QUI TRÌNH PHÂN LOẠI, QUẢN LÝ VÀ TRUY VẤN THÔNG TIN VÀ SỞ HỮU TÀI

SẢN THÔNG TIN

I. Quản lý tài sản

I.1 Trách nhiệm đối với tài sản
Mục tiêu: Nhằm đạt được và duy trì sự bảo vệ thích đáng đối với tài sản của tổ chức. Tất cả tài sản
phải được giải trình và có một người chiếm hữu được chỉ định.
Những người chiếm hữu cần phải được định rõ cho tất cả tài sản và cần phải phân công trách nhiệm
duy trì các kiểm soát thích đáng. Người chiếm hữu có thể ủy quyền cho việc thực thi các biện pháp
kiểm soát cụ thể khi thích hợp nhưng người chiếm hữu vẫn còn trách nhiệm đối với việc bảo vệ tài
sản.
I.1.1 Kiểm kê tài sản:
Biện pháp kiểm soát
Tất cả tài sản phải được xác định rõ ràng và bản kiểm kê các tài sản quan trọng được lập và duy trì.
Hướng dẫn thực hiện
Một tổ chức nên xác định tất cả các tài sản và tài liệu tầm quan trọng của tài sản. Bản kiểm kê tài sản
nên gồm tất cả thông tin cần thiết để phục hồi từ một tai họa, bao gồm loại của tài sản, dạng, vị trí,
thông tin sao lưu, thông tin giấy phép, và một giá trị kinh doanh. Bản kiểm kê cần không nên nhân
bản các kiểm kê không cần thiết, nhưng phải đảm bảo rằng nội dung tương thích.

Ngoài ra, quyền sở hữu (xem I.1.2) và phân loại thông tin (xem I.2) cần được thỏa thuận và tài liệu
hóa cho từng tài sản. Dự trên tầm quan trọng, giá trị kinh doanh và phân loại an ninh của tài sản, các
mức bảo vệ xứng với tầm quan trọng của tài sản phải được xác định (Thông tin khác về việc làm thế
nào đánh giá tài sản để thể hiện tầm quan trọng có thể được tìm thấy trong ISO/IEC TR 13335-3).

Thông tin khác:

Có nhiều loại tài sản, bao gồm:
a) Thông tin: cơ sở dữ liệu và các tệp dữ liệu, các hợp đồng và thỏa thuận, hệ thống tài liệu, thông tin
nghiên cứu, hướng dẫn sử dụng, phương tiện đào tạo, các thủ tục hoạt động hoặc hỗ trợ, các kế
hoạch duy trì liên tục hoạt động chính yếu, các thoả thuận dự phòng, bản ghi đánh giá, và thông tin
được lưu trữ
b) Tài sản phần mềm: Các phần mềm ứng dụng, phần mềm hệ thống, công cụ phát triển, và các
tiện ích;
c) Các tài sản vật lý: Thiết bị máy tính, thiết bị truyền thông, đa phương tiện di động, và các thiết
bị khác;
 d) Dịch vụ: Các dịch vụ truyền thông và tính toán, các tiện ích chung, như sưởi, chiếu sáng, năng
lượng, điều hòa không khí;
e) Con người, và các bằng cấp, kỹ năng và kinh nghiệm của họ;
f) Vô hình, như danh tiếng và hình ảnh của tổ chức.
Các bản kiểm kê tài sản đảm bảo rằng việc bảo vệ tài sản hiệu quả diễn ra, và cũng có thể được yêu
cầu cho các mục đích kinh doanh khác, như là an toàn và sức khỏe, các lý do bảo hiểm hoặc tài
chính. Quá trình biên soạn bản kiểm kê tài sản là một điều kiện tiên quyết quan trọng cho quản lý rủi
ro (xem Phần 4).
I.1.2 Quyền sở hữu tài sản
Biện pháp kiểm soát
Tất cả thông tin và tài sản liên hệ với các tiện ích xử lý thông tin phải được chiếm hữu bởi một bộ
phận được chỉ định của tổ chức.

Hướng dẫn thực hiện

Người chiếm hữu tài sản phải có trách nhiệm:
a) Đảm bảo thông tin và tài sản liên quan đến các tiện ích xử lý thông tin được phân loại phù hợp.
b) Định nghĩa và xem xét định kỳ các giới hạn truy cập và phân loại, có tính đến các chính sách
kiểm soát truy cập có thể áp dụng.
Quyền sở hữu có thể được cấp cho:
a) Một quá trình kinh doanh;
b) Một tập các hoạt động được định nghĩa;
c) Một ứng dụng; hoặc
d) Một tập dữ liệu được xác định;
Thông tin khác
Các nhiệm vụ thường xuyên có thể được ủy quyền, như để một bảo vệ trông coi tài sản hằng ngày,
nhưng trách nhiệm vẫn còn đối với người sở hữu.
Trong một hệ thống thông tin phức tạp, đặt tên cho những nhóm tài sản sẽ hữu ích, những hành động
kết hợp cung cấp một chức năng riêng biệt như “dịch vụ”. Trong trường hợp này chủ sở hữu dịch vụ
chịu trách nhiệm về việc cung cấp dịch vụ, bao gồm cả chức năng tài sản mà nó cung cấp.
I.1.3 Cho phép sử dụng tài sản
Biện pháp kiểm soát
Phải định nghĩa, tài liệu hóa, và thực thi.Các nguyên tắc để cho phép việc sử dụng thông tin và tài
sản liên quan đến các tiện ích xử lý thông tin.
Hướng dẫn thực hiện
Tất cả người lao động, nhà thầu và người sử dụng bên thứ ba phải theo các nguyên tắc để cho phép
việc sử dụng thông tin và tài sản liên quan đến các tiện ích xử lý thông tin, bao gồm:
a) Nguyên tắc cho việc sử dụng thư điện tử và mạng toàn cầu;
b) Hướng dẫn sử dụng các thiết bị di động, đặc biệt khi sử dụng ngoài phạm vi của tổ chức (xem
11.7.1);
Những lãnh đạo liên quan cung cấp các nguyên tắc hoặc hướng dẫn cụ thể. Những người lao động,
nhà thầu và những người sử dụng bên thứ ba khi sử dụng hay truy cập đến các tài sản của tổ chức
phải nhận thức được các giới hạn tồn tại trong việc sử dụng thông tin và tài sản liên quan đến các
tiện ích xử lý thông tin, và các nguồn lực. Họ phải chịu trách nhiệm về việc sử dụng bất kỳ nguồn
lực xử lý thông tin nào, và bất kỳ việc sử dụng nào được thực hiện dưới trách nhiệm của họ.
Thuật ngữ “Người chiếm hữu” xác định một cá nhân hay thực thể có trách nhiệm quản lý về kiểm
(2)

soát sản phẩm, phát triển, bảo dưỡng, sử dụng và an ninh cho tài sản. Thuật ngữ “Người chiếm hữu”
không có nghĩa là cá nhân đó thực sự có quyền sở hữu đối với tài sản.
I.2 Phân loại thông tin
Mục tiêu: Nhằm đảm bảo rằng thông tin nhận được mức bảo vệ thích hợp.
Thông tin phải được phân loại để xác định sự cần thiết, độ ưu tiên, và mức độ bảo vệ cần có khi xử
lý thông tin.
Thông tin có nhiều mức độ nhạy cảm và quan trọng khác nhau. Một số thông tin có thể yêu cầu một
mức bảo vệ bổ sung hay cách xử lý đặc biệt. Phải được dùng một sơ đồ phân loại thông tin để xác
định một tập hợp các mức bảo vệ và truyền đạt sự cần thiết của các biện pháp xử lý đặc biệt.
I.2.1 Hướng dẫn phân loại
Biện pháp kiểm soát
Thông tin phải được phân loại theo giá trị, các yêu cầu pháp luật, độ nhạy cảm, và tầm quan trọng
đối với tổ chức.
Hướng dẫn thực hiện
Phân loại và các kiểm soát liên quan cho thông tin cần tính đến các nhu cầu kinh doanh trong việc
chia sẻ hay hạn chế thông tin và các ảnh hưởng kinh doanh liên kết đến các nhu cầu đó.
Hướng dẫn phân loại nên bao gồm các quy ước để khởi tạo phân loại và phân loại lại theo thời gian;
phù hợp với các chính sách kiểm soát truy cập đã được định trước (xem 11.1.1).
Người chiếm hữu (xem I.1.2) tài sản phải có trách nhiệm xác định sự phân loại tài sản, xem xét định
kỳ, đảm bảo luôn cập nhật và ở mức thích hợp. Sự phân loại phải tính đến ảnh hưởng kết hợp được
đề cập trong 10.7.2.

Xem xét sử dụng một số hạng mục phân loại và những lợi ích tăng lên từ việc sử dụng chúng. Các sơ
đồ phân loại quá phức tạp có thể trở nên cồng kềnh và không kinh tế để ứng dụng hay phi thực tế.
Phải quan tâm thực hiện việc diễn giải các nhãn phân loại tài liệu từ các tổ chức khác, có thể có các
cách xác định khác, giống hay tương tự việc đặt tên dán nhãn.

Thông tin khác

Mức bảo vệ có thể được ước lượng thông qua việc phân tích tính bảo mật, tính toàn vẹn, tính sẵn có
và bất kỳ các yêu cầu khác đối với thông tin được xem xét.
Thông tin thường hết nhạy cảm và quan trọng sau một khoảng thời gian nào đó, ví dụ, khi thông tin
được phổ biến rộng rãi. Những mặt này phải được tính đến, khi quá nhiều phân loại có thể dẫn đến
việc thực hiện các biện pháp kiểm soát không cần thiết và kết quả là thêm phí tổn.
Xem xét tài liệu đồng thời với các yêu cầu an ninh tương ứng trong khi xác định các mức phân loại
sẽ giúp cho việc phân loại được đơn giản hơn.
Tóm lại, phân loại thông tin mang đến một lối tắt để xác định thông tin cần được xử lý và bảo vệ như
thế nào.
I.2.2 Gán nhãn và xử lý thông tin
Biện pháp kiểm soát
Một tập các thủ tục thích hợp cho việc gán nhãn và xử lý thông tin phải được phát triển và thực hiện
phù hợp với sơ đồ phân loại được tổ chức áp dụng.

Hướng dẫn thực hiện

Các thủ tục gán nhãn thông tin cần để bao trùm các tài sản thông tin ở dạng vật lý và điện tử.
Ngõ ra của hệ thống chứa đựng thông tin được phân loại theo độ nhạy cảm và quan trọng phải gán
một nhãn phân loại thích hợp (ở ngõ ra). Nhãn phải phản ánh sự phân loại theo các nguyên tắc được
thiết lập trong I.2.1. Các thành phần để xem xét bao gồm các báo cáo được in, màn hình hiển thị,
thiết bị lưu trữ (như băng từ, đĩa, CDs), tin nhắn điện tử, và truyền file.
Mỗi mức phân loại, các thủ tục xử lý cần xác định bao gồm quá trình an toàn, lưu trữ, chuyển giao,
thay đổi phân loại và phá hủy. Nên bao gồm luôn các thủ tục cho hàng loạt quyền giám hộ và đăng
nhập của bất kỳ sự kiện bảo mật có liên quan.

Thỏa thuận với những tổ chức khác về việc chia sẻ thông tin cần bao gồm các thủ tục để định rõ sự
phân loại cho thông tin đó và để làm sáng tỏ các nhãn phân loại từ các tổ chức khác.

Thông tin khác

Gán nhãn và xử lý bảo mật các thông tin được phân loại là một yêu cầu chính trong các thỏa thuận
chia sẻ thông tin. Các nhãn vật lý là một dạng chung của việc gán nhãn. Dù sao, một số tài sản thông
tin như những tài liệu dưới dạng điện tử, không thể gán nhãn dạng vật lý và các phương pháp điện tử
cho việc gán nhãn cần được sử dụng. Ví dụ, gán nhãn thông báo có thể xuất hiện trên màn hình hoặc
hiển thị. Nơi nào việc gán nhãn không khả thi, các phương pháp thiết kế phân loại thông tin khác có
thể được áp dụng, như thông qua thủ tục hoặc siêu dữ liệu.