Professional Documents
Culture Documents
Qui Trinh Danh Gia Su Tuan Thu Cac Qui Dinh Cua Phap Luat Ve An Toan Thong Tin
Qui Trinh Danh Gia Su Tuan Thu Cac Qui Dinh Cua Phap Luat Ve An Toan Thong Tin
I Sự tuân thủ
I.1 Sự tuân thủ với các yêu cầu pháp lý
Mục tiêu: Nhằm tránh các vi phạm đến bất kỳ nguyên tắc, luật, chế định hay các nghĩa vụ hợp đồng,
và bất kỳ yêu cầu an ninh nào.
Việc thiết kế, điều hành, sử dụng, và quản lý hệ thống an ninh thông tin có thể tuỳ thuộc vào luật
pháp, chế định và các yêu cầu an ninh trong hợp đồng.
Tư vấn về các yêu cầu pháp lý cụ thể phải có từ được các cố vấn pháp ý của tổ chức, hoặc trình độ
hành nghề pháp lý phù hợp. Các yêu cầu pháp lý khác nhau giữa các quốc gia và có thể có sự khác
biệt đối với các thông tin được tạo trong một quốc gia được chuyển đến quốc gia khác (ví dụ luồng
thông tin vượt biên giới).
I.1.1 Xác định các luật pháp được áp dụng
Biện pháp kiểm soát
Tất cả các pháp luật, chế định, và các yêu cầu hợp đồng liên quan và các phương pháp tiếp cận của
tổ chức để đáp ứng những yêu cầu phải được định rõ, tài liệu hoá, và cập nhận đối với mỗi hệ thống
thông tin và tổ chức.
Hướng dẫn thực hiện
Các kiểm soát cụ thể và các trách nhiệm của cá nhân đáp ứng các yêu cầu phải được xác định một
cách tương tự và tài liệu hoá.
I.1.2 Quyền sở hữu trí tuệ (SHTT)
Biện pháp kiểm soát
Các thủ tục thích hợp phải được thực hiện để đảm bảo tuân thủ pháp luật, chế định và các yêu cầu
thuộc hợp đồng trong việc sử dụng các tài liệu đặc biệt về những tài liệu có thể thuộc quyền sở hữu
trí tuệ và về việc sử dụng các sản phẩm phần mềm độc quyền.
d) Duy trì các bản đăng ký tài sản thích hợp, và nhận dạng tất cả tài sản với các yêu cầu bảo vệ
quyền sở hữu trí tuệ;
e) Duy trì chứng cớ và bằng chứng về quyền sở hữu của các giấy phép, các đĩa chính, các hướng
dẫn,…;
f) Triển khai các kiểm soát để đảm bảo rằng bất kỳ số lượng tối đa người dùng được phép nào
cũng không bị vượt quá.
g) Thực hiện các kiểm tra để chỉ phần mềm có phép và các sản phẩm có bản quyền được cài đặt;
h) Đưa ra một chính sách để duy trì các điều kiện giấy phép thích hợp;
i) Đưa ra một chính sach cho việc xử lý hay chuyển giao phần mềm đến cho người khác;
j) Sử dụng các công cụ đánh giá thích hợp;
k) Tuân thủ các điều khoản và điều kiện đối với phần mềm và thông tin thu được từ mạng công
cộng;
l) Không sao chép, chuyển đổi sang định dạng khác hoặc chiết xuất từ các bản thu âm thương mại
(phim, âm thanh) khác những gì được luật bản quyền cho phép;
m) Không sao chép toàn bộ hoặc một phần, sách, báo, các báo cáo hay các tài liệu khác, khác
những gì được cho phép trong luật bản quyền.
Thông tin khác
Quyền sở hữu trí tuệ bao gồm bản quyền tài liệu hay phần mềm, quyền thiết kế, thương hiệu, bằng
sáng chế, và giấy phép mã nguồn.
Các sản phẩm phần mềm độc quyền thường được cung cấp dưới một thoả thuận giấy phép trong đó
ghi rõ các điều khoản và điều kiện, ví dụ, giới hạn việc sử dụng sản phẩm cho các máy được chỉ định
hay giới hạn quyền sao chép, chỉ được tạo các bản sao lưu. Tình hình SHTT của phần mềm được
pháp triển bởi tổ chức yêu cầu được trình bày rõ ràng cho nhân viên.
Các yêu cầu thuộc hợp đồng, luật pháp, chế định có thể đặt ra các hạn chế sao chép các tài liệu độc
quyền. Cụ thể, họ có thể yêu cầu chỉ những tài liệu được phát triển bởi tổ chức, được cấp phép, được
cung cấp bởi nhà phát triển cho tổ chức sử dụng. Vi phạm bản quyền có thể dẫn đến hành động pháp
lý, liên quan đến các thủ tục tố tụng hình sự.
Khi các thiết bị lưu trữ điện tử được chọn, phải đưa ra các thủ tục để đảm bảo khả năng truy cập dữ
liệu (cả phương tiện và đọc định dạng) trong suốt thời gian lưu trữ, để bảo vệ chống lại tổn thay do
thay đổi công nghệ trong tương lai.
Phải lựa chọn các hệ thống lưu trữ dữ liệu sao cho dữ liệu cần thiết có thể được lấy trong một khung
thời gian và định dạng có thể chấp nhận, phụ thuộc các yêu cầu được đáp ứng.
Hệ thống lưu trữ và xử lý phải đảm bảo các hồ sơ được nhận biết rõ ràng và thời gian lưu trữ của
chúng theo quy định bởi luật pháp quốc gia hoặc vùng lãnh thổ hay các chế định, nếu có thể áp dụng.
Hệ thống này phải được phép hủy bỏ các dữ liệu sau một thời gian nếu chúng không còn cần thiết
cho tổ chức.
Để đáp ứng những mục tiêu bảo vệ tài liệu, phải xem xét thực hịên các bước sau trong tổ chức:
a) Các hướng dẫn lưu trữ, cất giữ, xử lý, và hủy bỏ các hồ sơ và thông tin phải được ban hành;
b) Phải lập biểu đồ lưu trữ xác định các hồ sơ và khỏang thời gian mà chúng được lưu;
c) Một bản kiểm kê các nguồn thông tin chính phải được duy trì;
d) Phải thực hiện các kiểm sóat thích hợp để bảo vệ các hồ sơ và thông tin khỏi mất mát, hủy họai,
và làm giả.
Tính pháp lý của việc giám sát cách sử dụng thay đổi từ quốc gia này đến quốc gia kia và có thể yêu
cầu lãnh đạo để thông báo cho tất cả người dùng về các việc giám sát và/hoặc để có sự đồng ý của
họ. Khi hệ thống được đưa vào sử dụng cho truy cập công cộng (như máy chủ web công cộng) và là
đối tượng của giám sát an ninh, một thông báo phải được hiển thị để thể hiện điều đó.
I.1.6 Quy định cho các kiểm sóat bằng mật mã
Kiểm sóat
Phải sử dụng các kiểm sóat bằng mật mã đúng theo các thỏa thuận, luật, và chế định liên quan.
Hướng dẫn thực hiện
Phải xem xét các điều sau để làm đúng theo thỏa thuận, luật và chế định:
a) Các giới hạn về nhập và/hoặc xuất của phần cứng và phần mềm máy tính trong việc thực hiện
các chức năng dùng mật mã;
b) Các giới hạn về nhập và/hoặc xuất của phần cứng và phần mềm máy tính được thiết kế có chức
năng dùng mật mã ở trong nó;
a) Các yêu cầu đánh giá phải được lãnh đạo phù hợp thông qua;
b) Phạm vi kiểm tra phải được thông qua và kiểm soát;
c) Việc kiểm tra phải được giới hạn truy xuất chỉ-đọc đối với phần mềm và dữ liệu;
d) Các truy cập khác ngoài chỉ-đọc chỉ được cho phép đối với các bản copy được cách ly khỏi hệ
thống file và bị xoá sau khi việc đánh giá hoàn tất, hoặc được bảo vệ thích hợp nếu có một yêu cầu
giữ lại file theo các yêu cầu của tài liệu đánh giá;
e) Các nguồn lực cho việc thực hiện kiểm phải được xác định rõ ràng và sẵn có;
f) Các yêu cầu cho việc xử lý đặc biệt và phụ thêm phải được xác định và tán thành;
g) Tất cả truy cập phải được giám sát và ghi nhận theo một tham chiếu thủ tục; việc sử dụng mẫu
theo dõi bằng dán tem ghi thời gian phải được xem xét cho các dữ liệu hay hệ thống quan trọng;
h) Tất cả các thủ tục, yêu cầu, và trách nhiệm phải được tài liệu hoá;
i) Những cá nhân thực hiện đánh giá phải độc lập với các hoạt động đánh giá.
I.3.2 Bảo vệ các công cụ đánh giá hệ thống thông tin
Biện pháp kiểm soát
Phải bảo vệ truy cập đến các công cụ đánh giá hệ thống thông tin để ngăn chặn bất kỳ khả năng lạm
dụng hay làm tổn hại nào.
Hướng dẫn thực hiện
Các công cụ đánh giá hệ thống thông tin, như phần mềm hay file dữ liệu, phải được tách ra khỏi hệ
thống phát triển, hoạt động và không giữ trong các thư viện băng từ hay khu vực người dùng, trừ khi
được bảo vệ thêm ở mức thích hợp.
Thông tin khác
Các bên thứ ba được bao gồm trong cuộc đánh giá, có thể là rủi ro cho sự lạm dụng công cụ đánh
giá, và thông tin được truy cập bởi tổ chức bên thứ ba này. Các kiểm soát như 6.2.1 (để đánh giá rủi
ro) và 9.1.2 (để giới hạn truy cập vật lý) có thể được xem xét để xác định rõ rủi ro, và bất kỳ các kết
quả, như là phải thực hiện thay đổi ngay lập tức mật khẩu bị lộ cho những người đánh giá.