QUI TRINH ĐÁNH GIÁ SỰ TUÂN THỦ VỀ AN NINH THÔNG TIN

I Sự tuân thủ
I.1 Sự tuân thủ với các yêu cầu pháp lý
Mục tiêu: Nhằm tránh các vi phạm đến bất kỳ nguyên tắc, luật, chế định hay các nghĩa vụ hợp đồng,
và bất kỳ yêu cầu an ninh nào.
Việc thiết kế, điều hành, sử dụng, và quản lý hệ thống an ninh thông tin có thể tuỳ thuộc vào luật
pháp, chế định và các yêu cầu an ninh trong hợp đồng.
Tư vấn về các yêu cầu pháp lý cụ thể phải có từ được các cố vấn pháp ý của tổ chức, hoặc trình độ
hành nghề pháp lý phù hợp. Các yêu cầu pháp lý khác nhau giữa các quốc gia và có thể có sự khác
biệt đối với các thông tin được tạo trong một quốc gia được chuyển đến quốc gia khác (ví dụ luồng
thông tin vượt biên giới).
I.1.1 Xác định các luật pháp được áp dụng
Biện pháp kiểm soát
Tất cả các pháp luật, chế định, và các yêu cầu hợp đồng liên quan và các phương pháp tiếp cận của
tổ chức để đáp ứng những yêu cầu phải được định rõ, tài liệu hoá, và cập nhận đối với mỗi hệ thống
thông tin và tổ chức.
Hướng dẫn thực hiện
Các kiểm soát cụ thể và các trách nhiệm của cá nhân đáp ứng các yêu cầu phải được xác định một
cách tương tự và tài liệu hoá.
I.1.2 Quyền sở hữu trí tuệ (SHTT)
Biện pháp kiểm soát
Các thủ tục thích hợp phải được thực hiện để đảm bảo tuân thủ pháp luật, chế định và các yêu cầu
thuộc hợp đồng trong việc sử dụng các tài liệu đặc biệt về những tài liệu có thể thuộc quyền sở hữu
trí tuệ và về việc sử dụng các sản phẩm phần mềm độc quyền.

Hướng dẫn thực hiện

Phải xem xét các hướng dẫn sau để bảo vệ bất kỳ dữ liệu có thể được xem là sở hữu trí tuệ:
a) Ban hành một chính sách tuân thủ các quyền sở hữu trí tuệ trong đó xác định việc sử dụng hợp
pháp các sản phẩm phần mềm và thông tin;
b) Chỉ mua các phần mềm thông qua các nguồn được biết và có uy tín, để đảm bảo rằng quyền tác
giả không vi phạm;
c) Duy trì nhận thức về chính sách để bảo vệ quyền sở hữu trí tuệ, và đưa ra thông báo về các biện
pháp kỷ luật đối với các bộ vi phạm chúng;

d) Duy trì các bản đăng ký tài sản thích hợp, và nhận dạng tất cả tài sản với các yêu cầu bảo vệ
quyền sở hữu trí tuệ;
 e) Duy trì chứng cớ và bằng chứng về quyền sở hữu của các giấy phép, các đĩa chính, các hướng
dẫn,…;
f) Triển khai các kiểm soát để đảm bảo rằng bất kỳ số lượng tối đa người dùng được phép nào
cũng không bị vượt quá.
g) Thực hiện các kiểm tra để chỉ phần mềm có phép và các sản phẩm có bản quyền được cài đặt;
h) Đưa ra một chính sách để duy trì các điều kiện giấy phép thích hợp;
i) Đưa ra một chính sach cho việc xử lý hay chuyển giao phần mềm đến cho người khác;
j) Sử dụng các công cụ đánh giá thích hợp;
k) Tuân thủ các điều khoản và điều kiện đối với phần mềm và thông tin thu được từ mạng công
cộng;
l) Không sao chép, chuyển đổi sang định dạng khác hoặc chiết xuất từ các bản thu âm thương mại
(phim, âm thanh) khác những gì được luật bản quyền cho phép;
m) Không sao chép toàn bộ hoặc một phần, sách, báo, các báo cáo hay các tài liệu khác, khác
những gì được cho phép trong luật bản quyền.
Thông tin khác
Quyền sở hữu trí tuệ bao gồm bản quyền tài liệu hay phần mềm, quyền thiết kế, thương hiệu, bằng
sáng chế, và giấy phép mã nguồn.

Các sản phẩm phần mềm độc quyền thường được cung cấp dưới một thoả thuận giấy phép trong đó
ghi rõ các điều khoản và điều kiện, ví dụ, giới hạn việc sử dụng sản phẩm cho các máy được chỉ định
hay giới hạn quyền sao chép, chỉ được tạo các bản sao lưu. Tình hình SHTT của phần mềm được
pháp triển bởi tổ chức yêu cầu được trình bày rõ ràng cho nhân viên.
Các yêu cầu thuộc hợp đồng, luật pháp, chế định có thể đặt ra các hạn chế sao chép các tài liệu độc
quyền. Cụ thể, họ có thể yêu cầu chỉ những tài liệu được phát triển bởi tổ chức, được cấp phép, được
cung cấp bởi nhà phát triển cho tổ chức sử dụng. Vi phạm bản quyền có thể dẫn đến hành động pháp
lý, liên quan đến các thủ tục tố tụng hình sự.

I.1.3 Bảo vệ các hồ sơ của tổ chức

Biện pháp kiểm soát
Các hồ sơ quan trọng phải được bảo vệ khỏi tổn thất, huỷ hoại, và giả mạo, theo luật pháp, chế định,
hợp đồng và các yêu cầu kinh doanh.
Hướng dẫn thực hiện
Hồ sơ phải được phân theo loại, như hồ sơ kế toán, hồ sơ cơ sở dữ liệu, nhật ký giao dịch, các bản
ghi đánh giá, và các thủ tục điều hành, với các chi tiết về thời gian lưu trữ và loại phương tiện lưu
trữ, như giấy, tấm vi phim, từ, quang học. Bất kỳ tài liệu liên quan đến việc tạo khóa mật mã và
chương trình liên kết với các hồ sơ được mã hóa hay chữ ký điện tử (xem 12.3), cũng phải được lưu
trữ để có thể giải mã các hồ sơ trong khoảng thời gian hồ sơ được sử dụng.
Phải thực hiện xem xét khả năng suy giảm của các phương tiện được sử dụng để lưu hồ sơ. Phải triển
khai các thủ tục lưu trữ và xử lý theo khuyến cáo của nhà sản xuất. Để lưu trữ trong thời gian dài,
phải xem xét việc sử dụng giấy và vi phim.

Khi các thiết bị lưu trữ điện tử được chọn, phải đưa ra các thủ tục để đảm bảo khả năng truy cập dữ
liệu (cả phương tiện và đọc định dạng) trong suốt thời gian lưu trữ, để bảo vệ chống lại tổn thay do
thay đổi công nghệ trong tương lai.
Phải lựa chọn các hệ thống lưu trữ dữ liệu sao cho dữ liệu cần thiết có thể được lấy trong một khung
thời gian và định dạng có thể chấp nhận, phụ thuộc các yêu cầu được đáp ứng.
Hệ thống lưu trữ và xử lý phải đảm bảo các hồ sơ được nhận biết rõ ràng và thời gian lưu trữ của
chúng theo quy định bởi luật pháp quốc gia hoặc vùng lãnh thổ hay các chế định, nếu có thể áp dụng.
Hệ thống này phải được phép hủy bỏ các dữ liệu sau một thời gian nếu chúng không còn cần thiết
cho tổ chức.
Để đáp ứng những mục tiêu bảo vệ tài liệu, phải xem xét thực hịên các bước sau trong tổ chức:
a) Các hướng dẫn lưu trữ, cất giữ, xử lý, và hủy bỏ các hồ sơ và thông tin phải được ban hành;
b) Phải lập biểu đồ lưu trữ xác định các hồ sơ và khỏang thời gian mà chúng được lưu;

c) Một bản kiểm kê các nguồn thông tin chính phải được duy trì;
d) Phải thực hiện các kiểm sóat thích hợp để bảo vệ các hồ sơ và thông tin khỏi mất mát, hủy họai,
và làm giả.

Thông tin khác

Một số hồ sơ có thể cần thiết được lưu giữ một cách an toàn để đáp ứng các yêu cầu luật pháp, chế
định và hợp đồng, cũng như để hỗ trợ cac họat động kinh doanh thiết yếu. Ví dụ gồm các hồ sơ có
thể được yêu cầu như bằng chứng rằng một tổ chức họat động theo pháp luật hay chế định, để đảm
bảo ngăn chặn đầy đủ chống lại khả năng xảy ra hành động dân sự hay hình sự, hay để xác nhận tình
hình tài chính của một tổ chức đối với các cổ đông, các tổ chức bên ngòai, và những kiểm tóan viên.
Khỏang thời gian và nội dung dữ liệu lưu trữ thông tin có thể được thiết lập theo luật pháp quốc gia
hay chế định.
Thông tin khác về quản lý hồ sơ tổ chức có thể tìm trong ISO I489-1.
I.1.4 Bảo vệ dữ liệu và tính riêng tư của thông tin cá nhân
Kiểm sóat
Việc bảo vệ dữ liệu và tính riêng tư phải đảm bảo khi được yêu cầu trong luật pháp, chế định liên
quan, và, nếu áp dụng, các điều khỏan thuộc hợp đồng.
Hướng dẫn thực hịên
Một chính sách riêng tư và bảo vệ dữ lịêu tổ chức phải được phát triển và thi hành. Phải thông báo
chính sách này cho tất cả những người liên quan trong việc xử lý thông tin cá nhân.
Sự phù hợp với chính sách này và tất cả luật pháp và chế định bảo vệ dữ liệu liên quan yêu cầu kiểm
sóat và cấu trúc quản lý thích hợp. Thường thì điều này đạt được tốt bằng việc bổ nhiệm trách
nhiệm cá nhân, như là một nhân viên bảo vệ dữ liệu, là người phải cung cấp hướng dẫn cho các quản
lý, người dùng, và nhà cung cấp dịch vụ về trách nhiệm cá nhân của họ và sự đảm bảo nhận thức về
các nguyên tắc bảo vệ dữ liệu phải được xử lý theo luật pháp và chế định liên quan. Các phương tiện
tổ chức và kỹ thuật phù hợp để bảo vệ thông tin cá nhân phải được thực thi.

Thông tin khác

Một số quốc gia có đưa ra luật về các kiểm sóat trong việc thu thập, xử lý và truyền thông tin cá
nhân (nói chung là thông tin về đời sống cá nhân của những người có thể được xác định từ những
thông tin đó). Tùy theo luật pháp riêng từng quốc gia, những kiểm sóat có thể đánh thuế cho những
việc thu thập, xử lý, và phổ biến thông tin cá nhân, có thể giới hạn khả năng truyền dữ liệu đến quốc
gia khác.
I.1.5 Ngăn chặn việc lạm dụng các tiện ích xử lý thông tin
Kiểm sóat
Phải ngăn chặn người dùng sử dụng các tịên ích xử lý thông tin cho những mục đích trái phép.
Hướng dẫn thực hiện
Lãnh đạo phải phê duyệt việc sử dụng các tiện ích xử lý thông tin. Bất kỳ việc sử dụng những tiện
ích này cho các mục đích phi thương mại không có sự phê chuẩn của lãnh đạo (xem 6.1.4), hoặc bất
kỳ mục đích trái phép nào, phải bị xem là việc sử dụng sai các tiện ích. Nếu bất kỳ họat động trái
phép nào được định rõ bởi việc giám sát và các phương tịên khác, những họat động này phải được
quản lý cá nhân biết liên quan đến việc xem xét các hành động kỷ luật và/hoặc pháp lý thích đáng.
Phải thực hiện việc tư vấn pháp luật trước khi thực thi các thủ tục giám sát.
Tất cả người dùng phải nhận thức được phạm vi rõ ràng về quyền sử truy cập của họ và về việc thực
hiện giám sát để phát hiện sử dụng trái phép. Có thể đạt được điều này bằng cách đưa người dùng
giấy phép, một bản sao phải được người dùng ký và được tổ chức lưu trữ một cách an tòan. Người
lao động của một tổ chức, nhà thầu, và người dùng thuộc bên thứ ba phải được báo cho biết rằng
không truy cập nào sẽ được cho phép ngọai trừ những gì được phép.
Khi đăng nhập, một cảnh báo phải hiện ra để chỉ rõ rằng tiện ích xử lý thông tin đang được đăng
nhập là thuộc về tổ chức và những truy cập trái phép là không được cho phép. Người dùng phải có
kiến thức và tác động thích hợp vào thông báo trên màn hình để tiếp tục quá trình đăng nhập (xem
11.5.1).

Thông tin khác

Các tiện ích xử lý thông tin của một tổ chức được dự định chủ yếu hay dành riêng cho các mục đích
kinh doanh.
Phát hiện xâm nhập, kiểm duyệt nội dung, và các công cụ giám sát khác có thể giúp ngăn chặn và
phát hiện việc lạm dụng các tiện ích xử lý thông tin.
Nhiều quốc gia có luật bảo vệ chống lại lạm dụng máy tính. Sử dụng máy tính cho mục đích trái
phép có thể là tội phạm hình sự.

Tính pháp lý của việc giám sát cách sử dụng thay đổi từ quốc gia này đến quốc gia kia và có thể yêu
cầu lãnh đạo để thông báo cho tất cả người dùng về các việc giám sát và/hoặc để có sự đồng ý của
họ. Khi hệ thống được đưa vào sử dụng cho truy cập công cộng (như máy chủ web công cộng) và là
đối tượng của giám sát an ninh, một thông báo phải được hiển thị để thể hiện điều đó.
I.1.6 Quy định cho các kiểm sóat bằng mật mã
Kiểm sóat
Phải sử dụng các kiểm sóat bằng mật mã đúng theo các thỏa thuận, luật, và chế định liên quan.
Hướng dẫn thực hiện
Phải xem xét các điều sau để làm đúng theo thỏa thuận, luật và chế định:

a) Các giới hạn về nhập và/hoặc xuất của phần cứng và phần mềm máy tính trong việc thực hiện
các chức năng dùng mật mã;
b) Các giới hạn về nhập và/hoặc xuất của phần cứng và phần mềm máy tính được thiết kế có chức
năng dùng mật mã ở trong nó;

c) Các giới hạn về các sử dụng mã hóa;

d) Các cách thức bắt buộc hay tùy chọn cho cách truy cập dùng trong chính quyền các nước để
thông tin được mã hóa bằng phần cứng hay phần mềm để mang lại tính bảo mật nội dung.
Tư vấn pháp luật phải tìm cách đảm bảo đúng theo luật pháp và chế định quốc gia. Trước khi thông
tin được mã hóa hay các kiểm sóat bằng mật mã được đưa đến nước khác, việc tư vấn pháp luật cũng
phải thực hiện.
I.2 Thực hiện đúng theo chính sách, tiêu chuẩn an ninh và đúng kỹ thuật
Mục tiêu: Nhằm đảm bảo sự phù hợp của hệ thống với chính sách và tiêu chuẩn an ninh của tổ chức.
Phải xem xét thường xuyên hệ thống an ninh thông tin.
Những xem xét này phải được thực hiện theo chính sách an ninh và nền tảng kỹ thuật thích hợp, hệ
thống thông tin phải được đánh giá sự phù hợp với các tiêu chuẩn thực hiện an ninh có thể áp dụng
và các kiểm soát an ninh được tài liệu hoá.
I.2.1 Sự phù hợp với chính sách và tiêu chuẩn thông tin
Biện pháp kiểm soát
Những người quản lý phải đảm bảo rằng tất cả các thủ tục an ninh trong khu vực họ có trách nhiệm
được thực hiện đúng để đạt được sự phù hợp với các chính sách và tiêu chuẩn an ninh.
Hướng dẫn thực hiện
Những người quản lý phải xem xét thường xuyên sự phù hợp của việc xử lý an ninh trong khu vực
họ có trách nhiệm với những chính sách, tiêu chuẩn, và bất kỳ yêu cầu an ninh thích hợp khác.
Nếu có bất kỳ sự không phù hợp nào trong kết quả của soát xét, quản lý phải:
a) Xác định các nguyên nhân của sự không phù hợp;
b) Đánh giá các hoạt động cần thiết để đảm bảo rằng sự không phù hợp không xảy ra;
c) Xác định và thực hiện các hành động sửa lỗi thích hợp;
d) Xem xét việc thực hiện sửa lỗi.
Kết quả của sự soát xét và các hành động sửa lỗi của quản lý thực hiện phải được ghi nhận và phải
lưu giữ những hồ sơ này. Quản lý phải báo cáo kết quả đế những người thực hiện soát xét độc lập
(xem 6.1.8), khi cuộc xem xét độc lập xảy ra trong khu vực họ có trách nhiệm.

Thông tin khác

Hoạt động giám sát việc sử dụng hệ thống được nói đến trong 10.10
I.2.2 Kiểm tra sự phù hợp kỹ thuật
Biện pháp kiểm soát
Hệ thống thông tin phải được kiểm tra thường xuyên để phù hợp với các tiêu chuẩn thực hiện an
ninh.
Hướng dẫn thực hiện
Việc kiểm tra phù hợp kỹ thuật phải được thực hiện cả thủ công (hỗ trợ bởi các công cụ phần mềm
thích hợp, nếu cần thiết) bởi một kỹ sư hệ thống có kinh nghiệm, và/hoặc với sự hỗ trợ của các công
cụ tự động, tạo một báo cáo kỹ thuật để một chuyên gia kỹ thuật giải thích rõ sau đó.
Nếu kiểm tra xâm nhập hay các đánh giá lỗ hổng được sử dụng, phải thực hiện thận trọng khi các
hoạt động có thể dẫn đến tổn hại an ninh của hệ thống. Những cuộc kiểm tra này phải được lên kế
hoạch, tài liệu hoá và có thể thực hiện lại.
Bất kỳ cuộc kiểm tra phù hợp kỹ thuật chỉ được thực hiện theo thẩm quyền, người được phép, hay
dưới sự giám sát của những người như vậy.
Thông tin khác
Kiểm tra sự phù hợp kỹ thuật bao gồm cả việc kiểm tra hệ thống hoạt động để đảm bảo rằng các
kiểm soát phần cứng và phần mềm được thực hiện đúng. Loại kiểm tra sự tuân thủ này yêu cầu
chuyên gia kỹ thuật có chuyên môn.
Kiểm tra sự phù hợp cũng bao gồm một số kiểm tra, ví dụ, kiểm tra xâm nhập và đánh giá lỗ hổng,
có thể thực hiện bởi các chuyên gia độc lập được hợp đồng đặc biệt cho mục đích này. Điều này có
thể hữu ích trong việc phát hiện các lỗ hổng trong hệ thống và kiểm tra các kiểm soát hiệu quả như
thế nào để ngăn chặn các truy cập trái phép lợi dụng những lỗ hổng này.
Kiểm tra xâm nhập và các đánh giá lỗ hổng cung cấp một hình ảnh của hệ thống trong một trạng thái
cụ thể tại một thời điểm cụ thể. Hình ảnh được giới hạn đến những phần của việc kiểm tra hệ thống
thực trong suốt thời gian tấn công xâm nhập. Kiểm tra xâm nhập và đánh giá lỗ hổng không thay thế
cho đánh giá rủi ro.
I.3 Xem xét đánh giá hệ thống thông tin
Mục tiêu: Nhằm tối đa hiệu quả và để giảm thiểu can thiệp vào/từ quá trình đánh giá hệ thống thông
tin.
Phải có những kiểm soát bảo vệ hệ thống hoạt động và các công cụ đánh giá trong suốt thời gian
đánh giá hệ thống.
Việc bảo vệ cũng được yêu cầu để bảo vệ tính toàn vẹn và ngăn chặn việc lạm dụng các công cụ
đánh giá.
I.3.1 Các kiểm soát đánh giá hệ thống thông tin
Biện pháp kiểm soát
Các yêu cầu và hoạt động đánh giá liên quan đến kiểm tra hệ thống thông tin phải được lên kế hoạch
cẩn thận và được tán thành để giảm thiểu rủi ro đỗ vỡ các quá trình hoạt động chính yếu
Hướng dẫn thực hiện
Phải tuân theo các hướng dẫn sau:

a) Các yêu cầu đánh giá phải được lãnh đạo phù hợp thông qua;
b) Phạm vi kiểm tra phải được thông qua và kiểm soát;
c) Việc kiểm tra phải được giới hạn truy xuất chỉ-đọc đối với phần mềm và dữ liệu;
d) Các truy cập khác ngoài chỉ-đọc chỉ được cho phép đối với các bản copy được cách ly khỏi hệ
thống file và bị xoá sau khi việc đánh giá hoàn tất, hoặc được bảo vệ thích hợp nếu có một yêu cầu
giữ lại file theo các yêu cầu của tài liệu đánh giá;
e) Các nguồn lực cho việc thực hiện kiểm phải được xác định rõ ràng và sẵn có;

f) Các yêu cầu cho việc xử lý đặc biệt và phụ thêm phải được xác định và tán thành;
g) Tất cả truy cập phải được giám sát và ghi nhận theo một tham chiếu thủ tục; việc sử dụng mẫu
theo dõi bằng dán tem ghi thời gian phải được xem xét cho các dữ liệu hay hệ thống quan trọng;
h) Tất cả các thủ tục, yêu cầu, và trách nhiệm phải được tài liệu hoá;
i) Những cá nhân thực hiện đánh giá phải độc lập với các hoạt động đánh giá.
I.3.2 Bảo vệ các công cụ đánh giá hệ thống thông tin
Biện pháp kiểm soát
Phải bảo vệ truy cập đến các công cụ đánh giá hệ thống thông tin để ngăn chặn bất kỳ khả năng lạm
dụng hay làm tổn hại nào.
Hướng dẫn thực hiện
Các công cụ đánh giá hệ thống thông tin, như phần mềm hay file dữ liệu, phải được tách ra khỏi hệ
thống phát triển, hoạt động và không giữ trong các thư viện băng từ hay khu vực người dùng, trừ khi
được bảo vệ thêm ở mức thích hợp.
Thông tin khác
Các bên thứ ba được bao gồm trong cuộc đánh giá, có thể là rủi ro cho sự lạm dụng công cụ đánh
giá, và thông tin được truy cập bởi tổ chức bên thứ ba này. Các kiểm soát như 6.2.1 (để đánh giá rủi
ro) và 9.1.2 (để giới hạn truy cập vật lý) có thể được xem xét để xác định rõ rủi ro, và bất kỳ các kết
quả, như là phải thực hiện thay đổi ngay lập tức mật khẩu bị lộ cho những người đánh giá.