QUI CHẾ AN TOÀN THÔNG TIN CỦA BỘ PHẬN IT

I.1 Giám sát

Mục tiêu: Nhằm phát hiện các tiện ích xử lý thông tin trái phép.
Phải giám sát hệ thống và lập hồ sơ các sự kiện an ninh thông tin. Phải ghi lại hoạt động và ghi lỗi để
đảm bảo các vấn đề của hệ thống thông tin được xác định.

Một tổ chức phải làm theo tất cả các yêu cầu pháp luật liên quan có thể áp dụng để theo dõi và ghi lại
các hoạt động.
Phải sử dụng việc giám sát hệ thống để kiểm tra hiệu quả của các kiểm soát áp dụng và để xác nhận
sự phù hợp của kiểu chính sách truy cập.
I.1.1 Bản ghi đánh giá
Biện pháp kiểm soát
Phải tạo ra các bản ghi nhật ký kiểm tra hoạt động người dùng, các loại trừ, và các sự kiện an ninh
thông tin và giữ trong một thời gian được chấp thuận để phục vụ cho việc điều tra và theo dõi kiểm
soát truy cập.
Hướng dẫn thực hiện
Các biên bản kiểm tra cần bao gồm, khi có liên quan:
a) ID người dùng;
b) Ngày, giờ, và chi tiết các sự kiện chính, như việc đăng nhập và thoát;
c) Nhận dạng thiết bị đầu cuối hay vị trí nếu có thể;
d) Hồ sơ của các nỗ lực truy cập hệ thống thành công hay bị từ chối;
e) Hồ sơ các cố gắng truy cập các nguồn lực khác và dữ liệu thành công và bị từ chối;
f) Thay đổi cấu hình hệ thống;
g) Việc sử dụng các đặc quyền;
h) Việc sử dụng các tiện ích và ứng dụng hệ thống;
i) Các file được truy cập và loại truy cập;
j) Các địa chỉ và giao thức mạng;
k) Các báo động của hệ thống kiểm soát truy cập;
l) Kích hoạt và ngưng hoạt động của các hệ thống bảo vệ, như là hệ thống diệt virus và hệ thống
phát hiện xâm nhập.
Thông tin khác
 Biên bản kiểm tra có thể chứa dữ liệu cá nhân xâm nhập và bí mật. Phải thực hiện các phương
pháp bảo vệ riêng tư thích hợp (xem 15.1.4). Khi có thể, các quản trị hệ thống không nên có quyền
xoá hay ngưng các bản ghi về các hoạt động của họ (xem I.1.3).
I.1.2 Giám sát việc sử dụng hệ thống
Biện pháp kiểm soát
Phải thiết lập các thủ tục cho việc giám sát sử dụng các tiện ích xử lý thông tin và các kết quả của
hoạt động giám sát được xem xét thường xuyên.
Hướng dẫn thực hiện
Mức độ giám sát được yêu cầu đối với các tiện ích cá nhân phải được xác định theo đánh giá rủi ro.
Một tổ chức cần làm theo tất cả các yêu cầu pháp lý liên quan có thể áp dụng cho các hoạt động
giám sát. Những vùng cần được xem xét bao gồm:
a) Việc truy cập được cho phép, chi tiết như sau:
1) ID người dùng;
2) Ngày và thời gian của các sự kiện chính;
3) Loại của sự kiện;
4) Các file được truy cập;
5) Các chương trình/tiện ích được sử dụng;
b) Tất cả các hoạt động đặc quyền, như:
1) Việc sử dụng các tài khoản đặc quyền, như supervisor, root, administrator;
2) Khởi động và dừng hệ thống;
3) Tháo/lắp các thiết bị vào/ra;
c) Các cố gắng truy cập trái phép, như:
1) Các họat động của người sử dụng bị từ chối hay bị lỗi;
2) Các hoạt động bị lỗi hay bị từ chối liên quan đến dữ liệu hoặc các nguồn khác;
3) Các vi phạm chính sách truy cập và các cảnh báo của gateways mạng và firewalls;
4) Cảnh báo từ hệ thống phát hiện xâm nhập;
d) Các cảnh báo hệ thống hay các lỗi như là:
1) Các cảnh báo hay thông điệp của bảng điều khiển;
2) Các ngoại lệ trong nhật ký hệ thống;
3) Các báo động quản lý mạng;
4) Các báo động của hệ thống kiểm soát truy cập;
e) Các thay đổi hay cố gắng hay đổi, các thiết lập an ninh hệ thống và các kiểm soát.
 Kết quả của các hoạt động theo dõi được xem xét thường xuyên như thế nào phụ thuộc vào
các rủi ro liên quan. Các yếu tố rủi ro phải được xem xét bao gồm:
a) Tầm quan trọng của các quá trình ứng dụng;
b) Giá trị, độ nhạy cảm, và tầm quan trọng của thông tin liên quan;
c) Kinh nghiệm quá khứ về xâm nhập và lạm dụng hệ thống, và tần số các lỗ hổng bị khai thác;
d) Mức độ hệ thống kết nối (đặc biệt là các mạng công cộng)
e) Các tiện ích ghi nhật ký bị ngưng hoạt động.
Thông tin khác
Sử dụng các thủ tục giám sát là cần thiết để đảm bảo rằng người sử dụng chỉ thực hiện các hoạt động
được cho phép rõ ràng.

Một soát xét bản ghi bao gồm việc hiểu các mối nguy mà hệ thống phải đối mặt và các thức mà các
mối nguy có thể trở nên lớn hơn. Các ví dụ về những sự kiện có thể yêu cầu điều tra thêm trong
trường hợp các sự cố an ninh được ghi trong 13.1.1.
I.1.3 Bảo vệ các thông tin bản ghi
Kiểm tra
Các tiện ích ghi nhật ký và các thông tin bản ghi phải được bảo vệ chống lại sự can thiệp và truy xuất
trái phép.
Hướng dẫn thực hiện
Các kiểm soát phải hướng vào việc bảo vệ chống lại các thay đổi trái phép và các vấn đề hoạt động
với các tiện ích ghi nhật ký bao gồm:
a) Ghi nhận việc thay đổi kiểu thông điệp;

b) Các file nhật ký bị chỉnh sửa hay xoá;

c) Khả năng chứa của phương tiện lưu trữ file nhật ký bị vượt quá, kết quả hoặc là việc ghi lại các
sự kiện bị lỗi hoặc khi đè lên những sự kiện cũ.
Một vài bản ghi kiểm tra có thể được yêu cầu được lưu trữ như là một phần của chính sách lưu trữ hồ
sơ hay bởi các yêu cầu thu thập và giữ lại bằng chứng (xem thêm 13.2.3).
Thông tin khác
Các bản ghi hệ thống thường chứa đựng lượng lớn thông tin, phần lớn trong số đó không liên quan
đến giám sát an ninh. Để giúp xác định các sự kiện quan trọng cho các mục đích giám sát an ninh,
việc sao chép các loại thông điệp thích hợp tự động sang một bản ghi thứ hai, và/hoặc sử dụng các
tiện ích hệ thống phù hợp hay các công cụ kiểm tra để thực hiện truy vấn và hợp lý hoá file phải
được xem xét.
 Các bản ghi hệ thống cần được bảo vệ, bởi nếu dữ liệu có thể bị chỉnh sửa hay dữ liệu trong
chúng bị xoá, sự tồn tại của chúng có thể tạo ra nhận thức sai về tình hình an ninh.
I.1.4 Nhật ký người quản trị và điều hành
Biện pháp kiểm soát
Các hoạt động của người quản trị và điều hành hệ thống phải được ghi lại.
Hướng dẫn thực hiện
Bản ghi cần bao gồm:
a) Thời điểm khi sự kiện xảy ra (thành công hay thất bại);
b) Thông tin về sự kiện (như xử lý các file) và thất bại (như lỗi xảy được xảy ra và các hành
động sửa lỗi được thực hiện);
c) Tài khoản và người quản trị hay điều hành liên quan;
d) Các quá trình liên quan.
Các bản ghi quản trị và điều hành hệ thống phải được xem xét trên cơ sở thường xuyên.
Thông tin khác
Một hệ thống phát hiện tấn công quản lý ngoài biện pháp kiểm soát của hệ thống và các quản trị
mạng có thể được sử dụng để giám sát hệ thống và việc tuân thủ các hoạt động quản trị mạng.

I.1.5 Nhật ký ghi lỗi

Biện pháp kiểm soát
Các lỗi phải được ghi lại, phân tích và thực hiện các hành động thích hợp.
Hướng dẫn thực hiện
Lỗi được báo cáo bởi người sử dụng hay chương trình hệ thống liên quan đến vấn đề xử lý thông tin
hay hệ thống truyền thông phải được ghi nhận. Phải có những nguyên tắc rõ ràng đối với việc xử lý
lỗi bao gồm:

a) Xem xét các bản ghi nhật ký lỗi để đảm bảo rằng các lỗi được giải quyết thoả đáng;
b) Xem xét các cách sửa lỗi để đảm bảo rằng các kiểm soát không bị tổn hại, và các hành động
đã thực hiện là hoàn toàn được phép.
Phải đảm bảo rằng việc ghi lỗi được kích hoạt, nếu hệ thống có chức năng này.
Thông tin khác
Việc ghi lại các lỗi hay sai xót có thể ảnh hưởng đến hoạt động của hệ thống. Vì vậy việc ghi
lỗi phải được kích hoạt bởi nhân viên có năng lực, và mức độ của việc ghi lỗi được yêu cầu đối với
các hệ thống cá nhân phải được xác định qua một đánh giá rủi ro, có tính đến việc giảm sút hoạt
động.
I.10.6 Đồng bộ hoá thời gian
Biện pháp kiểm soát
Giờ của tất cả các hệ thống xử lý thông tin liên quan trong một tổ chức hay domain an ninh phải
được đồng bộ với một nguồn thời gian chính xác được phê chuẩn.
Hướng dẫn thực hiện
Khi một máy tính hay thiết bị truyền thông có khả năng hoạt động một đồng hồ thời gian thực, đồng
hồ này phải được thiết lập với một chuẩn, như Coordinated Universal Time (UTC) hay thời gian
chuẩn địa phương. Khi vài đồng hồ được nhận biết bị lệch giờ, phải có một thủ tục để kiểm tra và
chỉnh sửa bất kỳ thay đổi quan trọng nào.
Việc thể hiện đúng định dạng ngày/giờ là quan trọng để đảm bảo rằng thời gian hiển thị phản ánh
đúng ngày/thời gian thực. Đặc trưng địa phương (như việc tiết kiệm ánh sáng ban ngày) phải được
tính đến.
Thông tin khác
Việc thiết lập đúng đồng hồ của máy tính là quan trọng để đảm bảo độ chính xác của các bản ghi
nhật ký kiểm tra, những bản ghi có thể được yêu cầu khi điều tra hay là bằng chứng trong các trường
hợp pháp lý và kỷ luật. Các bản ghi nhật ký kiểm tra không chính xác có thể gây trở ngại cho việc
điều tra và tổn tại đến tính đáng tin cậy của bằng chứng. Một đồng hồ kết nối đến một nguồn phát
sóng thời gian từ một đồng hồ nguyên tử quốc gia có thể được dùng như một đồng hồ chính cho hệ
thống ghi nhật ký. Một giao thức mạng có thể được sử dụng để giữ cho tất cả máy chủ đồng bộ với
đồng hồ chính.

II. Kiểm soát truy cập

II.1 Các yêu cầu nghiệp vụ đối với kiểm soát truy cập
Mục tiêu: Nhằm kiểm soát truy cập thông tin.
Phải kiểm soát truy cập đến thông tin, các tiện ích xử lý thông tin, và các quá trình kinh doanh dựa
trên cơ sở kinh doanh và các yêu cầu an ninh.
Các nguyên tắc kiểm soát truy cập phải tính đến các chính sách đối với việc phổ biến và xác thực
thông tin.
II.1.1 Chính sách kiểm soát truy cập
Biện pháp kiểm soát
Phải thiết lập, văn bản hoá, và xem xét một chính sách kiểm soát truy cập dựa trên các yêu cầu hoạt
động chính yếu và an ninh đối với việc truy cập.
Hướng dẫn thực hiện
 Các qui định kiểm soát truy cập và quyền của mỗi người hay nhóm người dùng phải được trình bày
một cách rõ ràng trong chính sách kiểm soát truy cập. Các biện pháp kiểm soát truy cập là cả luận lý
và vật lý (xem thêm phần 9) cần được xem xét chung. Người dùng và nhà cung cấp dịch vụ phải
được thông báo rõ ràng về các yêu cầu nghiệp vụ được đáp ứng bởi kiểm soát truy cập.
Chính sách phải tính đến những điều sau:

a) Các yêu cầu an ninh của các ứng dụng nghiệp vụ cá nhân;
b) Nhận biết các thông tin liên quan đến các ứng dụng kinh doanh và các rủi ro mà thông tin đang
đối diện;
c) Các chính sách phân phối và cấp phép thông tin, như nhu cầu cần biết nguyên tắc, các mức an
ninh và phân loại thông tin (xem 7.2);
d) Sự nhất quán giữa kiểm soát truy cập và chính sách phân loại thông tin của các hệ thống và
mạng khác nhau;
e) Luật pháp liên quan và bất kỳ nghĩa vụ hợp đồng về bảo vệ truy cập dữ liệu hay dịch vụ (xem
15.1);
f) Profiles truy cập người dùng chuẩn cho các vai trò công việc thông thường trong tổ chức;
g) Quản lý các quyền truy cập trong một môi trường liên kết và phân tán, nhận biết các loại kết
nối sẵn có;

h) Phân chia các vai trò kiểm soát truy cập, như các yêu cầu truy cập, cấp phép truy cập, quản trị
truy cập;
i) Các yêu cầu để cấp phép chính thức cho các nhu cầu truy cập (xem II.2.1);
j) Các yêu cầu xem xét định kỳ các kiểm soát truy cập (xem II.2.4);
k) Xoá bỏ các quyền truy cập (xem 8.3.3).
Thông tin khác
Phải chú ý xem xét khi định rõ các nguyên tắc kiểm soát truy cập:
a) Phân biệt giữa quy định là phải luôn ép buộc thực hiện còn hướng dẫn là có thể lựa chọn hay có
điều kiện;
b) Thiết lập các nguyên tắc dựa trên tiền đề “Mọi thứ bị cấm trừ khi được cho phép rõ ràng” thì tốt
hơn nguyên tắc “Mọi thứ được cho phép trừ khi bị cấm rõ ràng”;

c) Các thay đổi nhãn thông tin (xem 7.2) được bắt đầu một cách tự động bởi các tiện ích xử lý
thông tin và điều này được khởi tạo từ sự xem xét thận trọng của một người sử dụng;
d) Các thay đổi trong các quyền của người dùng được thực hiện tự động bởi hệ thống thông tin và
điều này được khởi tạo bởi người quản trị;
 e) Các quy định, những thứ yêu cầu được kiểm duyệt rõ ràng trước khi ban hành và những thứ
không cần.
Phải hỗ trợ các nguyên tắc kiểm soát truy cập bằng các thủ tục chính thức và trách nhiệm được định
nghĩa rõ ràng (xem ví dụ, 6.1.3, II.3, I.4.1, II.6).
II.1 Quản lý truy cập của người sử dụng
Mục tiêu: Nhằm đảm bảo người được cấp phép truy cập và ngăn chặn truy cập trái phép đến hệ
thống thông tin.
Phải thực hiện các thủ tục chính thức để kiểm soát việc chỉ định quyền truy cập đối với dịch vụ và hệ
thống thông tin.
Các thủ tục cần bao trùm tất cả các giai đoạn trong vòng đời của truy cập người dùng, từ giai đoạn
bắt đầu đăng ký những người dùng mới đến giai đoạn cuối là xoá những ai không bao giờ còn cần
truy cập đến dịch vụ và hệ thống thông tin. Đặc biệt chú ý đến, khi thích hợp, đến sự cần thiết kiểm
soát việc chỉ định quyền truy cập đặc biệt , cho phép người dùng khống chế các kiểm soát hệ thống.
II.1.1 Đăng ký người dùng
Biện pháp kiểm soát
Phải có các thủ tục đăng ký và huỷ đăng ký người sử dụng chính thức áp dụng cho việc cấp và xoá
bỏ truy cập đến tất cả các dịch vụ và hệ thống thông tin.
Hướng dẫn thực hiện
Thủ tục kiểm soát truy cập cho việc đăng ký và huỷ đăng ký người sử dụng phải bao gồm:
a) Sử dụng ID người dùng duy nhất để liên kết đến và chịu trách nhiệm đối với hành động của họ;
Việc sử dụng nhóm ID chỉ được cho phép khi chúng cần thiết đối với các lý do nghiệp vụ và làm
việc, phải được phê chuẩn và văn bản hoá;
b) Kiểm tra người dùng có quyền từ chủ sở hữu hệ thống cho việc sử dụng các dịch vụ hay hệ
thống thông tin; Việc phê chuẩn độc lập quyền truy cập từ quản lý cũng có thể phù hợp;
c) Kiểm tra tính phù hợp của mức truy cập được cấp phép đối với các mục đích nghiệp vụ (xem
II.1) và là nhất quán với chính sách an ninh của tổ chức, như nó không làm tổn tại việc phân chia
trách nhiệm (xem 10.1.3);
d) Đưa cho người dùng một thông báo văn bản về quyền truy cập của họ;
e) Yêu cầu người dùng ký các thông báo xác nhận rằng họ hiểu các điều kiện truy cập;
f) Đảm bảo các nhà cung cấp dịch vụ không cung cấp quyền truy cập cho đến khi thủ tục cấp
phép được hoàn thành;
g) Duy trì một hồ sơ chính thức về tất cả cá nhân được đăng ký sử dụng dịch vụ;
h) Xoá bỏ ngay lập tức hay khoá quyền truy cập của những ai thay đổi vai trò hay công việc hoặc
rời tổ chức.
 i) Kiểm tra định kỳ đối với, và xoá bỏ hay khoá, ID người dùng và các tài khoản không cần đến
(xem II.2.4);
j) Đảm bảo rằng các ID người dùng không cần đến không bị cấp phát cho những người dùng
khác;
Thông tin khác
Phải thực hiện xem xét để thiết lập các vai trò truy cập người dùng dựa trên các yêu cầu nghiệp vụ để
tổng hợp một số các quyền truy cập vào trong profiles truy cập người dùng điển hình. Các yêu cầu
và xem xét truy cập (xem II.2.4) được quản lý dễ dàng tại mức tương ứng với vai trò hơn là mức của
các quyền cụ thể.
Phải thực hiện xem xét thêm về các điều khoản trong hợp đồng nhân sự và hợp đồng dịch vụ để chỉ
rõ cách xử phạt nếu nhân sự hay nhân viên dịch vụ cố gắng truy cập trái phép (xem thêm 6.1.5, 8.1.3
và 8.2.3).
III.2.2 Quản lý đặc quyền
Biện pháp kiểm soát
Phải kiểm soát và hạn chế việc chỉ định và sử dụng các đặc quyền.
Hướng dẫn thực hiện
Các hệ thống đa người dùng có yêu cầu bảo vệ chống lại truy cập trái phép cần phải kiểm soát việc
chỉ định các đặc quyền thông qua một quá trình cấp phép chính thức. Phải xem xét các bước sau:
a) Các đặc quyền truy cập liên kết với mỗi sản phẩm hệ thống, như hệ điều hành, hệ thống quản lý
cơ sở dữ liệu và mỗi ứng dụng, và những người dùng cần thiết được cấp phải xác định;
b) Phải chỉ định các đặc quyền đến những người dùng dựa trên cơ sở cần thiết sử dụng và cơ sở sự
kiện theo sự kiện cùng với các chính sách kiểm soát truy cập (III.1.1), ví dụ các yêu cầu tối thiểu đối
với vai trò chức năng của họ chỉ khi cần thiết;
c) Phải duy trì một quá trình cấp phép và một hồ sơ về tất cả các đặc quyền đã cấp. Không được
cấp các đặc quyền cho đến khi các quá trình cấp phép hoàn tất;
d) Phải thúc đẩy việc triển khai và sử dụng các chương trình con hệ thống để tránh nhu cầu cấp
đặc quyền cho người dùng;
e) Phải thúc đẩy triển khai và sử dụng các chương trình, để tránh nhu cầu chạy với các đặc quyền.
f) Đặc quyền phải được gán cho ID người dùng khác với những ID sử dụng cho nghiệp vụ thông
thường.
Thông tin khác
Việc sử dụng không phù hợp các đặc quyền quản trị hệ thống (bất kỳ tính năng hay tiện ích của hệ
thống thông tin cho phép người dùng khống chế hệ thống hay các kiểm soát ứng dụng) có thể là yếu
tố góp phần chính đến sự sụp đổ hay vi phạm hệ thống.
III.1.1 Quản lý mật khẩu người dùng
Biện pháp kiểm soát
Phải kiểm soát việc cấp phát mật khẩu thông qua quá trình quản lý chính thức.

Hướng dẫn thực hiện

Quá trình nên bao gồm các yêu cầu sau:

a) Phải yêu cầu người dùng ký vào văn bản để giữ bí mật mật khẩu cá nhân và giữ các mật khẩu
duy nhất trong nhóm các thành viên của nhóm; Các văn bản được ký này cần bao gồm các điều
khoản và điều kiện để làm việc (xem 8.1.3);

b) Khi người dùng được yêu cầu duy trì mật khẩu của chính họ, phải cung cấp ban đầu một mật
khẩu tạm thời bảo mật (xem III.3.1), buộc họ phải thay đổi ngay lập tức.

c) Thiết lập các thủ tục để xác minh nhận dạng người dùng trước khi cấp mới, thay đổi hay mật
khẩu tạm thời;
d) Phải cung cấp mật khẩu tạm thời cho người dùng theo cách bảo mật; Phải tránh sử dụng bên
thứ ba hay các thông điệp thư điện tử không được bảo vệ;
e) Các mật khẩu tạm phải là duy nhất cho một cá nhân và không thể đoán ra được;
f) Người dùng phải xác nhận nhận được mật khẩu;
g) Không bao giờ được lưu mật khẩu trong hệ thống máy tính ở hình thức không được bảo vệ;
h) Mật khẩu mặc định của nhà cung cấp phải được thay đổi sau khi cài đặt hệ thống hay phần
mềm.
Thông tin khác
Mật khẩu là một cách thông dụng để xác minh nhận dạng người dùng trước khi truy cập đến một hệ
thống thông tin hay dịch vụ dưới quyền người dùng. Các kỹ thuật khác của việc nhận dạng và chứng
thực người dùng, như là sinh trắc học, ví dụ: Kiểm tra vân tay, chữ ký, hay sử dụng một phần cứng
xác thực, như smart cards, nếu có, cần xem xét.
III.1.2 Soát xét quyền truy cập người dùng
Biện pháp kiểm soát
Lãnh đạo phải soát xét quyền truy cập người dùng tại khoảng thời gian định kỳ bằng một quá trình
chính thức.
Hướng dẫn thực hiện
Cần xem xét hướng dẫn sau khi soát xét các quyền truy cập:
 a) Phải soát xét quyền truy cập của người dùng tại các khoảng thời gian định kỳ, như mỗi 6 tháng,
và sau những thay đổi, như là thăng chức, giáng chức, hay xoá bỏ công việc (xem III.2.1);
b) Phải xem xét và chỉ định lại quyền truy cập người dùng khi di chuyển từ công việc này đến
công việc khác trong cùng tổ chức;

c) Phải soát xét các giấy phép đối với những đặc quyền truy cập đặc biệt (xem III.2.2) tại những
khoảng thời gian thường xuyên hơn, như mỗi 3 tháng;
d) Phải kiểm tra việc cấp phát đặc quyền theo những khoảng thời gian thường xuyên để đảm bảo
rằng không cấp các đặc quyền không được phép;
e) Phải ghi lại các thay đổi tài khoản có đặc quyền để xem xét định kỳ.
Thông tin khác
Việc xem xét thường xuyên các quyền truy cập của người dùng là cần thiết để duy trì hiệu quả kiểm
soát việc truy cập đến dữ liệu và các dịch vụ thông tin.
III.2 Trách nhiệm của người dùng
Mục đích: Nhằm ngăn chặn người dùng trái phép truy cập, và làm hư hại hay lấy cắp thông tin và
các tiện ích xử lý thông tin.

Sự phối hợp với những người dùng hợp pháp là cần thiết để an ninh đạt hiệu quả.
Người sử dụng phải nhận thức được trách nhiệm của họ để duy trì hiệu quả của các kiểm soát truy
cập, đặc biệt liên quan đến việc sử dụng mât khẩu và an ninh của thiết bị người dùng.
Phải thực thi chính sách một bàn làm việc sạch và màn hình sạch để giảm thiểu rủi ro truy cập trái
phép hay huỷ hoại giấy, thiết bị, và các tiện ích xử lý thông tin.
III.2.1 Sử dụng mật khẩu
Biện pháp kiểm soát
Phải yêu cầu người dùng thực hiện theo các thói quen an ninh tốt trong việc lựa chọn và sử dụng mật
khẩu.
Hướng dẫn thực hiện
Phải hướng dẫn tất cả người dùng thực hiện:
a) Bảo mật mật khẩu;
b) Tránh lưu mật khẩu (như trên giấy, file phần mềm hay thiết bị cầm tay), trừ khi việc này có thể
được lưu bảo mật và phương pháp lưu trữ được phê chuẩn;

c) Thay đổi mật khẩu bất cứ khi nào có dấu hiệu khả năng hệ thống hay mật khẩu bị làm hại;
d) Lựa chọn các mật khẩu đặc biệt với đủ chiều dài tối thiểu là:
 1) Dễ nhớ;
2) Không dựa trên bất kỳ người nào có thể dễ đoán hay dùng các thông tin cá nhân liên quan,
như tên, số điện thoại, và ngày sinh…;
3) Không để lỗ hổng tấn công từ điển (ví dụ: không sử dụng các từ trong từ điển);

4) Các ký tự chữ hoặc số không sử dụng liên tiếp giống nhau.

e) Thay đổi mật khẩu định kỳ thường xuyên hay dựa trên số lần truy cập (mật khẩu cho tài khoản
có đặc quyền phải thay đổi với tần số nhiều hơn mật khẩu thường), và tránh sử dụng lại hay xoay
vòng mật khẩu cũ;
f) Thay đổi mật khẩu tạm ngay lần đăng nhập đầu tiên;
g) Không bao gồm mật khẩu trong quá trình đăng nhập tự động, như được lưu trong macro hay
phím chức năng;
h) Không chia sẻ mật khẩu người dùng cá nhân;
i) Không sử dụng chung mật khẩu cho các mục đích thương mại và phi thương mại.
Nếu người dùng cần truy cập nhiều dịch vụ, các hệ thống hay platforms, và được yêu cầu duy trì
nhiều mật khẩu độc lập, phải nhắc nhở họ của thể sử dụng một mật khẩu, độ khó của mật khẩu (xem
d) trên) cho tất cả các dịch vụ khi người dùng được tin rằng một mức bảo vệ hợp lý đã được thiết lập
cho việc lưu trữ mật khẩu trong mỗi dịch vụ, hệ thống hay platform.
Thông tin khác
Quản lý hệ thống hỗ trợ đối phó với việc mất hay quên mật khẩu cần quan tâm đặc biệt khi điều này
cũng có thể là phương tiện để tấn công vào mật khẩu hệ thống.
III.2.2 Thiết bị người dùng không sử dụng
Biện pháp kiểm soát
Người dùng phải đảm bảo rằng các thiết bị khi không sử dụng được bảo vệ thích hợp.
Hướng dẫn thực hiện
Tất cả người sử dụng phải được nhận thức về các yêu cầu và thủ tục an ninh để bảo vệ các thiết bị
khi không dùng, cũng như trách nhiệm của họ trong việc thực hiện bảo vệ. Phải nhắc nhở người sử
dụng:
a) Chấm dứt các phiên hoạt động khi xong việc, trừ khi chúng được bảo vệ bởi một cơ chế khoá
phù hợp, như mật khẩu bảo vệ màn hình;
b) Đăng xuất các máy tính lớn, máy chủ, và các PC văn phòng khi phiên làm việc kết thúc (nghĩa
là không chỉ tắt màn hình máy tính hay thiết bị đầu cuối);
c) Đảm bảo an toàn cho PC và các thiết bị đầu cuối không bị sử dụng trái phép bởi một khoá
chính hoặc một kiểm soát tương đương, như mật khẩu truy cập, khi không sử dụng (xem thêm
III.3.3)
Thông tin khác
Thiết bị lắp đặt trong khu vực người dùng, là máy trạm hay máy chủ file, có thể yêu cầu bảo vệ đặc
biệt không bị truy cập trái phép khi không sử dụng trong khoảng thời gian dài.

IV Quản lý điều hành và truyền thông

IV.1 Trách nhiệm và thủ tục điều hành
Mục tiêu: Nhằm đảm bảo điều hành đúng và an toàn các tiện ích xử lý thông tin.
Phải thiết lập trách nhiệm và thủ tục cho việc quản lý và điều hành tất cả các tiện ích xử lý thông tin.
Điều này bao gồm việc phat triển các thủ tục điều hành thích hợp.

Phải thực hiện việc tách các nhiệm vụ, nơi thích hợp, để giảm thiểu các rủi ro của việc lạm dụng hệ
thống do vô tình hay cố ý.
IV.1.1 Các thủ tục điều hành được văn bản hóa
Biện pháp kiểm soát
Phải văn bản hóa, duy trì và làm sẵn sàng các thủ tục điều hành cho tất cả người dùng cần thiết sử
dụng.
Hướng dẫn thực hiện
Phải chuẩn bị các thủ tục văn bản hóa cho cách hoạt động của hệ thống liên quan đến việc xử lý
thông tin và thiết bị truyền thông, như là thủ tục khởi động và tắt máy tính, sao lưu, việc bảo trì thiết
bị, sử dụng đa phương tiện, phòng máy tính và thư tín được quản lý sử dụng và an toàn.

Các thủ tục điều hành cần hướng dẫn cụ thể cho việc thực hiện chi tiết với mỗi công việc bao gồm:
a) Xử lý và thao tác đối với thông tin;
b) Sao lưu (xem IV.5);
c) Các yêu cầu lên lịch, bao gồm sự phục thuộc lẫn nhau với các hệ thống khác, thời gian công
việc bắt đầu sớm nhất và công việc hoàn thành sau cùng.
d) Hướng dẫn việc xử lý lỗi hay các điều kiện ngoại lệ khác, có thể xuất hiện trong khi thực hiện
công việc, bao gồm các hạn chế trong việc sử dụng các tiện ích hệ thống (xem III.5.4);
e) Các liên lạc hỗ trợ trong trường hợp có khó khăn kỹ thuật hoặc hoạt động đột xuất;

f) Hướng dẫn sử dụng phương tiện và các đầu ra đặc biệt, như là việc sử dụng các văn phòng
phẩm đặc biệt hay quản lý đầu ra thông tin mật bao gồm các thủ tục để bảo mật rác thải của đầu ra từ
những việc làm sai (xem IV.7.2 và IV.7.3);
g) Các thủ tục khởi động hệ thống và phục hồi để sử dụng trong trường hợp sự cố hệ thống;
 h) Quản lý biên bản kiểm tra và bản ghi thông tin hệ thống (xem IV.10).
Các thủ tục hoạt động, và các thủ tục được văn bản hóa dùng cho các hoạt động của hệ thống, phải
được xem như những tài liệu chính thức và thay đổi khi lãnh đạo cho phép. Trong trường hợp khả thi
về mặt kỹ thuật, phải quản lý nhất quán hệ thống thông tin, sử dụng cùng một thủ tục, công cụ, và
các tiện ích.
IV.1.2 Quản lý thay đổi
Biện pháp kiểm soát
Phải kiểm soát các thay đổi từ các thiết bị xử lý thông tin và hệ thống.
Hướng dẫn thực hiện
Hệ điều hành và các phần mềm ứng dụng là đối tượng phải kiểm soát chặt chẽ thay đổi. Cụ thể, phải
xem xét các điều sau:
a) Nhận dạng và ghi lại các kiểm soát quan trọng;
b) Lập kế hoạch và kiểm tra đối với các thay đổi
c) Đánh giá các ảnh hưởng tiềm ẩn, bao gồm ảnh hưởng an ninh, của những thay đổi;
d) Phê chuẩn thủ tục chính thức cho các thay đổi dự kiến;
e) Truyền đạt chi tiết về thay đổi cho tất cả các cá nhân liên quan;
f) Các thủ tục dự phòng, bao gồm các thủ tục và trách nhiệm cho việc bỏ qua và khôi phục từ
những thay đổi không thành công và sự cố bất ngờ.
Phải thực hiện các thủ tục và trách nhiệm quản lý chính thức để đảm bảo thỏa mãn các kiểm soát về
tất cả những thay đổi trên trang thiết bị, phần mềm hay thủ tục. Khi các thay đổi được thực hiện, phải
lưu giữ một bản ghi kiểm tra chứa tất cả các thông tin liên quan.
Thông tin khác
Các kiểm soát không đầy đủ các thay đổi của các hệ thống và tiện ích xử lý thông tin là nguyên nhân
phổ biến của các sự cố an ninh và hệ thống. Các thay đổi môi trường hoạt động, đặc biệt trong việc
chuyển đổi một hệ thống từ giai đoạn phát triển sang hoạt động, có thể ảnh hưởng đến tính tin cậy
của các ứng dụng (xem thêm 12.5.1).
Chỉ được thực hiện các thay đổi đối với các hệ thống hoạt động khi có lý do kinh doanh chính đáng
để làm thế, điều này làm tăng rủi ro đối với hệ thống. Cập nhật hệ thống đến phiên bản cuối của hệ
điều hành hay ứng dụng luôn không được doanh nghiệp ưa thích vì điều này có thể mang lại nhiều lỗ
hổng và không ổn định hơn phiên bản hiện hành. Cũng có thể cần đào tạo thêm, chi phí giấy phép,
hỗ trợ, bảo trì và tổng chi phí quản trị, phần cứng mới cũng cần trong khi nâng cấp.
IV.1.3 Phân chia nhiệm vụ
Biện pháp kiểm soát
Phải phân chia nhiệm vụ và các khu vực trách nhiệm để giảm thiểu cơ hội cho các chỉnh sửa trái
phép hoặc vô tình hoặc lạm dụng tài sản của tổ chức.
Hướng dẫn thực hiện
Phân chia trách nhiệm là một cách để giảm rủi ro trong việc cố ý hay vô tình lạm dụng hệ thống. Cần
phải thận trọng để không một ai có thể truy cập, sửa đổi và sử dụng tài sản khi không được phép
hoặc nhận biết. Khả năng thông đồng cần được xem xét trong việc thiết kế các kiểm soát.

Các tổ chức nhỏ có thể thấy việc phân chia trách nhiệm là khó đạt được, nhưng nguyên tắc phải được
áp dụng ngay khi có khả năng và có thể thực hiện. Bất cứ khi nào việc phân chia khó khăn, phải xem
xét các kiểm soát khác như theo dõi các hoạt động, các giấy tờ kiểm tra và giám sát quản lý. Điều
quan trọng là đánh giá an ninh vẫn còn độc lập.
IV.1.4 Phân chia các tiện ích phát triển, kiểm tra và hoạt động
Biện pháp kiểm soát
Phải phân chia các tiện ích phát triển, kiểm tra và hoạt động để giảm các rủi ro của các thay đổi hay
truy cập trái phép đối với hệ thống hoạt động.
Hướng dẫn thực hiện
Mức độ phân chia môi trường hoạt động, kiểm tra và phát triển cần thiết để ngăn chặn các vấn đề
hoạt động phải được định rõ và thực thi các kiểm soát phù hợp.

Phải xem xét những điều sau:

a) Nguyên tắc của việc chuyển giao phần mềm từ trạng thái phát triển sang hoạt động phải được
xác định và tài liệu hóa.
b) Phần mềm phát triển và hoạt động phải chạy trên những hệ thống hoặc vi xử lý khác nhau và
trong những domain hay thư mục khác;
c) Không được dùng các công cụ biên dịch, soạn thảo và phát triển khác hoặc những tiện ích hệ
thống trên hệ điều hành khi không có yêu cầu.
d) Môi trường thử nghiệm hệ thống phải giả lập giống nhất có thể môi trường hệ thống hoạt động.
e) Những người dùng phải sử dụng thông tin cá nhân khác (profiles) cho hệ thống hoạt động và
kiểm tra, và menus các thông tin nhận biết phù hợp để giảm lỗi.
f) Không được sao chép thông tin nhạy cảm vào môi trường kiểm tra hệ thống (xem 12.4.2).
Thông tin khác
Các hoạt động phát triển và kiểm tra có thể gây ra những vấn đề nghiêm trọng, như những chỉnh sửa
file không mong muốn hay môi trường hệ thống, hay lỗi hệ thống. Trong trường hợp này, cần thiết
phải duy trì một môi trường ổn định và được nhận biết để thực hiện các hoạt động kiểm tra quan
trọng và để ngăn chặn nhân viên phát triển truy cập không đúng.
Trong trường hợp nhân viên phát triển và kiểm tra có quyền truy cập vào hệ thống hoạt động và
thông tin của nó, họ có thể có khả năng đưa vào mã trái phép và chưa được kiểm tra hoặc thay đổi dữ
liệu hoạt động. Trên một số hệ thống khả năng này có thể bị lạm dụng để thực hiện gian lận, hoặc
đưa vào mã độc hoặc chưa được kiểm tra, có thể gây nên những sự cố hoạt động nghiêm trọng.
Nhân viên phát triển và kiểm cũng mang lại mối đe dọa đến tính bảo mật của thông tin hoạt động.
Các hoạt động phát triển và kiểm tra có thể gây nên những thay đổi ngẫu nhiên đến phần mềm hoặc
thông tin nếu họ chia sẻ chung môi trường tính toán. Vì vậy mong muốn phân chia các thiết bị phát
triển, kiểm tra, và hoạt động độc lập để giảm thiểu rủi ro đến những thay đổi không cố ý hoặc việc
truy cập trái phép đến phần mềm và dữ liệu kinh doanh (xem 12.4.2 để bảo vệ dữ liệu kiểm tra).
IV.2 Quản lý việc cung cấp dịch vụ của bên thứ ba
Mục tiêu: Nhằm thực hiện và duy trì mức an ninh thông tin thích hợp và và việc cung cấp các dịch
vụ cùng với các thỏa thuận cung cấp dịch vụ thuộc bên thứ ba.
Tổ chức phải kiểm tra việc thực hiện các thỏa thuận, theo dõi việc tuân thủ thỏa thuận và quản lý các
thay đổi để đảm bảo rằng các dịch vụ được cung cấp đáp ứng tất cả các yêu cầu đã thỏa thuận với
bên thứ ba.
IV.2.1 Cung cấp dịch vụ
Biện pháp kiểm soát
Phải đảm bảo rằng các kiểm soát an ninh, các nghĩa vụ và các mức cung cấp trong thỏa thuận cung
cấp dịch vụ với bên thứ ba được bên thứ ba thực hiện, và duy trì.

Hướng dẫn thực hiện

Việc cung cấp dịch vụ của bên thứ ba phải gồm các thỏa thuận an ninh được tán thành, các nghĩa vụ
và các hướng quản lý dịch vụ. Trong trường hợp thỏa thuận nguồn bên ngoài, tổ chức phải lên kế
hoạch các chuyển đổi cần thiết ( của thông tin, các tiện ích xử lý thông tin, và bất kỳ thứ gì cần được
di chuyển), phải đảm bảo duy trì an ninh trong suốt thời gian chuyển giao.

Tổ chức phải đảm bảo rằng các bên thứ ba duy trì khả năng cung cấp đầy đủ dịch vụ với kết hoạch
làm việc đã được thiết kế để đảm bảo rằng các mức liên tục dịch vụ đã thỏa thuận được duy trì sau
lỗi hoặc thiên tai dịch vụ chính (xem 14.1).
IV.2.2 Giám sát và xem xét các dịch vụ của bên thứ ba
Biện pháp kiểm soát
Các dịch vụ, báo cáo và hồ sơ được cung cấp bởi bên thứ ba phải được giám sát và xem xét thường
xuyên, và phải thường xuyên thực hiện các đánh giá.
Hướng dẫn thực hiện
Việc giám sát và xem xét các dịch vụ bên thứ ba phải đảm bảo rằng các điều khoản và điều kiện an
ninh thông tin trong các thỏa thuận đang được tôn trọng triệt để, và các sự cố và vấn đề an ninh
thông tin được quản lý đúng đắn. Việc này phải liên quan đến một quy trình và mối quan hệ quản lý
dịch vụ giữa tổ chức và bên thứ ba để :
 a) Giám sát các mức thực hiện dịch vụ để kiểm tra việc tuân thủ thỏa thuận;
b) Xem xét báo cáo dịch vụ được bên thứ ba cung cấp và sắp xếp các cuộc họp tiến độ thường
xuyên theo yêu cầu của các thỏa thuận;
c) Cung cấp thông tin về các sự cố an ninh thông tin, bên thứ ba và tổ chức xem xét những thông
tin này như được yêu cầu trong thoả thuận, bất kỳ hướng dẫn hỗ trợ và thủ tục nào;

d) Xem xét các biên bản kiểm tra của bên thứ ba và các hồ sơ sự kiện an ninh, các vấn đề hoạt
động, lỗi, truy tìm lỗi và các gián đoạn liên quan đến dịch vụ được cung cấpl
e) Giải quyết và quản lý bất kỳ vấn đề được xác định nào.
Trách nhiệm quản lý mối quan hệ với một bên thứ ba phải được giao cho một cá nhân được chỉ định
hoặc đội quản lý dịch vụ. Ngoài ra, tổ chức phải đảm bảo rằng bên thứ ba giao các trách nhiệm kiểm
tra việc tuân thủ và bắt tuân theo các yêu cầu trong thỏa thuận. Các kỹ năng kỹ thuật đầy đủ và
nguồn lực phải được chuẩn bị sẵn sàng để giám sát các yêu cầu của thỏa thuận (xem 6.2.3), đặc biệt
các yêu cầu an ninh thông tin phải được đáp ứng. Phải thực hiện các hành động phù hợp khi quan sát
thấy các thiếu xót trong dịch vụ được cung cấp.

Tổ chức phải duy trì các kiểm soát tổng quan đầy đủ và tầm nhìn vào tất cả các mặt an ninh đối với
thông tin quan trọng hoặc nhạy cảm và các tiện ích xử lý thông tin được truy cập, được xử lý hay
quản lý bởi một tổ chức thứ ba. Tổ chức phải đảm bảo họ duy trì tính minh bạch trong các hoạt động
an ninh như là thay đổi lãnh đạo, việc định rõ các điểm yếu, và thông báo/phản hồi sự cố an ninh
thông tin thông qua một quy trình báo cáo được định nghĩa rõ ràng, định dạng và cấu trúc.
Thông tin khác
Trong trường hợp nguồn bên ngoài, tổ chức cần phải nhận thức rằng trách nhiệm cao nhất đối với
thông tin được sử lý bởi nguồn bên ngoài vẫn còn với tổ chức.
IV.2.3 Quản lý các thay đổi đối với các dịch vụ bên thứ ba
Biện pháp kiểm soát
Phải quản lý các thay đổi trong việc cung cấp các dịch vụ, bao gồm việc duy trì và cải tiến các chính
sách quản lý thông tin đang tồn tại, các thủ tục và biện pháp kiểm soát, tính đến mức độ rủi ro của
các hệ thống kinh doanh và các quát trình liên quan đến việc đánh giá lại các rủi ro.
Hướng dẫn thực hiện
Các quá trình quản lý sự thay đổi của các dịch vụ bên thứ ba cần tính đến:
a) Tổ chức thực hiện các thay đổi để thực hiện:
1) Tăng cường việc cung cấp các dịch vụ hiện tại;
2) Phát triển các ứng dụng và hệ thống mới bất kỳ;
 3) Chỉnh sửa hoặc cập nhật các chính sách và thủ tục của tổ chức;
4) Các biện pháp kiểm soát mới để giải quyết các sự cố an ninh thông tin và để tăng cường an
ninh;
b) Các thay đổi trong dịch vụ của bên thứ ba để thực hiện:
1) Những thay đổi và nâng cao đối với các mạng;
2) Sử dụng công nghệ mới;
3) Chấp nhận sản phẩm mới hoặc các phiên bản/phát hành mới hơn;
4) Những môi trường và công cụ phát triển mới;
5) Thay đổi vị trí vật lý của các tiện ích dịch vụ;
6) Thay đổi các nhà cung cấp.
IV.3 Chấp nhận và lập kế họach hệ thống
Mục tiêu: Nhằm giảm thiểu rủi ro lỗi hệ thống.
Yêu cầu việc hoạch định cải tiến và sự chuẩn bị để đảm bảo tính sẵn sàng về công suất đầy đủ và
nguồn lực để đáp ứng cho yêu cầu hoạt động hiệu quả.
Phải thực hiện dự thảo các yêu cầu công suất tương lai, để giảm rủi ro hệ thống quá tải.

Phải thiết lập, tài liệu hóa, và kiểm tra trước các yêu cầu hoạt động của hệ thống mới để chấp nhận
và sử dụng chúng.
IV.3.1 Quản lý dung lượng
Biện pháp kiểm soát
Việc sử dụng các nguồn lực phải được giám sát, điều chỉnh và các dự thảo bao gồm các yêu cầu
tương lai để đảm bảo yêu cầu hiệu quả hệ thống.
Hướng dẫn thực hiện
Với mỗi hoạt động mới hoặc đang thực hiện, phải xác định các yêu cầu dung lượng. Phải áp dụng
việc giám sát và điều chỉnh hệ thống để đảm bảo và, khi cần thiết, cải thiện tính sẵn sàng và hiệu quả
của hệ thống. Phải đặt các kiểm soát phát hiện đúng chỗ để nhận dạng vấn đề đúng thời điểm. Các
dự thảo cho các yêu cầu dung lượng tương lai cần tính đến các yêu cầu hệ thống và kinh doanh mới,
xu hướng hiện tại và dự kiến đã dự thảo trong khả năng xử lý thông tin của tổ chức.

Chú ý đặc biệt đến bất kỳ nhu cầu nào cần có thời gian thực hiện dài hoặc chi phí cao; Vì vậy các
quản lý phải theo dõi việc sử dụng các nguồn lực hệ thống chính. Họ phải nhận biết các xu hướng sử
dụng, đặc biệt khi liên quan đến các ứng dụng doanh nghiệp hay các hệ thống công cụ quản lý thông
tin.
Những người quản lý phải sử dụng những thông tin này để nhận biết, tránh các nút cổ chai tiềm ẩn
và sự phụ thuộc vào nhân sự chủ chốt mà có thể đặt ra một mối đe dọa đối với an ninh hệ thống hay
dịch vụ, và kế hoạch hoạt động thích hợp.
IV.3.2 Chấp nhận hệ thống
Biện pháp kiểm soát
Phải thiết lập nguyên tắc chấp nhận cho hệ thống thông tin mới, nâng cấp, các phiên bản mới và các
kiểm tra thích hợp của hệ thống được thực hiện trong khi phát triển và trước khi chấp nhận.
Hướng dẫn thực hiện
Những nhà quản lý phải đảm bảo rằng các yêu cầu và chỉ tiêu để chấp nhận một hệ thống mới được
định nghĩa rõ ràng, tài liệu hóa, và kiểm tra. Các hệ thống thông tin mới, nâng cấp, và các phiên bản
mới chỉ được đưa vào sản xuất sau khi đạt được sự chấp nhận chính thức. Phải xem xét những điều
sau trước khi cho phép chấp nhận chính thức:
a) Các yêu cầu dung lượng máy tính và hiệu quả;
b) Các thủ tục khởi động và phục hồi khi lỗi, các kế hoạch dự phòng;
c) Chuẩn bị và thử nghiệm các thủ tục hoạt động định kỳ theo tiêu chuẩn quy định;
d) Tán thành tập hợp các biện pháp kiểm soát an ninh sẵn sàng sử dụng.
e) Các quy trình điều khiển bằng tay hiệu quả;
f) Các thoả thuận đảm bảo tính liên tục hoạt động chính yếu (xem 14.1);
g) Có bằng chứng rằng việc lắp đặt hệ thống mới không ảnh hưởng bất lợi đến các hệ thống hiện
có, đặc biệt tại thời gian xử lý cao điểm, như là cuối tháng;
h) Bằng chứng để suy xét ảnh hưởng của hệ thống mới trên toàn bộ an ninh của tổ chức;
i) Đào tạo vận hành và sử dụng hệ thống mới;
j) Dễ sử dụng, điều này ảnh hưởng đến hiệu suất người dùng và tránh lỗi do con người.
Đối với những phát triển quan trọng mới, chức năng hoạt động và người sử dụng phải được tham
khảo ý kiến tại tất cả công đoạn trong quá trình phát triển để đảm bảo năng xuất hoạt động của thiết
kế hệ thống dự kiến. Các thử nhiệm thích hợp phải thực hiện để xác nhận rằng tất cả các nguyên tắc
chấp nhận được thỏa mãn hoàn toàn.
Thông tin khác
Việc chấp nhận có thể bao gồm một giấy chứng nhận chính thức và quá trình công nhận để xác minh
rằng tất cả các yêu cầu an ninh đã được tham chiếu một cách đúng đắn.
IV.4 Bảo vệ chống lại mã di động và mã độc
Mục tiêu: Nhằm bảo vệ tính toàn vẹn của phần mềm và thông tin.
Yêu cầu đề phòng để ngăn chặn và phát hiện việc đưa vào mã độc và mã di động trái phép.
Các tiện ích xử lý thông tin và phần mềm có thể có lỗ hổng để đưa vào những mã độc, như virus
máy tính, worms network, Trojan horses, và logic bombs. Những người sử dụng phải nhận thức thực
các nguy hiểm của mã độc. Lãnh đạo nên, khi cần thiết, đưa ra các biện pháp kiểm soát để ngăn
chặn, phát hiện, xóa mã độc và kiểm soát mã di động.
IV.4.1 Các biện pháp kiểm soát ngăn chặn mã độc
Biện pháp kiểm soát
Việc phát hiện, ngăn chặn, và các kiểm soát phục hồi để bảo vệ chống lại mã độc và các thủ tục nhận
thức thích hợp cho người dùng phải được thực hiện.
Hướng dẫn thực hiện
Việc bảo vệ ngăn chặn mã độc phải dựa trên việc phát hiện mã độc và các sửa chữa phần mềm, nhận
thức an ninh, việc truy cập hệ thống thích hợp các kiểm soát quản lý thay đổi. Phải xem xét chỉ dẫn
sau:

a) Thiết lập một chính sách chính thức để ngăn cấm việc sử dụng phần mềm trái phép (xem
15.1.2);
b) Thiết lập một chính sách chính thức để bảo vệ chống lại rủi ro liên quan đến các file và phần
mềm nhận được từ hoặc qua hệ thống mạng ngoài, hoặc trong môi trường khác, chỉ ra những biện
pháp bảo vệ phải được thực hiện (xem III.5, đặc biệt III.5.4 và III.5.5);
c) Hướng dẫn đánh giá thường xuyên phần mềm và nội dung dữ liệu của hệ thống hỗ trợ các quá
trình kinh doanh quan trọng; sự xuất hiện của các file bất kỳ không được duyệt hoặc các sửa đổi trái
phép phải được điều tra một cách chính thức;
d) Cài đặt và cập nhật thường xuyên các phần mềm sửa và phát hiện mã độc để quét máy tính và
phương tiện như là một kiểm soát đề phòng, hoặc trên một cơ sở thường lệ; Các kiểm tra thực hiện
cần bao gồm:
1) Kiểm tra mã độc trong tất cả các file trên phương tiện điện tử hoặc quang học,
và các file nhận được trên mạng trước khi sử dụng;
2) Kiểm tra mã độc các tệp tin đính kèm thư điện tử và tải về trước khi sử dụng;
Phải thực hiện việc kiểm tra này ở những nơi khác, như tại máy chủ thư điện tử, màn hình máy tính
và khi vào mạng của tổ chức;

3) Kiểm tra mã độc các trang web;

e) Xác định các trách nhiệm và thủ tục quản lý để đối phó với mã độc trên hệ thống, đào tạo họ
sử dụng, báo cáo và phục hồi sau các cuộc tấn công mã độc (xem 13.1 và 13.2);
f) Chuẩn bị các kế hoạch liên tục kinh doanh thích hợp để phục hồi sau các cuộc tấn công mã
độc, bao gồm sao lưu các dữ liệu và phần mềm cần thiết và thứ tự phục hồi (xem điều khoản 14);
 g) Thực thi các thủ tục để thu thập thông tin thường xuyên, như là đăng ký danh sách nhận tin
và/hoặc kiểm tra các trang web để có thông tin mới về mã độc;

h) Thực thi các thủ tục để xác nhận thông tin liên quan đến mã độc, và đảm bảo rằng các mẫu
cảnh báo là chính xác và có thông tin; lãnh đạo phải đảm bảo rằng các nguồn đáng tin cậy, như các
báo nổi tiếng, các trang tin có thể tin cậy được hoặc những nhà cung cấp phần mềm bảo vệ chống lại
mã độc, được sử dụng để phân biệt giữa các tin giả và mã độc thật; tất cả người dùng phải nhận thức
được vấn đề của tin giả và những gì cần làm khi nhận được chúng.

Thông tin khác

Việc sử dụng hai hay nhiều sản phẩm phần mềm từ những nhà cung cấp khác nhau để bảo vệ chống
lại mã độc trong môi trường xử lý thông tin để có thể tăng hiệu lực bảo vệ chống mã độc .
Phần mềm bảo vệ chống lại mã độc có thể được cài đặt để cập nhật tự động các file nhận dạng và
engines quét để đảm bảo việc bảo vệ hợp thời. Ngoài ra, phần mềm này có thể được cài đặt trên mọi
máy tính để thực hiện kiểm tra tự động.
Phải quan tâm thực hiện bảo vệ chống lại việc đưa vào mã độc trong thời gian bảo trì và thủ tục khẩn
cấp, khi đó có thể bỏ qua các kiểm soát bảo vệ mã độc thông thường.
IV.4.2 Kiểm soát chống mã di động
Biện pháp kiểm soát
Khi được phép sử dụng mã di động, việc cấu hình phải đảm bảo rằng những mã di động được phép
hoạt động theo một chính sách được định nghĩa rõ ràng, và mã di động trái phép phải được ngăn
chặn thực thi.

Hướng dẫn thực hiện

Phải xem xét các hành động sau để bảo vệ chống lại mã di động thực hiện các hoạt động trái phép:
a) Thực thi mã di động trong một môi trường biệt lập hợp lý;
b) Khóa bất kỳ việc sử dụng mã di động nào;
c) Khóa việc nhận mã di động;
d) Kích hoạt các phương pháp kỹ thuật khi có thể dùng trên một hệ thống cụ thể để đảm bảo mã
di động được quản lý;
e) Kiểm soát các nguồn lực có thể dùng để truy cập mã di động;
f) Biện pháp kiểm soát mật mã để xác nhận mã di động đơn nhất.
Thông tin khác
Mã di động là một mã phần mềm chuyển từ một máy tính sang máy tính khác và sau đó thực thi tự
động và thực hiện một chức năng cụ thể ít tương tác hoặc không tương tác với người dùng. Mã di
động được liên kết với một số dịch vụ trung gian.

Ngoài ra để đảm bảo rằng mã di động không chứa mã độc, kiểm soát mã di động là thiết yếu để tránh
việc sử dụng trái phép hoặc gián đoạn hệ thống, mạng, hay các nguồn lực ứng dụng và các vi phạm
về an ninh thông tin khác.
IV.5 Sao lưu
Mục tiêu: Nhằm duy trì tính toàn vẹn và sẵn sàng của thông tin và các tiện ích xử lý thông tin.
Phải thiết lập các thủ tục thường xuyên để thực thi các chính sách sao lưu đã thông qua và chiến lược
(xem thêm 14.1) thực hiện sao lưu các bản sao của dữ liệu và tập luyện thường xuyên để chúng phục
hồi đúng thời gian.
IV.5.1 Sao lưu thông tin
Biện pháp kiểm soát
Sao lưu các bản sao thông tin và phần mềm phải được thực hiện và kiểm tra thường xuyên theo
chính sách sao lưu đã thông qua.
Hướng dẫn thực hiện
Các tiện ích sao lưu đầy đủ phải được cấp để chắc chắn rằng tất cả các thông tin và phần mềm thiết
yếu có thể phục hồi sao một thảm họa hoặc phương tiện hư hỏng.
Phải xem xét các điều sau về sao lưu thông tin:
a) Phải định nghĩa các mức sao lưu thông tin cần thiết;
b) Hồ sơ hoàn thành và độ chính xác của các bản sao sao lưu, các thủ tục phục hồi được văn bản
hóa cần phải được cấp;
c) Mức độ ( như sao lưu đầy đủ hoặc sao lưu sự thay đổi) và sự thường xuyên của các bản sao
phải phản ánh được các yêu cầu kinh doanh của tổ chức, các yêu cầu an ninh của thông tin liên quan,
và mức độ rủi ro của thông tin đối với hoạt động liên tục của tổ chức;
d) Bản sao phải được lưu trữ ở vị trí xa, tại một khoảng cách đủ để không bị bất kỳ hư hại nào từ
các thảm họa ở trụ sở chính.

e) Sao lưu thông tin phải được đưa ra ở một mức thích hợp về bảo vệ vật lý và môi trường (xem
điều 9) nhất quán với các tiêu chuẩn được áp dụng tại trụ sở chính; các kiểm soát áp dụng đối với
phương tiện tại trụ sở chính phải được mở rộng để bao quát khu sao lưu;
f) Phương tiện sao lưu phải được kiểm tra thường xuyên để đảm bảo rằng chúng có thể sử dụng
khẩn cấp khi cần thiết;
g) Các thủ tục phục hồi phải được thường xuyên kiểm tra và thử nghiệm để đảm bảo rằng chúng
có hiệu quả và có thể hoàn tất trong thời gian quy định trong thủ tục hoạt động phục hồi;
 h) Trong trường hợp bảo mật quan trọng, các bản sao lưu phải được bảo vệ bằng cách mã hóa.
Thoả thuận sao lưu cho hệ thống cá nhân phải được kiểm tra thường xuyên để đảm bảo rằng chúng
đáp ứng yêu cầu của các kế hoạch duy trì liên tục các hoạt động chính yếu (xem điều 14). Đối với
các hệ thống quan trọng, việc các thoả thuận sao lưu phải bao gồm tất cả thông tin hệ thống, các ứng
dụng, và dữ liệu cần thiết để phục hồi hệ thống hoàn toàn trong trường hợp thảm họa.
Phải quyết định thời hạn lưu trữ của các thông tin của hoạt động chính thiết yếu, cũng như bất kỳ yêu
cầu lưu trữ các bản sao vĩnh viễn (xem 15.1.3).
Thông tin khác
Việc chuẩn bị sao lưu có thể được tự động hóa làm cho quá trình sao lưu và phục hồi dễ dàng. Các
giải pháp tự động hóa phải được thử nghiệm đầy đủ trước thi thực thi và tại các khoảng thời gian
định kỳ.
IV.6 Quản lý an ninh mạng
Mục tiêu: Nhằm đảm bảo việc bảo vệ thông tin trong mạng và bảo vệ cơ sở hạ tầng hỗ trợ.
Quản lý bảo mật mạng, có thể mở rộng ranh giới của tổ chức, yêu cầu xem xét cẩn thận đến luồng dữ
liệu, ý nghĩa pháp lý, giám sát và bảo vệ.

Các kiểm soát bổ sung cũng có thể được yêu cầu để bảo vệ thông tin nhạy cảm truyền trên mạng
công cộng.
IV.6.1 Kiểm sóat mạng
Biện pháp kiểm soát
Phải quản lý và kiểm soát mạng một cách đầy đủ, để bảo vệ khỏi các nguy cơ, và để duy trì an ninh
đối với hệ thống và các ứng dụng sử dụng mạng, bao gồm thông tin truyền qua.
Hướng dẫn thực hiện
Quản lý mạng phải thực hiện các kiểm soát để đảm bảo an ninh thông tin trong mạng, và bảo vệ các
dịch vụ kết nối từ truy cập trái phép. Đặc biệt, phải xem xét các điều sau:

a) Trách nhiệm hoạt động mạng phải được tách khỏi các hoạt động của máy tính khi thích hợp
(xem IV.1.3);
b) Phải thiết lập trách nhiệm và thủ tục cho việc quản lý thiết bị từ xa, bao gồm thiết bị trong khu
vực người dùng.

c) Các kiểm soát đặc biệt phải được thiết lập để bảo vệ tính bảo mật và tính toàn vẹn của dữ liệu
truyền qua mạng công cộng hay qua mạng không dây, và để bảo vệ các hệ thống và ứng dụng kết nối
(xem III.4 và 12.3); Có thể yêu cầu các kiểm soát đặc biệt để duy trì sẵn tính sẵn sàng của các dịch
vụ mạng và các máy tính được kết nối;
 d) Phải áp dụng việc giám sát và đăng nhập thích hợp để cho phép ghi lại các hoạt động liên
quan an ninh.
e) Các hoạt động quản lý phải được kết hợp chặt chẽ giữa việc tối ưu hóa dịch vụ đối với tổ
chức và để đảm bảo rằng các kiểm soát được áp dụng nhất quán qua cơ sở hạ tầng xử lý thông tin.
Thông tin khác
Thông tin bổ sung an ninh mạng có thể tìm thấy trong ISO/IEC 18028, Công nghệ thông tin – kỹ
thuật an ninh – an ninh mạng IT.
IV.6.2 An ninh của các dịch vụ mạng
Biện pháp kiểm soát
Các tính năng an ninh, các mức dịch vụ, và các yêu cầu quản lý của tất cả các dịch vụ mạng phải
được xác định và bao gồm trong bất kỳ thỏa thuận dịch vụ mạng nào, cho dù những dịch vụ này
được cung cấp từ bên trong hay bên ngoài.
Hướng dẫn thực hiện
Khả năng của nhà cung cấp dịch vụ mạng để quản lý các dịch vụ đã thỏa thuận theo cách bảo mật
phải được định rõ và được theo dõi thường xuyên, và phải thông qua nguyên tắc đánh giá.
Phải xác định thỏa thuận an ninh cần thiết cho các dịch vụ đặc biệt, như là các tính năng an ninh,
mức dịch vụ, và các yêu cầu quản lý. Tổ chức cần phải đảm bảo rằng các nhà cung cấp dịch vụ mạng
thực thi các biện pháp này.
Thông tin khác
Dịch vụ mạng bao gồm việc cung cấp các kết nối, các dịch vụ mạng cá nhân, các mạng giá trị cộng
thêm và các giải pháp an ninh mạng như là tường lửa và hệ thống phát hiện xâm nhập. Những dịch
vụ này có thể nằm trong khoảng từ những băng thông không được quản lý đơn giản đến việc cung
cấp những giá trị gia tăng phức tạp. Các tính năng an ninh của các dịch vụ mạng có thể là:
a) Công nghệ được áp dụng cho các dịch vụ an ninh, như là việc cấp phép, mã hóa, và các kiểm
soát kết nối mạng;
b) Yêu cầu các thông số kỹ thuật để các kết nối được an toàn với các dịch vụ mạng theo các
nguyên tắc kết nối mạng và an ninh;

c) Các thủ tục đối với việc sử dụng dịch vụ mạng để hạn chế truy cập đến các dịch vụ mạng hay
ứng dụng, khi cần thiết.
IV.7 Sử dụng phương tiện
Mục tiêu: Nhằm ngăn chặn việc tiết lộ trái phép, chỉnh sửa, xóa bỏ hay phá hoại tài sản, và gián đoạn
các hoạt động chính yếu. Phải kiểm soát và bảo vệ vật lý phương tiện truyền thông.
Phải thiết lập các thủ tục điều hành thích hợp để bảo vệ tài liệu, các phương tiện máy tính (như là
băng, đĩa), dữ liệu vào/ra và tài liệu hệ thống khỏi bị tiết lộ trái phép, chỉnh sửa, xóa bỏ và phá hoại.
IV.7.1 Quản lý thiết bị di động
Biện pháp kiểm soát
Phải có thủ tục áp dụng cho quản lý thiết bị di động.
Hướng dẫn thực hiện
Phải xem xét các hướng dẫn sau đối với việc quản lý thiết bị lưu trữ di động:

a) Nếu không có yêu cầu khác, nội dung của bất kỳ phương tiện có thể tái sử dụng được tổ chức
loại bỏ phải làm cho không thể phục hồi lại;
b) Khi cần thiết và có thể thực hiện, phải yêu cầu cấp phép đối với thiết bị được mang ra khỏi tổ
chức và hồ sơ về việc di dời này cần phải được giữ để duy trì một văn bản kiểm tra.
c) Phải lưu trữ tất cả các thiết bị trong một két sắt, môi trường an toàn, tùy theo các đặc điểm kỹ
thuật của nhà sản xuất;
d) Thông tin được chứa trong thiết bị cần tồn tại sẵn có trong thời gian lâu hơn thời gian tồn tại
của thiết bị (theo đặc tính kỹ thuật của nhà sản xuất) cũng cần phải chứa ở nơi khác để tránh việc mất
thông tin vì sự suy giảm của thiết bị;
e) Phải xem xét việc đăng ký các thiết bị lưu trữ di động để giới hạn cơ hội cho sự mất dữ liệu;
f) Các ổ đĩa của thiết bị di động chỉ được cho phép nếu có lý do kinh doanh cần làm thế. Tất cả
các thủ tục và mức cho phép cần phải được văn bản hóa rõ ràng.
Thông tin khác
Các thiết bị lưu trữ di động bao gồm băng từ, đĩa, ổ đĩa flash, ổ cứng di động, CD, DVD và các thiết
bị in.
IV.7.2 Hủy bỏ thiết bị
Biện pháp kiểm soát
Phải hủy bỏ thiết bị lưu trữ một cách an toàn và chắc chắn khi không còn được dùng, sử dụng các
thủ tục chính thức.
Hướng dẫn thực hiện
Các thủ tục chính thức để loại bỏ an toàn thiết bị phải tối thiểu hoá rủi ro về rò rỉ thông tin nhạy cảm
đến những cá nhân không được phép. Các thủ tục để loại bỏ an toàn thiết bị chứa thông tin nhạy cảm
phải tương ứng với tính nhạy cảm của thông tin đó. Phải xem xét các điều khoản sau:

a) Thiết bị chứa thông tin nhạy cảm phải được lưu trữ và loại bỏ một cách an toàn và bảo mật,
như là bằng cách đốt hoặc nghiền nát, hay xóa dữ liệu bằng việc sử dụng các ứng dụng khác bên
trong tổ chức;
b) Cần phải áp dụng các thủ tục đối với những đối tượng có thể yêu cầu loại bỏ an toàn;
 c) Sắp xếp tất cả các thiết bị để có thể dễ dàng để tập hợp và hủy bỏ một cách an toàn, hơn là cố
gắng phân chia theo tính nhạy cảm của các thiết bị;
d) Nhiều tổ chức cung cấp các dịch vụ tập hợp và hủy bỏ cho giấy, trang thiết bị và phương tiện
truyền thông; phải quan tâm đến việc lựa chọn nhà thầu phù hợp có đầy đủ các biện pháp kiểm soát
và kinh nghiệm;
e) Cần phải ghi lại việc loại bỏ những thiết bị nhạy cảm khi có thể để duy trì một biên bản kiểm
tra.
Khi thu thập thiết bị để hủy bỏ, phải xem xét ảnh hưởng của việc tập trung, có thể làm cho một số
lượng lớn các thông tin không nhạy cảm trở nên nhạy cảm.

Thông tin khác

Có thể bị lộ thông tin nhạy cảm thông qua việc hủy bỏ bất cẩn thiết bị (xem 9.2.6 đối với thông tin
về việc loại bỏ thiết bị)
IV.7.3 Các thủ tục xử lý thông tin
Biện pháp kiểm soát
Phải thiết lập các thủ tục cho việc sử lý thông tin và lưu trữ thông tin để bảo vệ nhữn thông tin này
khỏi bị tiết lộ trái phép hay lạm dụng.
Hướng dẫn thực hiện
Phải đưa ra các thủ tục cho việc sử dụng, sử lý, lưu trữ, và truyền thông thông tin nhất quán với việc
phân loại chúng (xem 7.2). Phải xem xét các điều sau:

a) Sử dụng và gán nhãn với tất cả các thiết bị để xác định mức phân loại;
b) Giới hạn truy cập để ngăn chặn truy cập trái phép từ nhân viên;
c) Duy trì một hồ sơ chính thức về người được phép nhận dữ liệu;
d) Đảm bảo rằng ngõ vào dữ liệu là toàn vẹn, việc xử lý được hoàn tất một cách đúng đắn và áp
dụng việc xác nhận ngõ ra;
e) Bảo vệ đối với dòng dữ liệu đợi ở ngõ ra đến một mức thích hợp với độ nhạy cảm của nó;
f) Dung lượng của thiết bị theo đặc tính kỹ thuật của nhà sản xuất;
g) Giữ cho việc phát tán dữ liệu ở mức tối thiểu;
h) Đánh dấu rõ ràng tất cả các bản sao của thiết bị lưu trữ để thu hút sự chú ý của người nhận;
i) Soát xét danh sách phân phát và danh sách những người được phép nhận theo định kỳ.
Thông tin khác
Những thủ tục này áp dụng đối với thông tin trong tài liệu, hệ thống máy tính, mạng, thiết bị tính di
động, thiết bị truyền thông di động, thư, thư âm thanh, truyền thông theo giọng nói nói chung, đa
phương tiện, dịch vụ/tiện ích bưu điện, việc sử dụng các máy fax và bất kỳ thiết bị nhạy cảm nào
khác, như séc, hóa đơn trống.
V.4 Kiểm soát truy cập mạng
Mục tiêu: Nhằm tránh truy cập trái phép đến các dịch vụ mạng.
Phải kiểm soát truy cập cả các dịch vụ bên trong và bên ngoài.
Người dùng truy cập mạng và các dịch vụ mạng không làm tổn hại an ninh của các dịch vụ mạng
bằng cách đảm bảo:
a) Các giao thức thích hợp thực hiện giữa mạng của tổ chức và các mạng của các tổ chức khác, và
mạng công cộng;

b) Áp dụng cơ chế chứng thực thích hợp đối với người sử dụng và thiết bị;
c) Buộc phải áp dụng kiểm soát truy cập của người dùng đến dịch vụ thông tin.
V.4.1 Chính sách sử dụng các dịch vụ mạng:
Biện pháp kiểm soát
Người dùng chỉ được cung cấp truy cập đến những dịch vụ mà họ được cho phép sử dụng.
Hướng dẫn thực hiện
Phải được xây dựng một chính sách liên quan đến sử dụng mạng và các dịch vụ mạng. Chính sách
này phải bao gồm:
a) Mạng và các dịch vụ mạng được cho phép truy cập;
b) Các thủ tục chứng thực để xác định ai được phép truy cập đến mạng và các dịch vụ mạng;
c) Các thủ tục và các kiểm soát quản lý để bảo vệ truy cập đến các kết nối mạng và dịch vụ mạng;
d) Các phương thức được sử dụng để truy cập mạng và các dịch vụ mạng (nghĩa là điều kiện để
chấp nhận truy cập quay số đến nhà cung cấp dịch vụ hay điều khiển hệ thống).
Chính sách trong việc sử dụng các dịch vụ mạng phải nhất quán với chính sách kiểm soát truy cập
thương mại (xem III.1).
Thông tin khác
Các kết nối trái phép và không bảo mật đến các dịch vụ mạng có thể ảnh hưởng đến toàn tổ chức.
Kiểm soát này đặc biệt quan trọng đối với các kết nối mạng đến các ứng dụng kinh doanh quan trọng
và nhạy cảm hay đến những người dùng trong vị trí rủi ro cao, là các khu vực công cộng và bên
ngoài là ngoài phạm vi kiểm soát và quản lý an ninh của tổ chức.
V.4.2 Chứng thực người dùng cho các kết nối ngoài
Biện pháp kiểm soát
Phải sử dụng phương pháp chứng thực thích đáng để kiểm soát truy cập từ xa của người dùng.
Hướng dẫn thực hiện
Chứng thực cho người dùng từ xa có thể được sử dụng, ví dụ, dựa trên kỹ thuật mật mã, thẻ phần
cứng, hoặc là một giao thức challenge/response. Khả năng triển khai các kỹ thuật như vậy có thể
được tìm thấy trong các giải pháp mạng riêng ảo (VPN). Những đường dây dành riêng cũng có thể
được sử dụng để cung cấp sự đảm bảo nguồn các kết nối.
Các thủ tục và biện pháp kiểm soát dial – back, như là các modem dial – back, có thể mang lại sự
bảo vệ chống lại các kết nối trái phép và không mong muốn đến các tiện ích xử lý thông tin của tổ
chức. Loại kiểm soát này chứng thực người dùng đang cố gắng thiết lập một kết nối đến mạng của tổ
chức từ các địa điểm từ xa. Khi sử dụng kiểm soát này, tổ chức không nên sử dụng các dịch vụ
mạng, bao gồm chuyển cuộc gọi, hay, nếu họ dùng, họ cần ngưng sử dụng những tính năng này để
tránh các điểm yếu liên quan đến chuyển cuộc gọi. Quá trình gọi lại cần đảm bảo rằng đã xảy ra việc
ngắt kết nối thực sự vào trong khu vực tổ chức. Nếu không, người dùng từ xa có thể giữ đường dây
đang mở và giả rằng cuộc gọi lại xác nhận đã xảy ra. Các thủ tục và kiểm soát gọi lại phải được kiểm
tra một cách triệt để về khả năng này.

Chứng thực nút có thể được sử dụng như là một phương pháp thay thế cho việc chứng thực nhóm
người dùng từ xa nơi họ được kết nối đến một tiện ích máy tính chia sẻ, an toàn. Kỹ thuật mật mã,
chẳng hạn như là dựa trên các chứng thực máy, có thể được sử dụng cho chứng thực nút. Đây là một
phần của một số các giải pháp dựa trên VPN.
Phải thực hiện các kiểm soát chứng thực bổ sung để kiểm soát truy cập đến mạng không dây. Nói
riêng, cần quan tâm đặc biệt trong việc lựa chọn các kiểm soát cho mạng không dây vì có nhiều cơ
hội hơn cho việc thu trộm mà không bị phát hiện và xen thêm vào lưu lượng mạng.
Thông tin khác
Các kết nối từ bên ngoài mang lại nguy cơ truy cập trái phép đối với thông tin hoạt động chính yếu,
như là truy cập bằng phương pháp dial – up . Có nhiều loại phương pháp chứng thực khác nhau, một
vài phương pháp mang lại mức bảo vệ cao hơn những phương pháp khác, như phương pháp dựa trên
việc sử dụng kỹ thuật mật mã có thể mang lại chứng thực đáng tin cậy. Điều này là cần cho với việc
lựa chọn phương pháp chứng thực thích hợp.

Một tiện ích để kết nối tự động đến máy tính từ xa có thể mang lại một cách để truy cập trái phép
đến một ứng dụng hoạt động thiết yếu. Điều này đặc biệt quan trọng nếu kết nối đến mạng nằm
ngoài kiểm soát của các quản lý an ninh tổ chức.
V.4.3 Nhận biết thiết bị trong hệ thống mạng
Biện pháp kiểm soát
Phải xem xét nhận biết thiết bị tự động như một phương tiện để chứng thực kết nối từ các vị trí và
thiết bị cụ thể.

Hướng dẫn thực hiện

Nhận biết thiết bị có thể được sử dụng nếu việc kết nối chỉ có thể được khởi tạo từ một vị trí hay
thiết bị cụ thể là quan trọng. Một dấu hiệu nhận dạng trong hoặc được gán vào, thiết bị có thể được
sử dụng để xác định thiết bị nào được phép kết nối mạng. Những dấu hiệu nhận dạng này phải xác
định rõ ràng thiết bị được phép kết nối đến mạng nào, nếu tồn tại nhiều hơn một mạng và đặc biệt
nếu những mạng này có tính nhạy cảm khác nhau. Có thể cần xem xét bảo vệ vật lý đối với thiết bị
để duy trì an ninh của thiết bị nhận dạng.

Thông tin khác

Kiểm soát này có thể được hoàn thiện cùng với các kỹ thuật khác để chứng thực người sử dụng thiết
bị (xem III.4.2). Thiết bị nhận dạng có thể được áp dụng thêm để nhận dạng người dùng.
V.4.4 Bảo vệ cổng cấu hình và chẩn đoán từ xa
Biện pháp kiểm soát
Phải kiểm soát truy cập logic và vật lý để chẩn đoán và cấu hình các cổng.
Hướng dẫn thực hiện
Các kiểm soát tiềm năng cho việc truy cập để chuẩn đoán và cấu hình các cổng bao gồm sử dụng
khoá bàn phím và các thủ tục hỗ trợ để kiểm soát truy cập vật lý đến cổng. Ví dụ như một thủ tục hỗ
trợ để đảm bảo rằng việc chẩn đoán và cấu hình cổng chỉ có thể thực hiện bởi việc sắp xếp giữa
người quản lý của dịch vụ máy tính và nhân viên hỗ trợ phần cứng/phần mềm có yêu cầu truy cập.
Các cổng, dịch vụ, và các tiện ích tương tự được cài đặt trên một máy tính hay thiết bị mạng, mà
không đặc biệt cần đối với các chức năng kinh doanh, phải được vô hiệu hoá hoặc xoá bỏ.
Thông tin khác
Nhiều hệ thống máy tính, hệ thống mạng, và hệ thống thông tin được cài đặt chẩn đoán từ xa hay
thiết bị cấu hình sử dụng bởi các kỹ sư bảo trì. Nếu không được bảo vệ, những cổng chẩn đóan cung
cấp phương tiện cho truy cập trái phép.
V.4.5 Phân chia trong mạng
Biện pháp kiểm soát
Phải phân chia các nhóm dịch vụ thông tin, người dùng, và các hệ thống thông tin trong mạng.
Hướng dẫn thực hiện
Một phương pháp kiểm soát an ninh của một mạng rộng lớn là chia chúng thành những miền mạng
logic, như là một miền mạng nội bộ của tổ chức và miền mạng ngoài, mỗi miền phải được bảo vệ
bằng một vành đai an ninh xác định. Một tập các kiểm soát đã phân chia có thể được áp dụng cho
các miền mạng logic khác nhau để phân tách hơn nữa môi trường an ninh mạng, như là hệ thống cho
phép truy cập công cộng, mạng nội bộ, và các tài sản quan trọng. Phải định rõ rủi ro các miền dựa
trên một đánh giá rủi ro và các yêu cầu an ninh khác bên trong mỗi miền.
Một vành đai mạng có thể được áp dụng bằng việc cài đặt một gateway bảo mật giữa hai mạng được
liên kết với nhau để kiểm soát truy cập và luồng thông tin giữa hai miền. Phải cấu hình gateway này
để lọc lưu lượng giữa những miền (xem III.4.6 và III.4.7) và khoá các truy cập trái phép theo chính
sách kiểm soát truy cập của tổ chức (xem III.1). Một ví dụ cho dạng gateway này một firewall. Cách
thức khác cho việc cách ly riêng biệt các miền logic để giới hạn truy cập mạng bằng cách sử dụng
mạng riêng ảo (VPN) cho các nhóm người dùng trong tổ chức.

Mạng cũng có thể được cách ly sử dụng chức năng của thiết bị mạng, như là IP switching. Các miền
độc lập có thể được thực hiện bằng việc điều khiển luồng dữ liệu mạng sử dụng khả năng định
tuyến/chuyển mạch, chẳng hạn như danh sách kiểm soát truy cập.
Tiêu chí cho việc phân chia mạng thành các miền phải dựa trên chính sách kiểm soát truy cập và các
yêu cầu truy cập (xem 10.1), và cũng tính đến chi phí liên quan, tác động hiệu quả của việc kết hợp
định tuyến hay công nghệ gateway phù hợp (xem III.4.6 và III.4.7);
Ngoài ra, việc cách ly mạng phải dựa trên giá trị và phân loại thông tin được lưu trữ hay được xử lý
trong mạng, các mức tin cậy, và các ngành nghề kinh doanh, để giảm tổng tác động của một dịch vụ
bị gián đoạn.

Phải thực hiện việc xem xét đối với việc phân chia mạng không dây từ mạng riêng và nội bộ. Khi
chu vi của mạng không dây không được xác định tốt, phải thực hiện một đánh giá rủi ro về những
trường hợp để xác định các kiểm soát (như chứng thực đáng tin cậy, phương pháp mật mã, và lựa
chọn tần số) để duy trì việc cách ly mạng.

Thông tin khác

Mạng đang ngày càng được mở rộng ra ngoài phạm vi truyền thống của tổ chức, khi quan hệ cộng
tác kinh doanh được thiết lập thì có thể yêu cầu kết nối hay chia sẻ việc xử lý thông tin và các thiết
bị mạng. Việc mở rộng có thể tăng thêm rủi ro truy cập trái phép thông qua mạng đến các hệ thống
thông tin đang tồn tại, một vài trong số đó có thể yêu cầu bảo vệ từ những người dùng mạng khác
bởi vì tính nhạy cảm hay mức độ rủi ro của họ
V.4.6 Kiểm soát kết nối mạng
Biện pháp kiểm soát
Đối với các mạng chia sẻ, đặc biệt là những mạng mở rộng trên toàn ranh giới tổ chức, phải giới hạn
khả năng người dùng kết nối vào mạng, cùng với chính sách và các yêu cầu truy cập của các ứng
dụng kinh doanh (xem III.1).

Hướng dẫn thực hiện

Phải duy trì và cập nhật quyền truy cập mạng của người dùng như được yêu cầu bằng chính sách
kiểm soát truy cập (xem III.1.1).
Khả năng kết nối của người dùng có thể được giới hạn thông qua cổng vào mạng có bộ lọc lưu lượng
bằng cách dùng các bảng hay nguyên tắc được định nghĩa trước. Ví dụ các ứng dụng mà các hạn chế
phải được áp dụng:
a) Thông điệp, như thư điện tử;
b) Truyền file;
c) Truy cập tương tác;
d) Truy cập ứng dụng;
Phải xem xét việc liên kết quyền truy cập mạng vào thời gian cố định của ngày hay các ngày.
Thông tin khác
Việc liên kết các kiểm soát để hạn chế khả năng kết nối của người dùng có thể được yêu cầu bởi
chính sách kiểm soát truy cập đối với mạng chia sẻ, đặc biệt những mạng bao trùm toàn tổ chức.
V.4.7 Kiểm soát định tuyến mạng
Biện pháp kiểm soát
Phải thực thi kiểm soát định tuyến đối với mạng để đảm bảo rằng máy tính kết nối và luồng thông tin
không vi phạm chính sách kiểm soát truy cập của các ứng dụng nghiệp vụ.
Hướng dẫn thực hiện
Kiểm soát định tuyến phải dựa trên nguồn tích cực và cơ chế kiểm tra địa chỉ đích.

Cổng an ninh mạng có thể được sử dụng để kiểm tra các địa chỉ nguồn và đích tại các điểm kiểm
soát trong và ngoài mạng nếu sử dụng proxy và/hoặc công nghệ chuyển đổi địa chỉ mạng. Những
người thực hiện phải nhận thức được mặt mạnh và yếu của bất kỳ cơ chế được triển khai nào. Các
yêu cầu đối với kiểm soát định tuyến mạng phải dựa trên chính sách kiểm soát truy cập (xem III.1).

Thông tin khác

Mạng chia sẻ, đặc biệt là những mạng mở rộng khắp ranh giới tổ chức, có thể yêu cầu kiểm soát định
tuyến bổ sung. Điều này đặc biệt áp dụng khi mạng được chia sẻ với người dùng bên thứ ba (không
thuộc tổ chức)
V.5 Kiểm soát truy cập hệ điều hành
Mục tiêu: Nhằm ngăn chặn truy cập trái phép đến hệ điều hành.
Phải sử dụng các tiện ích an ninh để hạn chế người dùng được cấp phép truy cập vào hệ điều hành.
Các tiện ích phải có khả năng sau:

a) Chứng thực các người dùng được cấp phép, theo chính sách kiểm soát truy cập.
 b) Ghi lại các cố gắng chứng thực hệ thống thành công và lỗi;
c) Ghi lại việc sử dụng các đặc quyền hệ thống đặc biệt;
d) Cung cấp báo động khi chính sách an ninh hệ thống bị vi phạm;
e) Cung cấp các phương tiện thích hợp cho chứng thực;
f) Khi thích hợp, giới hạn thời gian kết nối của người dùng.
IV. Đạt được, phát triển và duy trì hệ thống thông tin
IV.1 Các yêu cầu an ninh của hệ thống thông tin
Mục tiêu: Nhằm đảm bảo an ninh là một phần không thể thiếu của hệ thống thông tin.
Hệ thống thông tin bao gồm các hệ điều hành, cơ sở hạ tầng, ứng dụng kinh doanh, sản phẩm sản
xuất hàng lọat, các dịch vụ, và ứng dụng người dùng được phát triển. Thiết kế và thực hịên hệ thống
thông tin hỗ trợ quá trình kinh doanh có thể quyết định an ninh. Phải xác định và thông qua các yêu
cầu an ninh trước khi phát triển và/hoặc thực hiện hệ thống thông tin.

Tất cả các yêu cầu an ninh phải được xác định tại giai đọan các yêu cầu của hệ thống và được thông
qua đúng, được văn bản hóa như một phần của tòan bộ trường hợp kinh doanh đối với một hệ thống
thông tin.
IV.1.1 Phân tích các yêu cầu an ninh và các đặc điểm kỹ thuật
Kiểm sóat
Thông báo về các yêu cầu an ninh cho hệ thống thông tin mới, hay tăng cường hệ thống thông tin
đang tồn tại phải cụ thể các yêu cầu đối với các kiểm sóat an ninh.

Hướng dẫn thực hịên

Các đặc điểm kỹ thuật cho các yêu cầu của kiểm sóat phải xem xét các kiểm sóat tự động để kết hợp
chặt chẽ trong hệ thống thông tin, và nhu cầu hỗ trợ các kiểm sóat thủ công. Các xem xét tương tự
phải được áp dụng khi đánh giá các gói phần mềm, được phát triển và mua, cho ứng dụng kinh
doanh.

Các yêu cầu và kiểm sóat an ninh phải phản ánh giá trị kinh doanh của các tài sản thông tin liên quan
(xem thêm 7.2), và thiệt hại kinh doanh tiềm ẩn, mà có thể là kết quả từ một lỗi hay thiếu an ninh.
Các yêu cầu hệ thống cho an ninh thông tin và các quá trình thực hiện an ninh phải được tích hợp
trong giai đọan đầu của các dự án hệ thống thông tin. Các kiểm soát được đưa vào tầng thiết kế là rẻ
đáng kể để thực hịên và duy trì hơn là những kiểm sóat được bao gồm trong và sau khi thực hiện.

Nếu các sản phẩm được bán, phải theo một quá trình tiếp nhận và kiểm tra chính thức. Các hợp đồng
với nhà cung cấp phải định rõ các yêu cầu an ninh đã xác định. Khi chức năng an ninh trong một sản
phẩm. Trong trường hợp các chức năng bảo mật trong một sản phẩm được đề xuất không thỏa các
yêu cầu an ninh đã quy định thì các rủi ro mang lại và các kiểm sóat liên quan phải được xem xét
trước khi mua sản phẩm. Trường hợp chức năng bổ sung được cung cấp và gây ra một rủi ro an ninh,
điều này phải được vô hiệu hóa hay các cấu trúc kiểm sóat đề nghị phải được xem xét để quyết định
nếu có thể lợi dụng các chức năng nâng cao có sẵn.
Thông tin khác
Nếu được xem xét thích hợp, ví dụ vì lý do giá cả, lãnh đạo có thể muốn việc sử dụng được đánh giá
và chứng nhận sản phẩm một cách độc lập. Thông tin khác về các tiêu chí đánh giá cho các sản phẩm
an ninh thông tin có thể tìm thấy trong ISO/IEC 15408 hoặc các đánh giá và chứng nhận tiêu chuẩn
khác, như là phù hợp.
ISO/IEC TR 13335-3 cung cấp hướng dẫn về việc sử dụng các quá trình quản lý rủi ro để xác định
các yêu cầu cho các kiểm sóat an ninh.
IV.2 Quá trình sửa lỗi trong các ứng dụng
Mục tiêu: Nhằm ngăn chặn các lỗi, mất, chỉnh sửa trái phép hay lạm dụng thông tin trong các ứng
dụng.
Phải thiết kế các kiểm sóat phù hợp trong ứng dụng, bao gồm người dùng phát triển ứng dụng để
đảm bảo xử lý đúng. Những kiểm sóat này cần bao gồm việc đánh giá dữ liệu đầu vào, xử lý bên
trong và dữ liệu ngõ ra.
Các kiểm sóat bổ sung có thể được yêu cầu đối với hệ thống mà quá trình, hay có một ảnh hưởng
lên, nhạy cảm, có giá trị hoặc thông tin quan trọng. Những kiểm sóat phải được quyết định trên cơ sở
của các yêu cầu an ninh và đánh giá rủi ro.
IV.2.1 Xác nhận dữ liệu đầu vào
Kiểm sóat
Dữ liệu đầu vào đến ứng dụng phải được xác nhận để đảm bảo rằng dữ liệu này là đúng và phù hợp.
Hướng dẫn thực hịên
Phải áp dụng các kiểm tra đối với đầu vào của các giao dịch kinh doanh, dữ liệu cố định (như tên,
địa chỉ, giới hạn tín dụng, các số tham chiếu khách hàng), và các bảng thông số (như giá bán, tỷ giá
hối đóai, thuế suất). Phải xem xét các hướng dẫn sau:

a) Kiểm ngõ vào kép hay ngõ vào khác, như là kiểm tra ranh giới hay hạn chế các lĩnh vực cho
các vùng dữ liệu ngõ vào cụ thể, để phát hiện các lỗi sau:
1) Các giá trị vượt ra ngoài vùng;
2) Các ký tự không giá trị trong vùng dữ liệu;
3) Dữ liệu thiếu hoặc không hoàn chỉnh;
4) Vượt quá hoặc thấp hơn giới hạn dung lượng dữ liệu;
5) Kiểm soát dữ liệu trái phép hoặc không phù hợp;
 b) Xem xét định kỳ nội dung của các vùng chính hay các file dữ liệu để xác nhận lại giá trị và tính
toàn vẹn của chúng;
c) Kiểm tra bản sao cứng của dữ liệu ngõ vào đối với những thay đổi trái phép (tất cả những thay
đổi của dữ liệu ngõ vào phải được cho phép);
d) Các thủ tục đối phó với các lỗi được xác nhận;
e) Các thủ tục cho việc kiểm tra tính đáng tin cậy của dữ liệu ngõ vào;
f) Xác định trách nhiệm của tất cả nhân viên liên quan quá trình dữ liệu ngõ vào;
g) Tạo một bản ghi cho các hoạt động liên quan trong quá trình ngõ vào dữ liệu (xem 10.10.1).
Thông tin khác
Kiểm tra và đánh giá tự động dữ liệu ngõ vào có thể được xem xét, khi có thể áp dụng, để giảm rủi
ro lỗi và để ngăn chặn các tấn công chuẩn bao gồm tràn bộ đệm hay nhiễm mã.
IV.2.2 Kiểm soát xử lý nội bộ
Biện pháp kiểm soát
Kiểm tra xác nhận phải được đưa vào trong ứng dụng để phát hiện bất kỳ sai lạc của thông tin thông
qua xử lý lỗi hay các hành động cố ý.
Hướng dẫn thực hiện
Việc thiết kế và thực thi của ứng dụng phải đảm bảo các rủi ro của việc xử lý lỗi dẫn đến mất tính
toàn vẹn được giảm thiểu. Các khu vực cụ thể cần được xem xét bao gồm:

a) Sử dụng việc thêm, chỉnh sửa, và xoá các chức năng để thực hiện các thay đổi dữ liệu;
b) Các thủ tục để ngăn chặn chương trình chạy ở vị trí sai hay chạy sau lỗi của việc xử lý dữ liệu
trước (xem thêm 10.1.1);
c) Việc sử dụng các chương trình thích hợp để phục hồi từ các lỗi để đảm bảo việc xử lý đúng
dữ liệu;
d) Bảo vệ ngăn chặn tấn công dùng chạy tràn/tràn bộ đệm;
Một danh sách kiểm tra phù hợp phải được chuẩn bị, các hoạt động tài liệu hoá và những kết quả
phải được giữ bí mật. Ví dụ các kiểm tra có thể đưa vào bao gồm:
a) Phiên hay lô các kiểm soát,

b) Balancing controls, to check opening balances against previous closing balances, namely:
1) run-to-run controls;
2) file update totals;
3) program-to-program controls;
 c) Xác nhận hệ thống tạo ra dữ liệu đầu vào (xem IV.2.1);
d) Kiểm tra tính toàn vẹn, tính xác thực hay bất kỳ tính năng an ninh khác của dữ liệu hay phần
mềm được tải về, hay up lên, giữa các máy tính ở trung tâm và từ xa;
e) Tổng kiểm tra các hồ sơ và files;
f) Kiểm tra để đảm bảo rằng chương trình ứng dụng chạy tại đúng thời điểm;
g) Kiểm tra để đảm bảo rằng các chương trình chạy đúng vị trí và ngưng trong trường hợp lỗi, và
các quá trình xử lý khác được dừng cho đến khi lỗi được giải quyết;
h) Tạo bản ghi của các hành động liên quan trong việc xử lý (xem 10.10.1).
Thông tin khác
Dữ liệu được đưa vào một cách đúng đắn có thể bị lỗi bằng các lỗi phần cứng, xử lý lỗi hay thông
qua các hành động cố ý. Kiểm tra giá trị được yêu cầu sẽ phụ thuộc tính chất của ứng dụng và kinh
doanh ảnh hưởng đến bất kỳ lỗi dữ liệu nào.
IV.2.3 Tính toàn vẹn thông điệp
Biện pháp kiểm soát
Phải xác định các yêu cầu đối với việc đảm bảo tính xác thực và bảo vệ tính toàn vẹn thông điệp
trong các ứng dụng, và các kiểm soát thích hợp được xác định và thực thi.
Hướng dẫn thực hiện
Một đánh giá rủi ro an ninh phải được thực hiện để xác định tính toàn vẹn của thông báo là cần thiết
được yêu cầu để nhận biết hầu hết các phương pháp thích hợp để thực hiện.
Thông tin khác
Kỹ thuật mật mã (xem IV.3) có thể được sử dụng như một phương tiện thích hợp để thực hiện xác
nhận thông điệp.
IV.2.4 Xác nhận dữ liệu ngõ ra
Biện pháp kiểm soát
Dữ liệu ngõ ra từ một ứng dụng phải được xác nhận để đảm bảo rằng việc xử lý của thông tin được
lưu là đúng và phù hợp với các trường hợp.
Hướng dẫn thực hiện
Xác nhận ngõ ra có thể bao gồm:
a) Kiểm tra tính đáng tin cậy để kiểm định dữ liệu ngõ ra là hợp lý;
b) reconciliation control counts to ensure processing of all data;
c) Cung cấp thông tin đầy đủ cho một người đọc hay hệ thống xử lý tiếp theo để xác định độ chính
xác, đầy đủ, rõ ràng, và phân loại thông tin;
 d) Các thủ tục đáp ứng các kiểm định giá trị ngõ ra;
e) Định rõ trách nhiệm của tất cả những nhân viên liên quan trong quá trình dữ liệu ra;
f) Tạo bản ghi các hoạt động trong quá trình xác nhận giá trị dữ liệu ra;
Thông tin khác
Tiêu biểu, hệ thống và các ứng dụng được xây dựng trên giả định rằng có tiến hành xác nhận phù
hợp, xác minh và kiểm định, ngõ ra sẽ luôn luôn đúng. Dù vậy, giả định này không luôn có giá trị, ví
dụ hệ thống đã kiểm tra vẫn có thể còn tạo ra ngõ ra không đúng trong một vài trường hợp.
IV.3 Các kiểm soát dùng mật mã
Mục tiêu: Nhằm bảo vệ tính đáng tin cậy, tính xác thực hay tính toàn vẹn của thông tin bằng các
phương tiện mật mã
Phải triển khai một chính sách trong việc sử dụng các kiểm soát dùng mật mã. Quản lý chính phải
được thực hiện để hỗ trợ việc sử dụng các kỹ thuật mật mã.
IV.3.1 Chính sách sử dụng các kiểm soát dùng mật mã
Biện pháp kiểm soát
Phải triển khai và thực hiện một chính sách cho việc sử dụng các kiểm soát dùng mật mã cho việc
bảo vệ.
Hướng dẫn thực hiện
Khi triển khai một chính sách mật mã, phải xem xét các điều sau:
a) Phương pháp quản lý hướng tới việc sử dụng các kiểm soát dùng mật mã trên tổ chức, bao gồm
các nguyên tắc chung cho thông tin kinh doanh phải được bảo vệ (xem thêm 5.1.1);
b) Dựa trên một đánh giá rủi ro, mức bảo vệ được yêu cầu phải được xác định có tính đến loại
hình, mặt mạnh và chất lượng của các thuật toán mã hoá được yêu cầu;
c) Sử dụng mã hoá để bảo vệ thông tin nhạy cảm được chuyển qua thiết bị, phương tiện lưu trữ di
động hay có thể tháo ra, các thiết bị quá đường dây liên lạc;
d) Phương pháp quản lý chủ chốt, bao gồm các phương pháp để đối phó với việc bảo vệ các khoá
mật mã và phục hồi thông tin được mã hoá trong trường hợp mất, hư hại hay hư khoá;

e) Vai trò và trách nhiệm, như ai là người chịu trách nhiệm đối với:
1) Thực thi chính sách;
2) Quản lý chỉnh, bao gồm việc tạo khoá (xem thêm IV.3.2);
f) Các tiêu chuẩn được thông qua để thực hiện hiệu quả trong tổ chức (như phương pháp giải
quyết được sử dụng cho các quá trình kinh doanh);
g) Ảnh hưởng của việc sử dụng thông tin được mã hoá trên các kiểm soát mà dựa trên kiểm tra nội
dung (như phát hiện virus);
 Khi thực hiện chính sách mã hoá của tổ chức, phải thực hiện việc xem xét các chế định và hạn chế
quốc gia có thể áp dụng cho việc sử dụng các kỹ thuật mật mã trong các phần khác nhau của thế giới
và các vấn đề về luồng đi qua biên giới của thông tin được mã hoá (xem thêm 15.1.6).

Kiểm soát mật mã có thể được sử dụng để đạt được những mục tiêu khác nhau, như:
a) Tính đáng tin cậy: sử dụng mã hoá thông tin để bảo vệ thông tin nhạy cảm và quan trọng cả
trong lưu trữ và truyền;
b) Tính toàn vẹn/độ tin cậy: dùng chữ ký điện tử hay xác nhận mã thông điệp để bảo vệ độ tin cậy
và tính toàn vẹn trong lưu trữ hay truyền thông tin nhạy cảm hoặc quan trọng;
c) Chống chối bỏ: sử dụng các kỹ thuật mật mã để có được bằng chứng về sự việc xảy ra hay
không xảy ra của sự kiện hay hành động.
Thông tin khác
Việc quyết định xem một giải pháp mật mã có phù hợp phải được xem như là một phần của quá trình
mở rộng của đánh giá rủi ro và lựa chọn các kiểm soát. Đánh giá này có thể sau đó được sử dụng để
xác định một kiểm soát mật mã là phù hợp hay không, loại của kiểm soát phải được áp dụng, cho
mục đích gì, và các quá trình kinh doanh.

Một chính sách về sử dụng các kiểm soát dùng mật mã là cần thiết để tối đa hoá lợi ích và giảm thiểu
rủi ro của việc dùng các kỹ thuật mật mã, và để trách sử dụng không phù hợp và không chính xác.
Khi sử dụng chữ ký điện tử, phải thực hiện xem xét các luật pháp liên quan, đặc biệt là luật pháp về
các điều kiện chữ ký số là ràng buộc pháp lý (xem 15.1).

Chuyên gia tư vấn phải tìm cách để xác định mức độ bảo vệ và để xác định thông số kỹ thuật phù
hợp sẽ mang lại sự bảo vệ như yêu cầu và hỗ trợ việc thực thi hệ thống quản lý khoá bảo mật (xem
thêm IV.3.2).

ISO/IEC JTC1 SC27 được triển khai nhiều chuẩn liên quan đến các kiểm soát mật mã. Thông tin
khác có thể được tìm thấy trong IEEE P1363 và IECD Guidelines on Cryptography.