Ahead TCVN Iso-Iec 27001-2013 - V1.0 20140630

INTERNATIONAL STANDARD ISO/IEC
TIÊU CHUẨN QUỐC TẾ 27001
Information technology — Security

techniques — Information security management systems —
Requirements
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN

HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN – CÁC YÊU CẦU
Technologies de l'information — Techniques de sécurité — Systèmes

de gestion de sécurité de l'information — Exigences
Reference number
ISO/IEC 27001:2013 (E)

TCVN ISO/IEC 27001 :2013 (EV) AHEAD
AHEAD 2013
G r o w t o g et h er
Lời nói đầu
AHEAD/TCVN ISO/IEC 27001:2013 hoàn toàn tương đương với ISO/IEC 27001:2013
Bản dịch tiếng Việt được thực hiện bởi AHEAD.
TCVN ISO/IEC 27001:2013
0 Introduction 0. Giới thiệu
0.1 General 0.1 Tổng quan
This International Standard has been prepared to provide Tiêu chuẩn này đã được chuẩn bị nhằm cung cấp các
requirements for establishing, implementing, yêu cầu cho việc thiết lập, triển khai, duy trì và cải
maintaining and continually improving an Information tiến liên tục Hệ thống quản lý an toàn thông tin
Security Management System (ISMS). The adoption of (ISMS). Việc áp dụng ISMS là quyết định mang tính
an ISMS is a strategic decision for an organization. The chiến lược của một tổ chức. Việc thiết lập và triển
establishishment and implementation of an khai ISMS của tổ chức chịu ảnh hưởng bới các nhu
organization’s ISMS is influenced by organization’s cầu và các mục tiêu, các yêu cầu an toàn bảo mật, các
needs and objectives, security requirements, the quá trình tuyển dụng và qui mô, cấu trúc của tổ chức.
processes employed and the size and structure of the Tất cả các yếu tố ảnh hưởng có thể xảy ra sự thay đổi
organization. All of there influencing factors are theo thời gian.
expected to change over time.
The information security management system preserves Hệ thống quản lý an toàn thông tin duy trì tính bảo
the confidentiality, integrity and availability of mật, tính toàn vẹn và tính sẵn sàng của thông tin bằng
information by applying a risk management process and cách áp dụng một quá trình quản lý rủi ro và mang lại
gives confidence to interested parties that risks are sự tin cậy cho các bên quan tâm rằng các rủi ro đã
adequately managed. được quản lý đầy đủ.
It is important that the information security management Điều quan trọng là hệ thống quản lý an toàn thông tin
system is part of and integrated with the organization’s phải là một phần, hoặc được tích hợp với các quá trình
processes and overall management structure and that và cấu trúc quản lý tổng thể của tổ chức, và an toàn
information security is considered in the design of thông tin cần được quan tâm trong thiết kế các quá
processes, information systems, and controls. It is trình, các hệ thống thông tin, và các biện pháp quản
expected that an information security management lý. Chắc rằng việc triển khai một hệ thống quản lý an
system implementation will be scaled in accordance toàn thông tin sẽ được mở rộng, thu hẹp theo nhu cầu
with the needs of the organization. của tổ chức.
This International Standard can be used by internal and Tiêu chuẩn Quốc tế này có thể được sử dụng bởi nội
external parties to assess the organization's ability to bộ tổ chức hoặc các tổ chức bên ngoài để đánh giá khả
meet the organization’s own information security năng của tổ chức đáp ứng các yêu cầu an toàn thông
requirements. tin của tổ chức.
The order in which requirements are presented in this Thứ tự của các yêu cầu được trình bày trong tiêu
Intenational Standard does not reflect their importance chuẩn này không phản ảnh tầm quan trọng của chúng
or imply the order in which they are to be implemented. cũng như không phản ảnh hàm ý về thứ tự mà chúng
The list items are enumerated for reference purpose trình bày. Danh sách các mục là được liệt kê dành cho
only. mục đích tham khảo.
ISO/IEC 27000 describes the overview and the Tiêu chuẩn ISO/IEC 27000 mô tả tổng quan và từ
vocabulary of information security management vựng của hệ thống quản lý an toàn thông tin, viện dẫn
systems, referencing the ISMS family of standards các tiêu chuẩn của bộ tiêu chuẩn về Hệ thống quản lý
(including ISO/IEC 27003, ISO/IEC 27004 and ISO/IEC an toàn thông tin (bao gồm ISO/IEC 27003, ISO/IEC
27005), with related terms and definitions. 27004 and ISO/IEC 27005), với các thuật ngữ và định
nghĩa liên quan.
Ver.01 01/10/2013 1
0.2 Compatibility with other management system 0.2 Tương thích với các tiêu chuẩn hệ thống quản lý
standards khác
This International Standard applies the high-level Tiêu chuẩn này áp dụng cấu trúc cao cấp mới của Tổ chức
structure, identical sub-clause titles, identical text, ISO, đồng nhất các điều khoản phụ, đông nhất về văn bản,
common terms, and core definitions defined in các thuật ngữ chung, và các định nghĩa cốt lõi được định
Annex SL of ISO/IEC Directives, Part 1, nghĩa tại Phụ lục SL của Chỉ thị ISO/IEC, phần 1, phụ lục
Consolidated ISO Supplement, and therefore hợp nhất ISO, và do đó đảm bảo khả năng tương thích với
maintains compatibility with other management các tiêu chuẩn hệ thống quản lý khác đã áp dụng Phụ lục
system standards that have adopted the Annex SL. SL.
This common approach defined in the Annex SL Cách tiếp cận chung được quy định tại Phụ lục SL sẽ hữu
will be useful for those organizations that choose to ích cho các tổ chức lựu chọn để vận hành một hệ thống
operate a single management system that meets the quản lý duy nhất đáp ứng các yêu cầu của hai hoặc nhiều
requirements of two or more management system tiêu chuẩn hệ thống quản lý.
standards.
Ver.01 01/10/2013 2
Information technology — Security techniques — Công nghệ thông tin — Các kỹ thuật an toàn — Hệ
Information security management systems — thống quản lý an toàn thông tin — Các yêu cầu
Requirements
1 Scope 1 Phạm vi
This International Standard specifies the Tiêu chuẩn này chỉ định rõ các yêu cầu đối với hoạt động
requirements for establishing, implementing, thiết lập, triển khai, duy trì và cải tiến liên tục một Hệ
maintaining and continually improving an ISMS thống ISMS trong bối cảnh của tổ chức. Tiêu chuẩn này
within the context of the organization. This cũng chứa các yêu cầu cho hoạt động đánh giá và xử lý các
International Standard also includes requirements rủi ro an toàn thông tin đáp ứng nhu cầu của tổ chức.
for the assessment and treatment of information
security risks tailored to the needs of the
organization.
The requirements set out in this International Các yêu cầu trình bày trong tiêu chuẩn này mang tính tổng
Standard are generic and are intended to be quát và nhằm áp dụng cho tất cả các tổ chức, bất kể loại
applicable to all organizations, regardless of type, hình, qui mô, tính chất. Việc loại trừ bất kỳ yêu cầu nào
size and nature. Excluding any of the requirements trong điều 4 đến 10 đều không được chấp nhận khi tổ chức
specified in Clauses 4, to 10 is not acceptable when tuyên bố phù hợp với tiêu chuẩn này.
an organization claims conformity to this
International Standard.
2 Normative references 2 Tiêu chuẩn trích dẫn
The following documents, in whole or in part, are Các tài liệu dưới đây, toàn bộ hoặc một phần, là chuẩn mực
normatively referenced in this document and are tham chiếu trong tài liệu này, và là cần thiết cho việc áp
indispensable for the application. For dated dụng. Với các trích dẫn ghi ngày tháng, chỉ có các trích dẫn
references, only the edition cited applies. For được nêu mới áp dụng. Các trích dẫn không ghi ngày
undated references, the latest edition of the tháng, bản mới nhất của tài liệu trích dẫn (bao gồm cả bổ
referenced document (including any amendments) sung) được áp dụng.
applies.
ISO/IEC 27000, Information technology — Security ISO/IEC 27000, Công nghệ thông tin – Các kỹ thuật an
Techniques — Information security management toàn – Hệ thống quản lý an toàn thông tin – Tổng quan và
systems – Overview and vocabulary Từ vựng
3 Terms and definitions 3 Thuật ngữ và định nghĩa
For the purposes of this document, the terms and Tài liệu này sử dụng các thuật ngữ và định nghĩa của Tiêu
definitions given in ISO/IEC 27000 apply chuẩn ISO/IEC 27000
Ver.01 01/10/2013 3
4. Context of the organization 4. Bối cảnh của tổ chức
4.1 Understanding the organization and its context 4.1 Hiểu về tổ chức và bối cảnh của tổ chức
The organization shall determine external and Tổ chức phải xác định các vấn đề bên ngoài và nội bộ có
internal issues that are relevant to its purpose and liên quan đến mục đích của tổ chức và ảnh hưởng đến khả
that affect its ability to achieve the intended năng đạt được kết quả mong muốn của hệ thống quản lý an
outcome(s) of its information security management toàn thông tin của tổ chức.
system.
NOTE: Determining these issues refers to Chú thích: Xác định các vấn đề liên quan đến việc thiết lập
establishing the external and internal context of the bối cảnh bên ngoài và nội bộ của các tổ chức có thể xem
organization considered in Clause 5.3 of ISO 31000. xét tại khoản 5.3 của tiêu chuẩn ISO 31000.
4.2 Understanding the needs and expectations of 4.2 Hiểu nhu cầu và mong đợi của các bên quan tâm
interested parties
The organization shall determine: Tổ chức phải xác định:
a) interested parties that are relevant to the a) các bên quan tâm có liên quan đến hệ thống quản lý
information security management system; an toàn thông tin; và
and
b) the requirements of these interested parties b) các yêu cầu của các bên quan tâm liên quan đến an
relevant to information security. toàn thông tin.
NOTE: The requirements of interested parties may Chú ý: Các yêu cầu của các bên quan tâm có thể bao gồm
include legal and regulatory requirements and các yêu cầu pháp lý và nghĩa vụ hợp đồng.
contractual obligations.
4.3 Determining the scope of the information 4.3 Xác định phạm vi của hệ thống quản lý an toàn thông
security management system tin
The organization shall determine the boundaries and Tổ chức phải xác định ranh giới và phạm vi áp dụng hệ
applicability of the information security thống quản lý an toàn thông tin để thiết lập phạm vi của
management system to establish its scope. nó.
When determining this scope, the organization shall Khi xác định phạm vi này, tổ chức phải xem xét:
consider:
a) the external and internal issues referred to in a) các vấn đề bên ngoài và nội bộ được đề cập trong 4.1;
4.1;
b) the requirements referred to in 4.2; and b) các yêu cầu nêu trong 4.2; và
c) interfaces and dependencies between activities c) Khung cơ bản và những phần phụ thuộc giữa các hoạt
performed by the organisation, and those that are động được thực hiện bởi tổ chức, và các hoạt động
performed by other organisations. được thực hiện bởi các tổ chức khác.
The scope shall be available as documented Phạm vi sẽ phải sẵn có như một thông tin được lập văn bản.
information.
4.4 Information security management system 4.4 Hệ thống quản lý an toàn thông tin
Ver.01 01/10/2013 4
The organization shall establish, implement, Tổ chức phải thiết lập, triển khai, duy trì và cải tiến liên tục
maintain and continually improve an information hệ thống quản lý an toàn thông tin, phù hợp với các yêu cầu
security management system, in accordance with the của tiêu chuẩn này.
requirements of this International Standard.
5. Leadership 5. Sự lãnh đạo
5.1 Leadership and commitment 5.1 Sự lãnh đạo và sự cam kết
Top management shall demonstrate leadership and Lãnh đạo cao nhất phải chứng minh sự lãnh đạo và sự cam
commitment with respect to the information security kết liên quan đến hệ thống quản lý an toàn thông tin bằng
management system by: việc:
a) ensuring the information security policy and a) đảm bảo chính sách an toàn thông tin và các mục
the information security objectives are tiêu an toàn thông tin được thành lập và thích hợp
established and are compatible with the với các định hướng chiến lược của tổ chức;
strategic direction of the organization;
b) ensuring the integration of the information b) đảm bảo sự tích hợp của các yêu cầu hệ thống quản
security management system requirements lý an toàn thông tin vào các quá trình của tổ chức;
into the organization’s processes;
c) ensuring that the resources needed for the c) đảm bảo rằng các nguồn lực cần thiết cho hệ thống
information security management system quản lý an toàn thông tin được đáp ứng;
are available;
d) communicating the importance of effective d) truyền đạt tầm quan trọng của hiệu lực quản lý an
information security management and of toàn thông tin và sự tuân thủ với các yêu cầu hệ
conforming to the information security thống quản lý an toàn thông tin;
management system requirements ;
e) ensuring that the information security e) đảm bảo hệ thống quản lý an toàn thông tin đạt
management system achieves its in intended được (các) kết quả mong muốn;
outcome(s);
f) directing and supporting persons to f) chỉ đạo và hỗ trợ nhân sự tạo nên sự hiệu lực của
contribute to the effectiveness of the hệ thống quản lý an toàn thông tin;
information security management system;
g) promoting continual improvement; and g) thúc đẩy cải tiến liên tục, và
h) supporting other relevant management roles h) hỗ trợ các vai trò quản lý khác có liên quan để
to demonstrate their leadership as it applies chứng minh sự lãnh đạo của ban lãnh đạo tương
to their areas of responsibility. ứng với vai trò, trách nhiệm của từng vị trí.
5.2 Policy 5.2 Chính sách
Top management shall establish an information Lãnh đạo cao nhất phải thiết lập một chính sách an toàn
security policy that: thông tin:
a) is appropriate to the purpose of the a) phù hợp với mục đích của tổ chức;
organization;
Ver.01 01/10/2013 5
b) includes information security objectives (see b) bao gồm các mục tiêu an toàn thông tin (xem
6.2) or provides the framework for setting 6.2) hoặc cung cấp khuôn khổ cho việc thiết lập
information security objectives; các mục tiêu an toàn thông tin;
c) includes a commitment to satisfy applicable c) bao gồm một cam kết đáp ứng các yêu cầu áp
requirements related to information security; dụng liên quan đến an toàn thông tin; và
and
d) includes a commitment to continual d) bao gồm cam kết cải tiến liên tục hệ thống quản
improvement of the information security lý an toàn thông tin.
management system.
The information security policy shall: Chính sách an toàn thông tin phải:
e) be available as documented information; e) sẵn có như một thông tin được lập văn bản;
f) be communicated within the organization; and f) được truyền đạt trong tổ chức, và
g) be available to interested parties, as g) sẵn có cho các bên quan tâm, hoặc khi thấy thích
appropriate. hợp.
5.3 Organizational roles, responsibilities and 5.3 Vai trò, trách nhiệm và quyền hạn
authorities
Top management shall ensure that the Lãnh đạo cao nhất phải đảm bảo rằng các trách nhiệm và
responsibilities and authorities for roles relevant to quyền hạn cho các vai trò liên quan đến an toàn thông tin
information security are assigned and được xác định và truyền đạt.
communicated.
Top management shall assign the responsibility and Lãnh đạo cao nhất phải phân công trách nhiệm và quyền
authority for: hạn cho việc:
a) ensuring that the information security a) đảm bảo rằng hệ thống quản lý an toàn thông tin
management system conforms to the phù hợp với các yêu cầu của tiêu chuẩn này, và
requirements of this International Standard;
and
b) reporting on the performance of the b) báo cáo về việc thực hiện hệ thống quản lý an toàn
information security management system to thông tin cho lãnh đạo cao nhất.
top management.
NOTE: Top management may also assign Chú ý: Lãnh đạo cao nhất cũng có thể phân công các trách
responsibilities and authorities for reporting nhiệm và quyền hạn đối với việc báo cáo hoạt động của hệ
performance of the information security thống quản lý an toàn thông tin trong tổ chức.
management system within the organization.
6 Planning 6 Lập kế hoạch
6.1 Actions to address risks and opportunities 6.1 Hành động để giải quyết rủi ro và các cơ hội cải tiến
6.1.1 General 6.1.1 Khái quát
When planning for the information security Khi hoạch định hệ thống quản lý an toàn thông tin, tổ chức
management system, the organization shall consider phải quan tâm các vấn đề được đề cập trong 4.1 và các yêu
Ver.01 01/10/2013 6
the issues referred to in 4.1 and the requirements cầu nêu trong 4.2 và xác định những rủi ro và các cơ hội
referred to in 4.2 and determine the risks and cải tiến cần được giải quyết để:
opportunities that need to be addressed to:
a) ensure the information security management a) đảm bảo hệ thống quản lý an toàn thông tin có thể đạt
system can achieve its intended outcome(s); được (các) kết quả mong muốn;
b) prevent, or reduce, undesired effects; and b) ngăn chặn, hoặc giảm, các tác động không mong
muốn, và
c) achieve continual improvement. c ) được cải tiến liên tục.
The organization shall plan: Tổ chức phải lập kế hoạch:
d) actions to address these risks and d ) hành động để giải quyết các rủi ro và các cơ hội cải
opportunities, and tiến, và
e) how to e ) làm thế nào để
1) integrate and implement these actions 1 ) tích hợp và triển khai các hành động này vào
into its information security các quá trình hệ thống quản lý an toàn thông
management system processes; and tin của tổ chức, và
2) evaluate the effectiveness of these 2 ) đánh giá hiệu lực của các hành động này.
actions.
6.1.2 Information security risk assessment 6.1.2 Đánh giá rủi ro an toàn thông tin
The organization shall define and apply an Tổ chức phải xác định và áp dụng một quá trình đánh giá
information security risk assessment process that: rủi ro an toàn thông tin trong đó:
a) establishes and maintains information a) thiết lập và duy trì các tiêu chí rủi ro an toàn thông
security risk criteria, that include: tin, bao gồm:
1) the risk acceptance criteria; and 1) tiêu chí chấp nhận rủi ro; và
2) criteria for performing information 2) tiêu chí thực hiện các cuộc đánh giá rủi ro
security risk assessments; an toàn thông tin;
b) ensures that repeated information security b) đảm bảo rằng các cuộc đánh giá rủi ro an toàn thông
risk assessments produce consistent, valid tin lặp lại tạo ra kết quả nhất quán, có giá trị và so
and comparable results; sánh được;
c) identify the information security risks: c) xác định các rủi ro an toàn thông tin:
1) apply the information security risk 1) áp dụng quá trình đánh giá rủi ro an toàn
assessment process to identify risks thông tin để xác định các rủi ro liên quan
associated with the loss of tới sự mất mát của tính bảo mật, tính toàn
confidentiality, integrity and vẹn và tính sẵn sàng của thông tin trong
availability for information within phạm vi của hệ thống ISMS, và
the scope of the ISMS, and
2) identify the risk owners; 2) xác định các chủ sở hữu rủi ro;
d) analyse the information security risks: d) phân tích các rủi ro an toàn thông tin:
1) assess the potential consequences 1) đánh giá các hậu quả tiềm tàng sẽ xảy ra
Ver.01 01/10/2013 7
that would result if the risks nếu các rủi ro được xác định trong 6.1.2 c)
Chuyên gia Tư vấn Trưởng ISO/IEC 27001:Hoàng Quang Hải - 0936321399

identified in 6.1.2 c) 1) were to 1) trở thành hiện thực;
materialize;
2) assess the realistic likelihood of the 2) đánh giá khả năng thực tế sự xuất hiện của
occurrence of the risks identified in các rủi ro đã được xác định trong 6.1.2 c)
6.1.2 c) 1); and. 1); và
3) determine the levels of risk; 3) xác định các mức độ của rủi ro;
e) evaluate the information security risks: e) ước lượng rủi ro an toàn thông tin:
1) compare the rusults of risk analysis 1) so sánh các kết quả phân tích rủi ro với các tiêu
with the risk criteria established in chí rủi ro đã được thiết lập trong 6.1.2 a) và
6.1.2 a) and
2) prioritize the analysed for risk 2) phân tích mức độ ưu tiên cho việc xử lý rủi ro.
treatment.
The organization shall retain documented Tổ chức phải lưu giữ thông tin được lập văn bản về quá
information about the information security risk trình đánh giá rủi ro an toàn thông tin.
assessment process.
6.1.3 Information security risk treatment 6.1.3 Xử lý rủi ro an toàn thông tin
The organization shall difine and apply an Tổ chức phải xác định và áp dụng một quá trình xử lý rủi
information security risk treatment process to: ro an toàn thông tin để:
a) select appropriate information security a) lựa chọn các phương pháp xử lý rủi ro an toàn
risk treatment options, taking account thông tin thích hợp, có tính đến kết quả đánh
of the risk assessment results; giá rủi ro;
b) determine all controls that are necessary b) xác định tất cả các biện pháp quản lý cần thiết
to implement the information security để thực hiện (các) phương án xử lý rủi ro an
risk treatment option(s) chosen; toàn thông tin đã lựa chọn;
NOTE: Organizations can design controls Chú ý: Các tổ chức có thể thiết kế các biện pháp
as required, or identify them from any quản lý theo yêu cầu, hoặc xác định chúng từ bất
source. cứ nguồn nào.
c) compare the controls determined in 6.1.3 c) so sánh các biện pháp quản lý đã xác định trong
b) above with those in Annex A and 6.1.3 b) ở trên với những biện pháp quản lý
verify that no necessary controls have trong Phụ lục A và xác minh rằng không có
been omitted; biện pháp quản lý cần thiết nào bị bỏ qua;
NOTE 1: Annex A contains a Chú ý 1: Phụ lục A chứa một danh sách toàn diện
comprehensive list of control objectives and các mục tiêu quản lý và biện pháp quản lý. Người
controls. Users of this International sử dụng Tiêu chuẩn Quốc tế này được định hướng
Standard are directed to Annex A to ensure đến Phụ lục A để đảm bảo rằng không có biện
that no important control options are pháp quản lý quan trọng nào bị bỏ sót.
overlooked.
NOTE 2: Control objectives are implicitly Chú ý 2: Các mục tiêu quản lý được bao gồm mặc
Ver.01 01/10/2013 8
included in the controls chosen. The control nhiên có trong các biện pháp quản lý được lựa
objectives and controls listed in Annex A chọn. Các mục tiêu quản lý và biện pháp quản lý
are not exhaustive and additional control được liệt kê trong Phụ lục A là không đầy đủ hết
objectives and controls may also be needed. mọi khía cạnh và việc bổ sung thêm các mục tiêu
quản lý và biện pháp quản lý có thể là cần thiết.
d) produce a Statement of Applicability that
contains the necessary controls (see d) đưa ra một bản Tuyên bố áp dụng có chứa các
6.1.3 a), b) and c)) and justification for biện pháp quản lý cần thiết (xem 6.1.3 a), b)
inclusions, whether they are và c)) và bao gồm các giải thích, cho dù chúng
implemented or not, and the được triển khai hay không, và lý giải cho việc
justification for exclusions of controls loại trừ các biện pháp kiểm soát trong Phụ lục
in Annex A; A;
e) formulate an information security risk e) xây dựng một kế hoạch xử lý rủi ro an toàn
treatment plan; thông tin;
f) obtain risk owner’s approval of the f) đạt được sự chấp thuận của các chủ sở hữu rủi
information security risk treatment plan ro của kế hoạch xử lý rủi ro an toàn thông tin
and the acceptance of the residual và sự chấp nhận các rủi ro an toàn thông tin
information security risks. tồn động.
The organization shall retain documented Tổ chức phải có trách nhiệm lưu giữ thông tin được lập
information about the information security risk văn bản về quá trình xử lý rủi ro an toàn thông tin.
treatment process.
NOTE: The information security risk assessment Chú ý: Quá trình đánh giá và xử lý rủi ro an toàn thông tin
and treatment process in this International Standard trong tiêu chuẩn này gắn với các nguyên tắc và hướng dẫn
aligns with the principles and generic guidelines chung được cung cấp trong tiêu chuẩn ISO 31000.
provided in ISO 31000.
6.2 Information security objectives and plans to 6.2 Mục tiêu an toàn thông tin và lập kế hoạch để đạt
achieve them được mục tiêu
The organization shall establish information Tổ chức phải thiết lập các mục tiêu an toàn thông tin tại
security objectives at relevant functions and levels. các cấp và bộ phận chức năng có liên quan.
The information security objectives shall: Các mục tiêu an toàn thông tin phải:
a) be consistent with the information security a) nhất quán với chính sách an toàn thông tin;
policy;
b) be measurable (if practicable); b) có thể đo lường được (nếu có thể);
c) take into account applicable information c) xem xét các yêu cầu an toàn thông tin, và các kết
security requirements, and risk assessment quả đánh giá và xử lý rủi ro;
and treatment results;
d) be communicated, and d) được truyền đạt trong tổ chức, và
e) be updated as appropriate. e) được cập nhật thích hợp.
The organization shall retain documented Tổ chức phải lưu giữ thông tin được lập văn bản các mục
information on the information security objectives. tiêu an toàn thông tin.
Ver.01 01/10/2013 9
When planning how to achieve its information Khi lập kế hoạch để đạt được các mục tiêu an toàn thông
security objectives, the organization shall tin, tổ chức phải xác định:
determine:
f) what will be done; f) những gì sẽ được thực hiện;
g) what resources will be required; g) những nguồn lực sẽ được yêu cầu;
h) who will be responsible; h) người sẽ chịu trách nhiệm;
i) when it will be completed; and i) khi nào sẽ được hoàn thành, và
j) how the results will be evaluated. j) kết quả sẽ được đo lường như thế nào.
7 Support 7 Hỗ trợ
7.1 Resources 7.1 Nguồn lực
The organization shall determine and provide the Tổ chức phải xác định và cung cấp các nguồn lực cần thiết
resources needed for the establishment, cho việc thiết lập, triển khai, duy trì và cải tiến liên tục hệ
implementation, maintenance and continual thống quản lý an toàn thông tin.
improvement of the information security
management system.
7.2 Competence 7.2 Năng lực
The organization shall: Tổ chức phải:
a) determine the necessary competence of a) xác định năng lực cần thiết của (những) người
person(s) doing work under its control that đang làm công việc mà dưới sự quản lý của họ có
affects its information security ảnh hưởng đến hoạt động an toàn thông tin;
performance;
b) ensure that these persons are competent on b) đảm bảo rằng những người đó có đủ năng lực dựa
the basis of appropriate education, training, trên cơ sở được giáo dục, đào tạo, hoặc kinh
or experience; nghiệm;
c) where applicable, take actions to acquire the c) khi thích hợp, tiến hành các hành động để có được
necessary competence, and evaluate the các năng lực cần thiết, và đánh giá hiệu lực của
effectiveness of the actions taken; and các hành động đã thực hiện; và
d) retain appropriate documented information as d) lưu giữ thông tin được lập văn bản thích hợp như
evidence of competence. bằng chứng về năng lực.
NOTE: Applicable actions may include, for Chú ý: Áp dụng các hành động có thể bao gồm, ví dụ:
example: the provision of training to, the mentoring cung cấp các khóa đào tạo, các cố vấn, hoặc phân công lại
of, or the re-assignment of current employees; or vai trò của người lao động hiện hành; hoặc tuyển dụng
the hiring or contracting of competent persons. hoặc ký hợp đồng với người đủ năng lực.
7.3 Awareness 7.3 Nhận thức
Persons doing work under the organization’s control Người làm công việc dưới sự quản lý của tổ chức phải có
shall be aware of: nhận thức về:
a) the information security policy; a) chính sách an toàn thông tin;
Ver.01 01/10/2013 10
b) their contribution to the effectiveness of the b) việc đóng góp của họ vào hiệu lực của hệ thống
information security management system, quản lý an toàn thông tin, bao gồm cả các lợi ích
including the benefits of improved của sự cải tiến hoạt động thực hiện an toàn thông
information security performance; and tin; và
c) the implications of not conforming with the c) những hệ quả của việc không thực hiện phù hợp với
information security management system các yêu cầu của hệ thống quản lý an toàn thông
requirements. tin.
7.4 Communication 7.4 Trao đổi thông tin
The organization shall determine the need for Tổ chức phải xác định nhu cầu trao đổi thông tin nội bộ và
internal and external communications relevant to bên ngoài có liên quan đến hệ thống quản lý an toàn thông
the information security management system tin bao gồm:
including:
a) on what to communicate; a) trao đổi thông tin gì;
b) when to communicate; b) trao đổi thông tin khi nào;
c) with whom to communicate; c) trao đổi thông tin với ai;
d) who shall communicate; and d) ai phải tiến hành trao đổi thông tin; và
e) the processes by which communication shall e) các quá trình mà thông tin liên lạc được thực hiện.
be effected.
7.5 Documented information 7.5 Thông tin được lập văn bản
7.5.1 General 7.5.1 Khái quát
The organization’s information security Hệ thống quản lý an toàn thông tin của tổ chức phải bao
management system shall include: gồm:
a) documented information required by this a) thông tin được lập văn bản theo yêu cầu của tiêu
International Standard; and chuẩn này, và
b) documented information determined by the b) thông tin được lập văn bản được xác định bởi tổ
organization as being necessary for the chức như là sự cần thiết cho tính hiệu lực của hệ
effectiveness of the information security thống quản lý an toàn thông tin.
management system.
NOTE: The extent of documented information for Lưu ý: Mức độ thông tin được lập văn bản cho một hệ
an information security management system can thống quản lý an toàn thông tin có thể khác nhau giữa các
differ from one organization to another due to: tổ chức phụ thuộc vào:
1) the size of organization and its type of activities, 1) quy mô của tổ chức và loại hình hoạt động, quy trình,
processes, products and services; sản phẩm và dịch vụ của tổ chức;
2) the complexity of processes and their 2) sự phức tạp và sự tương tác của các quá trình; và
interactions; and
3) the competence of persons. 3) năng lực của con người.
7.5.2 Creating and updating 7.5.2 Khởi tạo và cập nhật
Ver.01 01/10/2013 11
When creating and updating documented Khi khởi tạo và cập nhật nội dung được tài liệu hóa tổ
information the organization shall ensure chức phải đảm bảo thích hợp:
appropriate:
a) identification and description (e.g. a title, a) định danh và mô tả (ví dụ như tiêu đề, ngày tháng,
date, author, or reference number); tác giả, hoặc mã số tài liệu);
b) format (e.g. language, software version, b) định dạng (ví dụ như ngôn ngữ, phiên bản phần
graphics) and media (e.g. paper, electronic); mềm, đồ họa) và phương tiện (ví dụ như giấy, điện
and tử); và
c) review and approval for suitability and c) xem xét và phê duyệt cho thích hợp và thỏa đáng.
adequacy.
7.5.3 Control of documented information 7.5.3 Quản lý văn bản
Documented information required by the Thông tin được lập văn bản theo yêu cầu của hệ thống
information security management system and by quản lý an toàn thông tin và tiêu chuẩn này phải được kiểm
this International Standard shall be controlled to soát để đảm bảo:
ensure:
a) it is available and suitable for use, where and a) sẵn có và phù hợp để sử dụng bất kỳ ở đâu và khi
when it is needed; and nào cần thiết; và
b) it is adequately protected (e.g. from loss of b) được bảo vệ đầy đủ (ví dụ bảo vệ khỏi mất tính bảo
confidentiality, improper use, or loss of mật, sử dụng không đúng cách, hoặc mất tính toàn
integrity). vẹn).
For the control of documented information, the Đối với việc kiểm soát thông tin được lập văn bản, tổ chức
organization shall address the following activities, phải quan tâm đến các hoạt động sau đây, có thể áp dụng:
as applicable:
c) distribution, access, retrieval and use; c) phân phối, truy cập, thu hồi và sử dụng;
d) storage and preservation, including the d) lưu trữ và bảo quản, bao gồm cả việc duy trì tính rõ
preservation of legibility; ràng;
e) control of changes (e.g. version control); and e) kiểm soát các thay đổi (ví dụ như kiểm soát phiên
bản); và
f) retention and disposition.
f) duy trì và hủy bỏ.
Documented information of external origin,
determined by the organization to be necessary for Thông tin lập văn bản có nguồn gốc bên ngoài mà tổ chức
the planning and operation of the information xác định là cần thiết cho việc hoạch định và vận hành hệ
security management system, shall be identified as thống quản lý an toàn thông tin, phải được nhận biết thích
appropriate, and controlled. hợp, và được kiểm soát.
NOTE: Access implies a decision regarding the Chú ý: Thuật ngữ Truy cập bao hàm ý nghĩa một quyết
permission to view the documented information định liên quan đến việc cho phép chỉ xem thông tin được
only, or the permission and authority to view and lập văn bản, hoặc sự cho phép và thẩm quyền để xem và
change the documented information, etc. thay đổi thông tin được lập văn bản, vv
Ver.01 01/10/2013 12
8 Operation 8 Vận hành
8.1 Operational planning and control 8.1 Lập kế hoạch và kiểm soát hoạt động
The organization shall plan, implement and control Tổ chức phải lập kế hoạch, thực hiện và kiểm soát các quy
the processes needed to meet information security trình cần thiết để đáp ứng yêu cầu an toàn thông tin, và
requirements, and to implement the actions triển khai các hoạt động đã xác định trong 6.1. Tổ chức
determined in 6.1. The organization shall also cũng phải triển khai kế hoạch để đạt được các mục tiêu an
implement plans to achieve information security toàn thông tin đã xác định trong 6.2.
objectives determined in 6.2.
The organization shall keep documented Tổ chức phải lưu giữ thông tin được lập văn bản trong
information to the extent necessary to have phạm vi cần thiết để đảm bảo tin cậy rằng các quá trình đã
confidence that the processes have been carried out được tiến hành theo kế hoạch.
as planned.
The organization shall control planned changes and Tổ chức phải kiểm soát các thay đổi kế hoạch và xem xét
review the consequences of unintended changes, các hậu quả của sự thay đổi ngoài ý muốn, có hành động
taking action to mitigate any adverse effects, as để giảm thiểu bất kỳ tác dụng phụ nào, khi cần thiết.
necessary.
The organization shall ensure that outsourced Tổ chức phải đảm bảo rằng các quá trình gia công được
processes are determined and controlled. xác định và kiểm soát.
8.2 Information security risk assessment 8.2 Đánh giá rủi ro an toàn thông tin
The organization shall perform information security Tổ chức phải thực hiện đánh giá rủi ro an toàn thông tin
risk assessments at planned intervals or when trong khoảng thời gian theo kế hoạch hoặc khi có những
significant changes are proposed or occur, taking thay đổi quan trọng theo dự kiến hoặc đã xảy ra, có tính
account of the criteria established in 6.1.2 a). đến các tiêu chí thiết lập trong 6.1.2 a).
The organization shall retain documented Tổ chức có trách nhiệm lưu giữ thông tin được lập văn bản
information of the results of the information các kết quả của đánh giá rủi ro an toàn thông tin.
security risk assessments.
8.3 Information security risk treatment 8.3 Xử lý rủi ro an toàn thông tin
The organization shall implement the information Tổ chức phải triển khai kế hoạch xử lý rủi ro an toàn thông
security risk treatment plan. tin.
The organization shall retain documented Tổ chức phải lưu giữ thông tin được lập văn bản các kết
information of the results of the information quả của các quá trình xử lý rủi ro an toàn thông tin.
security risk treatment.
9 Performance evaluation 9 Đánh giá hiệu quả
9.1 Monitoring, measurement, analysis and 9.1 Giám sát, đo lường, phân tích và đánh giá
evaluation
The organization shall evaluate the information Tổ chức phải đánh giá sự thực thi và tính hiệu lực của hệ
security performance and the effectiveness of the thống quản lý an toàn thông tin.
information security management system.
Ver.01 01/10/2013 13
The organization shall determine: Tổ chức phải xác định:
a) what needs to be monitored and measured, a) những gì cần phải được giám sát và đo lường, bao
including information security processes gồm các quá trình và các biện pháp quản lý an
and controls; toàn thông tin;
b) the methods for monitoring, measurement, b) các phương pháp giám sát, đo lường, phân tích và
analysis and evaluation, as applicable, to đánh giá, nếu có, để đảm bảo kết quả hợp lệ;
ensure valid results;
NOTE: The methods selected should Chú ý: Các phương pháp được lựa chọn cần tạo ra kết
produce comparable and reproducible quả có thể so sánh được và có thể tái sử dụng,
results to be considered valid. được coi là hợp lệ.
c) when the monitoring and measuring shall be c) khi nào hoạt động giám sát và đo lường được thực
performed; hiện;
d) who shall monitor and measure; d) ai phải thực hiện giám sát và đo lường;
e) when the results from monitoring and e) khi nào các kết quả từ giám sát và đo lường được
measurement shall be analyzed and phân tích và đánh giá; và
evaluated; and
f) who shall analyse and evaluate these results. f) ai phải phân tích và đánh giá các kết quả này.
The organization shall retain appropriate Tổ chức phải lưu giữ thông tin được lập văn bản thích hợp
documented information as evidence of the như bằng chứng về các kết quả giám sát và đo lường.
monitoring and measurement results.
9.2 Internal audit 9.2 Đánh giá nội bộ
The organization shall conduct internal audits at Tổ chức phải tiến hành các hoạt động đánh giá nội bộ định
planned intervals to provide information on whether kỳ theo kế hoạch để cung cấp thông tin xem hệ thống
the ISMS: ISMS có:
a) conform to 1) the organization’s own a) phù hợp với 1) yêu cầu của chính tổ chức về hệ
requirements for its information security thống quản lý an toàn thông tin của mình, và 2)
management system; and 2) the với các yêu cầu của Tiêu chuẩn Quốc tế này.
requirements of this International Standard;
b) are effectively implemented and maintained b) được thực hiện và duy trì có hiệu lực.
The organization shall: Tổ chức phải:
c) plan, establish, implement and maintain an c) lập kế hoạch, thiết lập, triển khai và duy trì một
audit programme(s), including the chương trình đánh giá, bao gồm tần suất, phương
frequency, methods, responsibilities, pháp, trách nhiệm, yêu cầu lập kế hoạch và báo
planning requirements and reporting. The cáo. Chương trình đánh giá tính đến tầm quan
audit programme(s) shall take into trọng của các quá trình có liên quan và kết quả các
consideration the importance of the cuộc đánh giá trước đó;
processes concerned and the results of
previous audits;
d) define the audit criteria and scope for each d) xác định các tiêu chí đánh giá và phạm vi cho từng
Ver.01 01/10/2013 14
audit; cuộc đánh giá;
e) select auditors and conduct audits to ensure e) lựa chọn đánh giá viên và thực hiện việc đánh giá
objectivity and the impartiality of the audit đảm bảo tính khách quan và công bằng của quá
process; trình đánh giá;
f) ensure that the results of the audits are f) đảm bảo rằng các kết quả của cuộc đánh giá được
reported to relevant management; and báo cáo đến các cấp quản lý có liên quan; và
g) retain documented information as evidence g) lưu giữ thông tin được lập văn bản như bằng chứng
of the audit programme(s) and the audit về chương trình đánh giá và kết quả đánh giá.
results.
9.3 Management review 9.3 Xem xét của lãnh đạo
Top Management shall review the organization’s Lãnh đạo cao nhất phải xem xét định kỳ theo kế hoạch hệ
ISMS at planned intervals to ensure itscontinuing thống ISMS của tổ chức để đảm bảo nó luôn phù hợp,
suitability, adequacy and effectiveness. thoả đáng và có hiệu lực.
The management review shall include consideration Việc xem xét của lãnh đạo phải bao gồm sự xem xét:
of:
a) the status of actions from previous a) tình trạng của các hành động từ lần xem xét lãnh
management reviews; đạo trước đó;
b) changes in external and internal issues that b) các thay đổi trong các vấn đề bên ngoài và nội bộ
are relevant to the information security có liên quan đến hệ thống quản lý an toàn thông
management system; tin;
c) feedback on the information security c) phản hồi về việc thực hiện an toàn thông tin, bao
performance, including trends in: gồm:
1) nonconformities and corrective 1) các sự không phù hợp và các hành động
actions; khắc phục;
2) monitoring and measurement results; 2) các kết quả giám sát và đo lường;
3) audit results; and 3) các kết quả đánh giá; và
4) fulfilment of information security 4) sự đáp ứng các mục tiêu an toàn thông tin;
objectives;
d) feedback from interested parties; d) thông tin phản hồi từ các bên quan tâm;
e) results of risk assessment and status of risk e) kết quả đánh giá rủi ro và tình trạng của kế hoạch
treatment plan; and xử lý rủi ro; và
f) opportunities for continual improvement. f) các cơ hội cải tiến liên tục.
The output of the management review shall include Đầu ra của xem xét của lãnh đạo phải bao gồm những
decisions related to continual improvement quyết định liên quan đến các cơ hội cải tiến liên tục và
opportunities and any needs for changes to the bất cứ nhu cầu cần thiết nào cho các thay đổi đối với hệ
information security management system. thống quản lý an toàn thông tin.
The organization shall retain documented Tổ chức phải lưu giữ thông tin được lập văn bản như
Ver.01 01/10/2013 15
information as evidence of the results of bằng chứng về kết quả của các cuộc xem xét của lãnh
management reviews. đạo.
10 Improvement 10 Cải tiến

10.1 Nonconformity and corrective action 10.1 Sự không phù hợp và hành động khắc phục
When a nonconformity occurs, the organization Khi xảy ra sự không phù hợp, tổ chức phải:
shall:
a) react to the nonconformity, and as applicable: a) phản ứng với sự không phù hợp, và có thể áp dụng:
1) take action to control and correct it; 1) có hành động để kiểm soát và sửa chữa nó;
and và
2) deal with the consequences; 2) giải quyết các hậu quả;

b) evaluate the need for action to eliminate the b) đánh giá sự cần thiết phải hành động để loại bỏ
causes of nonconformity, in order that it nguyên nhân của sự không phù hợp, để nó không tái
does not recur or occur elsewhere, by: xuất hiện hay xảy ra ở những nơi khác, bằng cách:
1) reviewing the nonconformity; 1) xem xét sự không phù hợp;
2) determining the causes of the 2) xác định nguyên nhân của sự không phù
nonconformity; and hợp; và
3) determining if similar 3) xác định nếu có sự không phù hợp tương tự

nonconformities exist, or could tồn tại, hoặc có khả năng có thể xảy ra;
potentially occur;
c) implement any action needed; c) thực hiện bất kỳ hành động cần thiết nào;
d) review the effectiveness of any corrective d) xem xét hiệu lực của bất kỳ hành động khắc phục đã
action taken; and thực hiện; và
e) make changes to the information security e) thay đổi hệ thống quản lý an toàn thông tin, nếu cần
management system, if necessary. thiết.
Corrective actions shall be appropriate to the effects Hành động khắc phục phải phù hợp với ảnh hưởng của sự
of the nonconformities encountered. không phù hợp gặp phải.
The organization shall retain documented Tổ chức phải lưu giữ thông tin được lập văn bản như bằng
information as evidence of: chứng về:
f) the nature of the nonconformities and any f) bản chất của sự không phù hợp và bất kỳ hành động
subsequent actions taken, and tiếp theo nào được thực hiện, và
g) the results of any corrective action. g) kết quả của các hành động khắc phục.
10.2 Continual improvement 10.2 Cải tiến thường xuyên
The organization shall continually improve the Tổ chức phải thường xuyên nâng cao tính thích hợp, đầy
suitability, adequacy and effectiveness of the ISMS. đủ và hiệu lực của hệ thống ISMS.
Ver.01 01/10/2013 16
Annex A Phụ lục A
(normative) (quy định)
Reference Control objectives and controls Các Mục tiêu quản lý và các biện pháp quản lý tham khảo
The control objectives and controls listed in Table Các mục tiêu quản lý và biện pháp quản lý được liệt kê trong
A.1 are directly derived from and aligned with those bảng A.1 bắt nguồn trực tiếp và có liên kết với các mục từ
listed in ISO/IEC 27002:2013 Clauses 5 to 18 and mục 5 đến 18 được liệt kê trong ISO/IEC27002:2013 và sẽ
are to be used in context with Clause 6.1.3. được sử dụng trong bối cảnh của điều khoản 6.1.3.
Table A.1 – Control objectives and controls
Bảng A.1- Các mục tiêu quản lý và các biện pháp quản lý
A.5 Information Security policys - Chính sách an toàn thông tin
A.5.1 Management direction for Information security - Định hướng quản lý an toàn thông tin
Objective: To provide management direction and support for information security in accordance with business
requirements and relevant laws and regulations.
Mục tiêu: Nhằm cung cấp định hướng quản lý và hỗ trợ bảo đảm an toàn thông tin thảo mãn với các yêu cầu
trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định phải tuân thủ.
A.5.1.1 Policies for Control - Biện pháp quản lý

Information security
A set of policies for information security policy shall be defined, approved
by management, and published and communicated to employees and
relevant external parties.
Chính sách an toàn Một tập hợp các chính sách an toàn thông tin phải được xác định, phê
thông tin duyệt bởi lãnh đạo, và được công bố và truyền đạt tới nhân viên cũng như
các bên bên ngoài có liên quan.
A.5.1.2 Review of the policies Control - Biện pháp quản lý

for information
The policies for information security shall be reviewed at planned intervals
security
or if significant changes occur to ensure there continuing suitability,
adequacy, and effectiveness.
Các chính sách an toàn thông tin phải thường xuyên được xem xét lại theo
Xem xét chính sách an kế hoạch hoặc khi có những thay đổi lớn xuất hiện để chúng luôn phù hợp,
toàn thông tin. đầy đủ và thực sự có hiệu lực.
A.6 Organization of information security - Tổ chức đảm bảo an toàn thông tin
A.6.1 Internal organization - Tổ chức nội bộ
Objective: To establish a management framework to initiate and control the implementation and operation of
information security within the organization.
Mục tiêu: Nhằm thiết lập một nền tảng quản lý để khởi tạo và kiểm soát việc triển khai và điều hành an toàn
Ver.01 01/10/2013 17
thông tin trong tổ chức.
A.6.1.1 Information security Control - Biện pháp quản lý

roles and
All information security responsibilities shall be defined and allocated.
responsibilities
Tất cả các trách nhiệm an toàn thông tin phải được xác định và phân bổ.
Vai trò và trách nhiệm
an toàn thông tin
A.6.1.2 Segregation of duties Control - Biện pháp quản lý
Conflicting duties and areas of responsibility shall be segregated to reduce

opportunities for unauthorized or unintentional modification or misuse of
the organization’s assets.
Phân tách nhiệm vụ Các nhiệm vụ và phạm vi trách nhiệm đối lập phải được phân tách nhằm
giảm thiểu khả năng sửa đổi bất hợp lệ hoặc không mong muốn hay lạm
dụng các tài sản của tổ chức.
A.6.1.3 Contact with Control - Biện pháp quản lý

authorities
Appropriate contacts with relevant authorities shall be maintained.
Phải duy trì liên lạc thoả đáng với các cơ quan có thẩm quyền liên quan.
Liên lạc với những cơ
quan/tổ chức có thẩm
quyền
A.6.1.4 Contact with special Control - Biện pháp quản lý

interest groups
Appropriate contacts with special interest groups or other specialist
security forums and professional associations shall be maintained.
Liên lạc với các nhóm Duy trì thích hợp việc tiếp xúc / liên lạc với các nhóm chuyên gia hoặc các
chuyên gia diễn đàn và hiệp hội an toàn thông tin.
A.6.1.5 Information security in Control - Biện pháp quản lý

project management
Information security shall be addressed in project management, regardless
of the type of the project.
An toàn thông tin trong An toàn thông tin phải được giải quyết trong quản lý dự án, bất kể loại
quản lý dự án hình thức nào.
A.6.2 Mobile devices and teleworking – Thiết bị di động và làm việc từ xa
Objective: To ensure the security of teleworking and use of mobile devices.
Mục tiêu: Nhằm đảm bảo an toàn làm việc từ xa và sử dụng các thiết bị di động.
A.6.2.1 Mobile device policy Control - Biện pháp quản lý
A policy and supporting security measures shall be adopted to protect against
Ver.01 01/10/2013 18
the risks introduced by using mobile devices.

Chính sách thiết bị di
Một chính sách và các biện pháp hỗ trợ đo lường cần để chống lại các rủi ro
động
phát sinh khi sử dụng các thiết bị di động.
A.6.2.2 Teleworking Control - Biện pháp quản lý
A policy and supporting security measures shall be implemented to protect

information accessed, processed or stored on teleworking sites.
Làm việc từ xa Một chính sách và các biện pháp hỗ trợ đo lường cần triển khai để bảo vệ các
thông tin được truy cập, xử lý hoặc lưu trữ trên các trang làm việc từ xa.
A.7 Human resource security – Đảm bảo an toàn tài nguyên con người
A.7.1 Prior to employment – Trước khi tuyển dụng
Objective: To ensure that employees and contractors understand their responsibilities and are suitable for the roles
for which they are considered.
Mục tiêu: Nhằm đảm bảo nhân viên và các nhà thầu hiểu rõ trách nhiệm của mình và phù hợp với vai trò được
giao.
A.7.1.1 Screening Control - Biện pháp quản lý
Background verification checks on all candidates for employment shall be

carried out in accordance with relevant laws, regulations and ethics and
proportional to the business requirements, the classification of the information
to be accessed and the perceived risks.
Thẩm tra Việc xác minh lai lịch của mọi ứng viên tuyển dụng, người của nhà thầu và
bên thứ ba phải được thực hiện phù hợp với pháp luật, qui định và đạo đức và
phù hợp với các yêu cầu của công việc, phân loại thông tin được truy cập và
các rủi ro có thể nhận thấy được.
A.7.1.2 Terms and conditions Control - Biện pháp quản lý

of employment
The contractual agreements with employees and contractors shall state their
and the organization’s responsibilities for information security.
Các điều khoản và Các thỏa thuận hợp đồng với nhân viên và nhà thầu phải thông báo trách
điều kiện tuyển dụng nhiệm của của họ và trách nhiệm của tổ chức về an toàn thông tin.
A.7.2 During employment – Trong thời gian làm việc
Objective: To ensure that employees and external party users are aware of and fulfil their information security
responsibilities.
Mục tiêu: Đảm bảo rằng các nhân viên và người của các bên bên ngoài được đào tạo về nhận thức và hiểu rõ các
trách nhiệm về đảm bảo an toàn thông tin của họ.
A.7.2.1 Management Control - Biện pháp quản lý

responsibilities
Management shall require all employees and contractors to apply information
Ver.01 01/10/2013 19
security in accordance with established policies and procedures of the

organization.
Trách nhiệm lãnh Lãnh đạo cần phải yêu cầu tất cả nhân viên và người của các nhà thầu chấp
đạo hành an toàn thông tin phù hợp với các các thủ tục và các chính sách an toàn
thông tin đã được thiết lập của tổ chức.

awareness, education
All employees of the organization and, where relevant, contractors shall
and training
receive appropriate awareness education and training and regular updates in
organizational policies and procedures, as relevant for their job function.
Nhận thức, giáo dục Tất cả các nhân viên trong tổ chức, và bất kỳ nơi liên quan nào, người của
và đào tạo về an toàn nhà thầu cần phải được đào tạo nhận thức và cập nhật thường xuyên những
thông tin thủ tục, chính sách đảm bảo an toàn thông tin của tổ chức như một phần công
việc bắt buộc.
A.7.2.3 Disciplinary process Control - Biện pháp quản lý
There shall be a formal and communicated disciplinary process in place to

take action against employees who have committed an information security
breach.
Xử lý kỷ luật Phải có một quá trình xử lý kỷ luật chính thức và được truyền đạt trong tổ
chức để xử lý đối với các nhân viên vi phạm về an toàn thông tin.
A.7.3 Termination and change of employment – Chấm dứt hoặc thay đổi công việc
Objective: To protect the organization’s interests as part of the process of changing or terminating employment.
Mục tiêu: Nhằm bảo vệ các lợi ích của tổ chức như một phần của quá trình thay đổi hoặc chấm dứt công việc.
A.7.3.1 Termination or Control - Biện pháp quản lý

change of
Information security responsibilities and duties that remain valid after
employment
termination or change of employment shall be defined, communicated to the
responsibilities
employee or contractor and enforced.
Các trách nhiệm Các trách nhiệm và nghĩa vụ đảm bảo an toàn thông tin vẫn còn hiệu lực sau
chấm dứt hoặc thay khi nhân viên kết thúc hoặc thay đổi công việc phải được xác định, thông báo
đổi công việc cho các nhân viên hoặc nhà thầu, và những điều đó phải được thi hành.
A.8 Asset management – Quản lý tài sản
A.8.1 Responsibility for assets – Trách nhiệm đối với tài sản
Objective: To identify organizational assets and define appropriate protection responsibilities.
Mục tiêu: Xác định các tài sản của tổ chức và các trách nhiệm bảo vệ thích hợp.
A.8.1.1 Inventory of assets Control - Biện pháp quản lý
Ver.01 01/10/2013 20
Assets associated with information and information processing

acilities shall be identified and an inventory of these assets shall
be drawn up and maintained.
Kiểm kê tài sản Tài sản liên quan đến thông tin và thiết bị xử lý thông tin phải được xác định
và cần thực hiện, duy trì việc kiểm kê các tài sản đó.
A.8.1.2 Ownership of assets Control - Biện pháp quản lý

Assets maintained in the inventory shall be owned.
Quyền sở hữu tài sản Các tài sản được duy trì trong bảng kiểm kê phải có chủ sở hữu.
A.8.1.3 Acceptable use of Control - Biện pháp quản lý

assets Rules for the acceptable use of information and of assets associated
with information and information processing facilities shall be
identified, documented and implemented.
Sử dụng hợp lý tài Các quy tắc cho việc sử dụng hợp lý thông tin và tài sản gắn với thông tin và
sản phương tiện xử lý thông tin phải được xác định, ghi thành văn bản và triển
khai.
A.8.1.4 Return of assets Control - Biện pháp quản lý

All employees and external party users shall return all of the
organizational assets in their possession upon termination of their
employment, contract or agreement.
Bàn giao tài sản Tất cả nhân viên và người của các bên bên ngoài phải trả lại tất cả các tài
sản của tổ chức mà họ quản lý khi kết thúc hợp đồng hoặc thuyên chuyển công
tác khác theo các điều khoản đã thống nhất.
A.8.2 Information classification – Phân loại thông tin
Objective: To ensure that information receives an appropriate level of protection in accordance with its importance
to the organization.
Mục tiêu: Nhằm đảm bảo thông tin được bảo vệ ở một mức độ thích hợp với tầm quan trọng của nó đối với tổ
chức.
A.8.2.1 Classification of Control - Biện pháp quản lý

information
Information shall be classified in terms of legal requirements,
value, criticality and sensitivity to unauthorised disclosure or modification.
Phân loại thông tin Thông tin phải được phân loại dựa trên các yêu cầu pháp lý, giá trị, mức độ
quan trọng và sự nhạy cảm với vấn đề tiết lộ trái phép hoặc sửa đổi.
A.8.2.2 Labeling of Control - Biện pháp quản lý

information
An appropriate set of procedures for information labelling shall be
developed and implemented in accordance with the information
classification scheme adopted by the organization.
Ver.01 01/10/2013 21
Gắn nhãn thông tin Các thủ tục cần thiết cho việc gắn nhãn thông tin cần được phát triển và triển
khai phù hợp với lược đồ phân loại thông tin đã được chấp nhận của tổ chức.
A.8.2.3 Handling of assets Control - Biện pháp quản lý
Procedures for handling assets shall be developed and implemented in accorda

nce with the information classification scheme adopted by the organization
Quản lý tài sản Các thủ tục cần thiết cho việc quản lý tài sản cần được phát triển và triển khai
phù hợp với lược đồ phân loại thông tin đã được chấp nhận của tổ chức.
A.8.3 Media handling – Quản lý phương tiện
Objective: To prevent unauthorized disclosure, modification, removal or destruction of information stored on

media.
Mục tiêu: Nhằm ngăn ngừa tiết lộ trái phép, sửa đổi, loại bỏ hoặc phá hủy các thông tin được lưu trữ trên các
phương tiện media.
A.8.3.1 Management of Control - Biện pháp quản lý

removable media
Procedures shall be implemented for the management of removable media in
accordance with the classification scheme adopted by the organization.
Quản lý phương tiện Các thủ tục cần được triển khai cho việc quản lý các phương tiện có thể di dời
có thể di dời phù hợp với lược đồ phân loại đã được chấp nhận của tổ chức.
A.8.3.2 Disposal of media Control - Biện pháp quản lý
Media shall be disposed of securely when no longer required, using formal

procedures.
Loại bỏ phương tiện Các phương tiện cần được loại bỏ một cách an toàn và bảo mật khi không còn
cần thiết theo các thủ tục xử lý chính thức.
A.8.3.3 Physical media Control - Biện pháp quản lý

transfer
Media containing information shall be protected against unauthorized access,
misuse or corruption during transportation.
Vận chuyển phương Phương tiện chứa thông tin cần được bảo vệ khỏi sự truy cập trái phép, sự
tiện vật lý lạm dụng hoặc làm sai lệch trong suốt quá trình vận chuyển.
A.9 Access control – Quản lý truy cập
A.9.1 Business requirements of access control – Các yêu cầu nghiệp vụ cho quản lý truy cập
Objective: To limit access to information and information processing facilities.
Mục tiêu: Nhằm hạn chế truy cập đến thông tin và các phương triện xử lý thông tin.
A.9.1.1 Access control policy Control - Biện pháp quản lý
An access control policy shall be established, documented and reviewed based
Ver.01 01/10/2013 22
on business and information security requirements.

Chính sách quản lý
Chính sách quản lý truy cập cần được thiết lập, ghi thành văn bản và soát xét
truy cập
dựa trên các yêu cầu bảo mật thông tin và nghiệp vụ cho các truy cập.
A.9.1.2 Access to networks Control - Biện pháp quản lý

and network services
Users shall only be provided with access to the network and network services
that they have been specifically authorized to use.
Truy cập đến các Người sử dụng chỉ được cung cấp quyền truy cập đến mạng và các dịch vụ
mạng và các dịch vụ mạng đã được cấp phép cụ thể cho phép sử dụng.
mạng
A.9.2 User access management – Quản lý truy cập người dùng
Objective: To ensure authorized user access and to prevent unauthorized access to systems and services.
Mục tiêu: Nhằm đảm bảo người dùng hợp lệ được truy cập và ngăn chặn những người dùng không hợp lệ truy cập
trái phép đến các hệ thống thông tin và dịch vụ.
A.9.2.1 User registration and Control - Biện pháp quản lý

de-registration
A formal user registration and de-registration process shall be implemented to
enable assignment of access rights.
Đăng ký thành viên Một quy trình đăng ký thành viên chính thức và hủy đăng ký thành viên cần
và hủy quyền truy được triển khai để gán các quyền truy cập hợp lệ.
cập
A.9.2.2 User access Control - Biện pháp quản lý

provisioning A formal user access provisioning process shall be implemented to
assign or revoke access rights for all user types to all systems and services.
Cấp phát quyền truy Một quy trình cấp phát quyền truy cập người dùng chính thức cần được triển
cập người dùng khai để gán hoặc hủy bỏ quyền truy cập cho tất cả các loại tài khoản người
dùng của tất cả các hệ thống và dịch vụ.

privileged access
The allocation and use of privileged access rights shall be restricted and
rights
controlled.
Quản lý quyền truy
Việc cấp phát và sử dụng các đặc quyền truy cập cần được giới hạn và kiểm
cập đặc quyền
soát.

secret authentication
The allocation of secret authentication information shall be controlled through
information of users
a formal management process.
Quản lý các thông tin
Việc cấp phát thông tin xác thực bí mật phải được quản lý thông qua một quá
xác thực bí mật của
trình quản lý chính thức.
Ver.01 01/10/2013 23
người dùng
A.9.2.5 Review of user Control - Biện pháp quản lý

access right
Asset owners shall review users’ access rights at regular intervals.
Soát xét các quyền
Chủ tài sản cần soát xét định kỳ quyền truy cập người dùng.
truy cập người dùng
A.9.2.6 Removal or Control - Biện pháp quản lý

adjustment of access
The access rights of all employees and external party users to information and
rights
information processing facilities shall be removed upon termination of their
employment, contract or agreement, or adjusted upon change.
Hủy bỏ hoặc điều Quyền truy cập của tất cả nhân viên và người của các bên quan tâm đến
chỉnh quyền truy cập thông tin và các thiết bị xử lý thông tin cần được hủy hỏ khi họ kết thúc hợp
đồng hoặc thỏa thuận, hoặc khi thuyên chuyển vị trí.
A.9.3 User responsibilities – Trách nhiệm của người dùng
Objective: To make users accountable for safeguarding their authentication information.
Mục tiêu: Làm cho người dùng có trách nhiệm đảm bảo an toàn các thông tin xác thực của họ.
A.9.3.1 Use of secret Control - Biện pháp quản lý

authentication
Users shall be required to follow the organization’s security practices in the
information
use of secret authentication information.
Sử dụng các thông Người dùng cần được yêu cầu tuân thủ các biện pháp đảm bảo an toàn của tổ
tin xác thực bí mật chức đối với việc sử dụng các thông tin xác thực bí mật.
A.9.4 System and application access control – Quản lý truy cập hệ thống và ứng dụng
Objective: To prevent unauthorized access to systems and applications.
Mục tiêu: Nhằm ngăn chặn truy cập trái phép vào các hệ thống và các ứng dụng.
A.9.4.1 Information access Control - Biện pháp quản lý

restriction
Access to information and application system functions shall be restricted in
accordance with the access control policy.
Hạn chế truy cập Truy cập đến thông tin và các chức năng hệ thống ứng dụng cần phải hạn chế
thông tin phù hợp với chính sách quản lý truy cập.
A.9.4.2 Secure log-on Control - Biện pháp quản lý

procedures
Where required by the access control policy, access to systems and
applications shall be controlled by a secure log-on procedure.
Các thủ tục đăng Theo yêu cầu của chính sách quản lý truy cập, truy cập đến các hệ thống và
nhập an toàn các ứng dụng cần được quản lý bởi một thủ tục đăng nhập an toàn.
Ver.01 01/10/2013 24
A.9.4.3 Password Control - Biện pháp quản lý

management system
Passwords management systems shall be interactive and shall ensure quality
passwords.
Hệ thống quản lý mật
Hệ thống quản lý mật khẩu phải có khả năng tương tác và phải đảm bảo chất
khẩu
lượng của các mật khẩu.
A.9.4.4 Use of privileged Control - Biện pháp quản lý

utility programs
The use of utility programs that might be capable of overriding system and
application controls shall be restricted and tightly controlled.
Sử dụng các chương Việc sử dụng các chương trình tiện ích có khả năng ảnh hưởng đến hệ thống
trình tiện ích đặc và các ứng dụng điều khiển phải được hạn chế và kiểm soát chặt chẽ.
quyền
A.9.4.5 Access control to Control - Biện pháp quản lý

program source code
Access to program source code shall be restricted.
Quản lý truy cập đến
Truy cập tới mã nguồn chương trình cần phải hạn chế.
các mã nguồn
chương trình
A.10 Cryptography – Mã hóa
A.10.1 Cryptographic controls – Quản lý mã hóa
Objective: To ensure proper and effective use of cryptography to protect the confidentiality, authenticity or
integrity of information.
Mục tiêu: Nhằm đảm bảo sử dụng hợp lý và hiệu quả các biện pháp mã hóa để bảo vệ tính bảo mật, xác thực hoặc
tính toàn vẹn của thông tin.
A.10.1.1 Policy on the use of Control - Biện pháp quản lý

cryptographic
A policy on the use of cryptographic controls for protection of information
controls
shall be developed and implemented.
Chính sách sử dụng
Một chính sách về việc sử dụng các biện pháp quản lý mã hóa để bảo vệ thông
các biện pháp quản
tin phải được phát triển và triển khai thực hiện.
lý mã hóa
A.10.1.2 Key management Control - Biện pháp quản lý
A policy on the use, protection and lifetime of cryptographic keys shall be

developed and implemented through their whole lifecycle.
Quản lý khóa Một chính sách sử dụng, bảo vệ và vòng đời của khóa mã hóa phải được phát
triển và triển khai thực hiện suốt vòng đời của nó.
A.11 Physical and environmental security – Đảm bảo an toàn vật lý và môi trường
Ver.01 01/10/2013 25
A.11.1 Secure areas – Các khu vực an toàn
Objective: To prevent unauthorized physical access, damage and interference to the organization’s information and
information processing facilities.
Mục tiêu: Nhằm ngăn chặn các truy cập vật lý trái phép, làm thiệt hại và can thiệp vào các thông tin của tổ chức
và các thiết bị xử lý thông tin.
A.11.1.1 Physical security Control - Biện pháp quản lý

perimeter
Security perimeters shall be defined and used to protect areas that contain
either sensitive or or critical information and information processing facilities.
Các vành đai an toàn phải được xác định và sử dụng để bảo vệ các khu vực có
Vành đai an toàn vật chứa các thông tin nhạy cảm hoặc các thông tin và thiết bị xử lý thông tin
lý trọng yếu của tổ chức.
A.11.1.2 Physical entry Control - Biện pháp quản lý

controls
Secure areas shall be protected by appropriate entry controls to ensure that
only authorized personnel are allowed access.
Kiểm soát cổng truy Các khu vực an toàn cần được bảo vệ bởi các biện pháp kiểm soát truy cập
cập vật lý thích hợp nhằm đảm bảo chỉ những người được cấp phép mới được chấp nhận
truy cập.
A.11.1.3 Securing office, Control - Biện pháp quản lý

room and facilities
Physical security for offices, rooms and facilities shall be designed and
applied.
An toàn văn phòng,

phòng làm việc và An toàn vật lý cho các văn phòng, các phòng làm việc và các vật dụng phải
vật dụng được thiết kế và áp dụng.
A.11.1.4 Protecting against Control - Biện pháp quản lý

external end
Physical protection against natural disasters, malicious attack or accidents
environmental threats
shall be designed and applied.
Bảo vệ chống lại các
Biện pháp bảo vệ vật lý chống lại các hiểm họa thiên nhiên, các cuộc tấn công
mỗi đe dọa từ bên
hoặc các tai nạn cần được thiết kế và áp dụng.
ngoài và từ môi
trường
A.11.1.5 Working in secure Control - Biện pháp quản lý

areas
Physical protection and guidelines for working in secure areas shall be
designed and applied.
Làm việc trong khu Biện pháp bảo vệ vật lý và các hướng dẫn làm việc trong khu vực an toàn cần
vực an toàn được thiết kế và áp dụng.
Ver.01 01/10/2013 26
A.11.1.6 Delivery and loading Control - Biện pháp quản lý

areas
Access points such as delivery and loading areas and other points where
unauthorized persons may enter the premises shall be controlled and, if
possible, isolated from information processing facilities to avoid unauthorized
access.
Các khu vực phân
Các điểm truy cập công cộng mà việc truy nhập không cần cấp phép như khu
phối và chuyển hàng
vực các phân phối và chuyển hàng và các khu vực công cộng khác cần được
quản lý và, nếu có thể, được cách ly khỏi các phương tiện xử lý thông tin để
tránh tình trạng truy nhập trái phép.
A.11.2 Equipment – An toàn thiết bị
Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization’s
operations.
Mục tiêu: Nhằm ngăn chặn sự mất mát, phá hỏng, trộm cắp hoặc làm tổn hại tài sản và gián đoạn các hoạt động
của tổ chức.
A.11.2.1 Equipment siting and

Control - Biện pháp quản lý
protection
Equipment shall be sited and protected to reduce the risks from environmental
threats and hazards, and opportunities for unauthorized access.
Bố trí và bảo vệ thiết Các thiết bị phải được bố trí và bảo vệ thích hợp để giảm thiểu rủi ro từ các
bị mối đe dọa môi trường và các mối nguy, các cơ hội cho việc truy cập trái
phép.
A.11.2.2 Supporting utilities
Equipment shall be protected from power failures and other disruptions caused
Các tiện ích hỗ trợ by failures in supporting utilities.
Các thiết bị phải được bảo vệ khỏi các sự cố về nguốn điện cũng như các sự
gián đoạn gây ra bởi sự hư hỏng của các tiện ích hỗ trợ.
A.11.2.3 Cabling security
Power and telecommunications cabling carrying data or supporting
information services shall be protected from interception, interference or
An toàn dây cáp damage.
Dây cáp điện và cáp viễn thông mang dữ liệu hoặc các dịch vụ hỗ trợ thông
tin phải được bảo vệ khỏi sự gián đoạn, nhiễu hay hư hỏng.
A.11.2.4 Equipment
maintenance
Equipment shall be correctly maintained to ensure its continued availability
Bảo trì thiết bị and integrity.
Các thiết bị phải được duy trì một cách đúng đắn để đảm bảo luôn sẵn sàng
và toàn vẹn.
A.11.2.5 Removal of assets
Equipment, information or software shall not be taken off-site without prior
Di chuyển tài sản authorization.
Các thiết bị, thông tin hoặc phần mềm không được phép mang ra ngoài khu
Ver.01 01/10/2013 27
vực văn phòng khi không có sự cho phép từ trước.

A.11.2.6 Security of
equipment and assets
off-premises Security shall be applied to off-site assets taking into account the different
An toàn thiết bị và tài risks of working outside the organization’s premises.
sản hoạt động ngoài Phải đảm bảo an toàn cho các tài sản hoạt động ngoài khu vực của tổ chức,
tòa nhà chú ý đến các rủi ro khác nhau khi làm việc ngoài khu vực của tổ chức.
A.11.2.7 Secure disposal or
reuse of equipment
All items of equipment containing storage media shall be verified to ensure
that any sensitive data and licensed software has been removed or securely
An toàn khi loại bỏ overwritten prior to disposal or re-use.
và tái sử dụng thiết Tất cả các bộ phận của thiết bị có chứa phương tiện lưu trữ thông tin phải
bị được kiểm tra để đảm bảo rằng bất kỳ dữ liệu nhạy cảm và phần mềm được
cấp phép nào đều đã được gỡ bỏ hoặc ghi đè an toàn trước khi loại bỏ hoặc
tái sử dụng.
A.11.2.8 Unattended user
equipment
Thiết bị sử dụng Users shall ensure that unattended equipment has appropriate protection.
không cần giám sát Người sử dụng phải đảm bảo rằng thiết bị không được chăm sóc có sự bảo vệ
thích hợp.
A.11.2.9 Clear desk and clear
screen policy
A clear desk policy for papers and removable storage media and a clear screen
Chính sách bàn sạch policy for information processing facilities shall be adopted.
và màn hình sạch Chính sách bàn sạch không có giấy tờ và các phương tiện lưu trữ di động, và
chính sách màn hình sạch cho các phương tiện xử lý thông tin phải được thực
hiện.
A.12 Operations security – An toàn vận hành
A.12.1 Operational procedures and responsibilities – Các thủ tục và trách nhiệm vận hành
Objective: To ensure correct and secure operations of information processing facilities.
Mục tiêu: Nhằm đảm bảo vận hành chính xác và an toàn các phương tiện xử lý thông tin.
A.12.1.1 Documented Control - Biện pháp quản lý

operating procedures
Operating procedures shall be documented and made available to all users
who need them.
Các thủ tục vận hành Các thủ tục vận hành phải được lập thành văn bản và duy trì sẵn sàng đối với
được ghi thành văn mọi người dùng cần dùng đến.
bản
A.12.1.2 Change management Control - Biện pháp quản lý
Changes to the organisation, business processes, information processing

facilities and systems shall be controlled.
Quản lý thay đổi Các thay đổi với tổ chức, quá trình kinh doanh, các phương tiện và hệ thống
Ver.01 01/10/2013 28
xử lý thông tin phải được kiểm soát.
A.12.1.3 Capacity Control - Biện pháp quản lý

management
The use of resources shall be monitored, tuned and projections made of future
capacity requirements to ensure the required system performance.
Quản lý năng lực Việc sử dụng các tài nguyên phải được giám sát, điều chỉnh và có lập kế
hoạch về các nhu cầu năng lực trong tương lai để đảm bảo hiệu suất cần thiết
của hệ thống.
A.12.1.4 Separation of Control - Biện pháp quản lý

development, testing
Development, testing, and operational environments shall be separated to
and operational
reduce the risks of unauthorized access or changes to the operational
environments
environment.
Phân tách môi Các môi trường phát triển, kiểm thử và điều hành phải được phân tách để
trường phát triển, giảm thiểu các rủi ro của việc truy cập trái phép hoặc các thay đổi trái phép
kiểm thử và điều đến môi trường điều hành.
hành
A.12.2 Protection from malware – Bảo vệ khỏi phần mềm độc hại
Objective: To ensure that information and information processing facilities are protected against malware.
Mục tiêu: Nhằm đảm bảo các thông tin và phương tiện xử lý thông tin được bảo vệ khỏi các mã độc hại.
A.12.2.1 Controls against Control - Biện pháp quản lý

malware
Detection, prevention and recovery controls to protect against malware shall
be implemented, combined with appropriate user awareness.
Các biện pháp quản Các biện pháp quản lý trong việc phát hiện, ngăn chặn và phục hồi nhằm bảo
lý chống lại mã độc vệ chống lại các mã độc hại phải được triển khai, kết hợp với việc tuyên
hại truyền nâng cao nhận thức của người dùng một các thích đáng.
A.12.3 Backup – Sao lưu
Objective: To protect against loss of data.
Mục tiêu: Nhằm bảo vệ chống lại việc mất mát dữ liệu.
A.12.3.1 Information backup Control - Biện pháp quản lý
Backup copies of information, software and system images shall be taken and
tested regularly in accordance with the agreed backup policy.
Sao lưu thông tin Các bản sao lưu thông tin, phần mềm và các bản sao hệ thống phải được bảo
vệ và kiểm tra thường xuyên phù hợp với một chính sách sao lưu đã được
chấp nhận.
Ver.01 01/10/2013 29
A.12.4 Logging and monitoring – Ghi nhật ký và giám sát
Objective: To record events and generate evidence.
Mục tiêu: Nhằm ghi lại các sự kiện và các bằng chứng phát hiện.
A.12.4.1 Event logging Control - Biện pháp quản lý
Event logs recording user activities, exceptions, faults and information

security events shall be produced, kept and regularly reviewed.
Ghi nhật ký sự kiện Các nhật ký sự kiện ghi lại các hoạt động của người dùng, các lỗi ngoại lệ,
các sai lỗi và các sự kiện an toàn thông tin phải được thực hiện, giữ gìn và
xem xét đều đặn.
A.12.4.2 Protection of log Control - Biện pháp quản lý

information
Logging facilities and log information shall be protected against tampering
and unauthorized access.
Bảo vệ thông tin nhật Các phương tiện ghi nhật ký giám sát và các thông tin nhật ký phải được bảo
ký vệ chống lại sự giả mạo và truy cập trái phép.
A.12.4.3 Administrator and Control - Biện pháp quản lý

operator logs
System administrator and system operator activities shall be logged, protected
and regularly reviewed.
Nhật ký người điều Các hoạt động của người điều hành và người quản trị hệ thống phải được ghi
hành và người quản lại, bảo vệ và xem xét thường xuyên.
trị
A.12.4.4 Clock synchronisaton Control - Biện pháp quản lý
The clocks of all relevant information processing systems within an

organization or security domain shall be synchronized to single reference time
source.
Đồng bộ thời gian Các đồng hồ của tất cả các hệ thống xử lý thông tin liên quan trong tổ chức
hoặc trong một phạm vi an toàn phải được đồng bộ với một nguồn thời gian
chính xác.
A.12.5 Control of operational software – Quản lý phần mềm điều hành
Objective: To ensure the integrity of operational systems.
Mục tiêu: Nhằm đảm bảo tính toàn vẹn của các hệ thống điều hành.
A.12.5.1 Installation of Control - Biện pháp quản lý

software on
Procedures shall be implemented to control the installation of software on
operational systems
operational systems.
Cài đặt phần mềm Các thủ tục phải được triển khai để quản lý việc cài đặt các phần mềm lên các
Ver.01 01/10/2013 30
lên các hệ điều hành hệ điều hành.
A.12.6 Technical vulnerability management – Quản lý điểm yếu kỹ thuật
Objective: To prevent exploitation of technical vulnerabilities.
Mục tiêu: Nhằm ngăn chặn việc khai thác các điểm yếu kỹ thuật.

technical
Information about technical vulnerabilities of information systems being used
vulnerabilities
shall be obtained in a timely fashion, the organization's exposure to such
vulnerabilities evaluated and appropriate measures taken to address the
associated risk.
Quản lý các điểm yếu Thông tin về các điểm yếu kỹ thuật của các hệ thống thông tin đang được sử
kỹ thuật dụng phải được thu thập kịp thời, các điểm yếu tổ chức gặp phải cần được
đánh giá và có các biện pháp thích hợp để giải quyết các rủi ro liên quan.
A.12.6.2 Restrictions on Control - Biện pháp quản lý

software installation
Rules governing the installation of software by users shall be established and
implemented.
Hạn chế cài đặt phần Các quy định quản trị việc cài đặt phần mềm bởi người dùng phải được thiết
mềm lập và triển khai.
A.12.7 Information systems audit considerations – Xem xét việc đánh giá các hệ thống thông tin
Objective: To minimize the impact of audit activities on operational systems.
Mục tiêu: Nhằm giảm thiểu tác động của các hoạt động đánh giá đối với việc vận hành các hệ thống.
A.12.7.1 Information systems Control - Biện pháp quản lý

audit controls
Audit requirements and activities involving verification of operational systems
shall be carefully planned and agreed to minimize disruptions to business
processes.
Các biện pháp quản Các yêu cầu và các hoạt động liên quan đến việc kiểm tra các hệ thống điều
lý việc đánh giá các hành phải được hoạch định thận trọng và thống nhất để hạn chế tối thiểu sự
hệ thống thông tin gián đoạn các quá trình kinh doanh.
A.13 Communications security – An toàn truyền thông
A.13.1 Network security management – Quản lý an toàn mạng
Objective: To ensure the protection of information in networks and its supporting information processing facilities.
Mục tiêu: Nhằm đảm bảo việc bảo vệ thông tin trên mạng và các thiết bị xử lý thông tin hỗ trợ chúng.
A.13.1.1 Network controls Control - Biện pháp quản lý
Networks shall be managed and controlled to protect information in systems
Ver.01 01/10/2013 31
and applications.
Quản lý mạng
Các mạng phải được quản lý và kiểm soát để bảo vệ thông tin trong các hệ
thống và trong các ứng dụng.
A.13.1.2 Security of network Control - Biện pháp quản lý

services
Security mechanisms, service levels and management requirements of all
network services shall be identified and included in network services
agreements, whether these services are provided in-house or outsourced.
An toàn các dịch vụ Các cơ chế an toàn, các mức độ dịch vụ và các yêu cầu quản lý của tất cả các
mạng dịch vụ mạng phải được xác định và ghi rõ trong các thỏa thuận về dịch vụ
mạng, bất kể các dịch vụ đó là do nội bộ cấp hay thuê khoán.
A.13.1.3 Segregation in Control - Biện pháp quản lý

networks
Groups of information services, users and information systems shall be
segregated on networks.
Phân tách các mạng Các nhóm dịch vụ, người dùng và các hệ thống thông tin phải được phân tách
trên mạng.
A.13.2 Information transfer – Luân chuyển thông tin
Objective: To maintain the security of information transferred within an organization and with any external entity.
Mục tiêu: Nhằm duy trì sự an toàn của thông tin luân chuyển trong tổ chức và với bên ngoài.
A.13.2.1 Information transfer Control - Biện pháp quản lý

policies and
Formal transfer policies, procedures and controls shall be in place to protect
procedures
the transfer of information through the use of all types of communication
facilities.
Các chính sách và Các chính sách, thủ tục và các biện pháp quản lý luân chuyển chính thức phải
thủ tục luân chuyển sẵn có để bảo vệ việc luân chuyển thông tin thông qua việc sử dụng của tất cả
thông tin các loại hình phương tiện truyền thông.
A.13.2.2 Agreements on Control - Biện pháp quản lý

information transfer
Agreements shall address the secure transfer of business information between
the organization and external parties.
Thỏa thuận luân Các thỏa thuận phải giải quyết các vấn đề luân chuyển an toàn thông tin kinh
chuyển thông tin doanh giữa tổ chức và các bên bên ngoài.
A.13.2.3 Electronic messaging Control - Biện pháp quản lý
Information involved in electronic messaging shall be appropriately protected.
Thông điệp điện tử Thông tin bao hàm trong các thông điệp điện tử phải được bảo vệ một các
thỏa đáng.
Ver.01 01/10/2013 32
A.13.2.4 Confidentiality or Control - Biện pháp quản lý

non-disclosure
Requirements for confidentiality or non-disclosure agreements reflecting the
agreements
organization’s needs for the protection of information shall be identified,
regularly reviewed and documented.
Thỏa thuận bảo mật Các yêu cầu cho thỏa thuận bảo mật và không tiết lộ thông tin phản ảnh nhu
và không tiết lộ thông cầu của tổ chức đối với việc bảo vệ thông tin phải được xác định, định kỳ soát
tin xét và được văn bản hóa.
A.14 System acquisition, development and maintenance – Tiếp nhận, phát triển và duy trì các hệ thống
thông tin
A.14.1 Security requirements of information systems – Các yêu cầu an toàn của các hệ thống thông tin
Objective: To ensure that security is an integral part of information systems across the entire lifecycle. This
includes in particular specific security requirement for information systems which provide services over public
networks.
Mục tiêu: Nhằm đảm bảo rằng an toàn là một phần không thể thiếu của các hệ thống thông tin trong suốt vòng đời
của nó. Điều này bao gồm các yêu cầu cụ thể về an toàn đối với các hệ thống thông tin cung cấp các dịch vụ qua
các mạng công cộng.
A.14.1.1 Security Control - Biện pháp quản lý

requirements analysis
The requirements for information security controls shall be included in the
and specification
statements of business and technical requirements for new information
systems or enhancements to existing information systems, taking into account
all relevant criteria such as the entire lifecycle or whether the application is
available over public networks.
Phân tích và đặc tả Các yêu cầu về kiểm soát an toàn thông tin phải được bao gồm trong các
các yêu cầu an toàn thông báo về yêu cầu nghiệp vụ và kỹ thuật cho các hệ thống thông tin mới,
hoặc các hệ thống thông tin có sẵn được cải tiến, có tính đến tất cả các tiêu
chí liên quan như vòng đời hay các ứng dụng có sẵn trên các mạng công
cộng.
A.14.1.2 Securing applications Control - Biện pháp quản lý

services on public
Information involved in application services passing over public networks
networks
shall be protected from fraudulent activity, contract dispute and unauthorized
disclosure and modification.
An toàn các dịch vụ Thông tin bao gồm trong các dịch vụ ứng dụng được truyền qua các mạng
ứng dụng trên các công cộng phải được bảo vệ khỏi các hoạt động gian lận, các tranh cãi về
mạng công cộng giao kèo và sự tiết lộ, sửa đổi trái phép.
A.14.1.3 Protecting Control - Biện pháp quản lý

application services
Information involved in application service transactions shall be protected to
transactions
prevent incomplete transmission, mis-routing, unauthorized message
Ver.01 01/10/2013 33
alteration, unauthorized disclosure, unauthorized message duplication or

replay.
Thông tin bao gồm trong các dịch vụ ứng dụng giao dịch phải được bảo vệ để
Bảo vệ các dịch vụ ngăn chặn khỏi việc truyền không đầy đủ, sai địa chỉ, bị sửa đổi thông điệp
ứng dụng giao dịch trái phép, bị tiết lộ hoặc nhân bản thông điệp một cách trái phép.
A.14.2 Security in development and support processes – An toàn trong phát triển và hỗ trợ các quá trình
Objective: To ensure that information security is designed and implemented within the development lifecycle of
information systems.
Mục tiêu: Nhằm đảm bảo rằng an toàn thông tin được thiết kế và triển khai trong suốt vòng đời phát triển của các
hệ thống thông tin.
A.14.2.1 Secure development Control - Biện pháp quản lý

policy
Rules for the development of software and systems shall be established and
applied to developments within the organization.
Chính sách phát triển Các quy tắc cho việc phát triển phần mềm và các hệ thống phải được thiết lập
an toàn và áp dụng cho hoạt động phát triển trong tổ chức.
A.14.2.2 Change control Control - Biện pháp quản lý

procedures
The implementation of changes shall be controlled by the use of formal
change control procedures.
Các thủ tục quản lý Việc triển khai các thay đổi phải được kiểm soát bằng việc sử dụng các thủ tục
thay đổi quản lý thay đổi chính thức.
A.14.2.3 Technical review of Control - Biện pháp quản lý

applications after
When operating platforms are changed, business critical applications shall be
operating platform
reviewed and tested to ensure there is no adverse impact on organizational
changes
operations or security.
Soát xét kỹ thuật các Khi các nền tảng điều hành bị thay đổi, các ứng dụng nghiệp vụ trọng yếu
ứng dụng sau khi phải được soát xét và kiểm tra lại nhằm đảm bảo không xảy ra các ảnh hưởng
thay đổi nền tảng bất lợi tới các hoạt động cũng như an toàn của tổ chức.
điều hành
A.14.2.4 Restrictions on Control - Biện pháp quản lý

changes to software
Modifications to software packages shall be discouraged, limited to necessary
packages
changes and all changes shall be strictly controlled.
Hạn chế thay đổi các
Việc sửa đổi các gói phần mềm là không được khuyến khích, cần hạn chế và
gói phần mềm
chỉ thực hiện đối với các thay đổi rất cần thiết, tất cả các thay đổi phải được
quản lý chặt chẽ.
A.14.2.5 Secure system Control - Biện pháp quản lý
Ver.01 01/10/2013 34
engineering Principles for engineering secure systems shall be established, documented,

principles maintained and applied to any information system implementation efforts.
Các nguyên tắc cho an toàn kỹ thuật các hệ thống phải được thiết lập, văn bản
Các nguyên tắc an
hóa, duy trì và áp dụng với bất kỳ hệ thống thông tin nào được phát triển,
toàn kỹ thuật hệ
triển khai.
thống
A.14.2.6 Secure development Control - Biện pháp quản lý

environment
Organizations shall establish and appropriately protect secure development
environment for system development and integration efforts that covers the
entire system development lifecycle.
Tổ chức phải thiết lập và bảo vệ thích đáng môi trường phát triển an toàn cho
An toàn môi trường
việc phát triển và tích hợp các hệ thống, bao gồm cả vòng đời phát triển hệ
phát triển
thống.
A.14.2.7 Outsourced Control - Biện pháp quản lý

development
The organization shall supervise and monitor the activity of outsourced system
development.
Phát triển thuê khoán Tổ chức phải quản lý và giám sát hoạt động thuê khoán phát triển hệ thống.
A.14.2.8 System security Control - Biện pháp quản lý

testing
Tests of the security functionality shall be carried out during development.
Kiểm thử an toàn hệ
Kiểm thử các chức năng an toàn phải được thực hiện trong suốt quá trình
thống
phát triển.
A.14.2.9 System acceptance Control - Biện pháp quản lý

testing
Acceptance testing programs and related criteria shall be established for new
information systems, upgrades and new versions.
Kiểm thử chấp nhận Các chương trình kiểm thử và các tiêu chí liên quan về chấp nhận hệ thống
hệ thống phải được khởi tạo cho các hệ thống thông tin mới, nâng cấp phiên bản hoặc
sử dụng phiên bản mới.
A.14.3 Test data – Dữ liệu kiểm thử
Objective: To ensure the protection of data used for testing.
Mục tiêu: Nhằm đảm bảo bảo vệ các dữ liệu đã sử dụng cho kiểm thử.
A.14.3.1 Protection of test Control - Biện pháp quản lý

data
Test data shall be selected carefully, protected and controlled.
Dữ liệu kiểm thử phải được lựa chọn, bảo vệ và kiểm soát một cách thận
Bảo vệ dữ liệu kiểm trọng.
thử
Ver.01 01/10/2013 35
A.15 Supplier relationships - Các mối quan hệ với nhà cung ứng
A.15.1 Security in supplier relationships – An toàn trong quan hệ với các nhà cung ứng
Objective: To ensure protection of the organization’s information that is accessible by suppliers.
Mục tiêu: Nhằm đảm bảo bảo vệ các thông tin của tổ chức có thể truy cập bởi các nhà cung ứng.

policy for supplier
Information security requirements for mitigating the risks associated with
relationships
supplier access to organization’s information or information processing
facilities shall be documented.
Chính sách an toàn Các yêu cầu an toàn thông tin để giảm thiểu các rủi ro liên quan đến các truy
thông tin cho các mối cập của nhà cung ứng đến thông tin hoặc các phương tiện xử lý thông tin của
quan hệ với nhà cung tổ chức phải được văn bản hóa.
ứng
A.15.1.2 Addressing security Control - Biện pháp quản lý

within supplier
All relevant information security requirements shall be established and agreed
agreements
with each supplier that may have access to, process, store, communicate or
provide IT infrastructure components for the organization’s information.
Giải quyết an toàn Tất cả các yêu cầu liên quan đến an toàn thông tin phải được thiết lập và
trong các thỏa thuận đồng ý với mỗi nhà cung ứng có thể có quyền truy cập, xử lý, lưu trữ, truyền
với nhà cung ứng tải thông tin của tổ chức, hoặc cung cấp các thành phần cơ sở hạ tầng công
nghệ thông tin cho tổ chức.
A.15.1.3 Information and Control - Biện pháp quản lý

communication
Agreements with suppliers shall include requirements to address the
technology supply
information security risks associated with Information and Communications
chain
Technology services and product supply chain.
Chuỗi cung ứng công
Các thỏa thuận với các nhà cung ứng phải bao gồm các yêu cầu để giải quyết
nghệ thông tin và
các rủi ro an toàn thông tin liên quan đến chuỗi cung ứng các dịch vụ và sản
truyền thông
phẩm công nghệ thông tin và truyền thông.
A.15.2 Supplier service delivery management – Quản lý chuyển giao dịch vụ cho nhà cung ứng
Objective: To maintain an agreed level of information security and service delivery in line with supplier
agreements.
Mục tiêu: Nhằm duy trì và thống nhất mức độ an toàn thông tin và việc chuyển giao dịch vụ phù hợp với thỏa
thuận chuyển giao dịch vụ với nhà cung ứng.
A.15.2.1 Monitoring and Control - Biện pháp quản lý

review of supplier
Organizations shall regularly monitor, review and audit supplier service
Ver.01 01/10/2013 36
services delivery.
Giám sát và soát xét Tổ chức phải thường xuyên giám sát, soát xét và đánh giá dịch vụ chuyển giao
các dịch vụ của nhà cho nhà cung ứng.
cung ứng
A.15.2.2 Managing changes to Control - Biện pháp quản lý

supplier services
Changes to the provision of services by suppliers, including maintaining and
improving existing information security policies, procedures and controls,
shall be managed, taking account of the criticality of business information,
systems and processes involved and re-assessment of risks.
Quản lý các thay đổi Các thay đổi về cung cấp các các dịch vụ của các nhà cung ứng, bao gồm việc
đối với các dịch vụ duy trì và cải tiến các chính sách, thủ tục và biện pháp quản lý an toàn thông
của bên cung ứng tin hiện hành, phải được quản lý, chú ý đến mức độ rủi ro của thông tin, hệ
thống và quá trình nghiệp vụ liên quan cũng như việc đánh giá lại các rủi ro.
A.16 Information security incident management - Quản lý sự cố an toàn thông tin
A.16.1 Management of information security incidents and improvements – Quản lý các sự cố và sự cải tiến
an toàn thông tin
Objective: To ensure a consistent and effective approach to the management of information security incidents,
including communication on security events and weaknesses.
Mục tiêu: Nhằm đảm bảo cách tiếp cận phù hợp và hiệu quả để quản lý các sự cố an toàn thông tin, bao gồm cả
thông tin liên lạc về các sự kiện và điểm yếu an toàn thông tin.
A.16.1.1 Responsibilities and Control - Biện pháp quản lý

procedures
Management responsibilities and procedures shall be established to ensure a
quick, effective and orderly response to information security incidents.
Các trách nhiệm và Các trách nhiệm và thủ tục quản lý phải được thiết lập để đảm bảo sự phản
thủ tục ứng nhanh chóng, hiệu quả và đúng trình tự với các sự cố an toàn thông tin.
A.16.1.2 Reporting Control - Biện pháp quản lý

information security
Information security events shall be reported through appropriate management
events
channels as quickly as possible.
Báo cáo các sự kiện
Các sự kiện an toàn thông tin phải được báo cáo thông qua các kênh quản lý
an toàn thông tin
thích hợp theo cách nhanh nhất có thể.
A.16.1.3 Reporting Control - Biện pháp quản lý

Employees and external parties using the organisation’s information systems
weaknesses
and services shall be required to note and report any observed or suspected
information security weaknesses in systems or services.
Báo cáo các điểm Mọi nhân viên và các bên bên ngoài sử dụng các dịch vụ và các hệ thống
Ver.01 01/10/2013 37
yếu về an toàn thông thông tin của tổ chức phải được yêu cầu ghi lại và báo cáo bất kỳ điểm yếu an
tin toàn thông tin nào quan sát được hoặc nghi ngờ thấy trong các hệ thống hoặc
các dịch vụ.
A.16.1.4 Assessment and Control - Biện pháp quản lý

decision of
Information security events shall be assessed and decided if they shall be
classified as information security incidents.
events
Các sự kiện an toàn thông tin phải được đánh giá và quyết định nếu chúng
Đánh giá và quyết
được phân loại như là các sự cố an toàn thông tin.
định xử lý các sự kiện
an toàn thông tin
A.16.1.5 Response to Control - Biện pháp quản lý

Information security incidents shall be responded to in accordance with the
incidents
documented procedures.
Ứng phó đối với các
Các sự cố an toàn thông tin phải được ứng phó theo đúng với các thủ tục đã
sự cố an toàn thông
được văn bản hóa.
tin
A.16.1.6 Learning from Control - Biện pháp quản lý

Knowledge gained from analyzing and resolving information security
incidents
incidents shall be used to reduce the likelihood or impact of future incidents.
Rút bài học kinh
Kiến thức thu được từ việc phân tích và giải quyết các sự cố an toàn thông tin
nghiệm từ các sự cố
phải được sử dụng để làm giảm khả năng xảy ra hoặc tác động của các sự cố
an toàn thông tin
trong tương lai.
A.16.1.7 Collection of Control - Biện pháp quản lý

evidence
The organization shall define and apply procedures for the identification,
collection, acquisition and preservation of information, which can serve as
evidence.
Thu thập chứng cớ
Tổ chức phải xác định và áp dụng các thủ tục cho việc nhận biết, thu thập,
tiếp nhận và bảo quản các thông tin, có thể phục vụ như là các bằng chứng.
A.17 Information security aspects of business continuity management – Các khía cạnh an toàn thông tin
trong quản lý kinh doanh liên tục
A.17.1 Information security continuity – Sự liên tục an toàn thông tin
Objective: Information security continuity shall be embedded in organization’s business continuity management
systems.
Mục tiêu: Sự liên tục an toàn thông tin phải được nhúng vào trong hệ thống quản lý kinh doanh liên tục của tổ
chức.
Ver.01 01/10/2013 38
A.17.1.1 Planning information Control - Biện pháp quản lý

security continuity
The organization shall determine its requirements for information security and
continuity of information security management in adverse situations, e.g.
during a crisis or disaster.
Tổ chức phải định rõ các yêu cầu của tổ chức về an toàn thông tin và tính liên
Lập kế hoạch liên tục
tục của quản lý an toàn thông tin trong các tình huấn bất lợi, ví dụ như trong
an toàn thông tin
một cuộc khủng hoảng hoặc thiên tai.
A.17.1.2 Implementing Control - Biện pháp quản lý

The organization shall establish, document, implement and maintain
continuity
processes, procedures and controls to guarantee the required level of
continuity for information security during an adverse situation.
Triển khai liên tục an Tổ chức phải thiết lập, văn bản hóa, triển khai và duy trì các quá trình, các
toàn thông tin thủ tục và các biện pháp quản lý để đảm bảo mức độ yêu cầu về liên tục cho
an toàn thông tin trong tình huấn bất lợi.
A.17.1.3 Verify, review and Control - Biện pháp quản lý

evaluate information
The organization shall verify the established and implemented information
security continuity
security continuity controls at regular intervals in order to ensure that they are
valid and effective during adverse situations.
Kiểm tra, soát xét và Tổ chức phải kiểm tra việc thiết lập và triển khai các biện pháp quản lý đảm
đánh giá sự liên tục bảo liên tục an toàn thông tin trong các khoản thời gian thường xuyên để đảm
an toàn thông tin bảo rằng chúng hợp lý và có hiệu quả suốt các tình huấn bất lợi.
A.17.2 Redundancies – Mức độ dự phòng
Objective: To ensure availability of information processing facilities.
Mục tiêu: Nhằm đảm bảo tính sẵn sàng của các phương tiện xử lý thông tin.
A.17.2.1 Availability of Control - Biện pháp quản lý

information
Information processing facilities shall be implemented with redundancy
processing facilities
sufficient to meet availability requirements.
Sẵn sàng các phương
Các phương tiện xử lý thông tin phải được triển khai với một mức độ dự
tiện xử lý thông tin
phòng phù hợp để đáp ứng các yêu cầu sẵn sàng.
A.18 Compliance – Sự tuân thủ
A.18.1 Compliance with legal and contractual requirements – Sự tuân thủ các yêu cầu luật định và hợp
đồng
Objective: To avoid breaches of legal, statutory, regulatory or contractual obligations related to information
security and of any security requirements.
Mục tiêu: Nhằm tránh sự vi phạm nghĩa vụ pháp lý, luật, quy định hoặc nghĩa vụ hợp đồng liên quan đến an toàn
Ver.01 01/10/2013 39
thông tin hoặc bất kỳ yếu cầu an toàn nào.
A.18.1.1 Identification of Control - Biện pháp quản lý

applicable legislation
All relevant statutory, regulatory, contractual requirements and the
and contractual
organization’s approach to meet these requirements shall be explicitly
requirements
identified, documented and kept up to date for each information system and
the organization.
Xác định các yêu cầu Tất cả các yêu cầu về pháp lý, quy định, nghĩa vụ hợp đồng có liên quan và
hợp đồng và luật cách tiếp cận của tổ chức để thỏa mãn các yêu cầu này phải được xác định rõ
định đang áp dụng ràng, văn bản hóa và được cập nhật thường xuyên cho mỗi hệ thống thông tin
và cho tổ chức.
A.18.1.2 Intellectual property Control - Biện pháp quản lý

rights
Appropriate procedures shall be implemented to ensure compliance with
legislative, regulatory and contractual requirements on the use of material in
respect of which there may be intellectual property rights and on the use of
proprietary software products.
Các thủ tục thích hợp phải được triển khai để đảm bảo tuân thủ các yêu cầu
Quyền sở hữu trí tuệ luật định, quy định và nghĩa vụ hợp đồng về việc sử dụng các tài liệu có thể có
quyền sở hữu trí tuệ và việc sử dụng các sản phẩm phần mềm độc quyền.
A.18.1.3 Protection of records Control - Biện pháp quản lý
Records shall be protected from loss, destruction, falsification, unauthorized

access and unauthorized release, in accordance with statutory, regulatory,
contractual and business requirements.
Bảo vệ hồ sơ Các hồ sơ phải được bảo vệ khỏi sự mất mát, phá hủy, giả mạo, truy cập và
phát hành trái phép, phù hợp với luật định, quy định, nghĩa vụ hợp đồng và
các yêu cầu kinh doanh.
A.18.1.4 Privacy and Control - Biện pháp quản lý

protection of
Privacy and protection of personally identifiable information shall be ensured
personally
as required in relevant legislation and regulations where applicable.
identifiable
information
Sự riêng tư và bảo vệ Sự riêng tư và bảo vệ thông tin cá nhân phải được bảo đảm theo quy định tại
thông tin cá nhân pháp luật và các quy định có liên quan, nếu có.
A.18.1.5 Regulation of Control - Biện pháp quản lý

cryptographic
Cryptographic controls shall be used in compliance with all relevant
controls
agreements, laws and regulations.
Quy định về quản lý
Quản lý mã hóa phải được áp dụng phù hợp với tất cả các thỏa thuận, luật và
mã hóa
Ver.01 01/10/2013 40
các quy định liên quan.
A.18.2 Information security reviews – Soát xét về an toàn thông tin
Objective: To ensure that information security is implemented and operated in accordance with the organisational
policies and procedures.
Mục tiêu: Nhằm đảm bảo rằng an toàn thông tin được triển khai và vận hành theo đúng với các chính sách và thủ
tục của tổ chức.
A.18.2.1 Independent review Control - Biện pháp quản lý

of information
The organization’s approach to managing information security and its
security
implementation (i.e. control objectives, controls, policies, processes and
procedures for information security) shall be reviewed independently at
planned intervals or when significant changes to the security implementation
occur.
Soát xét độc lập về Cách tiếp cận của tổ chức để quản lý an toàn thông tin và thực hiện nó (tức là
an toàn thông tin các mục tiêu quản lý, các biện pháp quản lý, các chính sách, quy trình, thủ tục
về an toàn thông tin) phải được xem xét một cách độc lập trong khoảng thời
gian đã định sẵn hoặc khi có những thay đổi đáng kể về thực hiện an toàn
thông tin xảy ra.
A.18.2.2 Compliance with Control - Biện pháp quản lý

security policies and
Managers shall regularly review the compliance of information processing and
standards
procedures within their area of responsibility with the appropriate security
policies, standards and any other security requirements.
Sự tuân thủ các chính Người quản lý phải thường xuyên soát xét sự tuân thủ các thủ tục và quá trình
sách, tiêu chuẩn an xử lý thông tin trong phạm vi trách nhiệm của mình với các chính sách, tiêu
toàn chuẩn an toàn hoặc các yêu cầu an toàn khác.
A.18.2.3 Technical Control - Biện pháp quản lý

compliance review
Information systems shall be regularly inspected for compliance with the
organisation’s information security policies and standards.
Soát xét sự tuân thủ Các hệ thống thông tin phải được kiểm tra thường xuyên về sự tuân thủ các
về kỹ thuật chính sách và tiêu chuẩn an toàn thông tin của tổ chức.
Ver.01 01/10/2013 41

Ahead TCVN Iso-Iec 27001-2013 - V1.0 20140630

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ahead TCVN Iso-Iec 27001-2013 - V1.0 20140630

Uploaded by

Copyright:

Available Formats

INTERNATIONAL STANDARD ISO/IEC

TIÊU CHUẨN QUỐC TẾ 27001

Information technology — Security

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN

Technologies de l'information — Techniques de sécurité — Systèmes

ISO/IEC 27001:2013 (E)

0 Introduction 0. Giới thiệu

0.1 General 0.1 Tổng quan

2 Normative references 2 Tiêu chuẩn trích dẫn

3 Terms and definitions 3 Thuật ngữ và định nghĩa

4. Context of the organization 4. Bối cảnh của tổ chức

The organization shall determine: Tổ chức phải xác định:

5. Leadership 5. Sự lãnh đạo

5.1 Leadership and commitment 5.1 Sự lãnh đạo và sự cam kết

5.2 Policy 5.2 Chính sách

6 Planning 6 Lập kế hoạch

6.1.1 General 6.1.1 Khái quát

Chuyên gia Tư vấn Trưởng ISO/IEC 27001:Hoàng Quang Hải - 0936321399

b) be measurable (if practicable); b) có thể đo lường được (nếu có thể);

d) be communicated, and d) được truyền đạt trong tổ chức, và

e) be updated as appropriate. e) được cập nhật thích hợp.

f) what will be done; f) những gì sẽ được thực hiện;

h) who will be responsible; h) người sẽ chịu trách nhiệm;

i) when it will be completed; and i) khi nào sẽ được hoàn thành, và

7.1 Resources 7.1 Nguồn lực

7.2 Competence 7.2 Năng lực

The organization shall: Tổ chức phải:

7.3 Awareness 7.3 Nhận thức

a) the information security policy; a) chính sách an toàn thông tin;

7.4 Communication 7.4 Trao đổi thông tin

a) on what to communicate; a) trao đổi thông tin gì;

b) when to communicate; b) trao đổi thông tin khi nào;

c) with whom to communicate; c) trao đổi thông tin với ai;

7.5.1 General 7.5.1 Khái quát

3) the competence of persons. 3) năng lực của con người.

7.5.2 Creating and updating 7.5.2 Khởi tạo và cập nhật

7.5.3 Control of documented information 7.5.3 Quản lý văn bản

8 Operation 8 Vận hành

9 Performance evaluation 9 Đánh giá hiệu quả

The organization shall determine: Tổ chức phải xác định:

9.2 Internal audit 9.2 Đánh giá nội bộ

The organization shall: Tổ chức phải:

audit; cuộc đánh giá;

9.3 Management review 9.3 Xem xét của lãnh đạo

3) audit results; and 3) các kết quả đánh giá; và

10 Improvement 10 Cải tiến

2) deal with the consequences; 2) giải quyết các hậu quả;

3) determining if similar 3) xác định nếu có sự không phù hợp tương tự

Annex A Phụ lục A

(normative) (quy định)

Table A.1 – Control objectives and controls

A.5 Information Security policys - Chính sách an toàn thông tin

A.5.1.1 Policies for Control - Biện pháp quản lý

A.5.1.2 Review of the policies Control - Biện pháp quản lý

A.6.1 Internal organization - Tổ chức nội bộ

thông tin trong tổ chức.

A.6.1.1 Information security Control - Biện pháp quản lý

A.6.1.2 Segregation of duties Control - Biện pháp quản lý

Conflicting duties and areas of responsibility shall be segregated to reduce

A.6.1.3 Contact with Control - Biện pháp quản lý

A.6.1.4 Contact with special Control - Biện pháp quản lý

A.6.1.5 Information security in Control - Biện pháp quản lý

A.6.2 Mobile devices and teleworking – Thiết bị di động và làm việc từ xa