1a DaoTaoNhanThuc CacDieuKhoan Iso27001 78slides - 2024

CÁC ĐIỀU KHOẢN
TIÊU CHUẨN ISO/IEC 27001:2022

An to{n Thông tin, An ninh Mạng
v{ Bảo vệ Riêng tư
- c|c Hệ thống Quản lý An to{n Thông tin (ISMS)
- c|c Yêu cầu
(Information Security, CyberSecurity
& Privacy Protection
– Information Security Management Systems
– Requirements)
www.idasonline.com - Quality Consultancy Page 1
0. Lời giới thiệu (Introduction)
0.1 Khái quát (General)
• Tiêu chuẩn QT này cung cấp các Yêu cầu để Thiết lập, Triển
khai, Duy trì, Cải tiến liên tục Hệ thống (HT) Quản lý (QL) An
ninh-An toàn (AN-AT) Thông tin (TT) - ISMS.
- Áp dụng ISMS là Quyết định Chiến lược của Tổ chức (TC).
• Việc Thiết lập và Triển khai ISMS bị ảnh hưởng bởi:
*các Nhu cầu (needs) và các Mục tiêu (objectives) của TC,
*các Yêu cầu (requirements) An ninh-An toàn,
*các Quá trình (processes) của TC,
*Qui mô (size), Cấu trúc (structure) của TC.
• ISMS bảo tồn tính Bảo mật (Confidentiality), Toàn vẹn (Integrity),
Sẵn có (Availability) của Thông tin bằng việc áp dụng Quá trình
Quản lý Rủi ro (Risk Management Process).
- ISMS tạo sự Tin tưởng (confidence) cho các bên Quan tâm,
rằng các Rủi ro được Quản lý đầy đủ.

0. Lời giới thiệu (Introduction)
• Điều quan trọng là:

• ISMS là 1 phần & được Tích hợp (integrated) với các Quá trình &
Cấu trúc Quản lý Tổng thể của TC;
• ATTT được cân nhắc từ Thiết kế: *các Quá trình (processes),
*các HT TT (Information systems), *các Kiểm soát (controls).
• Việc Triển khai ISMS cần phù hợp với các Nhu cầu của TC.
• Tiêu chuẩn này được sử dụng bởi các bên Trong & Ngoài, để
Đánh giá khả năng đáp ứng các Yêu cầu ATTT của TC.
0.2 Sự tương thích với các Tiêu chuẩn HT Quản lý khác
• Tiêu chuẩn QT này áp dụng:
+ Cấu trúc mức-cao (high-level structure) (Annex SL, ISO/IEC Directives)
+ Tiêu đề (titles) của các Điều khoản (sub-clause) giống nhau;
+ Bản văn (text) giống nhau; + Các Thuật ngữ (terms) chung;
• Cách Tiếp cận chung -> hữu ích cho TC vận hành 1 HTQL, mà
có thể đáp ứng các Yêu cầu của 2/nhiều Tiêu chuẩn HTQL.

CÁC ĐIỀU KHOẢN ISO 27001
1. Phạm vi;
2. Tham chiếu; 3. Thuật ngữ & Định nghĩa
4. Bối cảnh của Tổ chức (Context of Organization)
(Vấn đề Ngo{i/Nội bộ; Yêu cầu các Bên quan tâm; Phạm vi ISMS; Hệ thống ISMS)
(Theo dõi, Đo lường, Phân tích, Đ|nh giá;

5. Sự L~nh đạo (Leadership) (Sự L~nh đạo,
Trao đổi Thông tin, Thông tin Văn bản)
(Các Nguồn lực, Năng lực, Nhận thức,
9. Đ|nh giá Kết quả Thực hiện
Audit nội bộ; Xem xét của Lãnh đạo)

Cam kết; Chính s|ch; Vai trò, Tr.nhiệm, Quyền hạn)
(Performance Evaluation)
7. Hỗ trợ (Support)
6. Hoạch định (Planning) (Giải quyết Rủi ro, Cơ

hội; Mục tiêu & Hoạch định; Hoạch định Thay đổi)
8. Vận hành (Operation)

(Hoạch định & Kiểm so|t Vận h{nh;
Đ|nh gi| Rủi ro ATTT; Xử lý Rủi ro ATTT)
10. Cải tiến (Improvement)

(Sự không phù hợp & Hành động Khắc phục;
Cải tiến Liên tục)
1 Phạm vi (Scope):
- Tiêu chuẩn QT này Qui định rõ các Yêu cầu cho việc
Thiết lập, Triển khai, Duy trì và Cải tiến liên tục
HT QL ATTT (ISMS), trong Bối cảnh của Tổ chức (TC).
- Tiêu chuẩn QT này cũng bao gồm các Yêu cầu cho việc
Đánh giá và Xử l{ các Rủi ro ATTT,
tương ứng với Nhu cầu của TC.
- Các Yêu cầu nêu trong Tiêu chuẩn QT này
có tính Tổng quát và Áp dụng cho Tất cả các TC,
không phân biệt Loại hình, Quy mô hay Tính chất.
- Việc loại trừ bất kz yêu cầu nào trong các Điều 4 đến 10
là không chấp nhận được,
khi TC tuyên bố phù hợp với Tiêu chuẩn QT này.
2 Tham chiếu Qui chuẩn (Normative References):
ISO/IEC 27000, IT – Security techniques – ISMS – Overview & Vocabulary
3 Thuật ngữ, Định nghĩa
3.1 (access control) Kiểm soát Truy cập: Các Phương tiện để Đảm
bảo rằng Truy cập đến các Tài sản đc cấp Phép & Hạn chế, dựa vào
ISO/IEC 27000:2018
các YC Nghiệp vụ & AT
3.2 (attack) Cuộc Tấn công: Hành động cố gắng để Phá hủy, Phơi
bày, Thay đổi, làm Tê liệt, Trộm hoặc Chiếm Quyền Truy cập Trái phép
đến hoặc Sử dụng Trái phép Tài sản
3.5 (authentication) Sự Xác thực: Việc cung cấp sự Đảm bảo rằng
Đặc trưng được Yêu cầu (claimed) của Chủ thể (entity) là Đúng
3.7 (availability) Tính Sẵn có: Thuộc tính luôn Truy cập và Sử dụng đc
theo Yêu cầu (on demand) của Chủ thể Được Phép
3.10 (confidentiality) Tính Bảo mật: Thuộc tính mà TT ko đc Sẵn
sàng/bị Tiết lộ cho các Cá nhân, Chủ thể, Quá trình Không đc Phép
3.11 (competence) Năng lực: Khả năng áp dụng Kiến thức & Kỹ năng
để đạt các Kết quả dự định.
3.12 (consequence) Hậu quả: Kết quả của Sự kiện mà nó ảnh hưởng
các Mục tiêu (objectives)
3.13 (Continual improvement) Cải tiến Liên tục: Hoạt động lặp lại để
Nâng cao Kết quả thực hiện (performance)
ISO/IEC 27000:2018
3.14 (Control) Kiểm soát: Biện pháp mà nó làm Thay đổi Rủi ro
3.16 (correction) Khắc phục: Hành động để Loại bỏ (eliminate) sự
Không Phù hợp (nonconformity) đã được Phát hiện
3.17 (corrective action) Hành động Khắc phục: Hành động để Loại bỏ
Nguyên nhân của sự Không Phù hợp và Phòng ngừa Xảy ra lại
3.19 (documented information) TT Dạng Văn bản/TT Văn bản (VB):
TT được Yêu cầu bị Kiểm soát và Duy trì bởi TC (organization) và
Phương tiện (medium) trong đó chứa TT
3.20 (effectiveness) Tính Hiệu lực: Mức độ (extent) mà các Hoạt động
đã Hoạch định đc Hiện thực hóa và các Kết quả Hoạch định Đạt đc.
3.21 (event) Sự kiện: Việc Xảy ra (occurrence) hoặc sự Thay đổi
(change) tập hợp (set) cụ thể các Hoàn cảnh (circumstances)
3.22 (external context) Bối cảnh bên Ngoài: Môi trường bên Ngoài mà
trong đó TC Tìm kiếm (seeks) để Đạt các Mục tiêu của nó.
3.27 (information processing facilities) Cơ sở Xử lý TT: Bất kỳ HT
Xử lý TT, DV hay Cơ sở hạ tầng, hay Vị trí (location) Vật lý chứa nó
ISO/IEC 27000:2018
3.28 (information security) An ninh-An toàn Thông tin (ATTT): Việc
Bảo tồn tính Bảo mật, Toàn vẹn và Sẵn sàng của TT
3.29 (information security continuity) Liên tục ATTT: Các Quá trình
và Qui trình để Đảm bảo Vận hành ANTT liên tục
3.30 (information security event) Sự kiện ATTT: Việc Xảy ra đc Nhận
biết về Trạng thái của HT, DV hoặc Mạng, mà hiển thị 1 Vi phạm có thể
về Chính sách ATTT hoặc Lỗi hỏng Kiểm soát, hoặc Tình huống chưa
biết trước đây mà có thể liên quan AT
3.31 (information security incident) Sự cố ATTT: Một hay 1 loạt các
Sự kiện ATTT không muốn hay không mong đợi mà có Xác suất đáng
kể về Tổn hại (compromising) Vận hành Nghiệp vụ (business
operations) và đe dọa (threatening) ATTT
3.32 (information security incident management) Quản lý Sự cố
ATTT: Tập hợp các Quá trình về Phát hiện, Báo cáo, Đánh giá, Phản
ứng lại, Đối phó với, và Học tập từ các Sự cố ATTT
3.35 (information system) Hệ thống TT: Tập hợp các Ứng dụng, Dịch
vụ, Tài sản (assets) CNTT, hoặc Thành phần Xử-lý TT
ISO/IEC 27000:2018
3.36 (integrity) Tính Toàn vẹn: Thuộc tính về sự Chính xác (accuracy)
và Hoàn chỉnh (completeness)
3.37 (interested party/stakeholder) Bên Quan tâm: Người hoặc TC
mà có thể Ảnh hưởng (affect), bị Ảnh hưởng, hoặc tự Nhận thức
(perceive) sẽ bị ảnh hưởng bởi Quyết định hoặc Hoạt động
3.39 (level of risk) Mức Rủi ro: Độ lớn (magnitude) của Rủi ro được
thể hiện bằng Kết hợp (combination) của các Hậu quả (consequences)
và Khả năng xảy ra chúng (likelihood)
3.40 (likelihood) Khả năng (xảy ra): Cơ hội Xảy ra một Cái gì
3.41 (management system) Hệ thống Quản lý: Tập hợp các Phần tử
Liên quan hoặc Tương tác lẫn nhau của TC để Thiết lập các Chính
sách và Mục tiêu và Quá trình để Đạt các Mục tiêu này
3.43 (measurement) Đo lường: Quá trình để Xác định một Giá trị
3.46 (monitoring) Theo dõi: Việc Xác định (determining) Trạng thái
(status) của một Hệ thống, Quá trình hay Hoạt động
3.47 (nonconformity) Sự Không Phù hợp: Sự Không-Thực hiện đủ
(non-fulfilment) một Yêu cầu (requirement)
ISO/IEC 27000:2018
3.48 (non-repudiation) Sự Không-Thoái thác: Khả năng chứng minh
sự việc Xảy ra của Sự kiện hoặc Hành động được Yêu cầu và các Chủ
thể thực hiện nó (its originating entities)
3.49 (objective) Mục tiêu: Kết quả cần Đạt được (be achieved)
3.50 (organization) Tổ chức (TC): Người/Nhóm người mà có các Chức
năng với Trách nhiệm, Quyền hạn và Mối Quan hệ của riêng mình để Đạt
các Mục tiêu
3.52 (performance) Kết quả thực hiện (Thành tích): Kết quả Đo lường đc
3.53 (policy) Chính sách: Các Dự kiến và Định hướng của TC, như
được thể hiện chính thức bởi Lãnh đạo cao nhất của nó
3.54 (process) Quá trình: Tập hợp các Hoạt động Liên quan và Tương
tác lẫn nhau mà chúng biến đổi (transforms) các Đầu vào thành Đầu ra
3.55 (reliability) Tính Tin cậy: Thuộc tính của các Hành vi (behaviour)
và Kết quả (results) Dự kiến Nhất quán/Chắc chắn
3.56 (requirement) Yêu cầu: Nhu cầu hoặc Mong đợi mà đc Nêu
(stated), Ngụ ý (implied) hoặc Bổn phận nói chung (generally)
ISO/IEC 27000:2018
3.57 (residual risk) Rủi ro Còn lại: Rủi ro (risk) vẫn còn lại sau Xử lý
Rủi ro (risk treatment)
3.58 (review) Xem/Soát xét: Hoạt động được Thực hiện để Xác định
Phù hợp (suitability), Đầy đủ (adequacy), và Hiệu lực (effectiveness)
của Chủ đề, để Đạt các Mục tiêu đã Thiết lập
3.61 (risk) Rủi ro (RR): Tác động (effect) của sự Không chắc chắn
(uncertainty) đến các Mục tiêu (objectives)
3.62 (risk acceptance) Chấp nhận Rủi ro (RR): Quyết định đc Thông
báo để Nhận (to take) một Rủi ro Đặc biệt (particular)
3.63 (risk analysis) Phân tích Rủi ro (RR): Quá trình để Hiểu Tính
chất của Rủi ro và Xác định Mức của Rủi ro
3.64 (risk assessment) Đánh giá Rủi ro (RR): Quá trình Tổng thể
Nhận diện Rủi ro (risk identification), Phân tích Rủi ro(risk analysis) và
Đánh giá so sánh Rủi ro (risk evaluation)
3.65 (risk communication and consultation) Truyền thông và Tư

vấn Rủi ro: Tập hợp các Quá trình Lặp lại và Liên tục mà TC Tiến
ISO/IEC 27000:2018
hành để Cung cấp, Chia sẻ hoặc Lấy đc TT, và Tham gia đóng góp
trong Trao đổi với các Bên Quan tâm, về việc Quản lý Rủi ro
3.66 (risk criteria) Tiêu chí/Chuẩn mực Rủi ro: Chuẩn mực
(reference) để Độ Đáng kể của Rủi ro đc Đánh giá so sánh với.
3.67 (risk evaluation) Đánh giá so sánh Rủi ro: Quá trình So sánh
Kết quả Phân tích RR với Chuẩn mực RR để Xác định xem RR
và/hoặc Độ lớn của nó có Chấp nhận/Cho phép không
3.68 (risk identification) Nhận diện RR: Quá trình Tìm ra (finding),
Công nhận (recognizing) và Mô tả (describing) các RR
3.69 (risk management) Quản lý Rủi ro (RR): Các Hoạt động Hiệp
đồng để Định hướng và Kiểm soát một TC về Rủi ro
3.70 (risk management process) Quá trình Quản lý RR: Việc Áp
dụng 1 cách Hệ thống các Chính sách, Qui trình và Thực hành Quản lý
vào các Hoạt động Truyền thông, Tư vấn, Thiết lập Bối cảnh và Nhận
diện, Phân tích, Đánh giá so sánh, Xử lý, Theo dõi và Soát xét Rủi ro
3.71 (risk owner) Chủ Rủi ro: Người hoặc Chủ thể có Trách nhiệm
ISO/IEC 27000:2018
Giải trình (accountability) và Quyền hạn để Quản lý Rủi ro
3.72 (risk treatment) Xử lý Rủi ro: Quá trình Thay đổi RR
3.73 (security implementation standard) Tiêu chuẩn Thực hiện AT:
Tài liệu Qui định Cách Thực hiện AT được phép.
3.74 (threat) Mối Đe dọa: Nguyên nhân tiềm ẩn của Sự cố Không
muốn, cái có thể gây ra Hại (harm) cho Hệ thống hoặc TC
3.75 (top management) Lãnh đạo cao nhất: Người hoặc Nhóm
người mà Định hướng và Kiểm soát một TC ở mức cao nhất
3.76 (trusted information communication entity) Chủ thể Truyền
thông TT Tin cậy: TC Tự trị mà Hỗ trợ Trao đổi TT trong Cộng đồng
Chia sẻ TT (information sharing community)
3.77 (vulnerability) Lỗ hổng: Điểm yếu của Tài sản hoặc Kiểm soát,
mà nó có thể bị Lợi dụng bởi một hay nhiều Mối Đe dọa

4 Bối cảnh của Tổ chức (Context of the Organization) (Contextual Requirements)
4.1 Hiểu TC và bối cảnh của nó (Understanding the Organization & its context)
Các vấn đề Nội bộ & Bên ngoài, mà liên quan Mục đích, Chiến lược,
m{ ảnh hưởng đến Khả năng đạt Kết quả dự kiến của ISMS: 1. Xác
định
Nội bộ: *Quản trị, Cấu trúc của TC, các Vai trò & Trách nhiệm giải trình; *các
Chính sách, Mục tiêu, Chiến lược; *Nguồn lực, Kiến thức (Vốn, Thời gian,
Con người, các Quá trình, Hệ thống, Công nghệ); *các Hệ thống TT, Luồng
TT, Quá trình ra Quyết định ; *các Quan hệ với, Nhận thức & Giá trị của Tổ
Bên Quan tâm Nội bộ; *Văn hóa của TC; *các Tiêu chuẩn, Hướng dẫn, Mô chức
hình của TC; *Dạng & Mức độ các Quan hệ Hợp đồng. (TC)
Bên ngoài: *Môi trường Văn hóa, Xã hội, Chính trị, Pháp lý, Chế định, Tài phải
chính, Công nghệ, Kinh tế, Tự nhiên, Cạnh tranh – Quốc tế/Quốc gia/Khu
vực/Địa phương; *Các Động lực & Xu thế có tác động đến Mục tiêu của TC;
*Các Quan hệ với, Nhận thức & Giá trị của Bên Quan tâm Ngoài.
Note: Việc xác định các Vấn đề này => tham chiếu đến Thiết lập Bối cảnh
Nội bộ, Bên ngoài của TC, được nêu trong 5.3, ISO 31000:2018.
4.1www.idasonline.com - Quality
(Understand your organization Consultancy
& its context) Page 14
4. Bối cảnh của Tổ chức
4.2 Hiểu các Nhu cầu (Needs) & Mong đợi/Kỳ vọng
(Expectation) của các Bên Quan tâm (Interested Parties)
Khả năng Nhằm 1. Xác

Nhất qu|n đạt a) Các bên Quan tâm*, định
Cung cấp liên quan đến ISMS
các SP/DV
b) C|c Yêu cầu của c|c Tổ
Đ|p ứng bên Quan tâm này, chức
liên quan đến ATTT.
C|c Yêu cầu phải
- Khách hàng,
- Luật định, Note: Yêu cầu của Bên Quan tâm có thể gồm
- Chế định. các Yêu cầu Luật định, Qui định, Hợp đồng.
*Bên Quan tâm: Người/TC mà có thể Ảnh hưởng (affect), bị Ảnh hưởng, tự
Nhận thức (perceive) là bị ảnh hưởng bởi Quyết định/Hoạt động. (ISO 27000)
Ví dụ: NLĐ, Cổ đông/Chủ, CQ QL NN, DV Khẩn nguy (Cứu hỏa, Cảnh sát, Cấp
cứu Y tế), Khách hàng, Gia đình NLĐ, Truyền thông, Đối tác/Nhà cung ứng,…
4.3 Xác định Phạm vi của QMS/ISMS (Determining the Scope of the QMS/ISMS)
c|c Ranh giới & Khả năng

Áp dụng của QMS/ISMS để
Thiết lập Phạm vi.
1. XÁC ĐỊNH
Tổ chức phải 4. DUY TRÌ PHẠM VI Sẵn có ở dạng

Thông tin VB*
2. CÂN NHẮC, khi x|c định Phạm vi:
a) C|c vấn đề Nội bộ, bên Ngo{i

của Tổ chức, nêu tại 4.1;
b) Các Yêu cầu của các bên
Quan tâm, nêu tại 4.2;
c) C|c Giao tiếp, Phụ thuộc giữa c|c
Hoạt động của TC và của c|c TC kh|c. TT Văn bản (TT VB)/TT Tài liệu:
Là TT, được Yêu cầu Kiểm soát và Duy
trì bởi TC, và Phương tiện chứa TT.

4.4 Hệ thống Quản lý An toàn TT (ATTT) & các Quá trình
1. THIẾT LẬP,
TRIỂN KHAI,
HỆ THỐNG QUẢN LÝ ATTT, gồm c|c Qu| trình,
DUY TRÌ, theo c|c Yêu cầu của Tiêu chuẩn Quốc tế n{y.
CẢI TIẾN LIÊN TỤC
C|c Qu| trình cần thiết cho QMS & cho việc Áp dụng
Tổ 9001
2. XÁC
chúng trong to{n Tổ chức, v{ phải:
chức ĐỊNH a) X|c định c|c Đầu v{o yêu cầu & các Đầu ra mong đợi từ các
phải Quá trình (QT) này;
b) X|c định Tuần tự v{ sự Tương t|c giữa c|c Qu| trình n{y;
c) X|c định & Áp dụng C|c Tiêu chí & Phương ph|p (Theo dõi,
Đo lường, c|c Chỉ số Kết quả thực hiện) cần để đảm bảo
Vận h{nh & Kiểm so|t c|c QT n{y một c|ch Hiệu lực;
d) X|c định c|c Nguồn lực cần cho c|c QT v{ đảm bảo Sẵn có;
e) Chỉ định c|c Tr|ch nhiệm, Quyền hạn cho c|c QT n{y;
f) Giải quyết c|c Rủi ro, Cơ hội - đc x.định theo y.cầu của 6.1;
g) Đ|nh gi| c|c QT n{y, Thực hiện sự Thay đổi cần để đảm bảo
rằng c|c QT n{y Đạt được Kết quả dự kiến;
h) Cải tiến c|c Qu| trình v{ HT QL CL.
5 Sự lãnh đạo (Leadership) (Leadership Requirements)

5.1 Sự lãnh đạo và Cam kết (Leadership & Commitment)
(Provide leadership and show that you support your ISMS)
a) Đảm bảo các Chính sách & các Mục h) Hỗ trợ các vị trí Quản lý liên
tiêu ATTT được Thiết lập, phù hợp quan để chứng tỏ sự lãnh đạo
với định hướng Chiến lược của TC; của họ, phù hợp với các phạm
vi trách nhiệm của họ.
b) Đảm bảo Tích hợp các Lãnh đạo cao
Yêu cầu của ISMS vào g) Thúc đẩy Cải tiến
nhất phải liên tục
các Quá trình của TC;
Chứng tỏ Sự
l~nh đạo & f) Chỉ dẫn và Hỗ trợ
c) Đảm bảo các
Cam kết về các Nhân sự để họ
Nguồn lực cần thiết
ISMS, bằng Đóng góp cho tính
cho ISMS là sẵn có;
việc: Hiệu lực của ISMS
d) Truyền thông tầm quan trọng
của ISMS hiệu lực, và của sự Phù e) Đảm bảo rằng ISMS Đạt được
hợp đối với các Yêu cầu của ISMS các Đầu ra dự kiến của nó.

5. Sự lãnh đạo (Leadership)
*Chính sách: Ý đồ & Định hướng của TC được Lãnh
5.2 Chính sách (Policy)
đạo cao nhất của TC công bố một cách chính thức.
(Establish an Information security policy)
THIẾT a) Thích hợp với Mục đích,

1. L~nh đạo LẬP, Chính sách* Bối cảnh của TC, & Hỗ trợ
cao nhất phải ATTT: Định hướng Chiến lược
của TC;
2. Chính sách ATTT phải

b) Cung cấp c|c Mục tiêu
ATTT/Khuôn khổ để
Đặt ra các Mục tiêu ATTT;
e) Sẵn có & được Duy trì
ở dạng Thông tin VB; c) Bao gồm Cam kết để
f) Được Truyền thông, Hiểu, Thỏa m~n các Yêu cầu
Áp dụng - trong TC; |p dụng, liên quan ATTT;
g) Sẵn có cho các Bên quan d) Bao gồm Cam kết để

tâm, khi thích hợp. Cải tiến liên tục ISMS;

5. Sự lãnh đạo (Leadership)
5.3 Các Vai trò, Trách nhiệm, Quyền hạn Tổ chức
(Organizational Roles, Responsibilities, Authorities):
1. ĐẢM BẢO
Các Trách nhiệm & Quyền hạn cho các Vai trò,
Lãnh liên quan đến ATTT,
đạo -> được Chỉ định và được Truyền thông.
cao
nhất Trách nhiệm & Quyền hạn để:
2. CHỈ ĐỊNH
phải a) Đảm bảo ISMS phù hợp với YC của Tiêu chuẩn n{y;
b) Báo cáo Kết quả thực hiện* v{ Cơ hội Cải tiến
của ISMS -> cho Lãnh đạo cao nhất.
*Kết quả thực hiện (Performance):

Kết quả Đo lường đc (measurable).
*Lãnh đạo cao nhất (Top Management):

Người/Nhóm người mà Định hướng & Kiểm soát Tổ chức (TC) ở mức cao nhất.
6 Hoạch định (ISMS) (Planning):
6.1 Các Hành động Giải quyết Rủi ro (Risks), Cơ hội (Opportunities):
a) Đảm bảo ISMS có thể đạt
6.1.1
Bối cảnh của Tổ chức (4.1), Kết quả dự kiến;
Tổ CÂN
chức NHẮC
Các Yêu cầu của các
phải Bên quan tâm (4.2),
ĐỂ
Xác định các Rủi ro, Cơ hội c) Ngăn ngừa, Làm giảm
- cần được Giải quyết các Ảnh hưởng
6.1.2 không mong muốn;
LẬP KẾ
HOẠCH d) Đạt được Cải tiến.
1) Tích hợp & Triển khai các

a) Các hành động Giải quyết Hành động vào các Quá trình ISMS;
các Rủi ro & Cơ hội n{y;
ĐỂ 2) Đánh giá Hiệu lực của
b) Làm thế nào các Hành động này.
*Rủi ro (risk): Tác động của sự Không chắc chắn (uncertainty) đến các Mục tiêu (objectives).
6 Hoạch định (Planning) – ISO 27001
6.1.2 Đánh giá Định lượng Rủi ro* (RR) ATTT (IS Risk Assessment)
a) Thiết lập & Duy trì
Note: Xem Nguyên tắc & Hướng dẫn trong ISO 31000
b) Đảm bảo các c) Nhận diện các Rủi ro ATTT:
các Tiêu chí Rủi ro* Kết quả Định 1. Nhận diện Rủi ro liên quan
ATTT (IS Risk criteria): lượng RR Nhất đến việc mất Bảo mật, Toàn
1. Các Chuẩn mực quán, Hiệu lực và vẹn, Sẵn sàng của TT,
Chấp nhận Rủi ro; So sánh được; trong Phạm vi của ISMS;
2. Các Chuẩn mực 2. Nhận diện các Chủ Rủi ro*
để thực hiện Đánh (Risk Owners).
giá Rủi ro ATTT;
Quá trình ĐG
1. ĐỊNH NGHĨA Định lượng d) Phân tích RR ATTT:
Tổ chức Rủi ro ATTT: 1. Đánh giá (assess) các
phải ÁP DỤNG Hậu quả tiềm ẩn, nếu
các Rủi ro đã nhận diện
2. LƯU e) Đánh giá so sánh RR ATTT: tại 6.1.2c)1) -> thành
GIỮ hiện thực;
1. So sánh các Kết quả Phân
Thông tin VB tích Rủi ro với các Chuẩn mực 2. Đánh giá Khả năng
về Rủi ro đã được Thiết lập tại xảy ra các Rủi ro đã
Quá trình 6.1.2a); nhận diện tại 6.1.2c)1);
Đ|nh gi| 2. Xếp Ưu tiên các RR được 3. Xác định Mức Rủi ro.
Rủi ro ATTT Phân tích cho việc Xử lý RR.

QUÁ
Thiết lập
TRÌNH CONTEXT ESTABLISHMENT (6)
COMMUNICATION AND CONSULTATION (10.3)

Bối cảnh
QUẢN
MONITORING AND REVIEW (10.5)

RISK ASSESSMENT
LÝ Nhận
RISK IDENTIFICAITON (7.2) diện RR
RỦI
RO Phân
RISK ANALYSIS (7.3)
tích RR
AN TT
RISK EVALUATION (7.4) Đánh
IS Risk giá so
Mana- RISK DECISION POINT 1 No sánh RR
gement Assessment Satisfactory Yes
Process RISK TREATMENT (8) Xử lý RR
RISK DECISION POINT 2 No

Trao đổi TT Treatment Satisfactory
Theo dõi &
& Tư vấn Yes Soát xét
DOCUMENTED INFORMATION (10.4) TT Văn bản

ISO/IEC (RECORDING & REPORTING) (Ghi Hồ sơ & Báo cáo)
27005:2022
Material
Risk
Color code = Red
BT Đánh giá Rủi ro – Định tính (Qualitative)Page 24

Phân tích Bán-Định lượng Hậu quả/Tác động (Ví dụ)
Phân loại Mô tả Hậu quả/Tác động Mức
Hậu quả có thể xảy ra do sự kiện
Catastrophic Mất AN hoàn toàn, mất khả năng Kinh doanh, thiệt 4
Thảm họa hại lớn về Tài chính, Uy tín, mất CIA nguy cơ không thể
khắc phục được.
Major Dừng hoạt động lớn, diện rộng, thiệt hại đáng kể về 3
Lớn Tài chính, có thiệt hại Kinh doanh, mất lớn về CIA, cần
sự chú ý của Lãnh đạo cao nhất.
Moderate Yêu cầu phải dừng hoạt động, có Vi phạm không 2
Trung bình nghiêm trọng, mất nhỏ về CIA, có thể trở thành lớn
nếu không được can thiệp/hỗ trợ ngay lập tức.
Minor Không bị dừng hoạt động, có thể phát triển lan rộng 1
Nhỏ ra khu vực nghiêm trọng, nếu không được can
thiệp/hỗ trợ, không bị mất CIA.
Insignificant Không có hỏng hóc/ảnh hưởng (đến ATTT), không bị 0
Không đáng kể suy giảm CIA, cần ghi lại để xem xét rút kinh nghiệm,
có nguy cơ bị ảnh hưởng đến ATTT.
Phân tích Bán-Định lượng Khả năng xảy ra sự kiện
(Example of Simple Likelihood Semi-Quantitative Analysis)
Descriptor - Phân loại Description - Mô tả Level - Mức
Expected Once per day or greater 4
Chắc sắp xảy ra 1 lần/ngày hoặc lớn hơn
Often Once per week 3
Thường xuyên 1-6 lần/tuần
Sometimes Once per month 2
Đôi khi 1-3 lần/tháng
Rarely Once every three month 1
Hiếm khi 1-2 lần/3 tháng
Highly unlikely Less than once, once per year 0
Rất khó xảy ra 1 lần/năm hoặc nhỏ hơn
*Đánh giá định lượng Rủi ro (risk assessment): Quá trình Tổng thể Nhận diện Rủi ro (risk
identification), Phân tích Rủi ro (risk analysis) và Đánh giá so sánh Rủi ro (risk evaluation)
*Khả năng (xảy ra) (likelihood): Cơ hội (chance) Xảy ra một Cái gì
*Hậu quả (consequence): Kết quả của Sự kiện mà nó ảnh hưởng các Mục tiêu (objectives).
Ví dụ Ma trận Đánh giá Rủi ro (RR) – Ví dụ 1
Hậu quả/Tác động
Khả năng 0 1 2 3 4
4 4 5 6 7 8
3 3 4 5 6 7
2 2 3 4 5 6
1 1 2 3 4 5
0 0 1 2 3 4
0-4: Rủi ro Thấp: Hoạt động có thể được Tiếp tục với sự Giám sát bình thường,
sau khi áp dụng thực hiện các biện pháp Kiểm soát.
5-6: Rủi ro Trung bình: Hoạt động có thể được Tiếp tục nếu các biện pháp Kiểm
soát phù hợp nhất đã được Nhận diện và Áp dụng thực hiện.
7-8: Rủi ro Cao: Hoạt động KHÔNG ĐƯỢC Tiếp tục. Các Phương pháp làm việc
phải được Nhận diện.
*Tiêu chí Rủi ro (risk criteria): Chuẩn mực (reference) để Độ
Đáng kể (significance) của Rủi ro được Đánh giá so sánh với.
Hậu quả/Tác động (9 mức Rủi ro)
Khả năng 0 1 2 3 4
4 4 5 6 7 8
3 3 4 5 6 7
2 2 3 4 5 6
1 1 2 3 4 5
0 0 1 2 3 4
Hậu quả/Tác động (14 mức Rủi ro)
Khả năng 1 2 3 4 5
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
6 Hoạch định (Planning) – ISO 27001
6.1.3 Xử lý Rủi ro AT TT (InfoSecurity Risk Treatment)
Note: Xem Nguyên tắc & Hướng dẫn trong ISO 31000
a) Chọn các b) Xác định tất cả c) So sánh các Kiểm soát đã
Phương án (Option) Kiểm soát cần thiết để xác định ở 6.1.3 b) với các
thích hợp Xử lý Triển khai Phương án Kiểm soát trong Annex A, và
Rủi ro* ATTT, dựa Xử lý RR ATTT đã Kiểm tra xác nhận rằng không
vào Kết quả Đánh chọn; Note: có thể Thiết có Kiểm soát cần thiết nào bị
giá RR; kế/Lấy từ Nguồn khác. bỏ sót; Note: Annex A không
phải là đủ hết, TC có thể chọn
Kiểm soát khác ở ngoài Annex A.
1. ĐỊNH Quá trình
Tổ chức NGHĨA d) Tuyên bố Áp dụng (SoA),
Xử lý Rủi ro*
phải gồm các: *Kiểm soát cần
ATTT để:
ÁP DỤNG thiết (6.1.3 b) & c)); *Lý giải
2. LƯU
Đưa chúng vào; *Kiểm soát
GIỮ f) Lấy được sự Phê cần thiết -> đc Triển khai/Ko;
Thông tin VB duyệt của Chủ sở *Lý giải về Loại trừ bất kỳ
về hữu RR về: *Kế Kiểm soát Annex A nào;
Quá trình hoạch Xử lý RR, và
Xử lý Rủi ro *Chấp nhận các Rủi e) Xây dựng Kế hoạch Xử lý
ATTT ro ATTT còn lại. Rủi ro* ATTT (RTP);
www.idasonline.com
6.1.3 (Develop an information-security
Quality Consultancy
risk treatment process) Page 30
*Xử l{ Rủi ro (risk treatment): *Rủi ro Còn lại (residual risk):
Quá trình Thay đổi RR. RISK Rủi ro (risk) vẫn còn lại sau Xử
ASSESSMENT
l{ Rủi ro (risk treatment)
RESULTS
Các Kết quả Đánh giá RR
SATISFACTORY Điểm Quyết định RR 1

Đánh giá Thỏa mãn? ASSESSMENT Risk decision point 1
- Tăng RR -> Cơ hội; Các Phương án

RISK TREATMENT OPTIONS
- Loại bỏ Nguồn RR; Xử lý RR
- Thay đổi Khả năng;
- Thay đổi Hậu quả. Thay đổi RR Giữ nguyên RR Tránh RR Chia sẻ RR
ISO 3100:2018 – 1. RISK 2. RISK 3. RISK 4. RISK
Risk Management MODIFICATION RETENTION AVOIDANCE SHARING
Rủi ro Còn lại/Tồn đọng*

RESIDUAL
RISK TREATMENT RISKS* XỬ LÝ RỦI RO*
Xử lý Thỏa mãn? SATISFACTORY Điểm Quyết định RR 2

TREATMENT Risk decision point 2
ISO/IEC 27005:2018 Hình 3
6 Hoạch định (Planning)
6.2 Các Mục tiêu* ATTT và Hoạch định để đạt Mục tiêu
Các Mục tiêu ATTT 4. XÁC

1. THIẾT
Tổ Kế hoạch thực hiện
ở các LẬP ĐỊNH
để đạt các Mục tiêu:
Chức năng, Cấp chức
liên quan, phải a) Cái gì sẽ được Làm ?;
cần cho ISMS. b) các Nguồn lực nào
sẽ được Yêu cầu ?;
c) Ai sẽ chịu Trách nhiệm ?;
2. Các Mục tiêu* ATTT phải:
3. d) Khi nào điều đó sẽ
a) Nhất quán với Chính sách ATTT; LƯU được Hoàn thành ?;
b) Đo lường được; GIỮ e) các Kết quả được
c) Tính đến các Yêu cầu ATTT áp dụng, Đánh giá thế nào ?;
và Kết quả Đánh giá & Xử l{ RR;
d) Được Theo dõi; Thông tin Văn bản
e) Được Truyền thông; về các Mục tiêu ATTT.
f) Được Cập nhật Thích hợp;
*Mục tiêu (objective):
g) Sẵn có dưới dạng Thông tin Văn bản. Kết quả cần đạt được

6. Hoạch định (Planning)
6.3 Hoạch định các Thay đổi (Planning of Changes)
1. Khi TC xác định Nhu cầu về các Thay đổi đến ISMS, thì
các Thay đổi => phải được thực hiện theo Kế hoạch.
a) Mục đích của các Thay đổi &

CÂN Hậu quả tiềm ẩn;
2. Tổ NHẮC b) sự Toàn vẹn của Hệ thống QL* CL;
chức
phải 9001 c) sự Sẵn có các Nguồn lực;
d) việc Phân bổ/phân bổ lại
các Trách nhiệm và Quyền hạn.
*Hệ thống Quản l{ Chất lượng (Quality Management System):

Phần của HT QL* liên quan đến Chất lượng (CL).
*Hệ thống Quản l{ (Management System): Tập hợp các Phần tử có Liên quan/Tương tác lẫn
nhau của TC để Thiết lập Chính sách, Mục tiêu và các Quá trình để Đạt các Mục tiêu đó.

7 Hỗ trợ (Support) (Support Requirements)

7.1 Các Nguồn lực (Resources) (Support your ISMS by providing the necessary resources)
1. XÁC Các Nguồn lực

ĐỊNH,
• Thiết lập (establishment)
CUNG
cần thiết: • Triển khai
CHO
CẤP 1. Con người; (implementation)
2. Cơ sở hạ tầng;
• Duy trì (maintenance)
Tổ 3. Môi trường Vận
chức hành các Quá trình; • Cải tiến* liên tục
phải 4. Phương tiện (continual improvement)
Theo dõi/Đo lường;
Hệ thống Quản lý
5. Kiến thức. (9001)
ATTT (ISMS)
*Cải tiến (improvement):

Hoạt động nâng cao
Kết quả thực hiện.

7 Hỗ trợ (Support)
7.2 Năng lực* (Competence)
(Support your ISMS by making sure that people are competent)
a) Xác định Năng lực cần thiết cho Nh}n viên l{m việc -
Tổ m{ có Ảnh hưởng đến Kết quả thực hiện của ISMS;
chức
phải b) Đảm bảo Nh}n viên đó có đủ Năng lực
trên cơ sở Gi|o dục, Đ{o tạo, Kinh nghiệm;
c) H{nh động để Tìm-nhận

Note: Các hành động gồm:
thêm Năng lực cần thiết,
• Đào tạo (training to);
- Đ|nh giá Hiệu lực của các
Hành động này: • Tư vấn (mentoring of);
• Bổ nhiệm lại nhân viên;
d) Lưu giữ Thông tin VB • Thuê (hiring)/Ký hợp đồng
l{m Bằng chứng về Năng lực với người có năng lực.
*Năng lực (competence): Khả năng áp dụng Kiến thức & Kỹ năng để đạt các Kết quả dự định
7.3 Nhận thức (Awareness)
(7.3 Support your ISMS by making people aware of their responsibilities)
a) Chính sách ATTT;

Tổ chức
phải
ĐẢM
BẢO c) Sự đóng góp của họ cho Hiệu lực
(effectiveness) của ISMS, gồm cả c|c Lợi ích
Người (benefits) của Kết quả thực hiện
l{m việc CÓ được Cải tiến (improved performance);
dưới sự NHẬN
THỨC
Kiểm so|t d) Hệ quả (implication) của sự Không phù hợp*
VỀ
của TC, - đến các Yêu cầu của ISMS.
*Sự Không Phù hợp (nonconformity): Sự Không-Thực hiện đáp ứng (non-fulfilment) một Yêu cầu
7.4 Trao đổi Thông tin/Truyền thông (Communication)

(Support your ISMS by identifying your communication needs)
Nhu cầu về
XÁC Truyền thông BAO a) Trao đổi về C|i gì?
Tổ ĐỊNH Nội bộ & GỒM b) Khi nào Trao đổi?
chức Bên ngoài, c) Trao đổi với Ai?
phải liên quan đến d) Trao đổi Thế n{o?
HT QL* e) Ai Trao đổi? (9001)
ATTT
*Hệ thống Quản l{ (HT QL) (Management System):

Tập hợp các Phần tử có Liên quan/Tương tác lẫn nhau của TC
để Thiết lập Chính sách, Mục tiêu và các Quá trình để Đạt các Mục tiêu đó.

7 Hỗ trợ (Support) – ISO/IEC 27001
7.5 Thông tin Văn bản (TT VB)/TT Dạng VB
Note: Mức
(Documented Information) - 7.5.1 Khái quát (General) độ của TT
1. ISMS của Tổ chức (TC) phải Bao gồm TT Văn bản: VB khác
nhau ở các
a) TT VB Theo Yêu cầu của Tiêu chuẩn QT n{y: b) TC, vì:
1. Phạm vi ISMS(4.3); 2. Chính sách ATTT(5.2e); 3. Quá trình Theo 1) *Quy mô
Đ.gi| Rủi ro(RR) ATTT(6.1.2); 4. Qúa trình Xử lý RR ATTT(6.1.3); Yêu của TC,
5. SoA(6.1.3b); 6. Mục tiêu ATTT(6.2); 7. Bằng chứng Năng lực cầu *Loại hình
(Đào Tạo, Kỹ Năng, Kinh Nghiệm, Bằng Cấp)(7.2d); 8. TT “Quá của các Hoạt
trình đc Thực hiện theo KH”(8.1); 9. Kết quả Đánh giá RR ATTT động, Quá
TC
(8.2); 10. Kết quả Xử lý RR ATTT(8.3); 11. Bằng chứng Kết quả trình, SP,
Theo dõi Đo lường ISMS(9.1); 12. Bằng chứng Chương trình & Kết DV của TC;
quả Đánh giá Nội bộ(9.2g); 13. Bằng chứng Kết quả Soát xét của Cần 2) Mức độ
LĐ(9.3); 14. Bằng chứng Tính chất sự Ko Phù hợp & Hành động thiết Phức tạp
Khắc phục(10.1f); B.chứng Kết quả Hành động Khắc phục(10.1g); cho của các
Annex A: 1. Vai trò, Tr|ch nhiệm ATTT; 2. Kiểm kê T{i sản; 3. Qui Hiệu Quá trình
định Sử dụng T{i sản; 4. Chính s|ch Kiểm so|t Truy cập; 5. Qui & các
lực Tương tác;
trình Vận h{nh Quản lý IT; 6. Nguyên tắc Kỹ thuật H.thống AT; 7.
của
Chính s|ch AT nh{ Cung cấp; 8. Qui trình Quản lý Sự cố ATTT; 9. 3) Năng lực
Qui trình Liên tục Kinh doanh; 10. Yêu cầu Ph|p luật, Qui định, ISMS của các
Hợp đồng. 11. Nhật ký Hoạt động Người dùng, Sự kiện AT; Nhân sự.
Support your ISMS by managing Consultancy
all relevant information Page 38
7.5.2 Tạo mới và Cập nhật (Creating & Updating)
(7.5.2 Manage the creation & modification of your ISMS documents)
*TT VB/TT Tài liệu:

1. Tổ ĐẢM BẢO Thông tin Là TT, được Yêu cầu
chức Văn bản bị Kiểm soát &
phải được: Duy trì bởi TC, và
Phương tiện chứa TT.
a) Nhận biết, b) Định dạng (Format) c) Soát xét (review),

Mô tả (description) Phương tiện TT (Media) Phê duyệt (approval)
về
Ví dụ: Ví dụ:
• Tiêu đề (title) • Ngôn ngữ (language) • sự Phù hợp
• Ngày (date) • Phiên bản Phần mềm (suitability)
• Tác giả (author) • Đồ thị (graphics) • sự Thỏa đ|ng
• Số tham chiếu • Bản Giấy/Bản Điện tử (adequacy)

7.5.3 Kiểm soát Thông tin VB (Control of Documented Information)
PHẢI ĐƯỢC
ĐƯỢC YÊU ISMS của TC
1. Thông tin CẦU
KIỂM SOÁT
VB
BỞI ISO 27001 ĐỂ ĐẢM BẢO
a) Phân phối, Truy cập, a) Sẵn có và Phù hợp

2. Để Truy xuất, Sử dụng; cho sử dụng, ở nơi
Kiểm GIẢI b) Cất giữ & Bảo quản, gồm & khi cần đến nó;
soát QUYẾT cả Bảo quản để Dễ đọc b) Được Bảo vệ đầy đủ
TT VB, CÁC (legibility); (ví dụ: khỏi bị:
HOẠT
Tổ chức c) Kiểm soát các Thay đổi * mất tính Bảo mật,
ĐỘNG
phải (ví dụ: Kiểm soát Phiên bản) * Sử dụng sai,
d) Lưu giữ & Loại bỏ. * mất tính Toàn vẹn)
3. TT VB từ Ngo{i, để Hoạch định & Vận h{nh ISMS, phải đc Nhận biết & Kiểm so|t
4. TT VB, đc Lưu l{m Bằng chứng về Phù hợp, phải đc Bảo vệ khỏi Sửa đổi vô tình (9001)
Note: Truy cập (access) = Cho phép Chỉ Xem (view) TT/ Xem & Thay đổi (change) TT VB.

8 Vận h{nh (Operation)
8.1 Hoạch định & Kiểm soát Vận hành (Operational Planning & Control)
1. Hoạch định, Triển khai, Kiểm soát:

Các Quá trình cần để Đáp ứng các Yêu cầu ATTT;
Triển khai c|c H{nh động đ~ được X|c định tại 6.1, bằng:
Tổ a) Thiết lập các Tiêu chí (criteria) về các Quá trình;
chức b) Triển khai Kiểm soát các Quá trình theo các Tiêu chí;
phải
X|c định, Duy trì, Lưu giữ TT VB ở Mức cần thiết để có:
2.
- Tin tưởng, rằng các Quá trình đã đc Thực hiện như Hoạch định.
3.
Kiểm soát: các Thay đổi đã Hoạch định;
4.
Soát xét: các Hậu quả của các Thay đổi ngoài Dự kiến,
Thực hiện: Hành động để Giảm thiểu các Hiệu ứng bất lợi.
Đảm bảo: các Quá trình, SP, DV - liên quan ISMS - được Kiểm soát.

8.2 Định lượng Rủi ro ATTT (Information security Risk Assessment)
(8.2 Conduct regular information security risk assessments)
1. THỰC HIỆN C|c Đ|nh gi| định lượng Rủi ro ATTT,

v{o c|c Khoảng thời gian đc Hoạch định, hoặc
khi những Thay đổi đ|ng kể được Đề xuất/Xảy ra,
có tính đến c|c Chuẩn mực đc Thiết lập (6.1.2 a):
Tổ
(*Các Chuẩn mực Chấp nhận Rủi ro*,
chức *Các Chuẩn mực để thực hiện Đánh giá RR ATTT)
phải
2. LƯU GIỮ Thông tin VB về c|c Kết quả của
các Đ|nh giá định lượng Rủi ro ATTT
*Nhận diện Rủi ro (RR) (risk identification): Quá trình Tìm ra, Công nhận và Mô tả các RR
*Phân tích RR (risk analysis): Quá trình để Hiểu Tính chất của RR và Xác định Mức của RR.
*Đánh giá so sánh RR (risk evaluation): Quá trình So sánh Kết quả Phân tích RR với Chuẩn
mực RR để Xác định xem RR và/hoặc Độ lớn của nó có Chấp nhận được không.

8.3 Xử lý Rủi ro ATTT (Information security Risk Treatment)

(8.3 Implement your information security risk treatment plan)
*Chủ Rủi ro (risk owner):

1. TRIỂN KHAI
Kế hoạch Xử lý Rủi ro* ATTT Người/Chủ thể có Trách
(RTP – Risk Treatment Plan) nhiệm Giải trình và Quyền
Tổ hạn để Quản l{ Rủi ro.
chức *Chấp nhận RR (risk
phải Thông tin VB về c|c Kết quả acceptance): Quyết định,
Xử lý Rủi ro ATTT
2. LƯU GIỮ được Thông báo để Nhận
lấy (to take) 1 Rủi ro cụ thể
(particular).
Đánh giá & Xử l{ Rủi ro Triển khai Bảo vệ *Kế hoạch Xử l{ RR (RTP)
(Kiểm soát) gồm: Phương án xử l{ đc
chọn; Kiểm soát cần thiết;
Tình trạng triển khai;
Người chủ rủi ro; Rủi ro
Còn lại kz vọng; Thời hạn;..
Method of safeguard selection in ISO 27001
9. Đ|nh gi| Kết quả thực hiện
(Performance Evaluation)
9.1 Theo dõi, Đo lường, Phân tích, Đánh giá
Monitoring, Measurement, Analysis, Evaluation)
a) Cái gì cần được Theo dõi & Đo lường, Kết quả thực hiện & tính
(gồm c|c Quá trình & c|c Kiểm so|t ATTT); Hiệu lực của ISMS
b) C|c Phương ph|p Theo dõi, Đo lường, 2. ĐÁNH GIÁ
Ph}n tích, Đ|nh gi|, để đảm bảo 1. XÁC ĐỊNH
c|c Kết quả đúng (valid).
Tổ chức
c) Khi nào việc Theo dõi & Đo lường phải
phải được thực hiện;
á
d) Ai phải Theo dõi & Đo lường; 3. LƯU GIỮ
e) Khi nào c|c Kết quả Theo dõi & Đo lường
phải được Ph}n tích & Đ|nh gi|; Thông tin VB
f) Ai phải Ph}n tích & Đ|nh gi| c|c kết quả. làm Bằng chứng
về c|c Kết quả
*Bằng chứng Khách quan (Objective Evidence): Dữ liệu Hỗ (Theo dõi,
trợ sự Tồn tại hay Sự thật (verity) của một điều nào đó. Đo lường)

9 Đ|nh gi| Kết quả thực hiện
9.2 Đánh giá/Kiểm toán Nội bộ (Internal Audit)
(Set up an internal audit program and use it to evaluate your ISMS)
9.2.1 Tổ chức phải 1) Các Yêu cầu của

Tổ chức về ISMS;
TIẾN HÀNH
a) Phù
Các ĐÁNH GIÁ* NỘI BỘ hợp* 2) Các Yêu cầu của
với: Tiêu chuẩn Quốc tế này;
tại c|c Khoảng Thời gian
hoạch định, để cung cấp TT
b) Được Triển khai v{
VỀ Duy trì một c|ch Hiệu lực.
ISMS:
*Đánh giá Kiểm toán (ĐG) (audit): “Quá trình có Hệ thống, Độc lập và được
Lập thành Văn bản, để Lấy được Bằng chứng ĐG và Xem xét ĐG chúng một
cách Khách quan, để Xác định Mức độ thực hiện các Chuẩn mực ĐG”.
*Sự Không Phù hợp (non-conformity): Sự Không-Thực hiện đáp ứng
(non-fulfilment) một Yêu cầu (requirement).
Note: Xem a) Hoạch định, Thiết lập, Triển khai, Duy trì (các) Chương trình
Đánh giá (ĐG) (Audit programe), gồm: *Tần suất, *Phương pháp,
ISO 19011
*Trách nhiệm, *các Yêu cầu Hoạch định, *việc Báo cáo.
về Hướng
- Chương trình ĐG phải tính đến: *Tầm quan trọng các Quá trình,
dẫn
*Thay đổi ảnh hưởng TC, *Kết quả của các ĐG (Audit s) trước;
b) Định nghĩa các Tiêu chí, Phạm vi ĐG cho từng cuộc ĐG;
9.2.2
Tổ c) Lựa chọn các Đánh giá viên (Audit ors) & Tiến hành các ĐG để
Đảm bảo tính Khách quan (objectivity) & Vô tư (impartiality);
chức
phải d) Đảm bảo: các Kết quả ĐG được Báo cáo đến Lãnh đạo;
f) Lưu giữ TT VB làm Bằng chứng về Triển khai Chương trình ĐG & Kết quả ĐG.
*Khắc phục (Correction): Hành động để Loại bỏ sự Không Phù hợp được Phát hiện.
*Hành động Khắc phục (Corrective Action): Hành động để Loại bỏ Nguyên nhân sự
Không Phù hợp & để Ngăn Tái diễn.
9.3 Soát xét của Lãnh đạo (Management Review)
9.3.2 SOÁT XÉT của L~nh đạo phải ISMS theo Thời gian
được Hoạch định & C}n nhắc về: đc Hoạch định, để Đảm bảo
a) Tình trạng của các Hành động từ tính Phù hợp, Đầy đủ &
các lần Soát xét Trước của L~nh đạo; Hiệu lực - một c|ch Liên tục.
b) Các Thay đổi các Vấn đề Nội bộ & SOÁT XÉT
Bên ngo{i, liên quan đến ISMS;
9.3.1 L~nh đạo (LĐ)
c) Các Thay đổi về Nhu cầu & Kỳ vọng cao nhất phải
của Bên Quan t}m, liên quan đến ISMS;
d) TT phản hồi về Kết quả thực hiện & 1) Các Điểm KPH & Hành động
Hiệu lực ISMS, gồm c|c Xu hướng về: Khắc phục*;
2) Các Kết quả Theo dõi &
e) TT Phản hồi từ c|c bên Quan t}m; Đo lường;
f) C|c Kết quả Đ|nh gi| Rủi ro & Tình 3) Các Kết quả Đánh giá
trạng của Kế hoạch Xử lý Rủi ro; Kiểm toán (Audit results);
4) Thực hiện đủ đáp ứng
g) Các Cơ hội cho Cải tiến liên tục. các Mục tiêu ATTT.
Review performance of your ISMS atConsultancy
planned intervals Page 47
9.3.3 Kết quả Soát xét của Lãnh đạo (Management Review Results)
1. Các Các QUYẾT ĐỊNH liên quan về:

BAO GỒM
Kết quả
a) Các Cơ hội Cải tiến liên tục;
Của
Soát xét*
b) Nhu cầu các Thay đổi về ISMS;
của
Lãnh đạo
c) Các Nhu cầu về Nguồn lực. (9001)
phải
2. Tổ chức LƯU GIỮ Thông tin VB làm Bằng chứng về

phải c|c Kết quả của của
các Soát xét* của Lãnh đạo
*Xem/Soát xét (review): Hoạt động được Thực hiện để Xác định tính Phù hợp
(suitability), Đầy đủ (adequacy), và Hiệu lực (effectiveness) của Chủ đề
(subject-matter), để Đạt các Mục tiêu đã Thiết lập.

10 Cải tiến (Improvement)
10.2 Sự Không phù hợp & Hành động Khắc phục
(Nonconformity & Corrective action)
1. Khi Sự XẢY RA 1) Thực hiện Hành động để
Tổ chức phải Kiểm soát & Khắc phục* nó;
Không phù
hợp (KPH) 2) Đối phó với các Hậu quả;
1) Soát xét sự KPH;

a) Phản ứng (react) với sự KPH, có thể |p dụng:
2) Xác định các Nguyên nhân
b) Đ|nh giá Nhu cầu Hành động để Loại bỏ của sự KPH;
(các) Nguyên nhân sự KPH, để nó không bị lặp 3) Xác định xem: Có sự KPH
lại hoặc xảy ra ở nơi khác, bằng việc: tương tự Tồn tại hoặc
Có thể tiềm ẩn xảy ra;
c) Thực hiện bất kỳ Hành động nào cần thiết;
2. Các H{nh động Khắc
d) Soát xét lại tính Hiệu lực của Hành động phục* phải Thích hợp với
Khắc phục đ~ được thực hiện; c|c Ảnh hưởng (effects) của
c|c Điểm Không Phù hợp
e) Thực hiện c|c Thay đổi đến ISMS, nếu cần. (KPH) gặp phải.
www.idasonline.com
10.1 Identify nonconformities -and
Quality Consultancy
take corrective actions Page 49
10 Cải tiến (Improvement)
3. Tổ LƯU GIỮ Thông tin VB - làm Bằng chứng về:

chức a) Bản chất sự KPH & Hành động Tiếp theo;
phải b) Các Kết quả của Hành động Khắc phục*.
10.1 Cải tiến liên tục (Continual Improvement)

1. CẢI TIẾN - Sự Phù hợp (suitability),
Tổ chức LIÊN TỤC
- Sự Đầy đủ (adequacy), Của ISMS
phải
- Tính Hiệu lực (effectiveness)
2. CÂN
NHẮC + c|c Kết quả Ph}n tích & Đ|nh gi|, + c|c Đầu ra So|t xét của L~nh đạo
để X|c định c|c Nhu cầu/Cơ hội, m{ chúng sẽ được Giải quyết,
như một phần của việc Cải tiến Liên tục. (ISO 9001)
Hết các Điều khoản chính (1-10) của ISO/IEC 27001:2022

PHỤ LỤC A - TIÊU CHUẨN ISO/IEC 27001:2022
Tham chiếu các Kiểm soát An ninh Thông tin
(Information Security Controls Reference)
04
Lĩnh
vực
14 KS Vật lý
Kiểm
soát (KS)
(themes)
93
37 KS Tổ chức Kiểm
soát
8 KS Con 34 KS Công nghệ (controls)
người
QUẢN LÝ RỦI RO ATTT, nhằm *Liên tục NV,
*Tu}n thủ Luật ph|p, Qui định, Hợp đồng
H{nh động Cải tiến Hiệu lực Quản lý Rủi ro
C|c mức độ AT, T{i sản TT & Gi| trị Mối/Kẻ
Lỗ Theo
Mục Đe
hổng Tài sản Thông tin (Information Assets) dọa dõi,
Tiêu,
Đo
Phương
Primary Quá trình, Hoạt động - NV Thông tin Tài sản lường,
pháp
Assets (Business Processes, Activities) (Information) Chính Đ|nh
Quản
giá
lý
Hiệu
Rủi
Supporting Tài sản lực
ro
Assets Tổ Địa Nhân Mạng Phần Phần Hỗ trợ Các
ISO/IEC chức điểm sự (Net- mềm cứng Kiểm
Mức (Organi- (Site) (Perso- work) (Soft- (Hard-
27005 soát
:2018 Rủi ro zation) nnel) ware) ware) Mất
C, I, A Rủi
(H/M/L)
Chuẩn mực/Tiêu chí (Chấp nhận) Rủi ro ro
Quản lý Rủi ro: Đ|nh gi| Rủi ro, Xử lý Rủi ro (Giảm thiểu, Giữ
www.idasonline.com
nguyên, Né -tránh,
Quality Consultancy
Chia sẻ => Kiểm soát Rủi ro), Chấp nhận Rủi ro Page 52
Risk Management Process • Risk Evaluation Criteria
• Risk Acceptance Criteria
• The Scope & Boundaries
• Organization for IS Risk Management
d
• Assets, Threats,
Vunlnerabilities, Controls
• Qualitative Estimation
or Quantative Estimation
• Prioritised Risk according

to Risk Evaluation Criteria
• Risk Reduction
• Risk Retention
• Risk Avoidance
• Risk Transfer
• Monitoring & Review of Risk factors

• Risk Management Monitoring,
Reviewing, Improvement
ISO 31000:2018
ISO/IEC 27005:2018
C1. Ví dụ c|c Mối đe dọa điển hình
Loại (Type) Mối đe dọa (Threats) Nguồn
Cháy/Hỏa hoạn (Fire) C, V, MT
Hư hại về Nguồn nước (Water Damage) C, V, MT
1. Hư hại Sự ô nhiễm (Polution) C, V, MT
Vật lý
(Physical Tai nạn Lớn (Major Accidents) C, V, MT
Damage) Sự phá hủy Thiết bị/Phương tiện TT (Destruction of
C, V, MT
Equipment/Media)
Khói Bụi, Ăn mòn (Gỉ), Đóng băng (Dust, Corrosion, Freezing) C, V, MT
MT (Môi
Hiện tượng khí hậu (Climatic Phenomenon)
trường)
2. Các Sự kiện
Thiên nhiên Hiện tượng địa chấn (Seismic Phenomenon) MT
(Natural Hiện tượng núi lửa (Volcanic Phenomenon) MT
Events)
Hiện tượng khí tượng (Meteorological Phenomenon) MT
Lũ lụt (Flood) MT
ISO/IEC 27005:2018
3. Mất mát Lỗi hỏng (Failure) HT Điều hòa không khí hay Cấp Nước C, V
các DV cần Mất Cung cấp Điện năng (Loss of Power supply) C, V, MT
thiết (Loss of
essential Lỗi hỏng Thiết bị truyền thông (Failure of Telecom C, V (Vô
Services) Equipment) tình)
4. Nhiễu do Bức xạ điện tử (Electromagnetic Radiation) C, V, MT
Bức xạ Bức xạ nhiệt (Thermal Radiation) C, V, MT
(Disturban
due to Xung điện tử (Electromagnetic Pulse) C, V, MT
Radiation)
5. Làm Suy Tác động của các Tín hiệu nhiễu gây hại (tới TT) (Interception
C (Cố tình)
giảm tới TT of Compromising Interference Signals)
(Compromise
Gián điệp từ xa (Remote Spying) C
of
Information) Nghe trộm (Eavesdropping) C
Lấy trộm phương tiện TT hoặc tài liệu (Theft of Media or
C
Documents)
Lấy trộm- thiết
www.idasonline.com bị (Theft
Quality of Equipment)
Consultancy C 55
Page
ISO/IEC 27005:2018

6. Làm Truy xuất (Retrival) từ Phương tiện TT đã Vứt
Suy giảm C (Cố tình)
(Recycled)/Loại bỏ (Discarded)
tới TT
Tiết lộ (TT) (Disclousure) C, V
(Compromise
of Dữ liệu từ các nguồn Không đáng Tin cậy (Unthrustworthy
C, V
Information) Sources)
Giả mạo phần cứng (Tampering of Hardware) C
Giả mạo PM (Tampering of Software) C, V
Phát hiện vị trí (Position Detection) C
7. Các Lỗi hỏng Thiết bị (Equipment Failure) V (Vô tình)
Lỗi hỏng Thiết bị bị Sai Chức năng (Equipment Malfuction) V
Kỹ thuật
Trạng thái Bão hòa của HT TT (Saturation of Info System) C, V
(Technical
Failures) PM bị Sai Chức năng (Software Malfuction) V
Vi phạm về bảo trì HT TT (Breach of Iinfo System
C, V
Maintainability)
ISO/IEC 27005:2018

8. Các Sử dụng trái phép thiết bị (Unathorized Use of Equipment) C (Cố tình)
Hành động
Sao chép gian lận PM (Fraundulent Copying of Software) C
Trái phép
(Unauthorised Sử dụng PM Giả mạo/bị Sao chép (Counterfeit or Copied
Actions) C, V
Software)
Sửa đổi/Làm Sai hỏng dữ liệu (Corruption of Data) C
Xử l{ Dữ liệu Bất Hợp pháp (Illegal Processing of Data) C
9. Làm Sai xót trong Sử dụng (Erro in Use) V (Vô tình)
Suy giảm
Lạm dụng Quyền (Abuse of Rights) C, V
tới
các Chức năng Giả mạo Quyền (Forging of Rights) C
(Compromise
Từ chối hành động (Denial of Action) C
of Functions)
Vi phạm của Nhân sự về tính Sẵn có (Breach of Personnel
C, V, MT
Availability)
ISO/IEC
Ví dụ c|c Nguồn Mối đe dọa do Con người 27005:2018
Nguồn MĐD Động cơ thực hiện Các Hậu quả Có thể xảy ra
(Origin) (Motivation) (Possible Consequences)
Thách thức (Challenge) • Tấn công máy tính (Hacking)
1. Tin tặc,
người Bẻ Lòng Tự cao (Ego) • Kỹ thuật Xã hội (Lừa đảo) (Social Engineering)
khóa Sự nổi loạn (Rebelion) • Xâm phạm, tấn công HT (System Intrusion, Beak-in)
(Hacker, Địa vị (Status) • Truy cập HT Trái phép (Unauthorized System
Cracker) Tiền bạc (Money) Access)
Phá hủy TT (Destruction) • Tội phạm máy tính (Computer Crime) (ví dụ: theo
Tiết lộ TT bất hợp pháp dõi trên mạng (Cyber Stalking))
2. Tội phạm Lợi ích (Gain) Tiền bạc • Hành vi Gian lận (Fraudulent act) (ví dụ: tái tạo,
Máy tính Thay đổi dữ liệu Trái mạo danh, nghe lén TT (Replay, Impersonation,
phép (Data Alteration) Interception))
(Computer
Criminal) • Mua chuộc TT (Information Bribery)
• Giả mạo TT (Information Spoofing)
• Xâm phạm HT (System Intrusion)

Nguồn Động cơ thực hiện Các Hậu quả Có thể xảy ra
MĐD (Origin) (Motivation) (Possible Consequences)
Tống tiền (Blackmail) • Bom/khủng bố (Bomb/Terrorism)
Phá hủy (Destruction) • Chiến tranh TT (Information Warfare)
3. Khủng bố Khai thác (Exploitation) • Tấn công HT (System Attact) (ví dụ: tấn công gây
(Terrorist) Trả thù (Revenge) Từ chối DV Phân tán (Distributed Denial of Service))
Lợi ích (Gain) Chính trị • Xâm nhập HT (System Penetration)
Đưa TT (Media Coverage) • Giả mạo HT (System Tampering)
Nguồn MĐD Động cơ thực Các Hậu quả Có thể xảy ra

(Origin) hiện (Motivation) (Possible Consequences)
4. Gián điệp Lợi thế Cạnh • Lợi thế Quốc phòng (Defence Advantage)
công nghiệp: tranh (Competitive • Lợi thế Chính trị (Political Advantage)
Tình báo, các Advantage)
• Khai thác Kinh tế (Economic Exploitation)
Cty, Chính phủ
nước ngoài, Lợi Gián điệp Kinh tế • Trộm cắp TT (Information Theft)
ích khác (Economic Espionage) • Xâm phạm Riêng tư Cá nhân (Intrusion on Personal
(Industrial Privacy)
Espionage: • Kỹ thuật Xã hội (Social Engineering)
Intelligence, • Xâm nhập HT (System Penetration)
Companies, Foreign
governments, other • Truy cập HT Trái phép (Truy cập đến TT đã
government Phân cấp (Classified), TT Độc quyền (Proprietary), TT
interests)
www.idasonline.com
Liên quan Công nghệ)
- Quality Consultancy Page 59
ISO/IEC
Ví dụ c|c Nguồn Mối đe dọa do Con người 27005:2018
Nguồn MĐD Động cơ thực Các Hậu quả Có thể xảy ra

(Origin) hiện (Motivation) (Possible Consequences)
Tò mò (Curiosiy) • Tấn công vào Người Lao động (Assault on Employee)
5. Người Nội
bộ: Người Lao Lòng Tự cao (Ego) • Tống tiền (Blackmail)
động đc Đào Tình báo • Xem TT độc quyền (Browsing of Proprietary Information)
tạo kém, Bất (Intelligence) • Lạm dụng máy tính (Computer Abuse)
mãn, có Ý Lợi ích Tiền bạc • Gian lận và trộm cắp (Fraud and Theft)
xấu, Cẩu thả, (Monetory Gain) • Mua chuộc TT (Information Bribery)
Ko trung thực, Trả thù (Revenge) • Dữ liệu đầu vào bị làm giả, Dữ liệu bị hỏng (Input of
Thôi việc. Sai lỗi và Bỏ quên: Falsified, Corrupted Data)
(Insiders: ví dụ: Lỗi nhập dữ • Chặn-Chiếm TT (Interception)
Purly Trained, liệu, Lỗi lập trình
• Mã độc (Malicous) (vd: Virus, Logic Bomb, Trojan horse)
Disgruntled, (Errors and
• Bán TT Cá nhân (Sale of Personal Information)
Malicious, Omission: e.g.
• các Lỗi HT (System Bugs)
Negligent, Data Entry Error,
Dishonest, Programming • Xâm nhập HT (System Intrusion)
Terminated Error) • Phá hoại HT (System Sabotage)
Employees) • Truy cập HT trái phép (Unauthorized System Access)
ISO/IEC 27005
Phụ lục D1. Ví dụ c|c Lỗ hổng – Phần Cứng :2018
Lỗ hổng (Vulnerabilities) – Hardware Mối đe dọa (Threats)

Bảo trì không đủ/Cài đặt lỗi các Phương tiện TT Vi phạm (Breach) Bảo trì HT TT
(Media)
Thiếu Sơ đồ thay thế định kz (Replacement Schemes) Phá hủy Thiết bị/Phương tiện TT
Dễ bị ảnh hưởng (Susceptibility to) bởi Độ ẩm Bụi, ăn mòn, đóng băng
(Humidity), Bụi (Dust), Bẩn (Soiling)
Nhạy cảm với Bức xạ điện từ (Sensitvity to Bức xạ điện từ (Electromagnetic
Electromagnetic Radiation) Radiation)
Thiếu biện pháp KS Thay đổi Cấu hình Hiệu quả Sai lỗi Sử dụng (Error in Use)
Dễ bị ảnh hưởng bởi thay đổi Điện áp (Voltage Mất (Loss of) nguồn cung cấp
Variations) Điện năng (Power supply)
Dễ bị ảnh hưởng bởi thay đổi Nhiệt (Temperature
Hiện tượng Khí tượng học
Variations)
Kho Cất giữ không được bảo vệ (Unprotected Storage) Trộm cắp Phương tiện TT/tài liệu
Thiếu cẩn thận khi Loại bỏ (Lack of Care at Disposal) Trộm cắp Phương tiện TT/tài liệu
Saowww.idasonline.com
chép Không được KS-(Uncontrolled
Quality Consultancy
Copying) Page liệu
Trộm cắp Phương tiện TT/tài 61
ISO/IEC 27005:2018
D1. Ví dụ c|c Lỗ hổng – Phần mềm
Lỗ hổng (Vulnerabilities) – Software (PM) Mối đe dọa (Threats)

Không/Kiểm thử thiếu PM (No/Insufficient Softw. Testing) Lạm dụng quyền
Lỗ hổng (Flaws) phổ biến (Well-Known) trong PM (PM) Lạm dụng quyền
Không “Đăng xuất“ (Logout) khi rời Máy (Workstation) Lạm dụng quyền
Loại bỏ/Tái sử dụng Phương tiện Lưu trữ (Storage Media) mà Lạm dụng quyền
không Xóa không đúng (without Proper Erasure) (Abuse of Rights)
Thiếu Kênh Theo dõi cho Kiểm toán (Lack of Audit Trail) Lạm dụng quyền
Lạm dụng quyền
Phân bổ sai Quyền truy cập (Wrong Allocation of Access Rights)
(Abuse of Rights)
PM được Phân phối-Rộng rãi (Widely-Distributed Software) Chiếm đoạt Dữ liệu
Áp dụng Ch. trình Ứng dụng cho Dữ liệu sai về Thời gian Chiếm đoạt Dữ liệu
Applying Application Programms to the wrong data in Time (Corruption)
Sai lỗi trong Sử dụng
Giao diện người dùng Phức tạp (Complicated User Interface)
(Error in Use)
www.idasonline.com
Thiếu - Quality Consultancy
tài liệu (Lack of Documentation) Sai lỗi trong sử dụngPage 62
ISO/IEC 27005:2018
D1. Ví dụ c|c Lỗ hổng – Phần mềm
Lỗ hổng (Vulnerabilities) – Software (PM) Mối đe dọa (Threats)
Thiết lập Tham số Sai (Incorrect Parameter Set up) Sai lỗi trong sử dụng
Ngày/Tháng Sai (Incorrect Dates) Sai lỗi trong sử dụng
Thiếu Cơ chế Nhận biết & Xác thực: Xác thực Người dùng Forging of Rights
Bảng Mật khẩu Không được Bảo vệ Giả mạo quyền
QL Mật khẩu Kém (Poor Password Management) Giả mạo quyền
Các DV Không cần thiết được Kích hoạt (Enabled) Xử l{ Dữ liệu Bất hợp pháp
PM Mới/Chạy chưa ổn định (New/Immature Software) Software Malfuction
Qui định Kỹ thuật (Specifications) cho những người Phát triển
Sai Chức năng PM
PM Không Rõ (Unclear)/Không Đầy đủ (Incomplete)
Thiếu (Lack) KS Thay đổi (Change Control) Hiệu lực Sai Chức năng PM
Tải xuống (Downloading)/Sử dụng PM Không được KS Tampering with Software
Thiếu bản Sao lưu Dự phòng (Lack of Back-up Copies) Giả mạo với PM
Thiếu bảo vệ Vật lý Tòa nhà/Cửa đi/Cửa sổ Trộm Phương tiện TT/Tài liệu
Lỗiwww.idasonline.com
hỏng (Failure) làm Báo -cáo
Quality ConsultancyReports)
QL (Management Page
Sử dụng Trái phép Thiết bị 63
ISO/IEC 27005:2018
D1. Ví dụ c|c Lỗ hổng – Mạng lưới
Lỗ hổng (Vulnerabilities) – Network Mối đe dọa (Threats)
Từ chối Hành động (Denial of
Thiếu Bằng chứng (Proof) Gửi/Nhận được Tin nhắn (Message)
actions)
Đường dây Thông tin Không được Bảo vệ Nghe trộm (Eavedropping)
Luồng TT Nhạy cảm (Sensitive Traffic) Không được Bảo vệ Nghe trộm
Đầu nối Cáp Yếu (Poor Join Cabling) Failure of Telecom. Equipmt.
Chỉ có một Điểm chịu Lỗi hỏng (Single Point of Failure) Lỗi hỏng Thiết bị Viễn thông
Thiếu Nhận biết, Xác thực của người Gửi và Nhận (Lack of Giả mạo quyền (Forging of
Identification & Authetification of Sender & Receiver) Rights)
Kiến trúc mạng không AN (Insecure Network Architecture) Remote Spying

Truyền Mật khẩu dạng Rõ ràng (Transfer Password in Clear) Gián điệp từ xa
Quản lý Mạng Không đủ (Chịu được Định tuyến) (Inadequate Bão hòa HT TT (Saturation of
Network Management) (Resilience of Routing) Information System)
Cácwww.idasonline.com - Quality
kết nối Mạng công cộng Consultancy
Không được Bảo vệ Sử dụng Thiết bị TráiPage
phép64
ISO/IEC 27005:2018
D1. Ví dụ c|c Lỗ hổng – Nh}n sự
Lỗ hổng (Vulnerabilities) – Personnel Mối đe dọa (Threats)

Vi phạm (Breach) tính Sẵn có
Sự vắng mặt của Nhân sự (Absence of Personnel)
của nhân sự
Qui trình Tuyển dụng Không đầy đủ (Insufficient Recruitment Phá hủy (destruction) Thiết
Procedures) bị/Phương tiện TT
Đào tạo AN Không Đầy đủ (Insufficient Security Training) Sai lỗi trong Sử dụng
Sử dụng Sai PM/Phần cứng (Incorrect Use of Sai lỗi trong Sử dụng
Software/Hardware) (Error in use)
Thiếu Nhận thức về AN (Lack of Security Awareness) Sai lỗi trong Sử dụng
Thiếu cơ chế Theo dõi (Lack Monitoring Mechanisms) Xử l{ Dữ liệu Bất Hợp pháp
Công việc của Người ngoài/Nhân viên Vệ sinh không được Trộm Phương tiện TT/Tài liệu
giám sát (unsupervised work by outside/cleaning staff) (Theft of Media/Document)
Thiếu các Chính sách Sử dụng đúng Phương tiện TT Viễn Sử dụng Thiết bị Trái phép
thông và Nhắn tin (Lack of policies for the Correct Use of (Unauthorised Use of
www.idasonline.com
Telecommunications - Quality
Media Consultancy
and Messaging) Equipment) Page 65
ISO/IEC 27005:2018
D1. Ví dụ c|c Lỗ hổng – Địa điểm
Lỗ hổng (Vulnerabilities) – Site Mối đe dọa (Threats)
Kiểm soát Không Đầy đủ/Cẩn thận việc Truy cập Vật l{ Phá hủy Thiết bị/Phương tiện TT
các Toà nhà/Phòng (Inadequate or Careless use of (Destruction of
Physical Access Control to Building/Rooms) Equipment/Media)
Vị trí ở Khu vực dễ bị Lũ lụt (Location in an area

Lũ lụt (Flood)
susceptible to Flood)
Mất nguồn Điện (Loss of Power

Lưới Điện Không Ổn định (Unstable Power Grid)
Supply)
Trộm cắp Thiết bị (Theft of

Thiếu Bảo vệ Vật l{ Tòa nhà/Cửa đi/Cửa sổ (Protection)
Equipment)

ISO/IEC 27005:2018
D1. Ví dụ c|c Lỗ hổng – Tổ chức
Lỗ hổng (Vulnerabilities) – Organization Mối đe dọa (Threats)

Thiếu Qui trình Chính thức Đăng ký, Hủy đăng ký Người dùng Lạm dụng quyền (Abuse)
Thiếu Quá trình Chính thức Soát xét Quyền Truy cập Lạm dụng quyền
Thiếu/Không đủ các Điều khoản (Provisions) (liên quan AN)
trong các Hợp đồng với Khách hàng/Bên thứ ba
Thiếu Qui trình Theo dõi (Monitoring) các Cơ sở Xử l{ TT Lạm dụng quyền
Thiếu Kiểm toán Thường xuyên (Lack of Regular Audits) Lạm dụng quyền
Thiếu các Qui trình Nhận biết và Đánh giá RR Lạm dụng quyền
Thiếu Báo cáo Lỗi (Fault Reports), ghi trong các Nhật k{ của
Quản trị , Khai thác viên (Administrator, Operator Logs)
Việc Đáp ứng Bảo trì DV Không đầy đủ Breach Bảo trì HT TT
Thiếu/Không đủ Thỏa thuận mức DV (Service Agreement) Vi phạm Bảo trì HT TT
Thiếu Qui trình KS Thay đổi (Change Control Procedure) Vi phạm Bảo trì HT TT

ISO/IEC 27005:2018

Chiếm đoạt Dữ liệu (Corruption of
Thiếu Qui trình Chính thức KS Tài liệu ISMS
Data)
Thiếu Qui trình Chính thức để Theo dõi Hồ sơ ISMS Chiếm đoạt Dữ liệu
Thiếu Quá trình Chính thức Phân quyền TT Công cộng sẵn Dữ liệu từ các Nguồn Không đáng
có tin
Thiếu Phân công Tốt các Trách nhiệm ANTT Từ chối Hành động (Denial)
Thiếu các Kế hoạch Liên tục (Lack of Continuity Plans) Lỗi hỏng Thiết bị (Failure of Eqpt)
Thiếu Chính sách Sử dụng Thư điện tử (E-mail Usage) Sai lỗi Sử dụng (Error in Use)
Thiếu Qui trình Giới thiệu PM vào HT Vận hành Sai lỗi trong Sử dụng
Thiếu Hồ sơ trong các Nhật k{ Quản trị/Khai thác viên Sai lỗi trong Sử dụng
Thiếu Qui trình Sử dụng (Handling) các TT đã Phân loại Sai lỗi trong Sử dụng
www.idasonline.com
Thiếu - Quality
các Trách nhiệm ANTT Consultancy
trong các Mô tả Công việc Sai lỗi trong Sử dụng Page 68
ISO/IEC 27005:2018

Thiếu/Không đủ các Điều khoản (Provisions) (liên quan Xử l{ Dữ liệu Bất Hợp pháp (Illegal
ATTT) trong các Hợp đồng với Người Lao động Processing of Data)
Thiếu Quá trình Kỷ luật rõ, cho trường hợp Sự cố ATTT Trộm Thiết bị (Theft of Equipt.)
Thiếu Chính sách Chính thức Sử dụng Máy tính di động Trộm Thiết bị (Theft of Equipt.)
Thiếu KS Tài sản nằm Ngoài Cở sở (Off-Premise Assets) Trộm Thiết bị (Theft of Equipt.)
Thiếu/Không đủ Chính sách “Bàn sạch, Màn hình sạch” Theft of Media or Equipments
Thiếu Phân quyền/Cấp phép cho các Cơ sở Xử l{ TT Trộm Phương tiện TT/Tài liệu
Thiếu Thiết lập Cơ chế Theo dõi Vi phạm (Breaches) AT Trộm Phương tiện TT/Tài liệu
Thiếu Soát xét Thường xuyên của Lãnh đạo QL Unauthorized Use of Equipment
Thiếu Qui trình về Báo cáo Điểm yếu AN (Weaknesess) Sử dụng Thiết bị Trái phép
Sử dụng PM Giả mạo
Thiếu Qui trình Đảm bảo Tuân thủ các Quyền Trí tuệ
(Counterfeit)/Sao chép (Copied)
ISO/IEC 27005:2018
E2. Đ|nh gi| Chi tiết Rủi ro ANTT
E.2.2 Đánh giá Rủi ro bằng Ma trận với các Giá trị được Định trước
(Matrix with Predefined Values)
Khả năng của Rất Trung Rất
Kịch bản thấp Thấp bình Cao cao
Sự cố (0) (1) (2) (3) (4)
Rất thấp (0) 0 1 2 3 4
Tác Thấp (1) 1 2 3 4 5
động
Trung bình (2) 2 3 4 5 6
Nghiệp
vụ Cao (3) 3 4 5 6 7
Rất cao (4) 4 5 6 7 8
- Ví dụ Xếp hạng Rủi ro (RR) Đơn giản:
*RR Thấp: 0-2 (Xanh); *RR Trung bình: 3-5 (Vàng); *RR Cao: 6-8 (Xanh).
- Ví dụ Mức Rủi ro Chấp nhận được: Mức Thấp: 0-2.
ISO/IEC 27005:2018
E2. Đ|nh gi| Chi tiết Rủi ro ANTT
E.2.4 Đ|nh gi| Rủi ro theo Gi| trị Khả năng xảy ra & Hậu quả có thể
Khả năng Đe dọa Thấp (Low) Tr.Bình (Medium) Cao (High)

Mức Lỗ hổng L M H L M H L M H
Giá trị Khả năng xảy ra 0 1 2 1 2 3 2 3 4
Kịch bản Sự cố (KB SC)
Giá trị Tài sản 0 1 2 3 4

Giá trị Khả năng xảy ra
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
ISO 27001 Risk Management in
2. Quản lý Rủi ro (Risk Management) Plain English – Dejan Kosutic
2.4 Identifying the Risks (clauses 6.1.2 & 8.2) – Nhận diện Rủi ro
Asset Threat Vulnerability Risk Owner
- Tài sản - Mối Đe dọa - Lỗ hổng - Chủ Rủi ro
Server Electricity No UPS Head of IT
outage
Fire No fire Health &

extinguisher Safety
Coordinator
Laptop Access by Inadequate User of the
unauthorized password Laptop
persons
Loss of Data Backup is not User of the
made Laptop
regularly
System Living the No Head of HR
Administrator company replacement
2.5 Analysing (Phân tích), Evaluating (Ước lượng) Rủi ro (6.1.2, 8.2)
Asset Threat Vulnerability Risk Owner Consequence Likelihood Risk
- Rủi
- Tài sản - Mối Đe dọa - Lỗ hổng - Chủ Rủi ro - Hậu quả - Khả năng
ro
Server Electricity No UPS Head of IT 4 3 7
outage
Fire No fire Health & 3 1 4
extinguisher Safety
Coordinator
Laptop Access by Inadequate User of the 3 3 6
unauthorized password Laptop
persons
Loss of Data Backup is not User of the 2 1 3
made Laptop
regularly
System Living the No Head of HR 4 1 5
Administrator company replacement

2.6 Performing Risks Treatment (6.1.3, 8.3) – Xử l{ Rủi ro

Asset Threat Vulnerability Risk Owner Risk Treatment Control
- Rủi option –
- Tài sản - Mối Đe dọa - Lỗ hổng - Chủ Rủi ro
ro PA Xử lý - Kiểm soát
Server Electricity No UPS Head of IT 7
outage
Fire No fire Health & 4 1) Decreas Purchase fire
extinguisher Safety Risk; 2) extinguisher
Coordinator Share Risk + Insurance
Laptop Access by Inadequate User of the 6 1) Decreas Write
unauthorized password Laptop Risk; Password
persons Policy
Loss of Data Backup is not User of the 3
made Laptop
regularly
System Living the No Head of HR 5 1) Decreas Hire 2-nd
Administrator company replacement Risk; Sys. Admini-
strator
2.7. Tuyên bố Áp dụng – SoA (Statement of Applicability)

ID Control Applica Justification Control Objective Implemen Status
Name – Tên bility – - Giải thích – Mục tiêu Kiểm tation – Tình trạng
Kiểm soát Khả soát Method –
năng Phương
Áp pháp
dụng Thực hiện
A.6.2.1 Mobile Yes Risks # 34, Decrease the Bring Fully
device 45, and 66 number of Your Own implemented
Policy Security incidents Device
related to Mobile (BYOD)
devices by 25% Policy
during following
year
A.6.2.2 Teleworking No Emplyoees - - -
are working
only from
the offices

2.8 Kế hoạch Xử lý Rủi ro – RTP (Risk Treatment Plan)

Control to Reference to Risk Responsible Deadline Resources Results
be imple- person
mented
Document a Risk #16 – Chief July Implemented
Back-up Unaveilability of Information 2018
Policy electronic information Security
because of accidental Officer
loss of the information
Implement Risk #16 – System October 3 man/days; In progress of

the Back-up Unaveilability of Administrator 2018 Budget for the implementation;
Policy electronic information technical controls
because of accidental
loss of the information
Implement Risk #32 – Technical August 3 man/days; In progress of

a smart Laptops could be operations 2018 Budget for the implementation;
card stolen by external manager technical controls Deadline passed
physical people & the smart card
control for all employee
ASSET THREAT VULNERABILITY ISO 27001:2013 CONTROL
A.11.2.8 Thiết bị Không trông coi

Biểu đồ
A.11.1.3 Đảm bảo An ninh các Văn
Quá trình Trộm
TB Không
phòng, Phòng, & Cơ sở
người trông
Đánh giá
A.8.1.3 Sử dụng Tài sản
& Chấp nhận được
Xử lý Mật khẩu
Yếu A.9.3.1 Sử dụng Thông tin
Rủi ro - Xác thực Bí mật
Mạo danh
ISO 27001 Mất
Chứng chỉ ID A.16.1.5 Phản ứng các Sự cố ANTT
A.12.2.1 Kiểm soát chống PM Độc hại

Laptop Phần mềm Phần mềm
Độc hại Cũ A.12.5.1 Cài đặt PM trên các
Hệ thống Vận hành
Bảo trì
Không Tốt A.11.2.4 Bảo trì Thiết bị
Sai chức
năng
Phần mềm Ko A.12.6.2 Hạn chế về Cài đặt PM
tương thích
A.9.2.6 Hủy bỏ/Điều chỉnh
các Quyền Truy cập
Lạm dụng Tích nhiều
27001
Ưu tiên Quyền Truy cập A.7.3.1 Chắm dứt/Thay đổi
Academy các Trách nhiệm Việc làm
(2014)
ASSET THREAT VULNERABILITY ISO 27001:2013 CONTROL
A.11.2.8 Unattended user equipment

Diagram
A.11.1.3 Securing offices, rooms, &
Of Theft
Unattended
facilities
device
ISO 27001
A.8.1.3 Acceptable use of assets
Risk
Assessment Weak A.9.3.1 Use of secret authentication
& password information
Impersonation
Treatment Loss of ID A.16.1.5 Response to InfoSecurity
Process credential* incidents
A.12.2.1 Control against malware

Laptop Malicious Outdated
Software software A.12.5.1 Installation of Software on
Operational Systems
Improper
maintenance A.11.2.4 Equipment Maintenance
Malfunction
Incompatible A.12.6.2 Restrictions on Software
software Installation
A.9.2.6 Removal or Adjustment of

Privilege Accumulation Access Rights
27001
Abuse of access rights
Academy A.7.3.1 Termination or Change of
(2014) Employment Responsibilities

1a DaoTaoNhanThuc CacDieuKhoan Iso27001 78slides - 2024

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

1a DaoTaoNhanThuc CacDieuKhoan Iso27001 78slides - 2024

Uploaded by

Copyright:

Available Formats

CÁC ĐIỀU KHOẢN

TIÊU CHUẨN ISO/IEC 27001:2022

www.idasonline.com - Quality Consultancy Page 2

• Điều quan trọng là:

www.idasonline.com - Quality Consultancy Page 3

(Theo dõi, Đo lường, Phân tích, Đ|nh giá;

9. Đ|nh giá Kết quả Thực hiện

Audit nội bộ; Xem xét của Lãnh đạo)

6. Hoạch định (Planning) (Giải quyết Rủi ro, Cơ

8. Vận hành (Operation)

10. Cải tiến (Improvement)

3.65 (risk communication and consultation) Truyền thông và Tư

www.idasonline.com - Quality Consultancy Page 13

Khả năng Nhằm 1. Xác

c|c Ranh giới & Khả năng

Tổ chức phải 4. DUY TRÌ PHẠM VI Sẵn có ở dạng

a) C|c vấn đề Nội bộ, bên Ngo{i

www.idasonline.com - Quality Consultancy Page 16

5 Sự lãnh đạo (Leadership) (Leadership Requirements)

www.idasonline.com - Quality Consultancy Page 18

THIẾT a) Thích hợp với Mục đích,

2. Chính sách ATTT phải

g) Sẵn có cho các Bên quan d) Bao gồm Cam kết để

www.idasonline.com - Quality Consultancy Page 19

*Kết quả thực hiện (Performance):

*Lãnh đạo cao nhất (Top Management):

1) Tích hợp & Triển khai các

www.idasonline.com - Quality Consultancy Page 22

COMMUNICATION AND CONSULTATION (10.3)

MONITORING AND REVIEW (10.5)

RISK DECISION POINT 2 No

DOCUMENTED INFORMATION (10.4) TT Văn bản

BT Đánh giá Rủi ro – Định tính (Qualitative)Page 24

SATISFACTORY Điểm Quyết định RR 1

- Tăng RR -> Cơ hội; Các Phương án

Rủi ro Còn lại/Tồn đọng*

Xử lý Thỏa mãn? SATISFACTORY Điểm Quyết định RR 2

Các Mục tiêu ATTT 4. XÁC

www.idasonline.com - Quality Consultancy Page 32

a) Mục đích của các Thay đổi &

*Hệ thống Quản l{ Chất lượng (Quality Management System):

www.idasonline.com - Quality Consultancy Page 33

7 Hỗ trợ (Support) (Support Requirements)

1. XÁC Các Nguồn lực

*Cải tiến (improvement):

www.idasonline.com - Quality Consultancy Page 34

c) H{nh động để Tìm-nhận

a) Chính sách ATTT;

7.4 Trao đổi Thông tin/Truyền thông (Communication)

*Hệ thống Quản l{ (HT QL) (Management System):

www.idasonline.com - Quality Consultancy Page 37

*TT VB/TT Tài liệu:

a) Nhận biết, b) Định dạng (Format) c) Soát xét (review),

www.idasonline.com - Quality Consultancy Page 39

a) Phân phối, Truy cập, a) Sẵn có và Phù hợp

www.idasonline.com - Quality Consultancy Page 40

1. Hoạch định, Triển khai, Kiểm soát:

www.idasonline.com - Quality Consultancy Page 41

1. THỰC HIỆN C|c Đ|nh gi| định lượng Rủi ro ATTT,

www.idasonline.com - Quality Consultancy Page 42

8.3 Xử lý Rủi ro ATTT (Information security Risk Treatment)

*Chủ Rủi ro (risk owner):

www.idasonline.com - Quality Consultancy Page 44