Lời nói đầu
\r\n\r\nTCVN ISO/IEC 27001:2009 hoàn toàn\r\ntương đương với ISO/IEC 27001:2005.
\r\n\r\nTCVN ISO/IEC 27001:2009 do Trung tâm Ứng\r\ncứu khẩn cấp Máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị,\r\nTổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công\r\nbố.
\r\n\r\n\r\n\r\n
Tiêu chuẩn này áp dụng rộng rãi cho\r\nnhiều loại hình tổ chức (ví dụ: các tổ chức thương mại, cơ quan nhà nước, tổ chức\r\nphi lợi nhuận). Tiêu chuẩn này chỉ rõ yêu cầu đối với hoạt động thiết lập;\r\ntriển khai; điều hành; giám sát; soát xét; duy trì và cải tiến một hệ thống\r\nquản lý an toàn thông tin (ISMS) để đảm bảo an toàn thông tin trước những rủi\r\nro có thể xảy ra với các hoạt động của
Hệ thống ISMS được thiết kế các biện\r\npháp đảm bảo an toàn thông tin phù hợp và\r\nđầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên\r\nquan như đối tác, khách hàng...
\r\n\r\nCác yêu cầu trình bày trong tiêu chuẩn\r\nnày mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức\r\nkhác nhau. Điều 4, 5, 6, 7 và 8 của tiêu chuẩn là bắt buộc nếu tổ chức công bố\r\nphù hợp với tiêu chuẩn này; các loại trừ đối với các biện pháp quản lý, nếu cần\r\nthiết để thỏa mãn các tiêu chí chấp nhận rủi ro, cần có lý do chính đáng và có\r\nbằng chứng chứng minh các rủi ro liên đới đã được chấp nhận bởi người có trách\r\nnhiệm.
\r\n\r\n\r\n\r\nISO/IEC 17799:2005, Information\r\ntechnology - Security techniques - Code of practice for information security\r\nmanagement (Công nghệ thông tin - Các\r\nkỹ thuật an toàn - Quy phạm thực hành quản lý an toàn thông tin).
\r\n\r\n\r\n\r\nTiêu chuẩn này sử dụng các thuật ngữ và định\r\nnghĩa sau:
\r\n\r\n3.1.
Bất kỳ thứ gì có giá trị đối với tổ\r\nchức.
\r\n\r\n3.2.
Tính chất đảm bảo mọi thực thể được\r\nphép có thể truy cập và sử dụng theo yêu cầu.
\r\n\r\n3.3.
Tính chất đảm bảo thông tin không sẵn\r\nsàng và phơi bày trước cá nhân, thực thể và các tiến trình không được phép.
\r\n\r\n3.4. An toàn thông tin
Sự duy trì tính bảo mật, tính toàn vẹn\r\nvà tính sẵn sàng của thông tin; ngoài ra còn có thể bao hàm một
3.5. Sự kiện an toàn thông\r\ntin\r\n(information security event)
\r\n\r\nMọi sự kiện đã được xác định trong một\r\nhệ thống, dịch vụ hay trạng thái mạng chỉ ra khả năng vi phạm chính sách an toàn\r\nthông tin, sự thất bại của hệ thống bảo vệ, hoặc một vấn đề chưa biết gây ảnh hưởng\r\nđến an toàn thông tin.
\r\n\r\n3.6. Sự cố an toàn
Một hoặc một chuỗi các sự kiện an toàn\r\nthông tin không mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ\r\nchức và đe dọa an toàn thông tin.
\r\n\r\n3.7. Hệ thống quản lý an toàn\r\nthông tin\r\n(information security management system)
\r\n\r\nISMS
\r\n\r\nHệ thống quản lý an toàn
CHÚ THÍCH: Hệ thống quản lý toàn diện\r\nbao gồm cơ cấu, chính sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục,\r\nquy trình và tài nguyên
3.8. Tính toàn vẹn
Tính chất đảm bảo sự chính xác và đầy\r\nđủ của các tài sản.
\r\n\r\n3.9. Rủi ro tồn đọng
Rủi ro còn lại sau quá trình xử lý rủi\r\nro.
\r\n\r\n3.10
Quyết định chấp nhận rủi ro.
\r\n\r\n3.11
Sử dụng thông tin một cách
3.12
Quá trình tổng thể gồm phân tích rủi\r\nro và ước lượng rủi ro.
\r\n\r\n3.13
Quá trình\r\nso sánh rủi ro đã ước đoán với chỉ tiêu rủi\r\nro đã có nhằm xác định mức độ nghiêm trọng của rủi ro.
\r\n\r\n3.14
Các hoạt động phối hợp nhằm điều khiển\r\nvà quản lý một tổ chức trước các rủi ro có thể xảy ra.
\r\n\r\n3.15
Quá trình lựa chọn và triển khai các\r\nbiện pháp hạn chế rủi ro.
\r\n\r\n3.16
Thông báo bằng văn bản mô tả mục tiêu\r\nquản lý và biện pháp quản lý thích hợp áp dụng cho hệ thống ISMS của tổ chức.
\r\n\r\nCHÚ THÍCH: Các mục tiêu quản lý và biện\r\npháp quản lý được xây dựng dựa trên kết\r\nquả của các quá trình đánh giá rủi ro và\r\nxử lý rủi ro, các yêu cầu về pháp lý hoặc quy định, các nghĩa vụ trong
Tổ chức phải thiết lập, triển khai, điều\r\nhành, giám sát, soát xét, duy trì và cải tiến một hệ thống quản lý an toàn\r\nthông tin (ISMS) đã được tài liệu hóa trong bối cảnh các hoạt động nghiệp vụ\r\nchung của tổ chức và những rủi ro phải đối mặt.
\r\n\r\n4.2.1. Thiết lập hệ thống ISMS
\r\n\r\nĐể thiết lập hệ thống ISMS, tổ chức\r\ncần thực hiện như sau:
\r\n\r\na) Xác định phạm vi và các giới hạn
b) Xây dựng và hoạch định chính sách\r\nISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản và công nghệ. Chính\r\nsách này:
\r\n\r\n1) bao gồm khuôn khổ để xây dựng các\r\nmục tiêu và thiết lập một định hướng và nguyên tắc chung cho các hành động đảm\r\nbảo an toàn thông tin;
\r\n\r\n2) tuân thủ quy định pháp lý, các yêu\r\ncầu nghiệp vụ và cam kết về an toàn thông tin đã có;
\r\n\r\n3) thiết lập và duy trì hệ thống ISMS\r\nnhư một phần trong chiến lược quản lý rủi ro chung của tổ chức;
\r\n\r\n4) thiết lập tiêu chí xác định các rủi\r\nro sẽ được ước lượng (xem 4.2.1c);
\r\n\r\n5) cần phải được ban quản lý phê duyệt
\r\n\r\nCHÚ THÍCH: trong tiêu chuẩn này, chính\r\nsách ISMS được xem xét như là một danh mục đầy đủ các chính sách an toàn thông\r\ntin. Các chính sách này có thể được mô tả trong cùng một tài liệu.
\r\n\r\nc) Xác định phương pháp tiếp cận đánh\r\ngiá rủi ro của tổ chức.
\r\n\r\n1) Xác định hệ phương pháp đánh giá\r\nrủi ro phù hợp với hệ thống ISMS và các quy định, luật pháp, yêu cầu và cam
2) Xây dựng các tiêu chí cho việc chấp\r\nnhận rủi ro và vạch rõ các mức rủi ro có thể chấp nhận được (xem 5.1 f).
\r\n\r\nHệ phương pháp đánh giá rủi ro được\r\nlựa chọn phải đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể so sánh và tái tạo được.
\r\n\r\nCHÚ THÍCH: Có nhiều hệ phương pháp\r\nđánh giá rủi ro khác nhau. Ví dụ về các hệ phương pháp đánh giá rủi ro được nêu ra\r\ntrong tài liệu ISO/
d) Xác định các rủi ro.
\r\n\r\n1) Xác định tất cả các tài sản trong\r\nphạm vi hệ thống ISMS và đối tượng quản lý1 các tài sản này.
\r\n\r\n2) Xác định các mối đe doạ
3) Xác định các điểm yếu có thể bị\r\nkhai thác bởi các mối đe doạ trên.
\r\n\r\n4) Xác định các tác động làm mất tính\r\nchất bí mật, toàn vẹn và sẵn sàng của tài sản.
\r\n\r\ne) Phân tích và ước lượng các rủi ro.
\r\n\r\n1) Đánh giá các ảnh hưởng tới hoạt\r\nđộng của tổ chức có thể gây ra do sự cố về\r\nan toàn thông tin, chú ý đến các hậu quả của việc mất tính bảo mật, toàn vẹn\r\nhay sẵn sàng của các tài sản.
\r\n\r\n2) Đánh giá các khả năng thực tế có\r\nthể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và điểm yếu đã\r\ndự đoán. Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ\r\nđang thực hiện.
\r\n\r\n3) Ước đoán các mức độ của rủi ro.
\r\n\r\n4) Xác định rủi ro là chấp nhận được\r\nhay phải có biện pháp xử lý dựa trên các tiêu chí chấp nhận rủi ro đã được thiết\r\nlập trong 4.2.1 .c)2.
\r\n\r\nf) Xác định và đánh giá các lựa chọn\r\ncho việc xử lý rủi ro.
\r\n\r\nCác hành động có thể thực hiện bao\r\ngồm:
\r\n\r\n1) áp dụng các biện pháp quản lý thích\r\nhợp;
\r\n\r\n2) chấp nhận rủi ro
3) tránh các rủi ro;
\r\n\r\n4) chuyển giao các rủi ro các bên tham\r\ngia khác, như bảo hiểm, nhà cung cấp...
\r\n\r\ng) Lựa chọn các mục tiêu quản lý và\r\nbiện pháp quản lý để xử lý các rủi ro.
\r\n\r\nCác mục tiêu quản lý và biện pháp quản\r\nlý phải được lựa chọn và thực hiện để đáp ứng các yêu cầu được xác định bởi quá\r\ntrình đánh giá rủi ro và xử lý rủi ro. Việc lựa chọn này phải xem xét đến tiêu\r\nchí chấp nhận rủi ro (xem 4.2.1c)2) cũng như các yêu cầu về pháp lý, quy định\r\nvà cam kết phải tuân thủ.
\r\n\r\nCác mục tiêu quản lý và biện pháp quản\r\nlý trong Phụ lục A có thể được lựa chọn như là một phần thích hợp để bảo đảm\r\ncác yêu cầu đã xác định.
\r\n\r\nCác yêu cầu quản lý và biện pháp quản\r\nlý trong Phụ lục A là chưa thực sự đầy đủ. Tùy trường hợp có thể lựa chọn thêm\r\ncác mục tiêu quản lý và biện pháp quản lý cần thiết khác.
\r\n\r\nCHÚ THÍCH: Phụ lục A là một danh sách toàn\r\ndiện các mục tiêu quản lý và biện pháp quản lý có khả năng thích hợp đối với\r\nnhiều tổ chức. Người sử dụng tiêu chuẩn này có thể sử dụng Phụ lục A như là\r\nđiểm khởi đầu trong việc lựa chọn biện pháp quản lý để đảm bảo không có các\r\nbiện pháp quan trọng bị bỏ sót.
\r\n\r\nh) Trình ban quản lý phê chuẩn các rủi\r\nro tồn đọng đã đề xuất
\r\n\r\ni) Trình
j) Chuẩn bị thông báo áp dụng.
\r\n\r\nThông báo áp dụng hệ thống ISMS bao gồm:
\r\n\r\n1) các mục tiêu quản lý và biện pháp\r\nquản lý đã được lựa chọn trong 4.2. + g) và lý do cho các lựa chọn này;
\r\n\r\n2) các mục tiêu quản lý và biện pháp\r\nquản lý đang được thực hiện (xem 4.2.1 e)2));
\r\n\r\n3) các mục tiêu quản lý và biện pháp\r\nquản lý trong Phụ lục A đã loại trừ và giải trình cho việc loại trừ này.
\r\n\r\nCHÚ THÍCH: Thông báo áp dụng cung cấp\r\nthông tin tóm tắt về các quyết định liên quan đến việc xử lý rủi ro. Việc giải\r\ntrình các biện pháp và mục tiêu quản lý trong Phụ lục A đã được loại trừ giúp\r\ncho phép kiểm tra chéo, tránh khả năng bỏ sót.
\r\n\r\n4.2.2. Triển khai và điều hành hệ\r\nthống ISMS
\r\n\r\nQuá trình triển khai và điều hành hệ\r\nthống ISMS cần thực hiện như sau:
\r\n\r\na) Lập kế hoạch xử lý rủi ro trong đó\r\nxác định các hành động quản lý thích hợp, các tài nguyên, các trách nhiệm và\r\nmức độ ưu tiên quản lý các rủi ro an toàn thông tin (xem 5).
\r\n\r\nb) Triển khai kế hoạch xử lý rủi ro nhằm\r\nđạt được mục tiêu quản lý đã xác định trong đó bao gồm cả việc xem xét kinh phí\r\nđầu tư cũng như phân bổ các vai trò,\r\ntrách nhiệm.
\r\n\r\nc) Triển khai các biện pháp quản lý\r\nđược lựa chọn trong 4.2.1g) để đáp ứng\r\ncác mục tiêu quản lý.
\r\n\r\nđ) Xác định cách đánh giá hiệu lực của\r\ncác biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các\r\nphương pháp đánh giá này sẽ được sử dụng như thế nào trong việc đánh giá hiệu\r\nlực của các biện pháp quản lý nhằm tạo ra\r\nnhững kết quả có thể so sánh được và tái\r\ntạo được (xem 4.2.3c).
\r\n\r\nCHÚ THÍCH: Việc đánh giá hiệu lực của\r\ncác biện pháp quản lý đã lựa chọn cho phép người quản lý và nhân viên xác định\r\ncác biện pháp quản lý đã đạt được mục tiêu quản lý theo kế hoạch như thế nào.
\r\n\r\ne) Triển khai các chương trình đào tạo\r\nnâng cao nhận thức (xem 5.2.2).
\r\n\r\nf) Quản lý hoạt động của hệ thống\r\nISMS.
\r\n\r\ng) Quản lý các tài nguyên dành cho hệ thống\r\nISMS (xem 5.2).
\r\n\r\nh) Triển khai các thủ tục và các biện\r\npháp quản lý khác có khả năng nhanh chóng phát hiện các sự kiện an toàn thông\r\ntin và phần ứng với các sự cố an toàn thông tin (xem 4.2.3a)).
\r\n\r\n4.2.3. Giám sát và soát xét hệ thống\r\nISMS
\r\n\r\nTổ chức thực hiện các hành động sau đây:
\r\n\r\na) Tiến hành giám sát, soát xét các thủ\r\ntục và các biện pháp quản lý khác nhằm:
\r\n\r\n1) nhanh chóng phát hiện ra các lỗi\r\ntrong kết quả xử lý;
\r\n\r\n2) nhanh chóng xác định các tấn công,\r\nlỗ hổng và sự cố an toàn thông tin;
\r\n\r\n3) cho phép ban quản lý xác định các\r\nhoạt động an toàn thông tin giao cho\r\nngười hoặc thực hiện bằng công nghệ thông tin\r\nđã được thực hiện như mong muốn;
\r\n\r\n4) hỗ trợ phát hiện các sự kiện an\r\ntoàn thông tin và do đó ngăn chặn sớm các\r\nsự cố an toàn thông tin bằng cách sử dụng các dấu hiệu cần thiết;
\r\n\r\n5) xác định hiệu lực của các hành động\r\nxử lý vi phạm an toàn thông tin đã thực hiện.
\r\n\r\nb) Thường xuyên soát xét hiệu lực
c) Đánh giá hiệu lực
d) Soát xét các đánh giá rủi ro đã\r\ntiến hành theo kế hoạch và soát xét các rủi ro tồn đọng cũng như mức độ rủi ro có\r\nthể chấp nhận được. Trong đó lưu ý các thay đổi trong:
\r\n\r\n1) tổ chức;
\r\n\r\n2) công nghệ;
\r\n\r\n3) mục tiêu và các quá trình nghiệp\r\nvụ;
\r\n\r\n4) các mối đe dọa an toàn
5) hiệu lực của các biện pháp quản lý\r\nđã thực hiện;
\r\n\r\n6) các sự kiện bên ngoài, như thay đổi\r\ntrong môi trường pháp lý hay quy định, thay đổi trong các nghĩa vụ hợp đồng,\r\nthay đổi về hoàn cảnh xã hội.
\r\n\r\ne) Thực hiện việc kiểm toán nội bộ hệ\r\nthống ISMS một cách định kỳ (xem 6).
\r\n\r\nCHÚ THÍCH: Kiểm toán nội bộ đôi khi\r\ncòn được gọi là kiểm toán của bên thứ\r\nnhất và được thực hiện bởi chính tổ chức hoặc đại diện của tổ chức.
\r\n\r\nf) Thực hiện soát xét của ban quản lý\r\nđối với hệ thống ISMS một cách thường xuyên để đảm bảo phạm vi đặt ra vẫn phù\r\nhợp và xác định các cải tiến cần thiết cho hệ thống ISMS (xem 7.1).
\r\n\r\ng) Cập nhật kế hoạch bảo đảm an toàn\r\nthông tin theo sát thay đổi của tình hình\r\nthực tế thu được qua các hoạt động giám sát và\r\nđánh giá.
\r\n\r\nh) Ghi chép, lập tài liệu về các hành\r\nđộng và sự kiện có khả năng ảnh hưởng đến\r\nhiệu lực hoặc hiệu suất của hệ thống ISMS (xem 4.3.3).
\r\n\r\n4.2.4. Duy trì và cải tiến hệ thống\r\nISMS
\r\n\r\nTổ chức
a) Triển khai các cải tiến đã được xác\r\nđịnh cho hệ thống ISMS.
\r\n\r\nb) Tiến hành các hành động khắc phục\r\nvà phòng ngừa thích hợp (xem 8.2 và 8.3). Vận dụng kinh nghiệm đã có cũng như\r\ntham khảo từ các tổ chức khác.
\r\n\r\nc) Thông báo và thống nhất với các bên\r\nliên quan về các hành động và cải tiến của\r\nhệ thống ISMS.
\r\n\r\nd) Đảm bảo việc cải tiến phải đạt được\r\ncác mục tiêu đã đặt ra.
\r\n\r\n4.3.1. Khái quát
\r\n\r\nHệ thống tài liệu bao gồm các hồ sơ xử\r\nlý nhằm đảm bảo truy lại được các quyết định xử lý, chính sách và đảm bảo các
Điều quan trọng là cần nêu rõ được sự\r\nliên quan giữa các biện pháp quản lý đã chọn với kết quả của các quy trình đánh\r\ngiá và xử lý rủi ro cũng như với các chính sách và mục tiêu của hệ thống ISMS đã\r\nđược đặt ra.
\r\n\r\nHệ thống tài liệu của ISMS cần phải\r\nbao gồm:
\r\n\r\na) các thông báo dạng văn bản về chính\r\nsách (xem 4.2.1 b) và mục tiêu của hệ thống ISMS;
\r\n\r\nb) phạm vi của hệ thống ISMS (xem\r\n-4.2.1a);
\r\n\r\nc) các thủ tục và biện pháp quản lý hỗ\r\ntrợ cho hệ thống ISMS;
\r\n\r\nd) mô tả về hệ phương pháp đánh giá\r\nrủi ro (xem 4.2.1c));
\r\n\r\ne) báo cáo đánh giá rủi ro (xem\r\n4.2.1c) tới 4.2.1 g));
\r\n\r\nf) kế hoạch xử lý rủi ro (xem\r\n4.2.2b));
\r\n\r\ng) các thủ tục dạng văn bản cần thiết\r\ncủa tổ chức để đảm bảo hiệu quả của việc lập kế hoạch, điều hành và quản lý các\r\nquy trình bảo đảm an toàn thông tin và mô tả phương thức đánh giá hiệu lực
h) các hồ sơ cần thiết được mô tả
i) thông báo áp dụng.
\r\n\r\nCHÚ THÍCH 1: Cụm từ “thủ tục dạng văn\r\nbản” trong ngữ cảnh của tiêu chuẩn này có nghĩa là các thủ tục đã được thiết lập,\r\nbiên soạn thành tài liệu, triển khai và duy trì.
\r\n\r\nCHÚ THÍCH 2: Quy mô của tài liệu về hệ\r\nthống ISMS giữa các tổ chức là khác nhau và phụ thuộc vào
\r\n\r\n- quy mô và loại hình hoạt động
- phạm vi và độ phức tạp
CHÚ THÍCH 3: Các hồ sơ
4.3.2. Biện pháp quản lý tài liệu
\r\n\r\nCác tài liệu cần thiết
a) phê duyệt thoả đáng các tài liệu trước\r\nkhi ban hành;
\r\n\r\nb) soát xét tài liệu và tiến hành các
c) đảm bảo nhận biết được các thay đổi\r\nvà tình trạng sửa đổi hiện hành của tài liệu;
\r\n\r\nd) đảm bảo rằng các phiên bản tài liệu\r\nthích hợp luôn có sẵn ở nơi cần sử dụng;
\r\n\r\ne) đảm bảo rằng các tài liệu phải rõ\r\nràng, dễ đọc và dễ nhận biết;
\r\n\r\nf) đảm bảo tài liệu phải sẵn sàng đối\r\nvới người cần, được chuyển giao, lưu trữ và hủy bỏ theo các thủ tục phù hợp.
\r\n\r\ng) đảm bảo các tài liệu có nguồn gốc\r\nbên ngoài được nhận biết;
\r\n\r\nh) đảm bảo việc phân phối tài liệu\r\nphải được quản lý;
\r\n\r\ni) tránh việc vô tình sử dụng phải các\r\ntài liệu đã bị thay thế;
\r\n\r\nj) áp dụng các biện pháp định danh phù\r\nhợp đối với các tài liệu cần lưu trữ.
\r\n\r\n4.3.3. Biện pháp quản lý hồ sơ
\r\n\r\nCác hồ sơ phải được thiết lập và duy\r\ntrì để cung cấp các dẫn chứng thể hiện sự phù hợp với các yêu cầu và sự hoạt\r\nđộng hiệu quả của hệ thống ISMS. Các hồ sơ phải được bảo vệ và quản lý. Hệ\r\nthống ISMS phải chú ý đến các yêu cầu về pháp lý hoặc quy định liên quan và các\r\nnghĩa vụ trong hợp đồng. Hồ sơ phải dễ đọc, dễ nhận biết và có thể truy xuất\r\nđược. Các biện pháp quản lý cần thiết để định danh, lưu trữ, bảo vệ, truy xuất,\r\nđịnh thời gian duy trì và sắp xếp hồ sơ phải được ghi thành văn bản và triển\r\nkhai.
\r\n\r\nCác hồ sơ phải được lưu giữ khi thực\r\nhiện quy trình nêu tại 4.2 và trong các sự cố an toàn thông tin quan trọng liên\r\nquan đến hệ thống ISMS.
\r\n\r\nVÍ DỤ: hồ sơ là một quyển sách ghi chép\r\nvề các khách đến, báo cáo kiểm toán...
\r\n\r\n5. Trách nhiệm
5.1. Cam kết của ban quản lý
\r\n\r\nBan quản\r\nlý phải chứng minh cam kết của mình trong việc thiết lập, triển khai,\r\nđiều hành, giám sát, soát xét, duy trì và cải tiến hệ thống quản lý an toàn\r\nthông tin bằng việc:
\r\n\r\na) thiết lập chính sách cho hệ thống\r\nISMS;
\r\n\r\nb) đảm bảo rằng các mục tiêu và kế\r\nhoạch của hệ thống ISMS đã được xây dựng;
\r\n\r\nc) thiết lập các vai trò và trách\r\nnhiệm về an toàn thông tin;
\r\n\r\nd) trao đổi với tổ chức về tầm quan\r\ntrọng của việc đảm bảo các mục tiêu an toàn thông tin và việc tuân thủ các\r\nchính sách an toàn thông tin, các trách nhiệm trước pháp luật và sự cần thiết\r\ntiếp tục cải tiến;
\r\n\r\ne) cung cấp đầy đủ tài nguyên cho các\r\nquá trình thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải\r\ntiến hệ thống ISMS (xem 5.2.1);
\r\n\r\nf) xác định các tiêu chí chấp nhận rủi\r\nro và mức độ rủi ro có thể chấp nhận được;
\r\n\r\ng) đảm bảo việc kiểm toán nội bộ hệ\r\nthống ISMS được thực hiện (xem 6);
\r\n\r\nh) triển khai việc soát xét của ban\r\nquản lý đối với hệ thống ISMS (xem 7).
\r\n\r\n5.2. Quản lý nguồn lực
\r\n\r\n5.2.1.
Tổ chức phải xác định và cung cấp các\r\nnguồn lực cần thiết cho việc:
\r\n\r\na) thiết lập, triển khai, điều hành,\r\ngiám sát, soát xét, duy trì và cải tiến hệ thống ISMS;
\r\n\r\nb) đảm bảo các thủ tục an toàn
c) xác định và áp dụng các yêu cầu\r\npháp lý, quy định và các nghĩa vụ về an\r\ntoàn thông tin trong hợp đồng;
\r\n\r\nd) duy trì đầy đủ an toàn thông tin bằng\r\ncách áp dụng đúng tất cả các biện pháp quản lý đã được triển khai;
\r\n\r\ne) thực hiện soát xét và có các biện\r\npháp xử lý khi cần thiết;
\r\n\r\nf) nâng cao hiệu lực của hệ thống ISMS\r\nkhi cần thiết.
\r\n\r\n5.2.2. Đào tạo, nhận thức và năng lực
\r\n\r\nTổ chức phải đảm bảo những người
a) xác định các kỹ năng cần thiết đối\r\nvới nhân viên thực hiện các công việc có tác động đến hệ thống ISMS;
\r\n\r\nb) cung cấp các khóa đào tạo hoặc tuyển\r\nchọn người đã có năng lực để có thể thỏa mãn yêu cầu;
\r\n\r\nc) đánh giá mức độ hiệu quả
d) lưu giữ hồ sơ về việc học vấn, quá\r\ntrình đào tạo, các kỹ năng, kinh nghiệm và trình độ chuyên môn (xem 4.3.3).
\r\n\r\nTổ chức cũng cần đảm bảo rằng mọi cá\r\nnhân liên quan đều nhận thức được tầm quan trọng của các hoạt động đảm bảo an\r\ntoàn thông tin và hiểu cách góp phần để đạt được các mục tiêu
6. Kiểm toán nội bộ\r\nhệ thống ISMS
\r\n\r\nTổ chức phải thực hiện kiểm toán nội\r\nbộ hệ thống ISMS theo kế hoạch để xác định các mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục trong hệ thống\r\nISMS có:
\r\n\r\na) tuân thủ các yêu cầu
b) tuân thủ các các yêu cầu đảm bảo an\r\ntoàn thông tin đã xác định;
\r\n\r\nc) được triển khai và duy trì hiệu\r\nquả;
\r\n\r\nd) hoạt động diễn ra đúng như mong\r\nmuốn.
\r\n\r\nCác chương trình kiểm toán phải được\r\nlên kế hoạch, có xem xét đến hiện trạng và tầm quan trọng của các quy trình và\r\nphạm vi được kiểm toán. Các tiêu chí, phạm vi, tần suất và phương pháp kiểm toán phải được xác định. Việc lựa chọn người\r\ntiến hành kiểm toán (kiểm toán viên) và việc thực hiện kiểm toán phải đảm bảo tính\r\nkhách quan, công bằng cho quá trình kiểm toán. Kiểm toán viên không kiểm toán công\r\nviệc của mình.
\r\n\r\nCác trách nhiệm và yêu cầu cho việc\r\nlập kế hoạch và thực hiện kiểm toán, báo cáo kết\r\nquả và lưu giữ hồ sơ (xem 4.3.3) phải được xác định trong một thủ tục dạng văn\r\nbản.
\r\n\r\nBan quản lý chịu trách nhiệm cho phạm\r\nvi đang được kiểm toán phải đảm bảo thời gian trì hoãn để loại bỏ những điểm\r\nkhông phù hợp và nguyên nhân của chúng. Các hoạt động tiếp theo sẽ bao gồm việc\r\nthẩm tra các hoạt động đã thực hiện và lập báo cáo về kết quả thẩm tra này (xem 8).
\r\n\r\nCHÚ THÍCH: Tiêu chuẩn ISO 19011:2002.\r\n"Guidelines
7.1. Khái quát
\r\n\r\nBan quản lý phải soát xét hệ thống\r\nISMS của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần trong năm) để luôn đảm\r\nbảo tính phù hợp, đầy đủ và hiệu quả. Việc soát xét này bao gồm đánh giá khả\r\nnăng có thể cải tiến và sự cần thiết phải thay đổi của hệ thống ISMS, bao gồm\r\ncác chính sách an toàn thông tin và mục\r\ntiêu an toàn thông tin. Kết quả
7.2. Đầu vào của việc soát xét
\r\n\r\nĐầu vào cho ban quản lý tiến hành việc\r\nsoát xét hệ thống ISMS bao gồm:
\r\n\r\na) các kết quả kiểm toán và soát xét\r\nhệ thống ISMS;
\r\n\r\nb) thông tin phản hồi từ các bên liên\r\nquan;
\r\n\r\nc) các kỹ thuật, sản phẩm hoặc thủ tục\r\ncó thể được sử dụng trong tổ chức nhằm nâng\r\ncao hiệu quả và hiệu suất của hệ thống\r\nISMS;
\r\n\r\nd) hiện trạng của các hành động phòng\r\nngừa và hành động khắc phục;
\r\n\r\ne) các lỗ hỏng hoặc nguy cơ mất an\r\ntoàn thông tin không được giải quyết thoả đáng trong lần đánh giá rủi ro trước;
\r\n\r\nf) các kết\r\nquả đánh giá hiệu lực của hệ thống;
\r\n\r\ng) các hoạt động tiếp theo lần soát\r\nxét trước của ban quản lý;
\r\n\r\nh) các thay đổi có ảnh hưởng đến hệ\r\nthống ISMS;
\r\n\r\ni) các kiến nghị nhằm cải tiến hệ\r\nthống.
\r\n\r\n7.3. Đầu ra của việc soát xét
\r\n\r\nBan quản lý sau khi soát xét hệ thống\r\nISMS cần đưa ra các quyết định và hành\r\nđộng liên quan sau đây:
\r\n\r\na) Nâng cao hiệu lực của hệ thống ISMS.
\r\n\r\nb) Cập nhật kế hoạch đánh giá
c) Sửa đổi
1) các yêu cầu trong hoạt động nghiệp\r\nvụ;
\r\n\r\n2) các yêu cầu an toàn th
3) các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động\r\nnghiệp vụ hiện tại của tổ chức;
\r\n\r\n4) các yêu cầu về pháp lý và quy định;
\r\n\r\n5) các nghĩa vụ theo các hợp đồng đã ký\r\nkết;
\r\n\r\n6) mức độ rủi ro và/hoặc tiêu chí chấp\r\nnhận rủi ro.
\r\n\r\nd) Các nhu cầu cần thiết về nguồn lực.
\r\n\r\ne) Cải tiến về phương thức đánh giá\r\nhiệu lực của các biện pháp quản lý.
\r\n\r\n\r\n\r\n8.1. Cải tiến thường xuyên
\r\n\r\nTổ chức phải thường xuyên nâng cao\r\ntính hiệu lực của hệ thống ISMS thông qua\r\nviệc sử dụng chính sách an toàn thông tin, các mục tiêu đảm bảo an toàn thông\r\ntin, các kết quả kiểm toán, kết quả phân\r\ntích các sự kiện đã giám sát, các hành động phòng ngừa và khắc phục cũng như các kết quả soát xét của ban quản lý (xem\r\n7).
\r\n\r\n8.2. Hành động khắc phục
\r\n\r\nTổ chức phải\r\nthực hiện hành động loại bỏ các nguyên nhân của các vi phạm đối với yêu cầu
a) xác định các v
b) tìm ra nguyên nhân của các vi phạm
c) đánh giá sự cần thiết của các hành\r\nđộng ngăn chặn các vi phạm này xuất hiện trở lại;
\r\n\r\nd) quyết định và triển khai các hành\r\nđộng khắc phục cần thiết;
\r\n\r\ne) lập hồ sơ kết quả thực hiện các hành động trên (xem 4.3.3);
\r\n\r\nf) soát xét lại các hành động khắc\r\nphục đã thực hiện.
\r\n\r\n8.3. Hành động phòng ngừa
\r\n\r\nTổ chức cần xác định các hành động để\r\nloại trừ các nguyên nhân gây ra các vi phạm tiềm ẩn đối với các yêu cầu của hệ\r\nthống ISMS để phòng ngừa các vi phạm này xảy ra. Các hành động phòng ngừa cần\r\nđược thực hiện phù hợp với các tác động mà các vi phạm này có thể gây ra. Các thủ\r\ntục dạng văn bản cho các hành động phòng ngừa cần xác định rõ các yêu cầu đối\r\nvới việc:
\r\n\r\na) xác định các vi phạm tiềm ẩn và\r\nnguyên nhân gây ra chúng;
\r\n\r\nb) đánh giá sự cần thiết của các hành\r\nđộng ngăn chặn các vi phạm này xuất hiện;
\r\n\r\nc) quyết định và triển khai các hành\r\nđộng trên;
\r\n\r\nd) lập hồ sơ về kết quả của
e) soát xét lại các hành động phòng\r\nngừa đã thực hiện.
\r\n\r\nTổ chức cần nhận biết các rủi ro đã\r\nthay đổi và xác định các hành động phòng ngừa phù hợp đáp ứng lại các thay đổi\r\nnày. Mức ưu tiên của các hành động phòng\r\nngừa phải được xác định dựa trên kết quả của quá trình đánh giá rủi ro.
\r\n\r\nCHÚ THÍCH: Hành động nhằm ngăn chặn\r\ncác vi phạm thường hiệu quả và kinh tế hơn hành động khắc phục sự cố do các vi\r\nphạm gây ra.
\r\n\r\n\r\n\r\n
Các mục tiêu và biện pháp quản lý\r\ntrong bả
Điều 5 đến 15 trong tiêu chuẩn quốc tế\r\nISO/IEC 17799:2005 cung cấp các khuyến cáo và hướng dẫn triển khai thực tế cho\r\ncác biện pháp quản lý trong bảng A.1.
\r\n\r\n| \r\n A.5 | \r\n ||||||||
| \r\n A.5.1. Chính sách\r\n an toàn thông tin \r\nMục tiêu | \r\n ||||||||
| \r\n A.5.1.1 \r\n | \r\n \r\n Tài liệu | \r\n \r\n Biện pháp quản lý \r\nMột tài liệu về chính sách an toàn\r\n thông tin cần phải được phê duyệt bởi ban quản lý và được cung cấp, thông báo\r\n tới mọi nhân viên cũng như các bên liên quan. \r\n | \r\n ||||||
| \r\n A.5.1.2 \r\n | \r\n \r\n Soát xét lại chính sách an toàn\r\n thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nChính sách an toàn thông tin cần\r\n thường xuyên được soát xét theo kế hoạch hoặc Khi có những thay đổi lớn xuất\r\n hiện để luôn đảm bảo sự phù hợp, đầy đủ và thực sự có hiệu lực. \r\n | \r\n ||||||
| \r\n A.6 Tổ chức | \r\n ||||||||
| \r\n A.6.1 Tổ chức nội\r\n bộ \r\nMục tiêu: Nhằm quản lý an toàn thông\r\n tin bên trong tổ chức. \r\n | \r\n ||||||||
| \r\n A.6.1.1 \r\n | \r\n \r\n Cam kết\r\n của ban quản lý về bảo đảm an toàn\r\n thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nBan quản lý phải chủ động hỗ trợ bảo\r\n đảm an toàn thông tin trong tổ chức bằng các định hướng rõ ràng, các cam kết\r\n có thể thấy được, các nhiệm vụ rõ ràng và nhận thức rõ trách nhiệm về bảo đảm\r\n an toàn thông tin. \r\n | \r\n ||||||
| \r\n A.6.1.2 \r\n | \r\n \r\n Phối hợp bảo đảm an toàn thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nCác hoạt động bảo đảm an toàn thông\r\n tin cần phải được phối hợp bởi các đại diện của các bộ phận trong tổ chức với\r\n vai trò và nhiệm vụ cụ thể. \r\n | \r\n ||||||
| \r\n A.6.1.3 \r\n | \r\n \r\n Phân định trách nhiệm bảo đảm an\r\n toàn thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nTất cả các trách nhiệm bảo đảm an\r\n toàn thông tin cần phải được xác định một cách rõ ràng. \r\n | \r\n ||||||
| \r\n A.6.1.4 \r\n | \r\n \r\n Quy trình trao quyền cho phương tiện\r\n xử lý thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nMột quy trình trao quyền quản lý cho\r\n phương tiện xử lý thông tin phải được xác định rõ và triển khai. \r\n | \r\n ||||||
| \r\n A.6.1.5 \r\n | \r\n \r\n Các thỏa thuận về bảo mật \r\n | \r\n \r\n Biện pháp quản lý \r\nCác yêu cầu về bảo mật hoặc các thỏa\r\n thuận không tiết lộ phản ánh nhu cầu của tổ chức đối với việc bảo vệ thông\r\n tin phải được xác định rõ và soát xét thường xuyên. \r\n | \r\n ||||||
| \r\n A.6.1.6 \r\n | \r\n \r\n Liên lạc với những cơ quan/tổ chức\r\n có thẩm quyền \r\n | \r\n \r\n Biện pháp quản lý \r\nPhải duy trì liên lạc thoả đáng với\r\n các cơ quan có thẩm quyền liên quan. \r\n | \r\n ||||||
| \r\n A.6.1.7 \r\n | \r\n \r\n Liên lạc với các nhóm chuyên gia \r\n | \r\n \r\n Biện pháp quản lý \r\nPhải giữ liên lạc với các nhóm\r\n chuyên gia hoặc các diễn đàn và hiệp hội an toàn thông tin. \r\n | \r\n ||||||
| \r\n A.6.1.8 \r\n | \r\n \r\n Tự soát xét về an toàn thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nCách tiếp cận quản lý an toàn thông\r\n tin của tổ chức và việc triển khai của tổ chức (chẳng hạn như: các mục tiêu\r\n và biện pháp quản lý, các chính sách, các quá trình và các thủ tục đảm bảo an\r\n toàn thông tin) phải được tự soát xét định kỳ hoặc khi xuất hiện những thay\r\n đổi quan trọng liên quan đến an toàn thông tin. \r\n | \r\n ||||||
| \r\n A.6.2. Các bên tham\r\n gia bên ngoài \r\nMục tiêu: Nhằm duy trì an toàn đối\r\n với thông tin và các phương tiện xử lý thông tin của tổ chức được truy cập, xử lý, truyền tới hoặc quản lý bởi các\r\n bên tham gia bên ngoài tổ chức. \r\n | \r\n ||||||||
| \r\n A.6.2.1 \r\n | \r\n \r\n Xác định các rủi ro liên quan đến\r\n các bên tham gia bên ngoài \r\n | \r\n \r\n Biện pháp quản lý \r\nCác rủi ro đối thông tin và phương\r\n tiện xử lý thông tin của tổ chức từ các quy trình nghiệp vụ liên quan đến các\r\n bên tham gia bên ngoài phải được nhận biết và triển khai biện pháp quản lý\r\n thích hợp trước khi cấp quyền truy cập. \r\n | \r\n ||||||
| \r\n A.6.2.2 \r\n | \r\n \r\n Giải quyết an toàn khi làm việc với\r\n khách hàng \r\n | \r\n \r\n Biện pháp quản lý \r\nTất cả các yêu cầu về an toàn phải\r\n được giải quyết trước khi cho phép khách hàng truy cập tới các tài sản hoặc\r\n thông tin của tổ chức. \r\n | \r\n ||||||
| \r\n A.6.2.3 \r\n | \r\n \r\n Giải quyết an toàn trong các thỏa\r\n thuận với bên thứ ba \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thỏa thuận với bên thứ ba liên\r\n quan đến truy cập, xử lý, truyền thông hoặc quản lý thông tin hay phương tiện\r\n xử lý thông tin của tổ chức, hoặc các sản phẩm, dịch vụ phụ trợ của các\r\n phương tiện xử lý thông tin phải bao hàm tất cả các yêu cầu an toàn liên\r\n quan. \r\n | \r\n ||||||
| \r\n A.7 Quản lý tài sản \r\n | \r\n ||||||||
| \r\n A.7.1 Trách nhiệm đối\r\n với tài sản \r\nMục tiêu: | \r\n ||||||||
| \r\n A.7.1.1 \r\n | \r\n \r\n Kiểm kê tài s | \r\n \r\n Biện pháp quản lý \r\nMọi tài sản cần được xác định rõ\r\n ràng và cần thực hiện, duy trì việc kiểm kê mọi tài sản quan trọng. \r\n | \r\n ||||||
| \r\n A.7.1.2 \r\n | \r\n \r\n Quyền sở hữu tài sản \r\n | \r\n \r\n Biện pháp quản lý \r\nMọi thông tin và tài sản gắn với\r\n phương tiện xử lý thông tin phải được quản lý, kiểm soát bởi bộ phận được chỉ\r\n định của tổ chức. \r\n | \r\n ||||||
| \r\n A.7.1.3 \r\n | \r\n \r\n Sử dụng hợp lý tài sản \r\n | \r\n \r\n Biện pháp quản lý \r\nCác quy tắc cho việc sử dụng hợp lý\r\n thông tin và tài sản gắn với phương tiện xử lý thông tin phải được xác định,\r\n ghi thành văn bản và triển khai. \r\n | \r\n ||||||
| \r\n A.7.2 Phân loại\r\n thông tin \r\nMục tiêu: | \r\n ||||||||
| \r\n A.7.2.1 \r\n | \r\n \r\n Hướng dẫn ph | \r\n \r\n Biện pháp quản lý \r\nThông tin cần được phân loại theo\r\n giá trị, yêu cầu pháp lý, độ nhạy cảm và quan trọng đối với tổ chức. \r\n | \r\n ||||||
| \r\n A.7.2.2 \r\n | \r\n \r\n Gán nhãn và quản lý thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thủ tục cần thiết cho việc gán\r\n nhãn và quản lý thông tin cần được phát triển và triển khai phù hợp với lược\r\n đồ phân loại thông tin đã được tổ chức chấp nhận. \r\n | \r\n ||||||
| \r\n A.8 Đảm bảo an toàn\r\n tài nguyên con người \r\n | \r\n ||||||||
| \r\n A.8.1 Trước khi\r\n tuyển dụng Mục tiêu: Đảm bảo rằng các nhân viên,\r\n người của nhà thầu và bên thứ ba hiểu rõ trách nhiệm của mình và phù hợp với\r\n vai trò được giao, đồng thời giảm thiểu các rủi ro về việc đánh cắp, gian lận\r\n hoặc lạm dụng chức năng, quyền hạn. \r\n | \r\n ||||||||
| \r\n A.8.1.1 \r\n | \r\n \r\n Các vai trò và trách nhiệm \r\n | \r\n \r\n Biện pháp quản lý \r\nCác vai trò và trách nhiệm đảm bảo\r\n an toàn của các nhân viên, người của nhà thầu và bên thứ ba cần được xác định\r\n và ghi thành văn bản phù hợp với chính sách an toàn thông tin của tổ chức. \r\n | \r\n ||||||
| \r\n A.8.1.2 \r\n | \r\n \r\n Thẩm tra \r\n | \r\n \r\n Biện pháp qu Việc xác minh lai lịch của mọi ứng\r\n viên tuyển dụng, người của nhà thầu và bên thứ ba phải được thực hiện phù hợp\r\n với pháp luật, quy định, đạo đức và phù hợp với các yêu cầu của công việc, phân\r\n loại thông tin được truy cập và các rủi ro có thể nhận thấy được. \r\n | \r\n ||||||
| \r\n A.8.1.3 \r\n | \r\n \r\n Điều khoản và điều kiện tuyển dụng \r\n | \r\n \r\n Biện pháp quản lý \r\nNhư một phần của các ràng buộc trong\r\n hợp đồng, các nhân viên, người của nhà thầu và bên thứ ba phải đồng ý và ký\r\n vào các điều khoản và điều kiện của hợp đồng tuyển dụng. Việc này làm rõ\r\n trách nhiệm của người được tuyển dụng và tổ chức tuyển dụng đối với an toàn\r\n thông tin. \r\n | \r\n ||||||
| \r\n A.8.2 Trong Mục tiêu: | \r\n ||||||||
| \r\n A.8.2.1 \r\n | \r\n \r\n Trách nhiệm ban quản lý \r\n | \r\n \r\n Biện pháp quản lý \r\nBan quản lý cần phải yêu cầu các\r\n nhân viên, người của nhà thầu và bên thứ ba chấp hành an toàn thông tin phù\r\n hợp với các thủ tục và các chính sách an toàn thông tin đã được thiết lập của\r\n tổ chức. \r\n | \r\n ||||||
| \r\n A.8.2.2 \r\n | \r\n \r\n Nhận thức, giáo dục và đào tạo về an\r\n toàn thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nTất cả các nhân viên trong tổ chức,\r\n người của nhà thầu và bên thứ ba cần phải được đào tạo nhận thức và cập nhật\r\n thường xuyên những thủ tục, chính sách đảm bảo an toàn thông tin của tổ chức\r\n như một phần công việc bắt buộc. \r\n | \r\n ||||||
| \r\n A.8.2.3 \r\n | \r\n \r\n Xử lý k | \r\n \r\n Biện pháp quản lý \r\nPhải có hình thức xử lý kỷ luật đối với\r\n các nhân viên vi phạm về an toàn thông tin. \r\n | \r\n ||||||
| \r\n A.8.3 Chấm dứt hoặc\r\n thay đổi công việc \r\nMục tiêu: | \r\n ||||||||
| \r\n A.8.3.1 \r\n | \r\n \r\n Trách nhiệm kết thúc hợp đồng \r\n | \r\n \r\n Biện pháp quản lý \r\nCác trách nhiệm trong việc | \r\n ||||||
| \r\n A.8.3.2 \r\n | \r\n \r\n Bàn giao tài sản \r\n | \r\n \r\n Biện pháp quản lý \r\nTất cả các nhân viên, người của nhà\r\n thầu và bên thứ ba cần trả lại các tài sản của tổ chức mà họ quản lý khi kết\r\n thúc hợp đồng hoặc thuyên chuyển công tác khác theo các điều khoản đã thống\r\n nhất \r\n | \r\n ||||||
| \r\n A.8.3.3 \r\n | \r\n \r\n Hủy bỏ quyền truy cập \r\n | \r\n \r\n Biện pháp quản lý \r\nCác quyền truy cập thông tin của mọi\r\n nhân viên, người của nhà thầu, bên thứ ba và các phương tiện xử lý thông tin\r\n phải được hủy bỏ khi họ kết thúc hợp đồng hoặc thuyên chuyển công tác. \r\n | \r\n ||||||
| \r\n A.9 Đảm bảo an toàn\r\n vật lý và môi trường \r\n | \r\n ||||||||
| \r\n A.9.1 C Mục tiêu: | \r\n ||||||||
| \r\n A.9.1.1 \r\n | \r\n \r\n Vành đai an toàn vật lý \r\n | \r\n \r\n Biện pháp quản lý \r\nCác vành đai an toàn (như tường, cổng\r\n ra/vào có kiểm soát bằng thể hoặc bàn tiếp tân...) phải được sử dụng để bảo\r\n vệ các khu vực chứa thông tin và phương tiện xử lý thông tin. \r\n | \r\n ||||||
| \r\n A.9.1.2 \r\n | \r\n \r\n Kiểm soát cổng truy cập vật lý \r\n | \r\n \r\n Biện pháp quản lý \r\nCác khu vực bảo mật cần được bảo vệ\r\n bằng các biện pháp kiểm soát truy cập thích hợp nhằm đảm bảo chỉ những người\r\n có quyền mới được phép truy cập. \r\n | \r\n ||||||
| \r\n A.9.1.3 \r\n | \r\n \r\n Bảo vệ các văn phòng, phòng làm việc\r\n và vật dụng \r\n | \r\n \r\n Biện pháp quản lý \r\nBiện pháp bảo vệ an toàn vật lý cho\r\n các văn phòng, phòng làm việc và vật dụng cần được thiết kế và áp dụng. \r\n | \r\n ||||||
| \r\n A.9.1.4 \r\n | \r\n \r\n Bảo vệ chống lại các mối đe dọa từ\r\n bên ngoài và từ môi trường \r\n | \r\n \r\n Biện pháp quản lý \r\nBiện pháp bảo vệ vật lý chống lại\r\n những nguy cơ do cháy nổ, ngập lụt, động đất, tình trạng náo loạn và các dạng\r\n thảm họa khác do thiên nhiên và do con người gây ra cần được thiết kế và áp\r\n dụng. \r\n | \r\n ||||||
| \r\n A.9.1.5 \r\n | \r\n \r\n Làm việc trong các khu vực an toàn \r\n | \r\n \r\n Biện pháp quản lý \r\nBiện pháp bảo vệ vật lý và các hướng\r\n dẫn làm việc trong các khu vực an toàn cần được thiết kế và áp dụng. \r\n | \r\n ||||||
| \r\n A.9.1.6 \r\n | \r\n \r\n Các khu vực truy cập tự do, phân\r\n phối, chuyển hàng \r\n | \r\n \r\n Biện pháp quản lý \r\nCác điểm truy cập mà người truy nhập\r\n không cần cấp phép như khu vực chung, phân phối, chuyển hàng, phải được quản\r\n lý và, nếu có thể, được cách ly khỏi các phương tiện xử lý thông tin để tránh\r\n tình trạng truy cập trái phép. \r\n | \r\n ||||||
| \r\n A.9.2 Đảm bảo an\r\n toàn trang thiết\r\n bị \r\nMục tiêu: | \r\n ||||||||
| \r\n A.9.2.1 \r\n | \r\n \r\n Bố trí và bảo vệ thiết bị \r\n | \r\n \r\n Biện pháp quản lý \r\nThiết bị phải được bố trí tại các địa\r\n điểm an toàn hoặc được bảo vệ nhằm giảm thiểu các rủi ro do các đe doạ, hiểm\r\n hoạ từ môi trường hay các truy cập trái phép. \r\n | \r\n ||||||
| \r\n A.9.2.2 \r\n | \r\n \r\n Các tiện ích hỗ trợ \r\n | \r\n \r\n Biện pháp quản lý \r\nThiết bị phải được bảo vệ khỏi sự cố\r\n về nguồn điện cũng như các sự gián đoạn hoạt động có nguyên nhân từ các tiện\r\n ích hỗ trợ. \r\n | \r\n ||||||
| \r\n A.9.2.3 \r\n | \r\n \r\n An toàn cho dây cáp \r\n | \r\n \r\n Biện pháp quản lý \r\nDây dẫn nguồn điện và cáp truyền\r\n thông mang dữ liệu hoặc các hỗ trợ các dịch vụ thông tin phải được bảo vệ\r\n khỏi sự xâm phạm hoặc làm hư hại. \r\n | \r\n ||||||
| \r\n A.9.2.4 \r\n | \r\n \r\n Duy trì thiết bị \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thiết bị cần được duy trì một\r\n cách thích hợp nhằm đảm bảo luôn sẵn sàng và toàn vẹn. \r\n | \r\n ||||||
| \r\n A.9.2.5 \r\n | \r\n \r\n An toàn cho thiết bị hoạt động bên\r\n ngoài nhà \r\n | \r\n \r\n Biện pháp quản lý \r\nPhải đảm bảo an toàn cho các thiết\r\n bị ngoài nhà, chú ý đến các rủi ro khác nhau khi thiết bị làm việc bên ngoài\r\n tổ chức. \r\n | \r\n ||||||
| \r\n A.9.2.6 \r\n | \r\n \r\n An toàn khi loại bỏ và tái sử dụng thiết\r\n bị \r\n | \r\n \r\n Biện pháp quản lý \r\nTất cả các bộ phận của thiết bị có\r\n chứa các phương tiện lưu trữ thông tin phải được kiểm tra nhằm đảm bảo rằng tất\r\n cả dữ liệu nhạy cảm và phần mềm có bản quyền phải được xóa bỏ hoặc ghi đè trước\r\n khi loại bỏ hoặc tái sử dụng thiết bị cho mục đích khác. \r\n | \r\n ||||||
| \r\n A.9.2.7 \r\n | \r\n \r\n Di dời tài sản \r\n | \r\n \r\n Biện pháp quản lý \r\nThiết bị, thông tin hoặc phần mềm\r\n không được mang ra ngoài trước khi được phép. \r\n | \r\n ||||||
| \r\n A.10. Quản lý\r\n truyền thông và điều hành \r\n | \r\n ||||||||
| \r\n A.10.1. Các tổ chức\r\n và trách nhiệm điều hành \r\nMục tiêu: Nhằm đảm bảo sự điều hành\r\n các phương tiện xử lý thông tin đúng đắn và an toàn. \r\n | \r\n ||||||||
| \r\n A.10.1.1 \r\n | \r\n \r\n Các thủ tục vận hành được ghi thành văn\r\n bản \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thủ tục vận hành cần được ghi thành\r\n văn bản, duy trì và luôn sẵn sàng đối với mọi người cần dùng đến. \r\n | \r\n ||||||
| \r\n A.10.1.2 \r\n | \r\n \r\n Quản lý thay đổi \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thay đổi trong các phương tiện\r\n xử lý thông tin và hệ thống xử lý thông tin phải được kiểm soát. \r\n | \r\n ||||||
| \r\n A.10.1.3 \r\n | \r\n \r\n Phân tách nhiệm vụ \r\n | \r\n \r\n Biện pháp quản lý \r\nCác nhiệm vụ và phạm vi trách nhiệm\r\n phải được phân tách nhằm giảm thiểu khả năng sửa đổi bất hợp lệ hoặc không\r\n mong muốn hay lạm dụng các tài sản của tổ chức. \r\n | \r\n ||||||
| \r\n A.10.1.4 \r\n | \r\n \r\n Phân tách các chức năng phát triển,\r\n kiểm thử và điều hành \r\n | \r\n \r\n Biện pháp quản lý \r\nCác chức năng phát triển, kiểm thử\r\n và vận hành cần được phân tách nhằm giảm thiểu các rủi ro của việc truy cập\r\n hoặc thay đổi trái phép đối với hệ thống điều hành. \r\n | \r\n ||||||
| \r\n A.10.2 Quản lý\r\n chuyển giao dịch vụ của bên thứ ba \r\nMục tiêu: | \r\n ||||||||
| \r\n A. 10.2.1 \r\n | \r\n \r\n Chuyển giao | \r\n \r\n Biện pháp quản lý \r\nCần phải đảm bảo rằng các biện pháp\r\n kiểm soát an toàn, các định nghĩa dịch vụ và mức độ chuyển giao dịch vụ trong\r\n thỏa thuận chuyển giao dịch vụ của bên thứ ba được triển khai, vận hành và\r\n duy trì | \r\n ||||||
| \r\n A. 10.2.2 \r\n | \r\n \r\n Giám sát và soát xét các dịch vụ của\r\n bên thứ | \r\n \r\n Biện pháp quản lý \r\nCác dịch vụ, báo cáo và hồ sơ do bên\r\n thứ ba cung cấp phải được giám sát và soát xét một cách thường xuyên và việc\r\n kiểm toán phải được tiến hành một cách thường xuyên. \r\n | \r\n ||||||
| \r\n A.10.2.3 \r\n | \r\n \r\n Quản lý thay đổi đối với các dịch vụ\r\n của bên thứ ba \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thay đổi về cung cấp dịch vụ bao\r\n gồm việc duy trì và cải tiến các chính sách, thủ tục, biện pháp quản lý an\r\n toàn thông tin hiện hành cần phải được quản lý, chú ý đến tính quan trọng của\r\n hệ thống và quy trình nghiệp vụ liên quan cũng như việc đánh giá lại các rủi\r\n ro. \r\n | \r\n ||||||
| \r\n A.10.3. Lập kế\r\n hoạch và chấp nhận hệ thống \r\nMục tiêu: | \r\n ||||||||
| \r\n A. 10.3.1 \r\n | \r\n \r\n Quản lý n | \r\n \r\n Biện pháp quản lý \r\nViệc sử dụng tài nguyên phải được\r\n giám sát, điều chỉnh và có dự đoán các yêu cầu về năng lực hệ thống trong\r\n tương lai nhằm đảm bảo hiệu suất cần thiết \r\n | \r\n ||||||
| \r\n A.10.3.2 \r\n | \r\n \r\n Chấp nhận hệ thống \r\n | \r\n \r\n Biện pháp quản lý \r\nTiêu chí chấp nhận các hệ thống\r\n thông tin mới, các cải tiến và các phiên bản mới cần được thiết lập và các\r\n kiểm tra hệ thống thích hợp cần được tiến hành trong quá trình phát triển và trước\r\n khi được chấp nhận. \r\n | \r\n ||||||
| \r\n A.10.4 Bảo vệ chống\r\n lại các mã độc và mã di động \r\nMục tiêu: | \r\n ||||||||
| \r\n A.10.4.1 \r\n | \r\n \r\n Quản lý chống lại m | \r\n \r\n Biện pháp quản lý \r\nCác biện pháp quản lý trong việc\r\n phát hiện, ngăn chặn và phục hồi nhằm chống lại các đoạn mã độc và các thủ\r\n tục tuyên truyền nâng cao nhận thức của người sử dụng phải được thực hiện. \r\n | \r\n ||||||
| \r\n A. 10.4.2 \r\n | \r\n \r\n Kiểm soát các mã di\r\n động \r\n | \r\n \r\n Biện pháp quản lý \r\nĐối với các mã di động hợp lệ, việc cài\r\n đặt phải đảm bảo phù hợp với các chính sách an toàn đã được đặt ra. Ngược\r\n lại, các đoạn mã di động trái phép sẽ bị ngăn chặn. \r\n | \r\n ||||||
| \r\n A.10.5 Sao lưu \r\nMục tiêu: | \r\n ||||||||
| \r\n A.10.5.1 \r\n | \r\n \r\n Sao lưu thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nThông tin và phần mềm cần được sao\r\n lưu và các bản sao cần được kiểm tra thường xuyên phù hợp với chính sách sao\r\n lưu đã được chấp thuận. \r\n | \r\n ||||||
| \r\n A.10.6 Mục tiêu | \r\n ||||||||
| \r\n A.10.6.1 \r\n | \r\n \r\n Kiểm soát mạng \r\n | \r\n \r\n Biện pháp quản lý \r\nCác mạng cần phải được quản lý và\r\n kiểm soát một cách thỏa đáng nhằm bảo vệ khỏi các mối đe dọa và duy trì an\r\n toàn cho các hệ thống, ứng dụng sử dụng mạng và thông tin đang được truyền trên\r\n mạng. \r\n | \r\n ||||||
| \r\n A.10.6.2 \r\n | \r\n \r\n An toàn cho các dịch vụ mạng \r\n | \r\n \r\n Biện pháp quản lý \r\nCác tính năng an toàn, các mức độ\r\n dịch vụ và các yêu cầu quản lý của tất cả các dịch vụ mạng phải được xác định\r\n và ghi rõ trong các thỏa thuận về dịch vụ mạng, bất kể dịch vụ là do nội bộ\r\n cấp hay thuê khoán. \r\n | \r\n ||||||
| \r\n A.10.7 Quản lý\r\n phương tiện \r\nMục tiêu | \r\n ||||||||
| \r\n A. 10.7.1 \r\n | \r\n \r\n Quản lý các phương tiện có thể di d | \r\n \r\n Biện pháp quản lý \r\nCần phải có các thủ tục sẵn sàng cho\r\n việc quản lý phương tiện có thể di dời. \r\n | \r\n ||||||
| \r\n A. 10.7.2 \r\n | \r\n \r\n Loại bỏ phương tiện \r\n | \r\n \r\n Biện pháp quản lý \r\nCác phương tiện cần được loại bỏ một\r\n cách an toàn và bảo mật khi không còn cần thiết theo các thủ tục xử lý chính\r\n thức. \r\n | \r\n ||||||
| \r\n A.10.7.3 \r\n | \r\n \r\n Các thủ tục xử lý thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thủ tục cho việc xử lý và lưu\r\n trữ thông tin phải được thiết lập nhằm bảo vệ thông tin khỏi sự tiết lộ hoặc\r\n sử dụng bất hợp pháp. \r\n | \r\n ||||||
| \r\n A. 10.7:4 \r\n | \r\n \r\n An toàn cho các tài liệu hệ thống \r\n | \r\n \r\n Biện pháp quản lý \r\nCác tài liệu hệ thống cần được bảo\r\n vệ khỏi sự truy cập trái phép. \r\n | \r\n ||||||
| \r\n A. 10.8 Trao đổi\r\n thông tin \r\nMục tiêu: | \r\n ||||||||
| \r\n A. 10.8.1 \r\n | \r\n \r\n Các chính sách và thủ tục trao đổi\r\n thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nCác chính sách, thủ tục và biện pháp\r\n quản lý chính thức cần phải sẵn có để bảo vệ sự trao đổi thông tin thông qua\r\n hệ thống truyền thông. \r\n | \r\n ||||||
| \r\n A.10.8.2 \r\n | \r\n \r\n Các thỏa thuận trao đổi \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thỏa thuận cần được thiết lập\r\n cho việc trao đổi thông tin và phần mềm giữa tổ chức và các thực thể bên ngoài. \r\n | \r\n ||||||
| \r\n A.10.8.3 \r\n | \r\n \r\n Vận chuyển phương tiện vật lý \r\n | \r\n \r\n Biện pháp quản lý \r\nPhương tiện chứa thông tin cần được\r\n bảo vệ khỏi sự truy cập trái phép, sự lạm dụng hoặc làm sai lạc khi vận\r\n chuyển vượt ra ngoài phạm vi địa lý của tổ chức. \r\n | \r\n ||||||
| \r\n A 10.8.4 \r\n | \r\n \r\n Thông điệp điện tử \r\n | \r\n \r\n Biện pháp quản lý \r\nThông tin bao hàm trong các thông điệp\r\n điện tử cần được bảo vệ một cách thỏa đáng. \r\n | \r\n ||||||
| \r\n A. 10.8.5 \r\n | \r\n \r\n Các hệ thống thông tin nghiệp vụ \r\n | \r\n \r\n Biện pháp quản lý \r\nCác chính sách, các thủ tục cần được\r\n phát triển và triển khai nhằm bảo vệ thông tin gắn với sự kết nối giữa các\r\n các hệ thống thông tin nghiệp vụ. \r\n | \r\n ||||||
| \r\n A. 10.9 Các dịch vụ\r\n thương mại điện tử \r\nMục tiêu: | \r\n ||||||||
| \r\n A.10.9.1 \r\n | \r\n \r\n Thương mại điện tử \r\n | \r\n \r\n Biện pháp quản lý \r\nThông tin trong thương mại điện tử\r\n truyền qua các mạng công cộng cần phải được bảo vệ khỏi các hoạt động gian\r\n lận, các tranh cãi về giao kèo và sự tiết lộ, sửa đổi trái phép. \r\n | \r\n ||||||
| \r\n A. 10.9.2 \r\n | \r\n \r\n Các giao dịch trực tuyến \r\n | \r\n \r\n Biện pháp quản lý \r\nThông tin trong các giao dịch trực\r\n tuyến cần được bảo vệ khỏi việc truyền không đầy đủ, sai địa chỉ, bị sửa đổi\r\n thông điệp trái phép, bị tiết lộ hoặc nhân bản thông điệp một cách trái phép. \r\n | \r\n ||||||
| \r\n A. 10.9.3 \r\n | \r\n \r\n Thông tin công khai \r\n | \r\n \r\n Biện pháp quản lý \r\nTính toàn vẹn của thông tin công\r\n khai trên các hệ thống công cộng cần phải được bảo vệ nhằm ngăn chặn sự sửa\r\n đổi trái phép. \r\n | \r\n ||||||
| \r\n A.10.10 Giám sát \r\nMục tiêu | \r\n ||||||||
| \r\n A.10.10.1 \r\n | \r\n \r\n Ghi nhật ký kiểm toán \r\n | \r\n \r\n Biện phép quản lý \r\nViệc ghi lại tất cả các hoạt động\r\n của người dùng, các lỗi ngoại lệ và các sự kiện an toàn thông tin cần phải\r\n được thực hiện và duy trì trong một khoảng thời gian đã được thỏa thuận nhằm\r\n trợ giúp cho việc điều tra cũng như giám sát điều khiển truy cập về sau. \r\n | \r\n ||||||
| \r\n A.10.10.2 \r\n | \r\n \r\n Giám sát việc sử dụng hệ thống \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thủ tục giám sát việc sử dụng\r\n các phương tiện xử lý thông tin cần được thiết lập và kết quả giám sát cần\r\n phải được xem xét thường xuyên. \r\n | \r\n ||||||
| \r\n A. 10.10.3 \r\n | \r\n \r\n Bảo vệ các thông tin nhật ký \r\n | \r\n \r\n Biện pháp quản lý \r\nCác chức năng ghi nhật ký cũng như\r\n thông tin nhật ký cần được bảo vệ khỏi sự giả mạo và truy cập trái phép. \r\n | \r\n ||||||
| \r\n A.10.10.4 \r\n | \r\n \r\n Nhật ký người điều hành và\r\n người quả | \r\n \r\n Biện pháp quản lý \r\nTất cả hoạt động của người quản trị\r\n cũng như người điều hành hệ thống cần phải được ghi lạ | \r\n ||||||
| \r\n A.10.10.5 \r\n | \r\n \r\n Nhật ký lỗi \r\n | \r\n \r\n Biện pháp quản lý \r\nCác lỗi cần được ghi lại và phân\r\n tích và có các hoạt động xử lý cần thiết. \r\n | \r\n ||||||
| \r\n A.10.10.6 \r\n | \r\n \r\n Đồng bộ thời gian \r\n | \r\n \r\n Biện phép quản lý \r\nĐồng hồ trên các hệ thống xử lý thông\r\n tin trong tổ chức hoặc trong một phạm vi an toàn cần được đồng bộ với một\r\n nguồn thời gian chính xác đã được đồng ý lựa chọn. \r\n | \r\n ||||||
| \r\n A.11 Quản lý truy\r\n cập \r\n | \r\n ||||||||
| \r\n A 11.1 Yêu cầu\r\n nghiệp vụ cho quản lý truy cập \r\nMục tiêu: | \r\n ||||||||
| \r\n A.11.1.1 \r\n | \r\n \r\n Chính sách quản lý truy cập \r\n | \r\n \r\n Biện pháp quản lý \r\nChính sách quản lý truy cập cần được\r\n thiết lập, ghi thành văn bản và soát xét dựa trên các yêu cầu bảo mật và\r\n nghiệp vụ cho các truy cập. \r\n | \r\n ||||||
| \r\n A.11.2 Quản lý truy\r\n cập người sử dụng \r\nMục tiêu: | \r\n ||||||||
| \r\n A.11.2.1 \r\n | \r\n \r\n Đăng ký thành viên \r\n | \r\n \r\n Biện pháp quản lý \r\nCần thiết phải cố một thủ tục chính\r\n thức về đăng ký và hủy đăng ký thành viên để thực hiện cấp phát hoặc thu hồi\r\n quyền truy cập đến tất cả các hệ thống và dịch vụ thông tin. \r\n | \r\n ||||||
| \r\n A.11.2.2 \r\n | \r\n \r\n Quản lý đặc quyền \r\n | \r\n \r\n Biện pháp quản lý \r\nViệc cấp phát và sử dụng các đặc\r\n quyền cần phải được giới hạn và kiểm soát \r\n | \r\n ||||||
| \r\n A. 11.2.3 \r\n | \r\n \r\n Quản lý mật khẩu người sử dụng \r\n | \r\n \r\n Biện pháp quản lý \r\nViệc cấp phát mật khẩu người dùng cần\r\n được kiểm soát thông qua một quy trình quản lý chính thức. \r\n | \r\n ||||||
| \r\n A.11.2.4 \r\n | \r\n \r\n Soát xét các quyền truy cập của người\r\n dùng \r\n | \r\n \r\n Biện pháp quản lý \r\nBan quản lý cần định kỳ soát xét các\r\n quyền truy cập của người dùng theo một quy trình chính thức. \r\n | \r\n ||||||
| \r\n A.11.3 Các trách\r\n nhiệm của người dùng \r\nMục tiêu: | \r\n ||||||||
| \r\n A.11.3.1 \r\n | \r\n \r\n Sử dụng mật kh | \r\n \r\n Biện pháp quản lý \r\nNgười dùng phải được yêu cầu tuân\r\n thủ quy tắc thực hành an toàn tốt trong việc lựa chọn và sử dụng mật khẩu. \r\n | \r\n ||||||
| \r\n A.11.3.2 \r\n | \r\n \r\n Các thiết bị kh | \r\n \r\n Biện pháp quản lý \r\nNgười dùng cần đảm bảo rằng các\r\n thiết bị không được quản lý phải được bảo vệ thích hợp. \r\n | \r\n ||||||
| \r\n A. 11.3.3 \r\n | \r\n \r\n Chính sách giữ sạch bàn và màn hình\r\n làm việc \r\n | \r\n \r\n Biện pháp quản lý \r\nChính sách bàn làm việc sạch không\r\n có giấy và các phương tiện lưu trữ di động và chính sách màn hình sạch cho\r\n các phương tiện xử lý thông tin phải được thực hiện. \r\n | \r\n ||||||
| \r\n A.11.4 Mục tiêu | \r\n ||||||||
| \r\n A.11.4.1 \r\n | \r\n \r\n Chính sách sử dụng các dịch\r\n vụ mạng \r\n | \r\n \r\n Biện pháp quản lý \r\nNgười dùng chỉ được cung cấp quyền\r\n truy cập đến các dịch vụ mà họ đã được cho phép. \r\n | \r\n ||||||
| \r\n A.11.4.2 \r\n | \r\n \r\n Xác thực người dùng cho các kết nối\r\n bên ngoài \r\n | \r\n \r\n Biện pháp quản lý \r\nCác biện pháp xác thực thích hợp cần\r\n được sử dụng để quản lý truy cập bởi các người dùng từ xa. \r\n | \r\n ||||||
| \r\n A.11.4.3 \r\n | \r\n \r\n Định danh thiết bị trong các mạng \r\n | \r\n \r\n Biện pháp quản lý \r\nĐịnh danh thiết bị tự động cần được\r\n xem xét như là một biện pháp để xác thực kết nối từ các vị trí và thiết bị cụ\r\n thể. \r\n | \r\n ||||||
| \r\n A. 11.4.4 \r\n | \r\n \r\n Bảo vệ cổng c | \r\n \r\n Biện pháp quản lý \r\nCác truy cập lôgic hoặc vật lý tới\r\n các cổng dùng cho việc cấu hình và chẩn đoán cần được kiểm soát \r\n | \r\n ||||||
| \r\n A.11.4.5 \r\n | \r\n \r\n Phân tách trên mạng \r\n | \r\n \r\n Biện pháp quản lý \r\nCác nhóm người dùng, dịch vụ và hệ\r\n thống thông tin cần được phân tách trên các mạng. \r\n | \r\n ||||||
| \r\n A.11.4.6 \r\n | \r\n \r\n Quản lý | \r\n \r\n Biện pháp quản lý \r\nĐối với các mạng chia sẻ, đặc biệt\r\n là các mạng mở rộng ra ngoài tổ chức, số lượng người dùng có thể kết nối vào\r\n mạng phải được giới hạn, phù hợp với các chính sách quản lý truy cập và các\r\n yêu cầu trong ứng dụng nghiệp vụ (xem 11.1) \r\n | \r\n ||||||
| \r\n A.11.4.7 \r\n | \r\n \r\n Quản lý định tuy | \r\n \r\n Biện pháp quản lý \r\nQuản lý định tuyến mạng cần được\r\n triển khai nhằm đảm bảo các kết nối máy tính và luồng thông tin không vi phạm\r\n các chính sách quản lý truy cập của các ứng dụng nghiệp vụ. \r\n | \r\n ||||||
| \r\n A.11.5 Quản lý truy\r\n cập hệ thống điều hành \r\nMục tiêu | \r\n ||||||||
| \r\n A.11.5.1 \r\n | \r\n \r\n Các thủ tục đăng nhập an toàn \r\n | \r\n \r\n Biện pháp quản lý \r\nTruy cập đến hệ thống điều hành cần\r\n được kiểm soát bởi thủ tục đăng nhập an toàn. \r\n | \r\n ||||||
| \r\n A.11.5.2 \r\n | \r\n \r\n Định danh và xác th | \r\n \r\n Biện pháp quản lý \r\nTất cả người dùng đều phải có một\r\n định danh duy nhất (định danh người dùng - User ID) để sử dụng cho mục đích\r\n cá nhân. Một kỹ thuật xác thực thích hợp cần được chọn nhầm chứng thực đặc\r\n điểm nhận dạng của người dùng. \r\n | \r\n ||||||
| \r\n A.11.5.3 \r\n | \r\n \r\n Hệ thống quản lý mật khẩu \r\n | \r\n \r\n Biện pháp quản lý \r\nCác hệ thống quản lý mật khẩu phải\r\n có khả năng tương tác và bảo đảm chất lượng của mật khẩu. \r\n | \r\n ||||||
| \r\n A. 11.5.4 \r\n | \r\n \r\n Sử dụng các tiện ích hệ thống \r\n | \r\n \r\n Biện pháp quản lý \r\nViệc sử dụng chương trình tiện ích có\r\n khả năng ảnh hưởng đến việc quản lý hệ thống và các chương trình ứng dụng\r\n khác phải được giới hạn và kiểm soát chặt chẽ. \r\n | \r\n ||||||
| \r\n A.11.5.5 \r\n | \r\n \r\n Thời gian giới hạn của phi | \r\n \r\n Biện pháp quản lý \r\nCác phiên làm việc không hoạt động cần\r\n được ngắt sau một khoảng thời gian trễ nhất định. \r\n | \r\n ||||||
| \r\n A.11.5.6 \r\n | \r\n \r\n Giới hạn thời gian kết\r\n nối \r\n | \r\n \r\n Biện pháp quản lý \r\nCần hạn chế về thời gian kết nối để\r\n làm tăng độ an toàn cho các ứng dụng có mức rủi ro cao. \r\n | \r\n ||||||
| \r\n A.11.6. Điều khiển\r\n truy cập thông tin và ứng dụng \r\nMục tiêu: | \r\n ||||||||
| \r\n A.11.6.1 \r\n | \r\n \r\n Hạn chế truy cập thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nTruy cập của người sử dụng và nhân\r\n viên hỗ trợ tới thông tin và các chức năng của hệ thống ứng dụng cần được hạn\r\n chế phù hợp với chính sách quản lý truy cập đã được xác định. \r\n | \r\n ||||||
| \r\n A.11.6.2 \r\n | \r\n \r\n Cách ly hệ thống nhạy cảm \r\n | \r\n \r\n Biện pháp quản lý \r\nCác hệ thống nhạy cảm cần có môi\r\n trường máy tính cách ly. \r\n | \r\n ||||||
| \r\n A.11.7. Tính toán\r\n qua thiết bị di động và làm việc từ xa \r\nMục tiêu: Nhằm đảm bảo an toàn thông\r\n tin khi sử dụng các phương tiện tính toán di động và làm việc từ xa. \r\n | \r\n ||||||||
| \r\n A.11.7.1 \r\n | \r\n \r\n Tính toán và truyền thông qua thiết\r\n bị di động \r\n | \r\n \r\n Biện pháp quản lý \r\nMột chính sách chính thức cần được\r\n chuẩn bị và các biện pháp an toàn thông tin thích hợp cần được chấp nhận nhằm\r\n bảo vệ khỏi các rủi ro khi sử dụng tính toán và truyền thông di động. \r\n | \r\n ||||||
| \r\n A. 11.7.2 \r\n | \r\n \r\n Làm việc từ xa \r\n | \r\n \r\n Biện pháp quản lý \r\nMột chính sách, các kế hoạch điều\r\n hành và các thủ tục cần được phát triển và triển khai cho các hoạt động làm\r\n việc từ xa. \r\n | \r\n ||||||
| \r\n A.12 Tiếp nhận, phát\r\n triển và duy trì các hệ thống thông tin \r\n | \r\n ||||||||
| \r\n A.12.1. Yêu cầu đảm\r\n bảo an toàn cho các hệ thống thông tin \r\nMục tiêu | \r\n ||||||||
| \r\n A.12.1.1 \r\n | \r\n \r\n Phân tích và đặc tả các yêu\r\n cầu về an toàn \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thông báo về yêu cầu nghiệp vụ\r\n đối với các hệ thống thông tin mới hoặc được cải tiến từ hệ thống thông tin\r\n có sẵn cần chỉ rõ các yêu cầu về biện pháp quản lý an toàn thông tin. \r\n | \r\n ||||||
| \r\n A. 12.2 Xử lý đúng\r\n trong các ứng dụng \r\nMục tiêu | \r\n ||||||||
| \r\n A. 12.2.1 \r\n | \r\n \r\n Kiểm tra tính hợp lệ của\r\n dữ li | \r\n \r\n Biện pháp quản lý \r\nDữ liệu nhập vào các ứng dụng cần\r\n được kiểm tra tính hợp lệ để đảm bảo các dữ liệu này là chính xác và thích\r\n hợp. \r\n | \r\n ||||||
| \r\n A.12.2.2 \r\n | \r\n \r\n Kiểm soát việc xử lý nội bộ \r\n | \r\n \r\n Biện pháp quản lý \r\nViệc kiểm tra tính hợp lệ cần được\r\n tích hợp trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi\r\n trong quá trình xử lý hoặc các hành vi có chủ ý. \r\n | \r\n ||||||
| \r\n A. 12.2.3 \r\n | \r\n \r\n Tính toàn vẹn th | \r\n \r\n Biện pháp quản lý \r\nCác yêu cầu bảo đảm tính xác thực và\r\n bảo vệ sự toàn vẹn thông điệp trong các ứng dụng cần được xác định. Bên cạnh\r\n đó các biện pháp quản lý phù hợp cũng cần được xác định và triển khai. \r\n | \r\n ||||||
| \r\n A.12.2.4 \r\n | \r\n \r\n Kiểm tra tính hợp lệ của dữ liệu đầu\r\n ra \r\n | \r\n \r\n Biện pháp quản lý \r\nDữ liệu xuất ra từ một ứng dụng cần\r\n được kiểm tra nhằm đảm bảo rằng quá trình xử lý thông tin chính xác và thích\r\n hợp trong mọi trường hợp. \r\n | \r\n ||||||
| \r\n A.12.3 Quản lý mã\r\n hóa \r\nMục đích: | \r\n ||||||||
| \r\n A.12.3.1 \r\n | \r\n \r\n Chính sách sử dụng c | \r\n \r\n Biện pháp quản lý \r\nMột chính sách về việc sử dụng các\r\n biện pháp quản lý mã hóa để bảo vệ thông tin cần được xây dựng và triển khai. \r\n | \r\n ||||||
| \r\n A.12.3.2 \r\n | \r\n \r\n Quản lý khóa \r\n | \r\n \r\n Biện pháp quản lý \r\nViệc quản lý khóa cần sẵn sàng để hỗ\r\n trợ cho các kỹ thuật mã hóa được sử dụng trong tổ chức. \r\n | \r\n ||||||
| \r\n A.12.4. An toàn cho các tệp tin hệ\r\n thống \r\nMục tiêu: Nhằm đảm bảo an toàn cho các tệp\r\n tin hệ thống. \r\n | \r\n ||||||||
| \r\n A.12.4.1 \r\n | \r\n \r\n Quản lý các phần mềm điều hành \r\n | \r\n \r\n Biện pháp quản lý \r\nCần phải có các thủ tục sẵn sàng cho\r\n việc quản lý quá trình cài đặt các phần mềm trên hệ thống điều hành. \r\n | \r\n ||||||
| \r\n A.12.4.2 \r\n | \r\n \r\n Bảo vệ dữ liệu kiểm tra hệ thống \r\n | \r\n \r\n Biện pháp quản lý \r\nDữ liệu kiểm tra cần được lựa chọn,\r\n bảo vệ và kiểm soát một cách thận trọng. \r\n | \r\n ||||||
| \r\n A.12.4.3 \r\n | \r\n \r\n Quản lý truy cập đến m | \r\n \r\n Biện pháp quản lý \r\nViệc truy cập đến mã nguồn của\r\n chương trình cần được giới hạn chặt chẽ. \r\n | \r\n ||||||
| \r\n A12.5 Bảo đảm an\r\n toàn trong các quy trình hỗ trợ và phát triển \r\nMục tiêu: | \r\n ||||||||
| \r\n A.12.5.1 \r\n | \r\n \r\n Các thủ tục quản lý thay đổi \r\n | \r\n \r\n Biện pháp quản lý \r\nViệc thực thi các thay đổi phải được\r\n quản lý bằng việc áp dụng các thủ tục quản lý thay đổi chính thức. \r\n | \r\n ||||||
| \r\n A.12.5.2 \r\n | \r\n \r\n Soát xét kỹ thuật các ứng dụng sau\r\n thay đổi của hệ thố | \r\n \r\n Biện pháp quản lý \r\nKhi hệ điều hành thay đổi, các ứng\r\n dụng nghiệp vụ quan trọng cần được soát xét và kiểm tra lại nhằm đảm bảo\r\n không xảy ra các ảnh hưởng bất lợi tới hoạt động cũng như an toàn của tổ\r\n chức. \r\n | \r\n ||||||
| \r\n A.12.5.3 \r\n | \r\n \r\n Hạn chế thay đổi các gói ph | \r\n \r\n Biện pháp quản lý \r\nViệc sửa đổi các gói phần mềm là\r\n không được khuyến khích, cần hạn chế và chỉ thực hiện đối với các thay đổi\r\n rất cần thiết. Trong trường hợp này, mọi thay đổi cần phải được quản lý chặt\r\n chẽ. \r\n | \r\n ||||||
| \r\n A. 12.5.4 \r\n | \r\n \r\n Sự rò rỉ thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nCác điều kiện có thể gây rò rỉ thông\r\n tin cần phải được ngăn chặn. \r\n | \r\n ||||||
| \r\n A. 12.5.5 \r\n | \r\n \r\n Phát triển phần m | \r\n \r\n Biện pháp quản lý \r\nViệc phát triển các phần mềm thuê\r\n khoán cần phải được quản lý và giám sát bởi tổ chức. \r\n | \r\n ||||||
| \r\n A.12.6 Quản lý các\r\n điểm yếu về kỹ thuật \r\nMục tiêu | \r\n ||||||||
| \r\n A.12.6.1 \r\n | \r\n \r\n Quản lý các điểm yếu về mặt kỹ thuật \r\n | \r\n \r\n Biện pháp quản lý \r\nThông tin kịp thời về các điểm yếu\r\n kỹ thuật của các hệ thống thông tin đang được sử dụng cần phải được thu thập.\r\n Tổ chức cần công bố đánh giá về các điểm yếu này và thực hiện các biện pháp\r\n thích hợp để giải quyết các rủi ro liên quan. \r\n | \r\n ||||||
| \r\n A.13. Quản lý các\r\n sự cố an toàn thông tin \r\n | \r\n ||||||||
| \r\n A.13.1 Báo cáo về\r\n các sự kiện an toàn thông tin và các nhược điểm \r\nMục tiêu | \r\n ||||||||
| \r\n A.13.1.1 \r\n | \r\n \r\n Báo cáo các sự kiện an toàn | \r\n \r\n Biện pháp quản lý \r\nCác sự kiện an toàn thông tin cần\r\n được báo cáo thông qua các kênh quản lý thích hợp theo cách nhanh nhất có\r\n thể. \r\n | \r\n ||||||
| \r\n A.13.1.2 \r\n | \r\n \r\n Báo cáo các nhược điểm về\r\n an toàn thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nMọi nhân viên, nhà thầu và bên thứ\r\n ba của các hệ thống và dịch vụ thông tin cần được yêu cầu ghi lại và báo cáo bất\r\n kỳ nhược điểm nào về an toàn đã thấy được hoặc cảm thấy nghi ngờ trong các hệ\r\n thống hoặc dịch vụ. \r\n | \r\n ||||||
| \r\n A 13.2 Quản lý các\r\n sự cố an toàn thông tin và cải tiến \r\nMục tiêu | \r\n ||||||||
| \r\n A.13.2.1 \r\n | \r\n \r\n Các trách nhiệm và thủ tục \r\n | \r\n \r\n Biện pháp quản lý \r\nCác trách nhiệm và thủ tục quản lý cần\r\n được thiết lập nhằm đảm bảo sự phản ứng nhanh chóng, hiệu quả, đúng trình tự\r\n khi xảy ra các sự cố an toàn thông tin. \r\n | \r\n ||||||
| \r\n A. 13.2.2 \r\n | \r\n \r\n Rút bài học | \r\n \r\n Biện pháp quản lý \r\nCần phải có các cơ chế sẵn sàng nhằm\r\n cho phép các lượng hóa và giám sát các kiểu, số lượng và chi phí của các sự\r\n cố an toàn thông tin. \r\n | \r\n ||||||
| \r\n A.13.2.3 \r\n | \r\n \r\n Thu thập | \r\n \r\n Bi Khi một hành động nhằm chống lại một\r\n người hay một tổ chức sau khi có một sự cố an toàn thông tin x | \r\n ||||||
| \r\n A.14 Quản lý sự\r\n liên tục của hoạt động nghiệp vụ \r\n | \r\n ||||||||
| \r\n A.14.1 Các khía\r\n cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ \r\nMục tiêu | \r\n ||||||||
| \r\n A.14.1.1 \r\n | \r\n \r\n Tính đến an toàn | \r\n \r\n Biện pháp quản lý \r\nMột quy trình được quản lý cần được\r\n xây dựng và duy trì nhằm đảm bảo các hoạt động của cơ quan/tổ chức không bị gián\r\n đoạn. Nội dung quy trình này phải đề cập các yêu cầu về an toàn thông tin cần\r\n thiết để đảm bảo các hoạt động liên tục của tổ chức. \r\n | \r\n ||||||
| \r\n A.14.1.2 \r\n | \r\n \r\n Đánh giá rủi ro và sự liên tục trong\r\n hoạt động của tổ\r\n chức \r\n | \r\n \r\n Bi Các sự kiện c | \r\n ||||||
| \r\n A.14.1.3 \r\n | \r\n \r\n Xây dựng và | \r\n \r\n Biện pháp quản lý \r\nCác kế hoạch phải được phát triển và\r\n triển khai nhằm duy trì hoặc khôi phục các hoạt động điều hành và đảm bảo tính\r\n sẵn sàng của thông tin ở mức độ yêu cầu và đáp ứng yêu cầu về thời gian xử lý\r\n các gián đoạn và hư hỏng trong các quá trình nghiệp vụ quan trọng. \r\n | \r\n ||||||
| \r\n A.14.1.4 \r\n | \r\n \r\n Khung hoạch định sự liên t | \r\n \r\n Biện pháp quản lý \r\nMột khung hoạch định các kế hoạch\r\n đảm bảo liên tục trong hoạt động nghiệp vụ cần được duy trì để mọi kế hoạch\r\n được thực hiện một cách nhất quán và đạt được các yêu cầu về đảm bảo an toàn\r\n thông tin cũng như xác định được các mức độ ưu tiên cho việc kiểm tra và duy\r\n trì. \r\n | \r\n ||||||
| \r\n A.14.1.5 \r\n | \r\n \r\n Kiểm tra | \r\n \r\n Biện pháp quản lý \r\nCác kế hoạch đảm bảo sự liên tục\r\n trong hoạt động đơn vị cần được kiểm tra và cập nhật thường xuyên nhằm luôn đảm\r\n bảo tính cập nhật và hiệu quả. \r\n | \r\n ||||||
| \r\n A.15 Sự tuân thủ \r\n | \r\n ||||||||
| \r\n A.15.1 Sự tuân thủ\r\n các quy định pháp lý \r\nMục tiêu | \r\n ||||||||
| \r\n A.15.1.1 \r\n | \r\n \r\n Xác định các điều luật hiện đang áp\r\n dụng được \r\n | \r\n \r\n Biện pháp quản lý \r\nTất cả yêu cầu về pháp lý; quy định;\r\n nghĩa vụ trong hợp đồng đã ký và cách tiếp cận của tổ chức để đáp ứng những\r\n yêu cầu này phải được xác định rõ ràng, ghi thành văn bản và được cập nhật thường\r\n xuyên. \r\n | \r\n ||||||
| \r\n A.15.1.2 \r\n | \r\n \r\n Quyền sở hữu trí tuệ (IPR) \r\n | \r\n \r\n Biện pháp quản lý \r\nCác thủ tục phù hợp cần được triển\r\n khai nhằm đảm bảo sự phù hợp với các yêu cầu pháp lý, các quy định và cam kết\r\n theo hợp đồng trong việc sử dụng các tài liệu có quyền sở hữu trí tuệ và các\r\n sản phẩm phần mềm độc quyền. \r\n | \r\n ||||||
| \r\n A.15.1.3 \r\n | \r\n \r\n Bảo vệ các | \r\n \r\n Bi Các hồ sơ quan | \r\n ||||||
| \r\n A.15.1.4 \r\n | \r\n \r\n Bảo vệ dữ liệu và sự riêng tư của | \r\n \r\n Biện pháp quản lý \r\nViệc bảo vệ dữ liệu và tính riêng tư\r\n cần được đảm bảo theo yêu cầu của pháp lý quy định và cả các điều khoản trong\r\n hợp đồng nếu có. \r\n | \r\n ||||||
| \r\n A.15.1.5 \r\n | \r\n \r\n Ngăn ng | \r\n \r\n Biện pháp quản lý \r\nCần phải ngăn chặn người dùng khỏi\r\n việc sử dụng các phương tiện xử lý thông tin vào mục đích không được phép. \r\n | \r\n ||||||
| \r\n A.15.1.6 \r\n | \r\n \r\n Quy định về quản lý m | \r\n \r\n Biện pháp quản lý \r\nQuản lý mã hóa cần được áp dụng phù\r\n hợp với các thỏa thuận, luật pháp và các quy định liên quan. \r\n | \r\n ||||||
| \r\n A.15.2 Sự tuân thủ\r\n các chính sách và tiêu chuẩn an toàn, và tương thích kỹ thuật \r\nMục tiêu | \r\n ||||||||
| \r\n A.15.2.1 \r\n | \r\n \r\n Sự tuân th | \r\n \r\n Biện pháp quản lý \r\nNgười quản lý cần đảm bảo rằng mọi\r\n thủ tục đảm bảo an toàn trong phạm vi trách nhiệm của mình đều được thực hiện\r\n chính xác để đạt được kết quả phù hợp với các chính sách cũng như các tiêu\r\n chuẩn an toàn. \r\n | \r\n ||||||
| \r\n A.15.2.2 \r\n | \r\n \r\n Kiểm tra sự tương thích kỹ thuật \r\n | \r\n \r\n Biện pháp quản lý \r\nCác hệ thống thông tin cần được kiểm\r\n tra thường xuyên sự tuân thủ các tiêu chuẩn thực hiện an toàn. \r\n | \r\n ||||||
| \r\n A.15.3 Xem xét việc\r\n kiểm toán các hệ thống thông tin \r\nMục tiêu | \r\n ||||||||
| \r\n A. 15.3.1 \r\n | \r\n \r\n Các biện pháp quản lý kiểm toán các\r\n hệ thống thông tin \r\n | \r\n \r\n Biện pháp quản lý \r\nCác yêu cầu kiểm toán và các hoạt\r\n động kiểm tra các hệ thống điều hành cần được hoạch định thận trọng và thống\r\n nhất để hạn chế rủi ro hoặc sự đổ vỡ của các quy trình hoạt động nghiệp vụ. \r\n | \r\n ||||||
| \r\n A. 15.3.2 \r\n | \r\n \r\n Bảo vệ các công cụ k | \r\n \r\n Biện pháp quản lý \r\nTruy cập đến các công cụ kiểm toán\r\n hệ thống thông tin cần được bảo vệ khỏi mọi sự lạm dụng hoặc lợi dụng. \r\n | \r\n ||||||
| \r\n | \r\n | \r\n | \r\n | \r\n | \r\n | \r\n | \r\n | \r\n |
\r\n\r\n
B.1
Tiêu chuẩn này đưa ra một mô hình cho\r\nviệc thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến\r\nhệ thống quản lý an toàn thông tin (ISMS). Việc chấp nhận một hệ thống ISMS sẽ\r\nlà một quyết định chiến lược của tổ chức.\r\nThiết kế và triển khai ISMS của một tổ chức phụ thuộc vào các nhu cầu và mục\r\ntiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử\r\ndụng và quy mô, cấu trúc của tổ chức. Các yếu tố này và hệ thống hỗ trợ cần\r\nluôn được cập nhật và thay đổi. Việc đầu tư và triển khai một hệ thống ISMS cần\r\nphải có tỷ trọng phù hợp với nhu cầu của tổ chức.
\r\n\r\nTiêu chuẩn này có thể sử dụng để đánh\r\ngiá sự tuân thủ của các bộ phận bên trong\r\ntổ chức cũng như các bên liên quan bên ngoài tổ chức.
\r\n\r\nB.2
Tiêu chuẩn này chấp nhận cách tiếp cận\r\ntheo quy trình khi thiết lập, triển khai, điều hành, giám sát, soát xét, duy\r\ntrì và cải tiến hệ thống ISMS của tổ\r\nchức.
\r\n\r\nMột tổ chức cần xác
Việc áp dụng một hệ thống các quy\r\ntrình trong tổ chức, cùng với sự nhận biết tương tác giữa các quy trình như\r\nvậy, và sự quản lý chúng, có thể coi như “cách tiếp cận theo quy trình”.
\r\n\r\nCách tiếp cận theo quy
a) việc hiểu các yêu cầu an toàn thông\r\ntin của tổ chức và các sự cần thiết phải thiết\r\nlập chính sách và mục tiêu cho an toàn thông tin,
\r\n\r\nb) việc triển khai và điều hành các\r\nbiện pháp quản lý rủi ro an toàn thông tin của tổ chức trước tất cả các rủi ro\r\nchung có thể xảy ra với tổ chức;
\r\n\r\nc) việc giám sát
d) việc thường xuyên cải tiến dựa trên\r\ncác khuôn khổ mục tiêu đã đặt ra.
\r\n\r\nTiêu chuẩn này chấp nhận mô hình “Lập kế\r\nhoạch - Thực hiện - Kiểm tra - Hành động” (PDCA) để áp dụng cho tất cả các quy\r\ntrình trong hệ thống ISMS. Hình 1 mô tả cách hệ thống ISMS lấy đầu vào là các\r\nyêu cầu và kỳ vọng về an toàn thông tin của các bên liên quan, sau khi tiến\r\nhành các quy trình và hành động cần thiết\r\nsẽ đáp ứng an toàn thông tin theo như các yêu cầu và kỳ vọng đã đặt ra. Hình 1\r\ncũng chỉ ra các liên hệ giữa các quy trình được biểu diễn trong các điều 4, 5,\r\n6, 7 và 8 của tiêu chuẩn.
\r\n\r\n| \r\n P (Lập kế hoạch) - Thiết lập ISMS \r\n | \r\n \r\n Thiết lập các chính sách, mục tiêu,\r\n quy trình và thủ tục liên quan đến việc quản lý các rủi ro và nâng cao an\r\n toàn thông tin nhằm đem lại các kết quả\r\n phù hợp với các chính sách và mục tiêu chung của tổ chức. \r\n | \r\n
| \r\n D (Thực hiện) - Triển khai và điều\r\n hành ISMS \r\n | \r\n \r\n Triển khai và vận hành các chính\r\n sách, biện pháp quản lý, quy trình và\r\n thủ tục của hệ thống ISMS. \r\n | \r\n
| \r\n C (Kiểm tra) - giám sát và soát xét\r\n ISMS \r\n | \r\n \r\n Xác định hiệu quả việc thực hiện quy\r\n trình dựa trên chính sách, mục tiêu mà hệ thống ISMS đã đặt ra và kinh nghiệm\r\n thực tiễn và báo cáo kết quả cho ban\r\n quản lý để soát xét. \r\n | \r\n
| \r\n A (Hành động) - Duy trì và cải tiến\r\n ISMS \r\n | \r\n \r\n Tiến hành các hành động khắc phục và\r\n hành động phòng ngừa dựa trên các kết quả của việc kiểm toán nội bộ hệ thống\r\n ISMS, soát xét của ban quản lý hoặc các\r\n thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS. \r\n | \r\n
\r\n\r\n
Bảng C.1 chỉ ra sự tương ứng giữa ISO\r\n9001:2000, ISO 14001:2004 và tiêu chuẩn này.
\r\n\r\nBảng C.1 - Sự tương ứng giữa ISO\r\n9001:2000, ISO 14001:2004 và tiêu chuẩn này
\r\n\r\n| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n 1 Phạm v | \r\n \r\n 1 Scope \r\n1.1 General \r\n1.2 Application \r\n | \r\n \r\n 1 Scope \r\n | \r\n
| \r\n 2 Tà | \r\n \r\n 2 Normative\r\n references \r\n | \r\n \r\n 2 Normative\r\n references \r\n | \r\n
| \r\n 3 Thuật ngữ và định\r\n nghĩa \r\n | \r\n \r\n 3 Terms and\r\n definitions \r\n | \r\n \r\n 3 Terms and\r\n definitions \r\n | \r\n
| \r\n 4 Hệ thống quản lý\r\n an toàn thông tin \r\n4.1. Các yêu cầu chung \r\n4.2. Thiết lập và quản lý hệ thống\r\n ISMS \r\n4.2.1. Thiết lập ISMS \r\n4.2.2. Triển khai và điều hành hệ\r\n thống ISMS \r\n4.2.3. Giám sát và soát xét hệ thống\r\n ISMS \r\n4.2.4. Duy trì và cải tiến hệ thống\r\n ISMS \r\n | \r\n \r\n 4 Quality\r\n management system \r\n4.1 General requirements \r\n8.2.3. Monitoring and\r\n measurement of processes \r\n8.2.4. Monitoring and\r\n measurement of product \r\n | \r\n \r\n 4 EMS requirements \r\n4.1. General requirements \r\n4.4 Implementation and operation \r\n4.5 Monitoring and measurement \r\n | \r\n
| \r\n 4.3. Các yêu cầu về hệ thống tài\r\n liệu \r\n4.3.1. Khái quát \r\n4.3.2. Biện pháp quản lý tài liệu \r\n4.3.3. Biện pháp quản lý hồ sơ \r\n | \r\n \r\n 4.2 Documentation requirements \r\n4.2.1. General \r\n4.2.2. Quality manual \r\n4.2.3. Control of\r\n documents \r\n4.2.4. Control of records \r\n | \r\n \r\n 4.4.5 Documentation control \r\n4.5.4 Control ol records \r\n | \r\n
| \r\n 5 Trách nhiệm của\r\n ban quản lý \r\n5.1 Cam kết của ban quản lý \r\n | \r\n \r\n 5 Management responsibility \r\n5.1. Management commitment \r\n5.2. Customer 5.3. Quality policy \r\n5.4. Planning \r\n5.5. Responsibility, authority and\r\n communication \r\n | \r\n \r\n 4.2. Environmental policy \r\n4.3. Planning \r\n | \r\n
| \r\n 5.2 Quản lý nguồn lực \r\n5.2.1. Cấp phát nguồn lực \r\n5.2.2. Đào tạo, nhận thức và năng\r\n lực \r\n | \r\n \r\n 6 Resource management \r\n6.1. Provision ol resources \r\n6.2. Human resources \r\n6.2.2. Competence,\r\n awareness and training \r\n6.3. Infrastructure \r\n6.4. Work environment \r\n | \r\n \r\n 4.4.2 Competence, training, and\r\n awareness \r\n | \r\n
| \r\n 6 Kiểm toán nội bộ hệ thống ISMS \r\n | \r\n \r\n 8.2.2 Internal Audit \r\n | \r\n \r\n 4.5.5 Internal audit \r\n | \r\n
| \r\n 7 Soát xét của ban\r\n quản lý đối với hệ thống ISMS \r\n7.1. Khái quát \r\n7.2. Đầu vào cho việc soát xét \r\n7.3. Đầu ra của việc soát xét \r\n | \r\n \r\n 5.6 Management\r\n review \r\n5.6.1. General \r\n5.6.2. Review input \r\n5.6.3. Review output \r\n | \r\n \r\n 4.6 Management \r\n | \r\n
| \r\n 8 Cải tiến hệ thống\r\n ISMS \r\n8.1 Cải tiến thường xuyên \r\n | \r\n \r\n 8.5 Improvement \r\n8.5.1 Continual improvement \r\n | \r\n \r\n \r\n | \r\n
| \r\n 8.2 Hành động khắc phục \r\n | \r\n \r\n 8.5.3 Corrective actions \r\n | \r\n \r\n 4.5.3 Non-conformity, corrective\r\n action and preventive action \r\n | \r\n
| \r\n 8.3 Hành động phòng ng | \r\n \r\n 8.5.3 Preventive actions \r\n | \r\n \r\n \r\n | \r\n
| \r\n Phụ lục A Các mục\r\n tiêu và biện pháp quản lý \r\n | \r\n \r\n Annex A Control\r\n objectives and controls \r\n | \r\n \r\n Annex A Guidance on\r\n the use of this International Standard \r\n | \r\n
| \r\n Phụ lục B Tiêu chuẩn\r\n hệ thống ISMS và cách tiếp cận theo quy trình \r\n1. Khái quát \r\n2. Cách tiếp cận theo quy trình \r\n | \r\n \r\n 0 Introduction \r\n0.1 General \r\n0.2 Process approach \r\n | \r\n \r\n Introduction \r\n | \r\n
| \r\n Phụ lục C Sự tương\r\n ứng giữa ISO 9001:2000, ISO 14001:2004 và tiêu chuẩn này \r\n | \r\n \r\n Annex A\r\n Correspondence between ISO 9001:2000 and ISO 14001:1996 \r\n | \r\n \r\n Annex B\r\n Correspondence between ISO 14001:2004 and ISO 9001:2000 \r\n | \r\n
\r\n\r\n
Tiêu chuẩn kỹ thuật
\r\n\r\n[1] ISO 9001:2000, Quality management\r\nsystems -
[2] ISO/IEC 13335-1:2004, Information\r\ntechnology - Security techniques - Management of information and communications\r\ntechnology security - Part 1: Concepts and models for information and communications\r\ntechnology security management.
\r\n\r\n[3] ISO/IEC TR 13335-3:1998, Information\r\ntechnology - Guidelines for the management of IT Security - Part 3: Techniques\r\nfor t
[4] ISO/IEC TR 13335-4:2000, Information\r\ntechnology - Guidelines for the management of IT Security - Part 4: Selection\r\nof safeguards
\r\n\r\n[5] ISO 14001:2004, Environmental\r\nmanagement systems - Requirements with guidance for use
\r\n\r\n[6] ISO/IEC TR 18044:2004, Information\r\ntechnology - Security techniques - Information security incident management
\r\n\r\n[7] ISO 19011:2002, Guidelines for quality\r\nand/or environmental management systems auditing
\r\n\r\n[8] ISO/IEC Guide 62:1996, General\r\nrequirements for bodies operating assessment and certification/registration of\r\nquality systems
\r\n\r\n[9] ISO/IEC Guide 73:2002, Risk management\r\n- Vocabulary - Guidelines for use in standards
\r\n\r\n[10] TCVN ISO 9001:2000, Hệ thống quản\r\nlý chất lượng - Các yêu cầu
\r\n\r\n[11] TCVN 7562:2005, Công ng
Các tài liệu khác
\r\n\r\n[1] OECD, Guidelines for the Security\r\nof Information Systems and Networks - Towards a Culture of Security. Paris:\r\nOECD, July 2002. www.oecd.org
\r\n\r\n[2] NIST SP 800-30, Risk Management Guide for\r\nInformation Technology Systems
\r\n\r\n[3] Deming W.E., Out of the Crisis,\r\nCambridge, Mass: MIT, Center for Advanced Engineering Study, 1986
\r\n\r\n\r\n\r\n
1. Phạm vi áp dụng
\r\n\r\n2. Tài liệu viện dẫn
\r\n\r\n3. Thuật ngữ và định nghĩa
\r\n\r\n4. Hệ thống quản lý an toàn thông tin
\r\n\r\n4.1. Các yêu cầu chung
\r\n\r\n4.2. Thiết lập và quản lý hệ thống ISMS
\r\n\r\n4.2.1. Thiết lập hệ thống ISMS
\r\n\r\n4.2.2. Triển khai và điều hành hệ thống ISMS
\r\n\r\n4.2.3. Giám sát và soát xét hệ thống ISMS
\r\n\r\n4.2.4. Duy trì và cải tiến hệ thống ISMS
\r\n\r\n4.3. Các yêu cầu về hệ thống tài liệu
\r\n\r\n4.3.1. Khái quát
\r\n\r\n4.3.2. Biện pháp quản lý tài liệu
\r\n\r\n4.3.3. Biện pháp quản lý hồ sơ
\r\n\r\n5. Trách nhiệm của ban quản lý
\r\n\r\n5.1. Cam kết của ban quản lý
\r\n\r\n5.2. Quản lý nguồn lực
\r\n\r\n5.2.1. Cấp phát nguồn lực
\r\n\r\n5.2.2. Đào tạo, nhận thức và năng lực.
\r\n\r\n6. Kiểm toán nội bộ hệ thống ISMS
\r\n\r\n7. Soát xét của ban quản lý đối với hệ thống\r\nISMS
\r\n\r\n7.1. Khái quát
\r\n\r\n7.2. Đầu vào của việc soát xét
\r\n\r\n7.3. Đầu ra của việc soát xét
\r\n\r\n8. Cải tiến hệ thống ISMS
\r\n\r\n8.1. Cải tiến thường xuyên
\r\n\r\n8.2. Hành động khắc phục
\r\n\r\n8.3. Hành động phòng ngừa
\r\n\r\nPhụ lục A (Quy định) Các mục tiêu quản lý và\r\nbiện pháp quản lý
\r\n\r\nPhụ lục B (Tham khảo) Cách tiếp cận theo quy\r\ntrình
\r\n\r\nPhụ lục
Th
\r\n\r\n
\r\n\r\n
1 Thuật\r\nngữ “đối tượng quản lý” trong ngữ cảnh này dùng để chỉ một cá nhân hay thực thể\r\nđã phê chuẩn trách nhiệm quản lý trong việc điều khiển sản xuất, phát triển,\r\nduy trì, sử dụng và đảm bảo an toàn của tài sản. Thuật ngữ này không dùng để\r\nchỉ những người có quyền sở hữu tài sản.
\r\n\r\n2 Thuật\r\nngữ “tuyển dụng” ở đây bao hàm tất cả các tình huống khác nhau như: tuyển dụng\r\nngười (tạm thời hay dài hạn), bổ nhiệm nhân sự, thay đổi việc, chỉ định thầu và\r\nviệc chấm dứt những bố trí này.
\r\n\r\nFile gốc của Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) về Công nghệ thông tin – Hệ thống quản lí an toàn thông tin – Các yêu cầu đang được cập nhật.
Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) về Công nghệ thông tin – Hệ thống quản lí an toàn thông tin – Các yêu cầu
Tóm tắt
| Cơ quan ban hành | Đã xác định |
| Số hiệu | TCVNISO/IEC27001:2009 |
| Loại văn bản | Tiêu chuẩn Việt Nam |
| Người ký | Đã xác định |
| Ngày ban hành | 2009-01-01 |
| Ngày hiệu lực | |
| Lĩnh vực | Xây dựng - Đô thị |
| Tình trạng | Hết hiệu lực |