PHỤ LỤC A (Quy chuẩn) -

Tham chiếu các Kiểm soát An ninh Thông tin

(Annex A (Normative) - Information Security Controls Reference)
của TIÊU CHUẨN ISO/IEC 27001:2022 –
Các Hệ thống Quản lý ANTT (ISMS) - Các Yêu cầu

Các Kiểm soát ANTT, được Liệt kê trong Bảng A.1,

là được Rút ra trực tiếp từ (derived from) và Phù hợp với (aligned)
các Kiểm soát được Liệt kê trong các Điều từ 5 đến 8 của
ISO/IEC 27002:2022[1], và
=> phải được Sử dụng phù hợp Bối cảnh với Điều khoản 6.1.3.

Page 1
14 Lĩnh vực Kiểm soát - (Normative), Annex A, ISO/IEC 27001:2013
114
35 Mục tiêu Điểm
Kiểm soát Kiểm soát

Control = “Measure, Ban CYCP, 4 Mar 2015

that is Modifying Risk” http://www.antoanthongtin.vn/
 Các Kiểm soát ANTT (Information Security Controls)
Annex A (Normative), ISO/IEC 27001:2022

Control =
―Measure, 04
that is Lĩnh
Modifying vực
14 KS Vật lý Risk‖
Kiểm
soát (KS)
(themes)

93
37 KS Tổ chức Kiểm
soát
8 KS Con (controls)
34 KS Công nghệ
người
 Bảng A.1 – Các Kiểm soát An ninh Thông tin
(Information Security Controls)

5 Các Kiểm soát Tổ chức (Organizational Controls)

5.1 Các Chính sách về ANTT (Policies for Information Security)

KS: Chính Định nghĩa (defined),

sách ANTT Phê duyệt (approved) - bởi Lãnh đạo,
& các
Ban hành (published),
Chính sách Phải
Chủ đề được Truyền thông đến - NLĐ & các Bên quan tâm,
riêng Báo lại (acknowledged) - bởi NLĐ & các Bên quan tâm,
(Topic-specific Soát xét - tại các khoảng Thời gian hoạch định
Policies) & khi xảy ra các Thay đổi đáng kể

Page 4
 Chính sách ANTT (Information Security Policy)
a) Định nghĩa về ANTT (definition of information security);
b) các Mục tiêu ANTT (IS objectives) hoặc Khuôn khổ (framework)
để Đặt ra (setting) các Mục tiêu ANTT;
c) các Nguyên tắc (principles) để Hướng dẫn tất cả Hoạt động
liên quan đến ANTT;
d) Cam kết (commitment) để Thỏa mãn (to satisfy) các Yêu cầu áp
dụng, liên quan đến ANTT;
e) Cam kết để Cải tiến liên tục (improvement) về HTQL ANTT;
f) Chỉ định (assignment) các Trách nhiệm về Quản lý ANTT đối
với các Vai trò đã định nghĩa;
g) các Qui trình (procedures) về Xử trí (handling) các Miễn trừ
(exemptions) và Ngoại lệ (exeptions).

ISO/IEC 27002:2022 – IS, Cybersecurity, Privacy protection - IS Controls

 Các Chính sách Chủ đề riêng (Topic-specific Policies)
a) Kiểm soát Truy cập (Access control);
b) AN Vật lý & Môi trường (Physical & Environmental security);
c) Quản lý Tài sản (Asset management);
d) Chuyển giao TT (Information Transfer);
e) Cấu hình & Xử trí AN’ Thiết-bị Điểm cuối Người dùng
(Secure Configuration & Handling User endpoint devices)
a) AN Làm việc mạng (Networking Security);
b) Quản lý Sự cố ANTT (IS incident management);
c) Dự phòng (Backup);
d) Mã hóa & Quản lý Khóa (Cryptography & Key management);
e) Phân cấp & Xử trí TT (Information Classification & Handling);
f) Quản lý các Lỗ hổng Kỹ thuật (Management of Technical Vulnerabilities);
g) Phát triển AN’ (Secure Development);

ISO/IEC 27002:2022 – IS, Cybersecurity, Privacy protection - IS Controls

5.2 Các Vai trò & Trách nhiệm ANTT (Info.Security Roles & Responsibilities)

KS: Các Vai trò Phải Định nghĩa (defined) theo Nhu cầu
& Trách nhiệm
được Phân công (allocated) các của TC
ANTT

5.3 Tách biệt các Nhiệm vụ (Segregation of Duties)

KS: Các Nhiệm vụ xung đột & Phải

Tách biệt
các Khu vực Trách nhiệm xung đột được (segregated)

5.4 Các Trách nhiệm Lãnh đạo (Management Responsibilities)

*Chính sách ANTT,

KS: Phải Yêu cầu Áp theo *các Chính sách đặc thù,
Lãnh tất cả dụng
các *các Qui trình
đạo Nhân sự ANTT
đã được TC Thiết lập

Page 7
 Note: CIO=Chief Information Officer; CISO=Chief Information Security Officer
1. Các Trách nhiệm & Quyền hạn liên quan các Hoạt động ATTT:
ISO/IEC 27003:2017 – 5.3 Các Vai trò, Trách nhiệm & Quyền hạn TC

a) Hiệp đồng: Thiết lập, Triển khai, Duy trì, Báo cáo, Cải tiến - ISMS;
b) Tư vấn: Đánh giá (assessment) & Xử lý (treatment) Rủi ro (Risk) ANTT;
c) Thiết kế: các Quá trình (processes) và Hệ thống (systems) ANTT;
d) Lập (setting) Tiêu chuẩn về Xác định, Cấu hình (configuration), Vận
hành (operation) các Kiểm soát (controls) ANTT;
e) Quản lý (managing): các Sự cố (incidents) ANTT;
f) Soát xét (review) và Đánh giá kiểm toán (audit) ISMS.
2. Các Trách nhiệm & Quyền hạn liên quan các Vai trò khác:
g) Người Chủ TT (information owners);
h) Người Chủ Quá trình (process owners);
i) Chủ Tài sản (asset owners) (ví dụ, chủ ứng dụng (application owner)
hay chủ cơ sở hạ tầng (infrastructure owner);
j) Người Chủ Rủi ro (risk owners);
k) Bộ phận/Người -> Hiệp đồng ANTT (Vai trò Hỗ trợ trong ISMS);
l) Người Quản lý Dự án (project managers);
m) Người Quản lý Tuyến (line managers); và
n) Người Dùng TT (information users).
 Responsibilities of IS Roles in ISMS
Các Trách nhiệm về ATTT trong HT QL ATTT
Chuyên trách AT

Trưởng Dự án về tất cả các Vấn đề AT

AT Vật lý MT AT Con người AT Dữ liệu AT CNTT

Phục hồi Thảm họa

Khung Thực hành Tốt về AT & Liên tục NV
5.5 Liên hệ với các nhà Chức trách (Contact with Authorities)

KS: Phải Thiết lập & Duy trì Với Nhà Chức trách
TC Liên hệ các liên quan

5.6 Liên hệ với các Nhóm Quan tâm Đặc biệt

(Contact with Special Interested Groups)

Phải Với *Nhóm Quan tâm đặc biệt,

KS: Thiết lập & Duy trì
các *Diễn đàn AN Chuyên gia,
TC Liên hệ
*Hiệp hội nghề nghiệp

5.7 Thông-tin Mối đe dọa (Threat Intelligence) - (New 2022)

Phải Thu thập, Để Làm ra (to produce)

KS: TT liên quan đến
được Phân tích Thông-tin Mối đe dọa
các Mối đe dọa ANTT
(Threat Intelligence)

Page 10
5.8 ANTT trong Quản lý Dự án (Information Security in Project Management)

KS: Phải Tích hợp Vào Quản lý

ANTT được (integrated) trong Dự án

5.9 Kiểm kê TT và các Tài sản tương ứng khác

(Inventory of Information and other associated Assets)

KS: Việc Kiểm kê

Phải Phát triển (developed)
TT & các Tài sản tương ứng khác,
được Duy trì (maintained)
gồm cả Chủ sở hữu

5.10 Sử dụng Chấp nhận được TT và các Tài sản tương ứng khác
(Acceptable Use of Information & other associated Assets)

KS: Các Qui tắc về *Nhận biết (identified),

*việc Sử dụng Chấp nhận được, Phải
*Tài liệu hóa (documented),
*các Qui trình về việc Xử trí được
TT & các Tài sản tương ứng khác *Triển khai (implemented)

Page 11
 QUẢN LÝ RỦI RO ATTT, nhằm *Liên tục NV,
*Tuân thủ Luật pháp, Qui định, Hợp đồng
Hành động Cải tiến Hiệu lực Quản lý Rủi ro
Các mức độ AT, Tài sản TT & Giá trị Mối/Kẻ
Lỗ Theo
Mục Đe
hổng Tài sản Thông tin (Information Assets) dọa dõi,
Tiêu,
Đo
Phương
Primary Quá trình, Hoạt động - NV Thông tin Tài sản lường,
pháp
Assets (Business Processes, Activities) (Information) Chính Đánh
Quản
giá
lý
Hiệu
Rủi
Supporting Tài sản lực
ro
Assets Tổ Địa Nhân Mạng Phần Phần Hỗ trợ Các
ISO/IEC chức điểm sự (Net- mềm cứng Kiểm
Mức (Organi- (Site) (Perso- work) (Soft- (Hard-
27005 soát
:2018 Rủi ro zation) nnel) ware) ware) Mất
C, I, A Rủi
(H/M/L)
Chuẩn mực/Tiêu chí (Chấp nhận) Rủi ro ro
Quản lý Rủi ro: Đánh giá Rủi ro, Xử lý Rủi ro (Giảm thiểu, Giữ
nguyên, Né tránh, Chia sẻ => Kiểm soát Rủi ro), Chấp nhận Rủi ro Page 12
 Các loại Tài sản TT Cơ bản (Primary Assets)

1. Để mô tả Phạm vi, TC => cần Nhận diện các Tài sản Cơ bản.
ISO/IEC 27005:2018

2. Các Tài sản Cơ bản gồm 2 loại: A) Các Quá trình & Hoạt động NV, B) TT.
A) Các Quá trình (/Quá trình con), Hoạt động (Processes, Activities): Ví dụ:
a) Các Quá trình (QT) mà Mất/Suy giảm nó => Ko thể Thực hiện Sứ mệnh;
b) Các Quá trình (QT) chứa QT Bí mật hoặc QT liên quan Công nghệ Độc quyền;
c) Các Quá trình, mà nếu bị Sửa, => Ảnh hưởng Lớn đến Thực hiện Sứ mệnh;
d) Các Quá trình cần cho TC để Tuân thủ các YC Luật/Qui định/Hợp đồng;
B) Thông tin (TT). Nói chung TT Cơ bản - chủ yếu bao gồm:
a) Các TT sống còn để Thực hiện Sứ mệnh/Nghiệp vụ của TC;
b) Các TT Cá nhân, đc Định nghĩa bởi Luật về Riêng tư (Privacy);
c) Các TT Chiến lược để Đạt các Mục tiêu theo Định hướng Chiến lược;
d) Các TT Giá trị-cao, mà việc Thu thập, Cất giữ, Xử lý, Truyền TT đó Yêu cầu
Thời gian dài và/hoặc Chi phí Tìm mua cao;
3. Các Quá trình & TT mà Ko đc Nhận diện là Nhạy cảm (sensitive)
=> Không cần đc Phân cấp. Nghĩa là: Nếu các Quá trình/TT đó bị Tổn hại, -> thì TC
vẫn Hoàn thành Nhiệm vụ/Sứ mệnh (Mission).
=> Chúng thường đc Kiểm soát -> để Bảo vệ các Quá trình & TT Nhạy cảm
Page 13
 Các loại Tài sản TT Hỗ trợ (Supporting Assets)
- Tài sản Hỗ trợ: *có Lỗ hổng mà dễ bị Lợi dụng bởi Mối Đe dọa => Làm Hỏng
(Impair) Tài sản Cơ bản, *cần đc Nhận diện & Mô tả:
ISO/IEC 27005:2018

A. Phần cứng (Hardware): - để Hỗ trợ các Quá trình.

a) Thiết bị (TB) Xử lý Dữ liệu (tích cực-active):
b) TB Vận chuyển được (Transportable eqpt.):
c) Các (Thiết bị) Xử lý ngoại vi (Processing Periferals):
d) Phương tiện Dữ liệu (Data Medium) (thụ động-passive).
e) Phương tiện TT Điện tử (Electronic Medium):
f) Phương tiện khác: Giấy, slide, tài liệu văn bản, fax.
B. Phần mềm (PM) (Software): để Vận hành TB Xử lý Dữ liệu.
a) Hệ điều hành (Operating System):
b) PM DV, PM Bảo trì, PM Quản trị (Service, Maintenance, Administration):
c) PM Gói/Chuẩn (Package/Standard Software):
d) Ứng dụng Nghiệp vụ (Business Application):
C. Mạng (Network): - Các Thiết bị Viễn thông (Telecommunication Devices)
để Kết nối nhiều Máy tính/Phần tử của HT TT.
a) Phương tiện TT và các Hỗ trợ (Medium & Supports):
b) Bộ Chuyển tiếp Thụ động/Chủ động (Passive/Active Relay):
c) Giao diện Truyền thông (Communication Interface):
www.idasonline.com - Quality Consultancy Page 14
 Các loại Tài sản TT Hỗ trợ (Supporting Assets)

D. Nhân sự (Personnel): - Tham gia trong các HT TT.

ISO/IEC 27005:2018

a) Người Ra-Quyết định (Decision-maker):

b) Người dùng (User):
c) Nhân viên Vận hành/Bảo trì (Operation/Maintenance Staff):
d) Người Phát triển (Developer):
E. Điểm Trụ sở (Site): - Liên quan Scope, Phương tiện Vật lý.
a) Môi trường Ngoài (External environment):
b) Cơ sở (Premises): Các Công trình (establishment), Tòa nhà.
c) Vùng (Zone): Văn phòng, Vùng Truy cập riêng, Vùng AN (Secure zone).
d) Các DV thiết yếu (Essetial services):
e) Truyền thông (Communication):
f) Các Tiện ích (Uilities): Nguồn điện, Bộ Biến đổi, Bảng điện đầu cuối,…
F. Tổ chức (TC): Các Cấu trúc Nhân sự đc Phân công cho Nhiệm vụ & Qui trình.
a) Những Người có Quyền (Authorities): Ban Quản trị, Văn phòng chính.
b) Cấu trúc của TC (Structure): QL Nhân sự, QL CNTT, QL Mua sắm, QL Đơn vị
Nghiệp vụ, DV AT Tòa nhà, DV chữa cháy, QL Kiểm toán (Audit).
c) Tổ chức Dự án/HT (Project/System organization):
d) Nhà Thầu phụ/nhà Cung cấp/nhà Sản xuất:
Page 15
5.11 Hoàn trả các Tài sản (Return of Assets)

Hoàn trả đang Giữ, khi Chấm dứt

KS: Nhân sự & Phải Mà
các Bên quan tất cả Tài sản *Việc làm, *Hợp đồng,
họ *Thỏa thuận.
tâm khác của TC

5.12 Phân cấp TT (Classification of Information)

tính *Bảo mật,
KS: Phân cấp
Phải Dựa *Toàn vẹn, *Sẵn có,
Thông theo các Nhu cầu ANTT *các Yêu cầu liên quan
được vào
tin (TT) của TC
của các Bên quan tâm

5.13 Gán nhãn TT (Labelling of Information)

KS: Tập hợp các Sơ đồ Phân cấp TT,

Phải *Phát triển, theo
Qui trình thích hợp được Thông qua
được *Triển khai,
về Gán nhãn TT bởi TC

Page 16
Ma trận Tham chiếu Phân cấp Dữ liệu – A

Page 17
Ma trận Tham chiếu Phân cấp Dữ liệu – B

Page 18
5.14 Chuyển giao TT (Information Transfer)

KS: Các *Qui tắc, Phải có Tại chỗ - về tất cả *bên trong TC,
*Qui trình, *Thỏa thuận Loại Phương tiện *giữa TC với
– về Chuyển giao TT Chuyển giao các Bên khác

5.15 Kiểm soát Truy cập (Access Control)

KS: Các Qui tắc – để các Yêu cầu

Phải *Thiết lập, Dựa
KS Truy cập Vật lý & Logic Nghiệp vụ
được *Triển khai vào
- đến TT & & ANTT
các Tài sản tương ứng khác

5.16 Quản lý Danh tính (Identify Management)

Phải
KS: Toàn bộ Vòng đời của các Danh tính Quản lý (managed)
được

Page 19
5.17 Thông tin Xác thực (Authentication Information)

KS: Việc Phân Phải Kiểm soát Nhân sự tư vấn –

Gồm
bổ và Quản lý
được bằng Quá trình cả về Xử trí (Handling)
TT Xác thực Quản lý TT Xác thực

5.18 Các Quyền Truy cập (Access Rights)

KS: Các Quyền *Cung cấp, Chính sách Chủ đề-

Phải Theo
Truy cập - đến TT *Soát xét, đặc thù của TC, &
được *Sửa đổi, với các Qui tắc về
và các Tài sản
tương ứng khác *Hủy (Removed) Kiểm soát Truy cập

5.19 ANTT trong các Quan hệ Nhà cung ứng

(Information Security in Supplier Relationships)

tương
KS: Các Phải *Định nghĩa, *Triển khai việc Sử dụng các
Quá trình ứng Sản phẩm/Dịch vụ
được để Quản lý
& Qui trình với của Nhà cung ứng
các Rủi ro ANTT

Page 20
5.20 Giải quyết ANTT trong các Thỏa thuận Nhà cung ứng
(Addressing Information Security in Supplier Agreements)

KS: Phải Với Nhà cung ứng,

Thiết lập,
Các Yêu cầu được Thống nhất từng tùy theo Loại
ANTT liên quan Quan hệ Cung ứng

5.21 Quản lý ANTT trong Chuỗi cung ứng CN TT & Truyền thông
(Managing InfoSecurity in the ICT Supply chain)
tương
KS: Các Phải Định nghĩa & Triển ứng Chuỗi cung ứng
Quá trình khai - để Quản lý các Sản phẩm
được với
& Qui trình các Rủi ro ANTT & Dịch vụ - ICT

5.22 Theo dõi, Soát xét, Quản lý thay đổi các Dịch vụ Nhà cung ứng
(Monitoring, Review, Change managment of Supplier services)

Phải *Theo dõi, *Soát xét, Trong Thực hành &

KS: TC *Đánh giá (evaluate), Giao dịch vụ Cung ứng,
đều các
đặn *Quản lý thay đổi liên quan ANTT

Page 21
5.23 ANTT cho việc Sử dụng các Dịch vụ Đám mây - (New 2022)
(Information Security for Use of Clound services)

KS: Các Quá trình về Tìm-nhận, Yêu cầu

Sử dụng, Quản lý, Ra khỏi Phải Thiết Theo
ANTT
- các Dịch vụ (DV) đám mây được lập các
của TC

5.24 Hoạch định và Chuẩn bị Quản lý Sự cố ANTT

(Info. Security Incident Management Planning and Preparation)

KS: Phải Hoạch định, Chuẩn bị Bằng Định nghĩa, Thiết lập, Truyền
về việc Quản lý việc thông - các Quá trình, Vai trò,
TC
các Sự cố ANTT, Trách nhiệm Quản lý Sự cố ANTT

5.25 Đánh giá và Quyết định về các Sự kiện ANTT

(Assessment and Decision on Information security Events)
Đánh giá chúng có được Phân loại
KS: Phải xem
các Sự kiện ANTT, (categorized) như
TC & Quyết định, các Sự cố ANTT

Page 22
 Hình 1 - Quan hệ của các Đối tượng
trong Sự cố An ninh Thông tin (AN TT)

Mối đe dọa
(Threat)

Sự kiện AN TT Gây ra Lỗ hổng

(InfoSec Event) (Causes) (Vulnerability)
Đc Phân cấp như Phơi bày
(Classified as) (Exposes)

Sự cố AN TT Tác động Tài sản TT

(InfoSec Incident) (Impacts) (Information Assets)
ISO/IEC 27035:2016

Vận hành
(Operations)

Relationship of Objects in Information Security Incident

Page 23
 Quản lý Sự cố AN TT liên quan đến ISMS
và các Kiểm soát được áp dụng
ISO/IEC 27035:2016 - InfoSec Incident Management

Sự cố AN TT Tác động Các Tài sản TT

(InfoSec Incident) (Impacts) (Information Assets)

Các Vận hành

Đc Xử trí bởi (Operations)
(Handled) Bảo vệ AN TT của
(Protect InfoSecS of)
Quản lý Sự cố AN TT Các Kiểm soát Làm Giảm Rủi ro
(IS Incident Mngmt.) (Controls) (Reduce) (Risk)
Chia sẻ TT với Triển khai
(Share Info with) (Implements) Figure 2 —
Information Security
Các Bên Liên quan Incident management
Cải tiến ISMS
& IRT ngoài (External (Improve) in relation to ISMS
Stakeholders & IRTs) and applied controls
Page 24
 Các giai đoạn Quản lý Sự cố An ninh TT
Lập Kế hoạch
& Chuẩn bị

Học tập Phát hiện & Báo cáo

ISO/IEC 27035:2011
ISO/IEC 27035:2011

Các Phản ứng Đánh giá & Quyết định

Page 25
5.26 Phản ứng lại các Sự cố ANTT (Resonse to IS Incidents)

Qui trình
KS: Các Phải Phản ứng lại Theo
được Lập Tài liệu
Sự cố ANTT được (Responded) các (documented Procedures)

5.27 Học tập từ các Sự cố ANTT (Learning from IS Incidents)

KS: Kiến thức Tăng cường (Strengthen)

Phải Sử Để
(knowledge) thu được & Cải tiến (Improve)
được dụng
từ các Sự cố ANTT - các KS ANTT

5.28 Thu thập Bằng chứng (Collection of Evidence)

Thiết lập & Triển khai các Qui trình về Liên

KS: Phải quan
Nhận diện, Thu thập, Tìm-Nhận (acquisition) đến Sự kiện
TC các ANTT
Bảo quản (preservation) Bằng chứng

Page 26
Phân tích nguyên nhân gốc (Root cause Analysis)
5.29 ANTT trong khi Rối loạn (Information Security during Disruption)

KS: Phải Lập kế hoạch về ở Mức thích hợp,

TC Cách thức Duy trì ANTT - trong khi bị Rối loạn

5.30 Sẵn sàng CN TT & Truyền thông cho Liên tục Nghiệp vụ (New 2022)
(ICT Readiness for Business Continuity)

KS: Sẵn Tùy Mục tiêu Liên tục

Phải Lập kế hoạch, Triển khai, theo
sàng nghiệp vụ, &
được Duy trì, Thử nghiệm, các
ICT Yêu cầu Liên tục ICT

5.31 Các Yêu cầu Pháp lý, Luật định, Qui định, Hợp đồng
(Legal, Statutory, Regulatory, Contractual Requirements)

KS: Các Yêu cầu Pháp lý, Luật định, Hợp đồng Nhận diện,
Phải
liên quan đến ANTT, & Tài liệu hóa,
được
Cách Tiếp cận của TC để Đáp ứng các Yêu cầu này Giữ Cập nhật

Page 28
 Figure
Hình 2 2- Khuôn
— Business
khổContinuity
Liên tụcFramework
Nghiệp vụand
và
Its Đầu
các Related
ra ICT Output
CNTT và & Desiredthông
Truyền Outcomes
(ICT)
Thành
Khuôn khổ BCM Đầu ra quả
ICT mong
muốn
Thành phần BCM
+Đánh giá & Soát xét

Hạ tầng ICT (ICT Infrastructure)

Các Giai đoạn BCM (Stages)

Các

Sự Chịu đựng Nghiệp vụ

Các Quá trình (Processes)
Các Chính sách (Policies)
Rủi ro; +Phân tích
Phản ứng,
Tác động Nghiệp vụ

Con người (People)

(Business Resiliency)
Phục hồi
Chiến lược (Strategy) ICT
Kế hoạch BC (BC Plan)
Các
Thử nghiệm, Diễn tập
Kiểm soát
Nhận thức (Awareness) Làm giảm
Quản lý Chương trình Rủi ro
& Duy trì ICT

Business Continuity Framework & Its Related ICT Output & Desired Outcomes
www.idasonline.com
ISO/IEC - Quality
27031:2011-Guidelines Consultancy
for ICT Readiness for Business Continuity (IRBC) Page 29
 CÁC LUẬT về An ninh-An toàn TT của VN, 2018

Luật Giao dịch

Điện tử 2005
Luật CNTT
Luật … 2006
Luật Viễn
Luật Bảo vệ Bí mật
Lĩnh vực thông 2009
Nhà nước 2018

Luật AN mạng
An toàn An ninh Luật Sở hữu trí
tuệ 2005, 2009
2018 Thông tin/Mạng
(Information/ Luật Cơ yếu
Luật AT TT 2011
mạng 2015 Cyber Security)
Luật Bảo vệ Người
Luật Hình sự tiêu dùng 2010
2015
Luật Dân sự Luật Quảng
2015 cáo 2012

Page 30
 CÁC NGHỊ ĐỊNH về An ninh-An toàn TT của VN (2023)
13/2023/NĐ-CP:
Bảo vệ Dữ liệu Cá nhân
130/2018/NĐ-CP: Giao
dịch ĐT - Chữ ký số (CKS)
và DV Ch.thực CKS
53/2018/NĐ-CP: K.doanh
SP/DV Mật mã Dân sự
85/2016/NĐ-CP: Bảo
đảm An toàn Hệ thống
TT theo cấp độ
72/2013/NĐ-CP: Quản
lý Internet và DV
77/2012/NĐ-CP: Bổ sung
sửa đổi 90/2008/NĐ-CP
www.idasonline.com– www.idas.vn
57/2006/NĐ-CP: 26/2007/NĐ-CP: Chữ ký số
Thương mại Điện tử (CKS) và DV Ch.thực CKS
63/2007/NĐ-CP: Xử
phạt Vi phạm CNTT
Lĩnh vực 64/2007/NĐ-CP: Ứng
dụng CNTT trong CQ NN
An ninh-An toàn 90/2008/NĐ-CP:
Thông tin/Mạng Chống thư rác
(Information/ 28/2009/NĐ-CP: Xử
phạt Vi phạm Internet
Cyber Security)
25/2011/NĐ-CP: Hướng
dẫn Luật Viễn Thông
83/2011/NĐ-CP: 3/2011/NĐ-CP: Thông tin,
Xử phạt Vi phạm DV công trực tuyến CQ NN
trong Viễn Thông
5.32 Các Quyền Sở hữu Trí tuệ (Intellectual Property Rights)

KS: Phải Triển khai các Qui trình Để Bảo vệ các

TC (Procedures) thích hợp Quyền Sở hữu Trí tuệ

5.33 Bảo vệ các Hồ sơ (Protection of Records)

KS: Mất mát (loss), Phá hủy (destruction),

Phải Bảo Khỏi
Làm giả (falsification),
Các được vệ bị Truy cập Trái phép (unauthorized access),
Hồ sơ
Phát hành Trái phép (unauthorized release)

5.34 Sự Riêng tư và Bảo vệ TT Nhận biết Cá nhân (PII)

(Privacy & Protection of Personally Identifiable Information – PII)

Nhận biết & Đáp ứng

KS: Phải Theo Luật pháp, Qui định,
- các Yêu cầu về Bảo tồn
TC các Yêu cầu Hợp đồng
sự Riêng tư &
– áp dụng
TT Nhận biết Cá nhân (PII),

Page 32
 5.35 Soát xét Độc lập về ANTT (Independent Review of Information Security)

Cách Tiếp cận để Quản Soát Khoảng thời gian được

lý & Triển khai ANTT, Phải Tại
xét - Hoạch định, hoặc khi
gồm cả Con người, các được độc lập các
có các Thay đổi đáng kể
Quá trình, Công nghệ

5.36 Tuân thủ các Chính sách, Qui tắc và Tiêu chuẩn về ANTT
(Compliance with Policies, Rules and Standards for Information Security)

KS: Sự Tuân thủ - với Chính sách, Phải Soát xét - đều đặn
các Chính sách Chủ đề-đặc thù, (regularly reviewed)
được
các Qui tắc & Tiêu chuẩn về ANTT - của TC

5.37 Các Qui trình Vận hành dạng Văn bản (Documented Operating Procedures)

Các Qui trình Vận hành Tài liệu hóa,

Phải Nhân sự
cho các Cơ sở Xử lý TT
(Processing Facilities) được Làm để Sẵn có cho cần đến chúng

Page 33
 6 Các Kiểm soát Con người (People Controls)

6.1 Sàng lọc (Screening)

Các Kiểm tra Xác minh

Thực hiện có Bộ Luật (laws), Qui
TT Nền tảng (background Phải
trước khi Cân định (regulations),
verification checks) về
được nhắc Nguyên tắc Đạo đức
tất cả Ứng viên vào TC, và
các
để trở thành Nhân sự Tiếp diễn (ethics) - Áp dụng

việc Kiểm tra Phải Với Yêu cầu Nghiệp vụ,

Tỷ lệ Phân cấp TT - sẽ được Truy cập,
Xác minh các
Rủi ro nhận thức được

6.2 Các Điều khoản & Điều kiện Việc làm (Terms & Conditions of Employment)

KS: Các Thỏa thuận Phải Nêu các Trách nhiệm Về An ninh
Hợp đồng Việc làm của Nhân sự & của TC TT

Page 34
 6.3 Nhận thức, Giáo dục, Đào tạo - ANTT (IS Awareness, Education, Training)

KS: Nhân sự Nhận thức, Giáo dục, Đào tạo - về ANTT

của TC Nhận
Phải Chính sách ANTT,
& các được
Bên Quan Cập nhật các Chính sách Chủ đề-riêng,
tâm liên quan các Qui trình - liên quan
Chức năng công việc của họ
6.4 Quá trình Kỷ luật (Disciplinary Process)
Để
Quá trình Phải Chính thức hóa có Hành động đối với Nhân sự &
Kỷ luật các Bên Quan tâm – Người đã
được & Truyền thông các Phạm Vi phạm Chính sách ANTT

6.5 Các Trách nhiệm sau khi Chấm dứt hoặc Thay đổi Việc làm
(Responsibilities after Termination or Change of Employment)

Các Trách nhiệm & Nhiệm vụ Phải Định nghĩa, cho Nhân sự,
ANTT - vẫn còn Giá trị sau khi được Thực thi, các Bên
Chấm dứt/Thay đổi Việc làm - Truyền thông Quan tâm

Page 35
6.6 Các Thỏa thuận Bảo mật hay Không tiết lộ
(Confidentiality or Non-disclosure Agreements)

KS: Các Thỏa thuận Bảo mật hay *Nhận biết, *Lập Tài liệu,
Phải *Soát xét đều đặn,
Không tiết lộ - mà Phản ánh các
được *Ký kết bởi Nhân sự & các
Nhu cầu của TC - về Bảo vệ TT Bên Quan tâm liên quan khác

6.7 Làm việc Từ xa (Remote Working)

KS: Các Phải Triển khai, Bảo vệ TT,

Để
Biện pháp được khi Nhân sự được Truy cập, Xử lý, Cất giữ
AN Làm việc từ xa, bên ngoài Trụ sở của TC

6.8 Báo cáo các Sự kiện ANTT (Information Security Event Reporting)

Cung cấp Báo cáo các thông Kênh TT

KS: Phải Để Sự kiện ANTT, qua thích hợp,
Cơ chế
TC Quan sát được các 1 cách
cho Nhân sự
hoặc Nghi ngờ Kịp thời

Page 36
 7. Các Kiểm soát Vật lý (Physical Controls)

7.1 Vành đai AN Vật lý (Physical Security Perimeter)

KS: Các Phải Định nghĩa, Để Bảo vệ các Khu vực - chứa TT
Vành đai AN được Sử dụng & các Tài sản tương ứng khác

7.2 Ra vào Vật lý (Physical Entry)

KS: Các Khu vực AN’ Phải Bằng *Kiểm soát,

Bảo vệ
(Secure areas) được các *Điểm Truy cập ra vào

7.3 Đảm bảo AN các Văn phòng, Phòng và Cơ sở

(Securing Offices, Rooms & Facilities)

KS: An ninh Vật lý (Physical security) Phải Thiết kế (designed),

cho các Văn phòng, Phòng, Cơ sở được Triển khai (implemented)

Page 37
7.4 Theo dõi AN Vật lý (Physical security Monitoring) - (New 2022)

KS: Các Trụ sở Phải Theo dõi Về Truy cập Vật lý Trái phép
(Premises) được liên tục (Unauthorized Physical Access)

7.5 Bảo vệ chống các Mối Đe dọa Vật lý và Môi trường

(Protecting against Physical & Environmental Threats)

KS: Việc Bảo vệ chống các Mối Đe dọa Thiết kế

Phải (designed),
Vật lý và Môi trường, như Thảm họa Tự nhiên
(natural disasters), các Mối Đe dọa Vật lý khác được Triển khai
- đến Cơ sở Hạ tầng (implemented)

7.6 Làm việc trong các Khu vực AN’ (Working in Secure Areas)

KS: Các Biện pháp AN – Phải Thiết kế (designed),

cho Làm việc trong các Khu vực AN’ được Triển khai (implemented)

Page 38
7.7 Bàn sạch và Màn hình sạch (Clear Desk and Clear Screen)

KS: Qui tắc ―Bàn sạch‖ đối với các Giấy tờ *Định nghĩa,
Phải
& Phương tiện TT Cất giữ Tháo rời (removable *Thực thi
storage media), và Qui tắc ―Màn hình sạch‖ được
- thích hợp
đối với các Cơ sở Xử lý TT

7.8 Đặt vị trí và Bảo vệ Thiết bị (Equipment Siting & Protection)

Phải Đặt vị trí một cách AN’ (sited securely)

KS: Thiết bị
được Bảo vệ (protected)

7.9 AN các Tài sản ở Ngoài các Trụ sở (Security of Assets Off-Premises)

KS: Các Tài sản nằm ngoài Địa điểm Phải

Bảo vệ (protected)
(off-site Assets) được

Page 39
 7. Các Kiểm soát Vật lý (Physical Controls)

7.10 Phương tiện TT cất giữ (Storage Media)

Quản lý *Sơ đồ Phân cấp

KS: (classification scheme),
Phải suốt Vòng đời, từ: theo
Phương tiện *Tìm-nhận (Acquisition),
được *các Yêu cầu Xử trí
TT cất giữ *Sử dụng (Use), (handling requirements)
*Vận chuyển (Transport), - của TC
*Loại bỏ (Disposal)

7.11 Các Tiện ích Hỗ trợ (Supporting Utilities)

KS: *Lỗi hỏng

Các Cơ sở Gây Lỗi hỏng
Mất nguồn
Xử lý TT Phải Bảo Khỏi Bởi trong các
(power failures);
(Information được vệ các các Tiện ích
Processing *Rối loạn khác Hỗ trợ
Facilities) (disruptions)

Page 40
7.12 AN đường dây Cáp (Cabling Security)

Chặn-lấy (interception),
KS: Các Cơ sở Xử lý TT Phải Bảo Khỏi
Nhiễu (interference),
(Info. Processing Facilities) được vệ bị Hư hỏng (damage)

7.13 Bảo trì Thiết bị (Equipment Maintenance)

Phải Bảo trì Để Đảm bảo tính Sẵn có,

KS: Thiết bị Toàn vẹn, Bảo mật
được đúng
của TT

7.14 Loại bỏ/Sử dụng lại Thiết bị - AN’ (Secure Disposal/Re-use of Equipment)

để *Dữ liệu nhạy cảm,

KS: Các Hạng mục Phải Xác *PM Bản quyền -> được
của Thiết bị, mà Đảm
được minh bảo Gỡ bỏ/Ghi đè - 1 cách AN’
chứa Phương tiện
TT Cất giữ Trước khi
Loại bỏ/Sử dụng lại

Page 41
 8. Các Kiểm soát Công nghệ (Technological Controls)

8.1 Các Thiết-bị Điểm cuối Người dùng (User End point Devices)

KS: TT được Cất giữ, Xử lý, Truy cập Phải Bảo vệ

qua các Thiết-bị Điểm cuối Người dùng được (protected)

8.2 Các Quyền truy cập Đặc quyền (Privileged Access Rights)

KS: Việc Phân bổ (allocation) và Sử dụng (use) Phải Hạn chế (restricted),
các Quyền truy cập Đặc quyền được Quản lý (managed)

8.3 Hạn chế Truy cập TT (Information Access Restriction)

KS: Truy cập đến TT Chính sách Chủ đề-đặc

Phải Hạn chế theo
thù đã Thiết lập
& các Tài sản
tương ứng khác được (restricted)
- về Kiểm soát Truy cập

Page 42
8.4 Truy cập đến Mã Nguồn (Access to Source Code)

KS: Việc Truy cập Đọc & Viết (Read & Write Phải Quản lý (managed)
Access) ->đến *Mã Nguồn, *các Công cụ được thích hợp
phát triển, *Thư viện PM (Software Libraries)

8.5 Xác thực AN’ (Secure Authentication)

KS: Các Công nghệ Tùy *Hạn chế truy cập,

Phải Triển khai theo
& Qui trình - *Chính sách Chủ đề-
Xác thực AN’ được (implemented) các
đặc thù về KS Truy cập

8.6 Quản lý Dung lượng (Capacity Management)

Đều
Phải Theo dõi, với Yêu cầu Dung lượng
KS: Việc Sử dụng
các Nguồn lực được Điều chỉnh các Hiện tại & Kỳ vọng
(current & expected)

Page 43
 8.7 Bảo vệ chống PM Độc hại (Protection against Malware)

KS: Việc Bảo vệ Phải *Triển khai, Bằng Nhận thức Người dùng
chống PM Độc hại được *Hỗ trợ thích hợp

8.8 Quản lý các Lỗ hổng Kỹ thuật (Management of Technical Vulnerabilities) (New 2022)

KS: TT về các Lỗ hổng Kỹ thuật Phải được

Lấy (obtained)
của các HTTT - đang được Sử dụng
Phải
Sự Tiếp xúc (exposure) của TC với các Lỗ hổng được Đánh giá (evaluated)
Phải
các Biện pháp thích hợp Lấy (taken)
được
8.9 Quản lý Cấu hình (Configuration Management) (New 2022)

Các Cấu hình, gồm cả các Cấu hình AN, Phải *Thiết lập, *Lập Tài liệu,
của *Phần cứng, *PM, *Dịch vụ, *Mạng được *Triển khai, *Theo dõi,
*Soát xét

Page 44
8.10 Xóa TT (Information Deletion) (New 2022)

KS: TT được Cất giữ trong các Phải Xóa khi Không còn
*HT TT, *Thiết-bị (Devices), *Phương được Yêu cầu
được (deleted)
tiện TT cất giữ (Storage Media) nữa

8.11 Che mặt nạ Dữ liệu (Data Masking) (New 2022)

KS: Che Phải Sử theo *Chính sách KS truy cập, Có Pháp luật
mặt nạ được dụng *các Chính sách Đặc thù, Cân (legislation)
Dữ liệu (used) *các Yêu cầu Nghiệp vụ nhắc áp dụng

8.12 Ngăn ngừa Rò rỉ Dữ liệu (Data Leakage Prevention)

Các Biện pháp Áp *HT, *Mạng, *Thiết-bị khác –

Phải Cho
Ngăn ngừa dụng mà Xử lý, Cất giữ, Truyền phát
được các
Rò rỉ Dữ liệu (applied) - TT nhạy cảm

Page 45
8.13 (Sao lưu) Dự phòng TT (Information Backup)

Các Bản sao Dự phòng Phải Duy trì, theo Chính sách đặc thù
(backup copies) của các Thử nghiệm - đã thống nhất
được
TT, PM và HT đều đặn - về Dự phòng

8.14 Sự Dư thừa của các Cơ sở Xử lý TT

(Redundancy of Information Processing Facilities)

KS: Các Phải Triển khai với Để Đáp ứng

Cơ sở xử lý TT được sự Dư thừa các Yêu cầu
(Info. Processing Facilities) đủ (sufficient) về tính Sẵn có

8.15 Ghi nhật ký (Logging)

KS: Các Nhật ký (Logs) mà Ghi hồ sơ Làm ra (produced),

Phải
Cất giữ (stored),
các *Hoạt động (activities), *Ngoại lệ được Bảo vệ (protected),
(exeptions), *Sự kiện liên quan khác (events)
Phân tích (analysed)

Page 46
8.16 Các Hoạt động Theo dõi (Monitoring Activities) (New 2022)

Phải Theo dõi Về Hành vi bất thường

Các Mạng, HT, Ứng dụng
được (monitored) (anomalous behaviour)

Phải Lấy Để Đánh giá (evaluate) các

Các Hành động thích hợp
được (taken) Sự cố ANTT tiềm ẩn

8.17 Đồng bộ Đồng hồ (Clock Synchronization)

KS: Các Đồng hồ Nguồn thời gian

Phải Đồng bộ Đến
của các HT Xử lý TT được Phê duyệt
được (Synchronized) các
được TC Sử dụng (approved time sources)

8.18 Sử dụng các Chương trình Tiện ích Đặc quyền

(Use of Privileged Utility Programs)

KS: Việc Sử dụng các Chương trình Tiện Phải *Hạn chế,
ích, mà có thể có Khả năng Khống chế
được *Kiểm soát chặt chẽ
(overriding) các KS HT và KS Ứng dụng

Page 47
8.19 Cài đặt Phần mềm (PM) trên các Hệ thống (HT) Vận hành
(Installation of Software on Operational systems)

KS: Các Phải Để Quản lý việc Cài đặt PM

Triển
*Qui trình,
được một cách trên các
khai
*Biện pháp AN HT Vận hành

8.20 AN các Mạng (Networks Security)

KS: Các *Mạng, Phải Quản lý, Để Bảo vệ Trong Hệ thống,

*Thiết-bị mạng được Kiểm soát TT các Ứng dụng
(network devices)

8.21 AN các Dịch vụ Mạng (Security of Network Services)

KS: Các *Cơ chế AN (security Mechanisms), Phải Nhận biết,

*Mức Dịch vụ (service Levels), *Yêu cầu Dịch vụ được Triển khai,
(service Requirements) - của các Dịch vụ Mạng Theo dõi

Page 48
 6.1 Nền tảng – Hình 3 - Môi trường Mạng ví dụ
Figure 3 —
Example Network Environment Mạng Ngoại bộ
PKI
WLAN
Extranet
Gateways
ISO/IEC 27033-1:2015 - Network Security

Remote Site
Internal Gateways
Mạng Nội bộ

Remote
Demilitarized User
Internet
Gateways Zone
Wireless
Local
Remote Remote Area
User User Internet Network

Page 49
 18 Peer-to-Peer (P2P) security (AN Ngang hàng)
18.2 Need for Security (Nhu cầu về AN)
Mạng Mạng Mạng
Internet Sản xuất “được Bảo vệ”

Các Hệ thống
Tường lửa Người dùng

Các Hệ thống
Các Ứng dụng P2P Nhiệm vụ
Gửi Nội dung Độc hại Trọng yếu
(bao gồm
các Ứng dụng P2P)
Page 50
 Mô hình Phân vùng – Kiến trúc Ví dụ
(Zonning Model) (Sample Architecture)
Ng dùng
Ng dùng Ng dùng Đối tác
DV Công xa NV
Internet
cộng
Bên ngoài

Vành đai
Vùng Kiểm
Vùng Quản lý Vùng toán

Đệm

Vùng

Tin cậy

Vùng
Hạn chế

Advanced Persistent Threats (APT) Awareness - 2017

 Mô hình các Khu vực Rủi ro AT mạng
- Authenticity
Authenticity
Conidentiality, Integrity, Availability & Reliability - Control of authorized
& unauthorized use, &
exploitation of
network resources
- Non-repudiation
- Accountability
Data & Mã - Conidentiality etc. of
Data & Mã data at rest

End
End System
System Data & Code in transit & User
& User Network Network
Element Element
ISO/IEC 27033-1:2015

Administrators Administrators

Figure 5 — A Conceptual model Authentication

Authorisation
of network security risk areas Access Control
Control of authorized use
Page 52
8.22 Tách biệt các Mạng (Segregation of Networks)

KS: Các Nhóm các Phải Tách biệt Trong Mạng

*Dịch vụ TT, *Người dùng, *HT TT được (segregated) các của TC

8.23 Lọc Trang tin Web (Web Filtering) (New 2022)

KS: Việc Truy cập đến Phải Quản lý sự Phơi bày (exposure)
các Trang Web bên ngoài
được để Nội dung Độc hại
(external Websites) Làm giảm (Malicious content)

8.24 Sử dụng Mã hóa (Use of Cryptography)

KS: Các Qui tắc (rules) về Phải *Định nghĩa,

Sử dụng hiệu lực Mã hóa, gồm cả được *Triển khai
Quản lý Khóa mã (Cryptographic Key Management),

Page 53
8.25 Vòng đời Phát triển AT (Secure Development Life cycle)

KS: Các Qui tắc (rules) về Phải *Thiết lập (established),

Phát triển AT các PM và Hệ thống (HT) được *Áp dụng (applied)

8.26 Các Yêu cầu AT Ứng dụng (Application Security Requirements)

KS: Các Phải Nhận biết (identified), Phát triển (Developing),

Khi
Yêu cầu được Qui định (specified), Thu nhận (Aquiring)
ATTT Phê duyệt (approved) - các Ứng dụng

8.27 Các Nguyên tắc Kiến trúc & Xây-dựng HT AT

(Secure System Architecture & Engineering Principles)

*Thiết lập, Hoạt động

KS: Các Nguyên tắc về Phải Cho
*Tài liệu hóa, Phát triển
Xây-dựng các HT AT được các
*Duy trì, *Áp dụng HTTT

Page 54
8.28 Lập trình AT (Secure Coding) (New 2022)

KS: Các Nguyên tắc Phải Áp dụng Cho Phát triển PM

Lập trình AT được (applied) (software development)

8.29 Thử nghiệm AT trong Phát triển và Nghiệm thu

(Security Testing in Development and Acceptance)

KS: Các Quá trình Phải Định nghĩa, trong Vòng đời Phát triển
Thử nghiệm AT được Triển khai (development life cycle)

8.30 Phát triển Thuê ngoài (Outsourced Development)

KS: Phải *Định hướng, các Hoạt động liên quan đến
TC *Theo dõi, *Soát xét Phát triển HT được Thuê ngoài

8.31 Phân cách các Môi trường Phát triển, Thử nghiệm, Sản xuất
(Separation of Development, Test, Production Environments)

KS: Các Môi trường *Phát triển, Phải *Phân cách (separated),
*Thử nghiệm, *Sản xuất được *Đảm bảo AT (secured)

Page 55
8.34 Bảo vệ các HT TT trong khi Thử nghiệm Đánh giá
(Protection of Information systems during Audit Testing)

KS: Các Thay đổi đến các Phải Đối tượng của các Quá trình
*Cơ sở Xử lý TT và *Hệ thống TT là Quản lý Thay đổi

8.33 Thông tin Thử nghiệm (Test Information)

Phải *Lựa chọn, *Bảo vệ, *Quản lý

KS: TT Thử nghiệm
được - thích hợp

8.34 Bảo vệ các HT TT trong khi Thử nghiệm Đánh giá

(Protection of Information systems during Audit Testing)

KS: Các *Thử nghiệm & Người

*Hoạt động Đánh giá (Audit Phải *Lập kế hoạch, Giữa Thử nghiệm
activities), mà kéo theo được *Thỏa thuận
&
việc Đánh giá (Assessment) Lãnh đạo
các HT Vận hành thích hợp

Page 56
Information Security Controls (ISO/IEC 27001:2005)
 Hướng dẫn — Các Giai đoạn Quản lý Sự cố AN TT

ISO/IEC 27035:2016
LẬP KẾ HOẠCH VÀ CHUẨN BỊ (PLAN AND PREPARE)
Figure 3 - Information security incident managem!ent phases

 Chính sách Quản lý Sự cố AN TT, và Cam kết của lãnh đạo cao nhất
 Các Chính sách AN TT, gồm cả liên quan đến Quản lý Rủi ro, được cập
nhật cả ở mức TC và các mức Hệ thống, Dịch vụ, Mạng
 Kế hoạch Quản lý Sự cố AN TT
 Thiết lập IRT (Đội Phản ứng Sự cố)
 Các Quan hệ và Kết nối với các TC Nội bộ và Bên ngoài
 Hỗ trợ Kỹ thuật và Hỗ trợ khác (gồm cả Hỗ trợ Tổ chức và Vận hành)
 Phổ biến và Đào tạo Nhận thức Quản lý Sự cố AN TT
 Kiểm tra/Thử nghiệm Kế hoạch Quản lý Sự cố AN TT

PHÁT HIỆN VÀ BÁO CÁO (DETECTION AND REPORTING)

 Thu thập TT Nhận thức Tình huống từ Môi trường cục bộ và các Nguồn
Dữ liệu bên ngoài và các Tin tức mới (news feeds)
 Theo dõi các Hệ thống, Mạng TC Thành viên (constituancy systems & networks)
 Phát hiện và Báo động các Hoạt động Bất thường, Nghi ngờ và Độc hại
 Thu thập các Báo cáo Sự cố AN TT từ các TC Thành viên, Người bán
hàng, các IRT khác hoặc các TC AN hoặc các Bộ Truyền cảm tự động
 Báo cáo các Sự kiện AN TT
Page 58
 ĐÁNH GIÁ VÀ QUYẾT ĐỊNH (ASSESSMENT AND DESISION)
• Đánh giá AN TT và Xác định Sự cố AN TT

CÁC PHẢN ỨNG (RESPONSES)

• Xác định xem các Sự cố AN TT có được HOẠT ĐỘNG SAU SỰ CỐ
Kiểm soát không, bằng việc Điều tra (POST INCIDENT ACTIVITY)
• Kiềm chế và Tiệt trừ các Sự cố AN TT • Điều tra thêm, nếu được
• Phục hồi từ các Sự cố AN TT Yêu cầu
• Giải quyết và Đóng các Sự cố AN TT

HỌC TẬP KINH NGHIỆM (LESSONS LEARNT)

• Nhận biết các Bài học Kinh nghiệm
ISO/IEC 27035:2016

• Nhận biết việc Làm các Cải tiến cho AN TT

• Nhận biết việc Làm các Cải tiến cho Đánh giá Rủi ro AN TT và các Kết quả
Soát xét của Lãnh đạo
• Nhận biết việc Làm các Cải tiến cho Kế hoạch Quản lý Sự kiện AN TT
• Đánh giá Kết quả thực hiện và Hiệu lực của IRT
Page 59
 Ng.dùng/Nguồn Điểm Liên hệ (PoC) Đội Phản ứng Sự cố (IRT) Đội Xử trí
Khủng hoảng,
Sự 1. Lập Kế hoạch & Chuẩn bị (Plan & Prepare) gồm cả IRT
kiện
ANTT bên ngoài
Phát hiện Phát hiện Theo dõi &
Phát hiện
2. Phát
Báo cáo
hiện & Bất thường/Cảnh
Báo cáo No báo Bất thường
Có Điểm
(Detection, Liên hệ ko?
Reporting) Yes IS Incident report

3. Thu thập
Note:
Thông tin Thu thập
Đánh giá
ISO/IEC 27035:2016

Thông tin IRT –

& Đánh giá
Đội Phản
Quyết định ứng Sự cố
Đánh giá (Incident
Yes
Sự cố Response
(Assessment Có thể? Khẳng định Team)
& Decision) No No Sự cố?
Yes
Hình 4 — Biểu đồ Luồng 4. Phản ứng
Điều tra
Sự kiện & Sự cố ANTT (1/2) (Response)
 Ng.dùng/Nguồn Điểm Liên hệ (PoC) Đội Phản ứng Sự cố (IRT) Đội Xử trí
Yes Khủng hoảng,
gồm cả IRT
Figure 4 — Điều tra bên ngoài
Information
Sự cố Phản ứng lại
security Event được Kiểm Tình huống
and Incident soát? No Khủng hoảng
flow diagram 4. Phản Yes
(2/2) ứng Kiềm chế & Tẩy rửa
các Sự cố
(Response)
Khôi phục sau Sự cố
ISO/IEC 27035:2016

Giải quyết & Đóng Sự cố

Hoạt động sau Sự cố

Điều tra thêm, nếu được Yêu cầu
Làm giảm
Cảnh báo giả Soát xét (Review)
5. Bài học
Cải tiến (Improvement)
Kinh nghiệm
 Phụ lục B (Tham khảo)
Các Ví dụ về các Sự cố ANTT và Nguyên nhân của chúng
(Examples of Information security Incidents and their Causes)

B.1 Các Tấn công (Attacks)

B.1.1 Từ chối Dịch vụ (Denial of Service (DoS))
- Sự cố DoS -> Làm cho Hệ thống, Dịch vụ, Mạng bị Hỏng Vận
hành liên tục với Dung lượng dự kiến (capacity).
- Sự cố DoS do Phương tiện Kỹ thuật (technical means): *Loại bỏ
Tài nguyên (Resource Elimination); *Làm Thiếu Tài nguyên (Starvation).
- Sự cố DoS do các Phương tiện Phi Kỹ thuật (non-technical means):
ISO/IEC 27035:2016

Gây Mất TT, Dịch vụ TT, Cơ sở TT (information, service, facilities).

B.1.2 Truy cập Trái phép (Unauthorized access)

Gồm các Truy cập hoặc Sử dụng sai Hệ thống, Dịch vụ, Mạng.

Page 62
 B.1.3 Phần mềm Độc hại (Malicious software/Malware)
- Malware là 1 Chương trình/1 phần của Chương trình mà được
Chèn vào (inserted into) Chương trình khác, với ý định Sửa đổi Hành
vi gốc của nó (to modify its original behaviour), để thực hiện các Hoạt
động Độc hại như Trộm TT & Định danh (information & identify theft),
Phá hủy TT & Tài nguyên (information & resource destruction), Từ chối
Dịch vụ (Denial of Service), Thư rác (spam), v.v...
- 5 loại Tấn công Malware (Malware attacks): Vi rút; Sâu (worms); Ngựa
Trojan (Trojan horses); Mã Di động (mobile code); Hỗn hợp (blended).

B.1.4 Lạm dụng (Abuse)

Người dùng Vi phạm (violates) Chính sách AN Hệ thống TT của TC.
ISO/IEC 27035:2016

- Ví dụ: a) Tải xuống, Cài đặt các Công cụ Đột nhập (hacking tools);
b) Dùng e-mail của TC làm Thư rác/Việc Cá nhân;
c) Dùng Tài nguyên của TC để Thiết lập Trang Web trái phép;
d) Hoạt động Ngang hàng để Kiếm/Phân phối Tập tin cướp được.

Page 63
 B.2 Tập hợp Thông tin (Information Gathering)
Sự cố Tập hợp TT -> gồm các Hoạt động Nhận biết các Mục tiêu
tiềm ẩn (identifying potential targets) và Hiểu các Dịch vụ chạy trên đó.
- Ví dụ: Thăm dò để Nhận biết: a) Mục tiêu và Hiểu Hình thể Mạng
(network topology) bao quanh, xem Mục tiêu Truyền tin với Ai; b) các
Lỗ hổng trong Mục tiêu hoặc Môi trường Mạng trung gian của nó.
- Tập hợp TT bằng Ph.tiện kỹ thuật (trở thành Truy cập Trái phép):
a) Dumping Domain Name System (DNS) records; b) Pinging network addresses;
c) Probing the system; d) Scanning the available network ports on a system;….
- Tập hợp TT do các Phi-Kỹ thuật => gây ra:
ISO/IEC 27035:2016

a) Tiết lộ/Sửa đổi TT; b) Trộm cắp Sở hữu Trí tuệ (intellectual property);
c) Vi phạm Trách nhiệm giải trình (Breaches of Accountability), (VD: trong
việc Ghi nhật ký Tài khoản (in account logging);
d) Sử dụng sai Hệ thống TT (VD: Trái với Luật/Chính sách của TC.

Page 64