Professional Documents
Culture Documents
(Performance Evaluation)
7. Hỗ trợ (Support)
3.1 (access control) Kiểm soát Truy cập: Các Phương tiện để Đảm
bảo rằng Truy cập đến các Tài sản đc cấp Phép & Hạn chế, dựa vào
ISO/IEC 27000:2018
các YC Nghiệp vụ & AT
3.2 (attack) Cuộc Tấn công: Hành động cố gắng để Phá hủy, Phơi
bày, Thay đổi, làm Tê liệt, Trộm hoặc Chiếm Quyền Truy cập Trái phép
đến hoặc Sử dụng Trái phép Tài sản
3.5 (authentication) Sự Xác thực: Việc cung cấp sự Đảm bảo rằng
Đặc trưng được Yêu cầu (claimed) của Chủ thể (entity) là Đúng
3.7 (availability) Tính Sẵn có: Thuộc tính luôn Truy cập và Sử dụng đc
theo Yêu cầu (on demand) của Chủ thể Được Phép
3.10 (confidentiality) Tính Bảo mật: Thuộc tính mà TT ko đc Sẵn
sàng/bị Tiết lộ cho các Cá nhân, Chủ thể, Quá trình Không đc Phép
3.11 (competence) Năng lực: Khả năng áp dụng Kiến thức & Kỹ năng
để đạt các Kết quả dự định.
3.12 (consequence) Hậu quả: Kết quả của Sự kiện mà nó ảnh hưởng
các Mục tiêu (objectives)
www.idasonline.com - Quality Consultancy Page 6
3 Thuật ngữ, Định nghĩa
3.13 (Continual improvement) Cải tiến Liên tục: Hoạt động lặp lại để
Nâng cao Kết quả thực hiện (performance)
ISO/IEC 27000:2018
3.14 (Control) Kiểm soát: Biện pháp mà nó làm Thay đổi Rủi ro
3.16 (correction) Khắc phục: Hành động để Loại bỏ (eliminate) sự
Không Phù hợp (nonconformity) đã được Phát hiện
3.17 (corrective action) Hành động Khắc phục: Hành động để Loại bỏ
Nguyên nhân của sự Không Phù hợp và Phòng ngừa Xảy ra lại
3.19 (documented information) TT Dạng Văn bản/TT Văn bản (VB):
TT được Yêu cầu bị Kiểm soát và Duy trì bởi TC (organization) và
Phương tiện (medium) trong đó chứa TT
3.20 (effectiveness) Tính Hiệu lực: Mức độ (extent) mà các Hoạt động
đã Hoạch định đc Hiện thực hóa và các Kết quả Hoạch định Đạt đc.
3.21 (event) Sự kiện: Việc Xảy ra (occurrence) hoặc sự Thay đổi
(change) tập hợp (set) cụ thể các Hoàn cảnh (circumstances)
3.22 (external context) Bối cảnh bên Ngoài: Môi trường bên Ngoài mà
trong đó TC Tìm kiếm (seeks) để Đạt các Mục tiêu của nó.
www.idasonline.com - Quality Consultancy Page 7
3 Thuật ngữ, Định nghĩa
3.27 (information processing facilities) Cơ sở Xử lý TT: Bất kỳ HT
Xử lý TT, DV hay Cơ sở hạ tầng, hay Vị trí (location) Vật lý chứa nó
ISO/IEC 27000:2018
3.28 (information security) An ninh-An toàn Thông tin (ATTT): Việc
Bảo tồn tính Bảo mật, Toàn vẹn và Sẵn sàng của TT
3.29 (information security continuity) Liên tục ATTT: Các Quá trình
và Qui trình để Đảm bảo Vận hành ANTT liên tục
3.30 (information security event) Sự kiện ATTT: Việc Xảy ra đc Nhận
biết về Trạng thái của HT, DV hoặc Mạng, mà hiển thị 1 Vi phạm có thể
về Chính sách ATTT hoặc Lỗi hỏng Kiểm soát, hoặc Tình huống chưa
biết trước đây mà có thể liên quan AT
3.31 (information security incident) Sự cố ATTT: Một hay 1 loạt các
Sự kiện ATTT không muốn hay không mong đợi mà có Xác suất đáng
kể về Tổn hại (compromising) Vận hành Nghiệp vụ (business
operations) và đe dọa (threatening) ATTT
3.32 (information security incident management) Quản lý Sự cố
ATTT: Tập hợp các Quá trình về Phát hiện, Báo cáo, Đánh giá, Phản
ứng lại, Đối phó với, và Học tập từ các Sự cố ATTT
www.idasonline.com - Quality Consultancy Page 8
3 Thuật ngữ, Định nghĩa
3.35 (information system) Hệ thống TT: Tập hợp các Ứng dụng, Dịch
vụ, Tài sản (assets) CNTT, hoặc Thành phần Xử-lý TT
ISO/IEC 27000:2018
3.36 (integrity) Tính Toàn vẹn: Thuộc tính về sự Chính xác (accuracy)
và Hoàn chỉnh (completeness)
3.37 (interested party/stakeholder) Bên Quan tâm: Người hoặc TC
mà có thể Ảnh hưởng (affect), bị Ảnh hưởng, hoặc tự Nhận thức
(perceive) sẽ bị ảnh hưởng bởi Quyết định hoặc Hoạt động
3.39 (level of risk) Mức Rủi ro: Độ lớn (magnitude) của Rủi ro được
thể hiện bằng Kết hợp (combination) của các Hậu quả (consequences)
và Khả năng xảy ra chúng (likelihood)
3.40 (likelihood) Khả năng (xảy ra): Cơ hội Xảy ra một Cái gì
3.41 (management system) Hệ thống Quản lý: Tập hợp các Phần tử
Liên quan hoặc Tương tác lẫn nhau của TC để Thiết lập các Chính
sách và Mục tiêu và Quá trình để Đạt các Mục tiêu này
3.43 (measurement) Đo lường: Quá trình để Xác định một Giá trị
3.46 (monitoring) Theo dõi: Việc Xác định (determining) Trạng thái
(status) của một Hệ thống, Quá trình hay Hoạt động
www.idasonline.com - Quality Consultancy Page 9
3 Thuật ngữ, Định nghĩa
3.47 (nonconformity) Sự Không Phù hợp: Sự Không-Thực hiện đủ
(non-fulfilment) một Yêu cầu (requirement)
ISO/IEC 27000:2018
3.48 (non-repudiation) Sự Không-Thoái thác: Khả năng chứng minh
sự việc Xảy ra của Sự kiện hoặc Hành động được Yêu cầu và các Chủ
thể thực hiện nó (its originating entities)
3.49 (objective) Mục tiêu: Kết quả cần Đạt được (be achieved)
3.50 (organization) Tổ chức (TC): Người/Nhóm người mà có các Chức
năng với Trách nhiệm, Quyền hạn và Mối Quan hệ của riêng mình để Đạt
các Mục tiêu
3.52 (performance) Kết quả thực hiện (Thành tích): Kết quả Đo lường đc
3.53 (policy) Chính sách: Các Dự kiến và Định hướng của TC, như
được thể hiện chính thức bởi Lãnh đạo cao nhất của nó
3.54 (process) Quá trình: Tập hợp các Hoạt động Liên quan và Tương
tác lẫn nhau mà chúng biến đổi (transforms) các Đầu vào thành Đầu ra
3.55 (reliability) Tính Tin cậy: Thuộc tính của các Hành vi (behaviour)
và Kết quả (results) Dự kiến Nhất quán/Chắc chắn
www.idasonline.com - Quality Consultancy Page 10
3 Thuật ngữ, Định nghĩa
3.56 (requirement) Yêu cầu: Nhu cầu hoặc Mong đợi mà đc Nêu
(stated), Ngụ ý (implied) hoặc Bổn phận nói chung (generally)
ISO/IEC 27000:2018
3.57 (residual risk) Rủi ro Còn lại: Rủi ro (risk) vẫn còn lại sau Xử lý
Rủi ro (risk treatment)
3.58 (review) Xem/Soát xét: Hoạt động được Thực hiện để Xác định
Phù hợp (suitability), Đầy đủ (adequacy), và Hiệu lực (effectiveness)
của Chủ đề, để Đạt các Mục tiêu đã Thiết lập
3.61 (risk) Rủi ro (RR): Tác động (effect) của sự Không chắc chắn
(uncertainty) đến các Mục tiêu (objectives)
3.62 (risk acceptance) Chấp nhận Rủi ro (RR): Quyết định đc Thông
báo để Nhận (to take) một Rủi ro Đặc biệt (particular)
3.63 (risk analysis) Phân tích Rủi ro (RR): Quá trình để Hiểu Tính
chất của Rủi ro và Xác định Mức của Rủi ro
3.64 (risk assessment) Đánh giá Rủi ro (RR): Quá trình Tổng thể
Nhận diện Rủi ro (risk identification), Phân tích Rủi ro(risk analysis) và
Đánh giá so sánh Rủi ro (risk evaluation)
www.idasonline.com - Quality Consultancy Page 11
3 Thuật ngữ, Định nghĩa
ISO/IEC 27000:2018
hành để Cung cấp, Chia sẻ hoặc Lấy đc TT, và Tham gia đóng góp
trong Trao đổi với các Bên Quan tâm, về việc Quản lý Rủi ro
3.66 (risk criteria) Tiêu chí/Chuẩn mực Rủi ro: Chuẩn mực
(reference) để Độ Đáng kể của Rủi ro đc Đánh giá so sánh với.
3.67 (risk evaluation) Đánh giá so sánh Rủi ro: Quá trình So sánh
Kết quả Phân tích RR với Chuẩn mực RR để Xác định xem RR
và/hoặc Độ lớn của nó có Chấp nhận/Cho phép không
3.68 (risk identification) Nhận diện RR: Quá trình Tìm ra (finding),
Công nhận (recognizing) và Mô tả (describing) các RR
3.69 (risk management) Quản lý Rủi ro (RR): Các Hoạt động Hiệp
đồng để Định hướng và Kiểm soát một TC về Rủi ro
3.70 (risk management process) Quá trình Quản lý RR: Việc Áp
dụng 1 cách Hệ thống các Chính sách, Qui trình và Thực hành Quản lý
vào các Hoạt động Truyền thông, Tư vấn, Thiết lập Bối cảnh và Nhận
diện, Phân tích, Đánh giá so sánh, Xử lý, Theo dõi và Soát xét Rủi ro
www.idasonline.com - Quality Consultancy Page 12
3 Thuật ngữ, Định nghĩa
3.71 (risk owner) Chủ Rủi ro: Người hoặc Chủ thể có Trách nhiệm
ISO/IEC 27000:2018
Giải trình (accountability) và Quyền hạn để Quản lý Rủi ro
3.72 (risk treatment) Xử lý Rủi ro: Quá trình Thay đổi RR
3.73 (security implementation standard) Tiêu chuẩn Thực hiện AT:
Tài liệu Qui định Cách Thực hiện AT được phép.
3.74 (threat) Mối Đe dọa: Nguyên nhân tiềm ẩn của Sự cố Không
muốn, cái có thể gây ra Hại (harm) cho Hệ thống hoặc TC
3.75 (top management) Lãnh đạo cao nhất: Người hoặc Nhóm
người mà Định hướng và Kiểm soát một TC ở mức cao nhất
3.76 (trusted information communication entity) Chủ thể Truyền
thông TT Tin cậy: TC Tự trị mà Hỗ trợ Trao đổi TT trong Cộng đồng
Chia sẻ TT (information sharing community)
3.77 (vulnerability) Lỗ hổng: Điểm yếu của Tài sản hoặc Kiểm soát,
mà nó có thể bị Lợi dụng bởi một hay nhiều Mối Đe dọa
Các vấn đề Nội bộ & Bên ngoài, mà liên quan Mục đích, Chiến lược,
m{ ảnh hưởng đến Khả năng đạt Kết quả dự kiến của ISMS: 1. Xác
định
Nội bộ: *Quản trị, Cấu trúc của TC, các Vai trò & Trách nhiệm giải trình; *các
Chính sách, Mục tiêu, Chiến lược; *Nguồn lực, Kiến thức (Vốn, Thời gian,
Con người, các Quá trình, Hệ thống, Công nghệ); *các Hệ thống TT, Luồng
TT, Quá trình ra Quyết định ; *các Quan hệ với, Nhận thức & Giá trị của Tổ
Bên Quan tâm Nội bộ; *Văn hóa của TC; *các Tiêu chuẩn, Hướng dẫn, Mô chức
hình của TC; *Dạng & Mức độ các Quan hệ Hợp đồng. (TC)
Bên ngoài: *Môi trường Văn hóa, Xã hội, Chính trị, Pháp lý, Chế định, Tài phải
chính, Công nghệ, Kinh tế, Tự nhiên, Cạnh tranh – Quốc tế/Quốc gia/Khu
vực/Địa phương; *Các Động lực & Xu thế có tác động đến Mục tiêu của TC;
*Các Quan hệ với, Nhận thức & Giá trị của Bên Quan tâm Ngoài.
Note: Việc xác định các Vấn đề này => tham chiếu đến Thiết lập Bối cảnh
Nội bộ, Bên ngoài của TC, được nêu trong 5.3, ISO 31000:2018.
4.1www.idasonline.com - Quality
(Understand your organization Consultancy
& its context) Page 14
4. Bối cảnh của Tổ chức
4.2 Hiểu các Nhu cầu (Needs) & Mong đợi/Kỳ vọng
(Expectation) của các Bên Quan tâm (Interested Parties)
*Bên Quan tâm: Người/TC mà có thể Ảnh hưởng (affect), bị Ảnh hưởng, tự
Nhận thức (perceive) là bị ảnh hưởng bởi Quyết định/Hoạt động. (ISO 27000)
Ví dụ: NLĐ, Cổ đông/Chủ, CQ QL NN, DV Khẩn nguy (Cứu hỏa, Cảnh sát, Cấp
cứu Y tế), Khách hàng, Gia đình NLĐ, Truyền thông, Đối tác/Nhà cung ứng,…
www.idasonline.com - Quality Consultancy Page 15
4. Bối cảnh của Tổ chức
4.3 Xác định Phạm vi của QMS/ISMS (Determining the Scope of the QMS/ISMS)
a) Đảm bảo các Chính sách & các Mục h) Hỗ trợ các vị trí Quản lý liên
tiêu ATTT được Thiết lập, phù hợp quan để chứng tỏ sự lãnh đạo
với định hướng Chiến lược của TC; của họ, phù hợp với các phạm
vi trách nhiệm của họ.
b) Đảm bảo Tích hợp các Lãnh đạo cao
Yêu cầu của ISMS vào g) Thúc đẩy Cải tiến
nhất phải liên tục
các Quá trình của TC;
Chứng tỏ Sự
l~nh đạo & f) Chỉ dẫn và Hỗ trợ
c) Đảm bảo các
Cam kết về các Nhân sự để họ
Nguồn lực cần thiết
ISMS, bằng Đóng góp cho tính
cho ISMS là sẵn có;
việc: Hiệu lực của ISMS
d) Truyền thông tầm quan trọng
của ISMS hiệu lực, và của sự Phù e) Đảm bảo rằng ISMS Đạt được
hợp đối với các Yêu cầu của ISMS các Đầu ra dự kiến của nó.
*Rủi ro (risk): Tác động của sự Không chắc chắn (uncertainty) đến các Mục tiêu (objectives).
www.idasonline.com - Quality Consultancy Page 21
6 Hoạch định (Planning) – ISO 27001
6.1.2 Đánh giá Định lượng Rủi ro* (RR) ATTT (IS Risk Assessment)
a) Thiết lập & Duy trì
Note: Xem Nguyên tắc & Hướng dẫn trong ISO 31000
b) Đảm bảo các c) Nhận diện các Rủi ro ATTT:
các Tiêu chí Rủi ro* Kết quả Định 1. Nhận diện Rủi ro liên quan
ATTT (IS Risk criteria): lượng RR Nhất đến việc mất Bảo mật, Toàn
1. Các Chuẩn mực quán, Hiệu lực và vẹn, Sẵn sàng của TT,
Chấp nhận Rủi ro; So sánh được; trong Phạm vi của ISMS;
2. Các Chuẩn mực 2. Nhận diện các Chủ Rủi ro*
để thực hiện Đánh (Risk Owners).
giá Rủi ro ATTT;
Quá trình ĐG
1. ĐỊNH NGHĨA Định lượng d) Phân tích RR ATTT:
Tổ chức Rủi ro ATTT: 1. Đánh giá (assess) các
phải ÁP DỤNG Hậu quả tiềm ẩn, nếu
các Rủi ro đã nhận diện
2. LƯU e) Đánh giá so sánh RR ATTT: tại 6.1.2c)1) -> thành
GIỮ hiện thực;
1. So sánh các Kết quả Phân
Thông tin VB tích Rủi ro với các Chuẩn mực 2. Đánh giá Khả năng
về Rủi ro đã được Thiết lập tại xảy ra các Rủi ro đã
Quá trình 6.1.2a); nhận diện tại 6.1.2c)1);
Đ|nh gi| 2. Xếp Ưu tiên các RR được 3. Xác định Mức Rủi ro.
Rủi ro ATTT Phân tích cho việc Xử lý RR.
*Hậu quả (consequence): Kết quả của Sự kiện mà nó ảnh hưởng các Mục tiêu (objectives).
Ví dụ Ma trận Đánh giá Rủi ro (RR) – Ví dụ 1
Hậu quả/Tác động
Khả năng 0 1 2 3 4
4 4 5 6 7 8
3 3 4 5 6 7
2 2 3 4 5 6
1 1 2 3 4 5
0 0 1 2 3 4
0-4: Rủi ro Thấp: Hoạt động có thể được Tiếp tục với sự Giám sát bình thường,
sau khi áp dụng thực hiện các biện pháp Kiểm soát.
5-6: Rủi ro Trung bình: Hoạt động có thể được Tiếp tục nếu các biện pháp Kiểm
soát phù hợp nhất đã được Nhận diện và Áp dụng thực hiện.
7-8: Rủi ro Cao: Hoạt động KHÔNG ĐƯỢC Tiếp tục. Các Phương pháp làm việc
phải được Nhận diện.
*Tiêu chí Rủi ro (risk criteria): Chuẩn mực (reference) để Độ
Đáng kể (significance) của Rủi ro được Đánh giá so sánh với.
Ví dụ Ma trận Đánh giá Rủi ro (RR) – Ví dụ 2
Hậu quả/Tác động (9 mức Rủi ro)
Khả năng 0 1 2 3 4
4 4 5 6 7 8
3 3 4 5 6 7
2 2 3 4 5 6
1 1 2 3 4 5
0 0 1 2 3 4
0-2: Rủi ro Thấp: Hoạt động có thể được Tiếp tục với sự Giám sát bình thường,
sau khi áp dụng thực hiện các biện pháp Kiểm soát.
3-5: Rủi ro Trung bình: Hoạt động có thể được Tiếp tục nếu các biện pháp Kiểm
soát phù hợp nhất đã được Nhận diện và Áp dụng thực hiện.
6-8: Rủi ro Cao: Hoạt động KHÔNG ĐƯỢC Tiếp tục. Các Phương pháp làm việc
phải được Nhận diện.
*Tiêu chí Rủi ro (risk criteria): Chuẩn mực (reference) để Độ
Đáng kể (significance) của Rủi ro được Đánh giá so sánh với.
Ví dụ Ma trận Đánh giá Rủi ro (RR) – Ví dụ 2
Hậu quả/Tác động (14 mức Rủi ro)
Khả năng 1 2 3 4 5
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
0-2: Rủi ro Thấp: Hoạt động có thể được Tiếp tục với sự Giám sát bình thường,
sau khi áp dụng thực hiện các biện pháp Kiểm soát.
3-5: Rủi ro Trung bình: Hoạt động có thể được Tiếp tục nếu các biện pháp Kiểm
soát phù hợp nhất đã được Nhận diện và Áp dụng thực hiện.
6-8: Rủi ro Cao: Hoạt động KHÔNG ĐƯỢC Tiếp tục. Các Phương pháp làm việc
phải được Nhận diện.
*Tiêu chí Rủi ro (risk criteria): Chuẩn mực (reference) để Độ
Đáng kể (significance) của Rủi ro được Đánh giá so sánh với.
6 Hoạch định (Planning) – ISO 27001
6.1.3 Xử lý Rủi ro AT TT (InfoSecurity Risk Treatment)
Note: Xem Nguyên tắc & Hướng dẫn trong ISO 31000
a) Chọn các b) Xác định tất cả c) So sánh các Kiểm soát đã
Phương án (Option) Kiểm soát cần thiết để xác định ở 6.1.3 b) với các
thích hợp Xử lý Triển khai Phương án Kiểm soát trong Annex A, và
Rủi ro* ATTT, dựa Xử lý RR ATTT đã Kiểm tra xác nhận rằng không
vào Kết quả Đánh chọn; Note: có thể Thiết có Kiểm soát cần thiết nào bị
giá RR; kế/Lấy từ Nguồn khác. bỏ sót; Note: Annex A không
phải là đủ hết, TC có thể chọn
Kiểm soát khác ở ngoài Annex A.
1. ĐỊNH Quá trình
Tổ chức NGHĨA d) Tuyên bố Áp dụng (SoA),
Xử lý Rủi ro*
phải gồm các: *Kiểm soát cần
ATTT để:
ÁP DỤNG thiết (6.1.3 b) & c)); *Lý giải
2. LƯU
Đưa chúng vào; *Kiểm soát
GIỮ f) Lấy được sự Phê cần thiết -> đc Triển khai/Ko;
Thông tin VB duyệt của Chủ sở *Lý giải về Loại trừ bất kỳ
về hữu RR về: *Kế Kiểm soát Annex A nào;
Quá trình hoạch Xử lý RR, và
Xử lý Rủi ro *Chấp nhận các Rủi e) Xây dựng Kế hoạch Xử lý
ATTT ro ATTT còn lại. Rủi ro* ATTT (RTP);
www.idasonline.com
6.1.3 (Develop an information-security
Quality Consultancy
risk treatment process) Page 30
*Xử l{ Rủi ro (risk treatment): *Rủi ro Còn lại (residual risk):
Quá trình Thay đổi RR. RISK Rủi ro (risk) vẫn còn lại sau Xử
ASSESSMENT
l{ Rủi ro (risk treatment)
RESULTS
Các Kết quả Đánh giá RR
1. Khi TC xác định Nhu cầu về các Thay đổi đến ISMS, thì
các Thay đổi => phải được thực hiện theo Kế hoạch.
*Hệ thống Quản l{ (Management System): Tập hợp các Phần tử có Liên quan/Tương tác lẫn
nhau của TC để Thiết lập Chính sách, Mục tiêu và các Quá trình để Đạt các Mục tiêu đó.
a) Xác định Năng lực cần thiết cho Nh}n viên l{m việc -
Tổ m{ có Ảnh hưởng đến Kết quả thực hiện của ISMS;
chức
phải b) Đảm bảo Nh}n viên đó có đủ Năng lực
trên cơ sở Gi|o dục, Đ{o tạo, Kinh nghiệm;
*Năng lực (competence): Khả năng áp dụng Kiến thức & Kỹ năng để đạt các Kết quả dự định
www.idasonline.com - Quality Consultancy Page 35
7 Hỗ trợ (Support)
7.3 Nhận thức (Awareness)
(7.3 Support your ISMS by making people aware of their responsibilities)
ĐẢM
BẢO c) Sự đóng góp của họ cho Hiệu lực
(effectiveness) của ISMS, gồm cả c|c Lợi ích
Người (benefits) của Kết quả thực hiện
l{m việc CÓ được Cải tiến (improved performance);
dưới sự NHẬN
THỨC
Kiểm so|t d) Hệ quả (implication) của sự Không phù hợp*
VỀ
của TC, - đến các Yêu cầu của ISMS.
*Sự Không Phù hợp (nonconformity): Sự Không-Thực hiện đáp ứng (non-fulfilment) một Yêu cầu
www.idasonline.com - Quality Consultancy Page 36
7 Hỗ trợ (Support)
Nhu cầu về
XÁC Truyền thông BAO a) Trao đổi về C|i gì?
Tổ ĐỊNH Nội bộ & GỒM b) Khi nào Trao đổi?
chức Bên ngoài, c) Trao đổi với Ai?
phải liên quan đến d) Trao đổi Thế n{o?
HT QL* e) Ai Trao đổi? (9001)
ATTT
7.5www.idasonline.com - Quality
Support your ISMS by managing Consultancy
all relevant information Page 38
7 Hỗ trợ (Support)
7.5.2 Tạo mới và Cập nhật (Creating & Updating)
(7.5.2 Manage the creation & modification of your ISMS documents)
3. TT VB từ Ngo{i, để Hoạch định & Vận h{nh ISMS, phải đc Nhận biết & Kiểm so|t
4. TT VB, đc Lưu l{m Bằng chứng về Phù hợp, phải đc Bảo vệ khỏi Sửa đổi vô tình (9001)
Note: Truy cập (access) = Cho phép Chỉ Xem (view) TT/ Xem & Thay đổi (change) TT VB.
X|c định, Duy trì, Lưu giữ TT VB ở Mức cần thiết để có:
2.
- Tin tưởng, rằng các Quá trình đã đc Thực hiện như Hoạch định.
3.
Kiểm soát: các Thay đổi đã Hoạch định;
4.
Soát xét: các Hậu quả của các Thay đổi ngoài Dự kiến,
Thực hiện: Hành động để Giảm thiểu các Hiệu ứng bất lợi.
Đảm bảo: các Quá trình, SP, DV - liên quan ISMS - được Kiểm soát.
*Nhận diện Rủi ro (RR) (risk identification): Quá trình Tìm ra, Công nhận và Mô tả các RR
*Phân tích RR (risk analysis): Quá trình để Hiểu Tính chất của RR và Xác định Mức của RR.
*Đánh giá so sánh RR (risk evaluation): Quá trình So sánh Kết quả Phân tích RR với Chuẩn
mực RR để Xác định xem RR và/hoặc Độ lớn của nó có Chấp nhận được không.
a) Cái gì cần được Theo dõi & Đo lường, Kết quả thực hiện & tính
(gồm c|c Quá trình & c|c Kiểm so|t ATTT); Hiệu lực của ISMS
b) C|c Phương ph|p Theo dõi, Đo lường, 2. ĐÁNH GIÁ
Ph}n tích, Đ|nh gi|, để đảm bảo 1. XÁC ĐỊNH
c|c Kết quả đúng (valid).
Tổ chức
c) Khi nào việc Theo dõi & Đo lường phải
phải được thực hiện;
á
d) Ai phải Theo dõi & Đo lường; 3. LƯU GIỮ
e) Khi nào c|c Kết quả Theo dõi & Đo lường
phải được Ph}n tích & Đ|nh gi|; Thông tin VB
f) Ai phải Ph}n tích & Đ|nh gi| c|c kết quả. làm Bằng chứng
về c|c Kết quả
*Bằng chứng Khách quan (Objective Evidence): Dữ liệu Hỗ (Theo dõi,
trợ sự Tồn tại hay Sự thật (verity) của một điều nào đó. Đo lường)
*Đánh giá Kiểm toán (ĐG) (audit): “Quá trình có Hệ thống, Độc lập và được
Lập thành Văn bản, để Lấy được Bằng chứng ĐG và Xem xét ĐG chúng một
cách Khách quan, để Xác định Mức độ thực hiện các Chuẩn mực ĐG”.
*Sự Không Phù hợp (non-conformity): Sự Không-Thực hiện đáp ứng
(non-fulfilment) một Yêu cầu (requirement).
www.idasonline.com - Quality Consultancy Page 45
9 Đ|nh gi| Kết quả thực hiện
Note: Xem a) Hoạch định, Thiết lập, Triển khai, Duy trì (các) Chương trình
Đánh giá (ĐG) (Audit programe), gồm: *Tần suất, *Phương pháp,
ISO 19011
*Trách nhiệm, *các Yêu cầu Hoạch định, *việc Báo cáo.
về Hướng
- Chương trình ĐG phải tính đến: *Tầm quan trọng các Quá trình,
dẫn
*Thay đổi ảnh hưởng TC, *Kết quả của các ĐG (Audit s) trước;
b) Định nghĩa các Tiêu chí, Phạm vi ĐG cho từng cuộc ĐG;
9.2.2
Tổ c) Lựa chọn các Đánh giá viên (Audit ors) & Tiến hành các ĐG để
Đảm bảo tính Khách quan (objectivity) & Vô tư (impartiality);
chức
phải d) Đảm bảo: các Kết quả ĐG được Báo cáo đến Lãnh đạo;
f) Lưu giữ TT VB làm Bằng chứng về Triển khai Chương trình ĐG & Kết quả ĐG.
*Khắc phục (Correction): Hành động để Loại bỏ sự Không Phù hợp được Phát hiện.
*Hành động Khắc phục (Corrective Action): Hành động để Loại bỏ Nguyên nhân sự
Không Phù hợp & để Ngăn Tái diễn.
www.idasonline.com - Quality Consultancy Page 46
9 Đ|nh gi| Kết quả thực hiện
9.3 Soát xét của Lãnh đạo (Management Review)
9.3.2 SOÁT XÉT của L~nh đạo phải ISMS theo Thời gian
được Hoạch định & C}n nhắc về: đc Hoạch định, để Đảm bảo
a) Tình trạng của các Hành động từ tính Phù hợp, Đầy đủ &
các lần Soát xét Trước của L~nh đạo; Hiệu lực - một c|ch Liên tục.
b) Các Thay đổi các Vấn đề Nội bộ & SOÁT XÉT
Bên ngo{i, liên quan đến ISMS;
9.3.1 L~nh đạo (LĐ)
c) Các Thay đổi về Nhu cầu & Kỳ vọng cao nhất phải
của Bên Quan t}m, liên quan đến ISMS;
d) TT phản hồi về Kết quả thực hiện & 1) Các Điểm KPH & Hành động
Hiệu lực ISMS, gồm c|c Xu hướng về: Khắc phục*;
2) Các Kết quả Theo dõi &
e) TT Phản hồi từ c|c bên Quan t}m; Đo lường;
f) C|c Kết quả Đ|nh gi| Rủi ro & Tình 3) Các Kết quả Đánh giá
trạng của Kế hoạch Xử lý Rủi ro; Kiểm toán (Audit results);
4) Thực hiện đủ đáp ứng
g) Các Cơ hội cho Cải tiến liên tục. các Mục tiêu ATTT.
9.3www.idasonline.com - Quality
Review performance of your ISMS atConsultancy
planned intervals Page 47
9 Đ|nh gi| Kết quả thực hiện
9.3.3 Kết quả Soát xét của Lãnh đạo (Management Review Results)
*Xem/Soát xét (review): Hoạt động được Thực hiện để Xác định tính Phù hợp
(suitability), Đầy đủ (adequacy), và Hiệu lực (effectiveness) của Chủ đề
(subject-matter), để Đạt các Mục tiêu đã Thiết lập.
www.idasonline.com
10.1 Identify nonconformities -and
Quality Consultancy
take corrective actions Page 49
10 Cải tiến (Improvement)
04
Lĩnh
vực
14 KS Vật lý
Kiểm
soát (KS)
(themes)
93
37 KS Tổ chức Kiểm
soát
8 KS Con 34 KS Công nghệ (controls)
người
QUẢN LÝ RỦI RO ATTT, nhằm *Liên tục NV,
*Tu}n thủ Luật ph|p, Qui định, Hợp đồng
H{nh động Cải tiến Hiệu lực Quản lý Rủi ro
C|c mức độ AT, T{i sản TT & Gi| trị Mối/Kẻ
Lỗ Theo
Mục Đe
hổng Tài sản Thông tin (Information Assets) dọa dõi,
Tiêu,
Đo
Phương
Primary Quá trình, Hoạt động - NV Thông tin Tài sản lường,
pháp
Assets (Business Processes, Activities) (Information) Chính Đ|nh
Quản
giá
lý
Hiệu
Rủi
Supporting Tài sản lực
ro
Assets Tổ Địa Nhân Mạng Phần Phần Hỗ trợ Các
ISO/IEC chức điểm sự (Net- mềm cứng Kiểm
Mức (Organi- (Site) (Perso- work) (Soft- (Hard-
27005 soát
:2018 Rủi ro zation) nnel) ware) ware) Mất
C, I, A Rủi
(H/M/L)
Chuẩn mực/Tiêu chí (Chấp nhận) Rủi ro ro
Quản lý Rủi ro: Đ|nh gi| Rủi ro, Xử lý Rủi ro (Giảm thiểu, Giữ
www.idasonline.com
nguyên, Né -tránh,
Quality Consultancy
Chia sẻ => Kiểm soát Rủi ro), Chấp nhận Rủi ro Page 52
Risk Management Process • Risk Evaluation Criteria
• Risk Acceptance Criteria
• The Scope & Boundaries
• Organization for IS Risk Management
d
• Assets, Threats,
Vunlnerabilities, Controls
• Qualitative Estimation
or Quantative Estimation
• Risk Reduction
• Risk Retention
• Risk Avoidance
• Risk Transfer
Nguồn MĐD Động cơ thực hiện Các Hậu quả Có thể xảy ra
(Origin) (Motivation) (Possible Consequences)
Thách thức (Challenge) • Tấn công máy tính (Hacking)
1. Tin tặc,
người Bẻ Lòng Tự cao (Ego) • Kỹ thuật Xã hội (Lừa đảo) (Social Engineering)
khóa Sự nổi loạn (Rebelion) • Xâm phạm, tấn công HT (System Intrusion, Beak-in)
(Hacker, Địa vị (Status) • Truy cập HT Trái phép (Unauthorized System
Cracker) Tiền bạc (Money) Access)
Phá hủy TT (Destruction) • Tội phạm máy tính (Computer Crime) (ví dụ: theo
Tiết lộ TT bất hợp pháp dõi trên mạng (Cyber Stalking))
2. Tội phạm Lợi ích (Gain) Tiền bạc • Hành vi Gian lận (Fraudulent act) (ví dụ: tái tạo,
Máy tính Thay đổi dữ liệu Trái mạo danh, nghe lén TT (Replay, Impersonation,
phép (Data Alteration) Interception))
(Computer
Criminal) • Mua chuộc TT (Information Bribery)
• Giả mạo TT (Information Spoofing)
• Xâm phạm HT (System Intrusion)
Thiếu cẩn thận khi Loại bỏ (Lack of Care at Disposal) Trộm cắp Phương tiện TT/tài liệu
Saowww.idasonline.com
chép Không được KS-(Uncontrolled
Quality Consultancy
Copying) Page liệu
Trộm cắp Phương tiện TT/tài 61
ISO/IEC 27005:2018
D1. Ví dụ c|c Lỗ hổng – Phần mềm
Đường dây Thông tin Không được Bảo vệ Nghe trộm (Eavedropping)
Luồng TT Nhạy cảm (Sensitive Traffic) Không được Bảo vệ Nghe trộm
Đầu nối Cáp Yếu (Poor Join Cabling) Failure of Telecom. Equipmt.
Chỉ có một Điểm chịu Lỗi hỏng (Single Point of Failure) Lỗi hỏng Thiết bị Viễn thông
Thiếu Nhận biết, Xác thực của người Gửi và Nhận (Lack of Giả mạo quyền (Forging of
Identification & Authetification of Sender & Receiver) Rights)
Quản lý Mạng Không đủ (Chịu được Định tuyến) (Inadequate Bão hòa HT TT (Saturation of
Network Management) (Resilience of Routing) Information System)
Cácwww.idasonline.com - Quality
kết nối Mạng công cộng Consultancy
Không được Bảo vệ Sử dụng Thiết bị TráiPage
phép64
ISO/IEC 27005:2018
D1. Ví dụ c|c Lỗ hổng – Nh}n sự
Kiểm soát Không Đầy đủ/Cẩn thận việc Truy cập Vật l{ Phá hủy Thiết bị/Phương tiện TT
các Toà nhà/Phòng (Inadequate or Careless use of (Destruction of
Physical Access Control to Building/Rooms) Equipment/Media)
Thiếu Qui trình Chính thức để Theo dõi Hồ sơ ISMS Chiếm đoạt Dữ liệu
Thiếu Quá trình Chính thức Phân quyền TT Công cộng sẵn Dữ liệu từ các Nguồn Không đáng
có tin
Thiếu Phân công Tốt các Trách nhiệm ANTT Từ chối Hành động (Denial)
Thiếu các Kế hoạch Liên tục (Lack of Continuity Plans) Lỗi hỏng Thiết bị (Failure of Eqpt)
Thiếu Chính sách Sử dụng Thư điện tử (E-mail Usage) Sai lỗi Sử dụng (Error in Use)
Thiếu Qui trình Giới thiệu PM vào HT Vận hành Sai lỗi trong Sử dụng
Thiếu Hồ sơ trong các Nhật k{ Quản trị/Khai thác viên Sai lỗi trong Sử dụng
Thiếu Qui trình Sử dụng (Handling) các TT đã Phân loại Sai lỗi trong Sử dụng
www.idasonline.com
Thiếu - Quality
các Trách nhiệm ANTT Consultancy
trong các Mô tả Công việc Sai lỗi trong Sử dụng Page 68
ISO/IEC 27005:2018
D1. Ví dụ c|c Lỗ hổng – Tổ chức
Thiếu Phân quyền/Cấp phép cho các Cơ sở Xử l{ TT Trộm Phương tiện TT/Tài liệu
Thiếu Thiết lập Cơ chế Theo dõi Vi phạm (Breaches) AT Trộm Phương tiện TT/Tài liệu
Thiếu Soát xét Thường xuyên của Lãnh đạo QL Unauthorized Use of Equipment
Thiếu Qui trình về Báo cáo Điểm yếu AN (Weaknesess) Sử dụng Thiết bị Trái phép
Sử dụng PM Giả mạo
Thiếu Qui trình Đảm bảo Tuân thủ các Quyền Trí tuệ
(Counterfeit)/Sao chép (Copied)
www.idasonline.com - Quality Consultancy Page 69
ISO/IEC 27005:2018
E2. Đ|nh gi| Chi tiết Rủi ro ANTT
E.2.2 Đánh giá Rủi ro bằng Ma trận với các Giá trị được Định trước
(Matrix with Predefined Values)
Khả năng của Rất Trung Rất
Kịch bản thấp Thấp bình Cao cao
Sự cố (0) (1) (2) (3) (4)
Rất thấp (0) 0 1 2 3 4
Tác Thấp (1) 1 2 3 4 5
động
Trung bình (2) 2 3 4 5 6
Nghiệp
vụ Cao (3) 3 4 5 6 7
Rất cao (4) 4 5 6 7 8
- Ví dụ Xếp hạng Rủi ro (RR) Đơn giản:
*RR Thấp: 0-2 (Xanh); *RR Trung bình: 3-5 (Vàng); *RR Cao: 6-8 (Xanh).
- Ví dụ Mức Rủi ro Chấp nhận được: Mức Thấp: 0-2.
www.idasonline.com - Quality Consultancy Page 70
ISO/IEC 27005:2018
E2. Đ|nh gi| Chi tiết Rủi ro ANTT
E.2.4 Đ|nh gi| Rủi ro theo Gi| trị Khả năng xảy ra & Hậu quả có thể
2.4 Identifying the Risks (clauses 6.1.2 & 8.2) – Nhận diện Rủi ro
Asset Threat Vulnerability Risk Owner
- Tài sản - Mối Đe dọa - Lỗ hổng - Chủ Rủi ro
Server Electricity No UPS Head of IT
outage
2.5 Analysing (Phân tích), Evaluating (Ước lượng) Rủi ro (6.1.2, 8.2)
Asset Threat Vulnerability Risk Owner Consequence Likelihood Risk
- Rủi
- Tài sản - Mối Đe dọa - Lỗ hổng - Chủ Rủi ro - Hậu quả - Khả năng
ro
Server Electricity No UPS Head of IT 4 3 7
outage
Fire No fire Health & 3 1 4
extinguisher Safety
Coordinator
Laptop Access by Inadequate User of the 3 3 6
unauthorized password Laptop
persons
Loss of Data Backup is not User of the 2 1 3
made Laptop
regularly
System Living the No Head of HR 4 1 5
Administrator company replacement