Professional Documents
Culture Documents
Ahead TCVN Iso-Iec 27001-2013 - V1.0 20140630
Ahead TCVN Iso-Iec 27001-2013 - V1.0 20140630
Reference number
This International Standard has been prepared to provide Tiêu chuẩn này đã được chuẩn bị nhằm cung cấp các
requirements for establishing, implementing, yêu cầu cho việc thiết lập, triển khai, duy trì và cải
maintaining and continually improving an Information tiến liên tục Hệ thống quản lý an toàn thông tin
Security Management System (ISMS). The adoption of (ISMS). Việc áp dụng ISMS là quyết định mang tính
an ISMS is a strategic decision for an organization. The chiến lược của một tổ chức. Việc thiết lập và triển
establishishment and implementation of an khai ISMS của tổ chức chịu ảnh hưởng bới các nhu
organization’s ISMS is influenced by organization’s cầu và các mục tiêu, các yêu cầu an toàn bảo mật, các
needs and objectives, security requirements, the quá trình tuyển dụng và qui mô, cấu trúc của tổ chức.
processes employed and the size and structure of the Tất cả các yếu tố ảnh hưởng có thể xảy ra sự thay đổi
organization. All of there influencing factors are theo thời gian.
expected to change over time.
The information security management system preserves Hệ thống quản lý an toàn thông tin duy trì tính bảo
the confidentiality, integrity and availability of mật, tính toàn vẹn và tính sẵn sàng của thông tin bằng
information by applying a risk management process and cách áp dụng một quá trình quản lý rủi ro và mang lại
gives confidence to interested parties that risks are sự tin cậy cho các bên quan tâm rằng các rủi ro đã
adequately managed. được quản lý đầy đủ.
It is important that the information security management Điều quan trọng là hệ thống quản lý an toàn thông tin
system is part of and integrated with the organization’s phải là một phần, hoặc được tích hợp với các quá trình
processes and overall management structure and that và cấu trúc quản lý tổng thể của tổ chức, và an toàn
information security is considered in the design of thông tin cần được quan tâm trong thiết kế các quá
processes, information systems, and controls. It is trình, các hệ thống thông tin, và các biện pháp quản
expected that an information security management lý. Chắc rằng việc triển khai một hệ thống quản lý an
system implementation will be scaled in accordance toàn thông tin sẽ được mở rộng, thu hẹp theo nhu cầu
with the needs of the organization. của tổ chức.
This International Standard can be used by internal and Tiêu chuẩn Quốc tế này có thể được sử dụng bởi nội
external parties to assess the organization's ability to bộ tổ chức hoặc các tổ chức bên ngoài để đánh giá khả
meet the organization’s own information security năng của tổ chức đáp ứng các yêu cầu an toàn thông
requirements. tin của tổ chức.
The order in which requirements are presented in this Thứ tự của các yêu cầu được trình bày trong tiêu
Intenational Standard does not reflect their importance chuẩn này không phản ảnh tầm quan trọng của chúng
or imply the order in which they are to be implemented. cũng như không phản ảnh hàm ý về thứ tự mà chúng
The list items are enumerated for reference purpose trình bày. Danh sách các mục là được liệt kê dành cho
only. mục đích tham khảo.
ISO/IEC 27000 describes the overview and the Tiêu chuẩn ISO/IEC 27000 mô tả tổng quan và từ
vocabulary of information security management vựng của hệ thống quản lý an toàn thông tin, viện dẫn
systems, referencing the ISMS family of standards các tiêu chuẩn của bộ tiêu chuẩn về Hệ thống quản lý
(including ISO/IEC 27003, ISO/IEC 27004 and ISO/IEC an toàn thông tin (bao gồm ISO/IEC 27003, ISO/IEC
27005), with related terms and definitions. 27004 and ISO/IEC 27005), với các thuật ngữ và định
nghĩa liên quan.
Ver.01 01/10/2013 1
TCVN ISO/IEC 27001:2013
0.2 Compatibility with other management system 0.2 Tương thích với các tiêu chuẩn hệ thống quản lý
standards khác
This International Standard applies the high-level Tiêu chuẩn này áp dụng cấu trúc cao cấp mới của Tổ chức
structure, identical sub-clause titles, identical text, ISO, đồng nhất các điều khoản phụ, đông nhất về văn bản,
common terms, and core definitions defined in các thuật ngữ chung, và các định nghĩa cốt lõi được định
Annex SL of ISO/IEC Directives, Part 1, nghĩa tại Phụ lục SL của Chỉ thị ISO/IEC, phần 1, phụ lục
Consolidated ISO Supplement, and therefore hợp nhất ISO, và do đó đảm bảo khả năng tương thích với
maintains compatibility with other management các tiêu chuẩn hệ thống quản lý khác đã áp dụng Phụ lục
system standards that have adopted the Annex SL. SL.
This common approach defined in the Annex SL Cách tiếp cận chung được quy định tại Phụ lục SL sẽ hữu
will be useful for those organizations that choose to ích cho các tổ chức lựu chọn để vận hành một hệ thống
operate a single management system that meets the quản lý duy nhất đáp ứng các yêu cầu của hai hoặc nhiều
requirements of two or more management system tiêu chuẩn hệ thống quản lý.
standards.
Ver.01 01/10/2013 2
TCVN ISO/IEC 27001:2013
Information technology — Security techniques — Công nghệ thông tin — Các kỹ thuật an toàn — Hệ
Information security management systems — thống quản lý an toàn thông tin — Các yêu cầu
Requirements
1 Scope 1 Phạm vi
This International Standard specifies the Tiêu chuẩn này chỉ định rõ các yêu cầu đối với hoạt động
requirements for establishing, implementing, thiết lập, triển khai, duy trì và cải tiến liên tục một Hệ
maintaining and continually improving an ISMS thống ISMS trong bối cảnh của tổ chức. Tiêu chuẩn này
within the context of the organization. This cũng chứa các yêu cầu cho hoạt động đánh giá và xử lý các
International Standard also includes requirements rủi ro an toàn thông tin đáp ứng nhu cầu của tổ chức.
for the assessment and treatment of information
security risks tailored to the needs of the
organization.
The requirements set out in this International Các yêu cầu trình bày trong tiêu chuẩn này mang tính tổng
Standard are generic and are intended to be quát và nhằm áp dụng cho tất cả các tổ chức, bất kể loại
applicable to all organizations, regardless of type, hình, qui mô, tính chất. Việc loại trừ bất kỳ yêu cầu nào
size and nature. Excluding any of the requirements trong điều 4 đến 10 đều không được chấp nhận khi tổ chức
specified in Clauses 4, to 10 is not acceptable when tuyên bố phù hợp với tiêu chuẩn này.
an organization claims conformity to this
International Standard.
The following documents, in whole or in part, are Các tài liệu dưới đây, toàn bộ hoặc một phần, là chuẩn mực
normatively referenced in this document and are tham chiếu trong tài liệu này, và là cần thiết cho việc áp
indispensable for the application. For dated dụng. Với các trích dẫn ghi ngày tháng, chỉ có các trích dẫn
references, only the edition cited applies. For được nêu mới áp dụng. Các trích dẫn không ghi ngày
undated references, the latest edition of the tháng, bản mới nhất của tài liệu trích dẫn (bao gồm cả bổ
referenced document (including any amendments) sung) được áp dụng.
applies.
ISO/IEC 27000, Information technology — Security ISO/IEC 27000, Công nghệ thông tin – Các kỹ thuật an
Techniques — Information security management toàn – Hệ thống quản lý an toàn thông tin – Tổng quan và
systems – Overview and vocabulary Từ vựng
For the purposes of this document, the terms and Tài liệu này sử dụng các thuật ngữ và định nghĩa của Tiêu
definitions given in ISO/IEC 27000 apply chuẩn ISO/IEC 27000
Ver.01 01/10/2013 3
TCVN ISO/IEC 27001:2013
4.1 Understanding the organization and its context 4.1 Hiểu về tổ chức và bối cảnh của tổ chức
The organization shall determine external and Tổ chức phải xác định các vấn đề bên ngoài và nội bộ có
internal issues that are relevant to its purpose and liên quan đến mục đích của tổ chức và ảnh hưởng đến khả
that affect its ability to achieve the intended năng đạt được kết quả mong muốn của hệ thống quản lý an
outcome(s) of its information security management toàn thông tin của tổ chức.
system.
NOTE: Determining these issues refers to Chú thích: Xác định các vấn đề liên quan đến việc thiết lập
establishing the external and internal context of the bối cảnh bên ngoài và nội bộ của các tổ chức có thể xem
organization considered in Clause 5.3 of ISO 31000. xét tại khoản 5.3 của tiêu chuẩn ISO 31000.
4.2 Understanding the needs and expectations of 4.2 Hiểu nhu cầu và mong đợi của các bên quan tâm
interested parties
a) interested parties that are relevant to the a) các bên quan tâm có liên quan đến hệ thống quản lý
information security management system; an toàn thông tin; và
and
b) the requirements of these interested parties b) các yêu cầu của các bên quan tâm liên quan đến an
relevant to information security. toàn thông tin.
NOTE: The requirements of interested parties may Chú ý: Các yêu cầu của các bên quan tâm có thể bao gồm
include legal and regulatory requirements and các yêu cầu pháp lý và nghĩa vụ hợp đồng.
contractual obligations.
4.3 Determining the scope of the information 4.3 Xác định phạm vi của hệ thống quản lý an toàn thông
security management system tin
The organization shall determine the boundaries and Tổ chức phải xác định ranh giới và phạm vi áp dụng hệ
applicability of the information security thống quản lý an toàn thông tin để thiết lập phạm vi của
management system to establish its scope. nó.
When determining this scope, the organization shall Khi xác định phạm vi này, tổ chức phải xem xét:
consider:
a) the external and internal issues referred to in a) các vấn đề bên ngoài và nội bộ được đề cập trong 4.1;
4.1;
b) the requirements referred to in 4.2; and b) các yêu cầu nêu trong 4.2; và
c) interfaces and dependencies between activities c) Khung cơ bản và những phần phụ thuộc giữa các hoạt
performed by the organisation, and those that are động được thực hiện bởi tổ chức, và các hoạt động
performed by other organisations. được thực hiện bởi các tổ chức khác.
The scope shall be available as documented Phạm vi sẽ phải sẵn có như một thông tin được lập văn bản.
information.
4.4 Information security management system 4.4 Hệ thống quản lý an toàn thông tin
Ver.01 01/10/2013 4
TCVN ISO/IEC 27001:2013
The organization shall establish, implement, Tổ chức phải thiết lập, triển khai, duy trì và cải tiến liên tục
maintain and continually improve an information hệ thống quản lý an toàn thông tin, phù hợp với các yêu cầu
security management system, in accordance with the của tiêu chuẩn này.
requirements of this International Standard.
Top management shall demonstrate leadership and Lãnh đạo cao nhất phải chứng minh sự lãnh đạo và sự cam
commitment with respect to the information security kết liên quan đến hệ thống quản lý an toàn thông tin bằng
management system by: việc:
a) ensuring the information security policy and a) đảm bảo chính sách an toàn thông tin và các mục
the information security objectives are tiêu an toàn thông tin được thành lập và thích hợp
established and are compatible with the với các định hướng chiến lược của tổ chức;
strategic direction of the organization;
b) ensuring the integration of the information b) đảm bảo sự tích hợp của các yêu cầu hệ thống quản
security management system requirements lý an toàn thông tin vào các quá trình của tổ chức;
into the organization’s processes;
c) ensuring that the resources needed for the c) đảm bảo rằng các nguồn lực cần thiết cho hệ thống
information security management system quản lý an toàn thông tin được đáp ứng;
are available;
d) communicating the importance of effective d) truyền đạt tầm quan trọng của hiệu lực quản lý an
information security management and of toàn thông tin và sự tuân thủ với các yêu cầu hệ
conforming to the information security thống quản lý an toàn thông tin;
management system requirements ;
e) ensuring that the information security e) đảm bảo hệ thống quản lý an toàn thông tin đạt
management system achieves its in intended được (các) kết quả mong muốn;
outcome(s);
f) directing and supporting persons to f) chỉ đạo và hỗ trợ nhân sự tạo nên sự hiệu lực của
contribute to the effectiveness of the hệ thống quản lý an toàn thông tin;
information security management system;
g) promoting continual improvement; and g) thúc đẩy cải tiến liên tục, và
h) supporting other relevant management roles h) hỗ trợ các vai trò quản lý khác có liên quan để
to demonstrate their leadership as it applies chứng minh sự lãnh đạo của ban lãnh đạo tương
to their areas of responsibility. ứng với vai trò, trách nhiệm của từng vị trí.
Top management shall establish an information Lãnh đạo cao nhất phải thiết lập một chính sách an toàn
security policy that: thông tin:
a) is appropriate to the purpose of the a) phù hợp với mục đích của tổ chức;
organization;
Ver.01 01/10/2013 5
TCVN ISO/IEC 27001:2013
b) includes information security objectives (see b) bao gồm các mục tiêu an toàn thông tin (xem
6.2) or provides the framework for setting 6.2) hoặc cung cấp khuôn khổ cho việc thiết lập
information security objectives; các mục tiêu an toàn thông tin;
c) includes a commitment to satisfy applicable c) bao gồm một cam kết đáp ứng các yêu cầu áp
requirements related to information security; dụng liên quan đến an toàn thông tin; và
and
d) includes a commitment to continual d) bao gồm cam kết cải tiến liên tục hệ thống quản
improvement of the information security lý an toàn thông tin.
management system.
The information security policy shall: Chính sách an toàn thông tin phải:
e) be available as documented information; e) sẵn có như một thông tin được lập văn bản;
f) be communicated within the organization; and f) được truyền đạt trong tổ chức, và
g) be available to interested parties, as g) sẵn có cho các bên quan tâm, hoặc khi thấy thích
appropriate. hợp.
5.3 Organizational roles, responsibilities and 5.3 Vai trò, trách nhiệm và quyền hạn
authorities
Top management shall ensure that the Lãnh đạo cao nhất phải đảm bảo rằng các trách nhiệm và
responsibilities and authorities for roles relevant to quyền hạn cho các vai trò liên quan đến an toàn thông tin
information security are assigned and được xác định và truyền đạt.
communicated.
Top management shall assign the responsibility and Lãnh đạo cao nhất phải phân công trách nhiệm và quyền
authority for: hạn cho việc:
a) ensuring that the information security a) đảm bảo rằng hệ thống quản lý an toàn thông tin
management system conforms to the phù hợp với các yêu cầu của tiêu chuẩn này, và
requirements of this International Standard;
and
b) reporting on the performance of the b) báo cáo về việc thực hiện hệ thống quản lý an toàn
information security management system to thông tin cho lãnh đạo cao nhất.
top management.
NOTE: Top management may also assign Chú ý: Lãnh đạo cao nhất cũng có thể phân công các trách
responsibilities and authorities for reporting nhiệm và quyền hạn đối với việc báo cáo hoạt động của hệ
performance of the information security thống quản lý an toàn thông tin trong tổ chức.
management system within the organization.
6.1 Actions to address risks and opportunities 6.1 Hành động để giải quyết rủi ro và các cơ hội cải tiến
When planning for the information security Khi hoạch định hệ thống quản lý an toàn thông tin, tổ chức
management system, the organization shall consider phải quan tâm các vấn đề được đề cập trong 4.1 và các yêu
Ver.01 01/10/2013 6
TCVN ISO/IEC 27001:2013
the issues referred to in 4.1 and the requirements cầu nêu trong 4.2 và xác định những rủi ro và các cơ hội
referred to in 4.2 and determine the risks and cải tiến cần được giải quyết để:
opportunities that need to be addressed to:
a) ensure the information security management a) đảm bảo hệ thống quản lý an toàn thông tin có thể đạt
system can achieve its intended outcome(s); được (các) kết quả mong muốn;
b) prevent, or reduce, undesired effects; and b) ngăn chặn, hoặc giảm, các tác động không mong
muốn, và
c) achieve continual improvement. c ) được cải tiến liên tục.
The organization shall plan: Tổ chức phải lập kế hoạch:
d) actions to address these risks and d ) hành động để giải quyết các rủi ro và các cơ hội cải
opportunities, and tiến, và
e) how to e ) làm thế nào để
1) integrate and implement these actions 1 ) tích hợp và triển khai các hành động này vào
into its information security các quá trình hệ thống quản lý an toàn thông
management system processes; and tin của tổ chức, và
2) evaluate the effectiveness of these 2 ) đánh giá hiệu lực của các hành động này.
actions.
6.1.2 Information security risk assessment 6.1.2 Đánh giá rủi ro an toàn thông tin
The organization shall define and apply an Tổ chức phải xác định và áp dụng một quá trình đánh giá
information security risk assessment process that: rủi ro an toàn thông tin trong đó:
a) establishes and maintains information a) thiết lập và duy trì các tiêu chí rủi ro an toàn thông
security risk criteria, that include: tin, bao gồm:
1) the risk acceptance criteria; and 1) tiêu chí chấp nhận rủi ro; và
2) criteria for performing information 2) tiêu chí thực hiện các cuộc đánh giá rủi ro
security risk assessments; an toàn thông tin;
b) ensures that repeated information security b) đảm bảo rằng các cuộc đánh giá rủi ro an toàn thông
risk assessments produce consistent, valid tin lặp lại tạo ra kết quả nhất quán, có giá trị và so
and comparable results; sánh được;
c) identify the information security risks: c) xác định các rủi ro an toàn thông tin:
1) apply the information security risk 1) áp dụng quá trình đánh giá rủi ro an toàn
assessment process to identify risks thông tin để xác định các rủi ro liên quan
associated with the loss of tới sự mất mát của tính bảo mật, tính toàn
confidentiality, integrity and vẹn và tính sẵn sàng của thông tin trong
availability for information within phạm vi của hệ thống ISMS, và
the scope of the ISMS, and
2) identify the risk owners; 2) xác định các chủ sở hữu rủi ro;
d) analyse the information security risks: d) phân tích các rủi ro an toàn thông tin:
1) assess the potential consequences 1) đánh giá các hậu quả tiềm tàng sẽ xảy ra
Ver.01 01/10/2013 7
TCVN ISO/IEC 27001:2013
that would result if the risks nếu các rủi ro được xác định trong 6.1.2 c)
2) assess the realistic likelihood of the 2) đánh giá khả năng thực tế sự xuất hiện của
occurrence of the risks identified in các rủi ro đã được xác định trong 6.1.2 c)
6.1.2 c) 1); and. 1); và
3) determine the levels of risk; 3) xác định các mức độ của rủi ro;
e) evaluate the information security risks: e) ước lượng rủi ro an toàn thông tin:
1) compare the rusults of risk analysis 1) so sánh các kết quả phân tích rủi ro với các tiêu
with the risk criteria established in chí rủi ro đã được thiết lập trong 6.1.2 a) và
6.1.2 a) and
2) prioritize the analysed for risk 2) phân tích mức độ ưu tiên cho việc xử lý rủi ro.
treatment.
The organization shall retain documented Tổ chức phải lưu giữ thông tin được lập văn bản về quá
information about the information security risk trình đánh giá rủi ro an toàn thông tin.
assessment process.
6.1.3 Information security risk treatment 6.1.3 Xử lý rủi ro an toàn thông tin
The organization shall difine and apply an Tổ chức phải xác định và áp dụng một quá trình xử lý rủi
information security risk treatment process to: ro an toàn thông tin để:
a) select appropriate information security a) lựa chọn các phương pháp xử lý rủi ro an toàn
risk treatment options, taking account thông tin thích hợp, có tính đến kết quả đánh
of the risk assessment results; giá rủi ro;
b) determine all controls that are necessary b) xác định tất cả các biện pháp quản lý cần thiết
to implement the information security để thực hiện (các) phương án xử lý rủi ro an
risk treatment option(s) chosen; toàn thông tin đã lựa chọn;
NOTE: Organizations can design controls Chú ý: Các tổ chức có thể thiết kế các biện pháp
as required, or identify them from any quản lý theo yêu cầu, hoặc xác định chúng từ bất
source. cứ nguồn nào.
c) compare the controls determined in 6.1.3 c) so sánh các biện pháp quản lý đã xác định trong
b) above with those in Annex A and 6.1.3 b) ở trên với những biện pháp quản lý
verify that no necessary controls have trong Phụ lục A và xác minh rằng không có
been omitted; biện pháp quản lý cần thiết nào bị bỏ qua;
NOTE 1: Annex A contains a Chú ý 1: Phụ lục A chứa một danh sách toàn diện
comprehensive list of control objectives and các mục tiêu quản lý và biện pháp quản lý. Người
controls. Users of this International sử dụng Tiêu chuẩn Quốc tế này được định hướng
Standard are directed to Annex A to ensure đến Phụ lục A để đảm bảo rằng không có biện
that no important control options are pháp quản lý quan trọng nào bị bỏ sót.
overlooked.
NOTE 2: Control objectives are implicitly Chú ý 2: Các mục tiêu quản lý được bao gồm mặc
Ver.01 01/10/2013 8
TCVN ISO/IEC 27001:2013
included in the controls chosen. The control nhiên có trong các biện pháp quản lý được lựa
objectives and controls listed in Annex A chọn. Các mục tiêu quản lý và biện pháp quản lý
are not exhaustive and additional control được liệt kê trong Phụ lục A là không đầy đủ hết
objectives and controls may also be needed. mọi khía cạnh và việc bổ sung thêm các mục tiêu
quản lý và biện pháp quản lý có thể là cần thiết.
d) produce a Statement of Applicability that
contains the necessary controls (see d) đưa ra một bản Tuyên bố áp dụng có chứa các
6.1.3 a), b) and c)) and justification for biện pháp quản lý cần thiết (xem 6.1.3 a), b)
inclusions, whether they are và c)) và bao gồm các giải thích, cho dù chúng
implemented or not, and the được triển khai hay không, và lý giải cho việc
justification for exclusions of controls loại trừ các biện pháp kiểm soát trong Phụ lục
in Annex A; A;
e) formulate an information security risk e) xây dựng một kế hoạch xử lý rủi ro an toàn
treatment plan; thông tin;
f) obtain risk owner’s approval of the f) đạt được sự chấp thuận của các chủ sở hữu rủi
information security risk treatment plan ro của kế hoạch xử lý rủi ro an toàn thông tin
and the acceptance of the residual và sự chấp nhận các rủi ro an toàn thông tin
information security risks. tồn động.
The organization shall retain documented Tổ chức phải có trách nhiệm lưu giữ thông tin được lập
information about the information security risk văn bản về quá trình xử lý rủi ro an toàn thông tin.
treatment process.
NOTE: The information security risk assessment Chú ý: Quá trình đánh giá và xử lý rủi ro an toàn thông tin
and treatment process in this International Standard trong tiêu chuẩn này gắn với các nguyên tắc và hướng dẫn
aligns with the principles and generic guidelines chung được cung cấp trong tiêu chuẩn ISO 31000.
provided in ISO 31000.
6.2 Information security objectives and plans to 6.2 Mục tiêu an toàn thông tin và lập kế hoạch để đạt
achieve them được mục tiêu
The organization shall establish information Tổ chức phải thiết lập các mục tiêu an toàn thông tin tại
security objectives at relevant functions and levels. các cấp và bộ phận chức năng có liên quan.
The information security objectives shall: Các mục tiêu an toàn thông tin phải:
a) be consistent with the information security a) nhất quán với chính sách an toàn thông tin;
policy;
c) take into account applicable information c) xem xét các yêu cầu an toàn thông tin, và các kết
security requirements, and risk assessment quả đánh giá và xử lý rủi ro;
and treatment results;
The organization shall retain documented Tổ chức phải lưu giữ thông tin được lập văn bản các mục
information on the information security objectives. tiêu an toàn thông tin.
Ver.01 01/10/2013 9
TCVN ISO/IEC 27001:2013
When planning how to achieve its information Khi lập kế hoạch để đạt được các mục tiêu an toàn thông
security objectives, the organization shall tin, tổ chức phải xác định:
determine:
g) what resources will be required; g) những nguồn lực sẽ được yêu cầu;
j) how the results will be evaluated. j) kết quả sẽ được đo lường như thế nào.
7 Support 7 Hỗ trợ
The organization shall determine and provide the Tổ chức phải xác định và cung cấp các nguồn lực cần thiết
resources needed for the establishment, cho việc thiết lập, triển khai, duy trì và cải tiến liên tục hệ
implementation, maintenance and continual thống quản lý an toàn thông tin.
improvement of the information security
management system.
a) determine the necessary competence of a) xác định năng lực cần thiết của (những) người
person(s) doing work under its control that đang làm công việc mà dưới sự quản lý của họ có
affects its information security ảnh hưởng đến hoạt động an toàn thông tin;
performance;
b) ensure that these persons are competent on b) đảm bảo rằng những người đó có đủ năng lực dựa
the basis of appropriate education, training, trên cơ sở được giáo dục, đào tạo, hoặc kinh
or experience; nghiệm;
c) where applicable, take actions to acquire the c) khi thích hợp, tiến hành các hành động để có được
necessary competence, and evaluate the các năng lực cần thiết, và đánh giá hiệu lực của
effectiveness of the actions taken; and các hành động đã thực hiện; và
d) retain appropriate documented information as d) lưu giữ thông tin được lập văn bản thích hợp như
evidence of competence. bằng chứng về năng lực.
NOTE: Applicable actions may include, for Chú ý: Áp dụng các hành động có thể bao gồm, ví dụ:
example: the provision of training to, the mentoring cung cấp các khóa đào tạo, các cố vấn, hoặc phân công lại
of, or the re-assignment of current employees; or vai trò của người lao động hiện hành; hoặc tuyển dụng
the hiring or contracting of competent persons. hoặc ký hợp đồng với người đủ năng lực.
Persons doing work under the organization’s control Người làm công việc dưới sự quản lý của tổ chức phải có
shall be aware of: nhận thức về:
Ver.01 01/10/2013 10
TCVN ISO/IEC 27001:2013
b) their contribution to the effectiveness of the b) việc đóng góp của họ vào hiệu lực của hệ thống
information security management system, quản lý an toàn thông tin, bao gồm cả các lợi ích
including the benefits of improved của sự cải tiến hoạt động thực hiện an toàn thông
information security performance; and tin; và
c) the implications of not conforming with the c) những hệ quả của việc không thực hiện phù hợp với
information security management system các yêu cầu của hệ thống quản lý an toàn thông
requirements. tin.
The organization shall determine the need for Tổ chức phải xác định nhu cầu trao đổi thông tin nội bộ và
internal and external communications relevant to bên ngoài có liên quan đến hệ thống quản lý an toàn thông
the information security management system tin bao gồm:
including:
d) who shall communicate; and d) ai phải tiến hành trao đổi thông tin; và
e) the processes by which communication shall e) các quá trình mà thông tin liên lạc được thực hiện.
be effected.
7.5 Documented information 7.5 Thông tin được lập văn bản
The organization’s information security Hệ thống quản lý an toàn thông tin của tổ chức phải bao
management system shall include: gồm:
a) documented information required by this a) thông tin được lập văn bản theo yêu cầu của tiêu
International Standard; and chuẩn này, và
b) documented information determined by the b) thông tin được lập văn bản được xác định bởi tổ
organization as being necessary for the chức như là sự cần thiết cho tính hiệu lực của hệ
effectiveness of the information security thống quản lý an toàn thông tin.
management system.
NOTE: The extent of documented information for Lưu ý: Mức độ thông tin được lập văn bản cho một hệ
an information security management system can thống quản lý an toàn thông tin có thể khác nhau giữa các
differ from one organization to another due to: tổ chức phụ thuộc vào:
1) the size of organization and its type of activities, 1) quy mô của tổ chức và loại hình hoạt động, quy trình,
processes, products and services; sản phẩm và dịch vụ của tổ chức;
2) the complexity of processes and their 2) sự phức tạp và sự tương tác của các quá trình; và
interactions; and
Ver.01 01/10/2013 11
TCVN ISO/IEC 27001:2013
When creating and updating documented Khi khởi tạo và cập nhật nội dung được tài liệu hóa tổ
information the organization shall ensure chức phải đảm bảo thích hợp:
appropriate:
a) identification and description (e.g. a title, a) định danh và mô tả (ví dụ như tiêu đề, ngày tháng,
date, author, or reference number); tác giả, hoặc mã số tài liệu);
b) format (e.g. language, software version, b) định dạng (ví dụ như ngôn ngữ, phiên bản phần
graphics) and media (e.g. paper, electronic); mềm, đồ họa) và phương tiện (ví dụ như giấy, điện
and tử); và
c) review and approval for suitability and c) xem xét và phê duyệt cho thích hợp và thỏa đáng.
adequacy.
Documented information required by the Thông tin được lập văn bản theo yêu cầu của hệ thống
information security management system and by quản lý an toàn thông tin và tiêu chuẩn này phải được kiểm
this International Standard shall be controlled to soát để đảm bảo:
ensure:
a) it is available and suitable for use, where and a) sẵn có và phù hợp để sử dụng bất kỳ ở đâu và khi
when it is needed; and nào cần thiết; và
b) it is adequately protected (e.g. from loss of b) được bảo vệ đầy đủ (ví dụ bảo vệ khỏi mất tính bảo
confidentiality, improper use, or loss of mật, sử dụng không đúng cách, hoặc mất tính toàn
integrity). vẹn).
For the control of documented information, the Đối với việc kiểm soát thông tin được lập văn bản, tổ chức
organization shall address the following activities, phải quan tâm đến các hoạt động sau đây, có thể áp dụng:
as applicable:
c) distribution, access, retrieval and use; c) phân phối, truy cập, thu hồi và sử dụng;
d) storage and preservation, including the d) lưu trữ và bảo quản, bao gồm cả việc duy trì tính rõ
preservation of legibility; ràng;
e) control of changes (e.g. version control); and e) kiểm soát các thay đổi (ví dụ như kiểm soát phiên
bản); và
f) retention and disposition.
f) duy trì và hủy bỏ.
Documented information of external origin,
determined by the organization to be necessary for Thông tin lập văn bản có nguồn gốc bên ngoài mà tổ chức
the planning and operation of the information xác định là cần thiết cho việc hoạch định và vận hành hệ
security management system, shall be identified as thống quản lý an toàn thông tin, phải được nhận biết thích
appropriate, and controlled. hợp, và được kiểm soát.
NOTE: Access implies a decision regarding the Chú ý: Thuật ngữ Truy cập bao hàm ý nghĩa một quyết
permission to view the documented information định liên quan đến việc cho phép chỉ xem thông tin được
only, or the permission and authority to view and lập văn bản, hoặc sự cho phép và thẩm quyền để xem và
change the documented information, etc. thay đổi thông tin được lập văn bản, vv
Ver.01 01/10/2013 12
TCVN ISO/IEC 27001:2013
8.1 Operational planning and control 8.1 Lập kế hoạch và kiểm soát hoạt động
The organization shall plan, implement and control Tổ chức phải lập kế hoạch, thực hiện và kiểm soát các quy
the processes needed to meet information security trình cần thiết để đáp ứng yêu cầu an toàn thông tin, và
requirements, and to implement the actions triển khai các hoạt động đã xác định trong 6.1. Tổ chức
determined in 6.1. The organization shall also cũng phải triển khai kế hoạch để đạt được các mục tiêu an
implement plans to achieve information security toàn thông tin đã xác định trong 6.2.
objectives determined in 6.2.
The organization shall keep documented Tổ chức phải lưu giữ thông tin được lập văn bản trong
information to the extent necessary to have phạm vi cần thiết để đảm bảo tin cậy rằng các quá trình đã
confidence that the processes have been carried out được tiến hành theo kế hoạch.
as planned.
The organization shall control planned changes and Tổ chức phải kiểm soát các thay đổi kế hoạch và xem xét
review the consequences of unintended changes, các hậu quả của sự thay đổi ngoài ý muốn, có hành động
taking action to mitigate any adverse effects, as để giảm thiểu bất kỳ tác dụng phụ nào, khi cần thiết.
necessary.
The organization shall ensure that outsourced Tổ chức phải đảm bảo rằng các quá trình gia công được
processes are determined and controlled. xác định và kiểm soát.
8.2 Information security risk assessment 8.2 Đánh giá rủi ro an toàn thông tin
The organization shall perform information security Tổ chức phải thực hiện đánh giá rủi ro an toàn thông tin
risk assessments at planned intervals or when trong khoảng thời gian theo kế hoạch hoặc khi có những
significant changes are proposed or occur, taking thay đổi quan trọng theo dự kiến hoặc đã xảy ra, có tính
account of the criteria established in 6.1.2 a). đến các tiêu chí thiết lập trong 6.1.2 a).
The organization shall retain documented Tổ chức có trách nhiệm lưu giữ thông tin được lập văn bản
information of the results of the information các kết quả của đánh giá rủi ro an toàn thông tin.
security risk assessments.
8.3 Information security risk treatment 8.3 Xử lý rủi ro an toàn thông tin
The organization shall implement the information Tổ chức phải triển khai kế hoạch xử lý rủi ro an toàn thông
security risk treatment plan. tin.
The organization shall retain documented Tổ chức phải lưu giữ thông tin được lập văn bản các kết
information of the results of the information quả của các quá trình xử lý rủi ro an toàn thông tin.
security risk treatment.
9.1 Monitoring, measurement, analysis and 9.1 Giám sát, đo lường, phân tích và đánh giá
evaluation
The organization shall evaluate the information Tổ chức phải đánh giá sự thực thi và tính hiệu lực của hệ
security performance and the effectiveness of the thống quản lý an toàn thông tin.
information security management system.
Ver.01 01/10/2013 13
TCVN ISO/IEC 27001:2013
a) what needs to be monitored and measured, a) những gì cần phải được giám sát và đo lường, bao
including information security processes gồm các quá trình và các biện pháp quản lý an
and controls; toàn thông tin;
b) the methods for monitoring, measurement, b) các phương pháp giám sát, đo lường, phân tích và
analysis and evaluation, as applicable, to đánh giá, nếu có, để đảm bảo kết quả hợp lệ;
ensure valid results;
NOTE: The methods selected should Chú ý: Các phương pháp được lựa chọn cần tạo ra kết
produce comparable and reproducible quả có thể so sánh được và có thể tái sử dụng,
results to be considered valid. được coi là hợp lệ.
c) when the monitoring and measuring shall be c) khi nào hoạt động giám sát và đo lường được thực
performed; hiện;
d) who shall monitor and measure; d) ai phải thực hiện giám sát và đo lường;
e) when the results from monitoring and e) khi nào các kết quả từ giám sát và đo lường được
measurement shall be analyzed and phân tích và đánh giá; và
evaluated; and
f) who shall analyse and evaluate these results. f) ai phải phân tích và đánh giá các kết quả này.
The organization shall retain appropriate Tổ chức phải lưu giữ thông tin được lập văn bản thích hợp
documented information as evidence of the như bằng chứng về các kết quả giám sát và đo lường.
monitoring and measurement results.
The organization shall conduct internal audits at Tổ chức phải tiến hành các hoạt động đánh giá nội bộ định
planned intervals to provide information on whether kỳ theo kế hoạch để cung cấp thông tin xem hệ thống
the ISMS: ISMS có:
a) conform to 1) the organization’s own a) phù hợp với 1) yêu cầu của chính tổ chức về hệ
requirements for its information security thống quản lý an toàn thông tin của mình, và 2)
management system; and 2) the với các yêu cầu của Tiêu chuẩn Quốc tế này.
requirements of this International Standard;
b) are effectively implemented and maintained b) được thực hiện và duy trì có hiệu lực.
c) plan, establish, implement and maintain an c) lập kế hoạch, thiết lập, triển khai và duy trì một
audit programme(s), including the chương trình đánh giá, bao gồm tần suất, phương
frequency, methods, responsibilities, pháp, trách nhiệm, yêu cầu lập kế hoạch và báo
planning requirements and reporting. The cáo. Chương trình đánh giá tính đến tầm quan
audit programme(s) shall take into trọng của các quá trình có liên quan và kết quả các
consideration the importance of the cuộc đánh giá trước đó;
processes concerned and the results of
previous audits;
d) define the audit criteria and scope for each d) xác định các tiêu chí đánh giá và phạm vi cho từng
Ver.01 01/10/2013 14
TCVN ISO/IEC 27001:2013
e) select auditors and conduct audits to ensure e) lựa chọn đánh giá viên và thực hiện việc đánh giá
objectivity and the impartiality of the audit đảm bảo tính khách quan và công bằng của quá
process; trình đánh giá;
f) ensure that the results of the audits are f) đảm bảo rằng các kết quả của cuộc đánh giá được
reported to relevant management; and báo cáo đến các cấp quản lý có liên quan; và
g) retain documented information as evidence g) lưu giữ thông tin được lập văn bản như bằng chứng
of the audit programme(s) and the audit về chương trình đánh giá và kết quả đánh giá.
results.
Top Management shall review the organization’s Lãnh đạo cao nhất phải xem xét định kỳ theo kế hoạch hệ
ISMS at planned intervals to ensure itscontinuing thống ISMS của tổ chức để đảm bảo nó luôn phù hợp,
suitability, adequacy and effectiveness. thoả đáng và có hiệu lực.
The management review shall include consideration Việc xem xét của lãnh đạo phải bao gồm sự xem xét:
of:
a) the status of actions from previous a) tình trạng của các hành động từ lần xem xét lãnh
management reviews; đạo trước đó;
b) changes in external and internal issues that b) các thay đổi trong các vấn đề bên ngoài và nội bộ
are relevant to the information security có liên quan đến hệ thống quản lý an toàn thông
management system; tin;
c) feedback on the information security c) phản hồi về việc thực hiện an toàn thông tin, bao
performance, including trends in: gồm:
1) nonconformities and corrective 1) các sự không phù hợp và các hành động
actions; khắc phục;
2) monitoring and measurement results; 2) các kết quả giám sát và đo lường;
4) fulfilment of information security 4) sự đáp ứng các mục tiêu an toàn thông tin;
objectives;
d) feedback from interested parties; d) thông tin phản hồi từ các bên quan tâm;
e) results of risk assessment and status of risk e) kết quả đánh giá rủi ro và tình trạng của kế hoạch
treatment plan; and xử lý rủi ro; và
f) opportunities for continual improvement. f) các cơ hội cải tiến liên tục.
The output of the management review shall include Đầu ra của xem xét của lãnh đạo phải bao gồm những
decisions related to continual improvement quyết định liên quan đến các cơ hội cải tiến liên tục và
opportunities and any needs for changes to the bất cứ nhu cầu cần thiết nào cho các thay đổi đối với hệ
information security management system. thống quản lý an toàn thông tin.
The organization shall retain documented Tổ chức phải lưu giữ thông tin được lập văn bản như
Ver.01 01/10/2013 15
TCVN ISO/IEC 27001:2013
information as evidence of the results of bằng chứng về kết quả của các cuộc xem xét của lãnh
management reviews. đạo.
1) take action to control and correct it; 1) có hành động để kiểm soát và sửa chữa nó;
and và
2) determining the causes of the 2) xác định nguyên nhân của sự không phù
nonconformity; and hợp; và
Ver.01 01/10/2013 16
TCVN ISO/IEC 27001:2013
Reference Control objectives and controls Các Mục tiêu quản lý và các biện pháp quản lý tham khảo
The control objectives and controls listed in Table Các mục tiêu quản lý và biện pháp quản lý được liệt kê trong
A.1 are directly derived from and aligned with those bảng A.1 bắt nguồn trực tiếp và có liên kết với các mục từ
listed in ISO/IEC 27002:2013 Clauses 5 to 18 and mục 5 đến 18 được liệt kê trong ISO/IEC27002:2013 và sẽ
are to be used in context with Clause 6.1.3. được sử dụng trong bối cảnh của điều khoản 6.1.3.
Bảng A.1- Các mục tiêu quản lý và các biện pháp quản lý
A.5.1 Management direction for Information security - Định hướng quản lý an toàn thông tin
Objective: To provide management direction and support for information security in accordance with business
requirements and relevant laws and regulations.
Mục tiêu: Nhằm cung cấp định hướng quản lý và hỗ trợ bảo đảm an toàn thông tin thảo mãn với các yêu cầu
trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định phải tuân thủ.
Các chính sách an toàn thông tin phải thường xuyên được xem xét lại theo
Xem xét chính sách an kế hoạch hoặc khi có những thay đổi lớn xuất hiện để chúng luôn phù hợp,
toàn thông tin. đầy đủ và thực sự có hiệu lực.
A.6 Organization of information security - Tổ chức đảm bảo an toàn thông tin
Objective: To establish a management framework to initiate and control the implementation and operation of
information security within the organization.
Mục tiêu: Nhằm thiết lập một nền tảng quản lý để khởi tạo và kiểm soát việc triển khai và điều hành an toàn
Ver.01 01/10/2013 17
TCVN ISO/IEC 27001:2013
Phải duy trì liên lạc thoả đáng với các cơ quan có thẩm quyền liên quan.
Liên lạc với những cơ
quan/tổ chức có thẩm
quyền
Liên lạc với các nhóm Duy trì thích hợp việc tiếp xúc / liên lạc với các nhóm chuyên gia hoặc các
chuyên gia diễn đàn và hiệp hội an toàn thông tin.
An toàn thông tin trong An toàn thông tin phải được giải quyết trong quản lý dự án, bất kể loại
quản lý dự án hình thức nào.
Mục tiêu: Nhằm đảm bảo an toàn làm việc từ xa và sử dụng các thiết bị di động.
Ver.01 01/10/2013 18
TCVN ISO/IEC 27001:2013
A.7 Human resource security – Đảm bảo an toàn tài nguyên con người
Objective: To ensure that employees and contractors understand their responsibilities and are suitable for the roles
for which they are considered.
Mục tiêu: Nhằm đảm bảo nhân viên và các nhà thầu hiểu rõ trách nhiệm của mình và phù hợp với vai trò được
giao.
A.7.1.1 Screening Control - Biện pháp quản lý
Các điều khoản và Các thỏa thuận hợp đồng với nhân viên và nhà thầu phải thông báo trách
điều kiện tuyển dụng nhiệm của của họ và trách nhiệm của tổ chức về an toàn thông tin.
Objective: To ensure that employees and external party users are aware of and fulfil their information security
responsibilities.
Mục tiêu: Đảm bảo rằng các nhân viên và người của các bên bên ngoài được đào tạo về nhận thức và hiểu rõ các
trách nhiệm về đảm bảo an toàn thông tin của họ.
Ver.01 01/10/2013 19
TCVN ISO/IEC 27001:2013
Trách nhiệm lãnh Lãnh đạo cần phải yêu cầu tất cả nhân viên và người của các nhà thầu chấp
đạo hành an toàn thông tin phù hợp với các các thủ tục và các chính sách an toàn
thông tin đã được thiết lập của tổ chức.
Nhận thức, giáo dục Tất cả các nhân viên trong tổ chức, và bất kỳ nơi liên quan nào, người của
và đào tạo về an toàn nhà thầu cần phải được đào tạo nhận thức và cập nhật thường xuyên những
thông tin thủ tục, chính sách đảm bảo an toàn thông tin của tổ chức như một phần công
việc bắt buộc.
Xử lý kỷ luật Phải có một quá trình xử lý kỷ luật chính thức và được truyền đạt trong tổ
chức để xử lý đối với các nhân viên vi phạm về an toàn thông tin.
A.7.3 Termination and change of employment – Chấm dứt hoặc thay đổi công việc
Objective: To protect the organization’s interests as part of the process of changing or terminating employment.
Mục tiêu: Nhằm bảo vệ các lợi ích của tổ chức như một phần của quá trình thay đổi hoặc chấm dứt công việc.
Các trách nhiệm Các trách nhiệm và nghĩa vụ đảm bảo an toàn thông tin vẫn còn hiệu lực sau
chấm dứt hoặc thay khi nhân viên kết thúc hoặc thay đổi công việc phải được xác định, thông báo
đổi công việc cho các nhân viên hoặc nhà thầu, và những điều đó phải được thi hành.
A.8.1 Responsibility for assets – Trách nhiệm đối với tài sản
Mục tiêu: Xác định các tài sản của tổ chức và các trách nhiệm bảo vệ thích hợp.
Ver.01 01/10/2013 20
TCVN ISO/IEC 27001:2013
Kiểm kê tài sản Tài sản liên quan đến thông tin và thiết bị xử lý thông tin phải được xác định
và cần thực hiện, duy trì việc kiểm kê các tài sản đó.
Quyền sở hữu tài sản Các tài sản được duy trì trong bảng kiểm kê phải có chủ sở hữu.
Sử dụng hợp lý tài Các quy tắc cho việc sử dụng hợp lý thông tin và tài sản gắn với thông tin và
sản phương tiện xử lý thông tin phải được xác định, ghi thành văn bản và triển
khai.
Bàn giao tài sản Tất cả nhân viên và người của các bên bên ngoài phải trả lại tất cả các tài
sản của tổ chức mà họ quản lý khi kết thúc hợp đồng hoặc thuyên chuyển công
tác khác theo các điều khoản đã thống nhất.
Objective: To ensure that information receives an appropriate level of protection in accordance with its importance
to the organization.
Mục tiêu: Nhằm đảm bảo thông tin được bảo vệ ở một mức độ thích hợp với tầm quan trọng của nó đối với tổ
chức.
Phân loại thông tin Thông tin phải được phân loại dựa trên các yêu cầu pháp lý, giá trị, mức độ
quan trọng và sự nhạy cảm với vấn đề tiết lộ trái phép hoặc sửa đổi.
Ver.01 01/10/2013 21
TCVN ISO/IEC 27001:2013
Gắn nhãn thông tin Các thủ tục cần thiết cho việc gắn nhãn thông tin cần được phát triển và triển
khai phù hợp với lược đồ phân loại thông tin đã được chấp nhận của tổ chức.
Quản lý tài sản Các thủ tục cần thiết cho việc quản lý tài sản cần được phát triển và triển khai
phù hợp với lược đồ phân loại thông tin đã được chấp nhận của tổ chức.
A.8.3 Media handling – Quản lý phương tiện
Mục tiêu: Nhằm ngăn ngừa tiết lộ trái phép, sửa đổi, loại bỏ hoặc phá hủy các thông tin được lưu trữ trên các
phương tiện media.
Quản lý phương tiện Các thủ tục cần được triển khai cho việc quản lý các phương tiện có thể di dời
có thể di dời phù hợp với lược đồ phân loại đã được chấp nhận của tổ chức.
Loại bỏ phương tiện Các phương tiện cần được loại bỏ một cách an toàn và bảo mật khi không còn
cần thiết theo các thủ tục xử lý chính thức.
Vận chuyển phương Phương tiện chứa thông tin cần được bảo vệ khỏi sự truy cập trái phép, sự
tiện vật lý lạm dụng hoặc làm sai lệch trong suốt quá trình vận chuyển.
A.9.1 Business requirements of access control – Các yêu cầu nghiệp vụ cho quản lý truy cập
Mục tiêu: Nhằm hạn chế truy cập đến thông tin và các phương triện xử lý thông tin.
Ver.01 01/10/2013 22
TCVN ISO/IEC 27001:2013
Truy cập đến các Người sử dụng chỉ được cung cấp quyền truy cập đến mạng và các dịch vụ
mạng và các dịch vụ mạng đã được cấp phép cụ thể cho phép sử dụng.
mạng
Objective: To ensure authorized user access and to prevent unauthorized access to systems and services.
Mục tiêu: Nhằm đảm bảo người dùng hợp lệ được truy cập và ngăn chặn những người dùng không hợp lệ truy cập
trái phép đến các hệ thống thông tin và dịch vụ.
Đăng ký thành viên Một quy trình đăng ký thành viên chính thức và hủy đăng ký thành viên cần
và hủy quyền truy được triển khai để gán các quyền truy cập hợp lệ.
cập
Cấp phát quyền truy Một quy trình cấp phát quyền truy cập người dùng chính thức cần được triển
cập người dùng khai để gán hoặc hủy bỏ quyền truy cập cho tất cả các loại tài khoản người
dùng của tất cả các hệ thống và dịch vụ.
Ver.01 01/10/2013 23
TCVN ISO/IEC 27001:2013
người dùng
Hủy bỏ hoặc điều Quyền truy cập của tất cả nhân viên và người của các bên quan tâm đến
chỉnh quyền truy cập thông tin và các thiết bị xử lý thông tin cần được hủy hỏ khi họ kết thúc hợp
đồng hoặc thỏa thuận, hoặc khi thuyên chuyển vị trí.
Mục tiêu: Làm cho người dùng có trách nhiệm đảm bảo an toàn các thông tin xác thực của họ.
Sử dụng các thông Người dùng cần được yêu cầu tuân thủ các biện pháp đảm bảo an toàn của tổ
tin xác thực bí mật chức đối với việc sử dụng các thông tin xác thực bí mật.
A.9.4 System and application access control – Quản lý truy cập hệ thống và ứng dụng
Mục tiêu: Nhằm ngăn chặn truy cập trái phép vào các hệ thống và các ứng dụng.
Hạn chế truy cập Truy cập đến thông tin và các chức năng hệ thống ứng dụng cần phải hạn chế
thông tin phù hợp với chính sách quản lý truy cập.
Các thủ tục đăng Theo yêu cầu của chính sách quản lý truy cập, truy cập đến các hệ thống và
nhập an toàn các ứng dụng cần được quản lý bởi một thủ tục đăng nhập an toàn.
Ver.01 01/10/2013 24
TCVN ISO/IEC 27001:2013
Sử dụng các chương Việc sử dụng các chương trình tiện ích có khả năng ảnh hưởng đến hệ thống
trình tiện ích đặc và các ứng dụng điều khiển phải được hạn chế và kiểm soát chặt chẽ.
quyền
Objective: To ensure proper and effective use of cryptography to protect the confidentiality, authenticity or
integrity of information.
Mục tiêu: Nhằm đảm bảo sử dụng hợp lý và hiệu quả các biện pháp mã hóa để bảo vệ tính bảo mật, xác thực hoặc
tính toàn vẹn của thông tin.
Quản lý khóa Một chính sách sử dụng, bảo vệ và vòng đời của khóa mã hóa phải được phát
triển và triển khai thực hiện suốt vòng đời của nó.
A.11 Physical and environmental security – Đảm bảo an toàn vật lý và môi trường
Ver.01 01/10/2013 25
TCVN ISO/IEC 27001:2013
Objective: To prevent unauthorized physical access, damage and interference to the organization’s information and
information processing facilities.
Mục tiêu: Nhằm ngăn chặn các truy cập vật lý trái phép, làm thiệt hại và can thiệp vào các thông tin của tổ chức
và các thiết bị xử lý thông tin.
Các vành đai an toàn phải được xác định và sử dụng để bảo vệ các khu vực có
Vành đai an toàn vật chứa các thông tin nhạy cảm hoặc các thông tin và thiết bị xử lý thông tin
lý trọng yếu của tổ chức.
Kiểm soát cổng truy Các khu vực an toàn cần được bảo vệ bởi các biện pháp kiểm soát truy cập
cập vật lý thích hợp nhằm đảm bảo chỉ những người được cấp phép mới được chấp nhận
truy cập.
Làm việc trong khu Biện pháp bảo vệ vật lý và các hướng dẫn làm việc trong khu vực an toàn cần
vực an toàn được thiết kế và áp dụng.
Ver.01 01/10/2013 26
TCVN ISO/IEC 27001:2013
Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization’s
operations.
Mục tiêu: Nhằm ngăn chặn sự mất mát, phá hỏng, trộm cắp hoặc làm tổn hại tài sản và gián đoạn các hoạt động
của tổ chức.
Ver.01 01/10/2013 27
TCVN ISO/IEC 27001:2013
A.12.1 Operational procedures and responsibilities – Các thủ tục và trách nhiệm vận hành
Mục tiêu: Nhằm đảm bảo vận hành chính xác và an toàn các phương tiện xử lý thông tin.
Các thủ tục vận hành Các thủ tục vận hành phải được lập thành văn bản và duy trì sẵn sàng đối với
được ghi thành văn mọi người dùng cần dùng đến.
bản
Quản lý thay đổi Các thay đổi với tổ chức, quá trình kinh doanh, các phương tiện và hệ thống
Ver.01 01/10/2013 28
TCVN ISO/IEC 27001:2013
Quản lý năng lực Việc sử dụng các tài nguyên phải được giám sát, điều chỉnh và có lập kế
hoạch về các nhu cầu năng lực trong tương lai để đảm bảo hiệu suất cần thiết
của hệ thống.
Phân tách môi Các môi trường phát triển, kiểm thử và điều hành phải được phân tách để
trường phát triển, giảm thiểu các rủi ro của việc truy cập trái phép hoặc các thay đổi trái phép
kiểm thử và điều đến môi trường điều hành.
hành
A.12.2 Protection from malware – Bảo vệ khỏi phần mềm độc hại
Objective: To ensure that information and information processing facilities are protected against malware.
Mục tiêu: Nhằm đảm bảo các thông tin và phương tiện xử lý thông tin được bảo vệ khỏi các mã độc hại.
Các biện pháp quản Các biện pháp quản lý trong việc phát hiện, ngăn chặn và phục hồi nhằm bảo
lý chống lại mã độc vệ chống lại các mã độc hại phải được triển khai, kết hợp với việc tuyên
hại truyền nâng cao nhận thức của người dùng một các thích đáng.
Mục tiêu: Nhằm bảo vệ chống lại việc mất mát dữ liệu.
Backup copies of information, software and system images shall be taken and
tested regularly in accordance with the agreed backup policy.
Sao lưu thông tin Các bản sao lưu thông tin, phần mềm và các bản sao hệ thống phải được bảo
vệ và kiểm tra thường xuyên phù hợp với một chính sách sao lưu đã được
chấp nhận.
Ver.01 01/10/2013 29
TCVN ISO/IEC 27001:2013
Mục tiêu: Nhằm ghi lại các sự kiện và các bằng chứng phát hiện.
Ghi nhật ký sự kiện Các nhật ký sự kiện ghi lại các hoạt động của người dùng, các lỗi ngoại lệ,
các sai lỗi và các sự kiện an toàn thông tin phải được thực hiện, giữ gìn và
xem xét đều đặn.
Bảo vệ thông tin nhật Các phương tiện ghi nhật ký giám sát và các thông tin nhật ký phải được bảo
ký vệ chống lại sự giả mạo và truy cập trái phép.
Nhật ký người điều Các hoạt động của người điều hành và người quản trị hệ thống phải được ghi
hành và người quản lại, bảo vệ và xem xét thường xuyên.
trị
Mục tiêu: Nhằm đảm bảo tính toàn vẹn của các hệ thống điều hành.
Cài đặt phần mềm Các thủ tục phải được triển khai để quản lý việc cài đặt các phần mềm lên các
Ver.01 01/10/2013 30
TCVN ISO/IEC 27001:2013
Mục tiêu: Nhằm ngăn chặn việc khai thác các điểm yếu kỹ thuật.
Quản lý các điểm yếu Thông tin về các điểm yếu kỹ thuật của các hệ thống thông tin đang được sử
kỹ thuật dụng phải được thu thập kịp thời, các điểm yếu tổ chức gặp phải cần được
đánh giá và có các biện pháp thích hợp để giải quyết các rủi ro liên quan.
Hạn chế cài đặt phần Các quy định quản trị việc cài đặt phần mềm bởi người dùng phải được thiết
mềm lập và triển khai.
A.12.7 Information systems audit considerations – Xem xét việc đánh giá các hệ thống thông tin
Mục tiêu: Nhằm giảm thiểu tác động của các hoạt động đánh giá đối với việc vận hành các hệ thống.
Objective: To ensure the protection of information in networks and its supporting information processing facilities.
Mục tiêu: Nhằm đảm bảo việc bảo vệ thông tin trên mạng và các thiết bị xử lý thông tin hỗ trợ chúng.
Ver.01 01/10/2013 31
TCVN ISO/IEC 27001:2013
and applications.
Quản lý mạng
Các mạng phải được quản lý và kiểm soát để bảo vệ thông tin trong các hệ
thống và trong các ứng dụng.
An toàn các dịch vụ Các cơ chế an toàn, các mức độ dịch vụ và các yêu cầu quản lý của tất cả các
mạng dịch vụ mạng phải được xác định và ghi rõ trong các thỏa thuận về dịch vụ
mạng, bất kể các dịch vụ đó là do nội bộ cấp hay thuê khoán.
Phân tách các mạng Các nhóm dịch vụ, người dùng và các hệ thống thông tin phải được phân tách
trên mạng.
Objective: To maintain the security of information transferred within an organization and with any external entity.
Mục tiêu: Nhằm duy trì sự an toàn của thông tin luân chuyển trong tổ chức và với bên ngoài.
Các chính sách và Các chính sách, thủ tục và các biện pháp quản lý luân chuyển chính thức phải
thủ tục luân chuyển sẵn có để bảo vệ việc luân chuyển thông tin thông qua việc sử dụng của tất cả
thông tin các loại hình phương tiện truyền thông.
Thỏa thuận luân Các thỏa thuận phải giải quyết các vấn đề luân chuyển an toàn thông tin kinh
chuyển thông tin doanh giữa tổ chức và các bên bên ngoài.
Thông điệp điện tử Thông tin bao hàm trong các thông điệp điện tử phải được bảo vệ một các
thỏa đáng.
Ver.01 01/10/2013 32
TCVN ISO/IEC 27001:2013
Thỏa thuận bảo mật Các yêu cầu cho thỏa thuận bảo mật và không tiết lộ thông tin phản ảnh nhu
và không tiết lộ thông cầu của tổ chức đối với việc bảo vệ thông tin phải được xác định, định kỳ soát
tin xét và được văn bản hóa.
A.14 System acquisition, development and maintenance – Tiếp nhận, phát triển và duy trì các hệ thống
thông tin
A.14.1 Security requirements of information systems – Các yêu cầu an toàn của các hệ thống thông tin
Objective: To ensure that security is an integral part of information systems across the entire lifecycle. This
includes in particular specific security requirement for information systems which provide services over public
networks.
Mục tiêu: Nhằm đảm bảo rằng an toàn là một phần không thể thiếu của các hệ thống thông tin trong suốt vòng đời
của nó. Điều này bao gồm các yêu cầu cụ thể về an toàn đối với các hệ thống thông tin cung cấp các dịch vụ qua
các mạng công cộng.
Phân tích và đặc tả Các yêu cầu về kiểm soát an toàn thông tin phải được bao gồm trong các
các yêu cầu an toàn thông báo về yêu cầu nghiệp vụ và kỹ thuật cho các hệ thống thông tin mới,
hoặc các hệ thống thông tin có sẵn được cải tiến, có tính đến tất cả các tiêu
chí liên quan như vòng đời hay các ứng dụng có sẵn trên các mạng công
cộng.
An toàn các dịch vụ Thông tin bao gồm trong các dịch vụ ứng dụng được truyền qua các mạng
ứng dụng trên các công cộng phải được bảo vệ khỏi các hoạt động gian lận, các tranh cãi về
mạng công cộng giao kèo và sự tiết lộ, sửa đổi trái phép.
Ver.01 01/10/2013 33
TCVN ISO/IEC 27001:2013
Thông tin bao gồm trong các dịch vụ ứng dụng giao dịch phải được bảo vệ để
Bảo vệ các dịch vụ ngăn chặn khỏi việc truyền không đầy đủ, sai địa chỉ, bị sửa đổi thông điệp
ứng dụng giao dịch trái phép, bị tiết lộ hoặc nhân bản thông điệp một cách trái phép.
A.14.2 Security in development and support processes – An toàn trong phát triển và hỗ trợ các quá trình
Objective: To ensure that information security is designed and implemented within the development lifecycle of
information systems.
Mục tiêu: Nhằm đảm bảo rằng an toàn thông tin được thiết kế và triển khai trong suốt vòng đời phát triển của các
hệ thống thông tin.
Chính sách phát triển Các quy tắc cho việc phát triển phần mềm và các hệ thống phải được thiết lập
an toàn và áp dụng cho hoạt động phát triển trong tổ chức.
Các thủ tục quản lý Việc triển khai các thay đổi phải được kiểm soát bằng việc sử dụng các thủ tục
thay đổi quản lý thay đổi chính thức.
Soát xét kỹ thuật các Khi các nền tảng điều hành bị thay đổi, các ứng dụng nghiệp vụ trọng yếu
ứng dụng sau khi phải được soát xét và kiểm tra lại nhằm đảm bảo không xảy ra các ảnh hưởng
thay đổi nền tảng bất lợi tới các hoạt động cũng như an toàn của tổ chức.
điều hành
Ver.01 01/10/2013 34
TCVN ISO/IEC 27001:2013
Các nguyên tắc cho an toàn kỹ thuật các hệ thống phải được thiết lập, văn bản
Các nguyên tắc an
hóa, duy trì và áp dụng với bất kỳ hệ thống thông tin nào được phát triển,
toàn kỹ thuật hệ
triển khai.
thống
Tổ chức phải thiết lập và bảo vệ thích đáng môi trường phát triển an toàn cho
An toàn môi trường
việc phát triển và tích hợp các hệ thống, bao gồm cả vòng đời phát triển hệ
phát triển
thống.
Phát triển thuê khoán Tổ chức phải quản lý và giám sát hoạt động thuê khoán phát triển hệ thống.
Kiểm thử chấp nhận Các chương trình kiểm thử và các tiêu chí liên quan về chấp nhận hệ thống
hệ thống phải được khởi tạo cho các hệ thống thông tin mới, nâng cấp phiên bản hoặc
sử dụng phiên bản mới.
Mục tiêu: Nhằm đảm bảo bảo vệ các dữ liệu đã sử dụng cho kiểm thử.
Dữ liệu kiểm thử phải được lựa chọn, bảo vệ và kiểm soát một cách thận
Bảo vệ dữ liệu kiểm trọng.
thử
Ver.01 01/10/2013 35
TCVN ISO/IEC 27001:2013
A.15 Supplier relationships - Các mối quan hệ với nhà cung ứng
A.15.1 Security in supplier relationships – An toàn trong quan hệ với các nhà cung ứng
Mục tiêu: Nhằm đảm bảo bảo vệ các thông tin của tổ chức có thể truy cập bởi các nhà cung ứng.
Chính sách an toàn Các yêu cầu an toàn thông tin để giảm thiểu các rủi ro liên quan đến các truy
thông tin cho các mối cập của nhà cung ứng đến thông tin hoặc các phương tiện xử lý thông tin của
quan hệ với nhà cung tổ chức phải được văn bản hóa.
ứng
Giải quyết an toàn Tất cả các yêu cầu liên quan đến an toàn thông tin phải được thiết lập và
trong các thỏa thuận đồng ý với mỗi nhà cung ứng có thể có quyền truy cập, xử lý, lưu trữ, truyền
với nhà cung ứng tải thông tin của tổ chức, hoặc cung cấp các thành phần cơ sở hạ tầng công
nghệ thông tin cho tổ chức.
A.15.2 Supplier service delivery management – Quản lý chuyển giao dịch vụ cho nhà cung ứng
Objective: To maintain an agreed level of information security and service delivery in line with supplier
agreements.
Mục tiêu: Nhằm duy trì và thống nhất mức độ an toàn thông tin và việc chuyển giao dịch vụ phù hợp với thỏa
thuận chuyển giao dịch vụ với nhà cung ứng.
Ver.01 01/10/2013 36
TCVN ISO/IEC 27001:2013
services delivery.
Giám sát và soát xét Tổ chức phải thường xuyên giám sát, soát xét và đánh giá dịch vụ chuyển giao
các dịch vụ của nhà cho nhà cung ứng.
cung ứng
A.16.1 Management of information security incidents and improvements – Quản lý các sự cố và sự cải tiến
an toàn thông tin
Objective: To ensure a consistent and effective approach to the management of information security incidents,
including communication on security events and weaknesses.
Mục tiêu: Nhằm đảm bảo cách tiếp cận phù hợp và hiệu quả để quản lý các sự cố an toàn thông tin, bao gồm cả
thông tin liên lạc về các sự kiện và điểm yếu an toàn thông tin.
Các trách nhiệm và Các trách nhiệm và thủ tục quản lý phải được thiết lập để đảm bảo sự phản
thủ tục ứng nhanh chóng, hiệu quả và đúng trình tự với các sự cố an toàn thông tin.
Báo cáo các điểm Mọi nhân viên và các bên bên ngoài sử dụng các dịch vụ và các hệ thống
Ver.01 01/10/2013 37
TCVN ISO/IEC 27001:2013
yếu về an toàn thông thông tin của tổ chức phải được yêu cầu ghi lại và báo cáo bất kỳ điểm yếu an
tin toàn thông tin nào quan sát được hoặc nghi ngờ thấy trong các hệ thống hoặc
các dịch vụ.
A.17 Information security aspects of business continuity management – Các khía cạnh an toàn thông tin
trong quản lý kinh doanh liên tục
Objective: Information security continuity shall be embedded in organization’s business continuity management
systems.
Mục tiêu: Sự liên tục an toàn thông tin phải được nhúng vào trong hệ thống quản lý kinh doanh liên tục của tổ
chức.
Ver.01 01/10/2013 38
TCVN ISO/IEC 27001:2013
Tổ chức phải định rõ các yêu cầu của tổ chức về an toàn thông tin và tính liên
Lập kế hoạch liên tục
tục của quản lý an toàn thông tin trong các tình huấn bất lợi, ví dụ như trong
an toàn thông tin
một cuộc khủng hoảng hoặc thiên tai.
Triển khai liên tục an Tổ chức phải thiết lập, văn bản hóa, triển khai và duy trì các quá trình, các
toàn thông tin thủ tục và các biện pháp quản lý để đảm bảo mức độ yêu cầu về liên tục cho
an toàn thông tin trong tình huấn bất lợi.
Kiểm tra, soát xét và Tổ chức phải kiểm tra việc thiết lập và triển khai các biện pháp quản lý đảm
đánh giá sự liên tục bảo liên tục an toàn thông tin trong các khoản thời gian thường xuyên để đảm
an toàn thông tin bảo rằng chúng hợp lý và có hiệu quả suốt các tình huấn bất lợi.
Mục tiêu: Nhằm đảm bảo tính sẵn sàng của các phương tiện xử lý thông tin.
A.18.1 Compliance with legal and contractual requirements – Sự tuân thủ các yêu cầu luật định và hợp
đồng
Objective: To avoid breaches of legal, statutory, regulatory or contractual obligations related to information
security and of any security requirements.
Mục tiêu: Nhằm tránh sự vi phạm nghĩa vụ pháp lý, luật, quy định hoặc nghĩa vụ hợp đồng liên quan đến an toàn
Ver.01 01/10/2013 39
TCVN ISO/IEC 27001:2013
Xác định các yêu cầu Tất cả các yêu cầu về pháp lý, quy định, nghĩa vụ hợp đồng có liên quan và
hợp đồng và luật cách tiếp cận của tổ chức để thỏa mãn các yêu cầu này phải được xác định rõ
định đang áp dụng ràng, văn bản hóa và được cập nhật thường xuyên cho mỗi hệ thống thông tin
và cho tổ chức.
Các thủ tục thích hợp phải được triển khai để đảm bảo tuân thủ các yêu cầu
Quyền sở hữu trí tuệ luật định, quy định và nghĩa vụ hợp đồng về việc sử dụng các tài liệu có thể có
quyền sở hữu trí tuệ và việc sử dụng các sản phẩm phần mềm độc quyền.
Sự riêng tư và bảo vệ Sự riêng tư và bảo vệ thông tin cá nhân phải được bảo đảm theo quy định tại
thông tin cá nhân pháp luật và các quy định có liên quan, nếu có.
Ver.01 01/10/2013 40
TCVN ISO/IEC 27001:2013
Objective: To ensure that information security is implemented and operated in accordance with the organisational
policies and procedures.
Mục tiêu: Nhằm đảm bảo rằng an toàn thông tin được triển khai và vận hành theo đúng với các chính sách và thủ
tục của tổ chức.
Sự tuân thủ các chính Người quản lý phải thường xuyên soát xét sự tuân thủ các thủ tục và quá trình
sách, tiêu chuẩn an xử lý thông tin trong phạm vi trách nhiệm của mình với các chính sách, tiêu
toàn chuẩn an toàn hoặc các yêu cầu an toàn khác.
Soát xét sự tuân thủ Các hệ thống thông tin phải được kiểm tra thường xuyên về sự tuân thủ các
về kỹ thuật chính sách và tiêu chuẩn an toàn thông tin của tổ chức.
Ver.01 01/10/2013 41