu trúc tổ chức cho dự án, và đạt được phê duyệt của
cấp quản lý;
b) các hành động quan trọng cho dự án ISMS và,
c) các ví dụ để đạt được các yêu cầu trong ISO/IEC 27001:2005.
Bằng cách sử dụng Tiêu chuẩn Quốc tế này, tổ chức có khả năng phát triển một
quy trình quản lý bảo mật thông tin, đem lại sự đảm bảo cho các bên liên quan
rằng các tài sản thông tin đã được duy trì liên tục trong một ranh giới bảo mật
thông tin có thể chấp nhận được như đã được định nghĩa bởi tổ chức.
Tiêu chuẩn Quốc tế này không bao gồm các hoạt động vận hành và các hoạt
động ISMS khác, nhưng lại bao gồm các khái niệm về cách làm thể nào để
thiết kế các hành động dẫn đến kết quả sau khi ISMS bắt đầu vận hành. Khái
niệm này dẫn đến kế hoạch triển khai ISMS cuối cùng. Việc thực thi trong thực
tế của phần cụ thể của tổ chức trong dự án ISMS nằm ngoài phạm vi của Tiêu
chuẩn Quốc tế này.
Việc triển khai dự án ISMS nên được tiến hành bằng cách sử dụng phương
pháp luận quản lý dự án tiêu chuẩn (để có thêm thông tin, vui lòng tham khảo
Các tiêu chuẩn ISO và ISO/IEC đề cập đến quản lý dự án.

1 Phạm vi
Tiêu chuẩn Quốc tế này tập trung vào các yếu tố quan trọng cần thiết cho việc
thiết kế và triển khai thành công một Hệ thống Quản lý Bảo mật Thông tin
(ISMS) tương ứng với ISO/IEC 27001:2005. Nó (tiêu chuẩn này) mô tả quy
trình đặc tả và thiết kế ISMS từ khi khởi đầu đến khi đưa vào vận hành các kế
hoạch triển khai. Tiêu chuẩn này cũng mô tả quy trình để đạt được sự phê
duyệt của cấp quản lý để triển khai ISMS, xác định dự án triển khai ISMS
(được đề cập trong Tiêu chuẩn Quốc tế này như là dự án ISMS), và cung cấp
hướng dẫn về cách làm thế nào lên kế hoạch dự án ISMS, dẫn đến kết quả cuối
cùng là kế hoạch triển khai dự án ISMS.
Tiêu chuẩn Quốc tế này được dự định sẽ được sử dụng bởi tổ chức đang triển
khai một ISMS. Nó (tiêu chuẩn này) có thể được áp dụng cho mọi hình thức tổ
chức (ví dụ, công ty thương mại, cơ quan chính phủ, các tổ chức phi lợi nhuận)
với mọi quy mô. Độ phức tạp và các rủi ro của mỗi tổ chức là độc đáo, và các
yêu cầu cụ thể của nó sẽ định hướng cho việc triển khai ISMS. Các tổ chức nhỏ
hơn sẽ nhận thấy rằng những hành động được lưu ý trong Tiêu chuẩn Quốc tế
này là có thể áp dụng được cho họ và có thể được đơn giản hóa. Các tổ chức
có phạm vi lớn hơn hoặc phức tạp hơn có thể nhận thấy rằng một tổ chức được
phân tầng hoặc một hệ thống quản lý là cần thiết để quản lý các hoạt động
trong Tiêu chuẩn Quốc tế này một cách hiệu quả. Tuy nhiên, trong cả hai
trường hợp, những hành động liên quan có thể được hoạch định bằng cách áp
dụng Tiêu chuẩn Quốc tế này.
Tiêu chuẩn Quốc tế này đưa ra những khuyến nghị và giải thích; nó không chỉ
định bất kỳ yêu cầu nào. Tiêu chuẩn Quốc tế này được dự định sẽ được sử
dụng trong mối liên kết với ISO/IEC 27001:2005 và ISO/IEC 27002:2005,
nhưng không được dự định để điều chỉnh và/hoặc làm giảm các yêu cầu được
chỉ định trong ISO/IEC 27001:2005 hoặc các khuyến nghị được đưa ra trong
ISO/IEC 27002:2005. Khẳng định tuân thủ Tiêu chuẩn Quốc tế này là không
tương xứng.

2 Quy phạm tham chiếu

Những tài liệu tham chiếu dưới đây là không thể thiếu trong việc áp dụng Tiêu
chuẩn Quốc tế này. Đối với các tham chiếu đã lỗi thời, chỉ có phiên bản được
trích dẫn mới được áp dụng. Đối với các tham chiếu chưa lỗi thời, phiên bản
sau cùng của tài liệu tham chiếu (bao gồm bất kỳ sửa đổi nào) được áp dụng.
ISO/IEC 27000:2009, Công nghệ thông tin – Kỹ thuật bảo mật – Các hệ
thống quản lý bảo mật thông tin – Tổng quan và từ vựng.
ISO/IEC 27001:2005, Công nghệ thông tin – Kỹ thuật bảo mật – Các hệ
thống quản lý bảo mật thông tin – Các yêu cầu.
3 Các thuật ngữ và định nghĩa

Vì mục đích của tài liệu này, những thuật ngũ và định nghĩa trong ISO/IEC
27000:2009, ISO/IEC 27001:2005 và những điều sau đây được áp dụng
3.1 Dự án ISMS
các hoạt động có cấu trúc được thực hiện bởi một tổ chức để triển khai một
ISMS.
4 Cấu trúc của Tiêu chuẩn Quốc tế này

4.1 Cấu trúc chung của các điều khoản
Việc triển khai một ISMS là một hành động quan trọng và thường được thực
hiện như một dự án trong một tổ chức. Tài liệu này giải thích việc triển khai
ISMS bằng cách tập trung vào khởi đầu, hoạch định, và định nghĩa dự án. Quy
trình hoạch định triển khai ISMS cuối cùng bao gồm năm giai đoạn và mỗi giai
đoạn được trình bày bằng một điều khoản riêng biệt. Mọi điều khoản có cấu
trúc tương tự nhau, như được mô tả dưới đây. Năm giai đoạn đó là:
a) Đạt được sự phê duyệt của cấp quản lý cho việc khởi đầu một dự án
ISMS (Điều 5);
b) Xác định phạm vi của ISMS và Chính sách ISMS (Điều 6);
c) Tiến hành Phân tích Tổ chức (Điều 7);
d) Tiến hành Đánh giá Rủi ro và hoạch định Xử lý Rủi ro (Điều 8);
e) Thiết kế ISMS (Điều 9).
Hình 1 minh họa cho năm giai đoạn trong việc hoạch định dự án ISMS đề cập
đến các tiêu chuẩn ISO/IEC và các tài liệu đầu ra chính.

Hình 1: Các giai đoạn của dự án ISMS

Những thông tin bổ sung được chú giải trong các phụ lục. Các phụ lục này là:
Phụ lục A. Tóm lược các hành động với tham chiếu theo ISO/IEC
27001 :2005.
Phụ lục B. Vai trò và trách nhiệm bảo mật thông tin.
Phụ lục C. Thông tin về hoạch định các cuộc kiểm toán nội bộ.
Phụ lục D. Cấu trúc của các chính sách.
Phụ lục E. Thông tin về việc hoạch định giám sát và đo lường.
4.2 Cấu trúc chung của một điều khoản

Mỗi điều khoản bao gồm :
a) một hoặc nhiều mục tiêu tuyên bố về những gì cần phải đạt được được
chú giải trong phần đầu của mỗi điều khoản trong một khung văn bản
(text box) và
b) một hoặc nhiều hành động cần thiết để đạt được mục tiêu hoặc các mục
tiêu của giai đoạn.
Mỗi hành động được mô tả trong một điều khoản con.
Mô tả hành động trong mỗi điều khoản con được cấu trúc như sau :
Hành động
Hành động xác định những gì cần thiết để đáp ứng hành động này nhằm đạt
được toàn bộ hoặc từng phần của các mục tiêu giai đoạn.
Đầu vào
Đầu vào mô tả điểm bắt đầu, chẳng hạn như sự tồn tại của các quyết định được
lập thành văn bản hoặc đầu ra từ các hành động khác được mô tả trong Tiêu
chuẩn Quốc tế này. Các đầu vào có thể được tham chiếu như là một đầu ra
hoàn chỉnh từ một hành động chỉ tuyên bố một mệnh đề liên quan hoặc thông
tin cụ thể từ một hành động mà có thể được thêm sau mệnh đề tham chiếu.

Hướng dẫn
Hướng dẫn cung cấp thông tin chi tiết cho phép hoàn thành hành động này. Vài
hướng dẫn có thể không phù hợp trong mọi trường hợp và những cách khác để
đạt được kết quả có lẽ phù hợp hơn.
Đầu ra
Đẩu ra mô tả (các) kết quả hoặc (các sản phẩm) chuyển giao, tùy thuộc vào sự
hoàn tất của hành động, ví dụ : một tài liệu. Các đầu ra là tương tự nhau, độc
lập với quy mô tổ chức hoặc phạm vi của ISMS.
Thông tin khác

Thông tin khác cung cấp bất kỳ thông tin bổ sung nào mà có thể hỗ trợ cho
việc hoàn tất hành động, ví dụ như các tham chiếu tới các tiêu chuẩn khác.
LƯU Ý : Các giai đoạn và hoạt động được mô tả trong tài liệu này bao gồm
một chuỗi trình tự được đề xuất về việc thực hiện các hoạt động dựa trên các
yếu tố phụ thuộc được xác định thông qua các mô tả “Đầu vào” và “Đầu ra”
của mỗi hoạt động. Tuy nhiên, tùy thuộc vào nhiều yếu tố khác nhau (ví dụ:
tính hiệu quả của hệ thống quản lý hiện có, sự hiểu biết về tầm quan trọng của
bảo mật thông tin, lý do triển khai ISMS), một tổ chức có thể lựa chọn bất kỳ
hoạt động nào theo trình tự cần thiết để chuẩn bị cho việc thiết lập và triển
khai ISMS.
4.3 Các biểu đồ

Một dự án thường được minh họa bằng hình thức đồ họa hoặc biểu đồ cho thấy
tồng quan về các hành động và các đầu ra.
Hình 2 minh họa chú giải về các biểu đồ minh họa cho một cái nhìn tổng quan
về các mệnh đề con của mỗi giai đoạn. Các biểu đồ này cung cấp một cái nhìn
tổng quan cấp cao về các hành động được bao gồm trong mỗi giai đoạn.

Hình 2 : Chú giải về biểu đồ luồng.

Hình vuông bên trên minh họa cho giai đoạn hoạch định của một dự án ISMS.
Giai đoạn này được giải thích trong các mệnh đề cụ thể mà sau đó được nhấn
mạnh bằng các tài liệu đầu ra chủ yếu của nó.
Biểu đồ ở dưới (các hành động của giai đoạn) bao gồm các hành động chính
được bao gồm trong giai đoạn được nhấn mạnh trong hình ở bên trên, và các
tài liệu đầu ra chính của mỗi hành động.

Mốc thời gian trong hình bên dưới được căn cứ vào mốc thời gian của hình bên
trên.
Hành động A và Hành động B có thể được thực thi cùng một lúc. Hành động C
nên được bắt đầu sau khi Hành động A và B đã kết thúc.
5 Có được phê duyệt của cấp quản lý cho sự khởi đầu một dự án
ISMS
5.1 Tổng quan về việc có được phê duyệt của cấp quản lý cho sự khởi
đầu một dự án ISMS
Có vài yếu tố cần phải được xem xét khi quyết định triển khai một ISMS. Để
giải quyết các yếu tố đó, cấp quản lý nên hiểu về đề án kinh doanh của một dự
án triển khai ISMS và phê duyệt nó. Do đó, mục tiêu của giai đoạn này là :
Mục tiêu:
Có được sự phê duyệt của cấp quản lý để bắt đầu dự án ISMS bằng cách định
nghĩa một đề án kinh doanh và kế hoạch dự án.
Để có được sự phê duyệt của cấp quản lý, một tổ chức nên xây dựng một đề án
kinh doanh để bao gồm các ưu tiên và các mục tiêu để triển khai một ISMS
thêm vào đó là cấu trúc của tổ chức đối với ISMS. Kế hoạch khởi đầu dự án
ISMS cũng nên được tạo ra.
Công việc đã hoàn thành trong giai đoạn này sẽ cho phép tổ chức hiểu về sự
thích đáng của một ISMS, và làm rõ các vai trò và trách nhiệm bảo mật thông
tin trong tổ chức, vốn cần thiết cho một dự án ISMS.
Kết quả được kỳ vọng của giai đoạn này sẽ là dẫn nhập cho sự phê duyệt của
cấp quản lý cho, và cam kết để triển khai, một ISMS và hoàn thành các hành
động được mô tả trong Tiêu chuẩn Quốc tế này. Các kết quả có thể được
chuyển giao từ điều khoản này bao gồm một đề án kinh doanh và một bản phác
thảo của kế hoạch dự án ISMS với các mốc thời gian quan trọng.
Hình 3 minh họa quy trình có được sự phê duyệt để khởi đầu dự án ISMS.
LƯU Ý : Đầu ra từ Điều 5 (Cam kết của cấp quản lý được lập thành văn bản để
lên kế hoạch và triển khai một ISMS) và một trong các đầu ra của Điều 7 (Tài
liệu tổng hợp về tình trạng bảo mật thông tin) không phải là yêu cầu của
ISO/IEC 27001 :2005. Tuy nhiên, các đầu ra từ những hành động này là đầu
vào được khuyến cáo đối với các hành động khác được mô tả trong tài liệu
này.

Hình 3 : Tổng quan về việc có được sự phê duyệt của cấp quản lý cho sự khởi
đầu một dự án ISMS.
5.2 Làm rõ các ưu tiên của tổ chức để phát triển một ISMS
Hành động
Các mục tiêu triển khai một ISMS nên được bao gồm bằng cách xem xét các
ưu tiên và các yêu cầu bảo mật thông tin của tổ chức.
Đầu vào
a) các mục tiêu chiến lược của tổ chức ;
b) tổng quan về các hệ thống quản lý hiện hữu ;
c) một danh sách các luật lệ, quy định và yêu cầu bảo mật thông tin hợp
đồng có thể áp dụng cho tổ chức.
Hướng dẫn
Để bắt đầu một dự án ISMS, nói chung, phê duyệt của cấp quản lý là cần thiết.
Do đó, hành động đầu tiên nên được thực hiện chính là thu thập những thông
tin có liên quan để minh họa cho giá trị của một ISMS đối với tổ chức. Tổ
chức nên làm rõ tại sao ISMS lại cần thiết và quyết định các mục tiêu của việc
triển khai ISMS và khởi đầu Dự án ISMS.
Các mục tiêu của việc triển khai một ISMS có thể được xác định bằng cách trả
lời những câu hỏi sau đây :
a) đánh giá rủi ro – Một ISMS sẽ quản trị rủi ro bảo mật thông tin tốt hơn
như thế nào ?
b) hiệu quả - Một ISMS cải thiện quản trị bảo mật thông tin như thế nào ?
c) lợi thế kinh doanh – Làm thế nào mà một ISMS có thể tạo ra lợi thế cạnh
tranh cho tổ chức ?
Để trả lời những câu hỏi trên, các yêu cầu và ưu tiên bảo mật thông tin của tổ
chức được giải quyết bằng các yếu tố khả dĩ sau đây :
a) các lĩnh vực kinh doanh và tổ chức quan trọng :
1) Những lĩnh vực kinh doanh và tổ chức quan trọng là gì ?
2) Những lĩnh vực nào của tổ chức cung cấp việc kinh doanh và với
trọng tâm nào ?
3) Những mối quan hệ và thỏa thuận với bên thứ ba là gì ?
4) Có bất kỳ dịch vụ nào được thuê ngoài không ?
b) thông tin quan trọng hoặc nhạy cảm :
1) thông tin nào là quan trọng đối với tổ chức ?
2) những hậu quả có thể là gì nếu thông tin nhất định bị tiết lộ cho
bên thứ ba trái phép (ví dụ, mất lợi thế cạnh tranh, thiệt hại đối
với thương hiệu hoặc danh tiếng, các hành động pháp lý, v.v…) ?
c) các luật lệ bắt buộc các biện pháp bảo mật thông tin :
1) những luật lệ nào liên quan đến xử lý rủi ro hoặc bảo mật thông
tin áp dụng cho tổ chức ?
2) tổ chức có phải là một phần của một tổ chức công cộng toàn cầu
được yêu cầu phải có báo cáo tài chính bên ngoài không ?
d) các thỏa thuận
1) các yêu cầu lưu trữ (bao gồm cả khoảng thời gian lưu giữ) cho
việc lưu trữ dữ liệu là gì ?
2) có bất kỳ yêu cầu hợp đồng nào liên quan đến quyền riêng tư hoặc
chất lượng (ví dụ, SLA – thỏa thuận mức dịch vụ) ?
e) các yêu cầu của ngành chỉ định các biện pháp hoặc kiểm soát bảo mật
thông tin đặc biệt :
1) các yêu cầu trong lĩnh vực chỉ định áp dụng cho tổ chức là gì ?

f) nguy cơ môi trường :

1) kiểu bảo vệ nào là cần thiết, và chống lại những mối đe dọa nào ?
2) những thể loại riêng biệt của thông tin đòi hỏi phải được bảo vệ là
gì ?
3) những kiểu riêng biệt của các hoạt động thông tin cần được bảo vệ
là gì ?
g) các định hướng cạnh tranh :
1) các yêu cầu tối thiểu trên thị trường đối với bảo mật thông tin là
gì ?
2) các kiểm soát bảo mật thông tin bổ sung nào nên mang lại lợi thế
cạnh tranh cho tổ chức ?
h) các yêu cầu liên tục kinh doanh :
1) các quy trình nghiệp vụ quan trọng là gì ?
2) tổ chức có thể chịu được sự gián đoạn đối với mỗi quy trình
nghiệp vụ quan trọng trong bao lâu ?
Phạm vi sơ bộ ISMS có thể được xác định bởi phản ứng lại các thông tin nói
trên. Điều này cũng cần thiết để xây dựng một đề án kinh doanh và kế hoạch
tổng thể dự án ISMS để cấp quản lý phê duyệt. Phạm vi ISMS chi tiết sẽ được
xác định trong suốt dự án ISMS.
Các yêu cầu được lưu ý trong ISO/IEC 27001 :2005 tham chiếu 4.2.1.a) phác
thảo phạm vi về mạt đặc điểm của việc kinh doanh, tổ chức, vị trí của họv các
tài sản và công nghệ. Thông tin kết quả từ các câu hỏi trên hỗ trợ cho việc xác
định.
Vài chủ đề nên được xem xét khi đưa ra quyết định khởi đầu liên quan đến
phạm vi bao gồm :
a) các nhiệm vụ quản lý bảo mật thông tin được thiết lập bởi cấp quản lý
của tổ chức và các nghĩa vụ bên ngoài đối với tổ chức là gì ?
b) có phải các hệ thống trong-phạm vi được đề xuất được chịu trách nhiệm
bởi nhiều hơn một nhóm quản lý (ví dụ : những người trong các công ty
con hoặc các bộ phận khác nhau) không ?
c) các tài liệu liên quan tới ISMS sẽ được truyền đạt trong toàn bộ tổ
chức ? (ví dụ, bằng văn bản hoặc qua mạng nội bộ công ty).
d) các hệ thống hiện tại có thể hỗ trợ các nhu cầu của tổ chức không ? Nó
có được vận hành hoàn toàn, bảo trì tốt, và hoạt động đúng chức năng
đã định không ?
Các ví dụ về mục tiêu quản lý có thể được sử dụng như là đầu vào của phạm
vi sơ bộ ISMS bao gồm :
a) tạo điều kiện cho liên tục kinh doanh và khôi phục sau thảm họa ;
b) cải thiện khả năng phục hồi sau sự cố ;
c) tập trung vào tuân thủ/các nghĩa vụ pháp lý/hợp đồng ;
d) có thể đạt được chứng nhận đối với các tiêu chuẩn ISO/IEC ;
e) có thể phát triển và định vị tổ chức ;
f) giảm chi phí của các kiểm soát bảo mật ;
g) bảo vệ các tài sản của giá trị chiến lược ;
h) thiết lập một môi trường kiểm soát nội bộ khỏe mạnh và hiệu quả ;

i) cung cấp sự đảm bảo với các bên liên quan rằng tài sản thông tin được
bảo vệ một cách đúng đắn.
Đầu ra
Các sản phẩm có thể chuyển giao của hành động này là :
a) một tài liệu tổng hợp các mục tiêu, các ưu tiên bảo mật thông tin, và các
yêu cầu của tổ chức đối với ISMS ;
b) một danh sách các quy định, hợp đồng, và các yêu cầu của ngành liên
quan đến bảo mật thông tin của tổ chức ;
c) các đặc trưng được phác thảo của việc kinh doanh, của tổ chức, vị trí
của nó, tài sản, và công nghệ.
Thông tin khác

ISO/IEC 9001:2008, ISO/IEC 14001:2004, ISO/IEC 20000-1:2005.
5.3 Xác định phạm vi sơ bộ của ISMS

5.3.1 Phát triển phạm vi sơ bộ của ISMS
Hành động
Các mục tiêu triển khai ISMS nên bao gồm định nghĩa phạm vi sơ bộ của
ISMS, vốn cần thiết cho dự án ISMS.
Đầu vào
Đầu ra từ Hành động 5.2 Làm rõ các ưu tiên của tổ chức để phát triển một
ISMS.
Hướng dẫn
Để thực thi một kế hoạch triển khai ISMS, cấu trúc của tổ chức cho ISMS nên
được xác định. Phạm vi sơ bộ của ISMS nên được xác định bây giờ để cung
cấp cho cấp quản lý cùng với hướng dẫn các quyết định triển khai, và để hỗ trợ
các hành động sau này.
Phạm vi sơ bộ của ISMS là cần thiết để xây dựng đề án kinh doanh và kế hoạch
dự án được đề xuất cho sự phê duyệt của cấp quản lý.
Đầu ra từ giai đoạn này sẽ được lập thành văn bản xác định phạm vi sơ bộ của
ISMS, bao gồm :
a) một bản tóm lược các nhiệm vụ bảo mật thông tin được cấp quản lý của
tổ chức thiết lập, và các nghĩa vụ được đặt ra đối với bên ngoài tổ chức ;
b) một bản mô tả về cách làm thế nào mà (các) khu vực trong phạm vi
tương tác với các hệ thống quản lý khác ;
c) một danh sách các mục tiêu kinh doanh của quản lý bảo mật thông tin
(có nguồn gốc từ điều 5.2) ;
d) một danh sách các quy trình nghiệp vụ, hệ thống, tài sản thông tin, cấu
trúc tổ chức quan trọng, và vị trí địa lý nơi mà ISMS sẽ được áp dụng ;
e) mối quan hệ giữa các hệ thống quản lý, quy định, tuân thủ, và các mục
tiêu của tổ chức đang hiện hữu ;

f) các đặc trưng của việc kinh doanh, của tổ chức, vị trí của nó, tài sản và
công nghệ.
Các thành phần phổ biến và những khác biệt về mặt tổ chức giữa các quy trình
của bất kỳ (các) hệ thống quản lý nào và ISMS được đề xuất nên được xác
định.
Đầu ra
Sản phẩm có thể chuyển giao là một tài liệu mô tả phạm vi sơ bộ của ISMS.
Thông tin khác

Không có thông tin cụ thể khác.
LƯU Ý : Cần phải đặc biệt lưu ý rằng trong trường hợp chứng nhận các yêu
cầu tài liệu cụ thể của ISO/IEC 27001 :2005 như đối với phạm vi của ISMS
phải được đáp ứng bất kể các hệ thống quản lý sẵn có trong tổ chức.
5.3.2 Xác định vai trò và trách nhiệm đối với phạm vi sơ bộ của ISMS
Hành động
Vai trò và trách nhiệm tổng thể đối với phạm vi sơ bộ của ISMS nên được xác
định.
Đầu vào
a) đầu ra từ Hành động 5.3.1 Phát triển phạm vi sơ bộ của ISMS ;
b) danh sách các bên liên quan, những người có lợi ích từ kết quả của dự án
ISMS.
Hướng dẫn
Để thực thi dự án ISMS, vai trò của một tổ chức nên được xác định. Nói
chung, vai trò thường là khác nhau đối với mỗi tổ chức do số lượng người xử
lý bảo mật thông tin. Cấu trúc của tổ chức và các tài nguyên dành cho bảo mật
thông tin khác nhau về quy mô, kiểu và cấu trúc của tổ chức. Ví dụ, trong một
tổ chức nhỏ hơn, một vài vai trò có thể được đảm nhiệm bởi cùng một người.
Tuy nhiên, cấp quản lý nên xác định một cách rõ ràng vai trò (thường là CISO
– Chief Information Security Officer, ISM – Information Security Manager,
hoặc tương đương) với trách nhiệm tổng thể để quản lý bảo mật thông tin, và
nhân viên nên được bổ nhiệm các vai trò và trách nhiệm dựa trên kỹ năng được
đòi hỏi đển hoàn thành công việc. Điều quan trọng là phải đảm bảo rằng các
nhiệm vụ được thực hiện một cách hiệu quả và năng suất.
Những cân nhắc quan trọng nhất trong định nghĩa về vai trò trong quản lý bảo
mật thông tin là :
a) trách nhiệm tổng thể đối với các tác vụ còn giữ lại ở cấp độ quản lý ;
b) một người (thường là Chief Information Security Officer) được bổ nhiệm
để thúc đẩy và điều phối quy trình bảo mật thông tin ;
c) mỗi nhân viên chịu trách nhiệm tương đương nhau đối với tác vụ nguyên
bản của mình, và cho sự duy trì bảo mật thông tin trong khu vực làm
việc và trong tổ chức.

Các vai trò quản lý bảo mật thông tin nên làm việc cùng nhau, việc này có thể
được tạo điều kiện bởi một Diễn đàn Bảo mật Thông tin, hoặc cơ quan tương
tự.
Sự cộng tác với các chuyên gia kinh doanh tương xứng nên được thực hiện (và
lập thành văn bản) trong mọi giai đoạn phát triển, triển khai, vận hành và duy
trì ISMS.
Những đại diện từ các bộ phận trong phạm vi đã được xác định (chẳng hạn như
đánh giá rủi ro) là những thành viên tiềm năng của nhóm triển khai ISMS.
Nhóm này nên được duy trì ở quy mô thực tế nhỏ nhất để sử dụng tài nguyên
nhanh chóng và hiệu quả. Những khu vực như vậy không chỉ là những gì được
bao gồm trực tiếp trong phạm vi của ISMS mà còn là các bộ phận không trực
tiếp, chẳng hạn như pháp lý, quản lý rủi ro và bộ phận hành chính.
Đầu ra
Sản phẩm đầu ra có thể chuyển giao là một tài liệu hoặc một bảng mô tả các
vai trò và trách nhiệm cùng với tên và nhu cầu của tổ chức để triển khai thành
công một ISMS.
Thông tin khác

Phụ lục B cung cấp các chi tiết về các vai trò và trách nhiệm cần thiết trong
một tổ chức để triển khai thành công một ISMS.
5.4 Xây dựng đề án kinh doanh và kế hoạch dự án để cấp quản lý phê

duyệt
Hành động
Sự phê duyệt của cấp quản lý và cam kết về tài nguyên dành cho việc triển
khai dự án ISMS nên có được bằng các xây dựng đề án kinh doanh và đề xuất
dự án ISMS.
Đầu vào
a) đầu ra từ Hành động 5.2 Làm rõ các ưu tiên của tổ chức để phát triển
một ISMS ;
b) đầu ra từ Hành động 5.3 Xác định phạm vi sơ bộ của ISMS – Tài liệu :
sơ bộ
1) phạm vi của ISMS ; và
2) các vai trò và trách nhiệm tương ứng.
Hướng dẫn
Thông tin trong đề án kinh doanh và kế hoạch dự án ISMS khởi đầu nên bao
gồm ước tính về mốc thời gian, tài nguyên, và cột mốc thời gian cân thiết cho
các hành động chính được lưu ý trong Điều từ 6 đến 9 của Tiêu chuẩn Quốc tế
này.
Đề án kinh doanh và kế hoạch dự án ISMS khởi đầu phục vụ như là cơ sở của

dự án, nhưng cũng đảm bảo cam kết và phê duyệt của cấp quản lý về tài
nguyên cần thiết cho việc triển khai ISMS. Cách thức mà ISMS được triển khai
sẽ hỗ trợ các mục tiêu kinh doanh đóng góp cho tính hiệu quả của các quy
trình tổ chức và gia tăng hiệu suất kinh doanh.
Đề án kinh doanh cho việc triển khai một ISMS nên bao gồm các tuyên bố
ngắn gọn được liên kết đến các mục tiêu của tổ chức và bao phủ những chủ đề
dưới đây :
a) mục đích và mục tiêu cụ thể ;
b) lợi ích đối với tổ chức ;
c) phạm vi sơ bộ của ISMS bao gồm các quy trình nghiệp vụ bị ảnh hưởng ;
d) các quy trình và các yếu tố quan trọng để đạt được các mục tiêu ISMS ;
e) tổng quan dự án ở cấp cao ;
f) khởi đầu kế hoạch triển khai ;
g) các vai trò và trách nhiệm đã được xác định ;
h) các tài nguyên được yêu cầu (cả công nghệ lẫn con người) ;
i) các cân nhắc triển khai bao gồm bảo mật thông tin đang tồn tại ;
j) dòng thời gian với các cột mốc thời gian chính ;
k) chi phí dự kiến ;
l) các yếu tố thành công quan trọng ;
m) định lượng những lợi ích đối với tổ chức.
Kế hoạch dự án nên bao gồm các hành động liên quan của các giai đoạn trong
Điều 6 – 9 được tuyên bố trong Tiêu chuẩn Quốc tế này.
Các cá nhân ảnh hưởng, hoặc bị ảnh hưởng bởi, ISMS nên được xác định và có
đầy đủ thời gian để xem xét và nhận xét về đề án kinh doanh và đề xuât dự án
ISMS. Đề án kinh doanh và đề xuất dự án ISMS nên được cập nhật khi cần
cũng như khi đầu vào được cung cấp. Khi sự hỗ trợ đầy đủ đã có được, đề án
kinh doanh và đề xuất dự án ISMS nên được trình bày để cấp quản lý phê
duyệt.
Cấp quản lý nên phê duyệt đề án kinh doanh và kế hoạch khởi đầu dự án để có
được toàn bộ cam kết của tổ chức và bắt đầu thực thi dự án ISMS.
Những lợi ích được kỳ vọng từ cam kết của cấp quản lý cho việc triển khai
ISMS là :
a) kiến thức và sự triển khai các luật lệ, quy định, nghĩa vụ hợp đồng có
liên quan và các tiêu chuẩn liên quan đến bảo mật thông tin, dẫn đến
việc tránh được các trách nhiệm pháp lý và các hình phạt do sự không
tuân thủ ;
b) sử dụng hiệu quả nhiều quy trình bảo mật thông tin ;
c) ổn định và tăng cường sự tự tin để phát triển thông qua các biện pháp
quản lý bảo mật thông tin tốt hơn ;
d) xác định và bảo vệ những thông tin kinh doanh quan trọng.
Đầu ra

Những sản phẩm có thể chuyển giao được của hành động này là:
a) một phê duyệt được lập thành văn bản bởi cấp quản lý để thực thi dự án
ISMS với các tài nguyên đã được phân bổ;
b) một đề án kinh doanh được lập thành văn bản;
c) một Đề xuất Dự án ISMS khởi đầu, cùng với các cột mốc thời gian,
chẳng hạn như hoàn thành đánh giá rủi ro, triển khai, các kiểm toán nội
bộ, và đánh giá của cấp quản lý).
Thông tin khác

ISO/IEC 27000:2009 là ví dụ của các yếu tố thành công quan trọng hỗ trợ cho
đề án kinh doanh ISMS.
6 Xác định phạm vi, các ranh giới và chính sách ISMS
6.1 Tổng quan về xác định phạm vi, ranh giới và chính sách ISMS
Phê duyệt của cấp quản lý cho việc triển khai ISMS được dựa trên phạm vi sơ
bộ của ISMS, đề án kinh doanh ISMS và kế hoạch dự án khởi đầu. Những định
nghĩa chi tiết trong phạm vi và các ranh giới của ISMS, định nghĩa của chính
sách ISMS và sự chấp thuận và sự hỗ trợ bởi cấp quản lý là yếu tố then chốt
cho sự thành công trong việc triển khai ISMS.
Do đó, các mục tiêu của giai đoạn này là:
Mục tiêu:
Để xác định và làm rõ chi tiết về phạm vi và các ranh giới của ISMS và phát
triển chính sách ISMS, và đạt được sự tán thành của cấp quản lý.
Tham chiếu ISO/IEC 27001:2005: 4.2.1 a) và 4.2.1 b)
Để đạt được “Xác định và làm rõ chi tiết về phạm vi và các ranh giới của
ISMS”, những hành động sau đây là cần thiết:
a) xác định phạm vi và ranh giới của tổ chức;
b) phạm vi và ranh giới của Công nghệ Truyền thông liên lạc Thông tin
(ICT; và
c) phạm vi và ranh giới vật lý;
d) các đặc trưng đã được chỉ định trong ISO/IEC 27001:2005 tham chiếu
4.2.1 a) và b), ví dụ, doanh nghiệp, tổ chức, vị trí, các tài sản và các yếu
tố công nghệ về phạm vi và ranh giới, và chính sách được xác định trong
quy trình xác định các phạm vi và ranh giới đó;
e) tích hợp các thành phần phạm vi và ranh giới để có được phạm vi và
ranh giới của ISMS.
Để đạt được định nghĩa về chính sách ISMS và có được sự chấp thuận từ cấp
quản lý, một hành động đơn lẻ là cần thiết.
Để xây dựng một hệ thống quản lý hiệu quả cho tổ chức, phạm vi chi tiết của
ISMS cần được xác định bằng cách xem xét các tài sản thông tin quan trọng
của tổ chức. Điều quan trọng là phải có một thuật ngữ chung và một phương
pháp tiếp cận có hệ thống để xác định các tài sản thông tin và đánh giá các cơ
chế bảo mật có thể tồn tại được. Điều này cho phép dễ dàng trao đổi thông tin
và thúc đẩy sự hiểu biết nhất quán trong toàn bộ các giai đoạn triển khai. Điều
quan trọng là phải đảm bảo rằng các khu vực tổ chức quan trọng đã được bao
gồm trong phạm vi.
Có thể xác định phạm vi của ISMS để bao gồm toàn bộ tổ chức hoặc chỉ một
phần của tổ chức đó, chẳng hạn như một bộ phận hoặc phần tử phụ được ràng
buộc rõ ràng. Ví dụ, trong trường hợp "các dịch vụ" được cung cấp cho khách
hàng, phạm vi của ISMS có thể là một dịch vụ hoặc một hệ thống quản lý đa
chức năng (toàn bộ bộ phận hoặc một phần của bộ phận). Các yêu cầu của
ISO/IEC 27001: 2005 phải được đáp ứng để được chứng nhận bất kể hệ thống
quản lý hiện có được áp dụng trong tổ chức.
Phạm vi và ranh giới tổ chức, phạm vi và ranh giới ICT (6.3) cũng như phạm
vi và ranh giới vật lý (6.4) không phải lúc nào cũng được thực hiện theo trình
tự. Tuy nhiên, rất hữu ích khi tham chiếu phạm vi và ranh giới đã có được khi
đang xác định phạm vi và ranh giới khác.

Hình 4: Tổng quan về xác định phạm vi, ranh giới của ISMS và chính
sách ISMS

6.2 Xác định phạm vi và ranh giới của tổ chức

Hành động
Phạm vi và ranh giới của tổ chức nên được xác định.
Đầu vào
a) đầu ra từ Hành động 5.3 Xác định phạm vi sơ bộ của ISMS – Tài liệu về
phạm vi sơ bộ của ISMS xác định:
1) mối quan hệ của các hệ thống quản lý hiện có, quy định, tuân thủ,
và các mục tiêu tổ chức;
2) các đặc trưng của việc kinh doanh, tổ chức, vị trí của nó, các tài
sản và công nghệ.
b) đầu ra từ Hành động 5.2 Làm rõ các ưu tiên của tổ chức để phát triển
ISMS – Tài liệu phê duyệt của cấp quản lý để triển khai ISMS và khởi
động dự án cùng với các tài nguyên cần thiết đã phân bổ.
Hướng dẫn
Mức độ nỗ lực cần thiết để triển khai ISMS phụ thuộc vào độ lớn của phạm vi
mà nó sẽ được áp dụng. Điều này cũng có thể ảnh hưởng đến tất cả các hoạt
động liên quan đến duy trì bảo mật thông tin của các hạng mục nằm trong
phạm vi (chẳng hạn như quy trình, địa điểm vật lý, hệ thống CNTT và con
người), bao gồm cả việc triển khai và duy trì các kiểm soát, quản lý vận hành
và thực hiện các nhiệm vụ như xác định tài sản thông tin và đánh giá rủi ro.
Nếu ban lãnh đạo quyết định loại trừ một số bộ phận nhất định của tổ chức
khỏi phạm vi của ISMS, lý do của họ để làm như vậy nên được lập thành văn
bản.
Khi phạm vi của ISMS đã được xác định, điều quan trọng là ranh giới của nó
đủ rõ ràng để giải thích cho những người không tham gia vào việc định nghĩa
nó.
Một số biện pháp kiểm soát liên quan đến bảo mật thông tin có thể đang tồn tại
do việc triển khai các hệ thống quản lý khác. Những điều này cần được tính
đến khi họach định ISMS, nhưng sẽ không nhất thiết chỉ ra ranh giới của phạm
vi đối với ISMS hiện tại.
Một phương pháp xác định ranh giới tổ chức là xác định những lĩnh vực trách
nhiệm không trùng lặp để dễ dàng phân công trách nhiệm trong tổ chức.
Những trách nhiệm liên quan trực tiếp đến tài sản thông tin hoặc các quy trình
nghiệp vụ được bao gồm trong phạm vi ISMS nên được lựa chọn như một bộ
phận của tổ chức chịu sự kiểm soát của ISMS. Trong khi xác định ranh giới tổ
chức, các yếu tố sau đây cần được xem xét:
a) diễn đàn quản lý ISMS nên bao gồm các nhà quản lý trực tiếp tham gia
vào phạm vi của ISMS.

b) thành viên của cấp quản lý chịu trách nhiệm về ISMS phải là người chịu
trách nhiệm cuối cùng về tất cả các lĩnh vực trách nhiệm bị ảnh hưởng
(tức là vai trò của họ thường sẽ được quyết định bởi phạm vi kiểm soát
và trách nhiệm của họ trong một tổ chức).
c) trong trường hợp vai trò chịu trách nhiệm quản lý ISMS không phải là
thành viên của ban quản lý cấp cao, nhà bảo trợ ở cấp quản lý cao nhất
là cần thiết để đại diện cho lợi ích của bảo mật thông tin và hoạt động
như người ủng hộ ISMS ở các cấp cao nhất của tổ chức.
d) phạm vi và ranh giới cần được xác định để đảm bảo rằng tất cả các tài
sản liên quan được tính đến trong đánh giá rủi ro và để giải quyết các rủi
ro có thể phát sinh thông qua các ranh giới này.
Dựa trên phương pháp tiếp cận, các ranh giới tổ chức được phân tích cần xác
định tất cả nhân sự bị ảnh hưởng bởi ISMS và điều này phải được đưa vào
phạm vi. Việc xác định nhân sự có thể được liên kết với các quy trình và/hoặc
các chức năng, tùy thuộc vào phương pháp tiếp cận đã chọn. Nếu một số quy
trình trong phạm vi được thuê ngoài từ bên thứ ba thì những yếu tố phụ thuộc
đó phải được lập thành văn bản một cách rõ ràng. Những phụ thuộc như vậy sẽ
được phân tích sâu hơn trong dự án triển khai ISMS.
Đầu ra
a) mô tả về ranh giới của tổ chức cho ISMS, bao gồm sự biện minh về từng
phần của tổ chức đã được loại trừ khỏi phạm vi của ISMS;
b) các chức năng và cấu trúc của những phần của tổ chức nằm trong phạm
vi của ISMS;
c) sự xác định thông tin được trao đổi trong phạm vi và thông tin được trao
đổi bên ngoài ranh giới;
d) các quy trình tổ chức và trách nhiệm đối với các tài sản thông tin của
phạm vi và bên ngoài phạm vi;
e) quy trình phân cấp để đưa ra quyết định cũng như là cấu trúc bên trong
ISMS.
Thông tin khác

Không có thông tin cụ thể.
6.3 Xác định phạm vi và ranh giới của công nghệ truyền thông thông
tin (ICT)
Hành động
Phạm vi và ranh giới của các thành phần của công nghệ truyền thông liên lạc
thông tin (ICT) và các hạng mục công nghệ khác được bao phủ bởi ISMS nên
được xác định.
Đầu vào

phạm vi sơ bộ của ISMS;
b) đầu ra từ Hành động 6.2 Xác định phạm vi và ranh giới của tổ chức.
Hướng dẫn
Định nghĩa về phạm vi và ranh giới ICT có thể được thu thập thông qua cách
tiếp cận hệ thống thông tin (chứ không phải dựa trên CNTT). Khi có quyết
định quản lý để bao gồm các quy trình nghiệp vụ của hệ thống thông tin vào
phạm vi ISMS, tất cả các yếu tố ICT liên quan cũng nên được xem xét. Việc
này bao gồm tất cả các bộ phận của tổ chức đang lưu trữ, xử lý hoặc truyền tải
thông tin quan trọng, tài sản hoặc những thứ quan trọng đối với các bộ phận
của tổ chức nằm trong phạm vi. Hệ thống thông tin có thể mở rộng biên giới tổ
chức hoặc quốc gia. Trong trường hợp này, những điều dưới đây nên được xem
xét:
a) môi trường văn hóa-xã hội;
b) các yêu cầu pháp lý, quy định và hợp đồng áp dụng cho các tổ chức;
c) trách nhiệm giải trình cho các trách nhiệm chính;
d) các ràng buộc kỹ thuật (ví dụ: băng thông khả dụng, tính sẵn sàng của
dịch vụ, v.v…).
Khi xem xét những điều trên, ranh giới của ICT nên bao gồm mô tả những
điều sau đây khi có thể:
a) cơ sở hạ tầng truyền thông, trong đó trách nhiệm quản lý thuộc về tổ
chức,bao gồm nhiều công nghệ khác nhau (ví dụ: mạng không dây,
đường dây, hoặc mạng dữ liệu/thoại);
b) phần mềm trong ranh giới tổ chức, được sử dụng và kiểm soát bởi tổ
chức;
c) phần cứng ICT theo yêu cầu của mạng hoặc các mạng, các ứng dụng
hoặc hệ thống sản xuất
d) vai trò và trách nhiệm liên quan đến phần cứng, mạng và phần mềm ICT.
Nếu bất kỳ một hoặc nhiều gạch đầu dòng nào ở trên không được tổ chức kiểm
soát, thì sự phụ thuộc vào bên thứ ba phải được ghi lại. Xem 6.2, Hướng dẫn.
Đầu ra
Những sản phẩm đầu ra có thể chuyển giao của hành động này là:
a) thông tin trao đổi trong pham vi và thông tin trao đổi qua ranh giới;
b) ranh giới của UCT đối với ISMS, bao gồm bất kỳ sự biện minh cho việc
loại bỏ ICT dưới sự quản lý của tổ chức mà đã bị loại bỏ khỏi phạm vi
của ISMS;
c) các hệ thống thông tin và các mạng truyền thông; mô tả những gì nằm
trong phạm vi, cùng với trách nhiệm đối với các hệ thống đó. Những hệ
thống nằm ngoài phạm vi nên được tổng hợp lại một cách tóm tắt.
Thông tin khác


6.4 Xác định phạm vi và ranh giới vật lý

Hành động
Phạm vi và các ranh giới vật lý được bao phủ bởi ISMS nên được xác định.
Đầu vào
b) đẩu ra từ Hành động 6.2 Xác định phạm vi và ranh giới của tổ chức;
c) đầu ra từ Hành động 6.3 Xác định phạm vi và ranh giới của công nghệ
truyền thông thông tin (ICT).
Hướng dẫn
Định nghĩa về phạm vi và ranh giới vật lý bao gồm việc xác định các cơ sở, địa
điểm hoặc cơ sở vật chất trong một tổ chức nên là một phần của ISMS. Đối với
các hệ thống thông tin vốn vượt qua các biên giới vật lý, việc xử lý sẽ phức
tạp hơn, cần phải:
a) các cơ sở từ xa;
b) giao diện với hệ thống thông tin của khách hàng và các dịch vụ được bên
thứ ba cung cấp;
c) các giao diện và mức dịch vụ thích hợp có thể áp dụng được.
Cân nhắc những điều trên, các ranh giới vật lý nên bao gồm một mô tả về
những điều sau, khi có thể:
a) mô tả các chức năng hoặc quy trình có tính đến vị trí thực tế của chúng
và mức độ mà tổ chức kiểm soát chúng;
b) các phương tiện đặc biệt được sử dụng để lưu trữ/chứa đựng phần cứng
ICT hoặc dữ liệu nằm trong phạm vi (ví dụ như trên các băng từ sao lưu
dự phòng) dựa trên độ bao phủ của các ranh giới của ICT.
Nếu bất kỳ một hoặc nhiều gạch đầu dòng nào ở trên không được tổ chức kiểm
soát, thì sự phụ thuộc vào bên thứ ba phải được ghi lại. Xem 6.2, Hướng dẫn.
Đầu ra
Những sản phẩm đầu ra có thể chuyển giao của hành động này là:
a) mô tả về ranh giới vật lý của ISMS, bao gồm bất kỳ sự biện minh nào
cho sự loại trừ ranh giới vật lý nằm dưới sự quản lý của tổ chức mà đã
được loại trừ khỏi phạm vi của ISMS;
b) mô tả về tổ chức và các đặc điểm địa lý của họ có liên quan đến phạm
vi.
Thông tin khác


6.5 Tích hợp các phạm vi và ranh giới để có được phạm vi và ranh
giới của ISMS
Hành động
Phạm vi và ranh giới của ISMS nên có được bằng cách tích hợp mỗi phạm vi
và ranh giới.
Đầu vào
b) đầu ra từ Hành động 6.2 Xác định phạm vi và ranh giới của tổ chức;
c) đầu ra từ Hành động 6.3 Xác định phạm vi và ranh giới của công nghệ
truyền thông thông tin (ICT);
d) đầu ra từ Hành động 6.4 Xác định phạm vi và ranh giới vật lý.
Hướng dẫn
Phạm vi của ISMS có thể được mô tả và lý giải bằng nhiều cách. Ví dụ, một vị
trí vật lý chẳng hạn như một trung tâm dữ liệu hoặc một văn phòng có thể được
lựa chọn, và các quy trình quan trọng được liệt kê, mỗi trong số đó liên quan
đến các khu vực bên ngoài mà trung tâm dữ liệu đưa những khu vực bên ngoài
đó vào bên trong phạm vi. Một quy trình quan trọng như vậy có thể, ví dụ, truy
cập di động tới một hệ thống thông tin trung tâm.
Đầu ra
Kết quả đầu ra có thể chuyển giao được của hành động này là một tài liệu mô
tả phạm vi và ranh giới của ISMS, bao gồm những thông tin dưới đây:
a) các đặc điểm chính của tổ chức (chức năng của nó, cấu trúc, các dịch vụ,
tài sản, và phạm vi và ranh giới của trách nhiệm đối với mỗi tài sản);
b) các quy trình nằm trong phạm vi tổ chức;
c) cấu hình của thiết bị và mạng nằm trong phạm vi;
d) một danh sách sơ bộ về các tài sản thông tin nằm trong phạm vi;
e) một danh sách các tài sản ICT nằm trong phạm vi (ví dụ, các máy chủ);
f) các bản đồ về các địa điểm nằm trong phạm vi, chỉ ra ranh giới vật lý
của ISMS;
g) các mô tả về các vai trò và trách nhiệm bên trong ISMS và mối quan hệ
của chúng (các vai trò và trách nhiệm) với cấu trúc của tổ chức;
h) các chi tiết và biện minh cho bất kỳ sự loại trừ khỏi phạm vi ISMS nào.
Thông tin khác

Không có thông tin cụ thể nào khác.
6.6 Phát triển chính sách ISMS và có được phê duyệt từ cấp quản lý
Hành động
Chính sách ISMS nên được phát triển và nên có được sự phê duyệt từ cấp quản
lý (cho chính sách ISMS).

Đầu vào
a) đầu ra từ Hành động 6.5 Tích hợp mỗi phạm vi và ranh giới để có được
phạm vi và ranh giới của ISMS – Tài liệu về phạm vi và ranh giới của
ISMS;
b) đầu ra từ Hành động 5.2 Làm rõ các ưu tiên của tổ chức để phát triển
ISMS – Tài liệu về các mục tiêu của việc triển khai ISMS;
c) đầu ra từ Hành động 5.4 Xây dựng đề án kinh doanh và kế hoạch dự án
cho sự phê duyệt của cấp quản lý – Tài liệu về:
1) các yêu cầu của tổ chức và các ưu tiên bảo mật thông tin;
2) kế hoạch dự án khởi đầu cho việc triển khai ISMS, cùng với các
cột mốc thời gian, chẳng hạn như hoàn thành đánh giá rủi ro, triển
khai, các kiểm toán nội bộ, cấp quản lý xem xét).
Hướng dẫn
Khi xác định chính sách ISMS, các khía cạnh sau đây nên được xem xét:
a) thiết lập các mục tiêu của ISMS dựa trên các yêu cầu của tổ chức và các
ưu tiên bảo mật thông tin của tổ chức;
b) thiết lập trọng tâm tổng thể và hướng dẫn hành động đế đạt được các
mục tiêu của ISMS;
c) xem xét các yêu cầu của tổ chức, các nghĩa vụ pháp lý, quy định và hợp
đồng liên quan tới bảo mật thông tin;
d) bối cảnh quản lý rủi ro trong tổ chức;
e) thiết lập tiêu chí đánh giá rủi ro (tham khảo ISO/IEC 27005:2008) và
xác định một cấu trúc đánh giá rủi ro;
f) làm rõ trách nhiệm của quản lý cấp cao liên quan tới ISMS;
g) đạt được sự phê duyệt của cấp quản lý.
Đầu ra
Sản phẩm có thể chuyển giao được là một tài liệu mô tả chính sách ISMS đã
được cấp quản lý phê duyệt được lập thành văn bản. Tài liệu này nên được tái
xác nhận trong giai đoạn sau của dự án tùy thuộc vào kết quả của đánh giá rủi
ro.
Thông tin khác

ISO/IEC 27005:2008 cung cấp thông tin bổ sung cho các tiêu chí đánh giá rủi
ro.
7 Tiến hành phân tích các yêu cầu bảo mật thông tin
7.1 Tổng quan về phân tích các yêu cầu bảo mật thông tin
Phân tích tình huống hiện tại trong tổ chức là rất quan trọng, khi mà có nhiều
yêu cầu và tài sản thông tin hiện hữu cần được xem xét khi triển khai ISMS.
Những hành động đã mô tả trong giai đoạn này có thể được thực hiện chủ yếu
đồng thời với những hành động đã mô tả trong Điều 6 vì lý do hiệu quả và
thiết thực.
Mục tiêu:
Xác định các yêu cầu liên quan được hỗ trợ bởi ISMS, xác định các tài sản
thông tin và có được tình trạng bảo mật thông tin hiện tại trong phạm vi.
Tham chiếu ISO/IEC 27001:2005: Chuyển
một phần 4.2.1Thếc)Hùng
ngữ: Nguyễn và –4.2.1
Email: d), 4.2.1 e)
nguyenthehung.it@gmail.com
Thông tin thu thập được trong quá trình phân tích bảo mật thông tin nên:
a) cung cấp cho cấp quản lý điểm bắt đầu (ví dụ đúng dữ liệu cơ bản);
b) xác định và lập thành văn bản các điều kiện cho việc triển khai;
c) cung cấp một hiểu biết rõ ràng và được thiết lập tốt về các cơ sở vật chất
của tổ chức;
d) xem xét hoàn cảnh và tình hình cụ thể của tổ chức;
e) xác định mức độ bảo vệ mong muốn đối với thông tin;
f) xác định tài liệu biên soạn về thông tin cần thiết cho mọi thành phần của
công ty bên trong phạm vi được đề xuất của việc triển khai.
Hình 5: Tổng quan về việc tiến hành giai đoạn yêu cầu bảo mật thông tin
7.2 Xác định các yêu cầu bảo mật thông tin đối với quy trình ISMS
Hành động
Thông tin chi tiết về các yêu cầu bảo mật đối với quy trình ISMS nên được
phân tích và xác định.
Đầu vào
a) đầu ra từ Hành động 5.2 Làm rõ các ưu tiên của tổ chức để phát triển
ISMS – Tài liệu:
1) tổng hợp các mục tiêu, các ưu tiên bảo mật thông tin, và các yêu
cầu của tổ chức đối với ISMS;
2) danh sách các ràng buộc về quy định, hợp đồng và của ngành liên
quan tới bảo mật thông tin của tổ chức.
b) đầu ra từ Hành động 6.5 Tích hợp mỗi phạm vi và ranh giới để có được
phạm vi và ranh giới của ISMS – Phạm vi và ranh giới của ISMS;
c) đầu ra từ Hành động 6.6 Phát triển chính sách ISMS và đạt được phê
duyệt của cấp quản lý – Chính sách ISMS.
Hướng dẫn
Bước đầu tiên đòi hỏi tất cả thông tin hỗ trợ cho ISMS phải được thu thập. Đối
với mỗi quy trình tổ chức và nhiệm vụ chuyên môn, một quyết định cần phải
được đưa ra về mức độ quan trọng của thông tin, tức là mức độ bảo vệ được
đòi hỏi. Nhiều điều kiện bên trong có thể ảnh hưởng đến bảo mật thông tin và
những điều kiện này nên được xác định. Ở giai đoạn đầu này, việc mô tả chi
tiết công nghệ thông tin không quan trọng. Cần có một bản tóm tắt cơ bản về
thông tin đã được phân tích về một quy trình tổ chức và các ứng dụng và hệ
thống ICT liên quan.
Việc phân tích các quy trình của tổ chức cung cấp các tuyên bố về ảnh hưởng
của các sự cố bảo mật thông tin đối với hoạt động của tổ chức. Trong nhiều
trường hợp, chỉ cần làm việc với mô tả rất cơ bản về các quy trình của tổ chức
là đủ. Các quy trình, chức năng, vị trí, hệ thống thông tin và mạng truyền
thông cần được xác định và lập thành văn bản, nếu chúng chưa được đưa vào
như một phần của phạm vi ISMS.
Những điều sau đây cần được xác định để có được các yêu cầu chi tiết về bảo
mật thông tin cho ISMS:
a) xác định sơ bộ các tài sản thông tin quan trọng và biện pháp bảo vệ bảo
mật thông tin hiện tại của chúng;
b) xác định tầm nhìn của tổ chức và xác định ảnh hưởng của tầm nhìn đã
xác định đối với các yêu cầu xử lý thông tin trong tương lai;
c) phân tích các hình thức xử lý thông tin hiện tại, ứng dụng hệ thống,
mạng truyền thông, vị trí của các hoạt động và tài nguyên CNTT, v.v…;
d) xác định tất cả các yêu cầu thiết yếu (ví dụ: yêu cầu pháp lý và quy
định, nghĩa vụ hợp đồng, yêu cầu của tổ chức, tiêu chuẩn ngành, thỏa
thuận với khách hàng và nhà cung cấp, điều kiện bảo hiểm, v.v…);

e) xác định mức độ nhận thức về bảo mật thông tin và lấy được từ đó các
yêu cầu đào tạo và giáo dục đối với từng đơn vị hoạt động và đơn vị
hành chính.
Đầu ra
a) xác định các quy trình, chức năng, vị trí, hệ thống thông tin và mạng
truyền thông chính;
b) các tài sản thông tin của tổ chức;
c) phân loại các quy trình/tài sản quan trọng;
d) các yêu cầu bảo mật thông tin có nguồn gốc từ các yêu cầu của tổ chức
về pháp lý, quy định và hợp đồng;
e) danh sách các lỗ hổng công khai đã biết mà sẽ được xác định là kết quả
của các yêu cầu bảo mật;
f) các yêu cầu về đào tạo và giáo dục bảo mật thông tin của tổ chức.
Thông tin khác

7.3 Xác định các tài sản trong phạm vi ISMS

Hành động
Các tài sản sẽ được hỗ trợ bởi ISMS nên được xác định.
Đầu vào
a) Đầu ra từ Hành động 6.5 Tích hợp mỗi phạm vi và ranh giới để có được
b) Đầu ra từ Hành động 6.6 Phát triển chính sách ISMS và đạt được sự phê
duyệt của cấp quản lý – Chính sách ISMS;
c) Đầu ra từ Hành động 7.2 Xác định các yêu cầu bảo mật thông tin cho
quy trình ISMS.
Hướng dẫn
Để xác định các tài sản trong phạm vi ISMS, những thông tin dưới đây nên
được xác định và liệt kê:
a) tên duy nhất của quy trình;
b) mô tả quy trình và các hành động tương ứng (tạo, lưu trữ, truyền tải,
xóa);
c) tầm quan trọng của quy trình đối với tổ chức (then chốt, quan trọng, hỗ
trợ);
d) chủ sở hữu của quy trình (đơn vị tổ chức);
e) các quy trình cung cấp đầu vào và các đầu ra từ quy trình này;
f) các ứng dụng CNTT hỗ trợ cho quy trình;
g) phân loại thông tin (tính bảo mật, tính toàn vẹn, tính sẵn sàng, kiểm soát
truy cập, không-từ chối, và/hoặc các thuộc tính quan trọng khác của tổ
chức, ví dụ như thông tin có thể được lưu trữ trong bao lâu).

Đầu ra
Các sản phẩm có thể chuyển giao của hành động này là:
a) tài sản thông tin đã được xác định của các quy trình chính của tổ chức
trong phạm vi ISMS;
b) phân loại bảo mật thông tin của các quy trình và tài sản thông tin then
chốt.
Thông tin khác

7.4 Tiến hành đánh giá bảo mật thông tin
Hành động
Đánh giá bảo mật thông tin nên được hoàn thành bởi việc so sánh tình trạng
hiện tại của bảo mật thông tin của tổ chức với các mục tiêu (về bảo mật thông
tin) mong muốn của tổ chức.
Đầu vào
b) đầu ra từ Hành động 6.6 Phát triển chính sách ISMS và đạt được sự phê
c) đầu ra từ Hành động 7.2 Xác định các yêu cầu bảo mật thông tin cho quy
trình ISMS;
d) đầu ra từ Hành động 7.3 Xác định các tài sản trong phạm vi ISMS.
Hướng dẫn
Đánh giá bảo mật thông tin là hoạt động nhằm xác định mức độ bảo mật thông
tin hiện tại (nghĩa là các thủ tục xử lý việc bảo vệ thông tin hiện tại của tổ
chức). Mục đích cơ bản của đánh giá bảo mật thông tin là cung cấp thông tin
hỗ trợ sự mô tả cần thiết cho hệ thống quản lý dưới dạng các chính sách và
hướng dẫn. Tất nhiên cần phải đảm bảo rằng các khiếm khuyết đã xác định
được xử lý song song thông qua một kế hoạch hành động được ưu tiên. Tất cả
các bên liên quan nên biết rõ các kết quả từ việc phân tích tổ chức, các tài liệu
tiêu chuẩn và có khả năng tiếp cận với các nhân viên quản lý phù hợp.
Đánh giá bảo mật thông tin phân tích tình trạng hiện tại của tổ chức bằng cách
sử dụng các thông tin sau và xác định tình trạng hiện tại của các lỗ hổng bảo
mật thông tin và được lập thành văn bản:
a) nghiên cứu các dữ kiện nền tảng dựa trên các quy trình quan trọng;
b) phân loại tài sản thông tin;
c) yêu cầu bảo mật thông tin của tổ chức.
Kết quả đánh giá bảo mật thông tin cùng với các mục tiêu của tổ chức thường
là một phần quan trọng của động cơ thúc đẩy các công việc trong tương lai về
bảo mật thông tin. Việc đánh giá bảo mật thông tin nên được thực hiện bởi một

nguồn lực bên trong hoặc bên ngoài có tư cách độc lập trong mối quan hệ với
tổ chức.
Việc tham gia đánh giá bảo mật thông tin nên bao gồm các cá nhân có kiến
thức vững chắc về môi trường, điều kiện hiện tại và những gì liên quan đến
bảo mật thông tin. Những cá nhân này nên được chọn để đại diện cho một
phạm vi rộng khắp tổ chức và bao gồm:
a) người quản lý tuyến (ví dụ: người đứng đầu đơn vị của tổ chức);
b) chủ sở hữu quy trình (nghĩa là đại diện cho các khu vực quan trọng của
tổ chức);
c) các cá nhân khác có kiến thức vững chắc về môi trường, điều kiện hiện
tại và những gì có liên quan về bảo mật thông tin. Ví dụ, người sử dụng
quy trình nghiệp vụ và các chức năng vận hành, quản trị và chức năng
pháp lý.
Các hành động sau là quan trọng để đánh giá bảo mật thông tin thành công:
a) xác định và liệt kê các tiêu chuẩn liên quan của tổ chức (ví dụ: ISO/IEC
27002: 2005);
b) xác định các yêu cầu kiểm soát đã biết nảy sinh từ các chính sách, các
yêu cầu pháp lý và quy định, nghĩa vụ hợp đồng, những phát hiện từ các
cuộc kiểm toán trước đây hoặc phát hiện từ đánh giá rủi ro đã thực hiện
trong quá khứ;
c) sử dụng những tài liệu này làm tài liệu tham khảo để đưa ra ước tính sơ
bộ về các yêu cầu hiện tại của tổ chức liên quan đến mức độ bảo mật
thông tin của tổ chức.
Mức độ ưu tiên được thực hiện trong mối tương quan với phân tích tổ chức tạo
thành nền tảng mà các biện pháp phòng ngừa và kiểm tra (kiểm soát) bảo mật
nên được xem xét.
Phương pháp tiếp cận để tiến hành đánh giá bảo mật thông tin được diễn giải
như sau:
a) lựa chọn các quy trình nghiệp vụ quan trọng của tổ chức và các bước
quy trình liên quan đến các yêu cầu bảo mật thông tin;
b) tạo một sơ đồ toàn diện bao hàm các quy trình chính của tổ chức bao
gồm cơ sở hạ tầng (logic và kỹ thuật), nếu điều này chưa có hoặc chưa
được thực hiện trong quá trình phân tích tổ chức;
c) thảo luận với nhân viên chủ chốt phù hợp và phân tích tình hình hiện tại
của tổ chức liên quan đến các yêu cầu bảo mật thông tin. Ví dụ: những
quy trình nào là quan trọng, chúng hiện đang hoạt động tốt như thế nào?
(Kết quả được sử dụng sau này trong đánh giá rủi ro.);
d) xác định các khiếm khuyết trong kiểm soát bằng cách so sánh các kiểm
soát hiện có với các yêu cầu kiểm soát đã xác định trước đó;
e) hoàn thành và ghi lại tình trạng hiện tại.

Đầu ra
a) một tài liệu tổng hợp tình trạng bảo mật và các lỗ hổng đã được đánh giá
của tổ chức.
Thông tin khác

Đánh giá bảo mật thông tin được tiến hành ở giai đoạn này sẽ chỉ chuyển giao
thông tin sơ bộ về tình trạng bảo mật thông tin và các lỗ hổng của tổ chức, bởi
vì toàn bộ chính sách và tiêu chuẩn bảo mật thông tin được phát triển tại giai
đoạn sau (xem Điều 9), và một đánh giá rủi ro vẫn chưa được tiến hành.
8 Tiến hành đánh giá rủi ro và hoạch định xử lý rủi ro

8.1 Tổng quan về việc tiến hành đánh giá rủi ro và hoạch định xử lý
rủi ro
Việc triển khai ISMS nên giải quyết những rủi ro liên quan đến bảo mật thông
tin. Việc xác định, đánh giá và lập kế hoạch xử lý rủi ro và sự lựa chọn các
mục tiêu kiểm soát và các biện pháp kiểm soát là các bước quan trọng đối với
việc triển khai ISMS và nên được xử lý trong giai đoạn này.
ISO/IEC 27005:2008 cung cấp hướng dẫn cụ thể cho Quản lý Rủi ro Bảo mật
Thông tin và nên được đề cập trong toàn bộ Điều 8.
Giả định rằng cấp quản lý đã cam kết triển khai ISMS, và rằng phạm vi của
ISMS và chính sách ISMS đã được xác định, các tài sản thông tin và kết quả
đánh giá bảo mật thông tin đã được biết đến.
Mục tiêu:
Xác định phương pháp đánh giá rủi ro, xác định, phân tích và đánh giá những
rủi ro bảo mật thông tin để lựa chọn cách xử lý rủi ro và lựa chọn các mục tiêu
kiêm soát cũng như các biện pháp kiểm soát.
Tham chiếu ISO/IEC 27001:2005: 4.2.1 c) đến 4.2.1 i).

Hình 6: Tổng quan về giai đoạn đánh giá rủi ro.
8.2 Tiến hành đánh giá rủi ro

Hành động
Đánh giá rủi ro nên được thực hiện.
Đầu vào
a) đầu ra từ Hành động trong Điều 7 Tiến hành phân tích các yêu cầu bảo
mật thông tin – Thông tin liên quan:
1) tình trạng bảo mật thông tin được tóm tắt;
2) tài sản thông tin được xác định.
b) Đầu ra từ Hành động trong Điều 6 Xác định phạm vi, ranh giới và chính
sách ISMS – Tài liệu:
1) phạm vi ISMS;
2) chính sách ISMS.
c) ISO/IEC 27005:2008.
Hướng dẫn
Hiệu suất đánh giá rủi ro bảo mật trong bối cảnh của tổ chức để hỗ trợ cho
phạm vi ISMS là điều thiết yếu đối với tính tuân thủ và sự triển khai thành
công ISMS tương xứng với ISO/IEC 27001:2005. Đánh giá rủi ro nên:
a) xác định các mối đe dọa và nguồn của chúng;
b) xác định các kiểm soát hiện hữu và đã được lập kế hoạch;
c) xác định các lỗ hổng có thể bị khai thác bởi các mối đe dọa có thể gây ra
thiệt hại cho tổ chức;
d) xác định những hậu quả có thể có do sự mất mát tính bảo mật, tính toàn
vẹn, tính sẵn sàng, không-từ chối, và các yêu cầu khác có thể có đối với
tài sản;
e) đánh giá tác động kinh doanh mà có thể là kết quả từ các sự cố bảo mật
thông tin thực tế hoặc đã được dự đoán trước;
f) đánh giá khả năng xảy ra của các kịch bản sự cố;
g) ước tính mức độ rủi ro;
h) so sánh các mức độ rủi ro so với tiêu chí đánh giá rủi ro và tiêu chí chấp
thuận rủi ro.
Việc tham gia vào đánh giá rủi ro nên bao gồm các cá nhân có kiến thức vững
chắc về các mục tiêu của tổ chức, và thấu hiểu về bảo mật (ví dụ, hiểu biết sâu
sắc về những gì hiện đang có liên quan đến các mối đe dọa tới mục tiêu của tổ
chức). Những cá nhân này nên được lựa chọn để đại diện cho một phạm vi rộng
khắp trong tổ chức. Để tham khảo thêm, xem Phụ lục B, “Vai trò và Trách
nhiệm”.
Một tổ chức có thể sử dụng một phuong pháp đánh giá rủi ro cụ thể-cho dự án,
cụ thể-cho công ty hoặc một tiêu chuẩn cụ thể cho lĩnh vực.
Đầu ra
a) mô tả về các phương pháp đánh giá rủi ro;
b) kết quả đánh giá rủi ro.

Thông tin khác

Phụ lục B – thông tin về Vai trò và Trách nhiệm.
LƯU Ý: Một kịch bản sự cố là mô tả về một mối đe dọa khai thác một lỗ hổng
nhất định hoặc một tập hợp các lỗ hổng trong một sự cố bảo mật thông tin.
ISO/IEC 27001 mô tả sự kiện của các kịch bản sự cố là “thất bại bảo mật”.
(xem ISO/IEC 27005:2008).
8.3 Lựa chọn các mục tiêu kiểm soát và các biện pháp kiểm soát
Hành động
Các lựa chọn xử lý rủi ro nên được xác định cũng như các lựa chọn các biện
pháp kiểm soát tương ứng cũng nên được xác định cùng với các lựa chọn xử lý
rủi ro đã xác định.
Đầu vào
a) đầu ra từ Hành động 8.2 Tiến hành đánh giá rủi ro – Kết quả đánh giá
rủi ro;
b) ISO/IEC 27005:2008;
c) ISO/IEC 27002:2005.
Hướng dẫn
Điều quan trọng là phải xác định rõ mối quan hệ giữa các rủi ro và các phương
án được lựa chọn để xử lý chúng (ví dụ: kế hoạch xử lý rủi ro), vì điều này sẽ
cung cấp một bản tóm tắt về xử lý rủi ro. Các phương án khả thi để xử lý rủi ro
được liệt kê trong tài liệu tham khảo ISO/IEC 27001:2005 4.2.1 f).
ISO/IEC 27001:2005 Phụ lục A (quy chuẩn) “Các mục tiêu kiểm soát và biện
pháp kiểm soát” được sử dụng để lựa chọn các mục tiêu kiểm soát và các biện
pháp kiểm soát để xử lý rủi ro. Nếu không có các mục tiêu kiểu soát và biện
pháp tương xứng trong Phụ lục A, các mục tiêu kiểm soát và biện pháp bổ sung
nên được chỉ định và sử dụng. Điều quan trọng là phải chứng minh cách thức
các biện pháp kiểm soát đã chọn sẽ giảm thiểu rủi ro theo yêu cầu của kế
hoạch xử lý rủi ro như thế nào.
Dữ liệu được đưa ra trong Phụ lục A của ISO/IEC 27001:2005 không có nghĩa
là đầy đủ. Các biện pháp kiểm soát theo ngành cụ thể có thể được xác định để
hỗ trợ các nhu cầu cụ thể của doanh nghiệp cũng như của ISMS.
Trong trường hợp để giảm thiểu rủi ro, việc quản lý mối quan hệ giữa mỗi rủi
ro với các mục tiêu và biện pháp kiểm soát đã chọn sẽ có lợi cho việc thiết kế
việc triển khai ISMS. Nó có thể được thêm vào danh sách mô tả mối quan hệ
giữa rủi ro và các phương án đã được chọn để xử lý rủi ro.
Để tạo điều kiện thuận lợi cho các cuộc kiểm toán, tổ chức nên biên soạn danh
sách các biện pháp kiểm soát đã được lựa chọn là phù hợp và có thể áp dụng
cho ISMS của tổ chức. Điều này có thêm lợi thế là cải thiện các mối quan hệ

kinh doanh, chẳng hạn như thuê ngoài điện tử, bằng cách cung cấp bản tóm tắt
các biện pháp kiểm soát tại chỗ.
Điều quan trọng cần lưu ý là bản tóm tắt các kiểm soát rất có khả năng chứa
đựng thông tin nhạy cảm. Do đó, cần phải đưa ra sự cẩn trọng tương xứng khi
cung cấp tóm tắt các kiểm soát sẵn có cho cả người nhận bên trong và bên
ngoài. Thực sự có thể thích hợp khi đưa thông tin được tạo ra như một phần
của quá trình tạo ISMS trong quá trình định nghĩa tài sản.
Đầu ra
a) một danh sách các biện pháp kiểm soát và mục tiêu kiểm soát được chọn;
b) một Kế hoạch Xử lý Rủi ro, cùng với:
1) một mô tả về mối quan hệ giữa các rủi ro và các phương án xử lý
rủi ro được chọn;
2) một mô tả về mối quan hệ giữa các rủi ro và các mục tiêu kiểm
soát và các biện pháp kiểm soát đã được chọn (đặc biệt trong
trường hợp giảm thiểu rủi ro).
Thông tin khác

ISO/IEC 27002:2005.
8.4 Có được sự phê duyệt của cấp quản lý cho triển khai và vận hành
ISMS
Hành động
Nên có được sự phê duyệt của cấp quản lý để triển khai ISMS cũng như lập hồ
sơ về việc chấp thuận các rủi ro tồn đọng.
Đầu vào
a) đầu ra từ Hành động 5.4 Xây dựng đề án kinh doanh và kế hoạch dự án
cho sự phê duyệt của cấp quản lý – Sự phê duyệt khởi đầu của cấp quản
lý cho Dự án ISMS;
b) đầu ra từ Hành động trong Điều 6 Xác định phạm vi, ranh giới và chính
sách ISMS – Tài liệu tuyên bố về:
1) chính sách và các mục tiêu ISMS;
2) phạm vi của ISMS.
c) đầu ra từ Hành động 8.2 Tiến hành đánh giá rủi ro – Tài liệu:
1) mô tả về các phương pháp đánh giá rủi ro;
2) kết quả đánh giá rủi ro.
d) đầu ra từ Hành động 8.3 Lựa chọn các mục tiêu kiểm soát và biện pháp
kiểm soát – Kế hoạch Xử lý Rủi ro.
Hướng dẫn
Để có được sự phê duyệt của cấp quản lý, các tài liệu mô tả như là đầu vào của
điều khoản con này nên được chuẩn bị để cấp quản lý đánh giá và quyết định.

Việc chuẩn bị Tuyên bố về Tính có thể áp dụng được (Statement of

Applicability – SoA) nên được bao gồm như là một phần của những nỗ lực
quản lý bảo mật thông tin. Mức độ chi tiết trong đó các biện pháp kiểm soát
được chỉ định nên đáp ứng các yêu cầu cần thiết để hỗ trợ sự phê duyệt ISMS
của cấp quản lý của tổ chức.
Đầu ra
a) thông báo bằng văn bản về sự phê duyệt của cấp quản lý cho việc triển
khai ISMS;
b) chấp thuận của cấp quản lý về rủi ro tồn đọng;
c) tuyên bố về tính có thể áp dụng được, bao gồm các mục tiêu kiểm soát
và các biện pháp kiểm soát được chọn.
Thông tin khác

9 Thiết kế ISMS
9.1 Tổng quan về thiết kế ISMS
Chi tiết thiết kế của dự án ISMS, các hành động được hoạch định cho việc
triển khai của nó (dự án ISMS) giờ đây nên được phát triển. Kế hoạch dự án
ISMS cuối cùng sẽ là độc nhất trong chi tiết của nó đối với tổ chức cụ thể, tùy
thuộc vào kết quả của các hành động trước đó cũng như từ kết quả của các
hành động cụ thể trong giai đoạn thiết kế được mô tả trong Điều này (Điều 9).
Kế hoạch triển khai dự án ISMS cụ thể cuối cùng là đầu ra của Điều 9 này.
Dựa trên kế hoạch này, dự án ISMS có thể được tiến hành trong tổ chức như là
một phần của giai đoạn “DO” đầu tiên trong chu trình PDCA đã được mô tả
trong ISO/IEC 27001:2005.
Giả định rằng cấp quản lý đã cam kết về việc triển khai ISMS mà đã được xác
định trong phạm vi và chính sách ISMS. Tài sản thông tin cũng như các kết
quả của đánh giá bảo mật thông tin được giả định là đã sẵn sàng. Ngoài ra, kế
hoạch xử lý rủi ro mô tả các rủi ro, các tùy chọn xử lý rủi ro, cùng với các mục
tiêu kiểm soát và các biện pháp kiểm soát cũng nên sẵn sàng.
Trọng tâm thiết kế ISMS được mô tả ở đây tùy thuộc vào cấu trúc nội bộ và
các yêu cầu của ISMS. Nên lưu ý rằng, trong vài trường hợp nhất định, thiết kế
ISMS có thể có một ảnh hưởng trực tiếp hoặc gián tiếp tới thiết kế của các quy
trình nghiệp vụ. Tương tự, nên lưu ý rằng thường có một nhu cầu tích hợp các
thành phần ISMS với những dàn xếp cơ sở hạ tầng và quản lý sẵn có.

Mục tiêu:
Hoàn thành kế hoạch triển khai cuối cùng cho ISMS bằng cách: thiết kế bảo
mật của tổ chức dựa trên các phương án xử lý rủi ro được chọn, cũng như là các
yêu cầu liên quan đến ghi chép và tài liệu hóa, và thiết kế các kiểm soát tích
hợp các điều khoản bảo mật cho ICT, các quy trình vật lý và tổ chức, và thiết
kế các yêu cầu cụ thể của ISMS.
Tham chiếu ISO/IEC 27001:2005: một phần 4.2.1 c) và 4.2.1 d), 4.2.1 e)
Trong việc thiết kế ISMS, những vấn đề dưới đây nên được xem xét:
a) bảo mật tổ chức – bao hàm các khía cạnh hành chính của bảo mật thông
tin gồm có trách nhiệm trong hoạt động của tổ chức để xử lý rủi ro. Việc
này nên được hình thành thành tập hợp các hành động dẫn đến các chính
sách, mục tiêu, quy trình và thủ tục để xử lý và cải thiện bảo mật thông
tin liên quan đến nhu cầu và các rủi ro của tổ chức;
b) bảo mật ICT – bao hàm các khía cạnh của bảo mật thông tin đặc biệt liên
quan tới trách nhiệm trong hoạt động công nghệ truyền thông thông tin
để giảm thiểu rủi ro. Việc này là để đáp ứng các yêu cầu tập hợp bởi tổ
chức và triển khai về mặt kỹ thuật các biện pháp kiểm soát để giảm thiểu
rủi ro;
c) bảo mật vật lý – bao hàm các khía cạnh bảo mật thông tin đặc biệt liên
quan tới trách nhiệm của việc xử lý môi trường vật lý, chẳng hạn như
các tòa nhà và cơ sở vật chất của chúng (các tòa nhà) để giảm thiểu rủi
ro. Việc này là để đáp ứng các yêu cầu tập hợp bởi tổ chức và triển khai
về mặt kỹ thuật các biện pháp kiểm soát để giảm thiểu rủi ro;
d) ISMS cụ thể - bao hàm các khía cạnh của những yêu cầu cụ thể khác
nhau cho ISMS theo ISO/IEC 27001:2005, ngoài những gì được bao gồm
trong ba lĩnh vực khác. Trọng tâm là các hành động nhất định nên được
tiến hành trong quá trình triển khai để đạt được vận hành ISMS, cụ thể:
1) giám sát;
2) đo lường;
3) kiểm toán nội bộ ISMS;
4) đào tạo và nâng cao nhận thức;
5) quản lý sự cố;
6) đánh giá quản lý;
7) cải thiện ISMS, bao gồm các hành động khắc phục và ngăn ngừa.
Việc phát triển Dự án ISMS và thiết kế việc triển khai các biện pháp kiểm soát
đã hoạch định có liên quan của nó cần có sự tham gia và sử dụng các kỹ năng
và kinh nghiệm của nhân viên từ các bộ phận của tổ chức thuộc phạm vi ISMS
hoặc có trách nhiệm quản lý liên quan đến ISMS. Các khía cạnh cụ thể của
ISMS đòi hỏi sự đối thoại với cấp quản lý.
Để thiết kế các biện pháp kiểm soát đã chọn để xử lý rủi ro, điều quan trọng là
phải thiết kế môi trường bảo mật ICT và bảo mật vật lý và môi trường bảo mật

tổ chức. Bảo mật ICT không chỉ đối phó với hệ thống thông tin và mạng mà
còn với các yêu cầu vận hành. Bảo mật vật lý liên quan đến mọi khía cạnh của
kiểm soát truy cập, không-từ chối, bảo vệ về mặt vật lý các tài sản thông tin và
những gì được lưu trữ hoặc lưu giữ, cũng như tự nó là một phương tiện bảo vệ
cho chính bản thân các biện pháp kiểm soát bảo mật.
Các biện pháp kiểm soát được lựa chọn trong các hành động được mô tả trong
điều 8.3 nên được triển khai theo một kế hoạch triển khai có cấu trúc cụ thể và
chi tiết, như là một phần của kế hoạch dự án ISMS. Phần cụ thể này của kế
hoạch dự án ISMS nên xác định cách làm thế nảo để xử lý từng rủi ro để đạt
được các mục tiêu kiểm soát. Phần cụ thể này của kế hoạch dự án ISMS là thiết
yếu nếu các biện pháp kiểm soát đã chọn được triển khai một cách đúng đắn và
hiệu quả. Nhóm quản lý bảo mật thông tin chịu trách nhiệm vạch ra phần cụ
thể này của kế hoạch triển khai, sau đó tạo thành kế hoạch dự án ISMS cuối
cùng.

Hình 7 – Tổng quan về việc thiết kế các giai đoạn ISMS
9.2 Thiết kế bảo mật thông tin tổ chức

9.2.1 Thiết kế cấu trúc tổ chức sau cùng cho bảo mật thông tin
Hành động
Các chức năng của tổ chức, các vai trò và trách nhiệm đối với bảo mật thông
tin nên được liên kết với xử lý rủi ro.

Đầu vào
a) đầu ra từ Hành động 5.3.2 Xác định vai trò và trách nhiệm đối với phạm
vi sơ bộ của ISMS – Bảng vai trò và trách nhiệm;
b) đầu ra từ Hành động 6.5 Tích hợp từng phạm vi và ranh giới để có được
c) đầu ra từ Hành động 6.6 Phát triển chính sách ISMS và có được sự phê
d) đầu ra từ Hành động 7.2 Xác định các yêu cầu bảo mật thông tin cho quy
trình ISMS;
e) đầu ra từ Hành động 7.3 Xác định các tài sản trong phạm vi của ISMS;
f) đầu ra từ Hành động 7.4 Tiến hành đánh giá bảo mật thông tin;
g) đầu ra từ Hành động 8.2 Tiến hành đánh giá rủi ro – Kết quả của đánh
giá rủi ro;
h) đầu ra từ Hành động 8.3 Lựa chọn các mục tiêu kiểm soát và các biện
pháp kiểm soát.
i) ISO/IEC 27002:2005.
Hướng dẫn
Thiết kế của các cấu trúc và quy trình cho vận hành trong nội bộ ISMS nên tìm
cách xây dựng theo và tích hợp với những lĩnh vực đã có từ trước khi thích
hợp. Tương tự như vậy, việc tích hợp ISMS vào các cấu trúc quản lý đã có sẵn
(ví dụ, kiểm toán nội bộ) nên được tính đến trong quy trình thiết kế ISMS.
Cấu trúc tổ chức được thiết kế cho ISMS nên phản ảnh các hành động triển
khai và vận hành ISMS, cũng như là xác định, ví dụ, các phương pháp giám sát
và ghi nhận như là một phần của vận hành ISMS.
Một cách tương xứng, cấu trúc cho vận hành ISMS cũng nên được thiết kế dựa
trên việc triển khai ISMS đã được hoạch định bằng cách xem xét những điều
sau đây:
a) mỗi một vai trò trong triển khai ISMS có cần thiết cho vận hành ISMS
hay không?
b) các vai trò được xác định có khác với các vai trò trong triển khai ISMS
không?
c) những vai trò nào nên được thêm vào việc triển khai ISMS?
Ví dụ, những vai trò dưới đây có thể được thêm vào vận hành ISMS:
a) ai đó chịu trách nhiệm cho vận hành bảo mật thông tin trong mỗi bộ
phận;
b) ai đó chịu trách nhiệm đo lường ISMS trong mỗi bộ phận.
Việc xem xét những điểm được phác thảo trong Phụ lục B “Các vai trò và trách
nhiệm” có thể giúp quyết định cấu trúc và các vai trò cho vận hành ISMS bằng
cách duyệt lại cấu trúc và các vai trò cho việc triển khai ISMS.

Đầu ra
a) cấu trúc tổ chức, và vai trò và trách nhiệm của nó.
Thông tin khác

Phụ lục B – Thông tin về các vai trò và trách nhiệm.
Phụ lục C – Thông tin về hoạch định kiểm toán.
9.2.2 Thiết kế một khuôn khổ cho tài liệu của ISMS
Hành động
Những hồ sơ và tài liệu trong ISMS nên được kiểm soát bằng cách xác định các
yêu cầu và khuôn khổ cho phép hoàn thành các yêu cầu về kiểm soát liên tục
các hồ sơ và tài liệu trong ISMS.
Đầu vào
a) đầu ra từ Hành động 6.5 Tích hợp từng phạm vi và ranh giới để có được
b) định nghĩa phạm vi và ranh giới của ISMS;
c) đầu ra từ Hành động 6.6 Phát triển chính sách ISMS và có được sự phê
d) đầu ra từ Hành động 8.4 Có được sự ủy quyền từ cấp quản lý cho việc
triển khai và vận hành ISMS;
e) đầu ra từ Hành động 9.2.1 Thiết kế cấu trúc tổ chức sau cùng cho bảo
mật thông tin;
f) ISO/IEC 27005:2005.
Hướng dẫn
Việc thiết kế ghi nhận hồ sơ ISMS bao gồm những hành động sau:
a) một khuôn khổ mô tả các nguyên tắc dẫn chứng bằng tài liệu của ISMS,
cấu trúc của các thủ tục cho việc lập thành tài liệu ISMS, các vai trò
tham gia, định dạng dữ liệu, và hướng báo cáo cho cấp quản lý;
b) thiết kế các yêu cầu cho tài liệu;
c) thiết kế các yêu cầu cho việc ghi nhận (tài liệu).
Tài liệu ISMS nên bao gồm các hồ sơ về các quyết định của cấp quản lý; đảm
bảo rằng các hành động có thể theo dõi được đối với các quyết định và chính
sách của cấp quản lý, và rằng các kết quả đã được ghi lại có thể tái tạo được.
Các tài liệu ISMS nên cung cấp bằng chứng cho thấy các biện pháp kiểm soát
đã được lựa chọn dựa trên kết quả đánh giá rủi ro và xử lý rủi ro, đồng thời
các quy trình đó được triển khai cùng với chính sách và các mục tiêu của
ISMS.

Tài liệu là điều thiết yếu để tái lập các kết quả và các quy trình. Đối với các
biện pháp kiểm soát đã được chọn, việc thiết lập và lập hồ sơ về các thủ tục
phải có liên quan đến người chịu trách nhiệm về phần tài liệu thực tế.
Tài liệu ISMS nên bao gồm tài liệu như được chỉ định trong tài liệu tham khảo
ISO/IEC 27001:2005: 4.3.1.
Các tài liệu ISMS cần được quản lý và sẵn sàng cho nhân viên khi được yêu
cầu. Việc này bao gồm những điều sau đây:
a) thiết lập thủ tục hành chính của quản lý tài liệu ISMS;
b) phê duyệt chính thức các tài liệu về tính đầy đủ trước khi phát hành;
c) đảm bảo rằng các thay đổi và tình trạng sửa đổi hiện tại của các tài liệu
được xác định;
d) bảo vệ và kiểm soát các tài liệu như là một tài sản thông tin của tổ chức.
Điều quan trọng là các phiên bản liên quan có thể áp dụng được của tài liệu
phải sẵn sàng tại các điểm sử dụng, đảm bảo rằng tài liệu vẫn rõ ràng, dễ nhận
dạng, được chuyển giao, lưu trữ và cuối cùng, được xử lý tương ứng với các
thủ tục có thể được áp dụng cho việc phân loại chúng.
Ngoài ra, đảm bảo rằng các tài liệu có nguồn gốc bên ngoài được xác định,
rằng việc phân phối tài liệu được kiểm soát, ngăn chặn việc sử dụng ngoài ý
muốn các tài liệu lỗi thời và áp dụng theo dõi phù hợp nếu chúng được giữ lại
cho bất kỳ mục đích nào.
Hồ sơ phải được tạo, duy trì và kiểm soát để làm bằng chứng rằng ISMS của tổ
chức phù hợp với ISO/IEC 27001:2005 và để thể hiện tính hiệu quả của vận
hành.
Nó cũng được yêu cầu lưu giữ hồ sơ về tình trạng thực hiện cho toàn bộ giai
đoạn PDCA, cũng như hồ sơ về các sự cố và sự kiện bảo mật thông tin, hồ sơ
về giáo dục, đào tạo, kỹ năng, kinh nghiệm và trình độ, đánh giá ISMS nội bộ,
hành động khắc phục và phòng ngừa, và tổ chức Hồ sơ.
Các công việc sau đây cần được thực hiện để kiểm soát hồ sơ:
a) ghi lại các biện pháp kiểm soát cần thiết để xác định, lưu trữ, bảo vệ,
tìm kiếm và loại bỏ dữ liệu và lập thành văn bản về khoảng thời gian lưu
trữ của nó;
b) xác định những gì nên được ghi lại và ở mức độ nào, trong các quy trình
quản lý vận hành;
c) khi bất kỳ khoảng thời gian lưu giữ nào được quy định bởi pháp lý hoặc
pháp luật liên quan thì khoảng thời gian lưu giữ phải được thiết lập theo
yêu cầu pháp lý đó.

Đầu ra
a) một tài liệu tổng hợp các yêu cầu đối với lưu trữ ISMS và kiểm soát tài
liệu;
b) kho lưu trữ và các biểu mẫu cho các yêu cầu lưu trữ của ISMS
Thông tin khác

9.2.3 Thiết kế chính sách bảo mật thông tin

Hành động
Vị trí chiến lược của cấp quản lý và hành chính quản trị đối với các mục tiêu
bảo mật thông tin, đặc biệt nói về vận hành ISMS, nên được lập thành văn bản.
Đầu vào
a) đầu ra từ Hành động 5.2 Làm rõ các ưu tiên của tổ chức để thiết kế
ISMS – Các mục tiêu được tổng hợp và danh sách các yêu cầu;
b) đầu ra từ Hành động 5.4 Xây dựng đề án kinh doanh và kế hoạch dự án
cho sự phê duyệt của cấp quản lý – Phê duyệt ban đầu của cấp quản lý
đối với dự án ISMS;
c) đầu ra từ Hành động 6.5 Tích hợp mỗi phạm vi và ranh giới để có được
d) đầu ra từ Hành động 6.6 Phát triển chính sách ISMS và có được sự phê
duyệt từ cấp quản lý – Chính sách ISMS;
e) đầu ra từ Hành động 7.2 Xác định các yêu cầu bảo mật thông tin đối với
quy trình ISMS;
f) đầu ra từ Hành động 7.3 Xác định các tài sản trong phạm vi của ISMS;
g) đầu ra từ Hành động 7.4 Tiến hành đánh giá bảo mật thông tin;
h) đầu ra từ Hành động 8.2 Tiến hành đánh giá rủi ro – Kết quả đánh giá
rủi ro đầu ra từ Hành động 8.3 Lựa chọn các mục tiêu kiểm soát và các
biện pháp kiểm soát;
i) đầu ra từ Hành động 9.2.1 Thiết kế cấu trúc sau cùng của tổ chức cho
bảo mật thông tin;
j) đầu ra từ Hành động 9.2.2 Thiết kế khuôn khổ cho tài liệu ISMS;
k) tham chiếu ISO/IEC 27002:2005: 5.1.1
Hướng dẫn
Chính sách bảo mật thông tin ghi lại vị trí chiến lược của tổ chức đặc biệt là
về các mục tiêu bảo mật thông tin trong toàn tổ chức.
Chính sách được soạn thảo dựa trên thông tin và kiến thức. Điều gì đã được
cấp quản lý xác định là quan trọng trong quá trình phân tích đã tiến hành trước
đó nên được thể hiện rõ ràng và được nhấn mạnh trong chính sách nhằm tạo ra
động lực và sự khuyến khích trong tổ chức. Một điều quan trọng là cũng cần
chỉ ra điều gì sẽ xảy ra nếu chính sách không được tuân thủ. Các tác động của

luật pháp và pháp lý có ảnh hưởng đến tổ chức được đề cập cũng cần được
nhấn mạnh.
Ví dụ về chính sách bảo mật thông tin có thể được lấy từ tài liệu tham khảo,
Internet, các hiệp hội cùng lợi ích và hiệp hội ngành. Các công thức và gợi ý
có thể được rút ra từ các báo cáo hàng năm, các tài liệu chính sách khác hoặc
các tài liệu khác mà cấp quản lý hỗ trợ.
Có thể có những cách diễn giải và yêu cầu khác nhau về quy mô thực tế của
một chính sách. Chính sách nên được tóm tắt một cách đầy đủ để nhân viên có
thể hiểu được mục đích của chính sách. Ngoài ra, nên phân biệt đầy đủ những
mục tiêu nào cần thiết để giải quyết tập hợp các quy định và mục tiêu của tổ
chức.
Quy mô và cấu trúc của chính sách bảo mật thông tin nên hỗ trợ các tài liệu
được sử dụng trong giai đoạn tiếp theo của quá trình giới thiệu hệ thống quản
lý bảo mật thông tin (xem thêm phụ lục D - Thông tin về cấu trúc chính sách).
Đối với các tổ chức lớn và phức tạp (ví dụ: với các lĩnh vực hoạt động khác
nhau trên phạm vi rộng), có thể cần phải thiết lập một chính sách tổng thể và
một số chính sách cơ bản được điều chỉnh về mặt vận hành.
Hướng dẫn về nội dung của tài liệu chính sách bảo mật thông tin được cung
cấp trong tài liệu tham khảo ISO/IEC 27002:2005 5.1.1.
Chính sách được đề xuất (với số hiệu phiên bản và ngày) nên được kiểm tra
chéo và thiết lập trong tổ chức bởi người quản lý vận hành. Sau khi thành lập
trong nhóm quản lý hoặc tương đương, người quản lý vận hành phê duyệt
chính sách bảo mật thông tin. Sau đó, nó được truyền đạt cho mọi người trong
tổ chức theo cách có liên quan, dễ tiếp cận và dễ hiểu đối với người đọc.
Đầu ra
Sản phẩm có thể được chuyển giao của hành động này là một tài liệu về chính
sách bảo mật thông tin.
Thông tin khác

Phụ lục B – Thông tin về các vai trò và trách nhiệm.
Phụ lục D – Thông tin về cấu trúc (của) chính sách.
9.2.4 Phát triển các tiêu chuẩn và thủ tục bảo mật thông tin
Hành động
Các tiêu chuẩn và thủ tục bảo mật thông tin đề cập đến toàn bộ hoặc các bộ
phận cụ thể của tổ chức nên được phát triển.

Đầu vào
b) đầu ra từ Hành động 6.6 Phát triển chính sách ISMS và có được sự phê
c) đầu ra từ Hành động 8.2 Tiến hành đánh giá rủi ro;
d) đầu ra từ Hành động 8.3 Lựa chọn các mục tiêu kiểm soát và các biện
pháp kiểm soát;
e) đầu ra từ Hành động 8.4 Có được sự ủy quyền từ cấp quản lý cho việc
triển khai và vận hành ISMS – Tuyên bố về tính có thể áp dụng được,
bao gồm các mục tiêu kiểm soát và các biện pháp kiểm soát được chọn;
f) đầu ra từ Hành động 9.2.1 Thiết kế cấu trúc tổ chức cuối dùng cho bảo
mật thông tin;
g) đầu ra từ Hành động 9.2.2 Thiết kế một khuôn khổ cho tài liệu của
ISMS;
h) đầu ra từ Hành động 9.2.3 Thiết kế chính sách bảo mật thông tin;
i) ISO/IEC 27002:2005.
Hướng dẫn
Để cung cấp nền tảng cho nhiệm vụ bảo mật thông tin trong tổ chức, các tiêu
chuẩn bảo mật thông tin cũng như tập hợp các yêu cầu pháp lý và quy định
hiện hành phải sẵn sàng cho những người cần biết.
Đại diện của các bộ phận khác nhau của tổ chức thuộc phạm vi của ISMS nên
tham gia vào quá trình phát triển các tiêu chuẩn và thủ tục. Những người tham
gia phải có thẩm quyền và là đại diện của tổ chức. Ví dụ, có thể bao gồm các
vai trò sau:
a) các nhà quản lý bảo mật thông tin;
b) đại diện cho bảo mật vật lý;
c) chủ sở hữu của Hệ thống thông tin; và
d) chủ sở hữu quy trình của các khu vực chiến lược và vận hành.
Lời khuyên là nên giữ nhóm biên tập càng nhỏ càng tốt, với tùy chọn bổ nhiệm
các chuyên gia cho nhóm trên cơ sở theo yêu cầu tạm thời. Mỗi người đại diện
nên liên lạc một cách tích cực với khu vực riêng của họ trong tổ chức để cung
cấp hỗ trợ vận hành liền mạch. Điều này sau đó tạo điều kiện cho việc tinh
chỉnh sau này dưới dạng các thủ tục và quy trình ở cấp độ vận hành.
Sau đó, các tiêu chuẩn và thủ tục bảo mật nên được sử dụng làm cơ sở để thiết
kế các quy trình kỹ thuật hoặc vận hành chi tiết.
Một cách hữu ích để tiếp cận việc phát triển các tiêu chuẩn và quy trình bảo
mật thông tin là xem xét từng điểm hướng dẫn triển khai trong ISO/IEC
27001:2005 và ISO/IEC 27002:2005 được coi là có thể áp dụng (dựa trên kết
quả đánh giá rủi ro), và mô tả chính xác cách mà nó nên được áp dụng.

Việc đánh giá bất kỳ tiêu chuẩn và thủ tục bảo mật thông tin hiện có nào cần
được xem xét. Ví dụ, chúng có thể được tinh chỉnh và phát triển, hay chúng
cần được thay thế một cách hoàn toàn?
Tài liệu liên quan và cập nhật phải được cung cấp cho mọi thành viên của nhân
viên trong phạm vi. Các tiêu chuẩn và thủ tục về bảo mật thông tin phải áp
dụng cho toàn bộ tổ chức hoặc làm rõ vai trò, hệ thống và lĩnh vực nào được
bao phủ. Phiên bản đầu tiên nên được đưa ra một cách kịp thời.
Quá trình sửa đổi và xem xét nên được xác định ở giai đoạn đầu. Sau đó, một
chiến lược cần được vạch ra về việc thông tin về những thay đổi chính sách
được phân phối như thế nào.
Đầu ra
a) sản phẩm có thể chuyển giao được từ hành động này là một kế hoạch
triển khai các biện pháp kiểm soát chi tiết và có cấu trúc liên quan đến
bảo mật của tổ chức như là một phần của kế hoạch dự án ISMS cuối
cùng, để bao gồm một khuôn khổ được lập thành văn bản của tổ hợp các
tiêu chuẩn bảo mật thông tin;
b) các tiêu chuẩn bảo mật thông tin bao gồm đường tiêu chuẩn cơ sở của tổ
chức;
c) các thủ tục bảo mật thông tin hoàn thành các tiêu chuẩn bảo mật thông
tin.
Thông tin khác

Phụ lục D – Thông tin về cấu trúc chính sách (ISMS).
9.3 Thiết kế bảo mật thông tin vật lý và ICT

Hành động
Các kiểm soát bảo mật thông tin vật lý và bảo mật ICT nên được thiết kế.
Đầu vào
c) đầu ra từ Hành động 7.2 Xác định các yêu cầu bảo mật thông tin cho quy
trình ISMS;
d) đầu ra từ Hành động 7.3 Xác định các tài sản trong phạm vi ISMS;
e) đầu ra từ Hành động 7.4 Tiến hành đánh giá bảo mật thông tin;
f) đầu ra từ Hành động 8.3 Lựa chọn các mục tiêu kiểm soát và các biện
pháp kiểm soát;

g) đầu ra từ Hành động 8.4 Có được sự ủy quyền từ cấp quản lý cho việc
bao gồm các mục tiêu kiểm soát và các biện pháp kiểm soát được chọn;
h) ISO/IEC 27002:2005.
Hướng dẫn
Trong hành động này, những điều dưới đây nên được lập thành văn bản đối với
từng biện pháp kiểm soát, vốn nên là một phần của kế hoạch dự án ISMS:
a) tên của người chịu trách nhiệm triển khai một biện pháp kiểm soát;
b) độ ưu tiên của biện pháp kiểm soát được triển khai;
c) các tác vụ hoặc hành động để triển khai các biện pháp kiểm soát;
d) tuyên bố về thời gian mà theo đó các biện pháp kiểm soát nên được triển
khai;
e) người mà việc triển khai biện pháp kiểm soát nên được báo cáo, một khi
hoàn thành (việc triển khai);
f) những tài nguyên cần cho việc triển khai (nhân công, các yêu cầu về tài
nguyên, yêu cầu về không gian, chi phí);
Ban đầu, bảo mật thông tin vật lý và bảo mật ICT nên được thiết kế dựa trên
khái niệm. Những điều dưới đây nên được cân nhắc:
Trách nhiệm về quy trình triển khai ban đầu thường bao gồm:
a) đặc tả kỹ thuật của các mục tiêu kiểm soát cùng với mô tả về trạng thái
đã định được kỳ vọng;
b) phân bổ các tài nguyên (tải trọng công việc, tài nguyên tài chính);
c) mục tiêu thời gian thực tế cho việc triển khai biện pháp kiểm soát;
d) các lựa chọn tích hợp với bảo mật ICT, bảo mật vật lý và bảo mật tổ
chức.
Sau khi thiết kế ý khái niệm, thiết kế thực tế chẳng hạn như phát triển hệ thống
để đạt được và triển khai thực tiễn tốt nhất cho tổ chức nên được thực hiện.
Những điều dưới đây nên được xem xét:
Trách nhiệm về quy trình triển khai thực tế bao gồm:
a) thiết kế từng biện pháp kiểm soát được chọn cho những khu vực ICT, vật
lý và thuộc về tổ chức ở mức độ vận hành của không gian làm việc;
b) thuyết minh từng biện pháp kiểm soát theo thiết kế đã thỏa thuận;
c) cung cấp các thủ tục và thông tin cho các khóa đào tạo và kiểm soát
nâng cao nhận thức về bảo mật;
d) cung cấp sự hỗ trợ và triển khai các biện pháp kiểm soát tại nơi làm
việc.
Tùy thuộc vào kiểu của các biện pháp kiểm soát (ICT, vật lý hay tổ chức),
không phải lúc nào cũng thích hợp hoặc cần thiết để phác thảo ra một ranh giới
rõ ràng giữa phần khởi đầu và phần kết thúc của quy trình triển khai.

Việc triển khai các biện pháp kiểm soát thường đòi hỏi sự hợp tác giữa vài vai
trò khác nhau trong một tổ chức. Vì vậy, ví dụ, những người chịu trách nhiệm
cho hệ thống sẽ được cần đến để mua sắm, cài đặt và bảo trì các phương tiện
kỹ thuật. Các vai trò khác có thể thích hợp hơn với việc sáng chế ra và lập
thành văn bản các thủ tục quản trị việc sử dụng hệ thống.
Bảo mật thông tin nên được tích hợp vào các thủ tục và quy trình ở quy mô tổ
chức. Nếu việc này minh chứng cho sự khó khăn đối với một phần của tổ chức,
hoặc một bên thứ ba khác, để triển khai, các bên liên quan nên truyền thông
điều này ngay lập tức để từ đó một giải pháp có thể được thống nhất. Các giải
pháp cho loại vấn đề này bao gồm sự sửa đổi các quy trình và thủ tục, tái phân
bổ các vai trò và trách nhiệm và điều chỉnh các thủ tục kỹ thuật.
Những điều sau đây là kết quả của việc triển khai các biện pháp kiểm soát
ISMS:
a) kế hoạch triển khai chỉ định các chi tiết của việc triển khai các biện
pháp kiểm soát, chẳng hạn như lịch trình, cấu trúc của nhóm triển khai,
v.v…;
b) các hồ sơ và tài liệu về kết quả của việc triển khai.
Đầu ra
Những sản phẩm có thể chuyển giao từ hành động này là một kế hoạch triển
khai chi tiết và có cấu trúc các biện pháp kiểm soát liên quan đến bảo mật ICT
và bảo mật vật lý như là một phần của Kế hoạch Dự án ISMS, để bao gồm, cho
từng biện pháp kiểm soát:
a) mô tả chi tiết;
b) trách nhiệm trong thiết kế và triển khai;
c) thời gian biểu được kỳ vọng;
d) các tác vụ liên quan;
e) những tài nguyên được yêu cầu;
f) chủ sở hữu (hệ thống cấp bậc báo cáo).
Thông tin khác

9.4 Thiết kế bảo mật thông tin ISMS cụ thể

9.4.1 Lên kế hoạch để cấp quản lý đánh giá
Hành động
Một kế hoạch nên được phát triển để đảm bảo sự tham gia và sự cam kết của
cấp quản lý để đánh giá vận hành và liên tục cải tiến ISMS.
Đầu vào

c) đầu ra từ Hành động 8.4 Có được sự ủy quyền của cấp quản lý cho việc
bao gồm các mục tiêu kiểm soát và các biện pháp kiểm soát được lựa
chọn;
d) đầu ra từ Hành động 9.2.3 Thiết kế chính sách bảo mật thông tin;
e) ISO/IEC 27004:2009.
Hướng dẫn
Việc xem xét của cấp quản lý đối với các hành động ISMS nên bắt đầu ở giai
đoạn sớm nhất của việc xây dựng đặc tả kỹ thuật ISMS và đề án kinh doanh và
tiếp tục đến quá trình đánh giá thường xuyên sự vận hành ISMS. Sự tham gia
chặt chẽ này cung cấp một phương tiện để xác minh ISMS theo nhu cầu của
doanh nghiệp và để duy trì cam kết của doanh nghiệp với ISMS.
Việc hoạch định về sự xem xét của cấp quản lý bao gồm việc thiết lập thời
điểm và cách thức tiến hành các cuộc xem xét của cấp quản lý. Thông tin chi
tiết về các điều kiện tiên quyết cho việc xem xét của cấp quản lý được nêu
trong điều khoản 7.2 của ISO/IEC 27001:2005.
Để lập kế hoạch xem xét, cần phải thực hiện đánh giá những vai trò nào có liên
quan. Sự chấp thuận của cấp quản lý cần được theo đuổi để lựa chọn các vai
trò, và sau đó các vai trò này nên được thông báo sớm nhất có thể. Nên cung
cấp cho cấp quản lý những dữ liệu đầy đủ về sự cần thiết cho, và mục đích của,
quá trình xem xét. (Xem Phụ lục B để biết thêm thông tin về vai trò và trách
nhiệm).
Những đánh giá của cấp quản lý phải dựa trên kết quả từ các phép đo lường
ISMS và các thông tin khác được thu thập trong quá trình vận hành ISMS.
Thông tin này được sử dụng bởi các hoạt động của việc quản lý ISMS để xác
định mức độ trưởng thành và tính hiệu quả của ISMS. Các đầu vào và đầu ra
bắt buộc đối với các phép đo ISMS được nêu trong ISO/IEC 27001:2005 và
thông tin thêm về các phép đo lường ISMS có trong Phụ lục E và ISO/IEC
27004:2009.
Cũng cần lưu ý rằng việc này nên bao gồm việc xem xét phương pháp luận và
kết quả (của) đánh giá rủi ro. Việc này phải diễn ra theo các khoảng thời gian
đã được hoạch định, có tính đến mọi thay đổi trong môi trường, chẳng hạn như
tổ chức và công nghệ.
Việc hoạch định kiểm toán ISMS nội bộ cần được thực hiện để có thể thường
xuyên đánh giá ISMS sau khi nó đã được triển khai. Kết quả kiểm toán ISMS
nội bộ là đầu vào quan trọng của việc xem xét sự quản lý ISMS. Do đó, trước
khi việc xem xét của cấp quản lý được tiến hành, kiểm toán ISMS nội bộ nên

được hoạch định. Kiểm toán ISMS nội bộ nên bao gồm quan điểm rằng liệu các
mục tiêu kiểm soát, các biện pháp kiểm soát, các quy trình và thủ tục của
ISMS có được thực hiện và duy trì một cách hiệu quả và tuân thủ với:
a) các yêu cầu của ISO/IEC 27001:2005,
b) luật pháp hoặc quy định liên quan, và
c) các yêu cầu bảo mật thông tin đã xác định.
(Xem Phụ lục C để biết thêm thông tin về việc hoạch định việc kiểm toán.)
Điều kiện tiên quyết của đánh giá của cấp quản lý là thông tin được thu thập
dựa trên hệ thống ISMS đã được triển khai và vận hành. Thông tin được cung
cấp cho nhóm đánh giá của cấp quản lý có thể bao gồm:
c) các báo cáo sự cố cho giai đoạn vận hành gần nhất;
d) xác minh tính hiệu lực của kiểm soát và sự không phù hợp đã xác định;
e) kết quả của các cuộc kiểm tra thường xuyên khác (nhiều chi tiết hơn nếu
các cuộc kiểm tra phát hiện ra sự không tuân thủ chính sách);
f) các khuyến nghị để cải tiến ISMS.
Một kế hoạch giám sát nên lập thành văn bản các kết quả giám sát cần được
ghi lại và được báo cáo cho cấp quản lý (để biết thêm thông tin về giám sát,
xem Phụ lục E).
Đầu ra
Đầu ra sản phẩm có thể chuyển giao được từ hành động này là một tài liệu tóm
tắt kế hoạch cần thiết cho việc xem xét của cấp quản lý nhằm giải quyết:
a) các đầu vào được yêu cầu để hoàn thành một xem xét ISMS của cấp quản
lý;
b) các thủ tục cho việc xem xét của cấp quản lý bao hàm việc kiểm toán và
giám sát và đo lường các khía cạnh;
Thông tin khác

Phụ lục B – Các vai trò và trách nhiệm đối với bảo mật thông tin;
Phụ lục C – Thông tin về Kiểm toán nội bộ;
Phụ lục E – Thông tin về việc thiết lập Giám sát và Đo lường.
9.4.2 Thiết kế chương trình đào tạo và giáo dục, nâng cao nhận thức về bảo
mật thông tin
Hành động
Chương trình giáo dục và đào tạo, nâng cao nhận thức về bảo mật thông tin
nên được phát triển.
Đầu vào

c) đầu ra từ Hành động 7.2 Xác định các yêu cầu bảo mật thông tin đối với
quy trình ISMS – Đặc biệt là các yêu cầu tổ chức về đào tạo và giáo dục
bảo mật thông tin;
d) đầu ra từ Hành động 8.4 Có được sự ủy quyền của cấp quản lý cho việc
bao gồm các mục tiêu kiểm soát và các biện pháp kiểm soát được lựa
chọn;
e) đầu ra từ Hành động 8.3 Lựa chọn các mục tiêu kiểm soát và các biện
pháp kiểm soát – Kế hoạch xử lý rủi ro;
f) đầu ra từ Hành động 9.2.3 Thiết kế chính sách bảo mật thông tin;
g) đầu ra từ Hành động 9.2.4 Phát triển các tiêu chuẩn và thủ tục bảo mật
thông tin;
h) tổng quan về chương trình đào tạo và giáo dục chung của tổ chức.
Hướng dẫn
Ban quản lý chịu trách nhiệm thực hiện giáo dục và đào tạo để đảm bảo rằng
tất cả nhân sự được phân bổ một vai trò được xác định rõ ràng đều có năng lực
thực hiện các vận hành cần thiết. Tốt nhất, nội dung giáo dục và đào tạo được
thực hiện phải giúp tất cả nhân viên nhận thức được và hiểu được về ý nghĩa
và tầm quan trọng của các hoạt động bảo mật thông tin mà họ tham gia cũng
như cách họ có thể đóng góp để đạt được các mục tiêu của ISMS.
Tại thời điểm này, điều quan trọng là đảm bảo rằng mọi nhân viên trong phạm
vi ISMS đều nhận được sự đào tạo và/hoặc giáo dục về bảo mật cần thiết.
Trong các tổ chức lớn, một bộ tài liệu đào tạo đơn lẻ nói chung là không đủ, vì
nó sẽ chứa quá nhiều dữ liệu chỉ liên quan đến các loại công việc cụ thể và do
đó sẽ lớn, phức tạp và khó sử dụng. Trong những trường hợp như vậy, thường
là thích hợp để có các bộ tài liệu đào tạo khác nhau được thiết kế cho từng loại
vai trò rộng lớn, chẳng hạn như nhân viên văn phòng, nhân viên CNTT hoặc tài
xế, được tùy chỉnh cho nhu cầu cụ thể của họ.
Một chương trình đào tạo và giáo dục nâng cao nhận thức về bảo mật thông tin
nên đảm bảo rằng các hồ sơ đào tạo và giáo dục về bảo mật được tạo ra. Các
hồ sơ này phải thường xuyên được xem xét để đảm bảo rằng tất cả nhân viên
đã được đào tạo theo yêu cầu của họ. Cần có một vai trò chịu trách nhiệm cho
quá trình này.
Tài liệu đào tạo về bảo mật thông tin nên được thiết kế để gắn với các tài liệu
đào tạo khác được sử dụng bởi tổ chức, đặc biệt là các khóa đào tạo cung cấp
cho người sử dụng hệ thống CNTT. Lý tưởng nhất là việc đào tạo về các khía
cạnh liên quan đến bảo mật thông tin nên được tích hợp vào mọi khóa đào tạo
dành cho người dùng CNTT.
Tài liệu đào tạo về bảo mật thông tin tối thiểu phải bao gồm các điểm sau, phù
hợp với đối tượng mục tiêu:

a) rủi ro và các mối đe dọa liên quan đến bảo mật thông tin;
b) các khái niệm cơ bản về bảo mật thông tin;
c) định nghĩa rõ ràng về sự cố bảo mật: hướng dẫn về cách một sự kiện có
thể được xác định là sự cố bảo mật như thế nào và cách nó (sự kiện bảo
mật) được xử lý và báo cáo;
d) chính sách, tiêu chuẩn và thủ tục bảo mật thông tin, của tổ chức
e) trách nhiệm và các kênh báo cáo liên quan đến bảo mật thông tin trong
tổ chức;
f) hướng dẫn về cách hỗ trợ trong việc cải thiện bảo mật thông tin;
g) hướng dẫn về các sự cố bảo mật thông tin và báo cáo;
h) nơi lấy thêm thông tin.
Một nhóm đào tạo về bảo mật thông tin nên được xác định và có thể bao gồm
các nhiệm vụ sau:
a) tạo và quản lý hồ sơ đào tạo;
b) tạo và quản lý tài liệu đào tạo;
c) thực hiện đào tạo
Các nhiệm vụ này có thể được phân bổ bằng cách sử dụng nhân viên đào tạo
hiện có. Tuy nhiên, đội ngũ nhân viên hiện tại có thể đòi hỏi được đào tạo
đáng kể về các khái niệm bảo mật thông tin để đảm bảo rằng những khái niệm
này được trình bày một cách hiệu quả và chính xác.
Một chương trình giáo dục, đào tạo và nâng cao nhận thức về bảo mật thông
tin nên bao gồm một thủ tục để đảm bảo rằng các tài liệu đào tạo được xem xét
và cập nhật thường xuyên. Cần có một vai trò rõ ràng chịu trách nhiệm về việc
xem xét và cập nhật tài liệu đào tạo.
Đầu ra
Những sản phẩm có thể chuyển giao được từ hành động này là:
a) các tài liệu đào tạo và giáo dục, nâng cao nhận thức bảo mật thông tin;
b) sự hình thành đào tạo và giáo dục, nâng cao nhận thức bảo mật thông
tin, bao gồm các vai trò và trách nhiệm;
c) các kế hoạch đào tạo và giáo dục, nâng cao nhận thức bảo mật thông tin;
d) các hồ sơ thực tế cho thấy kết quả của đào tạo và giáo dục, nâng cao
nhận thức bảo mật thông tin cho nhân viên.
Thông tin khác

9.5 Tiến hành kế hoạch dự án ISMS cuối cùng

Hành động
Một kế hoạch dự án ISM nên được hoàn thiện bao gồm các hành động cần thiết
để triển khai các biện pháp kiểm soát đã được chọn.

Đầu vào
c) đầu ra từ Hành động 9.2 – Thiết kế Bảo mật thông tin của tổ chức;
d) đầu ra từ Hành động 9.3 – Thiết kế bảo mật ICT và bảo mật thông tin vật
lý;
e) đầu ra từ Hành động 9.4 – Thiết kế bảo mật thông tin cụ thể cho ISMS;
f) ISO/IEC 27002:2005
Hướng dẫn
Những hành động được yêu cầu để triển khai các biện pháp kiểm soát đã được
chọn và thực hiện các hành động có liên quan tới ISMS khác nên được chính
thức hóa trong một kế hoạch triển khai là một phần của dự án ISMS sau cùng.
Kế hoạch triển khai chi tiết có thể được hỗ trợ bởi các mô tả về các công cụ và
phương pháp triển khai được đề xuất. Vì một dự án ISMS có sự tham gia của
nhiều vai trò khác nhau trong tổ chức, điều quan trọng là các hành động được
bổ nhiệm một cách rõ ràng cho các bên chịu trách nhiệm, và kế hoạch được
truyền thông kể cả từ lúc khởi đầu dự án lẫn trong toàn bộ tổ chức.
Như mọi dự án, điều tất nhiên là người chịu trách nhiệm cho dự án đảm bảo
rằng tài nguyên đầy đủ đã được phân bổ cho dự án.
Đầu ra
Sản phẩm có thể chuyển giao được của hành động này là kế hoạc triển khai sự
án ISMS sau cùng.
Thông tin khác


Phụ lục A (cung cấp thông tin)

Mô tả danh mục kiểm tra
Mục đích
 cung cấp một danh mục kiểm tra các hành động được yêu cầu để thiết lập và triển khai ISMS;
 hỗ trợ việc giám sát tiến trình triển khai ISMS;
 ánh xạ các hành động triển khai ISMS với các yêu cầu tương ứng trong ISO/IEC 27001.
Giai đoạn triển khai Số Hành động, tham chiếu Bước tiên Đầu ra được lập thành văn bản Tham chiếu tới
ISO/IEC 27003 bước ISO/IEC 27003 quyết ISO/IEC 27001
5 Đạt được sự phê duyệt 1. Thu thập các mục tiêu Không có Danh sách các mục tiêu của công ty N/A
của cấp quản lý cho việc kinh doanh của công ty
triển khai ISMS 2. Hiểu về các hệ thống Không có Mô tả về các hệ thống quản lý hiện có N/A
quản lý hiện có
3. 5.2 Xác định các mục 1, 2 Tổng hợp các mục tiêu , nhu cầu bảo N/A
tiêu, nhu cầu bảo mật mật thông tin, các yêu cầu nghiệp vụ
thông tin, các yêu cầu đối với ISMS
nghiệp vụ đối với ISMS
4. Thu thập các quy định, Không có Tổng hợp quy định, yêu cầu tuân thủ N/A
yêu cầu tuân thủ và các và các tiêu chuẩn ngành có liên quan
tiêu chuẩn ngành có liên có thể áp dụng được cho công ty
quan có thể áp dụng được
cho công ty
5. 5.3 Xác định phạm vi sơ 3, 4 Mô tả về phạm vi sơ bộ của ISMS N/A
bộ ISMS (5.3.1)
Mô tả về các vai trò và trách nhiệm
đối với ISMS (5.3.2)
6. 5.4 Xây dựng đề án kinh 5 Đề án kinh doanh và kế hoạch dự án N/A
doanh và kế hoạch dự án được đề xuất
cho sự phê duyệt của cấp
quản lý
7. 5.5 Có được sự phê duyệt 6 Phê duyệt của cấp quản lý để khởi đầu N/A
và cam kết của cấp quản một dự án triển khai ISMS

lý để khởi đầu một dự án
triển khai ISMS
6 Xác định Phạm vi 8. 6.2 Xác định ranh giới tổ 7 - Mô tả về ranh giới của tổ chức 4.2.1 a) (một
ISMS và Chính sách chức - Các chức năng và cấu trúc của tổ phần)
ISMS chức
- Thông tin trao đổi xuyên qua ranh
giới
- Các quy trình nghiệp vụ và trách
nhiệm đối với tài sản thông tin
trong và ngoài phạm vi
9. 6.3 Xác định ranh giới 7 - Mô tả về ranh giới của ICT 4.2.1 a) (một
công nghệ truyền thông - Mô tả về các hệ thống thông tin và phần)
thông tin mạng truyền thông mô tả về bên
trong và bên ngoài phạm vi.
10. 6.4 Xác định ranh giới 7 - Mô tả ranh giới vật lý của ISMS 4.2.1 a) (một
vật lý - Mô tả tổ chức và các đặc trưng địa phần)
lý của nó mô tả về bên trong và bên
ngoài phạm vi.
11. 6.5 Ranh giới sau cùng 8, 9, 10 Một tài liệu mô tả phạm vi và ranh 4.2.1 a)
cho phạm vi ISMS giới của ISMS
12. 6.6 Phát triển chính sách 11 Chính sách ISMS được cấp quản lý 4.2.1 b)
ISMS phê duyệt
7 Tiến hành phân tích tổ 13. 7.2 Xác định yêu cầu bảo 12 Danh sách các quy trình, chức năng, N/A
chức mật thông tin hỗ trợ cho vị trí, hệ thống thông tin, mạng truyền
ISMS thông chính
Các yêu cầu của tổ chức xác định tính N/A
bảo mật, tính sẵn sàng và tính toàn
vẹn.
Các yêu cầu của tổ chức xác định luật 4.2.1 c)
lệ và quy định, các yêu cầu bảo mật 1) một phần

thông tin kinh doanh và hợp đồng.
Danh sách các lỗ hổng đã biết đối với 4.2.1 d)
tổ chức. 3)
14. 7.3 Xác định các tài sản 13 Mô tả các quy trình chính của tổ chức N/A
trong phạm vi ISMS Xác định những tài sản thông tin và 4.2.1 d)
các quy trình chính của tổ chức 1)
Phân loại các tài sản/quy trình quan N/A
trọng
15. 7.4 Tạo ra đánh giá bảo 14 - Tài liệu về tình trạng và đánh giá 4.2.1 e)
mật thông tin bảo mật thông tin hiện tại của tổ 1)
chức, bao gồm các biện pháp kiểm Một phần
soát bảo mật thông tin hiện hữu
- Tài liệu về những khiếm khuyết của
tổ chức (về bảo mật thông tin) đã
được xem xét và đánh giá
8 Tiến hành đánh giá rủi 16. 8.2 Tiến hành đánh giá 15. - Phạm vi của đánh giá rủi ro 4.2.1 c)
ro và lựa chọn các rủi ro - Phương pháp đánh giá rủi ro đã 1)
phương án xử lý rủi ro được chọn, liên kết với bối cảnh
chiến lược quản lý rủi ro của tổ
chức
- Tiêu chí chấp thuận rủi ro
17. 8.3 Lựa chọn các mục 16 Đánh giá rủi ro cấp cao được lập 4.2.1 e)
tiêu kiểm soát và các biện thành văn bản 1)
pháp kiểm soát Một phần
Xác định nhu cầu đánh giá rủi ro N/A
chuyên sâu bổ sung
Đánh giá rủi ro chuyên sâu được lập 4.2.1 e)
thành văn bản 3)
Một phần
Kết quả tổng hợp của đánh giá rủi ro N/A

18. 8.4 Có được sự phê duyệt 17 Các rủi ro và các phương án đã được 4.2.1 f)
của cấp quản lý cho việc xác định để xử lý rủi ro
triển khai ISMS Các mục tiêu và biện pháp kiểm soát 4.2.1 g)
được lựa chọn để giảm thiểu rủi ro
19. Phê duyệt của cấp quản lý 18 Phê duyệt được lập thành văn bản của 4.2.1 h)
cho những rủi ro tồn đọng cấp quản lý cho những rủi ro tồn đọng
được đề xuất (nên là đầu ra của 8.4)
20. Sự ủy quyền của cấp quản 19. Ủy quyền được lập thành văn bản của 4.2.1 i)
lý cho việc triển khai và cấp quản lý để triển khai và vận hành
vận hành ISMS ISMS (nên là đầu ra của 8.4)
21. Chuẩn bị tuyên bố về tính 18 Tuyên bố về tính có thể áp dụng được 4.2.1 j)
có thể áp dụng được
9 Thiết kế ISMS 22. 9.2 Thiết kế bảo mật của 20 Cấu trúc tổ chức và các vai trò và 5.1 c)
tổ chức trách nhiệm liên quan đến bảo mật
thông tin của mình
- Xác định các tài liệu liên quan đến 4.3
ISMS
- Các biểu mẫu dành cho các hồ sơ và
hướng dẫn cho sử dụng và lưu trữ
Tài liệu chính sách bảo mật thông tin ISO/IEC 27002;
5.1.1
Đường cơ sở của chính sách bảo mật
thông tin và các thủ tục (và nếu có
thể, các kế hoạch phát triển các chính
sách và thủ tục cụ thể, v.v…)
23. 9.3 Thiết kế bảo mật ICT 20, 21 - Các kế hoạch triển khai dự án để 4.2.2 c)
và bảo mật thông tin vật triển khai quy trình cho các biện Một phần
lý pháp kiểm soát bảo mật được chọn
đối với bảo mật thông tin vật lý và
bảo mật ICT.

24. 9.4 Thiết kế bảo mật 22, 23 Các thủ tục mô tả các quy trình báo 7.1
thông tin cụ thể cho cáo và đánh giá của cấp quản lý
ISMS
25. - Các mô tả cho kiểm toán, giám sát 4.2.3 a) một
và đo lường phần;
4.2.3 b) một
phần;
6
26 - Một chương trình đào tạo và nâng 5.2.2
cao nhận thức
27. 9.5 Đệ trình kế hoạch dự 25 Kế hoạch triển khai dự án được cấp N/A
án ISMS sau cùng quản lý phê duyệt đối với các quy
trình triển khai
28. Kế hoạch dự án ISMS sau 28 Một kế hoạch triển khai dự án cụ thể N/A
cùng ISMS cho tổ chức bao hàm các bước
thực thi những hành động đã được
hoạch định của bảo mật tổ chức, ICT
và thông tin vật lý cũng như các yêu
cầu cụ thể đối với ISMS cho việc triển
khai ISMS tương ứng với các kết quả
của những hành động được bao gồm
trong ISO/IEC 27003

Phụ lục B (cung cấp thông tin)

Vai trò và trách nhiệm bảo mật thông tin
Phụ lục này cung cấp hướng dẫn bổ sung về các vai trò và trách nhiệm trong
một tổ chức liên quan tới bảo mật thông tin. Các vai trò được đưa ra trước tiên
trong quan điểm của tổ chức để triển khai ISMS. Một bảng tóm tắt những
thông tin này và trình bày các ví dụ chung chung về các vai trò và trách nhiệm
1. Vai trò của Tiểu ban Bảo mật Thông tin
Tiểu ban bảo mật thông tin nên có vai trò lãnh đạo đối với ISMS trong
một tổ chức. Tiểu ban bảo mật thông tin nên chịu trách nhiệm về việc xử
lý tài sản thông tin của tổ chức, và nên có sự hiểu biết đầy đủ về bảo
mật thông tin để định hướng, giám sát và hoàn thành các tác vụ cần
thiết.
Dưới đây là những ví dụ của các vai trò tiểu ban bảo mật thông tin có
thể có:
a) Hoàn tất việc quản lý rủi ro, thiết lập kế hoạch cho các tài liệu ISMS,
chịu trách nhiệm xác định nội dung của các tài liệu này và nhận được
sự chấp nhận của cấp quản lý.
b) Hoạch định mua sắm thiết bị mới và/hoặc quyết định việc tái sử dụng
thiết bị hiện có mà tổ chức đang sở hữu.
c) Xử lý mọi vấn đề có thể phát sinh.
d) Xem xét các cải tiến phát sinh từ việc triển khai và đo lường ISMS;
e) Đưa ra định hướng chiến lược cho ISMS (cả trong quá trình triển khai
và vận hành); và
f) Liên lạc giữa quản lý cấp cao với nhóm dự án triển khai và những
người làm công tác bảo mật thông tin.
2. Vai trò của Nhóm Hoạch định Bảo mật Thông tin
Nhóm dự án chịu trách nhiệm về ISMS, khi hoạch định dự án, cần được
hỗ trợ bởi các thành viên có hiểu biết rộng về các tài sản thông tin quan
trọng trong phạm vi ISMS và có đủ kiến thức để xem xét cách xử lý
thông tin này. Ví dụ, khi xác định cách xử lý tài sản thông tin, có thể có
những ý kiến khác nhau giữa các bộ phận trong phạm vi ISMS, do đó có
thể cần điều chỉnh những tác động tích cực và tiêu cực của kế hoạch.
Nhóm dự án được yêu cầu làm việc với tư cách là người điều phối các
xung đột xuyên qua ranh giới giữa các phòng ban. Để làm được điều này,
các thành viên cần có kỹ năng giao tiếp dựa trên kinh nghiệm và khả
năng điều phối của họ, cũng như kiến thức cao về bảo mật.
3. Các chuyên gia và Tư vấn bên ngoài

Một tổ chức nên lựa chọn các thành viên cho các nhiệm vụ nói trên (nếu
có thể, các thành viên với vai trò độc quyền) trước khi thiết lập ISMS.
Tuy nhiên, các thành viên cần có kiến thức sâu rộng và kinh nghiệm
trong lĩnh vực bảo mật thông tinnhư “CNTT”, “quản lý quyết định” và
“hiểu biết về tổ chức”. Những người chịu trách nhiệm về các hoạt động
nhất định trong một tổ chức có thể biết rõ nhất các lĩnh vực cụ thể của
họ. Nhiều chuyên gia là chuyên gia trong các lĩnh vực cụ thể trong tổ
chức của họ nên được gọi là ISMS vì nó liên quan đến việc sử dụng
trong các lĩnh vực cụ thể của họ. Điều quan trọng là phải có sự cân bằng
giữa những ý kiến chuyên môn này với kiến thức rộng cần thiết để đáp
ứng các mục tiêu của tổ chức. Chuyên gia tư vấn bên ngoài có thể đưa ra
lời khuyên dựa trên quan điểm vĩ mô của họ về một tổ chức và kinh
nghiệm từ những dịp tương tự khác, mặc dù họ thường không nhất thiết
phải có kiến thức chuyên sâu về các chi tiết cụ thể của tổ chức và chi
tiết hoạt động của một tổ chức. Các thuật ngữ được sử dụng trong các ví
dụ trên, chẳng hạn như Tiểu ban Bảo mật Thông tin và Nhóm Hoạch định
bảo mật Thông tin, không quan trọng. Chỉ nên hiểu chức năng của từng
cấu trúc. Lý tưởng nhất là nên có cấu trúc nội bộ để điều phối việc bảo
mật thông tin của tổ chức, giao tiếp và làm việc chặt chẽ với từng bộ
phận kỹ thuật.
4. Chủ sở hữu của Tài sản Thông tin

Một người nên được bổ nhiệm cho mỗi quy trình tổ chức và ứng dụng
chuyên gia, người này hành động như điều được gọi là “chủ sở hữu tài
sản thông tin” với mọi vấn đề liên quan đến bảo mật thông tin để xử lý
dữ liệu trong quy trình tổ chức cụ thể này. Người liên hệ hoặc chủ sở
hữu quy trình chịu trách nhiệm, ví dụ, cho việc ủy thác các tác vụ và xử
lý thông tin trong các quy trình tổ chức mà họ đã được giao.
Trong trường hợp chia sẻ rủi ro, tránh rủi ro và duy trì rủi ro, các hành
động cần thiết nên được thực hiện từ các khía cạnh của bảo mật tổ chức.
Nếu quyết định đã được đưa ra để chuyển rủi ro, những hành động tương
xứng nên được thực hiện, bằng cách sử dụng hợp đồng, thỏa thuận bảo
hiểm và cấu trúc tổ chức chẳng hạn như đối tác và các liên doanh.
Hình B.1 cho thấy một ví dụ về cấu trúc tổ chức cho việc thiết lập ISMS.
Các vai trò và trách nhiệm chính của tổ chức được đưa ra dưới đây dựa
trên ví dụ này

Hình B.1: Ví dụ về cấu trúc tổ chức cho việc thiết lập ISMS
Tương tác với tổ chức
Tất cả các bên đã tham gia nên xem xét và làm quen với các yêu cầu hiện tại
để bảo vệ các tài sản của tổ chức. Việc tham gia vào phân tích tổ chức nên bao
gồm các cá nhân có kiến thức vững chắc về tổ chức và môi trường mà tổ chức
hoạt động. Những cá nhân này nên được lựa chọn để đại diện cho một phạm vi
rộng trong toàn tổ chức và bao gồm:
a) quản lý cấp cao (ví dụ, COO và CFO);
b) các thành viên của Tiểu ban Bảo mật Thông tin;
c) các thành viên của Nhóm Hoạch định Bảo mật Thông tin;
d) người quản lý bộ phận (ví dụ, người đứng đầu đơn vị tổ chức);
e) các chủ sở hữu của quy trình (nghĩa là đại diện cho các khu vực hoạt
động quan trọng);
f) các chuyên gia và tư vấn bên ngoài.
Các ví dụ về các vai trò và trách nhiệm chung liên quan tới bảo mật thông tin
Bảo mật thông tin là một lĩnh vực rộng khắp ảnh hưởng đến toàn bộ tổ chức.
Do đó, trách nhiệm bảo mật được xác định một cách rõ ràng là điều thiết yếu
để triển khai (bảo mật thông tin) thành công. Vì các vai trò và trách nhiệm liên
quan đến bảo mật khác nhau, một hiểu biết về các vai trò khác nhau là nền
tảng để hiểu về vài hành động đã được mô tả sau trong Tiêu chuẩn Quốc tế
này. Bảng dưới đây phác thảo các vai trò và trách nhiệm liên quan đến bảo
mật. Nên lưu ý rằng những vai trò này là chung chung, và các mô tả cụ thể là
cần thiết đối với từng triển khai ISMS riêng lẻ

Bảng B.1 – Danh sách các Vai trò và trách nhiệm điển hình trong Bảo mật
thông tin
Vai trò Mô tả tóm tắt về Trách nhiệm
Quản lý cấp cao (ví dụ Cho tầm nhìn, các quyết định chiến lược, và các hoạt
như COO, CEO, CSO động điều phối để định hướng và kiểm soát tổ chức.
và CFO)
Các quản lý bộ phận Có trách nhiệm cao nhất đối với các chức năng tổ
chức.
Điều hành Bảo mật Xử lý các tài sản thông tin và có vai trò lãnh đạo
Thông tin ISMS trong tổ chức.
Nhóm Hoạch định Bảo Trong các hoạt động khi ISMS đang được thiết lập.
mật Thông tin (thành Nhóm hoạch định làm việc giữa các bộ phận và giải
viên của) quyết xung đột cho đến khi ISMS được thiết lập.
Các bên liên quan Trong bối cảnh mô tả của các vai trò khác liên quan
đến bảo mật thông tin, ở đây, bên liên quan chủ yếu
được định nghĩa là những người/cơ quan bên ngoài
các hoạt động thông thường - chẳng hạn như hội
đồng quản trị, chủ sở hữu (cả về chủ sở hữu tổ chức
nếu tổ chức là một phần của nhóm hoặc một tổ chức
chính phủ và/hoặc chủ sở hữu trực tiếp như cổ đông
trong một tổ chức tư nhân). Các ví dụ khác về các
bên liên quan có thể là các công ty liên kết, khách
hàng, nhà cung cấp hoặc các tổ chức công khác như
cơ quan kiểm soát tài chính của chính phủ hoặc sở
giao dịch chứng khoán có liên quan, nếu tổ chức
được niêm yết.
Quản trị viên hệ thống Quản trị viên hệ thống chịu trách nhiệm cho một hệ
thống thông tin.
Quản lý CNTT Người quản lý tất cả tài nguyên CNTT (ví dụ,
Trưởng phòng CNTT).
Bảo mật vật lý Người chịu trách nhiệm bảo mật về mặt vật lý, ví dụ
như các tòa nhà, v.v…, thường được gọi là Người
quản lý cơ sở vật chất.
Quản lý rủi ro (Những) Người chịu trách nhiệm cho khuôn khổ quản
lý rủi ro của tổ chức bao gồm đánh giá rủi ro, xử lý
rủi ro và giám sát rủi ro.
Tư vấn pháp lý Rất nhiều rủi ro bảo mật thông tin có các khía cạnh
pháp lý và tư vấn pháp lý chịu trách nhiệm xem xét
các khía cạnh pháp lý có liên quan đến rủi ro bảo mật
thông tin này.
Nguồn nhân lực (Những) Người với trách nhiệm tổng thể đối với
nhân viên
Lưu trữ Mọi tổ chức đều có các nguồn lưu trữ bao gồm những
thông tin sống còn mà cần được lưu trữ cho một
khoảng thời gian dài. Thông tin có thể được định vị
trên nhiều kiểu phương tiện khác nhau và một người
cụ thể nên chịu trách nhiệm về bảo mật của việc lưu
trữ này.
Dữ liệu cá nhân Nếu được yêu cầu bởi luật lệ quốc gia, có thể có một
người chịu trách nhiệm trở thành đầu mối liên hệ với
hội đồng kiểm tra dữ liệu hoặc tổ chức chính thức

Vai trò Mô tả tóm tắt về Trách nhiệm

tương tự giám sát các vấn đề đối với tính toàn vẹn và
riêng tư cá nhân.
Phát triển hệ thống Nếu một tổ chức phát triển hệ thống thông tin của
riêng mình, ai đó sẽ chịu trách nhiệm cho việc phát
triển này.
Chuyên viên/Chuyên Các chuyên viên và các chuyên gia chịu trách nhiệm
gia về một số hoạt động trong một tổ chức nên được
tham chiếu tới trong các thuật ngữ theo dự định của
họ về các vấn đề ISMS vì nó liên quan đến việc sử
dụng trong các lĩnh vực cụ thể của chúng.
Tư vấn bên ngoài Tư vấn bên ngoài có thể đưa ra lời khuyên dựa trên
quan điểm vĩ mô của họ về một tổ chức và kinh
nghiệm trong ngành. Tuy nhiên, các chuyên viên tư
vấn có thể không có kiến thức chuyên sâu về tổ chức
và các hoạt động của tổ chức.
Nhân viên/Người dùng Mỗi nhân viên đều chịu trách nhiệm tương đương
nhau đối với việc duy trì bảo mật thông tin trong khu
vực làm việc và môi trường của mình.
Kiểm toán viên Các kiểm toán viên chịu trách nhiệm về việc xem xét
và đánh giá ISMS.
Chuyên gia đào tạo Chuyên gia đào tạo triển khai các chương trình đào
tạo và nâng cao nhận thức.
Trách nhiệm CNTT Trong một tổ chức lớn hơn, thường có một ai đó
hoặc Hệ thống thông trong tổ chức cục bộ (địa phương) có trách nhiệm
tin cục bộ cục bộ về các vấn đề CNTT, và có khả năng là về bảo
mật thông tin.
Nhà vô địch (Người có Đây không phải là một vai trò trách nhiệm, nhưng
ảnh hưởng) trong một tổ chức lớn, có thể sẽ giúp ích rất nhiều
trong giai đoạn triển khai khi có những người có
kiến thức chuyên sâu về triển khai ISMS và có thể hỗ
trợ sự hiểu biết và nguyên nhân đằng sau việc triển
khai. Họ có thể ảnh hưởng đến quan điểm theo cách
tích cực và cũng có thể được gọi là “Đại sứ”.

Phụ lục C (cung cấp thông tin)

Thông tin về kiểm toán nội bộ
Phụ lục này cung cấp hướng dẫn bổ sung để hỗ trợ việc hoạch định kiểm toán.
Việc triển khai ISMS cần được đánh giá định kỳ bằng các phương pháp kiểm
toán nội bộ và độc lập. Những điều này cũng nhằm mục đích đối chiếu và đánh
giá những kinh nghiệm được thực hiện trong quá trình thực hành hàng ngày.
Để triển khai ISMS, các hình thức kiểm toán phải được lập kế hoạch.
Trong một cuộc kiểm toán ISMS, kết quả kiểm toán nên được xác định dựa trên
bằng chứng. Do đó, một vài khoảng thời gian thích hợp trong khi vận hành
ISMS nên được phân bổ để thu thập bằng chứng thích hợp.
Kiểm toán ISMS nội bộ nên được triển khai và thực hiện thường xuyên để đánh
giá liệu các mục tiêu kiểm soát, các biện pháp kiểm soát, các quy trình và thủ
tục của ISMS có phù hợp với các yêu cầu của ISO/IEC 27001 và luật hoặc quy
định liên quan hay không, có phù hợp với các yêu cầu bảo mật thông tin đã xác
định hay không, và được triển khai và duy trì một cách hiệu quả.
Tuy nhiên, việc lựa chọn kiểm toán viên ISMS nội bộ có thể sẽ khó khăn đối
với các công ty nhỏ. Nếu không có đủ nguồn lực để thực hiện các loại kiểm
toán này bởi các thành viên nội bộ có kinh nghiệm, thì thay vào đó, các chuyên
gia bên ngoài nên được giao nhiệm vụ thực hiện các hoạt động kiểm toán. Khi
các tổ chức sử dụng các kiểm toán viên bên ngoài, những điều sau nên được
cân nhắc: các kiếm toán viên bên ngoài bản thân họ rất quen thuộc với các
kiểm toán nội bộ ISMS, tuy nhiên họ có thể không có đủ kiến thức về môi
trường tổ chức của tổ chức. Thông tin này (môi trường tổ chức của tổ chức –
người dịch) nên được cung cấp bởi nhân viên nội bộ. Mặt khác, các kiểm toán
viên nội bộ có khả năng thực hiện các cuộc kiểm toán chi tiết xem xét môi
trường tổ chức của tổ chức, nhưng có thể không có đủ kiến thức về việc thực
hiện các cuộc kiểm toán ISMS. Các tổ chức cần nhận ra các đặc điểm và những
thiếu sót tiềm ẩn của kiểm toán viên nội bộ so với kiểm toán viên bên ngoài
trong việc thực hiện kiểm toán ISMS nội bộ.
Hiệu lực và hiệu quả của các biện pháp kiểm soát đã được triển khai (xem
ISO/IEC 27004:2009) cần được kiểm tra trong phạm vi kiểm toán nội bộ.
Điều quan trọng là không có cuộc kiểm toán nào được thực hiện bởi những cá
nhân có liên quan đến việc hoạch định và thiết kế các mục tiêu bảo mật, bởi vì
rất khó để tìm ra sai lầm của chính mình. Do đó, các đơn vị tổ chức hoặc cá
nhân nằm ngoài phạm vi của các cuộc kiểm toán ISMS nội bộ nên được cấp
quản lý lựa chọn làm kiểm toán viên. Các chuyên gia kiểm toán này nên lập kế
hoạch, thực hiện và lập báo cáo và theo dõi các cuộc kiểm toán ISMS nội bộ để
đạt được cam kết của cấp quản lý. Tùy thuộc vào quy mô của tổ chức, có thể
hữu ích khi gọi các chuyên gia kiểm toán bên ngoài để tránh tình huống mà các
nhân viên bị cuốn vào công việc của chính họ.
Trong một cuộc kiểm toán ISMS nội bộ, nên kiểm tra rằng ISMS đang được
vận hành và duy trì một cách hiệu quả và đúng như mong đợi. Kiểm toán viên
phải tính đến tình trạng và tầm quan trọng của các mục tiêu, các biện pháp
kiểm soát, các quy trình và thủ tục quản lý được kiểm toán khi lập kế hoạch
một chương trình kiểm toán, cũng như kết quả của các cuộc kiểm toán trước
đó.
Khi thực hiện kiểm toán, các tiêu chí, phạm vi áp dụng, tần suất và phương
pháp kiểm toán phải được lập thành văn bản.
Tính khách quan và công bằng của quá trình kiểm toán nên được đảm bảo khi
lựa chọn kiểm toán viên. Kiểm toán viên phải có các năng lực sau đây khi thực
hiện một loạt các quá trình trong cuộc đánh giá:
a) Lập kế hoạch và thực hiện cuộc kiểm toán;
b) Báo cáo kết quả;
c) Đề xuất hành động khắc phục và phòng ngừa, v.v…
Ngoài ra, tổ chức được yêu cầu xác định trách nhiệm của các kiểm toán viên và
chuỗi các thủ tục dành cho cuộc kiểm toán trong tài liệu thủ tục.
Một người quản lý chịu trách nhiệm về một quy trình được kiểm toán phải đảm
bảo rằng sự không phù hợp và nguyên nhân của chúng được giải quyết một
cách thích hợp mà không bị trì hoãn. Tuy nhiên, điều này không có nghĩa là sự
không tuân thủ nhất thiết phải được sửa chữa ngay lập tức. Ngoài ra, các hành
động khắc phục được thực hiện nên bao gồm sự xác minh hành động đã được
thực hiện và báo cáo kết quả xác minh.
Từ quan điểm quản trị, kiểm toán ISMS nội bộ có thể được thực hiện một cách
hiệu quả với tư cách là một bộ phận của, hoặc phối hợp với các cuộc kiểm toán
nội bộ khác của tổ chức. Khi thực hiện kiểm toán, bạn nên tham khảo “Các yêu
cầu đối với cơ quan cung cấp dịch vụ kiểm toán và chứng nhận ISMS ISO/IEC
27006:2007”.

Phụ lục D (cung cấp thông tin)

Cấu trúc của các chính sách
Phụ lục này cung cấp hướng dẫn bổ sung về cấu trúc của các chính sách bao
gồm chính sách bảo mật thông tin.
Nói chung, một chính sách là tuyên bố về ý định và phương hướng tổng thể
được biểu lộ một cách chính thức bởi cấp quản lý (xem FCD 27000 và ISO/IEC
27002). Nội dung của chính sách hướng dẫn các hành động và quyết định liên
quan đến chủ đề của chính sách. Một tổ chức có thể có một số chính sách; mỗi
một (chính sách) cho mỗi lĩnh vực hoạt động quan trọng đối với tổ chức. Một
số chính sách độc lập với nhau, trong khi các chính sách khác có mối quan hệ
phân cấp. Trong lĩnh vực bảo mật, các chính sách thường được tổ chức theo mô
hình phân cấp. Thông thường, chính sách bảo mật của tổ chức là chính sách
cấp cao nhất. Điều này được hỗ trợ bởi một loạt các chính sách cụ thể hơn, bao
gồm chính sách bảo mật thông tin và chính sách Hệ thống Quản lý Bảo mật
Thông tin. Đổi lại, chính sách bảo mật thông tin có thể được hỗ trợ bởi một số
chính sách chi tiết hơn về các chủ đề cụ thể liên quan đến các khía cạnh của
bảo mật thông tin. Một số trong số (các chính sách) này được thảo luận trong
ISO/IEC 27002, ví dụ, chính sách bảo mật thông tin được hỗ trợ bởi các chính
sách liên quan đến kiểm soát truy cập, bàn làm việc và màn hình gọn gàng, sử
dụng các dịch vụ mạng và sử dụng các biện pháp kiểm soát mật mã. Các lớp
chính sách bổ sung có khả năng có thể được thêm vào trong một số trường hợp.
Sự sắp xếp này được thể hiện trong hình D1.
Hình D.1 – Cấu trúc phân cấp của chính sách

ISO/IEC 27001 đòi hỏi tổ chức phải có cả chính sách ISMS và chính sách bảo
mật thông tin. Nó không, tuy nhiên, chỉ định bất kỳ mối quan hệ đặc biệt nào
giữa các chính sách này. Những yêu cầu đối với chính sách ISMS được đuwa
ra trong điều 4.2.1 của ISO/IEC 27001. Các hướng dẫn về các chính sách bảo
mật thông tin được đưa ra trong điều 5.1.1 của ISO/IEC 27002. Những chính
sách này có thể được phát triển như các chính sách đồng cấp, chính sách ISMS
có thể là cấp dưới của chính sách bảo mật thông tin, hoặc chính sách bảo mật
thông tin cũng có thể là thuộc cấp của chính sách ISMS.
Nội dung của các chính sách dựa trên bối cảnh mà tổ chức đang hoạt động.
Những điều dưới đây nên được xem xét một cách đặc biệt khi phát triển bất kỳ
chính sách nào bên trong khuôn khổ chính sách.
a) Những ý định và mục tiêu của tổ chức;
b) Các chiến lược đã được thông qua để đạt được các mục tiêu của nó;
c) Cấu trúc và các quy trình được thông qua bởi tổ chức;
d) Những ý định và mục tiêu tương ứng với chủ đề của chính sách;
e) Các yêu cầu liên quan của các chính sách cấp cao hơn.
Việc này được trình bày trong Hình D.2.
Hình D.2 – Các đầu vào của việc phát triển một chính sách
Các chính sách có thể có cấu trúc như dưới đây:

1. Tóm tắt chính sách - Một hoặc hai câu về cái nhìn tổng quan. (Điều này
đôi khi có thể được hợp nhất với phần giới thiệu.)
2. Giới thiệu - giải thích ngắn gọn về chủ đề của chính sách.
3. Phạm vi - mô tả những bộ phận hoặc hoạt động của một tổ chức bị ảnh
hưởng bởi chính sách. Nếu có liên quan, điều khoản về phạm vi liệt kê
các chính sách khác được hỗ trợ bởi chính sách.
4. Mục tiêu - mô tả ý định của chính sách.
5. Nguyên tắc - mô tả các quy tắc liên quan đến các hành động và quyết
định để đạt được các mục tiêu. Trong một số trường hợp, có thể hữu ích
để xác định các quy trình chính liên quan đến chủ đề của chính sách và
sau đó là các quy tắc vận hành các quy trình.

6. Trách nhiệm - mô tả ai chịu trách nhiệm cho các hành động để đáp ứng
các yêu cầu của chính sách. Trong một số trường hợp, điều này có thể
bao gồm mô tả về các sắp xếp tổ chức cũng như trách nhiệm của những
người có vai trò được chỉ định.
7. Kết quả chính - mô tả kết quả kinh doanh nếu các mục tiêu được đáp
ứng.
8. Các chính sách liên quan - mô tả các chính sách khác có liên quan đến
việc đạt được các mục tiêu, thường bằng cách cung cấp chi tiết bổ sung
liên quan đến các chủ đề cụ thể.
LƯU Ý: Nội dung chính sách có thể được tổ chức theo nhiều cách khác nhau.
Ví dụ, các tổ chức chú trọng đến vai trò và trách nhiệm có thể đơn giản hóa
việc mô tả các mục tiêu và áp dụng các nguyên tắc rõ ràng cho việc mô tả
trách nhiệm.
Sau đây là một ví dụ về chính sách bảo mật thông tin, cho thấy cấu trúc và nội
dung ví dụ của nó.
Chính sách Bảo mật Thông tin (Ví dụ)

Tóm tắt chính sách
Thông tin phải luôn được bảo vệ, dù nó ở dạng nào và bất kể nó được chia sẻ,
truyền tải hoặc lưu trữ.
Giới thiệu
Thông tin có thể tồn tại ở nhiều dạng. Nó có thể được in ra hoặc viết ra trên
giấy, được lưu trữ dưới dạng điện tử, được truyền tải qua đường bưu điện hoặc
bằng các phương tiện điện tử, được trình chiếu trên phim hoặc được nói trong
cuộc hội thoại.
Bảo mật thông tin là việc bảo vệ thông tin khỏi một loạt các mối đe dọa nhằm
đảm bảo liên tục kinh doanh, giảm thiểu rủi ro kinh doanh và tối đa hóa lợi tức
đầu tư và cơ hội kinh doanh.
Phạm vi
Chính sách này hỗ trợ chính sách bảo mật chung của tổ chức.
Chính sách này áp dụng cho tất cả các thành phần của tổ chức.
Mục tiêu bảo mật thông tin

1) Các rủi ro bảo mật thông tin chiến lược và hoạt động được hiểu và xử lý
để có thể được chấp nhận bởi tổ chức.
2) Tính bảo mật thông tin khách hàng, kế hoạch phát triển sản phẩm và tiếp
thị.
3) Tính toàn vẹn của hồ sơ kế toán được bảo toàn.

4) Các dịch vụ web công cộng và các mạng nội bộ đáp ứng các tiêu chuẩn
về tính sẵn sàng đã được chỉ định.
Các nguyên tắc bảo mật thông tin

1) Tổ chức này khuyến khích chấp nhận rủi ro và chịu đựng các rủi ro có
thể không được chấp nhận trong các tổ chức được quản lý một cách bảo
thủ với điều kiện miễn là các rủi ro thông tin được hiểu, giám sát và xử
lý khi cần thiết. Chi tiết về cách tiếp cận được thực hiện để đánh giá và
xử lý rủi ro được tìm thấy trong chính sách ISMS.
2) Tất cả nhân viên sẽ được nâng cao nhận thức và chịu trách nhiệm về bảo
mật thông tin liên quan đến vai trò công việc của họ.
3) Điều khoản sẽ được thực hiện để tài trợ vốn cho các biện pháp kiểm soát
bảo mật thông tin trong các quy trình quản lý dự án và hoạt động.
4) Các khả năng gian lận liên quan đến lạm dụng hệ thống thông tin sẽ
được tính đến trong quản lý tổng thể của hệ thống thông tin.
5) Các báo cáo về tình trạng bảo mật thông tin sẽ sẵn sàng.
6) Các rủi ro về bảo mật thông tinsẽ được theo dõi và các hành động sẽ
được thực hiện khi các thay đổi dẫn đến những rủi ro không thể chấp
nhận được.
7) Các tiêu chí phân loại rủi ro và khả năng chấp nhận rủi ro được tìm thấy
trong chính sách ISMS.
8) Các tình huống có thể khiến tổ chức vi phạm pháp luật và các quy định
theo luật định sẽ không được dung thứ.
Trách nhiệm
1) Nhóm quản lý cấp cao chịu trách nhiệm đảm bảo rằng bảo mật thông tin
được giải quyết một cách thích đáng trong toàn bộ tổ chức.
2) Mỗi nhà quản lý cấp cao chịu trách nhiệm đảm bảo rằng nhân viên làm
việc dưới quyền quản lý của mình bảo vệ thông tin tương xứng với các
tiêu chuẩn của tổ chức.
3) Trưởng bộ phận bảo mật thông tin tư vấn cho nhóm quản lý cấp cao,
cung cấp sự hỗ trợ chuyên môn cho các nhân viên của tổ chức, và đảm
bảo rằng các báo cáo về tình trạng bảo mật thông tin luôn sẵn sàng.
4) Mọi nhân viên có trách nhiệm bảo mật thông tin như là một phần công
việc của mình.
Kết quả chủ yếu

1) Các sự cố bảo mật thông tin sẽ không dẫn đến chi phí nghiêm trọng và
không mong muốn hoặc sự gián đoạn nghiêm trọng của các dịch vụ và
hoạt động kinh doanh.
2) Các tổn thất do gian lận sẽ được nhận biết và trong giới hạn có thể chấp
nhận được.
3) Sự chấp nhận của khách hàng về sản phẩm hoặc dịch vụ sẽ không bị ảnh
hưởng bất lợi bởi những lo ngại về bảo mật thông tin.
Các chính sách liên quan

Các chính sách chi tiết dưới đây cung cấp các nguyên tắc và hướng dẫn về các
khía cạnh cụ thể của bảo mật thông tin:
1) chính sách Hệ thống Quản lý Bảo mật Thông tin (ISMS);
2) chính sách kiểm soát truy cập;
3) chính sách bàn làm việc và màn hình gọn gàng;
4) chính sách phần mềm trái phép;
5) chính sách liên quan đến việc có được các tập tin hoặc phần mềm từ
hoặc qua các mạng bên ngoài;
6) chính sách liên quan đến mã di động;
7) chính sách sao lưu;
8) chính sách liên quan đến việc trao đổi thông tin giữa các tổ chức;
9) chính sách liên quan đến việc sử dụng có thể được chấp thuận các
phương tiện truyền thông liên lạc điện tử;
10) chính sách lưu giữ hồ sơ;
11) chính sách về việc sử dụng các dịch vụ mạng;
12) chính sách liên quan đến điện toán di động và truyền thông di
động;
13) chính sách làm việc từ xa;
14) chính sách về việc sử dụng các kiểm soát mã hóa;
15) chính sách tuân thủ;
16) chính sách về giấy phép sử dụng phần mềm;
17) chính sách loại bỏ phần mềm;
18) chính sách bảo vệ dữ liệu và quyền riêng tư;
Tất cả các chính sách này hỗ trợ:

- Xác định rủi ro, bằng cách cung cấp một đường kiểm soát cơ sở, có thể
được sử dụng để xác định các lỗ hổng trong các thiết kế và triển khai các
hệ thống; và
- Xử lý rủi ro bằng cách hỗ trợ việc xác định và xử lý các lỗ hổng và các
mối đe dọa đã được xác định.
Cả hai quy trình Xác định Rủi ro và Xử lý Rủi ro được xác định trong phần
Nguyên tắc của chính sách. Tham khảo thêm Chính sách ISMS để biết thêm chi
tiết.

Phụ lục E (cung cấp thông tin)

Giám sát và đo lường
Phụ lục này cung cấp hướng dẫn bổ sung để hỗ trợ việc hoạch định và thiết kế
(phương pháp) giám sát và đo lường.
Thông tin về thiết lập Giám sát và Đo lường

Thiết kế của các yêu cầu ISMS cụ thể bao gồm giám sát bảo mật và chương
trình đo lường ISMS hỗ trợ việc xem xét của cấp quản lý.
Thiết kế việc giám sát
Hình E.1 – Luồng Quy trình Giám sát
Sự chuẩn bị và điều phối: Xác định các tài sản liên quan để giám sát
Nên lưu ý rằng việc giám sát là một quá trình liên tục và do đó, thiết kế cần sự
cân nhắc việc thiết lập quy trình giám sát cũng như thiết kế các nhu cầu và
hoạt động giám sát thực tế. Các hoạt động này cần được phối hợp, vốn là một
phần của thiết kế.
Dựa trên thông tin trước đó đã được thiết lập bởi phạm vi và các tài sản được
xác định, kết hợp với các kết quả từ phân tích rủi ro và lựa chọn các biện pháp
kiểm soát, các mục tiêu của việc giám sát có thể được xác định. Những mục
tiêu này nên bao gồm:
 Phát hiện những gì.
 Khi nào.
 Chống lại những gì.
Về mặt thực tế, các hoạt động/quy trình tổ chức đã thiết lập trước đó và các tài
sản được liên kết là phạm vi cơ bản để giám sát (chính là “Chống lại những gì”
ở trên). Để thiết kế việc giám sát, một lựa chọn có thể cần đến để bao gồm các
tài sản quan trọng từ quan điểm bảo mật thông tin. Việc xem xét cũng cần
được đưa ra đối với việc xử lý rủi ro và lựa chọn các biện pháp kiểm soát để

tìm ra những gì cần được giám sát đối với tài sản và các hoạt động/quy trình
đã được liên kết của tổ chức. (Điều này sẽ thiết lập cả hai Phát hiện những gì
và Khi nào).
Vì sự giám sát có thể có các khía cạnh pháp lý, điều thiết yếu là thiết kế của
giám sát phải được kiểm tra để nó không có bất kỳ sự phân nhánh nào về mặt
pháp lý.
Để đảm bảo rằng việc giám sát thực sự có hiệu quả, điều quan trọng là phải
phối hợp và đưa ra thiết kế cuối cùng của mọi hoạt động giám sát.
Giám sát các hoạt động

Để duy trì mức độ bảo mật thông tin, các biện pháp kiểm soát bảo mật thông
tin đã được xác định là thích hợp nên được áp dụng một cách chính xác; các sự
cố bảo mật cần được phát hiện và ứng phó kịp thời, đồng thời phải theo dõi
thường xuyên hoạt động của hệ thống quản lý bảo mật thông tin. Kiểm tra
thường xuyên nên được thực hiện để xem liệu rằng tất cả các biện pháp kiểm
soát có đang được áp dụng và thực hiện theo kế hoạch về mặt bảo mật thông
tin hay không. Điều này nên liên quan đến việc kiểm tra xem các biện pháp
kiểm soát kỹ thuật (ví dụ: liên quan đến cấu hình) và biện pháp kiểm soát tổ
chức (ví dụ: quy trình, thủ tục và hoạt động) có được tuân thủ hay không. Việc
kiểm tra chủ yếu phải hướng tới việc khắc phục các khuyết điểm. Nếu các kiểm
tra được chấp nhận thì điều quan trọng là động cơ này được nhận thức bởi tất
cả những người có liên quan như là mục tiêu của các kiểm tra. Điều quan trọng
là phải thảo luận về các giải pháp khả thi cho các vấn đề với các bên tham gia
trong quá trình kiểm tra và chuẩn bị trước các biện pháp khắc phục thích hợp.
Kiểm tra cần được chuẩn bị một cách cẩn thận để đảm bảo rằng chúng có thể
đạt được mục tiêu của mình một cách hiệu quả nhất có thể, đồng thời gây ra sự
gián đoạn ít nhất có thể đối với công việc thường lệ. Việc triển khai kiểm tra
chung cần được phối hợp trước với cấp quản lý. Các hoạt động thiết kế có thể
được kết thúc dưới ba hình thức cơ bản khác nhau:
 Báo cáo sự cố.
 Sự xác minh hoặc sự không phù hợp của chức năng kiểm soát.
 Các kiểm tra thông thường khác.
Hơn nữa, kết quả từ các hoạt động nên được thiết kế theo cách thức làm thế
nào để hồ sơ được lập và thông tin được cung cấp cho cấp quản lý. Tài liệu
chính thức nên được lập ra để mô tả thiết kế và bao gồm các nguyên tắc hoạt
động và mục đích của chúng, cũng như các trách nhiệm khác nhau.
Yêu cầu đối với kết quả giám sát

Kết quả là:
a) Hồ sơ về các hoạt động giám sát ở mức độ chi tiết được yêu cầu

Kết quả của các hoạt động giám sát, một báo cáo quản lý nên được cung
cấp. Tất cả các thông tin mà cấp quản lý yêu cầu để thực hiện các nhiệm
vụ quản lý và giám sát của mình nên được ghi nhận vào đó với mức độ
chi tiết cần thiết.
b) Thông tin cho cấp quản lý để ra quyết định khi cần thiết để có các hành
động nhanh chóng
Các báo cáo quản lý nên luôn luôn kết thúc bằng danh sách các hành
động được khuyến nghị, được ưu tiên rõ ràng, cùng với đánh giá thực tế
về chi phí dự kiến của việc triển khai từng hành động này. Điều này đảm
bảo rằng các quyết định cần thiết có thể nhận được từ cấp quản lý mà
không bị chậm trễ quá mức.
Thiết lập chương trình đo lường bảo mật thông tin

Tổng quan về thiết kế chương trình đo lường bảo mật thông tin
Quá trình đo lường phải được tích hợp một cách liền mạch vào chu trình ISMS
của dự án hoặc tổ chức và được sử dụng để thực hiện cải tiến liên tục các quy
trình và kết quả liên quan đến bảo mật trong dự án hoặc tổ chức đó. Đây còn
được gọi là chương trình đo lường bảo mật thông tin(ISO/IEC 27004:2009).
Thiết kế của chương trình cần được nhìn nhận dưới quan điểm của chu trình
ISMS. Hình sau mô tả quá trình đo lường phù hợp trong chu trình ISMS như
thế nào.
Các chức năng sau đây là bắt buộc của hệ thống quản lý để đảm bảo sự thỏa
mãn những điều bắt buộc và kỳ vọng, chẳng hạn như cấu trúc PDCA cần thiết;
đo lường việc xác nhận đầu ra và hiệu quả của nó; và cung cấp thông tin phản
hồi về kết quả đo cho người quản lý quy trình.
Để có các phép đo lường phù hợp, thông tin đã được tạo trước đó là cần thiết,
đặc biệt là:
a) Chính sách ISMS, bao gồm phạm vi và ranh giới
b) Kết quả đánh giá rủi ro
c) Lựa chọn các biện pháp kiểm soát
d) Các mục tiêu kiểm soát
e) Các mục tiêu bảo mật thông tin cụ thể
f) Các quy trình và tài nguyên được chỉ định và phân loại của chúng.
Cấp quản lý nên thiết lập và giữ vững cam kết đối với quá trình đo lường tổng
thể. Trong việc triển khai một quy trình đo lường, Cấp quản lý nên:
a) Chấp nhận các yêu cầu về đo lường; xem ISO/IEC 27004:2009 để biết
thêm chi tiết
b) Chú ý đến nhu cầu thông tin, xem ISO/IEC 27004:2009 để biết thêm chi
tiết
c) Có được cam kết của nhân viên bằng những điều sau đây:

o Tổ chức nên thể hiện cam kết của mình thông qua, ví dụ, một
chính sách đo lường dành cho tổ chức, phân bổ trách nhiệm và
nhiệm vụ, đào tạo, và phân bổ ngân sách và các nguồn lực khác.
o Một người hoặc đơn vị tổ chức chịu trách nhiệm về chương trình
đo lường nên được chỉ định.
o Cá nhân hoặc đơn vị tổ chức chịu trách nhiệm truyền đạt tầm quan
trọng và kết quả của đo lường ISMS trong toàn bộ tổ chức để đảm
bảo việc chấp thuận và sử dụng, đồng thời nên có sự hỗ trợ của
cấp quản lý.
o Đảm bảo rằng dữ liệu đo lường ISMS được thu thập, phân tích và
báo cáo cho CIO và các bên liên quan khác.
o Đào tạo các nhà quản lý bộ phận chương trình về cách sử dụng kết
quả đo lường ISMS cho các quyết định về chính sách, phân bổ
nguồn lực và ngân sách.
Chương trình và thiết kế đo lường bảo mật thông tin nên bao gồm các vai trò
sau đây:
a) Quản lý cấp cao
b) Người sử dụng các sản phẩm bảo mật
c) Người phụ trách hệ thống thông tin
d) Người phụ trách bảo mật thông tin
Một Chương trình Đo lường Bảo mật thông tin được thiết lập để có được các
chỉ số về tính hiệu quả của ISMS, các mục tiêu kiểm soát và các biện pháp
kiểm soát. Chương trình được mô tả trong ISO/IEC 27004:2009.
Kết quả của các phép đo phù hợp trong Giai đoạn Lập kế hoạch cần được tiến
hành để thực hiện các mục tiêu này.
Một Chương trình Đo lường Bảo mật thông tin phù hợp có thể sẽ khác nhau tùy
thuộc vào cấu trúc của tổ chức:
o Quy mô
o Độ phức tạp
o Hồ sơ rủi ro tổng thể/nhu cầu bảo mật thông tin.
Nói chung, một tổ chức lớn hơn và phức tạp hơn thì chương trình đo lường
càng cần phải mở rộng. Nhưng mức độ rủi ro tổng thể cũng ảnh hưởng đến quy
mô của chương trình đo lường. Nếu tác động của bảo mật thông tin kém là
nghiêm trọng, một tổ chức tương đối nhỏ hơn có thể cần một chương trình đo
lường toàn diện hơn để bao phủ rủi ro hơn một tổ chức lớn hơn nhưng không
phải đối mặt với cùng một tác động. Quy mô của chương trình đo lường có thể
được đánh giá dựa trên việc lựa chọn các biện pháp kiểm soát cần được bao
hàm và các kết quả từ việc phân tích rủi ro.

Thiết kế chương trình đo lường bảo mật thông tin

Người chịu trách nhiệm về chương trình đo lường bảo mật thông tin nên xem
xét những điều sau đây:
o Phạm vi
o Phép đo lường
o Thực hiện các phép đo lường
o Khoảng thời gian đo lường
o Báo cáo
Phạm vi của chương trình đo lường phải bao gồm phạm vi, mục tiêu kiểm soát
và các biện pháp kiểm soát của ISMS. Cụ thể, các mục tiêu và ranh giới của
Đo lường ISMS nên được thiết lập dựa trên các đặc điểm của tổ chức, dựa trên
tổ chức, vị trí, tài sản và công nghệ của tổ chức, đồng thời bao gồm các chi
tiết và lý do giải thích cho bất kỳ loại trừ nào ra khỏi phạm vi ISMS. Đây có
thể là một kiểm soát bảo mật đơn lẻ, một quy trình, một hệ thống, một khu vực
chức năng, toàn bộ doanh nghiệp, một địa điểm hoặc một tổ chức có nhiều địa
điểm.
Khi lựa chọn các phép đo đơn lẻ, Quy trình Đo lường Bảo mật Thông tin
ISO/IEC 27004:2009 quy định rằng điểm bắt đầu là đối tượng của đo lường. Để
thiết lập một chương trình đo lường, các đối tượng này cần được xác định. Các
đối tượng này có thể là một quy trình hoặc một tài nguyên. (Xem ISO/IEC
27004:2009 để biết thêm chi tiết). Khi xác định chương trình (đo lường), các
đối tượng được xác định bởi phạm vi ISMS thường được chia nhỏ để tìm các
đối tượng thực tế cần được đo lường. Quy trình xác định này có thể được minh
họa bằng ví dụ sau: Tổ chức là đối tượng tổng thể - Quy trình tổ chức A/hoặc
hệ thống CNTT X là một phần của đối tượng đó và tự tạo thành đối tượng –
Các đối tượng trong quy trình đó có ảnh hưởng đến bảo mật thông tin (Con
người, Quy tắc, Mạng, Ứng dụng, Cơ sở vật chất, v.v...) nói chung là các đối
tượng đo lường để xem tính hiệu quả của việc bảo vệ thông tin.
Khi triển khai một Chương trình đo lường bảo mật thông tin, nên thận trọng để
xem xét rằng các đối tượng của đo lường có thể phục vụ cho nhiều quy trình
của tổ chức trong phạm vi ISMS và do đó có thể có tác động lớn hơn đến tính
hiệu quả của ISMS và các mục tiêu Kiểm soát. Các Đối tượng như vậy thường
được ưu tiên với phạm vi của chương trình, chẳng hạn như Bảo mật Tổ chức và
quy trình được liên kết, Phòng máy tính, các đồng nghiệp liên quan đến bảo
mật thông tin, v.v…
Khoảng thời gian đo lường có thể khác nhau, nhưng tốt hơn hết là phép đo
được thực hiện hoặc tóm tắt trong những khoảng thời gian nhất định để phù
hợp với việc xem xét của cấp quản lý và quá trình cải tiến liên tục cũng như
tham vọng của ISMS. Thiết kế của chương trình phải nêu rõ điều này.

Báo cáo kết quả nên được thiết kế sao cho việc truyền thông được đảm bảo
theo tiêu chuẩn ISO/IEC 27004:2009.
Việc thiết kế chương trình Đo lường Bảo mật thông tin nên được kết thúc trong
một tài liệu quy định về thủ tục và nên được cấp quản lý phê duyệt. Tài liệu
này nên bao gồm những điều sau đây:
a) Trách nhiệm đối với Chương trình Đo lường Bảo mật thông tin
b) Trách nhiệm về truyền thông liên lạc
c) Phạm vi của phép đo lường
d) Cách nó (đo lường) sẽ được thực hiện (phương pháp cơ bản được sử
dụng, thực thi bên ngoài, nội bộ, v.v...)
e) Khi nào nên thực hiện
f) Nó được báo cáo như thế nào.
Nếu tổ chức phát triển các điểm đo lường của riêng mình, các điểm này phải
được lập thành văn bản như một phần của giai đoạn thiết kế; để tham khảo
thêm xem ISO/IEC 27004:2009. Tài liệu này có thể khá toàn diện và không
nhất thiết phải có chữ ký của cấp quản lý, vì các chi tiết có thể thay đổi khi
được triển khai.
Đo lường hiệu quả của ISMS

Khi thiết lập phạm vi cho Chương trình Đo lường Bảo mật Thông tin nên được
triển khai, cần chú ý sao cho các đối tượng là không quá nhiều. Nếu có (quá
nhiều đối tượng – người dịch), có thể là khôn ngoan khi chia chương trình
thành các phần khác nhau. Phạm vi của các phần này có thể được coi là các
phép đo riêng biệt để so sánh, nhưng mục đích chính của chúng chiếm ưu thế:
rằng một sự kết hợp của các phép đo cung cấp một dấu hiệu để đánh giá tính
hiệu quả của ISMS. Các phạm vi con này thường là một đơn vị tổ chức có thể
được xác định với ranh giới rõ ràng. Sự kết hợp của các đối tượng phục vụ cho
nhiều quy trình tổ chức và các phép đo lường của các đối tượng trong phạm vi
con có thể cùng nhau tạo thành một phạm vi thích hợp cho Chương trình Đo
lường Bảo mật Thông tin. Đây cũng có thể được coi là một loạt các hoạt động
ISMS có thể được coi là được xây dựng với hai hoặc nhiều quy trình/đối
tượng. Do đó, hiệu quả của toàn bộ ISMS có thể được đo lường dựa trên việc
đo lường kết quả của hai hoặc nhiều quy trình/đối tượng này.
Vì các mục tiêu là để đo lường tính hiệu quả của ISMS, điều quan trọng là phải
đo lường các mục tiêu kiểm soát và các biện pháp kiểm soát. Có đủ số lượng
các biện pháp kiểm soát là một khía cạnh và các biện pháp kiểm soát này đủ để
đánh giá tính hiệu quả của ISMS là một khía cạnh khác. (Có thể có các lý do
khác cho việc giới hạn phạm vi của Chương trình Đo lường Bảo mật Thông tin,
được đề cập trong ISO/IEC 27004:2009.)

Hình E.2 – Hai khía cạnh của hiệu quả đo lường với các quy trình PDCA của
ISMS và các ví dụ về quy trình trong tổ chức.
Khi sử dụng các kết quả đo lường để đánh giá tính hiệu quả của ISMS, các mục
tiêu và biện pháp kiểm soát, điều cần thiết là cấp quản lý phải biết về phạm vi
của Chương trình Đo lường Bảo mật Thông tin. Người chịu trách nhiệm về
chương trình đo lường nên được cấp quản lý phê duyệt đối với phạm vi của
Chương trình Đo lường Bảo mật Thông tin trước khi khởi chạy nó.
LƯU Ý 1: Yêu cầu liên quan đến phép đo lường về tính hiệu quả trong
ISO/IEC 27001:2005 là “phép đo lường các biện pháp kiểm soát hoặc một loạt
các biện pháp kiểm soát”. (xem 4.2.2 d) trong ISO/IEC 27001:2005)
LƯU Ý 2: Yêu cầu liên quan đến tính hiệu quả của toàn bộ ISMS trong
ISO/IEC 27001:2005 chỉ là “đánh giá tính hiệu quả của toàn bộ ISMS” và “đo
lường toàn bộ ISMS” là không bắt buộc. (Xem 0.2.2 trong ISO/IEC
27001:2005).
Việc thực hiện các phép đo thực tế có thể được hoàn thành bằng cách sử dụng
nhân viên nội bộ, bên ngoài hoặc kết hợp. Quy mô, cấu trúc và văn hóa của tổ
chức là những yếu tố cần xem xét khi đánh giá các nguồn lực bên trong hoặc
bên ngoài. Các công ty quy mô vừa và nhỏ có nhiều lợi ích hơn từ việc sử dụng
hỗ trợ bên ngoài so với các tổ chức lớn hơn. Kết quả từ việc sử dụng các
nguồn lực bên ngoài cũng có thể cung cấp một kết quả hợp lệ hơn, tùy thuộc
vào nền văn hóa. Nếu tổ chức đã quen với các cuộc kiểm toán nội bộ thì nguồn
lực nội bộ cũng có thể có giá trị.

Nguồn tham khảo

[1] ISO 9001:2008, Quality management systems — Requirements
[2] ISO 14001:2004, Environmental management systems — Requirements with
guidance for use
[3] ISO/IEC 15026 (all parts), Systems and software engineering — Systems
and software assurance1)
[4] ISO/IEC 15408-1:2009, Information technology — Security techniques —
Evaluation criteria for IT
security — Part 1: Introduction and general model
Evaluation criteria for IT security — Part 2: Security functional components
Evaluation criteria for IT security — Part 3: Security assurance components
[7] ISO/IEC TR 15443-1:2005, Information technology — Security techniques
— A framework for IT security assurance — Part 1: Overview and framework
— A framework for IT security assurance — Part 2: Assurance methods
— A framework for IT security assurance — Part 3: Analysis of assurance
methods
[10] ISO/IEC 15939:2007, Systems and software engineering — Measurement
process
[11] ISO/IEC 16085:2006, Systems and software engineering — Life cycle
processes — Risk management
[12] ISO/IEC 16326:2009, Systems and software engineering — Life cycle
processes — Project management
[13] ISO/IEC 18045:2008, Information technology — Security techniques —
Methodology for IT security evaluation
[14] ISO/IEC TR 19791:2006, Information technology — Security techniques
— Security assessment of operational systems
[15] ISO/IEC 20000-1:2005, Information technology — Service management —
Part 1: Specification
Information security management systems — Requirements
Information security management — Measurement
Information security risk management
[19] ISO 21500, Project management — Guide to project management2)

[20] ISO/IEC 27006:2007 Information technology — Security techniques —

Requirements for bodies providing audit and certification of information
security management systems
1) Đã được công bố.
2) Đang chuẩn bị.


ISO 27003-2010-Vi

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ISO 27003-2010-Vi

Uploaded by

Copyright:

Available Formats

ISO 27003:2010 – Công nghệ thông tin – Các kỹ thuật bảo mật -Hướng dẫn triển khai hệ thống

quản lý bảo mất thông tin

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Lời tựa quốc gia

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Tuyên bố từ chối trách nhiệm (với định dạng) PDF

TÀI LIỆU ĐÃ ĐƯỢC BẢO VỆ BẢN QUYỀN

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Công bố tại Thụy Sỹ.

TIÊU CHUẨN ISO 27003:2010(E)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

2 Quy phạm tham chiếu

3 Các thuật ngữ và định nghĩa

4 Cấu trúc của Tiêu chuẩn Quốc tế này

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Hình 1: Các giai đoạn của dự án ISMS

4.2 Cấu trúc chung của một điều khoản

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

4.3 Các biểu đồ

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Hình 2 : Chú giải về biểu đồ luồng.

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

f) nguy cơ môi trường :

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

5.3 Xác định phạm vi sơ bộ của ISMS

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

5.4 Xây dựng đề án kinh doanh và kế hoạch dự án để cấp quản lý phê

Đề án kinh doanh và kế hoạch dự án ISMS khởi đầu phục vụ như là cơ sở của

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

Tham chiếu ISO/IEC 27001:2005: 4.2.1 a) và 4.2.1 b)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

6.2 Xác định phạm vi và ranh giới của tổ chức

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

6.4 Xác định phạm vi và ranh giới vật lý

Thông tin khác

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

7.3 Xác định các tài sản trong phạm vi ISMS

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

Thông tin khác

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)

BS ISO/IEC 27003:2010 – ISO/IEEC 27003:2010(E)