Lời nói đầu
\r\n\r\nTCVN ISO/IEC 27002:2011 hoàn toàn\r\ntương đương với ISO/IEC 27002:2005.
\r\n\r\nTCVN ISO/IEC 27002:2011 do Viện Khoa học\r\nKỹ thuật Bưu điện biên soạn, Bộ Thông tin và Truyền thông đề nghị,
\r\n\r\n
Tiêu chuẩn này thiết lập các hướng dẫn\r\nvà nguyên tắc chung cho hoạt động khởi tạo, triển khai, duy trì và cải tiến\r\ncông tác quản lý an toàn thông tin trong một tổ chức. Mục tiêu của tiêu chuẩn\r\nnày là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung đã được chấp nhận\r\ntrong quản lý an toàn thông tin.
\r\n\r\nCác mục tiêu và biện pháp quản lý
2.1. Tài sản (asset)
\r\n\r\nBất cứ thứ gì có giá trị đối với tổ chức.
\r\n\r\n[ISO/IEC 13335-1:2004]
\r\n\r\n2.2. Biện pháp quản lý (control)
\r\n\r\nCác biện pháp quản lý rủi ro bao gồm\r\ncác chính sách, thủ tục, hướng dẫn, thực hành hoặc các cơ cấu tổ chức, trên\r\nphương diện hành chính, kỹ thuật, quản lý\r\nhoặc bản chất pháp lý.
\r\n\r\nCHÚ THÍCH: Biện pháp
2.3. Hướng dẫn
Một mô tả trong đó chỉ ra điều cần làm\r\nvà phương thức tiến hành nhằm đạt được các mục tiêu đã chỉ ra trong các chính\r\nsách.
\r\n\r\n[ISO/IEC 13335-1:2004]
\r\n\r\n2.4. Phương tiện
Hệ thống, dịch vụ hay cơ
2.5. An toàn thông tin
Sự duy trì tính bí mật, tính toàn vẹn\r\nvà tính sẵn sàng của thông tin; ngoài ra còn có thể bao hàm một số tính chất\r\nkhác như tính xác thực, giải trình trách\r\nnhiệm, không thể chối bỏ và tin cậy.
\r\n\r\n2.6. Sự kiện an toàn thông\r\ntin\r\n(information security event)
\r\n\r\nMột sự kiện đã được xác định của một hệ\r\nthống, dịch vụ hay trạng thái mạng chỉ ra khả năng vi phạm chính sách an toàn\r\nthông tin, sự thất bại của hệ thống bảo vệ,\r\nhoặc một tình huống chưa rõ gây ảnh hưởng\r\nđến an toàn thông tin.
\r\n\r\n[ISO/IEC TR 18004:2004]
\r\n\r\n2.7. Sự c
Một hoặc một chuỗi các sự kiện an toàn\r\nthông tin không mong muốn có khả năng làm\r\ntổn hại các hoạt động nghiệp vụ và đe dọa\r\nan toàn thông tin.
\r\n\r\n[ISO/IEC TR 18044:2004]
\r\n\r\n2.8. Chính sách
Mục đích và định hướng tổng thể được\r\ncông bố một cách chính thức bởi ban quản lý.
\r\n\r\n2.9. Rủi ro (risk)
\r\n\r\nSự kết hợp giữa khả năng xảy ra một sự\r\nkiện và hậu quả.
\r\n\r\n2.10. Phân tích rủi ro
Sử dụng thông tin một cách có hệ thống\r\nnhằm xác định các nguồn gốc và ước đoán rủi ro.
\r\n\r\n[ISO/IEC Guide 73:2002]
\r\n\r\n2.11. Đánh giá rủi ro
Quá trình\r\ntổng thể gồm phân tích rủi ro và ước lượng rủi ro.
\r\n\r\n[ISO/IEC Guide 73:2002],
\r\n\r\n2.12
Quá trình so sánh rủi ro đã ước đoán với\r\nmột chỉ tiêu rủi ro đã có nhằm xác định độ nghiêm trọng của rủi ro.
\r\n\r\n[ISO/IEC Guide 73:2002]
\r\n\r\n2.13.
Các hoạt động phối hợp nhằm điều khiển\r\nvà quản lý một tổ chức trước các rủi ro\r\ncó thể xảy ra
\r\n\r\nCHÚ THÍCH: Quản lý rủi ro thường gồm đánh\r\ngiá rủi ro, xử lý rủi ro, chấp nhận rủi ro và thông báo rủi ro.
\r\n\r\n[ISO/IEC Guide 73:2002]
\r\n\r\n2.14. Xử lý rủi ro
Quá trình\r\nlựa chọn và triển khai các biện pháp hạn chế rủi ro.
\r\n\r\n[ISO/IEC Guide 73:2002]
\r\n\r\n2.15. Bên thứ ba
Một cá nhân hay một tổ chức được công\r\nnhận là độc lập với các bên tham gia, có liên quan đến vấn đề đang phải giải\r\nquyết.
\r\n\r\n2.16. Mối đe dọa
Nguyên nhân tiềm ẩn gây ra sự cố không\r\nmong muốn, kết quả là có thể gây tổn hại\r\ncho một hệ thống hoặc tổ chức.
\r\n\r\n[ISO/IEC 13335-1:2004]
\r\n\r\n2.17. Đi
Nhược điểm của một tài sản hoặc một nhóm tài sản có khả năng bị lợi dụng bởi\r\nmột hay nhiều mối đe [ISO/IEC 13335-1:2004]
\r\n\r\n3. Đánh giá và xử lý\r\nrủi ro
\r\n\r\n3.1. Đánh giá rủi ro an\r\ntoàn thông tin
\r\n\r\nĐánh giá rủi ro cần xác định, định lượng\r\nvà phân loại ưu tiên các rủi ro dựa trên tiêu chí về chấp nhận rủi ro và các mục\r\ntiêu phù hợp với tổ chức. Các kết quả cần hướng dẫn và xác định hoạt động quản\r\nlý phù hợp và phân loại ưu tiên nhằm phục vụ cho việc quản lý các rủi ro an\r\ntoàn thông tin và triển khai các biện pháp quản lý đã được chọn nhằm chống lại\r\ncác rủi ro này. Quá trình đánh giá các rủi\r\nro và chọn lựa các biện pháp quản lý có thể cần được thực hiện nhiều lần nhằm\r\nbao quát hết các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin\r\nriêng lẻ.
\r\n\r\nĐánh giá rủi ro cần bao hàm cách tiếp\r\ncận có hệ thống trong việc ước lượng độ lớn của các rủi ro (phân tích rủi ro)\r\nvà quá trình so sánh các rủi ro đã được ước\r\nđoán với tiêu chí rủi ro nhằm xác định độ nghiêm trọng của các rủi ro (ước lượng\r\nrủi ro).
\r\n\r\nĐánh giá rủi ro cần được thực hiện định\r\nkỳ nhằm phát hiện những thay đổi về các yêu cầu an toàn và tình huống rủi ro,\r\nví dụ trong các tài sản, các mối đe dọa, các điểm yếu, các tác động, trong ước\r\nlượng rủi ro, và khi xảy ra những thay đổi lớn. Những đánh giá rủi ro này cần\r\nđược thực hiện một cách có phương pháp nhằm đưa ra các kết quả có khả năng so\r\nsánh và tái sử dụng.
\r\n\r\nĐể có hiệu quả thì đánh giá rủi ro an\r\ntoàn thông tin cần có một phạm vi xác định rõ ràng, và nếu thích hợp thì cần\r\nbao hàm cả các mối quan hệ với việc đánh\r\ngiá rủi ro cho các lĩnh vực khác.
\r\n\r\nPhạm vi của đánh giá rủi ro có thể là\r\ntrong toàn bộ tổ chức, các bộ phận của tổ chức, một hệ thống thông tin cụ thể\r\nnào đó, các thành phần hệ thống nhất định, hoặc các dịch vụ mà ở đó có thể thực\r\nhiện đánh giá rủi ro một cách khả thi, thực tế, và hữu dụng. Các ví dụ về các hệ\r\nphương pháp đánh giá rủi ro được đề cập trong ISO/IEC TR 13335-3 (Các hướng dẫn\r\nquản lý an toàn công nghệ thông tin: Các kỹ thuật quản lý an toàn công ng
3.2. Xử
Trước khi xem xét xử lý rủi ro, tổ chức\r\ncần quyết định tiêu chí để xác định liệu các rủi ro có được chấp nhận hay\r\nkhông. Ví dụ, các rủi ro có thể được chấp nhận nếu nó được đánh giá là rủi ro ở\r\nmức thấp, hay chi phí cho xử lý rủi ro không quá nặng nề đối với tổ chức. Các\r\nquyết định như vậy cần được ghi lại.
\r\n\r\nCần đưa ra quyết định xử lý rủi ro đối\r\nvới các rủi ro đã được xác định sau đánh giá rủi ro. Dưới đây là những lựa chọn\r\nnhằm xử lý rủi ro:
\r\n\r\na) áp dụng các biện pháp
b) chấp nhận các rủi ro một cách khách\r\nquan và có dụng ý, miễn là chúng thỏa mãn chính sách và tiêu chí chấp nhận rủi\r\nro của tổ chức;
\r\n\r\nc) tránh rủi ro bằng cách không cho\r\nphép các hoạt động sẽ làm phát sinh rủi ro;
\r\n\r\nd) chuyển các rủi ro liên đới tới các\r\nbên khác, ví dụ các nhà bảo hiểm hoặc các nhà cung cấp.
\r\n\r\nĐối với các rủi ro mà việc quyết định\r\nxử lý rủi ro đã xác định phải áp dụng các\r\nbiện pháp quản lý thích hợp thì những biện pháp quản lý này cần được lựa chọn\r\nvà thực hiện để đáp ứng các yêu cầu được xác định bởi quá trình đánh giá rủi\r\nro. Các biện pháp quản lý cần đảm bảo rằng các rủi ro được giảm tới một mức chấp\r\nnhận, và cần quan tâm tới các vấn đề sau:
\r\n\r\na) các yêu cầu và các ràng buộc của\r\npháp luật và các quy định trong nước và\r\nquốc tế;
\r\n\r\nb) các mục tiêu của tổ chức;
\r\n\r\nc) các yêu cầu và các ràng buộc về vận\r\nhành;
\r\n\r\nd) chi phí triển khai và vận hành liên\r\nquan tới các rủi ro sẽ được giảm thiểu, và duy trì tương quan đối với các yêu cầu\r\nvà các ràng buộc của tổ chức;
\r\n\r\ne) nhu cầu cân bằng
Các biện pháp quản lý có thể được chọn\r\ntừ tiêu chuẩn này hoặc từ bộ các biện pháp quản lý khác, hoặc các biện pháp quản\r\nlý mới có thể được thiết kế phù hợp với các yêu cầu nhất định
Các biện pháp quản lý an toàn thông\r\ntin cần được quan tâm ở giai đoạn thiết kế và xác định các yêu cầu đối với các\r\ndự án và các hệ thống. Lỗi ở giai đoạn này có thể làm phát sinh chi phí và giảm\r\nhiệu quả của các giải pháp, và trong trường hợp xấu nhất còn không thể đạt được\r\nsự an toàn thông tin một cách thỏa đáng.
\r\n\r\nCần lưu ý rằng không tồn tại bộ các biện\r\npháp quản lý giúp đạt được an toàn tuyệt\r\nđối, và cần thực hiện hoạt động quản lý bổ trợ nhằm giám sát, ước lượng, và\r\nnâng cao khả năng và tính hiệu quả của các biện pháp quản lý an toàn nhằm hướng\r\nđến các mục tiêu của tổ chức.
\r\n\r\n4.1. Chính sách an toàn\r\nthông tin
\r\n\r\n| \r\n Mục tiêu: Nhằm cung cấp định hướng\r\n quản lý và hỗ trợ đảm bảo an toàn thông tin thỏa mãn với các yêu cầu trong hoạt\r\n động nghiệp vụ, môi trường pháp lý và các qui định phải tuân thủ. \r\nBan quản lý cần thiết lập định hướng\r\n chính sách rõ ràng phù hợp với các mục tiêu nghiệp vụ, hỗ trợ và cam kết về\r\n an toàn thông tin thông qua việc ban hành và duy trì một chính sách an toàn\r\n thông tin trong toàn bộ tổ chức. \r\n | \r\n
4.1.1. Tài liệu chính sách\r\nan toàn thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nMột tài liệu về chính sách an toàn\r\nthông tin cần phải được phê duyệt bởi ban quản lý và được cung cấp, thông báo tới\r\nmọi nhân viên cũng như các bên liên quan.
\r\n\r\nHướng\r\ndẫn triển khai
\r\n\r\nTài liệu chính sách an toàn thông tin\r\ncần công bố rõ cam kết của ban quản lý và\r\nđưa ra phương thức quản lý an toàn thông tin của tổ chức. Văn bản này cần bao gồm\r\ncác nội dung sau:
\r\n\r\na) định
b) công bố về mục đích quản lý, hỗ trợ\r\ncác mục tiêu và nguyên tắc an toàn thông tin phù hợp với chiến lược và các mục tiêu\r\nnghiệp vụ;
\r\n\r\nc) khuôn khổ cho việc thiết lập các mục\r\ntiêu quản lý và các biện pháp quản lý, bao gồm cơ cấu đánh giá
d) giải thích ngắn gọn các chính sách,\r\nnguyên tắc, tiêu chuẩn an toàn, và các yêu cầu tuân thủ có tầm quan trọng đặc biệt đối với\r\ntổ chức, bao gồm:
\r\n\r\n1) tuân thủ các yêu cầu của luật pháp,\r\nquy định, và hợp đồng;
\r\n\r\n2) các yêu cầu về giáo dục, đào tạo và\r\nnhận thức về an toàn;
\r\n\r\n3) quản lý tính liên tục
4) các hậu quả của các vi phạm chính sách an toàn thông tin;
\r\n\r\ne) định nghĩa các trách nhiệm chung và\r\nriêng về quản lý an toàn thông tin, bao gồm cả việc báo cáo
f) tham chiếu tới văn bản hỗ trợ chính\r\nsách, ví dụ các chính sách và thủ tục an toàn chi tiết hơn cho các hệ thống\r\nthông tin cụ thể hoặc các quy tắc an toàn mà người dùng bắt buộc phải tuân\r\ntheo.
\r\n\r\nChính sách an toàn thông tin này cần\r\nđược tổ chức phổ biến đến người dùng theo một hình thức phù hợp, dễ truy cập và dễ hiểu.
\r\n\r\nThông tin kh
Chính sách an toàn thông tin có thể là\r\nmột phần của một văn bản chính sách chung nào đó. Nếu chính sách an toàn thông\r\ntin được phổ biến ra ngoài phạm vi của tổ chức thì cần lưu ý không tiết lộ những\r\nthông tin có tính chất nhạy cảm. Thông tin chi tiết hơn có thể tham khảo trong ISO/IEC 13335-1:2004.
\r\n\r\n4.1.2. Soát xét lại chính sách an toàn\r\nthông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nChính sách an toàn thông tin cần thường\r\nxuyên được soát xét theo kế hoạch hoặc khi có những thay đổi lớn xuất hiện để\r\nluôn đảm bảo sự phù hợp, đầy đủ và thực sự có hiệu lực.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần có một người chịu trách nhiệm\r\ntrong việc phát triển, soát xét, và đánh giá chính sách an toàn thông tin. Quá\r\ntrình soát xét cần đánh giá các cơ hội cải tiến chính sách an toàn thông tin của\r\ntổ chức và phương thức quản lý chính sách\r\nan toàn nhằm đáp ứng với những thay đổi của môi trường tổ chức, các tình huống\r\nnghiệp vụ, các điều kiện pháp lý, hoặc môi trường kỹ thuật.
\r\n\r\nViệc soát xét chính sách an toàn thông\r\ntin cần quan tâm đến các kết quả soát xét của ban quản\r\nlý. Cũng cần có các thủ tục soát xét nhất định của ban quản lý, bao gồm\r\ncả lịch trình hoặc chu kỳ soát xét.
\r\n\r\nThông tin đầu vào của quá
a) phản hồi từ các bên quan tâm;
\r\n\r\nb) các kết quả soát xét một cách độc lập\r\n(xem 5.1.8);
\r\n\r\nc) trạng thái của các hoạt động phòng\r\nngừa và sửa chữa (xem 5.1.8 và 14.2.1);
\r\n\r\nd) kết quả của các lần soát xét trước\r\nđó của ban quản lý;
\r\n\r\ne) sự tuân thủ chính sách an toàn thông\r\ntin và hiệu suất quy trình;
\r\n\r\nf) những thay đổi có thể ảnh hưởng đến\r\nphương thức quản lý an toàn thông tin của\r\ntổ chức, bao gồm những thay đổi về môi trường tổ chức, các tình huống nghiệp vụ,\r\nsự sẵn sàng của nguồn tài nguyên, các điều kiện về pháp lý, quy định và hợp đồng,\r\nhoặc môi trường kỹ thuật;
\r\n\r\ng) các xu hướng liên quan đến các mối\r\nđe dọa và các điểm yếu;
\r\n\r\nh) các sự cố an toàn thông tin đã được\r\nbáo cáo (xem 12.1);
\r\n\r\ni) các khuyến nghị
Đầu ra của quá trình soát xét của ban\r\nquản lý phải là các quyết định và hành động bất kỳ có liên quan đến:
\r\n\r\na) việc cải tiến phương thức của tổ chức\r\ntrong việc quản lý an toàn thông tin và các quy trình\r\nquản lý an toàn thông tin;
\r\n\r\nb) việc nâng cao các mục tiêu quản lý
c) việc cải tiến trong việc phân bổ\r\ncác nguồn tài nguyên và/hoặc các trách\r\nnhiệm.
\r\n\r\nCần duy trì hồ sơ về việc soát xét của\r\nban quản lý
\r\n\r\nChính sách an toàn thông tin đã được\r\nchỉnh sửa cần có sự chấp thuận của ban quản lý.
\r\n\r\n5.1. Tổ chức nội bộ
\r\n\r\n| \r\n Mục tiêu: Nhằm Cần thiết lập một khuôn khổ Ban quản lý cần thông qua chính sách\r\n an toàn thông tin, phân định các vai trò an toàn, phối hợp và soát xét việc\r\n triển khai thực hiện an toàn thông tin trong toàn bộ tổ chức. \r\nNếu cần thiết thì cần thiết lập và sẵn\r\n sàng có nguồn hỗ trợ chuyên môn về an toàn thông tin từ trong nội bộ của tổ\r\n chức. Cũng cần thiết lập những mối liên hệ với các nhóm hoặc các chuyên gia về\r\n an toàn thông tin ở bên ngoài nhằm có\r\n thể theo kịp các xu hướng công nghiệp, giám sát các tiêu chuẩn và các phương\r\n pháp đánh giá và đưa ra các điểm vận dụng phù hợp trong quá Cũng cần khuyến khích cách tiếp cận\r\n an toàn thông tin đa chiều. \r\n | \r\n
5.1.1. Cam kết của ban quản lý về đảm bảo an toàn thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nBan quản lý phải chủ động hỗ trợ đảm bảo\r\nan toàn thông tin trong tổ chức bằng các định hướng rõ ràng, các cam kết có thể\r\nthấy được, các nhiệm vụ rõ ràng, và nhận thức rõ trách nhiệm về đảm bảo an toàn\r\nthông tin.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nBan quản lý cần:
\r\n\r\na) đảm bảo rằng các mục tiêu an toàn\r\nthông tin đã được xác định rõ, đáp ứng được\r\ncác yêu cầu của tổ chức, và được đưa vào\r\ncác quy trình liên quan;
\r\n\r\nb) trình
c) soát xét tính hiệu quả của việc triển\r\nkhai chính sách an toàn thông tin;
\r\n\r\nd) đưa ra định hướng rõ ràng và sự hỗ\r\ntrợ rõ ràng của ban quản lý đối với các hoạt động an toàn
e) cung cấp các nguồn tài nguyên cần\r\nthiết cho an toàn thông tin;
\r\n\r\nf) phê chuẩn sự phân định các vai trò\r\nvà trách nhiệm cụ thể về an toàn thông tin trong toàn bộ tổ chức;
\r\n\r\ng) khởi động các chương trình và kế hoạch\r\nnhằm duy trì nhận thức về an toàn thông tin;
\r\n\r\nh) đảm bảo rằng việc triển khai các biện\r\npháp quản lý an toàn thông tin được phối\r\nhợp trong toàn thể nội bộ tổ chức (xem 5.1.2).
\r\n\r\nBan quản lý cần xác định rõ các nhu cầu\r\ncần có hỗ trợ chuyên môn về an toàn thông tin trong nội bộ hoặc bên ngoài tổ chức,\r\nsoát xét và phối hợp các kết quả từ những hỗ trợ như vậy trong toàn bộ tổ chức.
\r\n\r\nTùy thuộc vào quy mô của tổ chức, các\r\ntrách nhiệm như vậy cũng có thể được xử lý bởi một diễn đàn quản lý riêng hoặc\r\nbởi một ban quản lý đương nhiệm, ví dụ ban giám đốc.
\r\n\r\nThông tin
Thông tin chi tiết hơn tham khảo trong\r\nISO/IEC 13335-1:2004.
\r\n\r\n5.1.2. Phối hợp
Biện pháp quản lý
\r\n\r\nCác hoạt động đảm bảo an toàn thông\r\ntin cần được phối hợp bởi các đại diện của các bộ phận trong tổ chức với vai tr
Hướng dẫn triển khai
\r\n\r\nVề cơ bản thì các hoạt động an toàn\r\nthông tin cần có sự phối hợp và cộng tác của những người quản lý, người dùng, người\r\nquản trị mạng, những nhà thiết kế ứng dụng, những đánh giá viên và nhân viên an\r\ntoàn, và các kỹ năng chuyên môn trong các lĩnh vực như bảo hiểm, pháp lý, nguồn\r\nnhân lực, quản lý rủi ro hoặc IT. Hoạt động này cần:
\r\n\r\na) đảm bảo rằng các hoạt động an toàn\r\nđược thực hiện tuân thủ theo chính sách an toàn thông tin;
\r\n\r\nb) xác định rõ phương thức xử lý những\r\nđiểm không tuân thủ;
\r\n\r\nc) phê chuẩn các hệ phương pháp và các\r\nquy trình an toàn thông tin. ví dụ đánh\r\ngiá rủi ro, phân loại thông tin;
\r\n\r\nd) xác định những thay đổi lớn về các\r\nmối đe dọa và chỉ ra các thông tin và các phương tiện xử lý thông tin bị đe dọa;
\r\n\r\ne) đánh giá tính phù hợp và phối hợp\r\ntriển khai các biện pháp quản lý an toàn thông tin;
\r\n\r\nf) thúc đẩy việc giáo dục, đào tạo và\r\nnâng cao nhận thức về an toàn thông tin trên toàn tổ chức một cách hiệu quả;
\r\n\r\ng) đánh giá thông tin nhận được từ việc\r\ngiám sát và soát xét các sự cố an toàn thông tin, và khuyến nghị các hoạt động\r\nphù hợp đối với các sự cố an toàn thông tin đã được xác định.
\r\n\r\nNếu tổ chức không sử dụng riêng một\r\nnhóm chức năng chéo, ví dụ do nhóm kiểu này không phù hợp với quy mô
5.1.3. Phân định trách nhiệm đảm bảo\r\nan toàn thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nTất cả các trách nhiệm đảm bảo an toàn\r\nthông tin cần được xác định một cách rõ ràng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc phân bổ các trách nhiệm về an\r\ntoàn thông tin cần phù hợp với chính sách an toàn thông tin (xem điều 3). Các\r\ntrách nhiệm về bảo vệ tài sản cá nhân và thực hiện các quy
Những cá nhân đã được phân bổ trách\r\nnhiệm về an toàn thông tin có thể ủy quyền các nhiệm vụ an toàn cho những người\r\nkhác thực hiện. Tuy nhiên, họ vẫn phải duy trì trách nhiệm và đảm bảo rằng các\r\nnhiệm vụ đã được ủy quyền đều được thực hiện đúng cách thức.
\r\n\r\nPhạm vi trách nhiệm của các cá nhân có\r\ntrách nhiệm cần được công bố rõ ràng; cụ thể là:
\r\n\r\na) các tài sản và các quy trình an\r\ntoàn đối với từng hệ thống cụ thể cần được xác định và định danh rõ ràng;
\r\n\r\nb) trách nhiệm đối với từng tài sản hoặc\r\nquy trình an toàn cần được phân định cụ thể và trách nhiệm chi tiết cần được\r\nghi thành văn bản (xem 6.1.2);
\r\n\r\nc) các mức cấp phép cần được xác định\r\nrõ và ghi thành văn bản.
\r\n\r\nThông tin khác
\r\n\r\nTrong nhiều tổ chức, một người quản lý\r\nan toàn thông tin sẽ được bổ nhiệm nhằm thực hiện trách nhiệm chung trong việc\r\nphát triển, triển khai công tác an toàn và hỗ trợ việc tìm ra các biện pháp quản\r\nlý phù hợp.
\r\n\r\nTuy nhiên, trách nhiệm trong việc tìm\r\nra và triển khai các biện pháp quản lý sẽ thường thuộc về những người
5.1.4. Quy trình cấp phép cho phương\r\ntiện xử lý thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nMột quy trình cấp phép cho phương tiện\r\nxử lý thông tin phải được xác định rõ và\r\ntriển khai.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nSau đây là các hướng dẫn đối với quy
a) những phương tiện mới cần có sự cấp\r\nphép sử dụng và mục đích sử dụng từ ban quản lý. Việc cấp phép cũng cần phải được\r\nngười quản lý có trách nhiệm trong việc duy trì môi trường an toàn của hệ thống\r\nthông tin thông qua nhằm đảm bảo rằng tất cả các các chính sách và yêu cầu về\r\nan toàn đều được thỏa mãn;
\r\n\r\nb) khi cần thiết thì cần kiểm tra cả\r\nphần cứng và phần mềm nhằm đảm bảo rằng chúng đều tương thích với các thành phần\r\nhệ thống khác;
\r\n\r\nc) việc sử dụng các phương tiện xử lý\r\nthông tin thuộc sở hữu cá nhân, ví dụ máy\r\ntính xách tay, máy tính tại nhà riêng, hoặc các thiết bị cầm tay, nhằm xử lý thông\r\ntin nghiệp vụ có thể làm phát sinh những yếu điểm mới và vì vậy, cần xác định\r\nvà triển khai các biện pháp quản lý cần thiết.
\r\n\r\n5.1.5. Các thỏa thuận về bảo mật
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác yêu cầu về bảo mật hoặc các thỏa\r\nthuận không tiết lộ phản ánh nhu cầu của tổ chức đối với việc bảo vệ thông tin\r\nphải được xác định rõ và thường xuyên soát xét lại.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác thỏa thuận bảo mật hoặc không tiết\r\nlộ cần tập trung vào các yêu cầu nhằm bảo vệ thông tin mật với các điều khoản\r\ncó khả năng thực thi về mặt pháp lý. Khi xác định các yêu cầu đối với các thỏa thuận\r\nbảo mật hoặc không tiết lộ, cần quan tâm đến các yếu tố sau:
\r\n\r\na) định nghĩa về thông tin cần được bảo\r\nvệ (ví dụ, thông tin mật);
\r\n\r\nb) khoảng thời gian dự kiến
c) các hoạt động được yêu cầu khi kết\r\nthúc thỏa thuận;
\r\n\r\nd) các trách nhiệm và hành động
e) quyền sở hữu thông tin, các bí mật\r\ngiao dịch và quyền sở hữu trí tuệ, và mối quan hệ của chúng với việc bảo vệ\r\nthông tin mật;
\r\n\r\nf) việc được phép sử dụng thông tin mật\r\nvà các quyền của người ký kết sử dụng\r\nthông tin;
\r\n\r\ng) quyền đánh giá và giám sát các hoạt\r\nđộng liên quan đến thông tin mật;
\r\n\r\nh) quy trình\r\nthông báo và báo cáo về việc tiết lộ trái phép hoặc những lỗ hổng thông tin mật;
\r\n\r\ni) các điều khoản đối với thông tin được\r\ntrả về hoặc bị hủy khi chấm dứt thỏa thuận;
\r\n\r\nj) các hành động dự kiến trong trường\r\nhợp có vi phạm thỏa thuận.
\r\n\r\nDựa trên các yêu cầu về an toàn thông\r\ntin của tổ chức, có thể đưa thêm một số điều khoản khác vào thỏa thuận không tiết lộ hoặc thỏa thuận bảo mật.
\r\n\r\nCác thỏa thuận bảo mật và không tiết lộ\r\ncần tuân thủ tất cả những quy định và điều\r\nluật phù hợp (xem thêm 14.1.1);
\r\n\r\nCác yêu cầu đối với các thỏa thuận bảo\r\nmật và không tiết lộ cần được soát xét định kỳ và tại các thời điểm xảy ra thay\r\nđổi làm ảnh hưởng đến các yêu cầu này.
\r\n\r\nThông tin khác
\r\n\r\nCác thỏa thuận bảo mật hoặc không tiết\r\nlộ sẽ bảo vệ các thông tin của tổ chức và thông báo cho các bên ký kết về trách\r\nnhiệm của họ trong việc bảo vệ, sử dụng và tiết lộ thông tin một cách có trách\r\nnhiệm và đúng thẩm quyền.
\r\n\r\nMỗi tổ chức cũng cần sử dụng các hình\r\nthức thỏa thuận bảo mật hoặc không tiết lộ khác nhau theo từng tình huống cụ thể.
\r\n\r\n5.1.6. Liên lạc với những cơ quan/tổ\r\nchức có thẩm quyền
\r\n\r\nBiện pháp quản lý
\r\n\r\nPhải duy trì liên lạc thỏa đáng với những\r\ncơ quan có thẩm quyền liên quan.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác tổ chức cần
Các tổ chức bị tấn công từ Internet có\r\nthể cần các bên thứ ba (ví dụ, một nhà cung cấp dịch vụ Internet hoặc một nhà\r\nkhai thác viễn thông) tiến hành các hoạt động chống lại nguồn gốc tấn công.
\r\n\r\nThông tin khác
\r\n\r\nViệc duy trì những liên lạc như vậy có\r\nthể là một yêu cầu giúp hỗ trợ quản lý các sự cố an, toàn thông tin (xem 12.2)\r\nhoặc quá trình lập kế hoạch nghiệp vụ đột\r\nxuất và liên tục (xem 13). Các mối liên hệ với các cơ quan luật pháp cũng sẽ có\r\nlợi cho công tác dự báo và chuẩn bị cho những thay đổi sắp xảy ra trên phương\r\ndiện luật pháp hoặc các quy định mà các tổ chức bắt buộc phải tuân theo. Những\r\nliên hệ với những cơ quan có
5.1.7. Liên lạc với các nhóm chuyên\r\ngia
\r\n\r\nBiện pháp quản lý
\r\n\r\nPhải giữ liên lạc với các nhóm chuyên\r\ngia hoặc các diễn đàn và hiệp hội an toàn thông tin.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần coi các thành viên trong các diễn\r\nđàn hoặc các nhóm chuyên gia như phương tiện nhằm:
\r\n\r\na) nâng cao kiến thức về cách thức thực\r\nhành tốt nhất và cập nhật những thông tin có liên quan về an toàn;
\r\n\r\nb) đảm bảo rằng kiến thức về môi trường\r\nan toàn thông tin là đầy đủ và được phổ biến;
\r\n\r\nc) nhận được các cảnh báo sớm từ các cảnh\r\nbáo, những lời tư vấn, và các bản và liên quan đến những tấn công và những yếu\r\nđiểm;
\r\n\r\nd) tiếp cận đến những lời khuyên của\r\nchuyên gia an toàn thông tin;
\r\n\r\ne) chia sẻ và trao đổi thông tin về\r\ncác công nghệ, sản phẩm, những mối đe dọa hoặc những yếu điểm mới;
\r\n\r\nf) cung cấp những đầu mối liên hệ phù\r\nhợp khi giải quyết các sự cố về an toàn thông tin (xem thêm 12.2.1).
\r\n\r\nThông tin khác
\r\n\r\nCó thể thiết lập những thỏa thuận về\r\nchia sẻ thông tin nhằm nâng cao sự phối hợp và cộng tác về các vấn đề an toàn.\r\nNhững thỏa thuận như vậy cần xác định các yêu cầu về việc bảo vệ thông tin nhạy\r\ncảm.
\r\n\r\n5.1.8. Soát xét độc lập về an toàn\r\nthông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nCách tiếp cận quản lý an toàn thông\r\ntin của tổ chức và việc triển khai của tổ chức (chẳng hạn như: các mục tiêu và\r\nbiện pháp quản lý, các chính sách, các quá trình\r\nvà thủ tục đảm bảo an toàn thông tin) phải\r\nđược soát xét định kỳ hoặc khi xuất hiện\r\nnhững thay đổi quan trọng liên quan đến an toàn thông tin.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc soát xét một cách độc lập cần được\r\nthực hiện bởi ban quản lý. Việc soát xét như vậy là cần thiết nhằm đảm bảo tính\r\nphù hợp, tính vẹn toàn và tính hiệu quả liên tục của phương thức triển khai an\r\ntoàn thông tin của tổ chức. Việc soát xét\r\ncần bao gồm cả việc đánh giá các cơ hội trong việc cải tiến và nhu cầu cần có\r\nnhững thay đổi về phương thức an toàn, bao gồm cả chính sách
Việc soát xét như vậy cũng cần được thực\r\nhiện bởi các cá nhân độc lập trong khu vực soát xét, ví dụ những người có chức\r\nnăng đánh giá nội bộ, người quản lý độc lập hoặc một tổ chức bên thứ ba chuyên\r\nthực hiện những cuộc soát xét như vậy. Các cá nhân thực hiện các cuộc soát xét\r\ncần có các kỹ năng và kinh nghiệm phù hợp.
\r\n\r\nCác kết\r\nquả của những lần soát xét độc lập cần được ghi lại và báo cáo đến ban quản lý.\r\nCác bản báo cáo này cần được lưu lại.
\r\n\r\nNếu một cuộc soát xét độc lập cho thấy\r\nrằng phương thức và việc triển khai của tổ\r\nchức trong quản lý an toàn thông tin là không phù hợp hoặc không tuân thủ chỉ dẫn\r\nvề an toàn thông tin đã được công bố trong văn bản chính sách an toàn thông tin\r\n(xem 4.1.1) thì ban quản lý cần cân nhắc\r\nđến việc sửa đổi.
\r\n\r\nThông tin khác
\r\n\r\nCác khu vực mà những người
5.2. Các bên tham gia bên\r\nngoài
\r\n\r\n| \r\n Mục tiêu: Nhằm duy trì an toàn đối Tính an toàn của thông tin và các\r\n phương tiện xử lý thông tin của tổ chức không được bị làm thuyên giảm bởi sự\r\n xuất hiện của các sản phẩm hoặc dịch vụ của tổ chức bên ngoài. \r\nCần quản lý tất cả các truy cập tới\r\n các phương tiện xử lý thông tin của tổ chức, việc xử lý và truyền thông được\r\n thực hiện bởi các tổ chức bên ngoài. \r\nKhi có nhu cầu nghiệp vụ cần làm việc\r\n với các tổ chức bên ngoài mà công việc ấy có thể đòi hỏi phải truy cập đến\r\n thông tin và các phương tiện xử lý thông tin của tổ chức, hoặc có nhu cầu cần\r\n nhận được hoặc cung cấp một sản phẩm và dịch vụ từ hoặc tới một tổ chức bên\r\n ngoài thì cần thực hiện đánh giá rủi ro nhằm xác định các ảnh hưởng liên\r\n quan đến an toàn thông tin và các yêu cầu về biện pháp quản lý. Các biện pháp\r\n quản lý cũng cần được thỏa thuận và xác định trong một bản thỏa thuận với tổ\r\n chức bên ngoài. \r\n | \r\n
5.2.1. Xác định các rủi ro liên\r\nquan đến các bên tham gia bên ngoài
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác rủi ro đối với thông tin và các\r\nphương tiện xử lý thông tin của tổ chức từ các quy trình nghiệp vụ liên quan đến các bên tham gia bên ngoài phải được\r\nnhận biết và triển khai biện pháp quản lý thích hợp trước khi cấp quyền truy cập.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nKhi có nhu cầu cho phép tổ chức bên\r\nngoài truy cập đến các phương tiện xử lý thông tin hoặc thông tin
a) các phương tiện xử lý thông tin mà\r\ntổ chức bên ngoài được yêu cầu truy cập;
\r\n\r\nb) hình thức truy cập mà tổ chức bên\r\nngoài sẽ thực hiện đối với thông tin và các phương tiện xử lý thông tin, ví dụ:
\r\n\r\n1) truy cập\r\nmức vật lý, ví dụ tới các văn phòng, các\r\nphòng máy tính, các ngăn tài liệu;
\r\n\r\n2) truy cập logic, ví dụ đến cơ
3) kết nối mạng giữa mạng của tổ chức\r\nvà của tổ chức bên ngoài, ví dụ kết nối cố\r\nđịnh, truy cập từ xa;
\r\n\r\n4) truy cập được thực hiện tại chỗ hay\r\ntừ xa;
\r\n\r\nc) giá trị và độ nhạy cảm của thông\r\ntin liên quan, và sự quan trọng của nó đối với các hoạt động nghiệp vụ;
\r\n\r\nd) các biện pháp quản lý cần thiết nhằm\r\nbảo vệ những thông tin mà các tổ chức bên ngoài không được quyền truy cập;
\r\n\r\ne) nhân viên thuộc tổ chức bên ngoài\r\ntham gia vào việc xử lý thông tin của tổ chức;
\r\n\r\nf) có thể cần xác định cách thức truy\r\ncập mà tổ chức hoặc cá nhân được cấp phép, cần kiểm tra giấy phép,
g) các phương tiện và các biện pháp kiểm\r\nsoát khác nhau được tổ chức bên ngoài sử dụng khi lưu trữ, xử lý, truyền thông,\r\nchia sẻ và trao đổi thông tin;
\r\n\r\nh) ảnh hưởng
i) các thủ tục và biện pháp xử lý sự cố\r\nan toàn thông tin và các thiệt hại tiềm ẩn, các điều kiện và điều khoản truy cập\r\ncủa tổ chức bên ngoài trong trường hợp có xảy ra sự cố an toàn thông tin;
\r\n\r\nj) Các yêu cầu pháp lý và quy tắc và\r\ncác nghĩa vụ thỏa thuận liên quan đến tổ chức bên ngoài;
\r\n\r\nKhông được cho phép các tổ chức bên\r\nngoài truy cập tới thông tin của tổ chức trừ khi đã triển khai các biện pháp quản\r\nlý phù hợp, và nếu khả thi thì cần ký một\r\nbản hợp đồng xác định thời hạn và các điều kiện kết\r\nnối hoặc truy cập. Nhìn chung, tất cả các yêu cầu về an toàn khi làm việc với\r\ncác tổ chức bên ngoài hoặc các biện pháp quản lý bên trong cần được đề cập\r\ntrong một bản thỏa thuận với tổ chức bên ngoài (xem thêm trong 5.2.2 và 5.2.3).
\r\n\r\nCũng cần đảm bảo rằng tổ chức bên\r\nngoài nhận thức được các nghĩa vụ của họ, và chấp thuận các trách nhiệm và\r\nnghĩa vụ pháp lý khi truy cập, xử lý, truyền thông, hoặc quản lý thông tin và\r\ncác phương tiện xử lý thông tin của tổ chức.
\r\n\r\nThông tin khác
\r\n\r\nThông tin có thể bị rủi ro do các
Các tổ chức có thể phải đối mặt với những\r\nrủi ro liên quan đến việc xử lý, quản lý\r\nvà truyền thông liên tổ chức nếu áp dụng thuê khoán\r\nngoài ở mức độ cao, hoặc có sự tham gia của nhiều tổ chức.
\r\n\r\nCác biện pháp quản lý trong 5.2.2 và\r\n5.2.3 bao hàm các biện pháp khi làm việc với nhiều loại tổ chức thứ ba, ví dụ\r\nbao gồm:
\r\n\r\na) các nhà cung cấp dịch vụ, như ISP,\r\ncác nhà cung cấp mạng, các dịch vụ điện\r\nthoại, các dịch vụ hỗ trợ và bảo trì;
\r\n\r\nb) các dịch vụ an toàn được quản lý;
\r\n\r\nc) các khách hàng;
\r\n\r\nd) thuê khoán\r\ncác thiết bị và/hoặc các dịch vụ điều hành, ví dụ các hệ thống IT, các dịch vụ\r\nthu thập dữ liệu, các trung tâm khai thác cuộc gọi;
\r\n\r\ne) các nhà tư vấn về quản lý và nghiệp\r\nvụ và các đánh giá viên;
\r\n\r\nf) các nhà cung cấp và phát triển, ví\r\ndụ các hệ thống IT và các sản phẩm phần mềm;
\r\n\r\ng) các dịch vụ vệ sinh, rác thải và\r\ncác dịch vụ hỗ trợ được thuê khoán khác;
\r\n\r\nh) lao động tạm
Những thỏa thuận này có thể giúp làm\r\ngiảm các rủi ro liên quan tới các tổ chức bên ngoài.
\r\n\r\n5.2.2. Giải quyết an toàn khi làm việc\r\nvới khách hàng
\r\n\r\nBiện pháp quản lý
\r\n\r\nTất cả các yêu cầu về an toàn phải được\r\ngiải quyết trước khi cho phép khách hàng truy cập tới thông tin hoặc tài sản của\r\ntổ chức.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến các vấn đề sau nhằm\r\ngiải quyết an toàn thông tin trước khi cho phép khách hàng truy cập đến bất kỳ\r\ntài sản nào của tổ chức (tùy thuộc vào loại và quy mô của truy cập, không phải\r\náp dụng toàn bộ):
\r\n\r\na) bảo vệ tài sản, bao g
1) các quy trình bảo vệ các tài sản của tổ chức, bao gồm thông tin và phần mềm,\r\nvà quản lý các yếu điểm đã biết trước;
\r\n\r\n2) các thủ tục xác định tổn hại đến\r\ntài sản, ví dụ dữ liệu có bị mất hoặc bị làm thay đổi không;
\r\n\r\n3) tính toàn vẹn;
\r\n\r\n4) hạn chế việc sao chép và tiết lộ\r\nthông tin;
\r\n\r\nb) mô tả sản phẩm hoặc dịch vụ được\r\ncung cấp;
\r\n\r\nc) các lý do, yêu cầu khác nhau, và\r\ncác lợi ích trong việc truy cập của khách\r\nhàng;
\r\n\r\nd) chính sách quản lý truy cập, bao gồm:
\r\n\r\n1) các phương pháp truy cập được cho\r\nphép, biện pháp quản lý và sử dụng các thông tin cá nhân như ID và mật khẩu của\r\nngười dùng;
\r\n\r\n2) một quy trình cấp phép truy cập và đặc quyền cho người dùng;
\r\n\r\n3) một thông báo rằng tất cả các truy\r\ncập chưa được cấp phép hợp lệ đều bị cấm;
\r\n\r\n4) một quy trình thu hồi quyền truy cập hoặc ngắt kết nối giữa các hệ thống;
\r\n\r\ne) các bước thực hiện báo cáo, thông\r\nbáo, và điều tra về những sai lệch của thông tin (ví dụ các thông tin chi tiết\r\nvề cá nhân), các sự cố an toàn thông tin và các lỗ hổng bảo mật;
\r\n\r\nf) mô tả về từng dịch vụ sẽ được cung\r\ncấp;
\r\n\r\ng) mức kỳ vọng của dịch vụ và các mức\r\nkhông chấp nhận được của dịch vụ;
\r\n\r\nh) quyền giám sát, thu hồi, và thực hiện\r\nhoạt động bất kỳ liên quan đến các tài sản của tổ chức;
\r\n\r\ni) các nghĩa vụ tương ứng
j) các trách nhiệm liên quan đến các vấn\r\nđề luật pháp và phương thức nhằm đảm bảo rằng các yêu cầu về luật pháp đều được\r\nđáp ứng, ví dụ cưỡng chế bảo vệ dữ liệu, đặc biệt là phải tính đến các hệ thống\r\nluật pháp quốc gia khác nếu thỏa thuận có sự phối hợp với các khách hàng ở các\r\nquốc gia khác (xem thêm trong 14.1);
\r\n\r\nk) các quyền sở hữu trí tuệ (IPR) và vấn đề bản quyền (xem 14.1.2) và việc bảo\r\nvệ các kết quả công việc có sự cộng tác\r\n(xem thêm 5.1.5).
\r\n\r\nThông tin
Các yêu cầu về an toàn thông tin liên\r\nquan đến các khách hàng truy cập vào tài sản của tổ chức có thể rất khác nhau\r\ntùy theo các phương tiện xử lý thông tin và thông tin đang bị truy cập. Các yêu\r\ncầu về an toàn này có thể được đề cập trong các thỏa thuận với khách hàng, các\r\nthỏa thuận này bao gồm tất cả các rủi ro và các yêu cầu an toàn đã xác định\r\n(xem 5.2.1).
\r\n\r\nCác thỏa thuận với các tổ chức bên\r\nngoài cũng có thể bao gồm các bên khác. Các thỏa thuận chấp nhận việc truy cập
5.2.3. Giải quyết an toàn trong các thỏa\r\nthuận với bên thứ ba
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thỏa thuận với bên thứ ba liên\r\nquan đến truy cập, xử lý, truyền thông, quản lý thông tin và các phương tiện xử\r\nlý thông tin của tổ chức, hoặc các sản phẩm, dịch vụ phụ trợ
Hướng dẫn triển khai
\r\n\r\nThỏa thuận cần đảm bảo rằng không có sự\r\nhiểu nhầm giữa tổ chức và bên thứ ba.
\r\n\r\nCác điều khoản sau cần được xem xét\r\nđưa vào bản thỏa thuận nhằm thỏa mãn các yêu cầu an toàn đã xác định (xem\r\n5.2.1):
\r\n\r\na) chính sách an toàn thông tin;
\r\n\r\nb) các biện pháp quản lý nhằm đảm bảo\r\ntài sản được bảo vệ, bao gồm:
\r\n\r\n1) các thủ tục bảo vệ tài sản của tổ\r\nchức, bao gồm thông tin, phần mềm và phần cứng;
\r\n\r\n2) các cơ chế và biện pháp quản lý vật\r\nlý được yêu cầu;
\r\n\r\n3) các biện pháp quản lý nhằm đảm bảo\r\nviệc bảo vệ chống lại phần mềm độc hại;
\r\n\r\n4) các thủ tục xác định xem có tổn hại\r\nnào đến tài sản hay không, ví dụ mất mát hoặc chỉnh sửa thông tin, phần mềm và\r\nphần cứng;
\r\n\r\n5) các biện pháp
6) tính bí mật, tính toàn vẹn, tính sẵn\r\nsàng, và thuộc tính liên quan bất kỳ của các tài sản;
\r\n\r\n7) các hạn chế về sao chép và tiết lộ\r\nthông tin, và áp dụng các thỏa thuận về bảo mật (xem 5.1.5);
\r\n\r\nc) đào tạo người dùng và người quản lý\r\nvề các phương pháp, thủ tục và an toàn thông tin;
\r\n\r\nd) đảm bảo rằng người dùng hiểu về các\r\nvai trò và trách nhiệm của mình về an toàn thông tin;
\r\n\r\ne) các quy định về điều chuyển nhân sự\r\nkhi có yêu cầu;
\r\n\r\nf) các trách nhiệm về lắp đặt và bảo dưỡng\r\nphần cứng và phần mềm;
\r\n\r\ng) cấu trúc báo cáo rõ ràng và các định\r\ndạng báo cáo đã thỏa thuận;
\r\n\r\nh) quy trình\r\nrõ ràng về quản lý các thay đổi;
\r\n\r\ni) chính sách giám sát truy cập, bao gồm:
\r\n\r\n1) các lý do, yêu cầu và lợi ích khác\r\nnhau chứng minh nhu cầu cần truy cập của tổ chức thứ ba;
\r\n\r\n2) các phương pháp truy cập được phép,\r\nquản lý và sử dụng các thông tin cá nhân\r\nnhư ID và mật khẩu của người dùng;
\r\n\r\n3) một quy trình cấp phép truy cập và đặc quyền đối với ng
4) một yêu cầu duy trì danh sách các\r\ncá nhân được cấp phép sử dụng dịch vụ, và quyền và đặc quyền truy cập
5) một thông báo rằng tất cả các truy\r\ncập chưa được cấp phép một cách hợp lệ đều bị cấm;
\r\n\r\n6) một quy trình thu hồi quyền truy cập hoặc ngắt kết nối giữa các hệ thống;
\r\n\r\nj) các thủ tục báo cáo, thông báo và\r\nđiều tra về các sự cố an toàn thông tin và các lỗ hổng an toàn, cũng như những\r\nvi phạm các yêu cầu đã công bố trong bản thỏa thuận;
\r\n\r\nk) mô tả về sản phẩm hoặc dịch vụ được\r\ncung cấp, và mô tả về thông tin đã sẵn sàng cùng với phân cấp an toàn
I) mức kỳ vọng của dịch vụ và các mức\r\nkhông chấp nhận được của dịch vụ;
\r\n\r\nm) định nghĩa về chỉ tiêu hiệu suất,\r\nviệc giám sát và báo cáo chúng;
\r\n\r\nn) quyền giám sát, và thu hồi, khai\r\nthác liên quan đến các tài sản của tổ chức;
\r\n\r\no) quyền được đánh giá các trách nhiệm\r\nđã xác định trong thỏa thuận, quyền được thuê tổ chức thứ ba thực hiện các công\r\nviệc đánh giá, và quyền được công bố các quyền do luật pháp quy định
p) thiết lập quy
q) các yêu cầu về tính liên tục
r) các nghĩa vụ pháp lý tương ứng của\r\ncác tổ chức theo thỏa thuận;
\r\n\r\ns) các trách nhiệm đối với các vấn đề\r\npháp lý và phương thức nhằm đảm bảo rằng các yêu cầu pháp lý đều được thỏa mãn,\r\nví dụ cưỡng chế bảo vệ dữ liệu, đặc biệt quan tâm đến các hệ thống luật pháp quốc\r\ngia khác nếu thỏa thuận có sự hợp tác với các tổ chức của các quốc gia khác (xem thêm 14.1);
\r\n\r\nt) các quyền sở hữu trí tuệ (IPR) và đăng ký bản quyền (xem 14.1.2) và bảo vệ\r\ncông việc có sự phối hợp cộng tác (xem thêm 5.1.5);
\r\n\r\nu) nếu việc hợp tác với tổ chức thứ ba\r\ncó thêm các nhà thầu phụ thì cần triển khai các biện pháp quản lý an toàn đối với\r\ncác nhà thầu phụ này;
\r\n\r\nv) các điều kiện thương lượng lại/hủy\r\nbỏ các thỏa thuận:
\r\n\r\n1) cần thực hiện một kế hoạch đột xuất\r\ntrong trường hợp cả hai phía đều mong muốn kết thúc mối quan hệ trước thời điểm\r\nkết thúc thỏa thuận như đã định;
\r\n\r\n2) thương lượng lại các thỏa thuận nếu\r\ncác yêu cầu về an toàn của tổ chức thay đổi;
\r\n\r\n3) lập tài liệu danh sách các tài sản,\r\ncác giấy phép, các thỏa thuận hoặc quyền liên quan đến chúng.
\r\n\r\nCác thông tin khác
\r\n\r\nCác thỏa thuận có thể rất khác nhau\r\ntùy theo các loại các tổ chức khác nhau và giữa các loại bên thứ ba khác nhau.\r\nDo vậy, cần cẩn trọng việc đưa ra các rủi ro và các yêu cầu về an toàn (xem\r\nthêm 5.2.1) trong các thỏa thuận. Khi cần thiết thì có thể mở rộng các biện\r\npháp quản lý và các thủ tục cần thiết trong kế hoạch quản lý an toàn.
\r\n\r\nNếu tổ chức thuê bên thứ ba quản lý an\r\ntoàn thông tin, thì các thỏa thuận cần nhấn mạnh cách thức mà bên thứ ba cần nhằm\r\nđảm bảo đạt được độ an toàn thỏa đáng như đã xác định bởi công tác đánh giá rủi\r\nro, và cách thức xác định và xử lý những thay\r\nđổi của các rủi ro.
\r\n\r\nMột vài trong số các khía cạnh khác\r\nnhau giữa thuê khoán và các hình thức\r\ncung cấp dịch vụ khác của bên thứ ba bao gồm vấn đề về nghĩa vụ pháp lý, việc lập\r\nkế hoạch về giai đoạn chuyển đổi và sự đổ vỡ tiềm ẩn của các hoạt động giai đoạn\r\nnày, các công việc chuẩn bị cho việc lập kế hoạch đột xuất, thu thập và quản lý\r\nthông tin về các sự cố an toàn thông tin. Do vậy, vấn đề quan trọng là tổ chức\r\nphải lập kế hoạch và quản lý giai đoạn chuyển sang thuê k
Các thủ tục duy trì xử lý thông tin\r\ntrong trường hợp bên thứ ba không có khả năng cung cấp dịch vụ cũng cần được\r\nxem xét trong thỏa thuận nhằm ngăn chặn trì hoãn dàn xếp các dịch vụ thay thế.
\r\n\r\nCác thỏa thuận với bên thứ ba có thể\r\ncó sự tham gia của các bên khác. Các thỏa\r\nthuận chấp nhận cho bên thứ ba truy cập cần cho phép chỉ định các bên có đủ tư\r\ncách khác và các điều kiện truy cập và tham gia của họ.
\r\n\r\nNhìn chung các thỏa thuận
6.1. Trách nhiệm đối với tài sản
\r\n\r\n| \r\n Mục tiêu: Nhằm hoàn thành và duy trì\r\n các biện pháp bảo vệ thích hợp đối với\r\n tài sản của tổ chức. \r\nTất cả các tài sản đều cần được kê\r\n khai và giao cho một người sở hữu. \r\nNhững người sở hữu tài sản cần được xác định đối với tất cả các tài sản và\r\n được giao trách nhiệm trong việc duy trì các biện pháp quản lý phù hợp. Nếu\r\n thích hợp thì người sở hữu tài sản có\r\n thể ủy quyền cho người khác triển khai các biện pháp quản lý nhất định nào đó\r\n nhưng người sở hữu vẫn phải duy trì\r\n trách nhiệm trong việc bảo vệ tài sản. \r\n | \r\n
6.1.1. Kiểm kê tài sản
\r\n\r\nBiện pháp quản lý
\r\n\r\nMọi tài sản cần được xác định rõ ràng,\r\ncần thực hiện và duy trì kiểm kê đối với tất cả các tài sản quan trọng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nTổ chức cần xác định tất cả các tài sản\r\nvà tầm quan trọng của các tài sản này cần được ghi vào văn bản. Biên bản kiểm kê\r\ntài sản cần chứa tất cả các thông tin cần thiết nhằm phục vụ việc khôi phục\r\nthông tin trong trường hợp có thảm họa, bao gồm loại tài sản, định dạng, vị trí,\r\nthông tin dự phòng, thông tin đăng ký, và giá trị nghiệp vụ. Biên bản kiểm kê\r\nkhông được sao chép các biên bản kiểm kê khác những thông tin không cần thiết,\r\nnhưng cần đảm bảo nội dung thống nhất.
\r\n\r\nHơn nữa, quyền sở hữu (xem 6.1.2) và phân loại thông tin (xem 6.2) đối với các tài\r\nsản cần được thỏa thuận và ghi thành văn bản. Các mức độ bảo vệ tương ứng với tầm\r\nquan trọng của các tài sản cũng cần được xác định dựa trên tầm quan trọng
Thông tin
Có rất nhiều loại tài sản, bao gồm:
\r\n\r\na) thông tin: cơ
b) các tài sản phần mềm: phần mềm ứng\r\ndụng, phần mềm hệ thống, các công cụ phát triển, và các tiện ích;
\r\n\r\nc) các tài sản vật chất: thiết bị máy\r\ntính, thiết bị truyền thông, thiết bị di động và các thiết bị khác;
\r\n\r\nd) các dịch vụ: các dịch vụ truyền\r\nthông và tính toán, các tiện ích chung, ví dụ sưởi, chiếu sáng, năng lượng, và\r\nđiều hòa nhiệt độ;
\r\n\r\ne) con người, và các văn bằng chứng chỉ,\r\ncác kỹ năng và kinh nghiệm của họ;
\r\n\r\nf) tài sản vô hình, như danh tiếng và\r\nhình ảnh của tổ chức.
\r\n\r\nCác cuộc kiểm kê tài sản giúp đảm bảo\r\nrằng việc bảo vệ tài sản một cách hiệu quả đã được thực hiện, và có thể được\r\nyêu cầu cho các mục đích nghiệp vụ khác, như các lý do về sức khỏe và an toàn,\r\nbảo hiểm hoặc tài chính (quản lý tài sản).\r\nQuy trình kiểm kê tài sản là một điều kiện tiên quyết vô cùng quan trọng trong\r\nquản lý rủi ro (xem thêm điều 3).
\r\n\r\n6.1.2. Quyền sở hữu tài sản
\r\n\r\nBiện pháp quản lý
\r\n\r\nMọi thông tin và tài sản gắn với phương tiện xử lý thông tin phải được quản lý,\r\nkiểm soát bởi một bộ phận do tổ chức chỉ định.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNgười sở hữu tài sản cần có trách nhiệm\r\ntrong việc:
\r\n\r\na) đảm bảo rằng thông tin và các tài sản\r\nliên quan đến các phương tiện xử lý thông tin được phân loại phù hợp;
\r\n\r\nb) xác định và định kỳ soát xét lại\r\ncác giới hạn và phân loại truy cập, cân nhắc các chính sách quản lý truy cập có\r\nthể áp dụng.
\r\n\r\nQuyền sở\r\nhữu có thể được chỉ định cho:
\r\n\r\na) một quy trình\r\nnghiệp vụ;
\r\n\r\nb) các hoạt động nhất định;
\r\n\r\nc) một ứng dụng; hoặc
\r\n\r\nd) một tập các dữ liệu xác định;
\r\n\r\nThông tin khác
\r\n\r\nCó thể ủy quyền thực hiện các nhiệm vụ\r\nthông thường, ví dụ ủy quyền cho một người chăm sóc tài sản hàng ngày, nhưng\r\nngười sở hữu vẫn phải duy trì trách nhiệm\r\ncủa họ.
\r\n\r\nVới các hệ thống thông tin phức tạp,\r\nthì có thể gom tài sản vào thành các nhóm, các nhóm hình thành một chức năng đặc\r\nbiệt giống như “các dịch vụ". Trong trường hợp này, người sở hữu dịch vụ\r\ncó trách nhiệm phân phối dịch vụ, bao gồm cả việc thực hiện chức năng của các\r\ntài sản.
\r\n\r\n6.1.3. Sử dụng hợp lý tài sản
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác quy tắc sử dụng hợp lý thông tin
Hướng dẫn triển khai
\r\n\r\nTất cả nhân viên, người
a) các quy tắc sử dụng internet và thư\r\nđiện tử (xem 9.8);
\r\n\r\nb) các hướng dẫn sử dụng các thiết bị di\r\ndộng, đặc biệt là sử dụng ở bên ngoài trụ\r\nsở của tổ chức (xem 10.7.1);
\r\n\r\nCác quy tắc hoặc h
6.2. Ph
| \r\n Mục tiêu: Nhằm đảm bảo thông tin sẽ\r\n có mức độ bảo vệ thích hợp. \r\nThông tin Thông tin có các mức độ nhạy cảm và\r\n độ quan trọng thay đổi. Một số danh mục thông tin có thể cần mức bảo vệ cao\r\n hơn hoặc cần được xử lý đặc biệt, cần | \r\n
6.2.1. Hướng dẫn phân loại
\r\n\r\nBiện pháp quản lý
\r\n\r\nThông tin cần được phân loại theo giá\r\ntrị, các yêu cầu pháp lý, độ nhạy cảm và mức độ quan trọng đối với tổ chức.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc phân loại và các biện pháp quản\r\nlý bảo vệ liên quan cần xem xét đến nhu cầu nghiệp vụ trong việc chia sẻ hoặc hạn\r\nchế thông tin và các ảnh hưởng nghiệp vụ liên quan đến các nhu cầu này.
\r\n\r\nCác hướng dẫn phân loại cần đưa ra các\r\nquy ước cho việc phân loại ban đầu và việc phân loại lại theo thời gian phù hợp\r\nvới chính sách quản lý truy cập đã định trước nào đó (xem 10.1.1).
\r\n\r\nCần xác định trách nhiệm của người sở\r\nhữu tài sản (xem 6.1.2) trong việc xác định phân loại tài sản, định kỳ soát xét\r\nlại phân loại, và đảm bảo rằng phân loại này đã cập nhật và ở mức độ phù hợp.\r\nViệc phân loại cần xem xét đến hậu quả kết\r\nhợp như đề cập trong 9.7.2.
\r\n\r\nCũng cần quan tâm đến số các cấp độ\r\nphân loại và lợi ích thu được khi sử dụng chúng. Các cơ chế phân loại quá phức\r\ntạp cũng có thể trở thành cồng kềnh và\r\nkhông có hiệu quả về mặt kinh tế hoặc lại không khả thi. Cần cẩn trọng trong việc\r\nbiên dịch các nhãn phân loại trong các văn bản giữa các tổ chức, các nhãn có\r\ntên giống nhau hoặc tương tự nhau có thể có các định nghĩa khác nhau.
\r\n\r\nThông tin khác
\r\n\r\nMức bảo vệ có thể được
Thông tin thường không còn nhạy cảm hoặc\r\nquan trọng nữa sau một khoảng thời gian nhất định, ví dụ, khi thông tin đã được\r\ncông bố. Các khía cạnh này cũng cần được quan tâm, vì việc phân loại quá phức tạp\r\ncũng có thể dẫn đến việc triển khai các\r\nbiện pháp quản lý không cần thiết và làm phát sinh thêm chi
Việc cân nhắc các văn bản với các yêu\r\ncầu an toàn tương tự nhau khi quyết định các mức phân loại cũng có thể giúp làm\r\nđơn giản hóa công tác phân loại.
\r\n\r\nNhìn chung, việc phân loại thông tin là\r\nmột con đường nhanh nhất trong việc xác định phương thức
6.2.2. Gắn nhãn
Biện pháp quản lý
\r\n\r\nCác thủ tục cần thiết cho việc gán nhãn\r\nvà quản lý thông tin cần được phát triển và triển khai phù hợp với lược đồ phân\r\nloại thông tin đã được tổ chức chấp nhận.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác thủ tục dán nhãn thông tin cần được\r\nxây dựng cho tất cả các tài sản thông tin ở cả dạng vật lý và điện tử.
\r\n\r\nĐầu ra của\r\ncác hệ thống chứa các thông tin đã được phân loại là nhạy cảm hoặc quan trọng cần\r\nmang một nhãn phân loại phù hợp (ở đầu ra). Việc dán nhãn cần thể hiện phân loại\r\ntheo các quy tắc đã thiết lập trong 6.2.1. Các danh mục cần quan tâm bao gồm\r\ncác báo cáo in sẵn, các màn hình hiển thị,\r\nphương tiện lưu giữ (ví dụ băng, đĩa, CD), các thông điệp điện tử, và các phần\r\nmềm truyền tệp.
\r\n\r\nĐối với từng mức phân loại, cũng cần\r\nxác định các thủ tục xử lý bao gồm xử lý an toàn, lưu trữ, truyền, phân loại lại,\r\nvà hủy bỏ. Cũng cần có các thủ tục về thắt chặt giám sát và ghi lại bất kỳ sự\r\nkiện nào liên quan đến an toàn.
\r\n\r\nCác thỏa thuận với các tổ chức khác về\r\nchia sẻ thông tin cần chứa các thủ tục xác định phân loại của thông tin đó và\r\nbiên dịch các nhân phân loại giữa các tổ chức.
\r\n\r\nThông tin khác
\r\n\r\nViệc dán nhãn và xử lý thông tin đã phân\r\nloại một cách an toàn là một yêu cầu then chốt đối với các chia sẻ thông tin.\r\nCác nhãn vật lý là một dạng nhãn thông thường. Tuy nhiên, một số tài sản thông\r\ntin, nhãn các tài liệu ở dạng điện tử, thì không thể dán nhãn dưới dạng vật lý\r\nvà khi đó cần thực hiện dán nhãn điện tử. Ví dụ, nhãn thông tin có thể xuất hiện\r\ntrên màn hình hoặc được hiển thị bằng máy tính. Nếu việc dán nhãn không khả thi\r\nthì các phương tiện phân loại thông tin khác có thể được áp dụng, ví dụ thông\r\nqua các thủ tục hoặc các mô tả về dữ liệu.
\r\n\r\n7. Đảm bảo an toàn\r\nthông tin từ nguồn nhân lực
\r\n\r\n7.1. Trước khi tuy
| \r\n Mục tiêu: Đảm bảo rằng các nhân\r\n viên, người của nhà thầu và bên thứ ba\r\n hiểu rõ trách nhiệm của mình và phù hợp\r\n với vai trò được giao, đồng thời giảm thiểu các rủi ro do đánh cắp, gian lận\r\n và lạm dụng chức năng, quyền hạn. \r\nCác trách nhiệm về an toàn cần được\r\n nhấn mạnh trước khi sử dụng lao động\r\n theo những đặc điểm công việc tương xứng, và theo các điều khoản Tất cả những ứng viên, người Các nhân viên, người | \r\n
7.1.1. Các vai trò và trách nhiệm
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác vai trò và trách nhiệm đảm bảo an\r\ntoàn thông tin của các nhân viên, người của nhà thầu và bên thứ ba phải được\r\nxác định và ghi thành văn bản phù hợp với chính sách an toàn
Hướng dẫn triển khai
\r\n\r\nCác vai trò và trách nhiệm về an toàn\r\ncần gồm các yêu cầu về:
\r\n\r\na) triển khai và hành động phù hợp với\r\ncác chính sách an toàn thông tin của tổ\r\nchức (xem 4.1);
\r\n\r\nb) bảo vệ tài sản trước sự truy nhập,\r\nđánh cắp, chỉnh sửa, phá hoại hoặc can thiệp bất hợp pháp;
\r\n\r\nc) thực hiện các hoạt động và
d) báo cáo các sự kiện an toàn, những\r\nsự kiện tiềm ẩn hoặc những rủi ro an toàn khác đến tổ chức.
\r\n\r\nCác vai trò và trách nhiệm cần được\r\nxác định rõ và thông báo một cách rõ ràng đến các ứng viên trong suốt quá
Thông tin khác
\r\n\r\nNhững mô tả về công việc có thể được sử\r\ndụng để ghi lại các vai trò và trách nhiệm về an toàn thông tin. Các vai trò và\r\ntrách nhiệm về an toàn của các cá nhân chưa được cam kết trong quá trình sử dụng nhân lực của tổ chức, ví dụ đã được\r\ncam kết qua một tổ chức thứ ba, cũng cần được xác định rõ và thông báo đến toàn\r\nbộ nhân viên.
\r\n\r\n7.1.2. Thẩm tra
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc xác minh lai lịch của mọi ứng\r\nviên tuyển dụng, người của nhà thầu và bên thứ ba phải\r\nđược thực hiện phù hợp với pháp luật, quy định,\r\nđạo đức và phù hợp với các yêu cầu của công việc, phân loại thông tin được truy\r\nnhập và các rủi ro có thể nhận thấy được.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác cuộc xác minh lai lịch cần quan\r\ntâm đến tính riêng tư, việc bảo vệ dữ liệu cá nhân và/hoặc luật sử dụng lao động,\r\nvà nếu được phép cần bao gồm những vấn đề sau:
\r\n\r\na) sự sẵn sàng của các giấy tờ chứng minh danh tính, ví dụ
b) kiểm tra (tính đầy đủ và chính xác)\r\nhồ sơ của ứng viên;
\r\n\r\nc) xác nhận về các văn bằng nghề nghiệp\r\nvà học thuật đã khai;
\r\n\r\nd) kiểm tra giấy tờ tùy thân (hộ chiếu\r\nhoặc giấy tờ tương tự);
\r\n\r\ne) các kiểm tra chi tiết hơn, ví dụ\r\ncác kiểm tra về tài chính hoặc các kiểm tra về hồ sơ tội phạm;
\r\n\r\nVới
Các thủ tục cần xác định tiêu chí và\r\ncác giới hạn đối với cáo cuộc xác minh lai lịch, ví dụ người có đủ tư cách thẩm\r\ntra, cách thức, thời gian và lý do thực hiện các cuộc thẩm tra.
\r\n\r\nQuá trình thẩm tra cũng cần được thực\r\nhiện với các nhà thầu, và những người dùng thuộc bên thứ ba. Nếu các nhà thầu\r\nnày được cung cấp qua một công ty môi giới thì hợp đồng với công ty này cần xác định rõ trách nhiệm của công ty trong việc\r\nthẩm tra và các thủ tục khai báo mà họ cần tuân thủ nếu việc thẩm tra không\r\nhoàn tất hoặc nếu các kết quả thẩm tra gây ra hồ nghi hoặc lo ngại. Tương tự\r\nnhư vậy, thỏa thuận với bên thứ ba (xem thêm 5.2.3) cũng cần xác định rõ tất cả\r\ncác trách nhiệm và các thủ tục thông báo về việc thẩm tra.
\r\n\r\nThông tin của tất cả các ứng viên đang\r\nđược cân nhắc cho các vị trí tuyển dụng trong tổ chức cũng cần được thu thập và\r\nxử lý theo pháp luật hiện hành với phạm vi quyền hạn tương xứng. Tuỳ theo quy định\r\ncủa luật pháp phù hợp mà các ứng viên cần\r\nphải được thông báo trước về các hoạt động\r\nthẩm tra này.
\r\n\r\n7.1.3. Điều khoản và điều kiện tuyển dụng
\r\n\r\nBiện pháp Quản lý
\r\n\r\nNhư một phần của các ràng buộc trong hợp đồng, các nhân viên, người của nhà thầu\r\nvà bên thứ ba phải đồng ý và ký vào các điều khoản và điều kiện của hợp đồng\r\ntuyển dụng. Việc này làm rõ trách nhiệm của người\r\nđược tuyển dụng và tổ chức đối với an toàn thông tin.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác điều khoản và điều kiện tuyển dụng\r\ncần thể hiện cả chính sách an toàn của tổ chức bên cạnh việc công bố rằng :
\r\n\r\na) tất cả các nhân viên, người của nhà\r\nthầu và bên thứ ba- những người được phép truy cập đến thông tin nhạy cảm, cần ký\r\nvào một thỏa thuận bảo mật hoặc không tiết lộ trước khi được cấp phép truy cập đến\r\ncác phương tiện xử lý thông tin;
\r\n\r\nb) các quyền và trách nhiệm pháp lý của\r\ncác nhân viên, người của các nhà thầu và những người dùng khác, ví dụ các quyền\r\nvà trách nhiệm liên quan đến luật bản quyền hoặc pháp chế về bảo vệ dữ liệu\r\n(xem thêm 14.1.1 và 13.1.2);
\r\n\r\nc) các trách nhiệm đối với việc phân\r\nloại thông tin và quản lý tài sản thuộc tổ chức liên quan đến các dịch vụ và hệ\r\nthống thông tin được xử lý bởi các những nhân viên, người
d) các trách nhiệm của người nhân\r\nviên, người của nhà thầu hoặc bên thứ ba trong việc xử lý thông tin nhận được từ\r\ncác công ty khác hoặc các tổ chức bên ngoài;
\r\n\r\ne) các trách nhiệm của tổ chức trong\r\nviệc xử lý thông tin cá nhân, bao gồm thông tin cá nhân có được sau hoặc trong\r\nquá trình sử dụng lao động của tổ chức\r\n(xem thêm 14.1.4);
\r\n\r\nf) các trách nhiệm sử dụng tài sản bên\r\nngoài trụ sở của tổ chức và bên ngoài thời gian làm việc bình thường, ví dụ trong\r\ntrường hợp làm việc tại nhà (xem thêm 8.2.5 và 10.7.1);
\r\n\r\ng) các hoạt động sẽ được thực thi nếu\r\nnhân viên, người của nhà thầu hoặc bên thứ ba thiếu quan tâm đến các yêu cầu về\r\nan toàn của tổ chức (xem thêm 7.3).
\r\n\r\nTổ chức cần đảm bảo rằng các nhân\r\nviên, người của nhà thầu và bên thứ ba đồng\r\ný các điều khoản và điều kiện liên quan đến an toàn thông tin
Nếu thích hợp thì các trách nhiệm nằm\r\ntrong các điều khoản và điều kiện sử dụng lao động cần được tiếp tục duy trì\r\ntrong thời gian xác định sau khi đã chấm dứt sử dụng lao động (xem thêm 7.3).
\r\n\r\nThông tin khác
\r\n\r\nCó thể sử dụng một bản hướng dẫn trong\r\nđó đưa ra các trách nhiệm của các nhân viên, người của nhà thầu và bên thứ ba\r\nliên quan đến tính bảo mật, bảo vệ dữ liệu, nội quy, việc sử dụng phù hợp thiết\r\nbị và tài sản của tổ chức, cũng như cách thực hiện dự kiến. Nhà thầu hoặc những\r\nngười dùng thuộc bên thứ ba có thể liên kết với một tổ chức bên ngoài, tổ chức\r\nnày có thể được yêu cầu tham gia vào các\r\nthương thảo hợp đồng với sự đại diện của\r\nmột cá nhân ký kết.
\r\n\r\n7.2. Trong
| \r\n Mục tiêu: đảm bảo rằng mọi nhân viên\r\n của tổ\r\n chức, người của nhà thầu và bên thứ\r\n ba nhận thức được các mối nguy cơ và các vấn đề liên quan đến an toàn thông\r\n tin, trách nhiệm và nghĩa vụ pháp lý của\r\n họ, và được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính\r\n sách an toàn thông tin của tổ chức\r\n trong quá trình làm việc, và giảm thiểu\r\n các rủi ro do con người gây ra. \r\nCần được xác định các trách nhiệm Cần trang bị cho toàn thể nhân viên,\r\n người của nhà thầu và bên thứ ba một mức độ hiểu biết, giáo dục, | \r\n
7.2.1. Trách nhiệm của ban quản lý
\r\n\r\nBiện pháp quản lý
\r\n\r\nBan quản lý cần yêu cầu các nhân viên,\r\nngười của nhà thầu và bên thứ ba chấp hành an toàn thông tin phù hợp với các\r\nchính sách và các thủ tục an toàn thông tin đã được thiết lập của tổ chức.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nBan quản lý cần có trách nhiệm đảm bảo\r\nrằng các nhân viên, người của nhà thầu và bên thứ ba:
\r\n\r\na) được chỉ dẫn tường tận về các trách\r\nnhiệm và vai trò của họ đối với an toàn thông tin trước khi được chấp nhận truy\r\ncập thông tin hoặc các hệ thống thông tin nhạy cảm;
\r\n\r\nb) được cung cấp các hướng dẫn phù hợp\r\nvai trò về an toàn thông tin của họ trong tổ chức;
\r\n\r\nc) được đốc thúc thực hiện các chính\r\nsách an toàn của tổ chức;
\r\n\r\nd) đạt được một mức độ hiểu biết về an\r\ntoàn thông tin tương xứng với các vai trò và trách nhiệm của họ trong tổ chức\r\n(xem thêm 7.2.2);
\r\n\r\ne) tuân theo các điều khoản và điều kiện\r\ntuyển dụng, bao gồm chính sách an toàn thông tin của tổ chức và các phương pháp\r\nlàm việc phù hợp;
\r\n\r\nf) tiếp tục đạt được các kỹ năng và chứng\r\nchỉ phù hợp.
\r\n\r\nThông tin
Nếu các nhân viên, người của nhà thầu\r\nvà bên thứ ba không nhận thức được các trách nhiệm an toàn thông tin
Quản lý kém cũng có thể làm cho nhân\r\nviên coi thường và dẫn đến kết quả là làm ảnh hưởng xấu đến
7.2.2. Nhận thức, giáo dục và đào tạo về\r\nan toàn thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nTất cả các nhân viên trong tổ chức và,\r\nnếu liên quan, cả người của nhà thầu và bên thứ ba cần phải được đào tạo nhận\r\nthức và cập nhật thường xuyên những chính sách, thủ tục an toàn thông tin của tổ\r\nchức như một phần công việc bắt buộc.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc đào đạo kiến thức cần mở đầu bằng\r\nviệc giới thiệu chính thức về các chính\r\nsách an toàn và những mong muốn của tổ chức trước khi truy cập đến thông tin hoặc\r\ndịch vụ đã được cấp phép truy cập
\r\n\r\nCác nội dung đào tạo tiếp theo cần bao\r\ngồm các yêu cầu về an toàn, các trách nhiệm pháp lý và các biện pháp quản lý\r\nnghiệp vụ, cũng như đào tạo sử dụng các\r\nphương tiện xử lý thông tin một cách đúng đắn, ví dụ thủ tục đăng nhập, sử dụng\r\ncác gói phần mềm và thông tin về xử lý kỷ\r\nluật (xem 7.2.3).
\r\n\r\nThông tin kh
Các hoạt động đào tạo, giáo dục và nhận\r\nthức về an toàn cần phù hợp và liên quan đến vai trò, các trách nhiệm và kỹ năng\r\ncủa cá nhân, và cần chứa các thông tin về\r\ncác mối đe dọa đã biết trước, người cần liên hệ khi cần sự hỗ trợ về an toàn\r\nthông tin và các kênh thích hợp cho việc báo cáo về các sự cố an toàn thông tin\r\n(xem thêm 12.1).
\r\n\r\nCần lập kế hoạch đào tạo nâng cao kiến\r\nthức cho nhân viên để họ có thể nhận ra được các vấn đề và sự cố an toàn thông\r\ntin, và đáp ứng được với những yêu cầu về vai trò công việc
7.2.3. Xử lý kỷ luật
\r\n\r\nBiện pháp quản lý
\r\n\r\nPhải có hình thức xử lý kỷ luật chính\r\nthức đối với các nhân viên vi phạm an toàn thông tin.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nKhông được bắt đầu quy
Quy trình kỷ luật chính thức cần đảm bảo\r\nxử lý công bằng và đúng đắn đối với các\r\nnhân viên bị nghi ngờ có hành vi vi phạm an toàn. Quy trình kỷ luật chính thức\r\ncần đưa ra đáp ứng từng bước trong đó quan tâm đến các yếu tố như bản chất và\r\ntính nghiêm trọng của vi phạm và
Thông tin khác
\r\n\r\nQuy trình kỷ luật cũng cần được sử dụng\r\nnhư một biện pháp ngăn chặn các nhân viên, người của\r\ncác nhà thầu và bên thứ ba vi phạm các thủ tục và chính sách an toàn của tổ chức,\r\nvà những vi phạm khác về an toàn của họ.
\r\n\r\n7.3. Chấm dứt hoặc thay đổi công việc
\r\n\r\n| \r\n Mục tiêu: Nhằm đảm bảo rằng các nhân\r\n viên của tổ chức, người của nhà thầu Các trách nhiệm cần được thực hiện nhằm\r\n đảm bảo rằng việc nghỉ việc của các nhân viên, người của nhà thầu và thuộc bên thứ ba đều được Việc thay đổi các trách nhiệm và\r\n nhân viên trong tổ chức cần được quản lý\r\n khi chấm dứt trách nhiệm hoặc việc sử dụng\r\n lao động tương ứng, và việc sử dụng lao động mới cũng cần được quản lý như mô\r\n tả trong 7.1. \r\n | \r\n
7.3.1. Trách nhiệm khi
Biện pháp quản lý
\r\n\r\nCác trách nhiệm trong việc
Hướng dẫn triển khai
\r\n\r\nCác trách nhiệm về chấm dứt sử dụng\r\nlao động cần bao gồm các yêu cầu tiếp theo về an toàn, các trách nhiệm pháp lý\r\nvà, nếu thích hợp, cả các trách nhiệm đã được ghi trong thỏa thuận bảo mật bất\r\nkỳ (xem 5.1.5), và các điều khoản và điều kiện về tuyển dụng (xem 7.1.3) được duy\r\ntrì trong một thời gian xác định sau khi chấm dứt sử dụng lao động của nhân\r\nviên, người của nhà thầu và bên thứ ba.
\r\n\r\nCác trách nhiệm và nhiệm vụ vẫn được\r\nduy trì sau khi chấm dứt sử dụng lao động cần được ghi vào các bản hợp đồng của\r\ncác nhân viên, người của nhà thầu và bên thứ ba.
\r\n\r\nNhững thay đổi về trách nhiệm hoặc việc\r\nsử dụng lao động cần được quản lý khi chấm dứt trách nhiệm hoặc việc sử dụng\r\nlao động tương ứng, và trách nhiệm hoặc việc sử\r\ndụng lao động mới cũng cần được quản lý như mô tả trong 7.1.
\r\n\r\nThông tin khác
\r\n\r\nPhòng Tổ chức nhân sự phải chịu trách\r\nnhiệm chung đối với các công việc và toàn bộ quy trình chấm dứt cùng với ng
Cũng cần thông báo cho các nhân viên,\r\nngười của nhà thầu và bên thứ ba về những thay đổi và việc sắp xếp công việc mới.
\r\n\r\n7.3.2. Bàn giao tài sản
\r\n\r\nBiện pháp quản lý
\r\n\r\nTất cả các nhân viên, người của nhà thầu\r\nvà bên thứ ba cần hoàn trả tất cả các tài sản của tổ chức mà họ quản lý ngay\r\nkhi kết thúc hợp đồng, thỏa thuận hoặc\r\nthuyên chuyển công tác.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nQuy trình\r\nchấm dứt cần được chính thức hóa bao gồm cả việc hoàn trả tất các phần mềm, các\r\nvăn bản và thiết bị mà trước kia tổ chức\r\nđã giao cho. Các tài sản khác thuộc tổ chức như các thiết bị tính toán di động,\r\ncác thẻ tín dụng, các thẻ truy cập, phần mềm, các sách hướng dẫn, và cả thông\r\ntin được lưu trên các phương tiện điện tử cũng cần được trả lại.
\r\n\r\nTrong các trường hợp mà một nhân viên,\r\nngười của nhà thầu hoặc bên thứ ba mua thiết bị của tổ chức hoặc sử dụng thiết\r\nbị cá nhân thuộc sở hữu
Trong các trường hợp mà một nhân viên,\r\nngười của nhà thầu hoặc bên thứ ba nắm giữ\r\ncác kiến thức quan trọng cho các hoạt động tiếp theo thì thông tin đó cần được\r\nlập thành văn bản và chuyển cho tổ chức.
\r\n\r\n7.3.3. Hủy bỏ quyền truy cập
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác quyền truy cập thông tin và các\r\nphương tiện xử lý thông tin của mọi nhân viên, người của nhà thầu hoặc bên thứ\r\nba phải được hủy bỏ khi họ kết thúc hợp đồng, thỏa thuận, hoặc thuyên chuyển\r\ncông tác.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nKhi kết thúc hợp đồng, cần xem xét lại\r\ncác quyền truy cập của người đó tới các tài sản liên quan đến các dịch vụ và hệ\r\nthống thông tin. Khi đó sẽ xác định xem liệu có cần thiết phải hủy bỏ các quyền\r\ntruy cập không. Khi thay đổi lao động, cần hủy bỏ tất cả các quyền truy cập\r\nchưa được chấp thuận đối với nhân viên mới. Các quyền truy cập cần bị hủy bỏ hoặc\r\nđiều chỉnh bao gồm truy cập vật lý và\r\nlogic, chìa khóa, thẻ nhận dạng, các phương tiện xử lý thông tin (xem thêm\r\n10.2.4), các bản đăng ký, và loại bỏ khỏi tất cả các văn bản xác định họ là một\r\nthành viên hiện tại của tổ chức. Nếu một nhân viên, người của nhà thầu hoặc bên\r\nthứ ba rời khỏi tổ chức mà vẫn biết các mật khẩu của các tài khoản đang hoạt động\r\nthì cần thay đổi các mật khẩu ngay khi chấm dứt hoặc thay đổi lao động, hợp đồng\r\nhoặc thỏa thuận.
\r\n\r\nCần giảm bớt hoặc hủy bỏ quyền truy cập\r\ntới các tài sản thông tin và các phương\r\ntiện xử lý thông tin trước khi chấm dứt
a) việc kết thúc hợp đồng hoặc thay đổi\r\nđó là xuất phát từ nhân viên, người
b) các trách nhiệm hiện tại của nhân\r\nviên, người của nhà thầu hoặc những người dùng khác;
\r\n\r\nc) giá trị của các tài sản hiện tại có\r\nthể được truy cập.
\r\n\r\nThông tin
Trong điều kiện hiện nay, các quyền\r\ntruy cập có thể được phân bổ trên cơ sở\r\nphải sẵn sàng đối với nhiều người chứ không phải chỉ đối với nhân viên, người của\r\nnhà thầu hoặc bên thứ ba dời khỏi tổ chức, ví dụ dưới dạng các ID
Trong các trường hợp mà việc kết thúc\r\nhợp đồng xuất phát từ ban quản lý thì các nhân viên, người của nhà thầu hoặc\r\nbên thứ ba có thể bất bình và có thể sửa đổi thông tin một cách có
8. Đảm bảo an toàn vật\r\nlý và môi trường
\r\n\r\n8.1. Các khu vực an toàn
\r\n\r\n| \r\n Mục tiêu: Nhằm ngăn chặn sự truy cập\r\n vật lý, làm hư hại và cản trở thông tin và tài sản của tổ chức. \r\nCác phương tiện xử lý thông tin nhạy\r\n cảm hoặc quan trọng cần được đặt trong phòng nằm trong các khu vực an toàn, được\r\n bảo vệ bởi các vành đai an ninh, bằng các rào chắn an toàn và các biện pháp\r\n quản lý ra vào phù hợp. Chúng cần được bảo vệ về mặt vật lý trước sự truy cập,\r\n hủy hoại và can thiệp trái phép. \r\nHình thức bảo vệ cần tương xứng với\r\n các rủi ro đã được xác định. \r\n | \r\n
8.1.1. Vành đai an toàn vật\r\nlý
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác vành đai an toàn (các rào chắn như\r\ntường, cổng ra/vào có kiểm soát bằng thẻ hoặc bàn đ
Hướng dẫn triển khai
\r\n\r\nCần quan tâm và triển khai các hướng dẫn\r\nsau đối với vành đai an toàn vật lý:
\r\n\r\na) các vành đai an toàn cần được xác định\r\nrõ ràng, vị trí và chiều dài của mỗi vành\r\nđai cần tùy thuộc vào các yêu cầu an toàn của\r\ncác tài sản nằm ở khu vực bên trong vành đai và các kết quả có được từ đánh giá rủi ro;
\r\n\r\nb) các vành đai an toàn của các tòa\r\nnhà hoặc các khu vực chứa các phương tiện xử lý thông tin cần vững chắc (tức là\r\nkhông được có lỗ hổng ở vành đai và các khu vực dễ xảy ra đột nhập); các bức tường\r\nbảo vệ bên ngoài địa điểm đó cần có cấu trúc vững chãi và tất cả các cửa ra vào\r\nbên ngoài cần được bảo vệ bằng các cơ chế điều khiển, ví dụ thanh chắn, chuông\r\nbáo, khóa...; cửa ra vào và cửa sổ cần được\r\nkhóa khi không có người bên trong và cần quan tâm bảo vệ bên ngoài các cửa
c) có
d) nếu phù hợp thì cần sử dụng các rào\r\nchắn vật lý nhằm ngăn chặn xâm nhập trái phép và làm ô nhiễm môi trường;
\r\n\r\ne) tất cả các cửa chống cháy trên vành\r\nđai an toàn cần được đặt còi báo động, được giám sát và kiểm tra
f) các hệ thống phát hiện xâm nhập cần\r\nđược cài đặt theo các tiêu chuẩn quốc gia, khu vực hoặc quốc tế và thường xuyên\r\nđược kiểm tra để bao quát tất cả các cửa bên ngoài và các cửa
g) các phương tiện xử lý thông tin do\r\ntổ chức quản lý cần được đặt cách biệt khỏi các thiết bị được quản lý bởi bên\r\nthứ ba.
\r\n\r\nThông tin khác
\r\n\r\nCó thể đặt được sự bảo vệ vật lý nếu thiết\r\nlập một hoặc nhiều rào chắn xung quanh trụ sở và các phương tiện xử lý thông\r\ntin của tổ chức. Việc sử dụng nhiều rào chắn sẽ làm tăng khả năng bảo vệ, vì\r\nnhư vậy, khi có sự cố ở một rào chắn sẽ chưa chắc sẽ lập tức
Một khu vực an toàn có thể là một văn\r\nphòng có khóa hoặc nhiều phòng được bao quanh bởi một rào chắn an toàn vật lý\r\nliền. Có thể dùng thêm nhiều rào chắn và vành đai an toàn giữa các khu vực có\r\ncác yêu cầu an toàn khác nhau nằm bên trong hàng rào an ninh để quản lý xâm nhập.
\r\n\r\nCần quan tâm đặc biệt đến sự an toàn\r\nxâm nhập với các tòa nhà có nhiều tổ chức làm việc.
\r\n\r\n8.1.2. Kiểm soát cổng truy cập vật lý
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác khu vực cần được bảo vệ bằng các\r\nbiện pháp kiểm soát truy cập thích hợp nhằm đảm bảo chỉ những người có quyền mới\r\nđược phép truy cập.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến các hướng dẫn sau:
\r\n\r\na) ngày tháng và thời gian vào ra của\r\nkhách cần được ghi lại, và cần giám sát tất cả khách ra vào trừ khi trước đây họ\r\nđã được phép ra/vào; họ cần được chỉ dẫn các yêu cầu an ninh ở khu vực và các\r\nthủ tục khẩn cấp;
\r\n\r\nb) truy cập đến các khu vực xử lý và\r\nlưu trữ thông tin nhạy cảm phải được quản lý và chỉ giới hạn ở những người được\r\nphép; các biện pháp xác thực, như thẻ kiểm soát truy cập và PIN, cần được sử dụng\r\nnhằm xác thực và kiểm tra tất cả các truy cập; truy vết của tất cả các truy cập\r\ncần được duy trì một cách an toàn;
\r\n\r\nc) tất cả các nhân viên, ng
d) tổ chức thứ ba cung cấp nhân viên\r\nphục vụ cũng cần đảm bảo bị hạn chế truy cập đến các khu vực hoặc các phương tiện\r\nxử lý thông tin nhạy cảm khi có yêu cầu; truy cập này cần được cấp phép và giám\r\nsát;
\r\n\r\ne) các quyền truy cập nhằm đảm bảo an\r\ntoàn cho các khu vực cần được soát xét, cập nhật thường xuyên, và bị thu hồi\r\nkhi cần thiết (xem 7.3.3).
\r\n\r\n8.1.3. Bảo vệ các văn phòng, phòng làm\r\nviệc và vật dụng
\r\n\r\nBiện pháp quản lý
\r\n\r\nBiện pháp bảo vệ an toàn vật lý cho\r\ncác văn phòng, phòng làm việc và vật dụng cần được thiết kế và áp dụng
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNhằm đảm bảo an toàn cho các văn\r\nphòng, phòng làm việc và vật dụng, cần quan tâm đến các hướng dẫn sau:
\r\n\r\na) cần quan tâm đến các quy định và\r\ntiêu chuẩn về an toàn và sức khỏe có liên quan;
\r\n\r\nb) các thiết bị quan trọng cần được đặt\r\ntại những vị trí tránh được sự truy cập công cộng;
\r\n\r\nc) nếu khả thi thì các tòa nhà cần được\r\nbài trí kín đáo và chỉ bộc lộ tối thiểu mục đích của chúng, cả phía ngoài
d) các tài liệu hướng dẫn và các quyển\r\ndanh bạ điện thoại nội bộ thể hiện vị trí của các phương tiện xử lý thông tin\r\nkhông được để ở các vị trí mà nhiều người dễ dàng lấy được.
\r\n\r\n8.1.4. Bảo vệ chống lại các mối đe dọa từ bên ngoài và từ môi trường
\r\n\r\nBiện pháp quản lý
\r\n\r\nBiện pháp bảo vệ vật lý chống lại những\r\nnguy cơ do cháy nổ, ngập lụt, động đất, tình trạng náo loạn và các thảm họa\r\nkhác do thiên nhiên và con người gây ra cần được thiết kế và áp dụng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến những mối đe dọa do\r\nmôi trường xung quanh, ví dụ như đám cháy ở một tòa nhà bên cạnh, nước rò rỉ từ\r\nmái hoặc từ sàn nhà xuống tầng hầm hoặc một vụ nổ trên đường phố.
\r\n\r\nCần quan tâm đến những hướng dẫn sau\r\nnhằm phòng tránh thiệt hại do cháy, nổ, lũ lụt, động đất, náo loạn và các thảm\r\nhọa do con người và thiên nhiên khác:
\r\n\r\na) các vật liệu nguy hiểm hoặc dễ cháy\r\ncần được cất giữ ở khoảng cách an toàn với khu vực an toàn;
\r\n\r\nb) thiết bị dự trữ và phương tiện dự\r\nphòng cần được đặt ở khoảng cách an toàn nhằm tránh thiệt hại từ thảm họa ở địa\r\nđiểm chính;
\r\n\r\nc) cần trang bị thiết bị dập lửa phù hợp\r\nvà đặt chúng ở các vị trí thích hợp.
\r\n\r\n8.1.5. Làm việc trong các\r\nkhu vực an toàn
\r\n\r\nBiện pháp quản lý
\r\n\r\nBiện pháp bảo vệ vật lý và các hướng dẫn\r\nlàm việc trong các khu vực an toàn cần được thiết kế và áp dụng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến những hướng dẫn sau:
\r\n\r\na) nhân viên làm việc chỉ được biết đến\r\ncác khu vực an toàn và các hoạt động ở trong khu vực này ở mức độ cần phải biết;
\r\n\r\nb) vì các lý do an toàn và nhằm phòng\r\ntránh cơ hội cho các hoạt động có tính gây hại thì cần tránh làm việc mà không\r\ncó giám sát trong các khu vực an toàn;
\r\n\r\nc) các khu vực an toàn còn bỏ trống cần\r\nđược khóa cẩn thận và định kỳ kiểm tra;
\r\n\r\nd) chụp ảnh, ghi hình, ghi âm hoặc các\r\nthiết bị ghi khác, như máy quay phim trong các thiết bị di động đều bi cấm, trừ\r\nkhi được phép sử dụng.
\r\n\r\nCác biện pháp quản lý làm việc trong các khu vực an toàn phải bao gồm các biện\r\npháp đối với nhân viên, người của nhà thầu hoặc bên thứ ba làm việc trong các\r\nkhu vực an toàn, cũng như các hoạt động khác của tổ chức thứ ba thực hiện trong\r\nkhu vực đó.
\r\n\r\n8.1.6. Các khu vực truy cập tự do, phân\r\nphối và tập kết hàng
\r\n\r\nBiện pháp
\r\n\r\nCác điểm truy cập mà người truy cập\r\nkhông cần cấp phép như khu vực chung, phân phối và tập kết hàng... phải được quản\r\nlý và, nếu có thể, được cách ly khỏi các phương tiện xử lý thông tin để tránh tình\r\ntrạng truy cập trái phép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến những hướng dẫn sau :
\r\n\r\na) cần giới hạn chỉ cho những người đã\r\nxác định và đã được cho phép truy cập từ bên ngoài tòa nhà đến các khu vực phân\r\nphối và tập kết hàng;
\r\n\r\nb) khu vực phân phối và tập kết hàng cần\r\nđược thiết kế sao cho các nguồn hàng có thể được dỡ xuống mà nhân viên phân phối\r\nkhông phải tiếp cận đến các khu vực khác\r\ncủa tòa nhà;
\r\n\r\nc) cần đảm bảo an toàn cho các cửa ra\r\nvào bên ngoài của khu vực phân phối và tập\r\nkết hàng khi các cửa bên trong đang mở;
\r\n\r\nd) vật liệu mang vào cần được kiểm tra\r\ncác mối đe dọa tiềm ẩn (xem 8.2.1d) trước khi vật liệu này được chuyển từ khu vực\r\nphân phối và tập kết hàng đến điểm sử dụng;
\r\n\r\ne) vật liệu mang vào cần được đăng ký\r\ntheo các thủ tục quản lý tài sản (xem\r\n6.1.1) ở lối vào khu vực đó;
\r\n\r\nf) nếu có thể thì hàng vào và hàng ra\r\ncần được đặt cách xa nhau.
\r\n\r\n8.2. Đảm bảo an toàn trang
| \r\n Mục tiêu: Nhằm ngăn ngừa m Trang thiết bị cần được bảo vệ trước\r\n các mối đe dọa vật lý và môi trường. \r\nBảo vệ trang thiết bị (bao gồm cả\r\n các thiết bị được sử dụng bên ngoài trụ sở\r\n tổ chức, và việc di dời tài sản) là cần thiết nhằm giảm bớt các rủi ro do\r\n truy cập thông tin trái phép và bảo vệ trước những mất mát hoặc hư hại. Cũng\r\n cần lưu ý đến việc chọn vị trí đặt và loại bỏ thiết bị. Các biện pháp | \r\n
8.2.1. Bố trí và bảo vệ thiết bị
\r\n\r\nBiện pháp quản lý
\r\n\r\nThiết bị phải được bố trí tại các địa\r\nđiểm an toàn hoặc được bảo vệ nhằm giảm thiểu các rủi ro do các mối đe dọa, hiểm\r\nhọa từ môi trường hay các truy cập trái phép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nĐể bảo vệ thiết bị, cần quan tâm tới\r\nnhững hướng dẫn sau đây :
\r\n\r\na) cần lựa chọn vị trí đặt thiết bị nhằm\r\ngiảm thiểu truy cập không cần thiết vào các khu vực làm việc;
\r\n\r\nb) các phương tiện xử lý thông tin thực\r\nhiện công việc xử lý dữ liệu nhạy cảm cũng cần được bố trí vị trí đặt và được đặt\r\nở góc quan sát hạn chế nhằm giảm rủi ro thông tin bị quan sát bởi các cá nhân\r\nkhông được phép, và các thiết bị lưu trữ được an toàn nhằm tránh truy cập trái\r\nphép;
\r\n\r\nc) các thiết bị yêu cầu bảo vệ đặc biệt\r\ncần được đặt riêng nhằm giảm mức độ yêu cầu bảo vệ chung;
\r\n\r\nd) cần thực hiện các biện pháp
e) cần đưa ra các hướng dẫn đối
f) các điều kiện môi trường, như nhiệt\r\nđộ và độ ẩm, cũng cần được giám sát, vì chúng có thể ảnh h
g) cần sử dụng các biện pháp
h) cần quan tâm đến việc sử dụng các\r\nbiện pháp bảo vệ đặc biệt, ví dụ màng bảo vệ bàn phím, đối với các thiết bị sử\r\ndụng trong các môi trường công nghiệp;
\r\n\r\ni) cần bảo vệ phương tiện xử lý thông\r\ntin nhạy cảm nhằm giảm thiểu rủi ro rò rỉ thông tin do sự phát xạ.
\r\n\r\n8.2.2. Các tiện ích hỗ trợ
\r\n\r\nBiện pháp quản lý
\r\n\r\nThiết bị phải được bảo vệ khỏi sự cố về\r\nnguồn điện cũng như các gián đoạn hoạt động có nguyên nhân từ các tiện ích hỗ\r\ntrợ.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nTất cả các tiện ích hỗ trợ, như nguồn\r\nđiện, nguồn nước, rác thải, hệ thống sưởi/thông gió, và điều hòa không khí cần\r\nphù hợp với các hệ thống mà chúng hỗ trợ. Các tiện ích hỗ trợ cần được xem xét\r\nvà kiểm tra thường xuyên nhằm đảm bảo chúng hoạt động tốt và làm giảm rủi ro do\r\nlỗi hoặc hoạt động sai chức năng, cần cung cấp nguồn cấp điện phù hợp theo các\r\nchỉ tiêu kỹ thuật của nhà sản xuất thiết\r\nbị.
\r\n\r\nKhuyến nghị sử dụng nguồn cấp điện liên tục (UPS) để cấp điện liên tục cho\r\ncác thiết bị hỗ trợ các hoạt động nghiệp vụ có tính cấp bách. Các kế hoạch xử\r\nlý những sự cố bất ngờ về nguồn điện cũng cần tính đến sự cố về UPS. Cần quan\r\ntâm đến việc sử dụng bộ phát điện dự phòng nếu quá trình xử lý đòi hỏi phải\r\nliên tục trong trường hợp có sự cố nguồn điện kéo dài. Nguồn cung cấp nhiên liệu\r\nphù hợp cũng cần sẵn sàng nhằm đảm bảo rằng bộ phát điện có thể làm việc trong\r\nthời gian dài. Thiết bị UPS và các bộ phát điện cần được kiểm tra thường xuyên\r\nnhằm đảm bảo rằng chúng có đầy đủ tính năng và được kiểm tra tuân thủ các khuyến\r\nnghị của nhà sản xuất. Thêm vào đó, cũng cần\r\nquan tâm đến việc sử dụng nhiều nguồn điện hoặc, nếu vị trí đủ lớn, thì cần
Các công tắc điện khẩn cấp cần được đặt\r\nở vị trí gần các lối thoát hiểm trong các\r\nphòng thiết bị nhằm hỗ trợ tắt nguồn nhanh chóng trong trường hợp khẩn cấp. Đèn\r\nkhẩn cấp cần được sử dụng trong trường hợp hỏng nguồn điện chính.
\r\n\r\nNguồn cung cấp nước cần ổn định và phù\r\nhợp nhằm hỗ trợ các hệ thống thiết bị điều hòa không khí, thiết bị làm ẩm và thiết\r\nbị dập lửa (nếu được sử dụng). Các sự cố về nguồn nước có thể làm hư hại thiết\r\nbị hoặc khiến cho thiết bị dập lửa làm việc không hiệu quả. Nếu có yêu cầu thì\r\ncần tính đến việc sử dụng hệ thống cảnh báo phát hiện các sự cố đối với các tiện\r\ních hỗ trợ.
\r\n\r\nThiết bị viễn thông cần được kết nối đến\r\nnhà cung cấp tiện ích qua ít nhất hai tuyến khác nhau nhằm tránh việc sự cố trên\r\nmột luồng kết nối làm đứt các dịch vụ thoại. Các dịch vụ thoại cũng cần phù hợp\r\nnhằm đáp ứng được các yêu cầu pháp lý nội bộ đối với truyền thông khẩn cấp.
\r\n\r\nThông tin khác
\r\n\r\nCần có nhiều nguồn cung cấp điện để đạt\r\nđược sự liên tục về cấp điện nhằm tránh sự cố về nguồn điện.
\r\n\r\n8.2.3. An toàn cho dây cáp
\r\n\r\nBiện pháp quản lý
\r\n\r\nDây dẫn nguồn điện và cáp truyền thông\r\nmang dữ liệu hoặc các hỗ trợ các dịch vụ thông tin cần được bảo vệ khỏi sự xâm\r\nphạm hoặc làm hư hại.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến các hướng dẫn sau:
\r\n\r\na) các đường dây điện và đường cáp viễn\r\nthông dẫn tới các phương tiện xử lý thông tin nếu có thể cần được đặt ngầm, hoặc\r\nđược bảo vệ theo phương thức phù hợp;
\r\n\r\nb) hệ thống cáp mạng cũng cần được bảo\r\nvệ khỏi việc nghe trộm hoặc hư hại, ví dụ sử dụng ống bọc bảo vệ hoặc tránh các\r\ntuyến đi qua các khu vực công cộng;
\r\n\r\nc) cần tách riêng đường cáp điện và đường\r\ncáp viễn thông nhằm ngăn chặn nhiễu;
\r\n\r\nd) cần sử\r\ndụng cách đánh dấu để nhận biết cho cáp và thiết bị nhằm giảm thiểu các lỗi\r\nkhi sửa chữa, ví dụ như vô tình đấu sai đường cáp mạng;
\r\n\r\ne) cần sử\r\ndụng tài liệu sơ đồ đấu nối nhằm làm giảm khả năng xảy ra lỗi;
\r\n\r\nf) đối với các hệ thống nhạy cảm hoặc\r\nquan trọng, cần quan tâm đến các biện pháp khác như:
\r\n\r\n1) lắp đặt ống dẫn bọc sắt và sử dụng\r\ncác phòng hoặc hộp có khóa tại các điểm kết cuối và điểm
2) sử dụng các tuyến cáp và/hoặc môi\r\ntrường truyền dẫn khác nhau nhằm đảm bảo độ an toàn;
\r\n\r\n3) sử dụng cáp quang;
\r\n\r\n4) sử dụng tấm chắn điện tử để bảo vệ\r\ncáp;
\r\n\r\n5) kiểm tra kỹ thuật và rà soát vật lý\r\nđối với các thiết bị trái phép được gắn vào đường cáp;
\r\n\r\n6) truy cập được
8.2.4. Bảo dưỡng thiết bị
\r\n\r\nBiện pháp quản lý
\r\n\r\nThiết bị cần được bảo dưỡng đúng quy\r\ncách nhằm đảm bảo luôn sẵn sàng và toàn vẹn.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm tới các hướng dẫn sau\r\ntrong việc bảo dưỡng thiết bị:
\r\n\r\na) thiết bị cần được bảo dưỡng tuân\r\ntheo các chu kỳ bảo dưỡng và các chỉ tiêu kỹ thuật dịch vụ được nhà cung cấp\r\nkhuyến nghị;
\r\n\r\nb) chỉ người bảo dưỡng được cấp phép mới\r\nđược thực hiện các công việc sửa chữa và bảo dưỡng thiết bị;
\r\n\r\nc) cần giữ lại các báo cáo về các lỗi\r\nthực sự hoặc lỗi khả nghi, và toàn bộ quá trình\r\nbảo dưỡng phòng ngừa và bảo dưỡng khắc phục;
\r\n\r\nd) cần triển khai các biện pháp
e) cần tuân thủ tất cả các yêu cầu
8.2.5. An toàn cho thiết bị hoạt động\r\nbên ngoài trụ sở của tổ chức
\r\n\r\nBiện pháp quản lý
\r\n\r\nPhải đảm bảo an toàn cho các thiết bị\r\nsử dụng bên ngoài, chú ý các rủi ro khác khau khi thiết bị làm việc bên ngoài\r\ntrụ sở của tổ chức.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCho dù người sở hữu là ai thì việc sử\r\ndụng phương tiện xử lý thông tin bên ngoài trụ sở của tổ chức cũng cần được cấp\r\nphép bởi ban quản lý.
\r\n\r\nCần quan tâm đến các hướng dẫn sau:
\r\n\r\na) thiết bị và phương tiện khi được\r\nmang ra ngoài trụ sở thì không được gây\r\nchú ý ở nơi công cộng; máy tính xách tay cần được cho vào túi xách
b) cần luôn thực thi các hướng dẫn về\r\nbảo vệ thiết bị của nhà sản xuất, ví dụ bảo vệ khi ở trong các môi trường điện\r\ntừ mạnh;
\r\n\r\nc) các biện pháp
d) cần sử dụng hình thức bọc bảo vệ\r\nphù hợp để bảo vệ thiết bị ở bên ngoài trụ\r\nsở
\r\n\r\nCác rủi ro về an toàn, ví dụ hư hại,\r\ntrộm cắp hoặc nghe trộm, có thể khác nhau tùy theo địa điểm và cần được quan\r\ntâm xem xét khi xác định các biện pháp quản lý phù hợp nhất.
\r\n\r\nThông tin khác
\r\n\r\nThiết bị lưu trữ và xử lý thông tin\r\nbao gồm tất cả các dạng máy tính cá nhân, các loại điện thoại di động, thẻ\r\nthông minh, giấy tờ hoặc các hình thức khác được sử dụng khi làm việc tại nhà\r\nhoặc được mang ra ngoài vị trí làm việc thông thường.
\r\n\r\n8.2.6. An toàn khi loại bỏ hoặc tái sử\r\ndụng thiết bị
\r\n\r\nBiện pháp quản lý
\r\n\r\nTất cả các bộ phận của thiết bị có chứa\r\ncác phương tiện lưu trữ thông tin phải được kiểm tra nhằm đảm bảo rằng tất cả dữ\r\nliệu nhạy cảm và phần mềm có bản quyền phải\r\nđược xóa bỏ hoặc ghi đè trước khi loại bỏ hoặc tái sử dụng thiết bị cho mục đích\r\nkhác.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác thiết bị chứa thông tin nhạy cảm cần\r\nbị loại bỏ về mặt vật lý hoặc thông tin trong đó cần bị loại bỏ, bị xóa bỏ hoặc\r\nbị ghi đè bằng các kỹ thuật làm cho thông tin ban đầu không thể khôi phục được\r\nnữa, chứ không dùng chức năng xóa hoặc định dạng thông thường.
\r\n\r\nThông tin
Các thiết bị hư hỏng nhưng lại chứa dữ\r\nliệu nhạy cảm có thể cần phải được đánh giá rủi ro nhằm xác định xem liệu các thiết\r\nbị đó có cần bị loại bỏ về mặt vật lý không hay cần được sửa chữa.
\r\n\r\nThông tin có thể bị tổn hại khi loại bỏ\r\nhoặc tái sử dụng thiết bị không cẩn thận (xem thêm 9.7.2).
\r\n\r\n8.2.7. Di dời tài sản
\r\n\r\nBiện pháp quản lý
\r\n\r\nKhông được mang thiết bị, thông tin hoặc\r\nphần mềm ra khỏi trụ sở nếu chưa được\r\nphép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến những hướng dẫn sau:
\r\n\r\na) không được mang thiết bị, thông tin\r\nhoặc phần mềm ra khỏi trụ sở khi chưa được phép;
\r\n\r\nb) cần xác định rõ các nhân viên, người\r\ncủa nhà thầu và bên thứ ba được cho phép mang tài sản ra khỏi trụ
c) cần xác định giới hạn thời gian được\r\nmang thiết bị ra ngoài và phải kiểm tra tuân thủ;
\r\n\r\nd) khi cần thiết và nếu thích hợp thì\r\ncần ghi vào sổ sách mỗi khi thiết bị được\r\nmang ra ngoài và khi được trả lại.
\r\n\r\nThông tin khác
\r\n\r\nCó thể thực hiện các cuộc kiểm tra đột\r\nxuất nhằm phát hiện các thiết bị ghi trái phép, vũ khí... và ngăn chặn việc đưa\r\nchúng vào trụ sở làm việc. Các cuộc kiểm tra đột xuất như vậy cần được thực hiện\r\ntuân thủ các quy định và luật pháp liên quan. Cần thông báo về các cuộc kiểm\r\ntra này và chỉ được thực hiện chúng theo các yêu cầu pháp lý và quy định.
\r\n\r\n9. Quản lý truyền\r\nthông và vận hành
\r\n\r\n9.1. Các trách nhiệm và thủ tục vận\r\nhành
\r\n\r\n| \r\n Mục tiêu: Nhằm đảm bảo sự vận hành\r\n các phương tiện xử lý thông tin đúng đắn\r\n và an toàn. \r\nCần thiết lập các trách nhiệm và thủ\r\n tục quản lý và vận hành cho tất cả các\r\n phương tiện xử lý thông tin. Bao gồm cả\r\n việc xây dựng các thủ tục vận hành phù hợp. \r\nNếu phù hợp thì cần triển khai phân\r\n định các nhiệm vụ nhằm giảm rủi ro do sử dụng cẩu thả hoặc lạm dụng hệ thống\r\n một cách có chủ ý. \r\n | \r\n
9.1.1. Các thủ tục vận hành được ghi\r\nthành văn bản
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thủ tục vận hành cần được ghi\r\nthành văn bản, duy trì, và luôn sẵn sàng đối với mọi người cần dùng đến.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần chuẩn bị các văn bản thủ tục cho\r\ncác hoạt động hệ thống có liên quan đến các thiết bị trao đổi và xử lý thông\r\ntin, ví dụ các thủ tục khởi động và tắt máy tính, sao lưu, bảo dưỡng thiết bị, điều\r\nkhiển thiết bị, quản lý phòng máy tính và\r\nxử lý thư từ, và vấn đề an toàn.
\r\n\r\nCác thủ tục vận hành cần đưa ra các hướng\r\ndẫn thực hiện chi tiết từng công việc gồm:
\r\n\r\na) xử lý và quản lý thông tin
\r\n\r\nb) sao lưu (xem 9.5.1);
\r\n\r\nc) các yêu cầu về thời gian biểu, bao\r\nhàm cả sự phụ thuộc với các hệ thống khác, các thời điểm bắt đầu công việc sớm\r\nnhất và các thời điểm kết thúc công việc muộn nhất;
\r\n\r\nd) các hướng dẫn xử lý các sự cố hoặc\r\ncác điều kiện ngoại lệ khác, những vấn đề này có thể xuất hiện trong khi thực\r\nhiện công việc, bao gồm cả các giới hạn sử dụng các tiện ích
e) hỗ trợ liên lạc trong các trường hợp\r\ncó trở ngại không mong muốn về vận hành hoặc kỹ thuật;
\r\n\r\nf) các hướng dẫn xử lý thiết bị và dữ\r\nliệu đầu ra đặc biệt, như sử dụng đồ dùng văn phòng đặc biệt hoặc
g) các thủ tục khởi động và khôi phục hệ\r\nthống trong trường hợp có lỗi hệ thống;
\r\n\r\nh) quản lý truy vết và thông tin nhật\r\nký của hệ thống (xem 9.10).
\r\n\r\nCác thủ tục khai thác và các văn bản\r\nthủ tục cho các hoạt động của hệ thống cần được coi như các văn bản chính thức\r\nvà được cấp phép thay đổi bởi ban quản lý. Nếu điều kiện kỹ thuật cho phép thì\r\ncác hệ thống thông tin cần được quản lý liên tục bằng các thủ tục, công cụ và\r\ncác tiện ích nhất quán.
\r\n\r\n9.1.2. Quản lý thay đổi
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thay đổi trong các phương tiện và\r\nhệ thống xử lý thông tin phải được kiểm\r\nsoát.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quản lý chặt chẽ các thay đổi đối\r\nvới phần mềm ứng dụng và các hệ thống vận hành.
\r\n\r\nCụ thể là, những vấn đề sau cần được\r\nquan tâm:
\r\n\r\na) Xác định và ghi lại những thay đổi\r\nquan trọng;
\r\n\r\nb) Lập kế hoạch và kiểm tra những thay\r\nđổi;
\r\n\r\nc) Đánh giá những
d) Thủ tục chấp nhận chính thức đối với\r\nnhững thay đổi đã được phát hiện;
\r\n\r\ne) Thông báo chi tiết về các thay đổi\r\ncho tất cả những người liên quan;
\r\n\r\nf) Các thủ tục phục hồi lại hệ thống\r\ntrước thay đổi, bao gồm các thủ tục và trách nhiệm đối với việc hủy bỏ và khôi\r\nphục dữ liệu từ những thay đổi không thành công và các sự kiện bất ngờ xảy ra.
\r\n\r\nCác thủ tục và trách nhiệm quản lý chính\r\nthức cần được đặt ra nhằm đảm bảo quản lý thỏa đáng tất cả những thay đổi đối
Thông tin khác
\r\n\r\nViệc quản lý những thay đổi của các\r\nphương tiện xử lý thông tin không thích hợp là nguyên nhân phổ biến
Chỉ được thực thi những thay đổi đối với\r\ncác hệ điều hành khi có lý do nghiệp vụ hợp lệ, chẳng hạn khi có sự gia tăng rủi\r\nro đối với hệ thống. Việc nâng cấp các hệ thống bằng các phiên bản hệ điều hành\r\nhoặc ứng dụng mới nhất thường không hay được quan tâm vì có thể gây ra những\r\nnguy hiểm và sự mất ổn định hơn so với phiên bản hiện tại. Việc nâng cấp các\r\nphiên bản phần mềm có thể cũng làm phát sinh thêm các yêu cầu về đào tạo, các\r\nchi phí cho việc đăng ký, chi phí cho hỗ trợ, duy trì và quản lý,
9.1.3. Phân tách nhiệm vụ
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác nhiệm vụ và phạm vi trách nhiệm phải\r\nđược phân tách nhằm giảm thiểu khả năng sửa đổi trái phép hoặc vô tình, hoặc lạm\r\ndụng tài sản của tổ chức.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nPhân tách nhiệm vụ là một phương pháp\r\nlàm giảm rủi ro do vô tình hoặc cố ý lạm dụng hệ thống. Cần theo dõi chặt chẽ\r\nnhằm đảm bảo không một cá nhân nào có thể truy cập, chỉnh sửa hoặc sử dụng tài\r\nsản khi chưa được phép hoặc không bị phát hiện. Việc khởi tạo một sự kiện cần\r\nđược tách ra khỏi quá trình cấp phép cho sự kiện đó. Khả năng cấu kết giữa các\r\ncá nhân cũng cần được quan tâm trong khi thiết kế các biện pháp
Các tổ chức có quy mô nhỏ có thể sẽ gặp\r\nkhó khăn trong việc phân tách nhiệm vụ, nhưng cần áp dụng nguyên tắc này đến mức\r\ncó thể và khả thi. Bất cứ khi nào gặp khó khăn trong việc phân tách nhiệm vụ thì\r\ncần quan tâm đến các biện pháp khác như giám sát các hoạt động, truy vết
9.1.4. Phân tách các chức năng phát\r\ntriển, kiểm thử và vận hành
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác chức năng phát triển, kiểm thử và\r\nvận hành cần được phân tách nhằm giảm thiểu các rủi ro do truy cập hoặc thay đổi\r\nhệ thống vận hành trái phép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần xác định mức độ phân tách giữa các\r\nmôi trường vận hành, kiểm thử và phát triển cần cho việc phòng chống các sự cố về\r\nvận hành và thực thi các biện pháp quản lý thích hợp.
\r\n\r\nCần quan tâm đến các vấn đề sau:
\r\n\r\na) các quy tắc chuyển đổi phần mềm từ\r\ntrạng thái phát triển sang khai thác cần được xác định và lập thành văn bản;
\r\n\r\nb) phần mềm phát triển và vận hành cần\r\nchạy trên các hệ thống hoặc các bộ xử lý máy tính khác nhau và nằm trong các\r\nthư mục hoặc miền khác nhau;
\r\n\r\nc) nếu không có yêu cầu thì từ các hệ\r\nthống vận hành không thể truy cập được vào các trình\r\nbiên dịch, trình biên soạn và các tiện ích hệ thống;
\r\n\r\nd) môi trường hệ thống thử nghiệm cần\r\nmô phỏng môi trường khai thác gần nhất đến mức có thể;
\r\n\r\ne) người dùng cần
f) Không được sao chép dữ liệu nhạy cảm\r\nvào môi trường hệ thống thử nghiệm (xem 11.4.2)
\r\n\r\nThông tin khác
\r\n\r\nCác hoạt động phát triển và thử nghiệm\r\ncó thể gây ra các vấn đề nghiêm trọng, ví dụ làm sửa đổi không mong muốn các tệp\r\nhoặc môi trường hệ thống, hoặc gây ra sự cố hệ thống. Trong trường hợp này, cần\r\nduy trì một môi trường ổn định để có thể thực hiện thử nghiệm theo mục đích và\r\nngăn chặn truy cập không phù hợp.
\r\n\r\nKhi nhân viên phát triển và nhân viên thử\r\nnghiệm truy cập vào hệ thống vận hành và các thông tin của nó thì họ có khả\r\nnăng đưa vào mã trái phép và chưa được kiểm tra hoặc làm thay đổi dữ liệu hoạt\r\nđộng. Ở một số hệ thống, khả năng này có\r\nthể bị lợi dụng nhằm gian lận, hoặc đưa vào mã chưa được kiểm tra hoặc độc hại,\r\nvà gây ra các sự cố nghiêm trọng.
\r\n\r\nCác nhân viên phát triển và thử nghiệm\r\ncũng có thể đe dọa tới tính bí mật của thông tin vận hành. Các hoạt động thử\r\nnghiệm và phát triển có thể gây ra những thay đổi không định trước đối với phần\r\nmềm hoặc thông tin nếu họ cùng chia sẻ môi trường hoạt động máy tính. Việc phân\r\ntách các thiết bị hỗ trợ phát triển, thử nghiệm và vận hành do vậy rất cần thiết\r\ntrong việc giảm rủi ro do vô tình thay đổi hoặc truy cập trái phép tới phần mềm\r\nkhai thác và dữ liệu nghiệp vụ (xem thêm 11.4.2 về vấn đề bảo vệ dữ liệu kiểm\r\ntra).
\r\n\r\n9.2. Quản lý
| \r\n Mục tiêu: Nhằm triển khai và duy trì\r\n mức độ an toàn thông tin và việc chuyển giao dịch vụ phù hợp với các thỏa thuận\r\n chuyển giao dịch vụ của bên thứ ba. \r\nTổ chức cần kiểm tra việc triển khai\r\n các thỏa thuận, giám sát sự tuân thủ theo các thỏa thuận và quản lý những\r\n thay đổi nhằm đảm bảo rằng các dịch vụ được chuyển giao đáp ứng tất cả các\r\n yêu cầu đã thỏa thuận với bên thứ ba. \r\n | \r\n
9.2.1. Chuyển giao dịch vụ
\r\n\r\nBiện pháp quản lý
\r\n\r\nCần đảm bảo rằng các biện pháp kiểm\r\nsoát an toàn, các định nghĩa dịch vụ và mức độ chuyển giao dịch vụ đã được ghi\r\ntrong thỏa thuận chuyển giao dịch vụ với bên thứ ba đều được bên thứ ba triển\r\nkhai, vận hành và duy trì.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc chuyển giao dịch vụ do bên thứ ba\r\nthực hiện cần bao gồm các chuẩn bị về an toàn đã được thỏa thuận, các định\r\nnghĩa dịch vụ, và các vấn đề về quản lý dịch vụ. Trong trường hợp
Tổ chức cũng cần đảm bảo rằng bên thứ\r\nba duy trì đủ năng lực dịch vụ cùng với các kế hoạch khả thi đã được thiết kế nhằm\r\nđảm bảo rằng các mức duy trì dịch vụ đã thỏa thuận phải được duy trì kể cả\r\ntrong trường hợp có thảm họa hoặc sự cố dịch vụ nghiêm trọng (xem 13.1).
\r\n\r\n9.2.2. Giám sát và soát xét các dịch vụ\r\ncủa bên thứ ba
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác dịch vụ, báo cáo
Hướng dẫn triển khai
\r\n\r\nViệc giám sát và soát xét các dịch vụ
a) giám sát các mức chất lượng dịch vụ\r\nđể kiểm tra sự tuân thủ các thỏa thuận;
\r\n\r\nb) soát xét các báo cáo dịch vụ từ bên\r\nthứ ba và sắp xếp các cuộc họp xúc tiến định kỳ theo yêu cầu của các thỏa thuận;
\r\n\r\nc) cung cấp thông tin về các sự cố an\r\ntoàn thông tin và soát xét thông tin này bởi tổ chức và bên thứ ba như yêu cầu\r\ntrong các thỏa thuận và các hướng dẫn và thủ tục hỗ trợ bất kỳ;
\r\n\r\nd) soát xét các truy vết của bên thứ\r\nba và các bản ghi về các sự kiện an toàn, các sự cố vận hành, các lỗi, truy vết\r\ncác lỗi và các sự cố đứt dịch vụ;
\r\n\r\ne) giải quyết và quản lý các vấn đề bất\r\nkỳ đã được xác định.
\r\n\r\nTrách nhiệm trong việc quản lý mối\r\nquan hệ với bên thứ ba cần được giao cho một cá nhân nào đó hoặc cho
Tổ chức cũng cần duy trì biện pháp
Thông tin khác
\r\n\r\nTrong trường hợp sử dụng nhà thầu thì\r\ntổ chức cũng cần lưu ý rằng trách nhiệm sau cùng đối với thông tin được xử lý bởi\r\nnhà thầu sẽ vẫn thuộc tổ chức.
\r\n\r\n9.2.3. Quản lý thay đổi đối với các dịch\r\nvụ của bên thứ ba
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thay đổi về cung cấp dịch vụ, bao\r\ngồm việc duy trì và cải tiến các chính sách, thủ tục và biện pháp quản lý an\r\ntoàn thông tin hiện hành cần phải được quản lý, chú ý đến tính quan trọng của\r\ncác hệ thống và quy trình nghiệp vụ liên\r\nquan cũng như việc đánh giá lại các rủi ro.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nQuy trình\r\nquản lý các thay đổi về dịch vụ
a) các thay đổi từ tổ chức nhằm triển\r\nkhai;
\r\n\r\n1) các cải tiến đối với các dịch vụ hiện\r\ntại đang được cung cấp;
\r\n\r\n2) phát triển các ứng dụng và các hệ\r\nthống mới;
\r\n\r\n3) chỉnh sửa hoặc cập nhật các chính\r\nsách và thủ tục của tổ chức;
\r\n\r\n4) các biện pháp
b) các thay đổi về dịch vụ của bên thứ\r\nba nhằm triển khai:
\r\n\r\n1) các thay đổi và cải tiến về mạng;
\r\n\r\n2) sử dụng các công nghệ mới;
\r\n\r\n3) sử dụng các sản phẩm mới hoặc các\r\nphiên bản mới hơn;
\r\n\r\n4) các công cụ và các môi trường phát\r\ntriển mới;
\r\n\r\n5) các thay đổi về vị trí vật lý của\r\ncác thiết bị nghiệp vụ;
\r\n\r\n6) các thay đổi về nhà cung cấp.
\r\n\r\n9.3. Lập kế hoạch và chấp nhận hệ thống
\r\n\r\n| \r\n Mục tiêu: Giảm thiểu rủi ro do lỗi hệ\r\n thống \r\nCần lên kế hoạch và chuẩn bị trước\r\n nhằm đảm bảo đủ năng lực và các nguồn tài nguyên sẵn sàng để có hiệu suất hệ\r\n thống theo yêu cầu. \r\nCũng cần đặt kế hoạch cho các yêu cầu\r\n năng lực trong tương lai nhằm giảm rủi ro do quá tải hệ thống. \r\nCác yêu cầu về khai thác của các hệ\r\n thống mới cần được thiết lập, lập thành văn bản, và kiểm tra trước khi chấp\r\n nhận và sử dụng chúng. \r\n | \r\n
9.3.1. Quản lý
Biện pháp quản lý
\r\n\r\nViệc sử dụng tài nguyên phải được giám\r\nsát, điều chỉnh và có dự đoán các yêu cầu về năng lực hệ thống trong tương lai\r\nnhằm đảm bảo hiệu suất theo yêu cầu.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần xác định các yêu cầu về năng lực\r\ncho từng hoạt động mới và sắp tới. Cần giám sát và điều chỉnh hệ thống nhằm đảm\r\nbảo và, nếu cần thiết, nâng cao độ sẵn sàng và hiệu quả của các hệ thống, cần\r\nthực thi các biện pháp quản lý dò tìm nhằm\r\nchỉ ra các vấn đề đúng lúc. Các kế hoạch thực thi các yêu cầu năng lực trong\r\ntương lai cần quan tâm đến các yêu cầu hệ thống và nghiệp vụ mới và các xu hướng\r\nhiện tại và được dự đoán về các năng lực xử lý thông tin của tổ chức.
\r\n\r\nCần đặc biệt lưu ý đến các nguồn tài\r\nnguyên có chi phí cao; những người quản lý\r\ncần giám sát việc sử dụng các nguồn tài nguyên hệ thống quan trọng. Họ cần xác\r\nđịnh những xu hướng sử dụng, đặc biệt trong mối quan hệ với các ứng dụng nghiệp vụ hoặc các công cụ hệ thống thông tin quản\r\nlý.
\r\n\r\nNhững người quản lý cần
9.3.2. Chấp nhận hệ thống
\r\n\r\nBiện pháp quản lý
\r\n\r\nTiêu chí chấp nhận các hệ thống thông\r\ntin mới, các cải tiến và các phiên bản mới cần được thiết lập và cần thực hiện\r\ncác cuộc kiểm tra hệ thống một cách phù hợp trong suốt quá trình phát triển và\r\ntrước khi chấp nhận hệ thống.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNhững người quản lý cần đảm bảo rằng\r\ncác yêu cầu và tiêu chí chấp nhận các hệ thống mới phải được xác định rõ ràng,\r\nđược đồng thuận, được lập thành văn bản, và được kiểm tra. Các hệ thống mới, những\r\nnâng cấp, và các phiên bản mới chỉ được chuyển sang giai đoạn sản xuất sau khi\r\nđã được chính thức chấp nhận. Các điều khoản sau cần được quan tâm trước khi\r\nđưa ra chấp nhận chính thức:
\r\n\r\na) hiệu suất và các yêu cầu về năng lực\r\nmáy tính;
\r\n\r\nb) các thủ tục khởi động lại và khôi\r\nphục sau lỗi, và các kế hoạch đối phó với các sự kiện bất ngờ;
\r\n\r\nc) chuẩn bị và kiểm tra các thủ tục hoạt\r\nđộng thông thường theo các tiêu chuẩn nhất định;
\r\n\r\nd) bộ các biện pháp quản lý an toàn đã\r\nđược thông qua;
\r\n\r\ne) các thủ tục điều hành hiệu quả;
\r\n\r\nf) các hoạt động nghiệp vụ thường\r\nxuyên (xem 13.1);
\r\n\r\ng) chứng cứ cho thấy việc lắp đặt hệ\r\nthống mới này sẽ không gây bất lợi cho các hệ thống hiện tại, đặc biệt tại các thời\r\ngian xử lý cao điểm, như cuối tháng;
\r\n\r\nh) chứng cứ cho thấy vấn đề tác động
i) đào tạo khai thác hoặc sử dụng các\r\nhệ thống mới;
\r\n\r\nj) tính dễ sử dụng, vì điều này
Đối với những hệ thống mới quan trọng,\r\nbộ phận điều hành và người dùng cần được tư vấn ở tất cả các giai đoạn trong\r\nquá trình phát triển nhằm đảm bảo hiệu suất khai thác theo thiết kế hệ thống, cần\r\nthực hiện các cuộc kiểm tra phù hợp nhằm chắc chắn rằng tất cả các chỉ tiêu chấp\r\nnhận đã được thỏa mãn hoàn toàn.
\r\n\r\nThông tin
Thủ tục chấp nhận có thể bao gồm cả thủ\r\ntục cấp chứng chỉ chính thức và chính thức công nhận nhằm xác nhận rằng các yêu\r\ncầu về an toàn đã được thỏa mãn.
\r\n\r\n9.4. Bảo vệ chống lại mã độc hại và mã di động
\r\n\r\n| \r\n Mục tiêu: Nhằm bảo vệ tính toàn vẹn\r\n của thông tin và phần mềm. \r\nCần có những đề phòng nhằm ngăn ngừa\r\n và phát hiện sự có mặt của mã độc hại\r\n và mã di động trái phép. \r\nPhần mềm và các phương tiện xử lý\r\n thông tin là các đối tượng rất dễ bị tồn tại bởi mã độc, ví dụ các loại virut\r\n máy tính, sâu mạng, ngựa trojan, và bom máy tính. Người đùng cần có nhận thức\r\n về những: mối nguy hiểm từ mã độc hại. Nếu thích hợp thì người quản lý cần\r\n đưa ra các biện pháp quản lý nhằm ngăn chặn, phát hiện, loại bỏ mã độc hại | \r\n
9.4.1. Quản lý chống lại mã độc hại
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác biện pháp quản lý trong việc phát\r\nhiện, ngăn chặn, và phục hồi nhằm chống lại các đoạn mã độc hại và các thủ tục\r\ntuyên truyền nâng cao nhận thức của người dùng phải được thực hiện.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nBảo vệ chống lại mã độc hại cần dựa\r\ntrên cơ sở phát hiện mã độc hại và sửa chữa\r\nphần mềm, nâng cao nhận thức về an toàn thông tin, và các biện pháp quản lý\r\nthay đổi và truy cập hệ thống phù hợp. Cần quan tâm đến những hướng dẫn sau:
\r\n\r\na) thiết lập một chính sách chính thức\r\nngăn cấm sử dụng phần mềm trái phép (xem\r\n14.1.2);
\r\n\r\nb) thiết lập một chính sách chính thức\r\nnhằm bảo vệ chống lại các rủi ro liên quan đến việc sử dụng các tệp và phần mềm\r\nđến từ hoặc đi qua các mạng bên ngoài, hoặc bất kỳ một môi trường nào khác, chỉ\r\nra các biện pháp bảo vệ cần thực hiện;
\r\n\r\nc) chỉ đạo
d) cài đặt và thường xuyên cập nhật phần\r\nmềm khắc phục và phát hiện mã độc hại để quét máy tính và các phương tiện với\r\nvai trò như một biện pháp phòng ngừa; các cuộc kiểm tra cần bao gồm:
\r\n\r\n1) trước khi sử dụng cần kiểm tra mã độc\r\nhại đối với tất cả các tệp trên thiết bị điện tử hoặc quang học, và các tệp nhận\r\nđược trên mạng;
\r\n\r\n2) trước khi sử dụng cần kiểm tra mã độc\r\nhại đối với các tệp đính kèm trên thư điện tử và các tệp tải được trên mạng; việc\r\nkiểm tra này cần được thực hiện tại các nơi khác nhau, ví dụ tại cả các máy
3) kiểm tra mã độc hại trong các trang mạng;
\r\n\r\ne) xác định các thủ tục và trách nhiệm\r\nquản lý trong việc bảo vệ chống lại mã độc hại trên các hệ thống, đào tạo sử dụng\r\ncác thủ tục này, báo cáo và khôi phục hệ thống trước sự tấn công của mã độc hại\r\n(xem 12.1 và 12.2);
\r\n\r\nf) chuẩn bị các kế hoạch đảm bảo sự\r\nliên tục về nghiệp vụ cho việc khôi phục sau những tấn công của mã độc hại, bao\r\ngồm toàn bộ những chuẩn bị khôi phục và sao lưu phần mềm và dữ liệu cần thiết\r\n(xem 13);
\r\n\r\ng) triển khai các thủ tục nhằm thường\r\nxuyên thu thập thông tin, ví dụ đăng ký vào danh sách thư điện tử và/hoặc kiểm\r\ntra các địa chỉ mạng cho thông tin về các loại mã độc hại mới;
\r\n\r\nh) triển khai các thủ tục xác thực\r\nthông tin liên quan đến mã độc hại và đảm bảo rằng các bản tin cảnh báo là\r\nchính xác và cung cấp được nhiều thông tin; những người quản lý cần đảm bảo có\r\ncác nguồn tin cậy, ví dụ các tờ báo có tiếng tăm, các địa chỉ internet hoặc các\r\nnhà sản xuất phần mềm chống mã độc hại đáng tin cậy, được sử dụng nhằm phân biệt\r\ngiữa các trò lừa đảo và mã độc hại thực sự; tất cả những người dùng cần được\r\ntrang bị kiến thức về những trò lừa đảo và những việc phải làm khi nhận được chúng
\r\n\r\nThông tin khác
\r\n\r\nSử dụng hai hoặc nhiều sản phẩm phần mềm\r\nchống mã độc hại của nhiều nhà cung cấp\r\nkhác nhau trong môi trường xử lý thông tin có\r\nthể nâng cao hiệu quả phòng chống mã độc.
\r\n\r\nPhần mềm giúp bảo vệ chống lại mã độc\r\nhại có thể được cài đặt nhằm cung cấp các nội dung cập nhật của các tệp định\r\nnghĩa và các công cụ quét nhằm chắc chắn rằng việc bảo vệ đã được cập nhật. Hơn\r\nnữa, phần mềm này có thể được cài đặt trên mọi máy tính để bàn nhằm thực hiện\r\nkiểm tra tự động.
\r\n\r\nCần quan tâm đến việc bảo vệ chống lại\r\nsự xâm nhập của mã độc hại trong các thủ tục bảo dưỡng và khẩn cấp, do chúng có\r\nthể bị bỏ
9.4.2. Kiểm soát các mã di động
\r\n\r\nBiện pháp quản lý
\r\n\r\nĐối với các mã di động hợp lệ, việc\r\ncài đặt phải đảm bảo phù hợp với các chính sách an toàn đã được đặt ra. Ngược lại,\r\ncác đoạn mã di động trái phép sẽ bị ngăn chặn.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến các hoạt động sau nhằm\r\nngăn chặn mã di động thực hiện các hoạt động chưa được cấp phép:
\r\n\r\na) thực thi mã di động trong một môi\r\ntrường được cô lập về mặt logic;
\r\n\r\nb) hạn chế sử dụng mã di động;
\r\n\r\nc) hạn chế nhận mã di động;
\r\n\r\nd) kích hoạt các biện pháp kỹ thuật sẵn\r\nsàng trên một hệ thống chuyên dụng nhằm quản lý mã di động;
\r\n\r\ne) quản lý
f) quản\r\nlý bằng mật mã nhằm xác thực mã di động.
\r\n\r\nThông tin
Mã di động là một mã phần mềm truyền từ\r\nmáy tính này sang máy tính khác và sau đó tự động thực hiện một chức năng nào\r\nđó mà không có tương tác người dùng hoặc chỉ có một ít. Mã di động liên quan đến\r\nrất nhiều dịch vụ phần mềm trung gian.
\r\n\r\nBên cạnh việc đảm bảo mã di động không\r\nchứa mã độc hại thì việc quản lý mã độc hại cũng rất cần thiết nhằm ngăn ngừa sử\r\ndụng trái phép hoặc làm phá vỡ hệ thống, mạng, hoặc các nguồn tài nguyên ứng dụng\r\nvà các vi phạm an toàn thông tin khác.
\r\n\r\n9.5. Sao lưu
\r\n\r\n| \r\n Mục tiêu: Nhằm duy trì sự toàn vẹn\r\n và sự sẵn sàng của thông tin và các phương tiện xử lý thông tin. \r\nCần thiết lập các thủ tục thường\r\n xuyên nhằm thực hiện chiến lược và chính sách sao lưu đã được thỏa thuận (xem\r\n 13.1) trong việc sao lưu và kịp thời khôi phục dữ liệu. \r\n | \r\n
9.5.1. Sao lưu thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nThông tin và phần mềm cần được sao lưu\r\nvà thường xuyên kiểm tra lại chúng theo\r\nchính sách sao lưu đã được thỏa thuận.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần cung cấp các phương tiện sao lưu\r\nthích hợp nhằm đảm bảo rằng tất cả các thông tin và phần mềm cần thiết có thể\r\nđược khôi phục lại sau thảm họa hoặc lỗi hỏng thiết bị.
\r\n\r\nCần quan tâm đến các vấn đề sau trong\r\nviệc sao lưu thông tin:
\r\n\r\na) cần xác định mức độ cần thiết của\r\nthông tin sao lưu;
\r\n\r\nb) cần đưa ra các bản sao lưu đầy đủ\r\nvà chính xác và các văn bản về thủ tục khôi phục;
\r\n\r\nc) phạm vi (ví dụ sao lưu đầy đủ hoặc\r\ntừng phần) và tần suất sao lưu cần thể hiện các yêu cầu nghiệp vụ của tổ chức,\r\ncác yêu cầu về an toàn thông tin có liên quan, và độ quan trọng của thông tin\r\ntrong việc đảm bảo tính liên tục về nghiệp vụ của tổ chức;
\r\n\r\nd) các bản sao cần được lưu giữ ở một vị\r\ntrí ở xa, với khoảng cách phù hợp nhằm tránh những thiệt hại do thảm họa tại trụ\r\nsở chính.
\r\n\r\ne) thông tin sao chép cần được đặt ở mức\r\nđộ bảo vệ vật lý và môi trường phù hợp (xem điều 8) tuân thủ các tiêu chuẩn được\r\náp dụng tại trụ sở chính; các biện pháp
f) thiết bị sao chép cần được kiểm tra\r\nđịnh kỳ nhằm đảm bảo rằng chúng có thể tin cậy trong điều kiện sử dụng khẩn cấp;
\r\n\r\ng) các thủ tục khôi phục thông tin cần\r\nđược xem xét và kiểm tra định kỳ nhằm đảm\r\nbảo chúng hoạt động hiệu quả và chúng có thể được thực hiện đầy đủ trong khoảng\r\nthời gian đã được xác định trong các thủ tục khai thác về khôi phục;
\r\n\r\nh) Trong các trường hợp khi tính bí mật là một yêu cầu quan trọng thì các bản\r\nsao cần được bảo vệ bằng các hình thức mã hóa.
\r\n\r\nCác thủ tục sao lưu dành cho các hệ thống\r\nriêng cần được kiểm tra thường xuyên nhằm đảm bảo rằng chúng đáp ứng được các\r\nyêu cầu của các kế hoạch đảm bảo tính liên tục về nghiệp vụ (xem điều 13). Đối với\r\ncác hệ thống quan trọng thì cần thực hiện sao lưu tất cả thông tin. các ứng dụng,\r\ndữ liệu cần thiết của hệ thống nhằm có thể phục hồi được toàn bộ hệ thống trong\r\ntrường hợp có thâm họa xảy ra.
\r\n\r\nThời gian lưu trữ các thông tin nghiệp\r\nvụ cần thiết và các yêu cầu lưu trữ bản sao lâu dài cũng cần được xác định (xem\r\n14.1.3).
\r\n\r\nThông tin khác
\r\n\r\nCó thể thực hiện sao lưu tự động nhằm làm\r\ndễ dàng quy trình sao lưu và khôi phục.\r\nCác giải pháp tự động như vậy cần được kiểm tra phù hợp trước khi triển khai và\r\nvào các thời điểm định kỳ.
\r\n\r\n9.6. Quản lý an toàn mạng
\r\n\r\n| \r\n Mục tiêu: Nhằm đảm bảo an toàn cho\r\n thông tin trên mạng và an toàn cho cơ sở\r\n hạ tầng hỗ trợ. \r\nViệc quản lý an toàn mạng, có thể mở\r\n rộng ra ngoài phạm vi tổ chức, đòi hỏi phải chú ý đến luồng dữ liệu, các vấn\r\n đề pháp lý liên quan, việc giám sát, và\r\n bảo vệ. \r\nCó thể yêu cầu thêm các biện pháp quản\r\n lý hỗ trợ nhằm bảo vệ không cho thông tin nhạy cảm lọt ra các mạng công cộng. \r\n | \r\n
9.6.1. Kiểm soát mạng
\r\n\r\nCác biện pháp quản lý
\r\n\r\nCác mạng cần được quản lý và kiểm soát\r\nmột cách thỏa đáng nhằm bảo vệ khỏi các mối đe dọa và duy trì sự an toàn cho\r\ncác hệ thống, các ứng dụng sử dụng mạng và\r\nthông tin đang được truyền trên mạng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNhững người quản lý mạng cần triển khai các biện pháp quản lý nhằm đảm bảo sự\r\nan toàn của thông tin trên mạng, và đảm bảo bảo vệ các dịch vụ kết nối trước sự\r\ntruy cập trái phép. Cụ thể là, cần quan tâm đến các vấn đề sau:
\r\n\r\na) nếu cần, phải tách bạch trách nhiệm\r\nvề mặt khai thác mạng với việc vận hành máy tính (xem 9.1.3);
\r\n\r\nb) cần thiết lập các trách nhiệm và thủ\r\ntục đối với việc quản lý thiết bị ở xa, bao gồm cả thiết bị ở trong phạm vi của\r\nngười dùng;
\r\n\r\nc) cần thiết lập các biện pháp quản lý\r\nđặc biệt nhằm bảo vệ tính bí mật và sự toàn vẹn của dữ liệu đi qua các mạng\r\ncông cộng hoặc qua các mạng vô tuyến, và bảo vệ các hệ thống được
d) cần áp dụng hình thức ghi nhật ký\r\nvà giám sát phù hợp nhằm ghi lại các hoạt động liên quan đến an toàn thông tin;
\r\n\r\ne) cần phối hợp chặt chẽ các hoạt động\r\nquản lý nhằm tối ưu dịch vụ đồng thời đảm bảo rằng các biện pháp quản lý đã được\r\náp dụng nhất quán qua hạ tầng xử lý thông tin.
\r\n\r\nThông tin khác
\r\n\r\nCó thể tìm thêm thông tin về an toàn mạng\r\ntrong ISO/IEC 18028, Công nghệ thông tin\r\n- Các kỹ thuật an toàn - An toàn mạng IT.
\r\n\r\n9.6.2. An toàn cho các
Biện pháp quản lý
\r\n\r\nCác tính năng an toàn, các mức dịch vụ\r\nvà các yêu cầu quản lý của tất cả các dịch vụ mạng cần được xác định và ghi rõ\r\ntrong thỏa thuận về các dịch vụ mạng, bất kể dịch vụ là do nội bộ cấp hay thuê\r\nkhoán.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần xác định và thường xuyên giám sát\r\nkhả năng của nhà cung cấp dịch vụ mạng\r\ntrong việc quản lý an toàn các dịch vụ đã thỏa thuận, và cũng cần thỏa thuận về\r\nquyền đánh giá.
\r\n\r\nCũng cần xác định các yêu cầu về an\r\ntoàn cần thiết cho các dịch vụ cụ thể, ví dụ như các thuộc tính dịch vụ, các mức\r\ndịch vụ, và các yêu cầu về quản lý. Tổ chức cần đảm bảo rằng các nhà cung cấp dịch\r\nvụ có triển khai các biện pháp này.
\r\n\r\nThông tin khác
\r\n\r\nCác dịch vụ mạng bao gồm cung cấp kết\r\nnối, các dịch vụ mạng riêng, và các mạng cung cấp dịch vụ giá trị gia tăng và\r\ncác giải pháp an toàn mạng được quản lý, ví dụ các hệ thống tường lửa và các hệ\r\nthống phát hiện xâm nhập. Các dịch vụ này có thể là dạng dịch vụ đơn giản có\r\nbăng thông không được quản lý đến các dịch\r\nvụ giá trị gia tăng phức tạp.
\r\n\r\nCác thuộc tính an toàn của các dịch vụ\r\nmạng có thể là:
\r\n\r\na) công nghệ được áp dụng nhằm đảm bảo\r\nsự an toàn của các dịch vụ mạng, như xác thực,\r\nmã hóa, và các biện pháp quản lý kết nối;
\r\n\r\nb) các tham số kỹ thuật về kết nối an\r\ntoàn của các dịch vụ mạng tuân theo độ an toàn và\r\ncác quy tắc kết nối mạng;
\r\n\r\nc) các thủ tục sử dụng dịch vụ mạng nhằm\r\nhạn chế truy cập tới các dịch vụ mạng hoặc các ứng dụng, nếu cần thiết.
\r\n\r\n9.7. Xử
| \r\n Mục tiêu: Nhằm ngăn chặn tiết lộ, sửa\r\n đổi, xóa bỏ hoặc phá hoại tài sản trái phép, và làm gián đoạn các hoạt động\r\n nghiệp vụ. \r\nPhương tiện hỗ trợ cần được quản lý\r\n và bảo vệ vật lý. \r\nCần thiết lập các thủ tục hoạt động\r\n phù hợp nhằm bảo vệ các tài liệu, phương tiện hỗ trợ máy tính (ví dụ, băng từ,\r\n đĩa), tài liệu hệ thống và dữ liệu đầu vào/đầu ra khỏi việc tiết lộ, sửa đổi,\r\n xóa bỏ và phá hủy trái phép. \r\n | \r\n
9.7.1. Quản lý các phương tiện
Biện pháp quản lý
\r\n\r\nCần có các thủ tục sẵn sàng cho việc\r\nquản lý các phương tiện có thể di dời.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nKhi quản lý các phương tiện có thể di\r\ndời, cần quan tâm đến các hướng dẫn sau:
\r\n\r\na) nếu không cần nữa thì nội dung của\r\ncác phương tiện có thể tái sử dụng mà sắp bị loại bỏ khỏi tổ chức cần được xử\r\nlý sao cho không thể khôi phục được;
\r\n\r\nb) nếu cần thiết và khả thi thì việc\r\nloại bỏ phương tiện khỏi tổ chức cần được cấp phép và báo cáo về các phương tiện\r\nbị loại bỏ cần được giữ lại nhằm duy trì truy vết;
\r\n\r\nc) tất cả các phương tiện cần được đặt\r\ntrong môi trường an toàn, bảo mật theo các chỉ tiêu kỹ thuật
d) thông tin lưu giữ mà cần phải tồn tại\r\nlâu hơn tuổi thọ của phương tiện lưu giữ\r\n(theo các chỉ tiêu kỹ thuật của nhà
e) cũng cần quan tâm đến việc đăng ký\r\nphương tiện có thể di dời nhằm hạn chế khả năng bị mất dữ liệu;
\r\n\r\nf) chỉ cho phép các ổ đĩa rời nếu có\r\nlý do nghiệp vụ.
\r\n\r\nTất cả các thủ tục và các mức độ cấp\r\nphép phải được lập thành văn bản rõ ràng.
\r\n\r\nThông tin khác
\r\n\r\nPhương tiện có thể di dời bao gồm các\r\nloại băng, đĩa, ổ cứng di động, các ổ cứng dễ di dời, CD, DVD, và các tài liệu\r\nin sẵn.
\r\n\r\n9.7.2. Loại bỏ phương tiện
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác phương tiện cần được loại bỏ một\r\ncách an toàn và bảo mật khi không còn cần thiết theo các thủ tục xử lý chính thức.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác thủ tục chính thức nhằm loại bỏ\r\nphương tiện một cách an toàn cần phải tối giảm rủi ro tiết lộ thông tin cho những\r\nngười không được phép. Các thủ tục hủy bỏ phương tiện chứa thông tin nhạy cảm cần\r\ntương xứng với độ nhạy cảm của thông tin. Cần quan tâm đến các vấn đề sau:
\r\n\r\na) phương tiện chứa thông tin nhạy cảm\r\ncần được lưu giữ và loại bỏ an toàn và đảm bảo, ví dụ bằng cách bớt hoặc cắt nhỏ,\r\nhoặc xóa dữ liệu;
\r\n\r\nb) cần thực hiện các thủ tục nhằm xác\r\nđịnh danh mục các phương tiện yêu cầu phải bị loại bỏ một cách an toàn;
\r\n\r\nc) sẽ thuận tiện nếu gom tất cả các\r\nphương tiện phải được thu thập và loại bỏ một cách an toàn hơn là cố gắng tách ra\r\ncác danh mục phương tiện nhạy cảm;
\r\n\r\nd) có rất nhiều các tổ chức cung cấp\r\ncác dịch vụ thu thập và loại bỏ báo chí, thiết bị và các phương tiện; tuy nhiên,\r\ncẩn thận trong việc lựa chọn nhà thầu có các biện pháp và kinh nghiệm phù hợp;
\r\n\r\ne) nếu có thể thì cần ghi lại việc loại\r\nbỏ các phương tiện nhạy cảm nhằm duy trì truy vết;
\r\n\r\nKhi gom các phương tiện cần loại bỏ thì\r\ncần quan tâm đến hậu quả kết hợp, hậu quả này có thể làm cho một lượng lớn\r\nthông tin không nhạy cảm lại trở thành thông tin nhạy cảm.
\r\n\r\nThông tin khác
\r\n\r\nThông tin nhạy cảm có thể được loại bỏ\r\nthông qua quy trình loại bỏ phương tiện một cách cẩn thận (xem thêm 8.2.6 để
9.7.3. Các thủ tục xử lý thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thủ tục xử lý và lưu giữ thông tin\r\nphải được thiết lập nhằm bảo vệ thông tin khỏi sự tiết lộ hoặc sử dụng bất hợp\r\npháp.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần xây dựng các thủ tục thu thập, xử\r\nlý, lưu giữ và trao đổi thông tin theo phân lớp của nó (xem 6.2). Cần quan tâm\r\nđến các vấn đề sau:
\r\n\r\na) xử lý và dán nhãn cho tất cả các\r\nphương tiện theo mức phân loại của nó;
\r\n\r\nb) các hạn chế truy cập nhằm ngăn chặn\r\ntruy cập của các cá nhân chưa được cấp\r\nphép;
\r\n\r\nc) lưu lại hồ sơ chính thức về những\r\nngười nhận dữ liệu đã được cấp phép;
\r\n\r\nd) đảm bảo rằng dữ liệu đầu vào là đầy\r\nđủ, quá trình xử lý đã hoàn tất và đã áp dụng quá trình phê chuẩn đầu ra;
\r\n\r\ne) bảo vệ đầu ra
f) cất giữ phương tiện theo các chỉ\r\ntiêu kỹ thuật của nhà sản xuất;
\r\n\r\ng) giữ cho việc phân phối dữ liệu ở mức\r\nhạn chế nhất;
\r\n\r\nh) đánh dấu rõ ràng tất cả các bản sao\r\ncủa phương tiện để người nhận hợp pháp lưu ý;
\r\n\r\ni) soát xét lại các danh sách phân phối\r\nvà danh sách những người nhận hợp pháp.
\r\n\r\nThông tin
Các thủ tục này áp dụng đối với thông\r\ntin trong các văn bản, hệ thống máy tính, mạng, tính toán di động, truyền thông\r\ndi động, thư, hộp thư thoại, truyền thông thoại nói chung, đa ph
9.7.4. An toàn cho các tài liệu hệ thống
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác tài liệu hệ thống cần được bảo vệ\r\nkhỏi sự truy cập trái phép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNhằm đảm bảo an toàn cho các tài liệu\r\nhệ thống, cần quan tâm đến các vấn đề sau:
\r\n\r\na) tài liệu hệ thống cần được cất giữ\r\nmột cách an toàn;
\r\n\r\nb) danh sách truy cập tài liệu hệ thống\r\ncần được giữ lại ở mức tối thiểu và được cấp phép bởi người
c) cần bảo vệ một cách thích hợp các\r\ntài liệu hệ thống được giữ ở mạng công cộng; hoặc được cung cấp qua mạng công cộng.
\r\n\r\nThông tin khác
\r\n\r\nTài liệu hệ thống
9.8. Trao đổi thông tin
\r\n\r\n| \r\n Mục tiêu: Nhằm duy trì an toàn cho\r\n các thông tin và phần mềm được trao đổi trong nội bộ tổ chức hoặc với các thực\r\n thể bên ngoài. \r\nNhững trao đổi thông tin Cần thiết lập các thủ tục và các\r\n tiêu chuẩn nhằm bảo vệ thông tin và phương tiện vật lý chứa thông tin trong\r\n quá trình trao đổi \r\n | \r\n
9.8.1. Các chính sách và thủ tục trao\r\nđổi thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác chính sách, thủ tục và biện pháp\r\nquản lý chính thức cần phải sẵn có để bảo vệ sự trao đổi thông tin thông qua hệ\r\nthống truyền thông.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác biện pháp và thủ tục cần tuân thủ\r\nkhi sử dụng các phương tiện truyền thông điện tử trong trao đổi thông tin cần quan\r\ntâm đến các vấn đề sau:
\r\n\r\na) các thủ tục được thiết kế nhằm bảo\r\nvệ thông tin được trao đổi khỏi sự nghe lén, sao chép, sửa đổi, sai địa chỉ, và\r\nphá hủy;
\r\n\r\nb) các thủ tục nhằm phát hiện và bảo vệ\r\nchống lại mã độc hại bị phát tán khi sử dụng các phương tiện truyền thông điện\r\ntử (xem 9.4.1);
\r\n\r\nc) các thủ tục nhằm bảo vệ thông tin\r\nđiện tử nhạy cảm được trao đổi có tệp tin đính\r\nkèm;
\r\n\r\nchính sách hoặc các hướng dẫn sơ lược\r\nvề sử dụng các phương tiện truyền thông điện tử (xem 6.1.3);
\r\n\r\ne) các thủ tục sử dụng các phương tiện\r\ntruyền thông vô tuyến, quan tâm đến các rủi ro cụ thể;
\r\n\r\nf) trách nhiệm của nhân viên, người của\r\nnhà thầu và những người dùng khác trong việc không làm ảnh hưởng xấu đến tổ chức, ví dụ phỉ\r\nbáng, quấy rối, mạo danh, chuyển các bức thư hàng loạt, mua bán trái phép...;
\r\n\r\ng) có thể sử dụng các kỹ thuật mật mã nhằm bảo vệ tính bí mật, tính toàn vẹn\r\nvà tính xác thực của thông tin (xem 11.3);
\r\n\r\nh) hướng\r\ndẫn ngăn chặn và hủy bỏ các thư từ giao dịch, bao gồm cả các thông điệp, theo\r\ncác quy định và quy chế nội bộ và quốc gia có liên quan;
\r\n\r\ni) không được để thông tin nhạy cảm hoặc\r\nthông tin quan trọng trên các thiết bị in ấn, ví dụ các máy sao chụp tài liệu,\r\nmáy in, máy quét, vì chúng có thể bị truy cập bởi những cá nhân không được\r\nphép;
\r\n\r\nj) các biện pháp quản lý và các hạn chế\r\nliên quan đến việc chuyển tiếp các phương tiện truyền thông, ví dụ tự động chuyển\r\ntiếp thư điện tử vào các địa chỉ hộp thư bên ngoài;
\r\n\r\nk) nhắc nhở với mọi người về việc thực\r\nhiện đề phòng, ví dụ không tiết lộ thông tin nhạy cảm nhằm tránh không bị nghe lỏm\r\nhoặc bị nghe trộm khi đang gọi điện thoại bởi:
\r\n\r\n1) những người ở xung quanh, đặc biệt\r\nlà khi đang sử dụng điện thoại di động;
\r\n\r\n2) nghe trộm, và các hình thức nghe trộm\r\nkhác thông qua truy nhập vật lý đến máy điện thoại cầm tay hoặc đường điện thoại,\r\nhoặc sử dụng các máy thu quét;
\r\n\r\n3) những người ở đầu máy kia;
\r\n\r\nI) không để các thông điệp chứa thông\r\ntin nhạy cảm ở các máy trả lời vì các thông điệp này có thể bị những người\r\nkhông có quyền nghe lại, cất giữ trên các hệ thống công cộng hoặc cất giữ không\r\nđúng quy cách do quay số nhầm;
\r\n\r\nm) nhắc nhở với mọi người về các sự cố do sử dụng máy sao chép, cụ thể là:
\r\n\r\n1) truy cập trái phép vào các bộ lưu\r\ngiữ thông điệp bên trong nhằm lấy các thông điệp;
\r\n\r\n2) cố ý hoặc vô tình lập
3) do quay số sai hoặc sử dụng số lưu\r\ntrữ sai mà gửi nhầm các tài liệu và các thông điệp;
\r\n\r\nn) nhắc nhở mọi người không được đăng\r\nký dữ liệu cá nhân, ví dụ các thông tin như địa chỉ thư điện tử hoặc các thông\r\ntin cá nhân khác, trong bất cứ phần mềm nào nhằm tránh bị thu thập thông tin\r\ncho các mục đích sử dụng trái phép;
\r\n\r\no) nhắc nhở mọi người rằng các máy sao\r\nchụp tài liệu hiện đại đều có các bộ nhớ trong và có thể lưu được nội dung các\r\ntrang trong trường hợp có lỗi truyền dẫn hoặc lỗi về giấy in, các trang này sẽ\r\nđược in lại ngay khi lỗi được khắc phục.
\r\n\r\nHơn nữa, cũng cần nhắc nhở mọi người\r\nkhông được nói những điều bí mật ở các nơi công cộng hoặc các văn phòng rộng và\r\ncác nơi hộp họp không có tường cách âm.
\r\n\r\nCác phương tiện trao đổi thông tin cần\r\ntuân thủ các yêu cầu pháp lý liên quan (xem 14).
\r\n\r\nThông tin khác
\r\n\r\nCó thể xảy ra trao đổi thông tin khi sử\r\ndụng nhiều loại phương tiện truyền thông khác nhau, bao gồm thư điện tử, thoại,\r\nsao chụp, và hình ảnh.
\r\n\r\nCó thể xảy ra trao đổi phần mềm thông\r\nqua nhiều phương thức khác nhau, bao gồm tải thông tin tử internet và tải thông\r\ntin được các nhà cung cấp các sản phẩm mua có sẵn yêu cầu.
\r\n\r\nCần quan tâm đến những vấn đề về an\r\ntoàn, pháp lý và nghiệp vụ liên quan đến\r\nviệc trao đổi dữ liệu điện tử, thương mại điện tử, truyền thông điện tử và các\r\nyêu cầu về các biện pháp quản lý.
\r\n\r\nThông tin có thể bị tổn hại do sự thiếu hiểu biết, các thủ tục và chính\r\nsách sử dụng các phương tiện trao đổi\r\nthông tin, ví dụ bị nghe trộm trên máy điện thoại di động ở nơi công cộng, chuyển\r\nsai địa chỉ của thông điệp thư điện tử, các\r\nmáy trả lời bị nghe trộm, truy cập trái phép đến các hệ thống hộp thư thoại\r\nquay số hoặc vô tình gửi nhầm đến thiết bị sao chụp tài liệu.
\r\n\r\nCác hoạt động nghiệp vụ có thể bị phá\r\nvỡ và thông tin có thể bị tổn hại nếu các phương tiện truyền thông bị lỗi, bị\r\nquá tải hoặc bị ngắt kết nối (xem 9.3 và điều 13). Thông tin có thể bị tổn hại\r\nnếu bị truy cập bởi những người dùng trái phép (xem điều 10).
\r\n\r\n9.8.2. Các thỏa thuận trao đổi
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thỏa thuận cần được thiết lập cho\r\nviệc trao đổi thông tin và phần mềm giữa tổ chức và các thực thể bên ngoài.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác thỏa thuận trao đổi cần quan tâm đến\r\ncác điều kiện an toàn sau đây:
\r\n\r\na) các trách nhiệm của ban
b) các thủ tục thông báo với người gửi\r\nvề việc truyền, gửi và nhận;
\r\n\r\nc) các thủ tục đảm bảo khả năng truy vết\r\nvà không thể chối bỏ;
\r\n\r\nd) các tiêu chuẩn kỹ thuật tối thiểu\r\ncho việc đóng gói và truyền;
\r\n\r\ne) các thỏa thuận giao kèo;
\r\n\r\nf) các tiêu chuẩn nhận dạng cách thức\r\nchuyển;
\r\n\r\ng) các trách nhiệm và nghĩa vụ khi có\r\ncác sự kiện an toàn thông tin, như mất dữ liệu;
\r\n\r\nh) sử dụng hệ thống dán nhãn đã thỏa\r\nthuận đối với các thông tin quan trọng hoặc nhạy cảm, đảm bảo rằng ý nghĩa
i) quyền sở hữu và các trách nhiệm bảo\r\nvệ dữ liệu, bản quyền, tuân thủ bản quyền phần mềm và các vấn đề tương tự khác\r\n(xem 14.1.2 và 14.1.4);
\r\n\r\nj) các tiêu chuẩn kỹ thuật cho ghi và\r\nđọc thông tin và phần mềm;
\r\n\r\nk) các biện pháp
Các chính sách, thủ tục,
Nội dung về an toàn của các thỏa thuận\r\ncần thể hiện độ nhạy cảm của thông tin nghiệp vụ liên quan.
\r\n\r\nThông tin khác
\r\n\r\nCác thỏa thuận có thể ở dạng điện tử\r\nhoặc viết tay, và hình thức có thể như các bản hợp đồng chính thức hoặc các điều\r\nkiện tuyển dụng. Đối với thông tin nhạy cảm thì các cơ chế đặc biệt sử dụng cho\r\ntrao đổi thông tin đó cần phù hợp với tất cả các tổ chức và các loại thỏa thuận.
\r\n\r\n9.8.3. Vận chuyển phương tiện vật lý
\r\n\r\nBiện pháp quản lý
\r\n\r\nPhương tiện chứa thông tin cần được bảo\r\nvệ khỏi sự truy cập trái phép, sự lạm dụng hoặc làm sai lệch khi vận chuyển vượt\r\nra ngoài phạm vi địa lý của tổ chức.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến các hướng dẫn sau nhằm\r\nbảo vệ phương tiện chứa thông tin trong quá trình\r\nvận chuyển giữa các địa điểm:
\r\n\r\na) sử dụng phương tiện và người vận\r\nchuyển tin cậy;
\r\n\r\nb) cần thỏa thuận với ban quản lý về\r\ndanh sách những người được phép vận chuyển;
\r\n\r\nc) cần áp dụng các thủ tục kiểm tra\r\nlai lịch người vận chuyển;
\r\n\r\nd) đóng gói cẩn thận nhằm bảo vệ nội\r\ndung của các phương tiện khỏi các hư hại vật lý có khả năng xảy ra trong quá\r\ntrình vận chuyển và tuân theo các chỉ tiêu kỹ thuật của nhà sản xuất (ví dụ đối\r\nvới phần mềm), ví dụ bảo vệ chống lại các yếu tố về môi trường có khả năng làm\r\ngiảm hiệu quả khôi phục dữ liệu của phương tiện như nhiệt độ, độ ẩm hoặc các\r\ntrường điện từ;
\r\n\r\ne) nếu cần, phải sử dụng các biện pháp\r\nquản lý nhằm bảo vệ thông tin nhạy cảm khỏi sự sửa đổi hoặc tiết lộ trái phép,\r\nví dụ :
\r\n\r\n1) sử dụng các hộp chứa có khóa;
\r\n\r\n2) vận chuyển bằng tay;
\r\n\r\n3) dán niêm phong (nhằm phát hiện truy\r\ncập);
\r\n\r\n4) trong các trường hợp ngoại lệ, phân\r\nchia thành nhiều phần và gửi đi theo các đường khác nhau.
\r\n\r\nThông tin khác
\r\n\r\nThông tin có thể bị đe dọa bởi truy cập\r\ntrái phép, lạm dụng hoặc bị sửa đổi sai lệch trong quá trình vận chuyển vật lý,\r\nví dụ khi gửi phương tiện bằng dịch vụ bưu chính hoặc qua người chuyển.
\r\n\r\n9.8.4. Thông điệp điện tử
\r\n\r\nBiện pháp quản lý
\r\n\r\nThông tin bao hàm trong các thông điệp\r\nđiện tử cần được bảo vệ một cách thỏa đáng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến các vấn đề an toàn\r\nsau đối với thông điệp điện tử:
\r\n\r\na) bảo vệ thông điệp khỏi sự truy cập\r\ntrái phép, sửa đổi hoặc từ chối dịch vụ;
\r\n\r\nb) đảm bảo đánh đúng địa chỉ và gửi\r\nđúng địa chỉ thông điệp;
\r\n\r\nc) độ tin cậy và độ sẵn sàng chung của\r\ndịch vụ;
\r\n\r\nd) các vấn đề pháp lý, ví dụ các yêu cầu\r\nvề chữ ký điện tử;
\r\n\r\ne) được chấp thuận trước khi sử dụng\r\ncác dịch vụ công cộng bên ngoài như nhắn tin nhanh hoặc chia sẻ tệp;
\r\n\r\nf) truy cập từ các mạng công cộng dễ\r\ntruy cập phải được quản lý bằng mức xác\r\nthực cao hơn.
\r\n\r\nThông tin khác
\r\n\r\nThông điệp điện tử như thư điện tử,\r\ntrao đổi dữ liệu điện tử (EDI), và nhắn tin nhanh đóng vai trò ngày càng cao\r\ntrong các giao dịch thương mại. Thông điệp điện tử chứa nhiều rủi ro hơn truyền\r\nthông bằng giấy.
\r\n\r\n9.8.5. Các hệ thống thông tin nghiệp vụ
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác chính sách và thủ tục cần được\r\nphát triển và triển khai nhằm bảo vệ các thông tin liên quan đến sự kết nối các\r\nhệ thống thông tin nghiệp vụ.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến những vấn đề về an\r\ntoàn và nghiệp vụ khi kết nối các phương\r\ntiện:
\r\n\r\na) hiểu rõ những yếu điểm trong các hệ\r\nthống quản trị và kế toán nơi thông tin được chia sẻ giữa các bộ phận khác nhau\r\ncủa tổ chức;
\r\n\r\nb) các yếu điểm của thông tin trong\r\ncác hệ thống truyền thông nghiệp vụ, ví dụ ghi các cuộc gọi điện thoại hoặc các\r\ncuộc gọi hội nghị, sự bảo mật của các cuộc gọi, cất giữ các bản sao, mở thư,\r\nphân phát thư;
\r\n\r\nc) chính sách và các biện pháp quản lý\r\nthích hợp nhằm quản lý chia sẻ thông tin;
\r\n\r\nd) không cho phép chia sẻ các thông\r\ntin nghiệp vụ nhạy cảm và các tài liệu phân loại nếu hệ thống không cung cấp mức\r\nbảo vệ phù hợp (xem 6.2);
\r\n\r\ne) hạn chế truy cập vào thông tin nhật\r\nký liên quan đến các cá nhân được lựa chọn, ví dụ những người làm việc trong\r\ncác dự án nhạy cảm;
\r\n\r\nf) các loại nhân viên, nhà thầu hoặc\r\ncác đối tác nghiệp vụ được phép sử dụng hệ\r\nthống và các vị trí mà từ đó hệ thống có thể được truy cập (xem 5.2);
\r\n\r\ng) giới hạn sử dụng các thiết bị nhất\r\nđịnh chỉ với những người dùng nhất định;
\r\n\r\nh) xác định tình trạng của những người\r\ndùng, ví dụ các nhân viên của tổ chức hoặc người của\r\ncác nhà thầu;
\r\n\r\ni) cất giữ và sao lưu thông tin chứa\r\ntrên hệ thống (xem 9.5.1);
\r\n\r\nj) các yêu cầu và thủ tục lưu giữ (xem\r\n13).
\r\n\r\nThông tin
Các hệ thống thông tin văn phòng có\r\nnhiều cơ hội cho việc phổ biến và chia sẻ thông tin nghiệp vụ nhanh chóng bằng\r\ncách kết hợp các tài liệu, máy tính, tính toán di động, truyền thông di động,\r\nthư, thư thoại, truyền thông thoại nói chung, đa phương tiện, các dịch vụ/phương\r\ntiện bưu chính và máy sao chụp.
\r\n\r\n9.9. Các dịch vụ thương mại điện tử
\r\n\r\n| \r\n Mục tiêu: Nhằm đảm bảo an toàn cho\r\n các dịch vụ thương mại điện tử và sử dụng chúng một cách an toàn \r\nCần quan tâm đến các vấn đề an toàn\r\n liên quan đến việc sử dụng các dịch vụ thương mại điện tử, bao gồm cả giao dịch\r\n trực tuyến, và các yêu cầu về kiểm soát. Cũng cần quan tâm đến tính toàn vẹn\r\n và độ sẵn sàng của thông tin đã được xuất bản điện tử thông qua các hệ thống\r\n công cộng. \r\n | \r\n
9.9.1. Thương mại điện tử
\r\n\r\nBiện pháp quản lý
\r\n\r\nThông tin trong thương mại điện tử\r\ntruyền qua các mạng công cộng cần được bảo vệ khỏi các hoạt động gian lận, các\r\ntranh cãi về giao kèo, sửa đổi và tiết lộ trái phép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến vấn đề về an toàn sau\r\ntrong thương mại điện tử:
\r\n\r\na) xác định mức độ tin cậy mà mỗi bên\r\nyêu cầu bên kia, ví dụ thông qua xác thực;
\r\n\r\nb) quy trình cấp phép liên quan đến\r\nngười được phép định giá, ban hành hoặc\r\nký các văn bản thương mại quan trọng;
\r\n\r\nc) chắc chắn rằng các đối tác thương mại\r\nđã được thông báo đầy đủ về quyền của họ;
\r\n\r\nd) xác định\r\nvà tuân theo các yêu cầu về bảo mật, toàn vẹn, xác minh việc gửi và nhận các\r\ntài liệu quan trọng, và không thể chối bỏ các bản hợp đồng, ví dụ các bản hợp đồng\r\nliên quan đến các quá trình bỏ thầu và ký\r\nhợp đồng;
\r\n\r\ne) mức tin cậy được yêu cầu về tính\r\ntoàn vẹn của các bảng giá được công bố;
\r\n\r\nf) tính bí mật của thông tin và dữ liệu nhạy cảm;
\r\n\r\ng) tính bí mật và tính toàn vẹn
h) mức độ xác thực phù hợp nhằm kiểm\r\ntra thông tin thanh toán do khách hàng cung cấp;
\r\n\r\ni) lựa chọn hình thức thanh toán phù hợp\r\nnhất nhằm bảo vệ chống gian lận;
\r\n\r\nj) mức bảo vệ được yêu cầu nhằm duy\r\ntrì tính bí mật và tính toàn vẹn của thông tin đặt hàng;
\r\n\r\nk) tránh mất mát hoặc sao chép thông\r\ntin giao dịch;
\r\n\r\nl) trách nhiệm pháp lý liên quan đến\r\ncác giao dịch lừa đảo;
\r\n\r\nm) các yêu cầu về bảo hiểm
\r\n\r\nRất nhiều trong
Các hoạt động thương mại điện tử giữa\r\ncác bên cần được hỗ trợ bằng một văn bản thỏa thuận có các điều khoản thỏa thuận\r\nvề thương mại ký giữa các bên, văn bản này chứa các chi tiết về cấp phép (xem ở\r\ntrên), có thể cần thêm các thỏa thuận\r\nkhác với các nhà cung cấp mạng giá trị gia tăng và dịch vụ thông tin.
\r\n\r\nCác hệ thống thương mại công cộng cần\r\ncông khai các điều khoản về giao dịch với khách hàng.
\r\n\r\nCần lưu ý tới khả năng phục hồi sau tấn\r\ncông của các máy chủ được sử dụng cho\r\nthương mại điện tử và các vấn đề an toàn\r\ncủa kết nối mạng được yêu cầu cho triển khai các dịch vụ thương mại điện tử\r\n(xem 10.4.6).
\r\n\r\nThông tin khác
\r\n\r\nThương mại điện tử thường bị đe dọa bởi\r\nnhững mối đe dọa từ các hoạt động gian lận, các tranh cãi về giao kèo, tiết lộ\r\nhoặc sửa đổi thông tin.
\r\n\r\nThương mại điện tử
9.9.2. Các giao dịch trực tuyến
\r\n\r\nBiện pháp quản lý
\r\n\r\nThông tin trong các giao dịch trực tuyến\r\ncần được bảo vệ khỏi việc truyền thông tin không đầy đủ, sai địa chỉ, sửa đổi\r\nthông điệp trái phép, tiết lộ trái phép, sao chép thông điệp trái phép hoặc thực\r\nhiện lại giao dịch.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến các vấn đề an toàn\r\nsau trong thương mại điện tử:
\r\n\r\na) việc sử dụng chữ ký điện tử
b) tất cả các khía cạnh về giao dịch,\r\nnhằm đảm bảo rằng:
\r\n\r\n1) các ủy nhiệm người dùng của tất cả\r\ncác bên đều hợp lệ và đã được xác minh;
\r\n\r\n2) giao dịch đảm bảo tin cậy; và
\r\n\r\n3) tính riêng tư của tất cả các bên đều\r\nđược duy trì;
\r\n\r\nc) luồng thông tin trao đổi giữa tất cả\r\ncác bên tham gia đều được mã hóa;
\r\n\r\nd) các giao thức sử dụng nhằm trao đổi\r\nthông tin giữa tất cả các bên tham gia được đảm bảo an toàn;
\r\n\r\ne) đảm bảo rằng các thông tin chi tiết\r\nvề giao dịch được lưu trữ ở bên ngoài môi trường công cộng dễ truy cập, ví dụ nằm\r\ntrong một bộ phận lưu trữ thuộc mạng nội bộ của tổ chức, và không được lưu trữ\r\ntrong một môi trường lưu trữ dễ dàng truy cập trực tiếp từ Internet;
\r\n\r\nf) nếu sử dụng một chuyên gia đủ tin cậy\r\n(ví dụ để ban hành và duy trì các chữ ký
Thông tin khác
\r\n\r\nPhạm vi của các biện pháp
Các giao dịch có thể cần phải tuân\r\ntheo các quy định của luật pháp, các quy tắc và điều lệ trong phạm vi pháp lý\r\nmà giao dịch được khởi tạo, được xử lý, được hoàn thành, và/hoặc được lưu trữ.
\r\n\r\nCó rất nhiều loại hình giao dịch có thể\r\nđược thực hiện theo phương thức trực tuyến, ví dụ hợp đồng, tài chính...
\r\n\r\n9.9.3. Thông tin công khai
\r\n\r\nBiện pháp quản lý
\r\n\r\nTính toàn vẹn của các thông tin công\r\nkhai trên hệ thống công cộng cần phải được bảo vệ nhằm ngăn chặn sửa đổi trái\r\nphép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần có các cơ chế bảo vệ thích hợp, ví\r\ndụ chữ ký số (xem 11.3), nhằm bảo vệ các phần mềm, dữ liệu và các thông tin yêu\r\ncầu mức toàn vẹn cao khác sẽ được công bố trên hệ thống thông tin đại chúng. Hệ\r\nthống truy cập công cộng cần được kiểm tra trước khi thông tin được công bố.
\r\n\r\nCần có một quá trình phê chuẩn chính thức trước khi thông tin được công bố. Hơn\r\nnữa, tất cả các đầu vào được cung cấp từ bên ngoài hệ thống cũng cần được xác\r\nminh và phê chuẩn.
\r\n\r\nCác hệ thống xuất bản điện tử, đặc biệt\r\nlà các hệ thống cho phép phản hồi và đưa trực tiếp thông tin vào, cần được
a) thông tin thu được tuân theo các\r\nquy định pháp lý về bảo vệ dữ liệu (xem 14.1.4);
\r\n\r\nb) đầu vào thông tin tới và được xử lý\r\nbởi hệ thống xuất bản sẽ được xử lý hoàn chỉnh và chính xác đúng lúc;
\r\n\r\nc) thông tin nhạy cảm sẽ được bảo vệ\r\ntrong quá trình thu thập, xử lý và lưu trữ;
\r\n\r\nd) truy cập đến hệ thống xuất bản\r\nkhông cho phép truy cập không có mục đích vào các mạng mà hệ thống kết nối tới.
\r\n\r\nThông tin khác
\r\n\r\nThông tin trên hệ thống công cộng, ví\r\ndụ thông tin trên một máy chủ Web có thể truy cập qua Internet, có thể cần phải\r\ntuân theo các quy định của luật pháp, các quy tắc và điều lệ ở phạm vi pháp lý\r\nmà hệ thống đang tồn tại, nơi xảy ra giao dịch hoặc nơi ng
9.10. Giám sát
\r\n\r\n| \r\n Mục tiêu: Nhằm phát hiện các hoạt động\r\n xử lý thông tin trái phép \r\nCần giám sát các hệ thống và ghi lại\r\n các sự kiện liên quan đến an toàn thông tin. Các nhật ký Tổ chức cần tuân thủ tất cả các yêu\r\n cầu pháp lý liên quan trong các hoạt động giám sát và ghi nhật ký. \r\nGiám sát hệ thống cũng cần được sử dụng\r\n nhằm kiểm tra tính hiệu quả của các biện\r\n pháp quản lý được áp dụng và kiểm chứng sự phù hợp với một mô hình chính sách\r\n truy cập. \r\n | \r\n
9.10.1. Ghi nhật ký đánh giá
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc ghi lại tất cả các hoạt động của\r\nngười dùng, các lỗi ngoại lệ và các sự kiện an toàn thông tin cần phải được thực\r\nhiện và duy trì trong một khoảng thời gian theo thỏa thuận nhằm trợ giúp việc\r\nđiều tra và giám sát điều khiển truy cập sau này.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác nhật ký đánh giá cần bao gồm:
\r\n\r\na) các ID của người dùng;
\r\n\r\nb) ngày tháng, thời gian, và
c) vị trí hoặc nhận dạng cuối cùng nếu\r\ncó thể;
\r\n\r\nd) các báo cáo về những truy cập thành\r\ncông và bị từ chối;
\r\n\r\ne) các báo cáo về dữ liệu truy cập\r\nthành công và bị từ chối và những lần truy cập các nguồn tài nguyên khác;
\r\n\r\nf) những thay đổi về cấu hình hệ thống;
\r\n\r\ng) sử dụng đặc quyền;
\r\n\r\nh) sử dụng các ứng dụng và các tiện\r\ních hệ thống;
\r\n\r\ni) các tệp được truy cập và loại truy\r\ncập;
\r\n\r\nj) các địa chỉ và giao thức mạng;
\r\n\r\nk) các cảnh báo từ hệ thống điều khiển\r\ntruy cập;
\r\n\r\nl) việc kích hoạt và giải kích hoạt\r\ncác hệ thống bảo vệ, ví dụ như các hệ thống chống virut và các hệ thống phát hiện\r\nxâm nhập.
\r\n\r\nThông tin khác
\r\n\r\nCác nhật ký đánh giá có thể chứa dữ liệu\r\ncá nhân bí mật. Cần thực hiện các biện pháp bảo vệ riêng phù hợp (xem thêm\r\n14.1.4). Nếu có thể thì những người quản trị hệ thống không được phép xóa bỏ hoặc\r\ngiải kích hoạt các nhật ký về các hoạt động riêng của\r\nhọ (xem 9.1.3).
\r\n\r\n9.10.2. Giám sát sử dụng hệ thống
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thủ tục giám sát việc
Hướng dẫn triển khai
\r\n\r\nMức độ giám sát yêu cầu đối với từng\r\nthiết bị cần được xác định bằng đánh giá rủi ro. Tổ chức cần tuân thủ tất cả\r\ncác yêu cầu pháp lý liên quan áp dụng cho các hoạt động giám sát. Các phạm vi\r\ngiám sát cần được quan tâm bao gồm:
\r\n\r\na) truy cập được phép, bao gồm các\r\nthông tin chi tiết như:
\r\n\r\n1) ID của\r\nngười dùng;
\r\n\r\n2) ngày tháng và thời gian của các sự\r\nkiện quan trọng;
\r\n\r\n3) các loại sự kiện;
\r\n\r\n4) các tệp được truy cập;
\r\n\r\n5) các chương trình/tiện ích được sử dụng;
\r\n\r\nb) tất cả các hoạt động được ưu tiên,\r\nnhư:
\r\n\r\n1) sử dụng các tài khoản ưu tiên, ví dụ\r\nngười giám sát, gốc, người quản trị;
\r\n\r\n2) khởi động và dừng hệ thống;
\r\n\r\n3) cắm/tháo thiết bị I/O;
\r\n\r\nc) những nỗ lực truy cập trái phép,\r\nnhư:
\r\n\r\n1) các hành động bị lỗi hoặc bị từ chối\r\ncủa người dùng;
\r\n\r\n2) các hành động bị lỗi hoặc bị từ chối\r\nliên quan đến dữ liệu và các nguồn tài nguyên khác;
\r\n\r\n3) những vi phạm chính sách truy cập và\r\nnhững thông báo đối với các cổng và bức tường lửa của\r\nmạng;
\r\n\r\n4) các cảnh báo từ các hệ thống phát\r\nhiện xâm nhập riêng;
\r\n\r\nd) các cảnh báo hoặc lỗi hệ thống như:
\r\n\r\n1) các cảnh báo hoặc thông điệp từ bảng\r\nđiều khiển;
\r\n\r\n2) những ngoại lệ trên nhật ký hệ thống;
\r\n\r\n3) các cảnh báo về quản lý mạng;
\r\n\r\n4) các cảnh báo từ các hệ thống điều\r\nkhiển truy cập;
\r\n\r\ne) những thay đổi đối với, hoặc những\r\nnỗ lực thay đổi các cài đặt và biện pháp quản lý\r\nan toàn hệ thống.
\r\n\r\nTần suất soát xét các kết quả của hoạt\r\nđộng giám sát cần dựa trên các rủi ro liên quan. Các yếu tố rủi ro cần được lưu\r\ný bao gồm:
\r\n\r\na) tầm quan trọng của các quy
b) giá trị, độ nhạy cảm, và tầm quan\r\ntrọng của thông tin liên quan;
\r\n\r\nc) các trường hợp xâm nhập và lạm dụng\r\ntrước đây, và tần suất điểm yếu bị khai thác;
\r\n\r\nd) phạm vi của kết nối hệ thống (đặc biệt là các mạng công cộng);
\r\n\r\ne) phương tiện ghi nhật ký đang bị giải\r\nkích hoạt.
\r\n\r\nThông tin khác
\r\n\r\nCác thủ tục giám sát sử dụng rất cần\r\nthiết nhằm đảm bảo rằng người dùng chỉ đang thực hiện các hoạt động đã được cấp\r\nphép.
\r\n\r\nViệc soát xét lại nhật ký sẽ giúp hiểu\r\nđược những mối đe dọa mà hệ thống phải đối\r\nmặt và phương thức xuất hiện của chúng. 12.1.1 sẽ đưa ra những ví dụ về các sự\r\nkiện có thể yêu cầu phải điều tra thêm trong trường hợp có các sự cố an toàn thông tin.
\r\n\r\n9.10.3. Bảo vệ các thông tin nhật ký
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác chức năng ghi nhật ký và thông tin\r\nnhật ký cần được bảo vệ khỏi sự giả mạo và truy cập trái phép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác biện pháp cần hướng tới việc bảo vệ\r\nkhỏi những thay đổi trái phép và các vấn đề về sử dụng chức năng ghi nhật ký,\r\nbao gồm:
\r\n\r\na) những thay đổi đối với các loại\r\nthông điệp đã được ghi lại;
\r\n\r\nb) các tập nhật ký đã bị chỉnh sửa hoặc\r\nxóa bỏ;
\r\n\r\nc) dung lượng lưu trữ
Một số\r\nnhật ký đánh giá có thể được yêu cầu như một phần của chính sách lưu giữ các\r\nbáo cáo hoặc do các yêu cầu phải thu thập và lưu giữ chứng cứ (xem thêm\r\n12.2.3).
\r\n\r\nThông tin khác
\r\n\r\nCác nhật ký hệ thống thường chứa một\r\nlượng lớn thông tin, phần lớn trong số chúng lại không liên quan đến việc giám\r\nsát an toàn. Để dễ dàng nhận diện các sự kiện quan trọng cho các mục đích giám\r\nsát an toàn thì cần quan tâm đến việc tự động sao chép lại các loại thông điệp\r\nphù hợp vào một nhật ký thứ hai, và/hoặc sử dụng các tiện ích hệ thống phù hợp\r\nhoặc các công cụ đánh giá nhằm thực hiện điều tra và hợp lý hóa tệp.
\r\n\r\nCác nhật ký hệ thống cần được bảo vệ,\r\nvì nếu dữ liệu có thể bị sửa đổi hoặc dữ liệu trong nhật ký bị xóa bỏ thì sự tồn\r\ntại của chúng có thể gây ra lỗi an toàn\r\nthông tin.
\r\n\r\n9.10.4. Nhật ký của người điều hành và\r\nngười quản trị
\r\n\r\nBiện pháp
\r\n\r\nCác hoạt động của người quản trị và\r\nngười điều hành hệ thống cần được ghi vào\r\nnhật ký.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác nhật ký cần bao gồm các thông tin\r\nsau:
\r\n\r\na) thời gian xảy ra sự kiện (dù thành\r\ncông hay thất bại);
\r\n\r\nb) thông tin về sự kiện (ví dụ các tệp\r\nđược xử lý) hoặc sự cố (ví dụ lỗi xảy ra và hoạt động sửa lỗi đã được thực hiện);
\r\n\r\nc) tài khoản nào và người quản trị hoặc\r\nngười điều hành nào tham gia;
\r\n\r\nd) các hoạt động nào đã được thực hiện.
\r\n\r\nCần thường xuyên soát xét lại các nhật\r\nký của người điều hành và quản trị hệ thống.
\r\n\r\nThông tin
Bên cạnh việc kiểm soát những người quản\r\ntrị và điều hành, có thể sử dụng thêm hệ thống phát hiện xâm nhập nhằm giám sát\r\nhệ thống và các hoạt động quản trị mạng cần tuân thủ.
\r\n\r\n9.10.5. Ghi nhật ký lỗi
\r\n\r\nBiện pháp
\r\n\r\nCác lỗi cần được ghi lại, được phân\r\ntích và có các hoạt động xử lý cần thiết.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNhững lỗi được thông báo bởi người\r\ndùng hoặc bởi các chương trình hệ thống\r\nliên quan đến các hệ thống truyền thông hoặc xử lý thông tin cần được ghi vào\r\nnhật ký. Cần thiết lập các quy tắc rõ ràng nhằm xử lý các lỗi được thông báo,\r\nbao gồm:
\r\n\r\na) soát xét lại các nhật ký lỗi nhằm đảm\r\nbảo rằng các lỗi này đã được giải quyết thỏa đáng;
\r\n\r\nb) soát xét lại các biện pháp sửa lỗi\r\nnhằm đảm bảo rằng các biện pháp này vẫn hiệu quả, và hành động đã thực hiện là\r\nhoàn toàn được phép.
\r\n\r\nCần đảm bảo rằng chức năng ghi nhật ký\r\nlỗi đã được kích hoạt nếu chức năng này đã sẵn sàng.
\r\n\r\nThông tin khác
\r\n\r\nViệc ghi nhật ký lỗi và sự cố có thể ảnh\r\nhưởng đến chất lượng của hệ thống. Ghi nhật ký lỗi cần được thực hiện bởi một\r\nnhân viên có kỹ năng, và mức độ ghi nhật ký được yêu cầu đối
9.10.6. Đồng bộ thời gian
\r\n\r\nBiện pháp quản lý
\r\n\r\nĐồng hồ trên các hệ thống xử lý thông\r\ntin trong tổ chức hoặc trong một phạm vi an toàn cần được đồng bộ với một nguồn\r\nthời gian chính xác đã được đồng ý lựa chọn.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNếu một máy tính hoặc thiết bị truyền\r\nthông có khả năng điều khiển một đồng hồ thời gian thực thì đồng hồ này cần được\r\nđặt về một chuẩn theo thỏa thuận, ví dụ UTC hoặc thời gian chuẩn nội bộ. Vì một\r\nsố đồng hồ thường bị trôi thời gian nên cần có thủ tục kiểm tra và hiệu chỉnh đồng\r\nhồ.
\r\n\r\nCách hiển thị định dạng ngày/giờ rất\r\nquan trọng trong việc đảm bảo phản ánh đúng thời gian thực, cần lưu ý các đặc\r\nđiểm có tính chất địa phương (như thay đổi giờ theo mùa...).
\r\n\r\nThông tin khác
\r\n\r\nĐặt các đồng hồ máy tính một cách chính\r\nxác là vấn đề quan trọng nhằm đảm bảo tính chính xác của các nhật ký đánh giá, các nhật ký đánh giá này có thể cần cho\r\nviệc điều tra hoặc là bằng chứng trong các trường hợp vi phạm pháp luật hoặc kỷ\r\nluật. Các nhật ký đánh giá không chính xác có thể gây trở ngại cho các cuộc điều\r\ntra và làm ảnh hưởng đến độ tin cậy của\r\ncác bằng chứng. Đồng hồ được liên kết đến một chương trình phát thanh vô tuyến\r\ntừ một đồng hồ nguyên tử quốc gia có thể được sử\r\ndụng như đồng hồ chủ đối với các hệ thống ghi nhật ký. Có thể sử dụng một\r\ngiao thức thời gian mạng để giữ cho tất cả các đồng hồ tớ đều đồng bộ với đồng\r\nhồ chủ.
\r\n\r\n10. Quản\r\nlý\r\ntruy cập.
\r\n\r\n10.1. Yêu cầu nghiệp vụ đối với quản\r\nlý truy cập
\r\n\r\n| \r\n Mục tiêu: Quản lý các truy cập Truy cập thông tin, các phương tiện\r\n xử lý thông tin, và các quy trình nghiệp vụ cần được kiểm soát trên cơ sở các\r\n yêu cầu về nghiệp vụ và an toàn thông tin. \r\nCác quy tắc quản lý truy cập cần lưu ý các chính sách về phổ biến và cấp\r\n phép. \r\n | \r\n
10.1.1. Chính sách quản lý truy cập
\r\n\r\nBiện pháp quản lý
\r\n\r\nChính sách quản lý truy cập cần được thiết\r\nlập, ghi thành văn bản và soát xét dựa trên các\r\nyêu cầu nghiệp vụ và an toàn đối với các truy cập.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác quyền và nguyên tắc
Chính sách quản lý truy cập cần quan tâm\r\nđến các vấn đề sau:
\r\n\r\na) các yêu cầu về an toàn thông tin
b) nhận diện tất cả các thông tin liên\r\nquan tới các ứng dụng nghiệp vụ và các rủi ro đối với thông tin.
\r\n\r\nc) các chính sách về cấp phép và phổ\r\nbiến thông tin, ví dụ nhu cầu phải biết về nguyên tắc và các mức độ an toàn thông tin và phân loại thông tin (xem 6.2);
\r\n\r\nd) sự thống nhất các chính sách quản\r\nlý truy cập và phân loại thông tin của các\r\nmạng và các hệ thống khác nhau;
\r\n\r\ne) quy định của pháp luật và các nghĩa\r\nvụ thỏa thuận bất kỳ liên quan đến việc bảo vệ truy cập dữ liệu hoặc các dịch vụ\r\n(xem 14.1)
\r\n\r\nf) các hồ sơ truy cập chuẩn của người\r\ndùng đối với các vai trò nhiệm vụ chung trong tổ chức;
\r\n\r\ng) việc quản\r\nlý các quyền truy cập trong một môi trường nối mạng và phân tán, môi trường\r\nnày nhận ra tất cả các dạng kết nối sẵn có;
\r\n\r\nh) việc phân tách các vai trò quản lý\r\ntruy cập, ví dụ yêu cầu truy cập, việc cấp phép truy cập, quản trị truy cập;
\r\n\r\ni) các yêu cầu đối với việc cấp phép chính\r\nthức cho các yêu cầu truy cập (xem 10.2.1);
\r\n\r\nj) các yêu cầu đối với việc soát xét định\r\nkỳ những biện pháp quản lý truy cập;
\r\n\r\nk) loại bỏ các quyền truy cập (xem\r\n7.3.3).
\r\n\r\nThông tin khác
\r\n\r\nCần quan tâm tới các vấn đề sau khi xác\r\nđịnh các quy tắc quản lý truy cập:
\r\n\r\na) phân biệt giữa các quy tắc luôn phải\r\ntuân theo và các hướng dẫn có tính chất lựa chọn hoặc điều kiện;
\r\n\r\nb) thiết lập các quy tắc dựa trên tiêu\r\nchí “mọi thứ đều bị cấm trừ khi được công bố cho phép"
\r\n\r\nc) những thay đổi trong các nhãn thông\r\ntin (xem 6.2) được khởi tạo tự động bởi các phương tiện xử lý thông tin và do ý\r\nmuốn của một người dùng;
\r\n\r\nd) những thay đổi về việc cho phép người\r\ndùng được khởi tạo tự động bởi hệ thống thông tin và bởi một người quản trị hệ\r\nthống;
\r\n\r\ne) các quy tắc đòi hỏi hoặc không đòi\r\nhỏi phải được chấp thuận trước khi ban hành.
\r\n\r\nCác quy tắc quản lý truy cập cần được\r\nhỗ trợ bởi các thủ tục chính thức và các trách nhiệm đã được xác định rõ (ví dụ,\r\nxem 5.1.3; 10.3; 9.4.1; 10.6)
\r\n\r\n10.2. Quản lý truy cập người dùng
\r\n\r\n| \r\n Mục đích: Nhằm đảm bảo người dùng hợp\r\n lệ được truy cập và ngăn chặn những người\r\n dùng không hợp lệ truy cập trái phép tới các hệ thống thông tin. \r\nCác thủ tục chính thức phải được thực\r\n hiện nhằm quản lý việc cấp phát quyền truy cập các hệ thống và dịch vụ thông\r\n tin. \r\nCác thủ tục cần bao hàm tất cả các\r\n giai đoạn trong quá trình truy cập của người dùng, từ việc đăng ký khởi tạo\r\n những người dùng mới tới việc hủy bỏ đăng ký của những người dùng không còn yêu\r\n cầu truy cập tới các hệ thống và dịch vụ thông tin. Nếu thích hợp thì cần chú\r\n ý đến nhu cầu quản lý cấp phát các đặc quyền truy cập, tức là quyền cho phép\r\n người dùng bỏ qua các biện pháp quản lý hệ thống. \r\n | \r\n
10.2.1. Đăng ký người dùng
\r\n\r\nBiện pháp quản lý
\r\n\r\nCần thiết phải có một thủ tục chính thức\r\nvề đăng ký và hủy đăng ký người dùng để thực hiện cấp phát hoặc thu hồi quyền\r\ntruy cập đến tất cả các hệ thống và dịch vụ thông tin.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nThủ tục quản lý truy cập cho đăng ký\r\nhoặc hủy đăng ký người dùng cần bao gồm những điều sau:
\r\n\r\na) sử dụng các ID người dùng duy nhất\r\nnhằm cho phép nhiều người dùng có thể được liên kết tới và giữ trách nhiệm đối\r\nvới các hoạt động của họ; việc sử dụng các ID nhóm chỉ được cho phép nếu chúng\r\ncần thiết cho các lý do điều hành hoặc nghiệp vụ, và cần được phê duyệt và ghi\r\nvào văn bản.
\r\n\r\nb) kiểm tra xem người dùng đã được chủ\r\nsở hữu hệ thống cấp phép sử dụng hệ thống\r\nhoặc dịch vụ thông tin chưa; có thể cũng phù hợp nếu phê chuẩn riêng các quyền\r\ntruy cập từ ban quản lý;
\r\n\r\nc) kiểm tra xem mức độ truy cập được cấp\r\ncó phù hợp với mục đích nghiệp vụ (xem 10.1) và\r\nphù hợp với chính sách an ninh của tổ chức\r\nkhông, ví dụ nó không gây ảnh hưởng tới\r\nviệc phân tách nhiệm vụ (xem 9.1.3)
\r\n\r\nd) cấp cho người dùng một tờ thông báo\r\nvề các quyền truy cập của họ;
\r\n\r\ne) yêu cầu người dùng ký vào các tờ\r\nthông báo rằng họ đã hiểu các điều kiện truy cập;
\r\n\r\nf) đảm bảo rằng các nhà cung cấp dịch\r\nvụ không cung cấp truy cập cho tới khi đã hoàn tất các thủ tục cấp phép;
\r\n\r\ng) duy trì một hồ sơ chính thức về tất\r\ncả những người đã đăng ký sử dụng dịch vụ;
\r\n\r\nh) lập tức loại bỏ hoặc chặn các quyền\r\ntruy cập của những người dùng đã thay đổi vai trò hoặc công việc hoặc nghỉ việc;
\r\n\r\ni) kiểm tra định kỳ, loại bỏ hoặc chặn\r\ncác ID người dùng và các tài khoản thừa (xem 10.2.4);
\r\n\r\nj) đảm bảo rằng các ID thừa không được\r\ncấp cho những người dùng khác.
\r\n\r\nThông tin khác
\r\n\r\nCần quan tâm đến việc thiết lập các\r\nvai trò truy cập của người dùng dựa trên\r\ncác yêu cầu nghiệp vụ, các yêu cầu này tóm tắt nhiều quyền truy cập thành các hồ\r\nsơ truy cập riêng của người dùng. Các yêu cầu và các soát xét truy cập (xem\r\n10.2.4) sẽ được quản lý dễ dàng ở cấp độ vai trò hơn ở cấp các quyền cụ thể.
\r\n\r\nCần quan tâm đến các điều khoản của\r\ncác hợp đồng cá nhân và hợp đồng dịch vụ trong đó nói đến các hình phạt đối với\r\ncác truy cập trái phép thực hiện bởi cá nhân hoặc các phòng dịch vụ (xem thêm\r\n5.1.5, 7.1.3 và 8.2.3)
\r\n\r\n10.2.2. Quản lý đặc quyền
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc cấp phát và sử dụng các đặc quyền\r\ncần phải được giới hạn và kiểm soát.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNhững hệ thống nhiều người dùng có yêu\r\ncầu bảo vệ trước các truy cập trái phép cần được quản\r\nlý cấp phát đặc quyền thông qua một quy trình\r\ncấp phép chính thức. Những bước dưới đây cần được quan tâm:
\r\n\r\na) cần xác định các đặc quyền truy cập\r\ngắn liền với mỗi sản phẩm hệ thống, ví dụ hệ điều hành, hệ thống quản lý cơ
b) các đặc quyền cần được phân bổ cho\r\nnhững người dùng dựa trên cơ sở cần - sử dụng và trên cơ sở từng sự kiện phù hợp\r\nvới chính sách quản lý truy cập (10.1.1), nghĩa là yêu cầu tối thiểu đối
c) cần duy trì một quy
d) cần đẩy mạnh phát triển và
e) cần đẩy mạnh phát triển và sử dụng\r\ncác chương trình không cần chạy cùng
f) các đặc quyền phải được gán cho một\r\nID người dùng khác với các ID người dùng được sử dụng cho mục đích nghiệp vụ thông\r\nthường.
\r\n\r\nThông tin khác
\r\n\r\nViệc sử\r\ndụng không phù hợp các đặc quyền quản trị hệ thống (tính năng hay tiện\r\ních bất kỳ của hệ thống thông tin cho\r\nphép người dùng bỏ qua các biện pháp kiểm soát hệ thống hoặc ứng dụng) có thể\r\nlà một yếu tố chính gây ra các lỗi hay các lỗ hỏng hệ thống.
\r\n\r\n10.2.3. Quản lý mật khẩu người dùng
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc cấp phát mật khẩu người dùng cần\r\nđược kiểm soát thông qua một quy trình
Hướng dẫn triển khai
\r\n\r\nQuá trình\r\nquản lý mật khẩu người dùng cần bao hàm những yêu cầu sau:
\r\n\r\na) người\r\ndùng cần được yêu cầu ký vào một tờ in sẵn để giữ bí mật các mật khẩu cá nhân\r\nvà giữ các mật khẩu nhóm chỉ trong nội bộ các thành viên
b) khi người dùng được yêu cầu duy trì\r\ncác mật khẩu riêng của mình, ban đầu họ cần\r\nphải được cung cấp một mật khẩu an toàn tạm thời (xem 10.3.1), mật khẩu này sau\r\nđó sẽ buộc phải được thay đổi ngay;
\r\n\r\nc) thiết lập các thủ tục nhằm xác minh\r\ndanh tính của người dùng trước khi cung cấp\r\nmột mật khẩu mới, mật khẩu thay thế hoặc mật khẩu tạm thời;
\r\n\r\nd) các mật khẩu tạm thời phải được\r\ntrao cho người dùng một cách an toàn; việc sử dụng của bên thứ ba hoặc các thông\r\nđiệp thư điện tử không được bảo vệ cần được tránh;
\r\n\r\ne) các mật khẩu tạm thời phải là duy\r\nnhất đối với mỗi cá nhân và không thể đoán được;
\r\n\r\nf) người dùng cần có kiến thức về việc\r\nnhận các mật khẩu;
\r\n\r\ng) không được lưu mật khẩu trên các hệ\r\nthống máy tính ở định dạng không được bảo vệ;
\r\n\r\nh) các mật khẩu mặc định của nhà cung\r\ncấp cần được thay đổi ngay sau khi cài đặt hệ thống và phần mềm.
\r\n\r\nThông tin khác
\r\n\r\nMật khẩu là phương tiện phổ biến trong\r\nviệc xác minh danh tính của người dùng\r\ntrước khi truy cập tới các hệ thống thông tin hay các dịch vụ. Các công nghệ\r\nkhác để nhận dạng và xác thực người dùng, chẳng hạn như sinh trắc học, ví dụ\r\nnhư kiểm tra dấu vân tay, xác minh chữ ký, và sử dụng thẻ phần cứng, ví dụ thẻ\r\nthông minh, cần được sẵn sàng và cần được quan tâm nếu thích hợp.
\r\n\r\n10.2.4. Soát xét các quyền truy cập của\r\nngười dùng
\r\n\r\nBiện pháp quản lý
\r\n\r\nBan quản lý cần định kỳ soát xét các\r\nquyền truy cập của người dùng theo một quy trình\r\nchính thức.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc soát xét các quyền truy cập cần\r\nquan tâm đến các hướng dẫn sau đây:
\r\n\r\na) các quyền truy cập
b) các quyền truy cập của người dùng cần\r\nđược soát xét và phân bổ lại khi người dùng chuyển từ công việc này sang công\r\nviệc khác trong tổ chức;
\r\n\r\nc) các cấp phép cho các đặc quyền truy\r\ncập đặc biệt cần được soát xét thường xuyên hơn, ví dụ chu kỳ 3 tháng;
\r\n\r\nd) các phân bổ đặc quyền cũng phải được\r\nkiểm tra định kỳ nhằm đảm bảo rằng những đặc quyền chưa được cấp phép thì không\r\nđược sử dụng;
\r\n\r\ne) những thay đổi của các tài khoản đặc\r\nquyền cần được ghi vào nhật ký soát xét định kỳ.
\r\n\r\nThông tin khác
\r\n\r\nCần soát xét định kỳ các quyền truy cập\r\ncủa người\r\ndùng nhằm duy trì kiểm soát hiệu quả các truy cập tới các dữ liệu và dịch vụ\r\nthông tin.
\r\n\r\n10.3. Các trách nhiệm của người dùng
\r\n\r\n| \r\n Mục tiêu: Nhằm ngăn chặn người dùng\r\n trái phép truy cập, làm tổn hại hoặc lấy cắp thông tin cũng như các phương tiện\r\n xử lý thông tin. \r\nSự hợp tác của những người dùng đã được cấp phép rất cần thiết để đạt được\r\n hiệu quả an toàn thông tin. \r\nNgười\r\n dùng cần nhận thức được các trách nhiệm của mình trong việc duy trì các biện\r\n pháp quản lý truy cập hiệu quả, đặc biệt phải quan tâm đến việc sử dụng các mật\r\n khẩu và sự an toàn Cần triển khai chính sách màn hình sạch\r\n và bàn làm việc sạch nhằm giảm thiểu rủi ro truy cập trái phép hoặc làm hư hại\r\n văn bản giấy tờ, phương tiện và các phương tiện xử\r\n lý thông tin. \r\n | \r\n
10.3.1. Sử dụng
Biện pháp quản lý
\r\n\r\nNgười dùng phải được yêu cầu tuân thủ\r\nquy tắc thực hành an toàn tốt trong việc lựa chọn và sử dụng mật khẩu.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nTất cả những người dùng cần được tư vấn:
\r\n\r\na) giữ bí mật các mật khẩu;
\r\n\r\nb) tránh giữ hồ sơ (ví dụ giấy, tập\r\ntin phần mềm hoặc thiết bị cầm tay) của các mật khẩu, trừ khi hồ sơ này có thể\r\nđược lưu trữ an toàn và phương pháp lưu trữ đã được phê duyệt;
\r\n\r\nc) thay đổi mật khẩu bất cứ khi nào có\r\nbất kỳ dấu hiệu về tổn hại hệ thống hoặc mật khẩu;
\r\n\r\nd) chọn mật khẩu chất lượng
1) dễ nhớ;
\r\n\r\n2) không dựa trên bất cứ điều gì mà\r\nngười khác có thể dễ dàng đoán hoặc có được nhờ các thông tin có liên quan tới\r\ncá nhân đó, ví dụ như tên, số điện thoại, và ngày tháng năm sinh...
\r\n\r\n3) không dễ bị tổn hại bởi những tấn\r\ncông dò tìm mật khẩu thông qua từ điển (tức là không chứa các từ có trong từ điển);
\r\n\r\n4) không phải là dạng các ký tự hay\r\ncác số giống nhau liên tiếp.
\r\n\r\ne) thay đổi mật khẩu theo định kỳ hay\r\ndựa trên số lần truy cập (mật khẩu cho các tài khoản đặc quyền cần thay đổi mật\r\nkhẩu thường xuyên hơn bình thường), và tránh sử dụng lại mật khẩu cũ hoặc quay\r\nvòng các mật khẩu cũ;
\r\n\r\nf) thay đổi mật khẩu tạm thời ở lần\r\ntruy cập đầu tiên;
\r\n\r\ng) không đưa mật khẩu vào thủ tục đăng\r\nnhập tự động, ví dụ được lưu trữ trong chương\r\ntrình macro hay khóa chức năng;
\r\n\r\nh) không chia sẻ mật khẩu người dùng\r\ncá nhân;
\r\n\r\ni) không sử dụng chung một mật khẩu\r\ncho tất cả các mục đích nghiệp vụ và không phải nghiệp vụ.
\r\n\r\nNếu người dùng cần truy cập nhiều dịch\r\nvụ, hệ thống hay nền tảng chương trình và\r\nđược yêu cầu phải duy trì nhiều mật khẩu riêng thì họ phải được tư vấn rằng họ\r\ncó thể sử dụng một mật khẩu chất lượng, duy nhất (xem phần d) ở trên) cho tất cả\r\ncác dịch vụ mà người dùng được bảo đảm rằng mức độ bảo vệ hợp lý đã được thiết\r\nlập đối với việc lưu trữ mật khẩu trong mỗi dịch vụ, hệ thống hay nền tảng
Thông tin khác
\r\n\r\nViệc quản lý hệ thống hỗ trợ để giải\r\nquyết các mật khẩu bị mất hoặc quên cần được đặc biệt quan tâm vì đây cũng có\r\nthể là một phương tiện tấn công hệ thống mật khẩu.
\r\n\r\n10.3.2. Thiết bị người dùng khi không\r\nsử dụng
\r\n\r\nBiện pháp quản lý
\r\n\r\nNgười dùng cần đảm bảo rằng thiết bị\r\nphải được bảo vệ thích hợp khi không sử dụng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nMọi người dùng cần được trang bị kiến\r\nthức về các yêu cầu và thủ tục an toàn thông tin trong việc bảo vệ thiết bị khi\r\nkhông sử dụng, cũng như trách nhiệm của họ\r\ntrong việc thực hiện bảo vệ. Người dùng cần được tư vấn về:
\r\n\r\na) đóng các phiên làm việc khi đã hoàn\r\ntất, trừ khi chúng có thể được bảo vệ an toàn bằng một cơ chế chặn thích hợp,\r\nví dụ trình bảo vệ màn hình được bảo vệ bằng\r\nmật khẩu;
\r\n\r\nb) thoát
c) khi không sử dụng thì cần bảo vệ an\r\ntoàn cho các máy tính PC hay thiết bị đầu cuối khỏi việc sử dụng trái phép bằng\r\nmột khóa có chìa hoặc một biện pháp bảo vệ tương đương, ví dụ như: truy cập qua\r\nmật khẩu (xem thêm 10.3.3).
\r\n\r\nThông tin khác
\r\n\r\nThiết bị được lắp đặt trong phạm vi của\r\nngười dùng, ví dụ các máy trạm hoặc các máy chủ tệp tin, có thể yêu cầu bảo vệ\r\nriêng trước sự truy cập trái phép khi không được dùng tới trong thời gian dài.
\r\n\r\n10.3.3. Chính sách màn hình sạch và\r\nbàn làm việc sạch
\r\n\r\nBiện pháp quản lý
\r\n\r\nChính sách bàn làm việc sạch không có\r\ngiấy và các phương tiện lưu trữ di động và chính sách màn hình sạch cho các\r\nphương tiện xử lý thông tin phải được thực hiện.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nChính sách màn hình sạch và bàn làm việc\r\nsạch cần lưu ý đến việc phân loại thông tin (xem 6.2), các yêu cầu pháp lý và\r\nyêu cầu hợp đồng (xem 14.1), các rủi ro tương ứng và các khía cạnh văn hóa
a) thông tin nghiệp vụ quan trọng hoặc\r\nnhạy cảm, ví dụ trên giấy tờ hay trên các thiết bị lưu trữ điện tử, cần được\r\nkhóa lại (lý tưởng là được giữ trong kết\r\nsắt, tủ hoặc các phương tiện an toàn khác) khi không cần dùng tới, đặc biệt là\r\nkhi phòng làm việc bị bỏ trống;
\r\n\r\nb) máy tính và các thiết bị đầu cuối cần\r\nđược thoát hoặc được bảo vệ bằng màn hình bảo vệ hoặc cơ chế khóa bàn phím bằng\r\nmật khẩu, thẻ hoặc cơ chế xác thực người dùng tương tự khi không sử dụng nữa;
\r\n\r\nc) các đầu mối thư đến và đi và các\r\nmáy fax khi không sử dụng cũng cần được bảo vệ;
\r\n\r\nd) việc sử\r\ndụng trái phép các máy chụp và các kỹ thuật sao chép khác (ví dụ các máy\r\nquét, máy ảnh kỹ thuật số) phải được ngăn chặn;
\r\n\r\ne) các tài liệu chứa thông tin nhạy cảm\r\nhay thông tin đã được phân loại cần được lấy khỏi máy in ngay lập tức.
\r\n\r\nThông tin khác
\r\n\r\nChính sách màn hình/bàn làm việc sạch\r\nsẽ giảm thiểu các rủi ro do truy cập trái phép, mất cắp, và hư hại thông tin\r\ntrong và ngoài giờ làm việc. Các két sắt\r\nhay các phương tiện chứa an toàn khác cũng có thể bảo vệ thông tin trước các thảm\r\nhọa như cháy nổ, động đất, lụt lội.
\r\n\r\nCần quan tâm sử dụng các máy in có chức\r\nnăng mã khóa, khi đó chỉ những người đã tạo mã mới có thể vận hành máy.
\r\n\r\n10.4. Quản lý truy cập mạng
\r\n\r\n| \r\n Mục tiêu: Nhằm ngăn chặn truy cập\r\n trái phép tới các dịch vụ mạng. \r\nTruy cập tới các dịch vụ kết nối mạng\r\n trong nội bộ hay ra bên ngoài mạng đều cần được quản lý. \r\nTruy cập của người dùng tới các mạng\r\n và các dịch vụ mạng không được làm tổn hại đến sự an toàn của các dịch vụ mạng\r\n nếu bảo đảm: \r\na) các giao diện phù hợp giữa mạng của\r\n tổ chức và các mạng thuộc sở hữu của\r\n các tổ chức khác, và các mạng công cộng; \r\nb) các cơ chế xác thực phù hợp được\r\n áp dụng cho mọi người dùng và thiết bị; \r\nc) quản lý truy cập người dùng tới\r\n các dịch vụ thông tin là yêu cầu bắt buộc. \r\n | \r\n
10.4.1. Chính sách sử dụng các dịch vụ\r\nmạng
\r\n\r\nBiện pháp quản lý
\r\n\r\nNgười dùng chỉ được cung cấp quyền\r\ntruy cập đến các dịch vụ mà họ đã được cho phép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần xây dựng chính sách về
a) các mạng và dịch vụ mạng đã được\r\ncho phép truy cập;
\r\n\r\nb) các thủ tục cấp phép nhằm xác định\r\nai đã được phép truy cập tới các mạng và dịch vụ mạng nào;
\r\n\r\nc) các thủ tục và các biện pháp quản lý\r\nnhằm bảo vệ truy cập tới các kết nối mạng\r\nvà dịch vụ mạng;
\r\n\r\nd) các phương thức được sử dụng để\r\ntruy cập tới các mạng và dịch vụ mạng (ví dụ các\r\nđiều kiện để cho phép truy cập bằng quay số tới một nhà cung cấp Internet hoặc\r\nhệ thống từ xa).
\r\n\r\nChính sách về việc sử dụng các dịch vụ\r\nmạng cần phù hợp với chính sách quản lý truy cập nghiệp vụ (xem 10.1).
\r\n\r\nThông tin khác
\r\n\r\nCác kết nối trái phép và không an toàn\r\ntới các dịch vụ mạng có thể ảnh hưởng tới\r\ntoàn bộ tổ chức. Biện pháp quản lý này đặc biệt quan trọng cho các kết nối mạng\r\ntới các ứng dụng nghiệp vụ quan trọng hoặc nhạy cảm hoặc tới người dùng ở các vị\r\ntrí có mức rủi ro cao, ví dụ như các khu\r\nvực bên ngoài hay khu vực công cộng mà nằm ngoài sự kiểm soát và quản lý an\r\ntoàn của tổ chức.
\r\n\r\n10.4.2. Xác thực người dùng cho các
Biện pháp quản lý
\r\n\r\nCác biện pháp xác thực thích hợp cần\r\nđược sử dụng để quản lý truy cập bởi các người dùng từ xa.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc xác thực người dùng từ xa có thể\r\nđược thực hiện bằng, ví dụ, kỹ thuật mật mã, thẻ bài cứng, hoặc một giao thức\r\nthách thức/đáp ứng. Một số hình thức triển khai của các kỹ thuật như vậy có thể\r\ntìm thấy trong giải pháp mạng riêng ảo (VPN). Có thể sử dụng các đường truyền\r\nriêng chuyên dụng để đảm bảo nguồn của\r\ncác kết nối.
\r\n\r\nCác thủ tục và các biện pháp
Xác thực nút có thể đóng vai trò như một\r\nbiện pháp khác thay thế xác thực nhóm những người dùng từ xa có kết nối tới một\r\nthiết bị máy tính dùng chung và an toàn. Các kỹ thuật mật mã, ví dụ dựa trên\r\ncác chứng nhận máy móc, có thể được sử dụng để xác thực nút. Đây là một bộ phận\r\ncủa một số giải pháp dựa trên VPN.
\r\n\r\nCần triển khai thêm các biện pháp quản\r\nlý bằng xác thực để quản lý truy cập tới\r\ncác mạng không dây. Đặc biệt, cần quan tâm đặc biệt đến việc lựa chọn các biện\r\npháp quản lý các mạng không dây vì chúng có nhiều khả năng bi xâm phạm và chèn\r\nthêm lưu lượng mạng mà không bị phát hiện.
\r\n\r\nThông tin khác
\r\n\r\nCác kết nối bên ngoài tiềm tàng sự\r\ntruy cập trái phép tới thông tin nghiệp vụ, ví dụ truy cập bằng các phương pháp\r\nquay số. Có nhiều phương pháp xác thực khác nhau, một số trong số chúng
Một phương tiện hỗ trợ kết nối tự động\r\nđến một máy tính từ xa cũng có thể là một cách để có thể có được truy cập trái\r\nphép tới một ứng dụng nghiệp vụ. Và càng đặc biệt quan trọng nếu
10.4.3. Đ
Biện pháp quản lý
\r\n\r\nĐịnh dạng thiết bị tự động cần được\r\nxem xét như một biện pháp để xác thực các kết nối từ những vị trí
Hướng dẫn triển khai
\r\n\r\nĐịnh danh thiết bị có thể được sử dụng\r\nnếu sự truyền thông chỉ có thể được khởi tạo từ một vị trí hoặc thiết bị cụ thể.\r\nCó thể sử dụng một bộ định danh tích hợp hoặc được gắn vào thiết bị để chỉ ra\r\nxem liệu thiết bị này có được phép kết nối tới mạng không. Những bộ định danh này\r\ncần chỉ rõ mạng mà thiết bị được phép kết\r\nnối tới nếu có nhiều mạng đang tồn tại và nhất là khi các mạng này có độ nhạy cảm\r\nkhác nhau. Có thể cũng cần chú ý tới vấn đề bảo vệ vật lý
Thông tin khác
\r\n\r\nBiện pháp quản lý này có thể được sử dụng\r\nkết hợp với các kỹ thuật khác để xác thực người dùng thiết bị (xem\r\n10.4.2).Ngoài ra, định danh thiết bị có thể cũng được áp dụng để hỗ trợ xác thực\r\nngười dùng.
\r\n\r\n10.4.4. Chuẩn đoán từ xa và bảo vệ cổng\r\ncấu hình
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác truy cập vật lý và logic tới các cổng\r\ndùng cho việc cấu hình và chuẩn đoán cần được kiểm soát.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác biện pháp quản lý tiềm năng đối với\r\ntruy cập tới các cổng cấu hình và chuẩn đoán bao gồm sử dụng khóa có chìa và\r\ncác thủ tục hỗ trợ kiểm soát truy cập vật lý tới cổng. Một ví dụ của các thủ tục\r\nhỗ trợ là đảm bảo rằng các cổng cấu hình và chuẩn đoán chỉ có thể được truy cập\r\nnếu có sự dàn xếp giữa người quản lý dịch\r\nvụ máy tính và nhân viên bảo trì phần cứng/phần mềm có yêu cầu truy cập.
\r\n\r\nCác cổng, dịch vụ, và các tính năng\r\ntương tự được cài đặt trên một máy tính hay thiết bị mạng mà không đặc biệt cần\r\nthiết cho chức năng nghiệp vụ, cần bị vô hiệu hóa hoặc loại bỏ.
\r\n\r\nThông tin khác
\r\n\r\nNhiều hệ thống máy tính, hệ thống mạng\r\nvà hệ thống truyền thông được cài đặt tính năng chuẩn đoán hoặc cấu hình từ xa\r\nđể các kỹ sư bảo dưỡng sử dụng. Nếu không được bảo vệ thì các cổng chuẩn đoán\r\nnày cũng sẽ là một phương tiện truy cập trái phép.
\r\n\r\n10.4.5. Phân tách trên mạng
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác nhóm người dùng, dịch vụ và hệ thống\r\nthông tin cần được phân tách trên các mạng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nMột phương pháp kiểm soát an toàn cho\r\ncác mạng lớn là phân tách chúng thành các vùng mạng logic, ví dụ các vùng mạng\r\nbên trong và các vùng mạng bên ngoài của tổ chức, mỗi vùng được bảo vệ bởi một\r\nvành đai an toàn xác định. Một bộ các biện pháp quản lý tăng tiến có thể được\r\náp dụng trong các vùng mạng logic khác nhau để tiếp tục phân tách tiếp các môi\r\ntrường an ninh mạng, ví dụ các hệ thống truy cập công cộng, các mạng nội bộ và\r\ncác tài sản quan trọng. Các vùng cần được xác định dựa trên quá trình đánh giá\r\nrủi ro và các yêu cầu an toàn thông tin khác nhau trong từng lĩnh vực.
\r\n\r\nMột vành đai mạng như vậy có thể được\r\ntriển khai khi cài đặt một cổng an toàn giữa hai mạng kết nối với nhau để quản\r\nlý truy cập và luồng thông tin giữa hai miền, cổng an toàn này cần được cấu hình\r\nđể lọc lưu lượng giữa các miền này (xem 10.4.6 và 10.4.7) và chặn truy cập trái\r\nphép theo quy định của chính sách quản lý truy cập của tổ chức (xem 10.1). Tường\r\nlửa là một ví dụ của cổng an toàn. Một phương pháp phân tách các miền logic\r\nkhác là hạn chế truy cập mạng bằng cách sử dụng mạng riêng ảo cho các nhóm người\r\ndùng trong tổ chức.
\r\n\r\nCác mạng cũng có thể được phân tách nhờ\r\ntính năng của thiết bị mạng, ví dụ chuyển mạch IP. Khi đó các miền phân tách có\r\nthể được triển khai khi quản lý các luồng dữ liệu mạng bằng các năng lực định\r\ntuyến/chuyển mạch, ví dụ tính năng danh sách quản lý truy cập.
\r\n\r\nTiêu chí phân tách mạng cần dựa trên chính\r\nsách quản lý truy cập và các yêu cầu truy cập (xem 9.1), và cũng cần xem xét\r\nchi phí tương đối và ảnh hưởng của định tuyến mạng hợp lý hoặc công nghệ cổng\r\nlên chất lượng mạng (xem 10.4.6 và 10.4.7).
\r\n\r\nHơn nữa, việc phân tách mạng cũng cần\r\ndựa trên giá trị và sự phân loại thông tin được lưu trữ hoặc được xử lý trong mạng,\r\ncác mức độ tin cậy hoặc các giới hạn nghiệp vụ để làm giảm ảnh hưởng tổng thể của\r\nviệc phân tách dịch vụ.
\r\n\r\nCần quan tâm đến việc phân tách các mạng\r\nkhông dây khỏi các mạng nội bộ và mạng cá nhân. Nếu không xác định được các\r\nvành đai mạng của mạng không dây thì cần thực hiện đánh giá rủi ro để xác định\r\ncác biện pháp quản lý (ví dụ xác thực mạnh, các phương pháp mã hóa, và lựa chọn\r\ntần số) để duy trì sự phân tách mạng.
\r\n\r\nThông tin
Mạng càng ngày càng có xu hướng mở rộng\r\nra ngoài ranh giới của tổ chức, vì các\r\nquan hệ đối tác kinh doanh được hình thành có thể yêu cầu kết nối hoặc chia sẻ\r\ncác phương tiện mạng và phương tiện xử lý thông tin. Các mạng mở rộng có thể\r\nlàm tăng nguy cơ truy cập trái phép vào các hệ thống thông tin hiện đang sử dụng\r\nmạng, một số mạng mở rộng có thể đòi hỏi phải được bảo vệ trước những người dùng\r\nmạng khác vì tính chất quan trọng hay độ nhạy cảm của\r\ncác mạng này.
\r\n\r\n10.4.6. Quản lý kết nối mạng
\r\n\r\nBiện pháp quản lý
\r\n\r\nĐối với các mạng chia sẻ, đặc biệt là\r\ncác mạng mở rộng ra ngoài tổ chức, số người\r\ndùng có thể kết nối vào mạng phải được giới\r\nhạn, phù hợp với các chính sách quản lý truy cập và các yêu cầu trong ứng dụng\r\nnghiệp vụ (xem 10.1)
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác quyền truy cập mạng của người dùng\r\ncần được duy trì và cập nhật theo yêu cầu của chính sách quản lý truy cập (xem\r\n10.1).
\r\n\r\nKhả năng kết\r\nnối của người dùng cần được hạn chế thông qua các cổng mạng, cổng mạng này lọc\r\nlưu lượng bằng các luật hoặc các bảng đã xác định trước. Dưới đây là các ví dụ
a) Thông điệp, ví dụ thư điện tử;
\r\n\r\nb) truyền tệp;
\r\n\r\nc) truy cập tương tác;
\r\n\r\nd) truy cập ứng dụng.
\r\n\r\nCần quan tâm đến việc liên kết các quyền\r\ntruy cập mạng vào các thời điểm nhất định trong ngày hoặc ngày.
\r\n\r\nThông tin khác
\r\n\r\nSự phối hợp các biện pháp quản lý nhằm\r\nhạn chế khả năng kết nối của người dùng có\r\nthể được yêu cầu bởi chính sách quản lý truy cập đối với các mạng chia sẻ, đặc\r\nbiệt là những mạng mở rộng ra ngoài ranh giới của tổ chức.
\r\n\r\n10.4.7. Quản lý định tuyến mạng
\r\n\r\nBiện pháp quản lý
\r\n\r\nQuản lý định tuyến mạng cần được triển\r\nkhai nhằm đảm bảo các kết nối máy tính và\r\nluồng thông tin không vi phạm chính sách quản lý truy cập của các ứng dụng nghiệp\r\nvụ.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác biện pháp quản lý việc định tuyến cần được dựa trên cơ chế kiểm tra địa chỉ\r\nnguồn và địa chỉ đích.
\r\n\r\nCác cổng bảo vệ cần được sử dụng nhằm\r\nxác nhận địa chỉ nguồn và địa chỉ đích tại các điểm quản lý bên trong và bên ngoài mạng nếu có các kỹ thuật chuyển đổi địa chỉ mạng và/hoặc máy trung gian được\r\nsử dụng. Những người thực hiện cần phải có sự hiểu biết về tính đầy đủ và sự\r\nthiếu sót của bất kỳ cơ cấu nào được triển\r\nkhai. Các yêu cầu đối với biện pháp quản lý định tuyến mạng cần dựa trên các chính\r\nsách quản lý truy cập (xem 10.1).
\r\n\r\nThông tin khác
\r\n\r\nCác mạng có chia sẻ, đặc biệt là các mạng\r\nmở rộng ra ngoài ranh giới của tổ chức có\r\nthể yêu cầu thêm các biện pháp định tuyến. Điều này đặc biệt đúng với các mạng\r\nđược chia sẻ với người dùng thuộc bên thứ ba (không thuộc tổ chức).
\r\n\r\n10.5. Quản lý truy cập hệ
| \r\n Mục tiêu: Nhằm ngăn ngừa việc truy cập\r\n trái phép tới hệ điều hành. \r\nCác tiện ích bảo vệ cần được sử dụng\r\n để giới hạn truy cập tới hệ điều hành chỉ với những người dùng được phép. Các\r\n tiện ích này cần có những năng lực sau: \r\na) xác thực những người dùng đã được\r\n cấp phép, phù hợp với chính sách quản lý truy cập đã xác định; \r\nb) ghi lại những nỗ lực xác thực hệ\r\n thống thành công và thất bại; \r\nc) ghi lại việc sử dụng các đặc quyền\r\n của hệ thống ưu tiên; \r\nd) đưa ra các cảnh báo khi chính\r\n sách an toàn hệ thống bị vi phạm; \r\ne) cung cấp biện pháp xác thực thích\r\n hợp; \r\nf) nếu thích hợp thì phải hạn chế thời\r\n gian kết nối của người dùng. \r\n | \r\n
10.5.1. Các thủ tục đăng nhập\r\nan toàn
\r\n\r\nBiện pháp Quản lý
\r\n\r\nTruy cập đến các hệ điều h
Hướng dẫn triển khai
\r\n\r\nThủ tục đăng nhập vào một hệ điều hành\r\ncần được thiết kế để tối giảm cơ hội truy cập trái phép. Vì vậy thủ tục đăng nhập\r\ncần tối giảm thông tin về hệ thống nhằm tránh phải cung cấp hỗ trợ không cần\r\nthiết cho những người dùng trái phép. Một thủ tục đăng nhập tốt cần:
\r\n\r\na) không hiển thị những nhận dạng ứng\r\ndụng hoặc hệ thống cho tới khi quá trình đăng\r\nnhập đã được thiết lập thành công;
\r\n\r\nb) Hiển thị cảnh báo chung rằng chỉ những\r\nngười dùng đã được cấp phép mới được truy cập vào máy tính;
\r\n\r\nc) không cung cấp những thông điệp\r\ngiúp đỡ hỗ trợ người dùng trái phép trong thủ tục đăng nhập;
\r\n\r\nd) kiểm tra tính hợp lệ của thông tin đăng\r\nnhập chỉ khi đã hoàn tất tất cả các dữ liệu đầu vào. Nếu xuất hiện một điều kiện\r\nsai thì hệ thống không được chỉ ra phần dữ liệu đúng hoặc sai.
\r\n\r\ne) giới hạn số lần cố gắng đăng nhập\r\nkhông thành công được cho phép, ví dụ nhiều nhất là ba lần, và phải quan tâm tới\r\nviệc:
\r\n\r\n1) ghi lại những lần cố gắng đăng nhập\r\nthất bại và thành công;
\r\n\r\n2) đưa ra khoảng thời gian trễ bắt buộc\r\ntrước khi tiếp tục cố gắng đăng nhập tiếp hoặc từ chối các cố gắng đăng nhập tiếp\r\nmà không cần cấp phép;
\r\n\r\n3) ngắt các kết nối liên kết dữ liệu;
\r\n\r\n4) gửi một thông điệp cảnh báo tới bảng\r\nđiều khiển hệ thống nếu số lần cố gắng đăng nhập tối đa đã hết;
\r\n\r\n5) đặt số lần thử lại mật khẩu cùng với\r\nđộ dài tối thiểu của mật khẩu và giá trị của hệ thống được bảo vệ;
\r\n\r\nf) giới hạn thời gian tối đa và tối\r\nthiểu được phép cho thủ tục đăng nhập. Nếu đã vượt qua thời gian này,
g) Hiển thị thông tin dưới đây sau khi\r\nhoàn thành thủ tục đăng nhập:
\r\n\r\n1) Ngày và giờ của lần đăng nhập thành\r\ncông trước đó;
\r\n\r\n2) Những chi tiết về các lần cố gắng đăng\r\nnhập không thành công kể từ lần đăng nhập thành công gần nhất;
\r\n\r\nh) không hiển thị mật khẩu đã được đưa\r\nvào hoặc cân nhắc tới việc ẩn các ký tự mật khẩu bằng các biểu tượng;
\r\n\r\ni) không truyền các mật khẩu dưới dạng\r\nký tự rõ ràng trên mạng.
\r\n\r\nThông tin khác
\r\n\r\nNếu mật khẩu được truyền đi dưới dạng\r\nký tự rõ ràng trong suốt quá trình đăng\r\nnhập trên mạng, chúng có thể bị bắt bởi chương\r\ntrình “nghe lén" trên mạng.
\r\n\r\n10.5.2. Định danh và xác thực người\r\ndùng
\r\n\r\nBiện pháp quản lý
\r\n\r\nTất cả những người dùng đều phải có một\r\nđịnh danh duy nhất (định danh người dùng\r\n-User ID) để sử dụng riêng cho họ. Một kỹ thuật xác thực thích hợp cần được chọn\r\nnhằm chứng thực đặc điểm nhận dạng của người dùng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nBiện pháp quản lý này cần được áp dụng cho tất cả các loại người dùng (bao\r\ngồm nhân viên hỗ trợ kỹ thuật, nhà điều hành, người quản trị mạng, người lập
Các ID của người dùng cần được sử dụng\r\nnhằm theo dõi các hoạt động cá nhân. Không được thực hiện những hoạt động của\r\nngười dùng thông thường từ các tài khoản đặc quyền.
\r\n\r\nTrong những trường hợp ngoại lệ, khi\r\ncó một lợi ích nghiệp vụ rõ ràng, có thể sử dụng một ID người dùng chia sẻ\r\ntrong một nhóm người dùng hoặc một công việc nhất định. Sự thông qua
Các ID chung được dùng bởi cá nhân chỉ\r\nđược cho phép nếu các chức năng đó dễ truy cập hoặc các hoạt động được thực hiện\r\nbởi ID đó không cần được theo dõi (ví dụ chỉ truy cập để đọc), hoặc nếu đã thực\r\nhiện các biện pháp quản lý (ví dụ mật khẩu cho ID chung chỉ được cấp cho một\r\nnhân viên tại một thời điểm).
\r\n\r\nKhi có yêu cầu xác thực mạnh và xác\r\nminh định danh thì các phương pháp xác thực thay thế mật khẩu, ví dụ các phương\r\ntiện mã hóa, thẻ thông minh, thẻ hoặc các phương tiện sinh trắc học hay mã\r\nthông báo, sẽ được sử dụng.
\r\n\r\nThông tin khác
\r\n\r\nCác mật khẩu (xem 10.3.1 và 10.5.3) là\r\ncách rất phổ biến để cung cấp định danh và xác thực dựa trên một bí mật mà chỉ\r\nngười dùng mới biết. Tương tự như vậy với các phương tiện mã hóa và các giao thức\r\nxác thực. Độ mạnh của định danh và xác thực phải phù\r\nhợp với độ nhạy cảm của thông tin được truy cập.
\r\n\r\nCác phương tiện khác như thẻ nhớ hoặc\r\nthẻ thông minh mà người dùng sở hữu cũng có thể được sử dụng để định danh và\r\nxác thực. Các kỹ thuật xác thực bằng sinh trắc học sử dụng các đặc điểm hoặc\r\nthuộc tính duy nhất của một cá nhân cũng\r\ncó thể được sử dụng để xác thực nhận dạng\r\ncá nhân. Sự kết hợp của các kỹ thuật và các cơ chế một cách an toàn sẽ cho tính\r\nnăng xác thực mạnh hơn.
\r\n\r\n10.5.3. Hệ thống quản lý mật khẩu
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác hệ thống quản lý mật khẩu phải có\r\nkhả năng tương tác và đảm bảo chất lượng của mật khẩu.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nMột hệ thống quản lý mật khẩu cần:
\r\n\r\na) bắt buộc sử dụng các ID và mật khẩu\r\ncá nhân riêng để duy trì khả năng giải trình\r\ntrách nhiệm;
\r\n\r\nb) cho phép người dùng chọn và thay đổi\r\nmật khẩu của họ và có thủ tục xác nhận để\r\ncho phép các lỗi đầu vào;
\r\n\r\nc) bắt buộc phải chọn các mật khẩu chất\r\nlượng (xem 10.3.1);
\r\n\r\nd) bắt buộc phải thay đổi mật khẩu\r\n(xem 10.3.1);
\r\n\r\ne) bắt buộc người dùng thay đổi các mật\r\nkhẩu tạm thời ở lần đăng nhập đầu tiên (xem 10.2.3);
\r\n\r\nf) duy trì hồ sơ gồm các mật khẩu trước\r\nđó của người dùng và ngăn chặn việc sử dụng lại;
\r\n\r\ng) không hiển thị các mật khẩu trên\r\nmàn hình khi nó đang được nhập vào hệ thống;
\r\n\r\nh) lưu trữ các tệp mật khẩu riêng với\r\ndữ liệu hệ thống ứng dụng;
\r\n\r\ni) lưu trữ và truyền mật khẩu theo dạng\r\nđã được bảo vệ (ví dụ ở dạng đã mã hóa hoặc hàm băm).
\r\n\r\nThông tin
Mật khẩu là một trong những phương tiện\r\ncơ bản trong việc xác minh quyền của người dùng được phép truy cập tới một dịch\r\nvụ máy tính.
\r\n\r\nMột vài ứng dụng yêu cầu mật khẩu người\r\ndùng phải được ấn định bởi một cơ quan có\r\nthẩm quyền độc lập; trong trường hợp này,\r\nđiểm b), d) và e) của hướng dẫn trên đây không được áp dụng. Trong hầu hết các\r\ntrường hợp mật khẩu được lựa chọn và duy trì bởi người dùng. Xem phần 10.3.1 hướng\r\ndẫn về sử dụng mật khẩu.
\r\n\r\n10.5.4. Sử dụng các tiện ích hệ thống
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc sử dụng các
Hướng dẫn triển khai
\r\n\r\nNhững hướng dẫn sau đây về việc sử dụng\r\ncác tiện ích hệ thống cần được quan tâm:
\r\n\r\na) sử dụng các thủ tục định danh, thẩm\r\nđịnh và cấp phép cho các tiện ích của hệ thống;
\r\n\r\nb) phân tách các tiện ích hệ thống khỏi\r\ncác ứng dụng phần mềm;
\r\n\r\nc) giới hạn sử dụng các tiện ích hệ thống\r\nchỉ trong một số lượng nhỏ nhất những người dùng tin cậy và đã được cấp phép\r\n(xem 10.2.2);
\r\n\r\nd) cấp phép sử dụng đặc biệt các tiện\r\ních hệ thống;
\r\n\r\ne) giới hạn sự sẵn sàng của các tiện\r\ních hệ thống, Ví dụ trong khoảng thời gian có một sự thay đổi đã được cấp phép;
\r\n\r\nf) ghi lại tất cả các lần sử dụng các\r\ntiện ích hệ thống;
\r\n\r\ng) xác định và ghi vào văn bản các mức\r\ncấp phép cho các tiện ích hệ thống;
\r\n\r\nh) loại bỏ hoặc vô hiệu hóa tất cả các\r\nphần mềm hệ thống và các tiện ích dựa trên phần mềm không cần thiết;
\r\n\r\ni) không để các tiện ích hệ thống sẵn\r\nsàng cho những người dùng có truy cập vào\r\ncác ứng dụng trên các hệ thống có yêu cầu phân tách nhiệm vụ.
\r\n\r\nThông tin khác
\r\n\r\nHầu hết các máy tính đều cài đặt một\r\nhoặc nhiều chương trình tiện ích có khả\r\nnăng ảnh hưởng đến hệ thống và các biện pháp quản\r\nlý ứng dụng.
\r\n\r\n10.5.5. Thời gian giới hạn của phiên\r\nlàm việc
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác phiên làm việc không hoạt động cần\r\nđược đóng lại sau một giới hạn thời gian không hoạt động xác định.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nChức năng tạm ngừng phải xóa màn hình
Một vài hệ thống lại được cung cấp chức\r\nnăng tạm ngừng giới hạn, chức năng này xóa màn hình và ngăn chặn truy cập trái\r\nphép nhưng không đóng hẳn các phiên làm việc của ứng dụng hay mạng.
\r\n\r\nThông tin khác
\r\n\r\nBiện pháp quản lý này đặc biệt quan trọng\r\ntrong những vị trí có độ rủi ro cao, bao gồm những khu vực công cộng hoặc nằm\r\nngoài sự quản lý an toàn của tổ chức. Các phiên làm việc cần được đóng lại để\r\nngăn chặn truy cập trái phép và chặn các cuộc tấn công dịch vụ.
\r\n\r\n10.5.6. Giới hạn thời gian kết nối
\r\n\r\nBiện pháp quản lý
\r\n\r\nCần hạn chế thời gian kết nối để làm\r\ntăng độ an toàn cho các ứng dụng có mức rủi ro cao.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nBiện pháp quản lý thời gian kết nối cần\r\nđược quan tâm cho các ứng dụng máy tính nhạy cảm, đặc biệt ở các vị trí có độ rủi\r\nro cao, ví dụ các khu vực công cộng hoặc\r\ncác khu vực nằm ngoài phạm vi quản lý an toàn của\r\ntổ chức. Dưới đây là các ví dụ về biện pháp quản lý hạn chế thời gian kết nối:
\r\n\r\na) sử dụng
b) hạn chế thời gian
c) xem xét xác thực lại vào những thời\r\nđiểm đã định.
\r\n\r\nThông tin khác
\r\n\r\nViệc hạn chế thời gian kết nối tới các\r\ndịch vụ máy tính sẽ làm giảm cơ hội cho truy cập trái phép. Việc hạn chế thời\r\ngian của phiên làm việc sẽ ngăn chặn người\r\ndùng giữ các phiên mở để tránh phải xác thực lại.
\r\n\r\n10.6. Điều\r\nkhiển truy cập thông tin và ứng dụng
\r\n\r\nMục tiêu: Nhằm ngăn chặn các truy cập\r\ntrái phép đến thông tin lưu trong các hệ thống ứng dụng.
\r\n\r\nCác tiện ích an toàn cần được sử dụng\r\nđể hạn chế truy cập tới và trong các hệ thống ứng dụng.
\r\n\r\nTruy cập logic tới thông tin và phần mềm\r\nứng dụng cần được hạn chế chỉ với những người dùng đã được cấp phép. Các hệ thống\r\nứng dụng cần:
\r\n\r\na) kiểm soát truy cập người dùng tới\r\ncác chức năng hệ thống ứng dụng và thông tin, phù hợp với chính sách quản lý\r\ntruy cập đã xác định;
\r\n\r\nb) cung cấp bảo vệ khỏi sự truy cập\r\ntrái phép bởi các thực thể, phần mềm hệ điều hành, và phần mềm độc hại có khả\r\nnăng làm ảnh hưởng đến hệ thống hoặc các biện pháp quản lý ứng dụng;
\r\n\r\nc) không làm tổn hại tới các hệ thống\r\ncó chia sẻ nguồn thông tin khác.
\r\n\r\n10.6.1. Hạn chế truy cập thông tin.
\r\n\r\nBiện pháp quản lý
\r\n\r\nTruy cập của\r\nngười dùng và nhân viên hỗ trợ tới thông tin và các chức năng của hệ thống ứng\r\ndụng cần được hạn chế phù hợp với chính sách quản lý truy cập đã xác định.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNhững hạn chế truy cập cần dựa trên\r\ncác yêu cầu ứng dụng nghiệp vụ cụ thể. Chính sách quản lý truy cập cũng cần phù\r\nhợp với chính sách truy cập của tổ chức\r\n(xem 10.1).
\r\n\r\nCần xem xét áp dụng các hướng dẫn sau\r\nnhằm hỗ trợ các yêu cầu hạn chế truy cập:
\r\n\r\na) cung cấp các lựa chọn quản lý truy\r\ncập tới các chức năng hệ thống ứng dụng;
\r\n\r\nb) quản lý
c) quản lý
d) đảm bảo rằng đầu ra của hệ thống ứng\r\ndụng xử lý thông tin nhạy cảm chỉ gồm thông tin liên quan tới việc sử dụng đầu\r\nra và chỉ được gửi tới các vị trí hay thiết bị đầu cuối đã được phép; cần bao gồm\r\nviệc soát xét định kỳ các đầu ra nhằm đảm bảo rằng thông tin thừa đều bị loại bỏ.
\r\n\r\n10.6.2. Cách ly hệ thống nhạy cảm
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác hệ thống nhạy cảm cần có môi trường\r\nmáy tính cách ly.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến các điểm sau đây\r\ntrong việc cách ly hệ thống nhạy cảm:
\r\n\r\na) độ nhạy cảm của hệ thống ứng dụng cần được người sở hữu ứng dụng xác định rõ và lập thành văn bản (xem 6.1.2);
\r\n\r\nb) nếu một ứng dụng nhạy cảm sẽ hoạt động\r\ntrong môi trường chia sẻ thì các hệ thống ứng dụng có chia sẻ các nguồn tài\r\nnguyên với ứng dụng đó và những rủi ro\r\nliên quan cần được xác định và được chấp nhận bởi người sở hữu ứng dụng nhạy cảm đó.
\r\n\r\nThông tin khác
\r\n\r\nMột số hệ thống ứng dụng rất nhạy cảm\r\nvới sự mất mát tiềm ẩn, do vậy chúng đòi hỏi phải được xử lý đặc biệt.
\r\n\r\nĐộ nhạy cảm có thể cho thấy rằng hệ thống\r\nứng dụng đó:
\r\n\r\na) cần hoạt động trên một máy tính\r\nchuyên dụng; hoặc
\r\n\r\nb) chỉ chia sẻ tài nguyên với các hệ\r\nthống ứng dụng đáng tin cậy.
\r\n\r\nSự cách ly có thể đạt được bằng các\r\nphương pháp logic và vật lý (xem thêm 10.4.5).
\r\n\r\n10.7. Tính toán di động và làm việc từ\r\nxa
\r\n\r\n| \r\n Mục tiêu: Nhằm đảm bảo an toàn thông\r\n tin khi sử dụng các phương tiện tính toán di động và làm việc từ xa. \r\nSự bảo vệ được yêu cầu phải tương xứng\r\n với các rủi ro mà các cách làm việc đặc biệt này gây nên. Khi sử dụng tính\r\n toán di động thì phải quan tâm đến các rủi ro do làm việc trong môi trường\r\n không được bảo vệ và áp dụng biện pháp bảo vệ thích hợp. Trong trường hợp làm\r\n việc từ xa, tổ chức phải áp dụng bảo vệ\r\n với địa điểm làm việc và đảm bảo đã thực hiện các phương thức bảo vệ phù hợp\r\n cho cách làm việc này. \r\n | \r\n
10.7.1. Tính toán và truyền thông qua thiết\r\nbị di động
\r\n\r\nBiện pháp kiểm soát
\r\n\r\nMột chính sách chính thức cần được chuẩn\r\nbị và các biện pháp an toàn thông tin thích hợp cần được chấp nhận nhằm bảo vệ\r\nkhỏi các rủi ro khi sử dụng tính toán và truyền thông di động.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nKhi sử dụng các thiết bị tính toán và\r\ntruyền thông di động, ví dụ sổ ghi chép,\r\nmáy tính xách tay, thẻ thông minh, và điện thoại di động, cần quan tâm đặc biệt\r\nđến chúng nhằm đảm bảo rằng thông tin nghiệp vụ không bị tổn hại. Chính sách về\r\nviệc tính toán qua thiết bị di động cần quan tâm đến những rủi ro do làm việc với\r\nthiết bị tính toán di động trong những môi trường không được bảo vệ.
\r\n\r\nChính sách về việc tính toán qua thiết\r\nbị di động cần bao gồm các yêu cầu cho các biện pháp quản lý truy cập, bảo vệ vật lý, các kỹ thuật mã hóa, các bản sao\r\nlưu, và việc bảo vệ chống vi rút. Chính sách này cũng cần bao gồm các quy tắc\r\nvà hướng dẫn kết nối các thiết bị di động tới các mạng và hướng dẫn sử dụng các\r\nthiết bị này tại nơi công cộng.
\r\n\r\nCũng cần quan tâm khi sử dụng các thiết\r\nbị tính toán di động ở những nơi công cộng, phòng họp và các khu vực không được\r\nbảo vệ khác nằm ngoài trụ sở của tổ chức.\r\nViệc bảo vệ nên phù hợp để tránh truy nhập trái phép tới hoặc tiết lộ thông tin\r\nđược lưu trữ và được xử lý bởi các thiết bị này, ví dụ sử dụng kỹ thuật mật mã\r\n(xem 11.3).
\r\n\r\nNgười sử dụng các thiết bị tính toán\r\ndi động tại những nơi công cộng nên lưu ý đến việc tránh rủi ro do những cá\r\nnhân không được phép. Các thủ tục chống lại\r\ncác phần mềm độc hại cần sẵn sàng và được cập nhật (xem 9.4).
\r\n\r\nCần định kỳ sao chép lại các thông tin\r\nnghiệp vụ quan trọng. Thiết bị cần sẵn sàng để cho phép sao lưu thông tin nhanh\r\nchóng và dễ dàng. Các bản sao lưu này cần được bảo vệ phù hợp chống lại, ví dụ\r\nsự đánh cắp hay mất mát thông tin.
\r\n\r\nViệc sử dụng các thiết bị di động được\r\nkết nối mạng cũng cần được bảo vệ phù hợp. Truy cập từ xa qua mạng công cộng tới\r\nthông tin nghiệp vụ bằng các thiết bị tính toán di động chỉ được thực hiện sau\r\nkhi nhận dạng và xác thực thành công, và có áp dụng các cơ chế
Các thiết bị tính toán di động cũng phải\r\nđược bảo vệ vật lý chống lại trộm cắp đặc biệt khi được để, ví dụ, trong ô tô\r\nhoặc các phương tiện vận tải khác, phòng khách sạn, trung tâm hội nghị, và các\r\nnơi hội họp. Một thủ tục cụ thể về các yêu cầu pháp lý, bảo hiểm và các yêu cầu\r\nan toàn khác của tổ chức cần được thiết lập\r\nđối với những trường hợp bị mất cắp hoặc làm mất thiết bị tính toán di động.\r\nThiết bị mang thông tin nghiệp vụ quan trọng, nhạy cảm, và/hoặc trọng yếu không\r\nđược để tự do, và nếu có thể phải được để ở nơi có khóa, hoặc sử dụng các loại\r\nkhóa đặc biệt để bảo vệ thiết bị (xem 8.2.5).
\r\n\r\nCần thu xếp đào tạo các nhân viên
Thông tin
Các kết nối không dây trong mạng di động\r\ncũng tương tự như các dạng kết nối mạng khác, nhưng có các điểm khác biệt quan\r\ntrọng cần được lưu ý khi xác định các biện pháp quản lý. Các điểm khác biệt gồm:
\r\n\r\na) một số giao thức an toàn trong mạng\r\nkhông dây vẫn chưa hoàn thiện và được coi là các điểm yếu;
\r\n\r\nb) thông tin lưu trữ trên các máy tính\r\ndi động có thể không được sao lưu do băng tần mạng hạn chế
10.7.2. Làm việc từ xa
\r\n\r\nBiện pháp kiểm soát
\r\n\r\nMột chính sách, các kế hoạch điều hành\r\nvà các thủ tục cần được phát triển và triển khai cho các hoạt động làm việc từ\r\nxa.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác tổ chức chỉ được cấp phép cho các\r\nhoạt động làm việc từ xa nếu chúng thỏa mãn các điều kiện sau: đã triển khai\r\ncông tác chuẩn bị và các biện pháp quản lý an toàn phù hợp, công tác chuẩn bị\r\nvà các biện pháp quản lý an toàn này đã tuân thủ các chính sách an toàn của tổ\r\nchức.
\r\n\r\nCần thực thi bảo vệ thích hợp ở vị trí\r\nlàm việc từ xa nhằm chống lại, ví dụ, sự mất cắp thiết bị và thông tin, tiết lộ\r\nthông tin trái phép, truy cập từ xa trái phép đến các hệ thống bên trong tổ chức\r\nhoặc lạm dụng các thiết bị. Các hoạt động làm việc từ xa cần được ban quản lý\r\ncho phép và quản lý, và cũng cần đảm bảo rằng những chuẩn bị phù hợp đã được thực\r\nhiện cho cách làm việc này.
\r\n\r\nNhững vấn đề sau cần được quan tâm:
\r\n\r\na) sự an toàn mức vật lý hiện tại của vị\r\ntrí làm việc từ xa, trong đó cần lưu ý đến sự an toàn vật lý
b) môi trường vật lý dự kiến cho hoạt\r\nđộng làm việc từ xa;
\r\n\r\nc) các yêu cầu an toàn truyền thông,\r\ntrong đó cần lưu ý nhu cầu truy cập từ xa tới các\r\nhệ thống bên trong tổ chức, thông tin nhạy cảm sẽ được truy cập và đi qua liên\r\nkết truyền thông và sự nhạy cảm của hệ thống\r\nbên trong;
\r\n\r\nd) mối đe dọa từ việc truy cập trái\r\nphép tới thông tin hoặc các nguồn tài nguyên từ những người sống cùng khác, ví\r\ndụ gia đình và bạn bè;
\r\n\r\ne) việc sử\r\ndụng các mạng gia đình, các yêu cầu\r\nhoặc các hạn chế đối với việc cấu hình các dịch vụ mạng không dây;
\r\n\r\nf) các chính sách và thủ tục phòng ngừa\r\ntranh chấp liên quan đến các quyền sở hữu\r\ntrí tuệ được phát triển trên thiết bị thuộc sở\r\nhữu cá nhân;
\r\n\r\ng) truy nhập tới thiết bị thuộc
h) những thỏa thuận đăng ký bản quyền\r\nphần mềm quy định trách nhiệm pháp lý của tổ chức trong việc đăng ký bản quyền\r\nphần mềm khách trên các máy trạm thuộc sở\r\nhữu của các nhân viên, người của các nhà\r\nthầu hoặc bên thứ ba;
\r\n\r\ni) các yêu cầu bảo vệ chống virut và tường\r\nlửa.
\r\n\r\nCác hướng dẫn và bố trí sau cần được\r\nquan tâm:
\r\n\r\na) cung cấp trang bị lưu trữ và thiết\r\nbị phù hợp cho các hoạt động làm việc từ xa nếu việc sử dụng thiết bị thuộc sở\r\nhữu cá nhân không chịu sự quản lý của tổ\r\nchức là không được phép;
\r\n\r\nb) xác định công việc được phép, giờ\r\nlàm việc, phân loại thông tin có thể được lấy, và các hệ thống bên trong và dịch\r\nvụ mà người làm việc từ xa được phép truy cập;
\r\n\r\nc) cung cấp thiết bị truyền thông phù\r\nhợp, gồm các phương pháp đảm bảo an toàn cho việc truy cập từ xa;
\r\n\r\nd) đảm bảo an toàn mức vật lý;
\r\n\r\ne) các quy tắc và hướng dẫn cho gia đình và khách truy cập tới thiết bị và thông\r\ntin;
\r\n\r\nf) cung cấp hỗ trợ và bảo trì phần cứng\r\nvà phần mềm;
\r\n\r\ng) cung cấp các hợp đồng bảo hiểm;
\r\n\r\nh) các thủ tục sao lưu và đảm bảo sự\r\nliên tục của hoạt động nghiệp vụ;
\r\n\r\ni) đánh giá và giám sát an toàn;
\r\n\r\nj) thu hồi các cấp phép và quyền truy\r\ncập, và hoàn trả thiết bị khi chấm dứt các hoạt động làm việc từ xa.
\r\n\r\nThông tin khác
\r\n\r\nLàm việc từ xa sử dụng công nghệ truyền\r\nthông để cho phép các cá nhân làm việc từ xa từ một vị trí cố định bên ngoài tổ\r\nchức của họ.
\r\n\r\n11. Tiếp nhận, phát\r\ntriển và duy trì các hệ thống thông tin
\r\n\r\n11.1. Yêu cầu đảm bảo an toàn cho các\r\nhệ thống thông tin
\r\n\r\n| \r\n Mục tiêu: Nhằm đảm bảo rằng an toàn\r\n thông tin là một phần không thể thiếu của các hệ thống thông tin. \r\nCác hệ thống thông tin bao gồm hệ điều\r\n hành, cơ sở hạ tầng, các ứng dụng nghiệp\r\n vụ, các sản phẩm mua có sẵn, các dịch vụ và các ứng dụng do người dùng phát\r\n triển. Việc thiết kế và triển khai của hệ thống thông tin để hỗ trợ quá Tất cả các yêu cầu an toàn cần được\r\n xác định tại giai đoạn xác định yêu cầu của một dự án và được điều chỉnh, chấp\r\n thuận và được ghi vào văn bản như một phần của toàn bộ tình huống nghiệp vụ\r\n cho một hệ thống thông tin. \r\n | \r\n
11.1.1. Phân tích và đặc tả các yêu cầu\r\nvề an toàn
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thông báo về yêu cầu nghiệp vụ đối\r\nvới các hệ thống thông tin mới hoặc được cải tiến từ các hệ thống thông tin có\r\nsẵn cần chỉ rõ các yêu cầu về biện pháp quản lý an toàn thông tin.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc xác định các yêu cầu cho các biện\r\npháp quản lý cần quan tâm tới các biện\r\npháp quản lý tự động được phối hợp trong\r\nhệ thống thống thông tin, và nhu cầu hỗ trợ các biện pháp quản lý thủ công, cần\r\nlưu ý tương tự khi đánh giá các gói phần mềm, dù là dạng được phát triển hay được\r\nmua, cho các ứng dụng nghiệp vụ.
\r\n\r\nCác yêu cầu và biện pháp quản lý an\r\ntoàn cần phản ánh giá trị nghiệp vụ của các tài sản thông tin liên quan (xem\r\n6.2) và những thiệt hại nghiệp vụ tiềm ẩn có thể xảy ra do lỗi hoặc do sự thiếu\r\nan toàn.
\r\n\r\nCác yêu cầu hệ thống về an toàn thông\r\ntin và các quy trình triển khai an toàn cần\r\nđược tích hợp trong các giai đoạn trước của\r\ncác dự án hệ thống thông tin. Việc triển khai và duy trì các biện pháp quản lý ở\r\ngiai đoạn thiết kế thường rẻ hơn nhiều so với triển khai và duy trì trong hoặc\r\nsau khi triển khai.
\r\n\r\nNếu sản phẩm được mua thì cần tuân\r\ntheo quy trình kiểm tra và tiếp nhận chính\r\nthức. Các hợp đồng với nhà cung cấp cần tập trung vào các yêu cầu an toàn đã\r\nxác định. Nếu các chức năng an toàn trong một sản phẩm không đáp ứng các yêu cầu\r\nquy định thì cần xem xét các biện pháp quản lý rủi ro liên quan trước khi mua sản\r\nphẩm. Trong trường hợp có cung cấp thêm tính năng và\r\ngây ra rủi ro an toàn thì tính năng này cần được vô hiệu hóa hoặc cơ cấu kiểm\r\nsoát đã được đề xuất cần được soát xét lại để xác định xem liệu có nên loại bỏ\r\ntính năng cải tiến này không.
\r\n\r\nThông tin khác
\r\n\r\nNếu được quan tâm thích hợp, ví dụ vì\r\ncác lý do giá cả, ban quản lý có thể mong muốn sử dụng các sản phẩm đã được chứng\r\nnhận và được đánh giá một cách độc lập. Thông tin chi tiết hơn về chỉ tiêu đánh\r\ngiá các sản phẩm an toàn IT có thể tìm thấy trong ISO/IEC 15408 hoặc các tiêu\r\nchuẩn đánh giá hoặc chứng nhận khác.
\r\n\r\nISO/IEC TR 13335-3 đưa ra hướng
11.2. Xử lý đúng trong các ứng dụng
\r\n\r\n| \r\n Mục tiêu: Nhằm ngăn ngừa các lỗi, mất\r\n mát, sửa đổi hoặc sử dụng trái phép thông tin trong các ứng dụng. \r\nCác biện pháp quản lý thích hợp cần\r\n được thiết kế vào các ứng dụng, bao gồm cả các ứng dụng được người dùng phát\r\n triển để đảm bảo việc xử lý chính xác. Các biện pháp quản lý này cần bao gồm xác nhận dữ liệu đầu vào, xử lý nội bộ\r\n và xuất ra dữ liệu. \r\nCác biện pháp | \r\n
11.2.1. Kiểm tra tính hợp lệ của dữ liệu\r\nđầu vào
\r\n\r\nBiện pháp quản lý
\r\n\r\nDữ liệu nhập vào các ứng dụng cần được\r\nkiểm tra tính hợp lệ nhằm đảm bảo các dữ\r\nliệu này là chính xác và thích hợp.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc kiểm tra cần được áp dụng cho\r\nthông tin đầu vào của các giao dịch nghiệp vụ, dữ liệu hiện tại (ví dụ, tên và\r\nđịa chỉ, hạn mức tín dụng, số tham chiếu khách hàng), và các bảng tham số (ví dụ\r\ngiá bán, tỷ giá chuyển đổi tiền tệ, mức thuế suất). Các hướng dẫn sau đây cần\r\nđược xem xét:
\r\n\r\na) kiểm tra ngẫu nhiên dữ liệu đầu vào\r\nhoặc sử dụng các hình thức kiểm tra dữ liệu đầu vào khác, ví dụ
1) các giá trị ngoài vùng;
\r\n\r\n2) những ký tự không hợp lệ trong trường\r\ndữ liệu;
\r\n\r\n3) dữ liệu lỗi hoặc không đầy đủ;
\r\n\r\n4) vượt quá giới hạn độ lớn dữ liệu lớn\r\nnhất và thấp nhất;
\r\n\r\n5) dữ liệu quản lý trái phép hoặc\r\nkhông nhất quán;
\r\n\r\nb) soát xét định kỳ nội dung các trường\r\nchính hoặc các tệp dữ liệu nhằm xác nhận tính toàn vẹn và hợp lệ của chúng;
\r\n\r\nc) kiểm tra các tài liệu đầu vào dạng\r\nin sẵn để tìm những thay đổi trái phép (tất cả những thay đổi đối với tài liệu\r\nđầu vào đều phải được cho phép);
\r\n\r\nd) các thủ tục cho việc xử lý các lỗi\r\nvi phạm tính hợp lệ;
\r\n\r\ne) các thủ tục cho việc kiểm tra tính\r\nhợp lệ của dữ liệu đầu
f) xác định trách nhiệm của toàn bộ những\r\ncá nhân liên quan trong quá trình xử lý dữ\r\nliệu đầu vào;
\r\n\r\ng) ghi vào nhật ký các hoạt động liên\r\nquan đến quá trình xử lý dữ liệu đầu vào\r\n(xem 9.10.1).
\r\n\r\nThông tin
Nếu có thể thì cần xem xét kiểm tra và\r\nxác nhận tính hợp lệ của dữ liệu đầu vào\r\nmột cách tự động nhằm giảm thiểu rủi ro của các lỗi và nhằm ngăn chặn các tấn\r\ncông chuẩn bao gồm cả tấn công làm tràn bộ đếm và chèn mã.
\r\n\r\n11.2.2. Kiểm soát việc xử lý nội bộ
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc kiểm tra tính hợp lệ cần được\r\ntích hợp trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi trong\r\nquá trình xử lý hoặc các hành vi có chủ\r\ný.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc thiết kế và triển khai các ứng dụng\r\ncần đảm bảo rằng các rủi ro do các lỗi xử lý gây ra sự mất tính toàn vẹn đều được\r\ngiảm thiểu. Các vấn đề cần được quan tâm gồm:
\r\n\r\na) sử dụng các chức năng chèn, sửa và\r\nxóa để thực hiện thay đổi dữ liệu;
\r\n\r\nb) các thủ tục nhằm ngăn ngừa
c) sử dụng các chương trình thích hợp để phục hồi sau lỗi nhằm đảm bảo việc xử\r\nlý dữ liệu chính xác;
\r\n\r\nd) bảo vệ chống lại những tấn công làm\r\ntràn/vượt quá dung lượng bộ đệm.
\r\n\r\nMột danh sách kiểm tra thích hợp cần\r\nđược chuẩn bị, các hoạt động kiểm tra được ghi vào tài liệu, và các kết quả cần\r\nđược cất giữ an toàn. Dưới đây là các ví dụ về các đối tượng cần kiểm tra:
\r\n\r\na) các biện pháp quản lý theo phiên hoặc\r\nlô, nhằm điều hòa các chênh lệch của tệp dữ liệu sau các cập nhật;
\r\n\r\nb) cân nhắc các biện pháp quản lý, nhằm\r\nkiểm tra các chênh lệch đầu phiên so với các chênh lệch cuối phiên, cụ thể là:
\r\n\r\n1) các biện pháp quản lý hoạt động - tới\r\n- hoạt động;
\r\n\r\n2) tổng số cập nhật tệp tin;
\r\n\r\n3) các biện pháp quản lý
c) kiểm tra tính hợp lệ
d) kiểm tra tính toàn vẹn, tính xác thực\r\nhay các thuộc tính an toàn khác của dữ liệu\r\nhoặc phần mềm được tải về, hoặc tải lên, giữa các máy tính trung tâm và các máy\r\ntính ở xa;
\r\n\r\ne) tổng số hàm băm
f) kiểm tra nhằm đảm bảo rằng các
g) kiểm tra nhằm đảm bảo rằng các
h) thiết lập một nhật ký các hoạt động\r\nđã thực hiện trong quá trình xử lý (xem\r\n9.10.1).
\r\n\r\nThông tin
Dữ liệu đã được nhập đúng
11.2.3. Tính toàn vẹn thông điệp
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác yêu cầu đảm bảo tính xác thực và bảo\r\nvệ sự toàn vẹn thông điệp trong các ứng dụng cần được xác định. Bên cạnh đó,\r\ncác biện pháp quản lý phù hợp cũng cần được\r\nxác định và triển khai.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc đánh giá các rủi ro an toàn cần\r\nđược thực hiện nhằm xác định xem tính toàn vẹn của thông điệp có được yêu cầu không\r\nvà xác định phương pháp triển khai thích hợp nhất.
\r\n\r\nThông tin khác
\r\n\r\nCác kỹ thuật mã hóa (xem 10.3) có thể\r\nđược sử dụng như một phương tiện triển\r\nkhai xác thực thông điệp phù hợp.
\r\n\r\n11.2.4. Kiểm tra tính hợp lệ của dữ liệu\r\nđầu ra
\r\n\r\nBiện pháp quản lý
\r\n\r\nDữ liệu xuất ra từ một ứng dụng cần được\r\nkiểm tra tính hợp lệ nhằm đảm bảo rằng quá trình\r\nxử lý thông tin chính xác
Hướng dẫn triển khai
\r\n\r\nKiểm tra tính hợp lệ đầu ra
a) các kiểm tra tính phù hợp nhằm kiểm\r\ntra xem dữ liệu đầu ra là có phù hợp không;
\r\n\r\nb) điều hòa các biện pháp quản lý nhằm\r\nđảm bảo xử lý tất cả dữ liệu;
\r\n\r\nc) cung cấp đầy đủ thông tin cho người\r\nđọc hoặc hệ thống xử lý tiếp theo nhằm xác định tính chính xác, tính đầy đủ, tính\r\nrõ ràng, và phân loại thông tin;
\r\n\r\nd) các thủ tục để xử lý tiếp khi có kết\r\nquả của các kiểm tra tính hợp lệ đầu ra;
\r\n\r\ne) xác định trách nhiệm của tất cả các\r\ncá nhân liên quan trong quá trình xử lý dữ liệu ra;
\r\n\r\nf) thiết lập một nhật ký các hoạt động\r\ntrong quá trình kiểm tra tính hợp lệ của\r\ndữ liệu đầu ra.
\r\n\r\nThông tin khác
\r\n\r\nThông thường, các hệ thống và ứng dụng\r\nđược xây dựng trên giả định rằng nếu được kiểm tra tính hợp lệ, thẩm tra và kiểm\r\ntra phù hợp thì đầu ra sẽ luôn chính xác. Tuy nhiên, giả định này không phải\r\nlúc nào cũng đúng; tức là, các hệ thống đã được kiểm tra vẫn có thể đưa ra đầu\r\nra không chính xác trong một vài trường hợp.
\r\n\r\n11.3. Quản lý m
| \r\n Mục tiêu: Nhằm bảo vệ tính bí mật,\r\n xác thực hoặc toàn vẹn của thông tin bằng\r\n các biện pháp mã hóa. \r\nMột chính sách về việc sử dụng các\r\n biện pháp quản lý bằng mã hóa cần được phát triển, cần có sự quản lý nhằm hỗ\r\n trợ sử dụng các kỹ thuật mã hóa. \r\n | \r\n
11.3.1. Chính sách sử dụng các biện\r\npháp quản lý mã hóa
\r\n\r\nBiện pháp quản lý
\r\n\r\nMột chính sách về việc sử dụng các biện\r\npháp quản lý mã hóa để bảo vệ thông tin cần được xây dựng và triển khai.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nKhi xây dựng chính sách mã hóa cần lưu\r\ný những điều sau đây:
\r\n\r\na) phương thức quản lý về việc sử dụng\r\ncác biện pháp quản lý mật mã trên toàn tổ chức, bao gồm các nguyên tắc chung mà\r\ntheo đó thông tin nghiệp vụ cần được bảo vệ (xem 4.1.1);
\r\n\r\nb) dựa trên quá
c) sử dụng mã hóa để bảo vệ thông tin\r\nnhạy cảm được truyền bởi các thiết bị, phương tiện di động hoặc ph
d) phương thức quản lý khóa, bao gồm\r\ncác phương pháp bảo vệ khóa mã hóa và khôi phục thông tin đã được mã hóa trong\r\ntrường hợp bị mất, bị tổn hại hoặc hỏng khóa;
\r\n\r\ne) các vai trò và trách nhiệm, ví dụ\r\nai phải chịu trách nhiệm về:
\r\n\r\n1) triển khai chính sách;
\r\n\r\n2) quản lý khóa, bao gồm cả tạo khóa\r\n(xem thêm 11.3.2);
\r\n\r\nf) các tiêu chuẩn sẽ được chấp nhận để\r\ntriển khai hiệu quả trên toàn tổ chức (giải pháp nào sẽ được
g) ảnh hưởng
Khi triển khai chính sách mã hóa của tổ\r\nchức thì cần quan tâm đến các quy định và những hạn chế của quốc gia
Các biện pháp quản lý bằng mã hóa có\r\nthể được sử dụng để đạt được các mục tiêu an toàn khác nhau, ví dụ:
\r\n\r\na) tính bí mật:
b) tính toàn vẹn/tính xác thực: sử dụng\r\nchữ ký số hoặc mã xác thực thông điệp để bảo vệ tính xác thực và tính toàn vẹn\r\ncủa thông tin nhạy cảm hoặc quan trọng được lưu trữ hay truyền đi.
\r\n\r\nc) tính không thể chối bỏ: sử dụng kỹ\r\nthuật mã hóa để thu chứng cứ về sự có mặt hoặc không có mặt của một sự kiện hoặc một hoạt động.
\r\n\r\nThông tin khác
\r\n\r\nViệc đưa ra quyết định xem một giải\r\npháp mã hóa nào đó có phù hợp không cần được xem như là một phần của quá
Một chính sách về việc sử dụng các biện\r\npháp quản lý mã hóa là cần thiết nhằm tối đa lợi ích và giảm thiểu rủi ro khi sử\r\ndụng kỹ thuật mã hóa, và tránh việc sử dụng không chính xác hoặc không thích hợp.\r\nKhi sử dụng chữ ký số, cần quan tâm đến các quy định pháp lý liên quan, cụ thể\r\nlà các quy định mô tả những điều kiện ràng buộc về mặt pháp lý của chữ ký số\r\n(xem 14.1).
\r\n\r\nCần tìm tư vấn của các chuyên gia khi\r\nxác định mức bảo vệ thích hợp và khi xác định các chỉ tiêu kỹ thuật phù hợp sẽ\r\ncung cấp sự bảo vệ cần thiết và hỗ trợ việc\r\ntriển khai hệ thống quản lý khóa an toàn\r\n(xem thêm 11.3.2).
\r\n\r\nISO/IEC JTC1 SC27 đã phát triển một số\r\ntiêu chuẩn liên quan tới các biện pháp quản lý mã hóa. Thông tin sâu hơn cũng
11.3.2. Quản lý khóa
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc quản lý khóa cần sẵn sàng để hỗ\r\ntrợ cho các kỹ thuật mã hóa được sử dụng trong tổ chức.
\r\n\r\nHương dẫn triển khai
\r\n\r\nTất cả các khóa mật mã cần được bảo vệ\r\nnhằm khỏi sự sửa đổi, mất cắp và phá hoại. Hơn nữa, các khóa bí mật và khóa an\r\ntoàn cần được bảo vệ khỏi sự tiết lộ trái phép. Thiết bị được sử dụng để tạo,\r\nlưu trữ và lấy được các khóa cần được bảo vệ vật lý.
\r\n\r\nHệ thống quản lý khóa phải dựa trên bộ\r\ncác tiêu chuẩn, thủ tục, và phương thức an toàn đã được chấp thuận nhằm:
\r\n\r\na) tạo các khóa cho các hệ thống mã\r\nhóa khác nhau và các ứng dụng khác nhau;
\r\n\r\nb) tạo và nhận được các chứng chỉ khóa\r\ncông khai;
\r\n\r\nc) phân phối mã khóa tới những người\r\ndùng nhất định, bao gồm cả cách kích hoạt\r\nkhóa khi nhận được khóa;
\r\n\r\nd) lưu trữ khóa, bao gồm cả cách thức\r\nđể những người dùng đã được cấp phép có thể truy cập tới khóa;
\r\n\r\ne) thay đổi hoặc cập nhật khóa bao gồm\r\ncác nguyên tắc về thời gian phải đổi khóa và cách đổi khóa;
\r\n\r\nf) xử lý
g) thu hồi khóa bao gồm cách thu hồi\r\nhoặc làm ngừng hoạt động khóa, ví dụ: khi khóa đã bị xâm phạm hoặc khi người\r\ndùng không làm việc cho tổ chức nữa (trường hợp nào khóa cần được lưu lại);
\r\n\r\nh) khôi phục lại các khóa bị mất hoặc\r\nbị sửa đổi như một phần của việc quản lý tính liên tục của nghiệp vụ, ví dụ cho\r\nviệc khôi phục thông tin đã được mật mã;
\r\n\r\ni) Lưu trữ các khóa, ví dụ cho thông\r\ntin đã được lưu trữ hoặc sao lưu;
\r\n\r\nj) phá hủy khóa;
\r\n\r\nk) ghi nhật ký và đánh giá các hoạt động\r\ncó liên quan đến việc quản lý khóa.
\r\n\r\nĐể giảm khả năng xảy ra bị tổn hại thì\r\nngày kích hoạt và giải kích hoạt các khóa cần được xác định sao cho các khóa
Bên cạnh việc quản lý an toàn các khóa riêng và bí mật thì cũng cần quan tâm đến\r\ntính xác thực của khóa công cộng. Quá
Nội dung của các thỏa thuận hoặc hợp đồng\r\nvề mức dịch vụ với những nhà cung cấp các dịch vụ mã hóa bên ngoài, ví dụ với\r\ncơ quan cấp chứng chỉ, cần bao hàm các vấn đề về nghĩa vụ pháp lý, độ tin cậy
Thông tin
Quản lý khóa mã hóa cần thiết để sử dụng\r\ncác kỹ thuật mã hóa một cách hiệu quả. ISO/IEC 11770 cung cấp thông tin sâu hơn\r\nvề quản lý khóa. Có hai loại kỹ thuật mã hóa:
\r\n\r\na) các kỹ thuật khóa bí mật, trường hợp\r\nnày sẽ có hai hoặc nhiều bên cùng sử dụng\r\nchung một khóa và khóa này được sử dụng để mã hóa và giải mã thông tin; khóa\r\nnày phải được giữ an toàn vì bất kỳ ai có thể truy cập tới khóa thì đều có khả\r\nnăng giải mã tất cả các thông tin đã được mã hóa với khóa đó, hoặc sử dụng khóa\r\nđó để đưa ra thông tin trái phép;
\r\n\r\nb) các kỹ thuật khóa công khai, trường\r\nhợp này mỗi người sẽ sử dụng có một cặp khóa, một khóa công khai (khóa này có\r\nthể được tiết lộ) và một khóa riêng (khóa này được giữ bí mật); các kỹ thuật\r\nkhóa công khai có thể được sử dụng để mã hóa và sản xuất chữ ký
Vẫn có khả năng giả mạo chữ ký số bằng\r\ncách thay khóa công khai của người dùng, vấn đề này sẽ được giải quyết nếu sử dụng\r\nchứng chỉ khóa công khai.
\r\n\r\nCác kỹ thuật mã hóa có thể còn được sử\r\ndụng để bảo vệ các khóa mã hóa. Có thể còn cần các thủ tục để xử lý các yêu cầu\r\npháp lý đối với truy cập tới các khóa mã hóa, ví dụ thông tin mã hóa có thể cần\r\nphải sẵn sàng ở dạng chưa được mã hóa với vai trò là bằng chứng trong các phiên\r\ntoà.
\r\n\r\n11.4. An toàn cho các tệp\r\ntin hệ\r\nthống
\r\n\r\n| \r\n Mục tiêu: Nhằm đ Truy cập tới các tệp tin hệ thống và\r\n chương trình mã nguồn cần được quản lý,\r\n và các dự án IT và các hoạt động hỗ trợ phải được tiến hành một cách an toàn.\r\n Cần lưu ý tránh tiết lộ các dữ liệu nhạy cảm trong các môi trường kiểm tra thử. \r\n | \r\n
11.4.1. Quản lý các phần mềm điều hành
\r\n\r\nBiện pháp quản lý
\r\n\r\nCần phải có các thủ tục sẵn sàng cho\r\nviệc quản lý quá trình cài đặt các phần mềm\r\ntrên hệ thống vận hành.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nĐể giảm thiểu rủi ro do sửa đổi các hệ\r\nthống vận hành, các hướng dẫn sau đây cần được quan tâm trong việc
a) việc cập nhật phần mềm điều hành,\r\ncác ứng dụng và các thư viện chương trình chỉ được thực hiện bởi những nhân\r\nviên quản trị đã được đào tạo theo quyền hạn quản lý phù hợp (xem 11.4.3);
\r\n\r\nb) các hệ thống vận hành chỉ được giữ mã\r\nthi hành đã được chấp nhận, và không được giữ mã phát triển hoặc các
c) các ứng dụng và phần mềm hệ thống\r\nđiều hành chỉ được triển khai sau khi đã kiểm tra mở rộng và thành công; việc\r\nkiểm tra bao gồm các kiểm tra về tính tiện dụng, tính an toàn, các tác động lên\r\ncác hệ thống khác và sự thân thiện với người dùng, và cần được thực hiện trên các hệ thống riêng biệt (xem thêm\r\n9.1.4); cũng cần đảm bảo rằng tất cả các thư viện nguồn chương trình đều đã được cập nhật;
\r\n\r\nd) một hệ thống quản lý cấu hình cần\r\nđược sử dụng để quản lý tất cả phần mềm đã được triển khai cũng như tài liệu hệ\r\nthống;
\r\n\r\ne) chiến lược hoàn trả cần được thực hiện trước khi triển khai các thay đổi;
\r\n\r\nf) nhật ký đánh giá cần được duy trì đối\r\nvới mọi cập nhật về các thư viện chương trình\r\nđiều hành;
\r\n\r\ng) các phiên bản trước đây của phần mềm\r\nứng dụng cần được giữ tại với vai trò là một biện pháp phòng ngừa bất trắc;
\r\n\r\nh) các phiên bản cũ của phần mềm cũng\r\ncần được lưu lại cùng với tất cả thông tin và tham số, các thủ tục, cấu hình\r\nchi tiết, và phần mềm hỗ trợ được yêu cầu miễn sao dữ liệu vẫn được lưu lại.
\r\n\r\nPhần mềm do nhà cung cấp hỗ trợ được sử\r\ndụng trong các hệ thống vận hành cần được duy trì tại một mức được hỗ trợ bởi\r\nnhà cung cấp đó. Qua thời gian, các nhà cung cấp phần mềm sẽ ngừng hỗ trợ các\r\nphiên bản phần mềm cũ. Tổ chức cần quan tâm tới các rủi ro do phải sử dụng phần\r\nmềm không được hỗ trợ.
\r\n\r\nCác quyết\r\nđịnh nâng cấp lên phiên bản mới đều phải xem xét các yêu cầu nghiệp vụ đối\r\nvới sự thay đổi đó, và tính an toàn của phiên bản, tức là phải quan tâm đến các\r\ntính năng an toàn mới hoặc số lượng và mức độ nghiêm trọng
Truy cập vật lý và logic chỉ được cấp\r\nphép cho các nhà cung cấp với các mục đích hỗ trợ khi cần thiết, và phải được sự\r\nchấp thuận của ban quản lý. Các hoạt động\r\ncủa nhà cung cấp cần được giám sát.
\r\n\r\nPhần mềm máy tính có thể dựa trên\r\nmodun và phần mềm được cung cấp từ bên ngoài, chúng cần được giám sát và quản\r\nlý để ngăn chặn các thay đổi trái phép gây ra các điểm yếu về an toàn thông\r\ntin.
\r\n\r\nThông tin khác
\r\n\r\nHệ điều hành chỉ được nâng cấp khi có\r\nyêu cầu, ví dụ, khi phiên bản hiện tại của\r\nhệ điều hành không thể tiếp tục hỗ trợ các yêu cầu nghiệp vụ. Không được thực\r\nhiện các nâng cấp chỉ vì đã có phiên bản mới của\r\nhệ điều hành. Các phiên bản mới của hệ điều hành phiên bản có thể kém an toàn,\r\nít ổn định và ít được hiểu rõ hơn hệ thống hiện tại.
\r\n\r\n11.4.2. Bảo vệ dữ liệu
Biện pháp quản lý
\r\n\r\nDữ liệu kiểm tra cần được lựa chọn, kiểm\r\nsoát và bảo vệ một cách thận trọng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc sử dụng các cơ
a) các thủ tục quản lý truy cập áp dụng\r\ncho các hệ thống ứng dụng điều hành cũng phải được áp dụng để kiểm tra các hệ\r\nthống ứng dụng;
\r\n\r\nb) cần được chấp thuận mỗi khi thông\r\ntin điều hành được sao chép vào một hệ thống ứng dụng kiểm tra;
\r\n\r\nc) thông tin điều hành cần được xóa khỏi\r\nhệ thống ứng dụng kiểm tra ngay khi việc\r\nkiểm tra đã hoàn tất;
\r\n\r\nd) việc sao chép và sử dụng thông tin\r\nđiều hành cần được ghi vào nhật ký để cung cấp truy vết.
\r\n\r\nThông tin khác
\r\n\r\nViệc kiểm tra hệ thống và chấp thuận\r\nthường yêu cầu lượng dữ liệu kiểm tra lớn\r\ngần tương đương với dữ liệu điều hành.
\r\n\r\n11.4.3. Quản lý truy cập đến mã nguồn\r\nchương trình
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc truy cập đến mã nguồn của
Hướng dẫn triển khai
\r\n\r\nTruy cập tới mã nguồn
a) nếu có thể thì không được để các\r\nthư viện nguồn chương trình trong các hệ thống vận hành;
\r\n\r\nb) mã nguồn chương trình và các thư viện\r\nnguồn chương trình cần được quản lý theo với các thủ tục đã được thiết lập;
\r\n\r\nc) nhân viên hỗ trợ không được
d) việc cập nhật các thư viện nguồn
e) các danh sách
f) nhật ký đánh giá cần được duy trì\r\ncho tất cả các truy cập tới các thư viện nguồn hệ thống;
\r\n\r\ng) việc duy trì và sao chép các thư viện\r\nnguồn chương trình phải tuân theo các thủ\r\ntục quản lý thay đổi (xem 11.5.1).
\r\n\r\nThông tin
Mã nguồn chương\r\ntrình là mã được viết bởi các lập trình\r\nviên, mã này được biên dịch (và được liên kết) để tạo nên các
Các tiêu chuẩn ISO 10007 và ISO/IEC\r\n12207 cung cấp thêm thông tin về quản lý cấu hình và quy
11.5. Bảo đảm an toàn trong các quy trình\r\nhỗ trợ và phát triển
\r\n\r\n| \r\n Mục tiêu: Nhằm duy trì an toàn Các môi trường dự án và hỗ trợ cần\r\n được quản lý chặt chẽ. \r\nCác nhà quản lý chịu trách nhiệm về các hệ thống ứng dụng cũng phải chịu\r\n trách nhiệm về sự an toàn của môi trường dự án hoặc hỗ trợ. Họ cần đảm bảo rằng\r\n tất cả những thay đổi đề xuất của hệ thống đều đã được soát xét để chắc chắn\r\n rằng họ không làm tổn hại đến sự an toàn của hệ thống và môi trường hoạt động. \r\n | \r\n
11.5.1. Các thủ tục quản lý thay đổi
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc thực thi các thay đổi phải được
Hướng dẫn triển khai
\r\n\r\nCác thủ tục quản lý thay đổi chính thức\r\ncần được lập thành văn bản và bắt buộc thi hành để giảm thiểu thiệt hại cho các\r\nhệ thống thông tin. Việc đề xuất các hệ thống mới và những thay đổi quan trọng\r\ncho hệ thống hiện tại cần tuân theo một quy trình\r\nchính thức về lập văn bản, đặc tả, kiểm tra, quản lý chất lượng và triển khai\r\ndưới sự quản lý.
\r\n\r\nQuy trình này cần bao gồm đánh giá rủi\r\nro, phân tích những ảnh hưởng của các thay đổi, và đặc tả các biện pháp quản lý\r\nan toàn cần thiết. Quy trình này cũng phải đảm bảo rằng các thủ tục quản lý và\r\nan toàn hiện tại không bị ảnh hưởng, các\r\nlập trình viên hỗ trợ chỉ được phép truy\r\ncập đến các bộ phận hệ thống cần thiết cho công việc của họ, phải tuân theo và\r\ncác thay đổi đều phải được chấp thuận và phê chuẩn chính thức.
\r\n\r\nNếu khả thi thì các thủ tục
a) duy trì hồ sơ về các mức cấp phép đã\r\nđược chấp thuận;
\r\n\r\nb) đảm bảo các thay đổi đều được thực\r\nthi bởi những người dùng được phép;
\r\n\r\nc) soát xét các biện pháp quản lý và\r\ntoàn bộ các thủ tục nhằm đảm bảo rằng chúng sẽ không bị ảnh hưởng bởi các thay\r\nđổi;
\r\n\r\nd) xác định tất cả phần mềm, thông tin,\r\ncác cơ sở dữ liệu, và phần cứng có yêu cầu\r\nsửa đổi;
\r\n\r\ne) có được sự phê chuẩn chính thức cho\r\ncác đề xuất chi tiết trước khi triển khai;
\r\n\r\nf) đảm bảo rằng những người dùng hợp\r\npháp chấp nhận các thay đổi trước khi triển khai;
\r\n\r\ng) đảm bảo rằng bộ tài liệu hệ thống\r\nđược cập nhật mỗi khi hoàn tất từng thay đổi và tài liệu cũ được lưu trữ hoặc bị\r\nloại bỏ;
\r\n\r\nh) duy trì việc quản lý phiên bản đối\r\nvới tất cả các cập nhật phần mềm;
\r\n\r\ni) duy trì truy vết của tất cả các yêu\r\ncầu thay đổi;
\r\n\r\nj) đảm bảo rằng văn bản vận hành (xem\r\n9.1.1) và các thủ tục người đùng được thay đổi khi cần thiết để duy trì sự phù\r\nhợp;
\r\n\r\nk) đảm bảo rằng việc triển khai các\r\nthay đổi diễn ra đúng thời điểm và không làm ảnh\r\nhưởng đến các quá trình nghiệp vụ\r\nliên quan.
\r\n\r\nThông tin khác
\r\n\r\nViệc thay đổi phần mềm có thể ảnh hưởng\r\ntới môi trường điều hành.
\r\n\r\nKiểm nghiệm thực tiễn tốt sẽ bao hàm\r\nviệc kiểm tra phần mềm mới trong một môi trường tách biệt với môi trường sản xuất\r\nvà môi trường phát triển (xem thêm 9.1.4). Đó cũng là một cách để quản lý phần\r\nmềm mới và cho phép bảo vệ sâu thêm các thông tin điều hành được sử dụng cho\r\ncác mục đích kiểm tra. Các đối tượng cần bảo vệ bao gồm các bản vá, các gói dịch\r\nvụ và bản cập nhật khác. Không được sử dụng các cập nhật tự động trên các hệ thống\r\nquan trọng vì một số cập nhật có thể gây lỗi trên các ứng dụng quan trọng (xem\r\n11.6).
\r\n\r\n11.5.2. Soát xét kỹ thuật các ứng dụng\r\nsau thay đổi của hệ điều hành
\r\n\r\nBiện pháp quản lý
\r\n\r\nKhi hệ điều hành thay đổi, các ứng dụng\r\nnghiệp vụ quan trọng cần được soát xét và kiểm tra lại nhằm đảm bảo không xảy\r\nra các ảnh hưởng bất lợi tới hoạt động\r\ncũng như an toàn của tổ chức.
\r\n\r\nHướng dẫn
Quá trình\r\nnày cần bao gồm:
\r\n\r\na) soát xét biện pháp quản lý ứng dụng\r\nvà toàn bộ các thủ tục nhằm đảm bảo rằng chúng không bị ảnh hưởng bởi các thay đổi của\r\nhệ điều hành;
\r\n\r\nb) đảm bảo rằng kế hoạch hỗ trợ và\r\nngân sách hàng năm sẽ dành cho cả hoạt động soát xét và kiểm tra hệ thống sau\r\ncác thay đổi của hệ điều hành;
\r\n\r\nc) đảm bảo rằng thông báo về các thay\r\nđổi hệ điều hành được đưa ra đúng thời điểm để cho phép thực hiện các kiểm tra\r\nvà soát xét phù hợp trước khi triển khai;
\r\n\r\nd) đảm bảo rằng những thay đổi phù hợp\r\nđược triển khai cho các kế hoạch về sự liên tục của hoạt động nghiệp vụ (xem\r\n13).
\r\n\r\nCần giao trách nhiệm cho một nhóm hoặc\r\nmột cá nhân cụ thể trong việc giám sát các điểm yếu và các phiên bản của các bản\r\nvá và phần mềm của nhà cung cấp (xem\r\n11.6).
\r\n\r\n11.5.3. Hạn chế thay đổi các gói phần\r\nmềm
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc sửa\r\nđổi các gói phần mềm là không được khuyến khích, cần hạn chế và chỉ thực\r\nhiện đối với các thay đổi rất cần thiết. Trong trường hợp này, mọi thay đổi cần\r\nphải được quản lý chặt chẽ.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nMiễn là có thể và khả thi, các gói phần\r\nmềm được nhà cung cấp hỗ trợ phải được sử dụng mà không bị sửa đổi. Nếu một gói\r\nphần mềm cần được sửa đổi thì phải quan tâm tới các vấn đề sau đây:
\r\n\r\na) rủi ro của các biện pháp quản lý được cài đặt sẵn và toàn bộ các quy
b) liệu có nhận được sự cho phép của\r\nnhà cung cấp không;
\r\n\r\nc) khả năng nhận được các thay đổi được\r\nyêu cầu từ nhà cung cấp dưới dạng các cập nhật chương\r\ntrình chuẩn;
\r\n\r\nd) tác động nếu tổ chức phải có trách\r\nnhiệm trong việc bảo hành phần mềm trong tương lai do xảy ra các thay đổi.
\r\n\r\nNếu những thay đổi là cần thiết thì phần\r\nmềm gốc cần được lưu lại và những thay đổi phải được thực hiện trên một bản sao\r\nđã được xác định rõ. Một quy trình quản\r\nlý cập nhật phần mềm cần được thực hiện nhằm đảm bảo các bản vá đã được chấp\r\nthuận cập nhật gần nhất và các bản cập nhật ứng dụng đã được cài đặt cho tất cả\r\nphần mềm đã được cấp phép (xem 11.6). Tất cả các thay đổi cần được kiểm tra đầy\r\nđủ và được lập thành tài liệu để chúng có thể được áp dụng lại nếu cần thiết\r\ncho các nâng cấp phần mềm trong tương lai. Nếu được yêu cầu, các thay đổi phải\r\nđược kiểm tra và được xác nhận bởi một tổ chức đánh giá độc lập.
\r\n\r\n11.5.4. Sự rò rỉ thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác điều kiện có thể gây rò rỉ thông\r\ntin cần phải được ngăn chặn.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCần quan tâm đến những vấn đề sau để hạn\r\nchế rủi ro rò rỉ thông tin, ví dụ do sử dụng và lợi dụng các kênh ngầm:
\r\n\r\na) việc quét các phương tiện và kênh\r\ntruyền thông bên ngoài đề tìm các thông tin ẩn;
\r\n\r\nb) ngụy trang và điều chỉnh hệ thống\r\nvà phương thức truyền thông nhằm giảm khả năng bên thứ ba
c) tận dụng các hệ thống
d) giám sát thường xuyên các hoạt động\r\ncủa hệ thống và cá nhân nếu được cho phép và tuân theo các yêu cầu của quy định\r\nvà pháp lý hiện hành;
\r\n\r\ne) giám sát việc sử dụng tài nguyên\r\ntrong hệ thống máy tính.
\r\n\r\nThông tin khác
\r\n\r\nCác kênh ngầm là tuyến không dùng để\r\nmang các luồng thông tin, tuy nhiên chúng vẫn có thể tồn tại trong hệ thống hoặc\r\nmạng. Ví dụ, việc điều khiển các bit trong các gói giao thức truyền thông có thể\r\nđược sử dụng như một phương thức báo hiệu ẩn. Do bản chất của chúng mà rất khó có\r\nthể ngăn chặn sự tồn tại của tất cả các\r\ncác kênh ngầm, nếu không nói là không thể. Tuy nhiên, các kênh này thường được\r\nmã Trojan lợi dụng (xem thêm 9.4.1). việc thực thi các biện pháp quản lý ngăn\r\nchặn mã Trojan vì vậy sẽ làm giảm rủi ro từ việc lợi dụng các kênh ngầm.
\r\n\r\nViệc ngăn ngừa truy cập mạng trái phép\r\n(xem 10.4), cũng như các chính sách và thủ tục nhằm ngăn ngừa các cá nhân lạm dụng\r\ncác dịch vụ thông tin (xem 14.1.5), sẽ giúp bảo vệ trước các kênh ngầm.
\r\n\r\n11.5.5. Phát triển phần mềm thuê k
Biện pháp quản lý
\r\n\r\nViệc phát triển các phần mềm thuê k
Hướng dẫn triển khai
\r\n\r\nTrường hợp quá trình phát triển phần mềm thuê khoán\r\nthì cần quan tâm tới các điểm sau đây:
\r\n\r\na) các vấn đề liên quan đến bản quyền,\r\nquyền sở hữu mã, và quyền
b) việc cấp chứng nhận về chất lượng
c) các thỏa thuận giao kèo trong trường\r\nhợp có lỗi của bên thứ ba;
\r\n\r\nd) các quyền truy cập để đánh giá chất\r\nlượng và độ chính xác của công việc đã thực hiện;
\r\n\r\ne) các yêu cầu theo hợp đồng về chất\r\nlượng và chức năng an toàn của mã;
\r\n\r\nf) việc kiểm thử trước khi cài đặt nhằm\r\nphát hiện mã độc hại và mã Trojan.
\r\n\r\n11.6. Quản lý các điểm yếu kỹ thuật
\r\n\r\n| \r\n Mục tiêu: Nhằm giảm thiểu các mối\r\n nguy hiểm xuất phát từ việc tin tặc lợi dụng các điểm yếu kỹ thuật đã được\r\n công bố. \r\nViệc quản\r\n lý các điểm yếu kỹ thuật cần được triển khai theo một phương thức hiệu\r\n quả, có hệ thống và lặp lại với các biện pháp được thực hiện nhằm xác nhận hiệu\r\n quả của nó. Những đối tượng cần quan\r\n tâm phải bao gồm cả các hệ điều hành, và các ứng dụng khác đang được sử dụng. \r\n | \r\n
11.6.1. Quản lý các điểm yếu về kỹ thuật
\r\n\r\nBiện pháp quản lý
\r\n\r\nThông tin kịp thời về các điểm yếu kỹ\r\nthuật của các hệ thống thông tin đang được\r\nsử dụng cần phải được thu thập. Tổ chức cần công bố đánh giá về các điểm yếu\r\nnày và thực hiện các biện pháp thích hợp để giải quyết các rủi ro liên quan.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc kiểm kê các tài sản hiện
Hoạt động thích hợp, kịp thời cần được\r\nthực hiện nhằm định danh các điểm yếu kỹ thuật tiềm ẩn. Cần tuân theo các hướng\r\ndẫn sau để thiết lập được một quy trình
a) tổ chức cần xác định và thiết lập\r\ncác nguyên tắc và trách nhiệm liên quan đến việc quản lý các điểm yếu kỹ thuật,\r\ngồm việc giám sát các điểm yếu, đánh giá rủi ro của các điểm yếu, và, theo dõi\r\ntài sản, và các trách nhiệm phối hợp bất kỳ được yêu cầu;
\r\n\r\nb) các tài nguyên thông tin sẽ được
c) cần xác định thời hạn phản ứng lại\r\nmỗi khi có các thông báo về các điểm yếu kỹ thuật tiềm ẩn;
\r\n\r\nd) mỗi khi có một điểm yếu kỹ thuật tiềm\r\nẩn được xác định, tổ chức cần xác định các rủi ro liên quan và các hoạt động cần\r\nthực hiện; hoạt động đó có thể chỉ là vá các hệ thống bị tổn hại và/hoặc sử dụng\r\ncác biện pháp quản lý khác;
\r\n\r\ne) tùy thuộc sự khẩn cấp cần giải quyết\r\ncác điểm yếu kỹ thuật mà hoạt động đã được xác định phải được thực hiện theo\r\ncác biện pháp quản lý liên quan tới việc quản lý sự thay đổi (xem 11.5.1) hoặc\r\nbằng cách tuân theo các thủ tục đối phó với sự cố an toàn thông tin (xem 12.2);
\r\n\r\nf) nếu bản vá có sẵn thì các rủi ro\r\nliên quan tới việc cài đặt bản vá cần được đánh giá (các rủi ro xuất phát từ điểm\r\nyếu đó cần được so sánh với rủi ro do cài đặt bản vá);
\r\n\r\ng) các bản vá cần được kiểm tra và\r\nđánh giá trước khi chúng được cài đặt nhằm đảm bảo sự hiệu quả và không dẫn tới\r\nnhững tác dụng phụ quá sức chịu đựng của hệ thống; nếu không có bản vá nào sẵn\r\nsàng thì cần quan tâm đến các biện pháp quản lý khác, ví dụ:
\r\n\r\n1) tắt các dịch vụ hoặc các khả năng\r\ncó liên quan tới điểm yếu;
\r\n\r\n2) sửa lại hoặc đưa thêm các biện pháp\r\nquản lý truy cập, ví dụ đặt các bức tường lửa tại các biên giới mạng (xem\r\n10.4.5);
\r\n\r\n3) tăng cường giám sát nhằm phát hiện\r\nhoặc ngăn chặn các tấn công thực sự;
\r\n\r\n4) nâng cao nhận thức về điểm yếu;
\r\n\r\nh) duy trì một nhật ký đánh giá đối với\r\ntất cả các thủ tục đã thực hiện;
\r\n\r\ni) quá trình\r\nquản lý các yếu điểm kỹ thuật cần được giám sát và đánh giá định kỳ nhằm đảm bảo\r\nảnh hưởng và hiệu quả của nó;
\r\n\r\nj) các hệ thống có mức rủi ro cao cần\r\nđược tập trung xử lý trước tiên.
\r\n\r\nThông tin khác
\r\n\r\nThực hiện chức năng chỉnh sửa của quy
Việc quản lý các điểm yếu kỹ thuật có\r\nthể được coi như là một chức năng phụ của\r\nviệc quản lý sự thay đổi và vì thế nó có\r\nthể tận dụng được các thủ tục và các quy trình\r\nquản lý sự thay đổi (xem 9.1.2 và 11.5.1).
\r\n\r\nCác nhà cung cấp thường phải chịu áp lực\r\nlớn trong việc ban hành các bản vá càng sớm càng tốt. Vì vậy, một bản vá có thể\r\nkhông giải quyết được vấn đề một cách thỏa đáng và có thể gây ra những
Nếu không thể kiểm tra các bản vá một\r\ncách thỏa đáng, ví dụ do chi phí hoặc do thiếu tài nguyên, thì cũng có thể cân\r\nnhắc đến việc trì hoãn vá để đánh giá các rủi ro liên quan dựa trên kinh nghiệm\r\nđã được báo cáo bởi những người dùng khác.
\r\n\r\n12. Quản lý các sự cố\r\nan toàn thông tin
\r\n\r\n12.1. Báo cáo về các sự kiện an toàn\r\nthông tin và các điểm yếu
\r\n\r\n| \r\n Mục tiêu: Nhằm đảm bảo các sự kiện\r\n an toàn thông tin và các điểm yếu liên quan tới các hệ thống thông tin được\r\n trao đổi để các hành động khắc phục được tiến hành kịp thời. \r\nCần thực hiện việc báo cáo chính thức\r\n về các sự kiện và các thủ tục nâng dần cấp xử lý. Tất cả các nhân viên, người\r\n của nhà thầu và bên thứ ba phải nhận thức được các thủ tục báo cáo các logi sự\r\n kiện và điểm yếu khác nhau có thể ảnh hưởng\r\n tới sự an toàn các tài sản của tổ chức. Họ cần được yêu cầu báo cáo về điểm yếu\r\n và các sự kiện an toàn thông tin tới các điểm liên hệ xác định theo cách\r\n nhanh nhất có thể. \r\n | \r\n
12.1.1. Báo cáo các sự kiện\r\nan toàn thông ti
Biện pháp quản lý
\r\n\r\nCác
Hướng dẫn triển khai
\r\n\r\nThủ tục báo cáo các sự kiện an toàn\r\nthông tin chính thức cần được thiết lập, cùng với thủ tục nâng dần cấp xử lý và\r\nphản ứng trước sự cố an toàn thông tin, thiết lập nên hoạt động cần thực hiện mỗi\r\nkhi nhận được báo cáo về một sự kiện an toàn thông tin. Một điểm liên hệ cần được\r\nthiết lập để báo cáo các sự kiện an toàn thông tin. Cũng cần đảm bảo rằng điểm\r\nliên hệ này đều được biết đến trên toàn tổ chức, luôn sẵn sàng và có khả năng\r\nphản ứng một cách thỏa đáng và đúng lúc.
\r\n\r\nToàn bộ nhân viên, những người thuộc\r\ncác nhà thầu và bên sử dụng thứ ba đều phải nhận thức được các trách nhiệm của\r\nhọ trong việc báo cáo các sự kiện an toàn thông tin theo cách nhanh nhất có thể.\r\nHọ cũng cần nhận thức được thủ tục báo cáo các sự kiện an toàn thông tin và điểm\r\nliên lạc. Các thủ tục báo cáo cần bao gồm:
\r\n\r\na) các quy trình phản hồi phù hợp nhằm\r\nrằng đảm bảo các sự kiện an toàn thông tin được báo cáo đó đều được thông báo
b) các hình thức báo cáo các sự kiện\r\nan toàn thông tin nhằm hỗ trợ hoạt động báo cáo, và giúp người báo cáo ghi nhớ\r\ntất cả những hoạt động cần thiết trong trường hợp có\r\nsự kiện an toàn thông tin;
\r\n\r\nc) cách xử lý cần được thực hiện trong\r\ntrường hợp có sự kiện an toàn thông tin, tức là:
\r\n\r\n1) lập tức thông báo về tất cả các chi\r\ntiết quan trọng (ví dụ, dạng vi phạm hoặc không tuân thủ, sự cố hoạt động sai\r\nchức năng, các thông điệp trên màn hình, các bất thường);
\r\n\r\n2) không tự ý thực hiện bất kỳ hoạt động\r\nnào, mà ngay lập tức báo cáo đến đầu mối liên hệ;
\r\n\r\nd) tham khảo quy
Trong các môi trường có độ rủi ro cao\r\nthì phải bắt buộc đưa ra cảnh báo về các sự\r\ncố có độ rủi ro cao. Các thủ tục phản ứng với các cảnh báo bắt buộc cần phản\r\nánh tình trạng rủi ro cao mà các cảnh báo chỉ ra.
\r\n\r\nThông tin
Dưới đây là những ví dụ về các sự kiện\r\nvà sự cố an toàn thông tin:
\r\n\r\na) mất dịch vụ, thiết bị hoặc các tiện\r\ních,
\r\n\r\nb) các trục trặc hệ thống hoặc quá tải\r\nhệ thống,
\r\n\r\nc) các lỗi do con người,
\r\n\r\nd) không tuân thủ các chính sách hoặc\r\ncác hướng dẫn,
\r\n\r\ne) vi phạm các vấn đề an toàn vật lý,
\r\n\r\nf) những thay đổi hệ thống không được\r\nquản lý,
\r\n\r\ng) các sự cố về phần cứng hoặc phần mềm,
\r\n\r\nh) các vi phạm truy cập.
\r\n\r\nNếu quan tâm đầy đủ đến các khía cạnh\r\nbảo mật thì các sự cố an toàn thông tin có thể được sử dụng trong việc đào tạo\r\nnhận thức của người dùng (xem 7.2.2) với\r\nvai trò là các ví dụ về những vấn đề có thể xảy ra, cách phản ứng với các sự cố\r\nnhư vậy, và cách phòng tránh chúng trong tương lai. Để có thể giải quyết được\r\ncác sự cố và sự kiện an toàn thông tin một cách thỏa đáng,
Các trục trặc hoặc các bất thường khác\r\ncủa hệ thống có thể là một chỉ báo
Thông tin chi tiết hơn về thông báo về\r\ncác sự kiện an toàn thông tin và quản lý các sự cố an toàn thông tin đã được
12.1.2. Báo cáo các điểm yếu về an\r\ntoàn thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nMọi nhân viên, nhà thầu và bên thứ ba\r\ncủa các dịch vụ và hệ thống thông tin cần được yêu cầu ghi lại và báo cáo bất kỳ\r\nđiểm yếu nào về an toàn đã thấy hoặc cảm thấy nghi ngờ trong các hệ thống hoặc\r\ndịch vụ.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nTất cả các nhân viên, nhà thầu và người\r\ndùng thuộc bên thứ ba đều phải báo cáo về những vấn đề này tới ban quản lý hoặc\r\ntrực tiếp tới nhà cung cấp dịch vụ của họ theo cách nhanh nhất
Thông tin khác
\r\n\r\nCác nhân viên, nhà thầu và người dùng\r\nthuộc tổ chức thứ ba cần được tư vấn không được cố gắng chứng minh về các điểm yếu\r\nbị nghi ngờ. Việc kiểm tra các điểm yếu có thể được hiểu như một sự lạm dụng tiềm\r\nẩn hệ thống và cũng có thể gây thiệt hại cho các hệ thống hoặc dịch vụ thông\r\ntin và dẫn đến trách nhiệm pháp lý của cá nhân thực hiện việc kiểm tra.
\r\n\r\n12.2. Quản lý các sự cố an toàn thông\r\ntin và cải tiến
\r\n\r\n| \r\n Mục tiêu: Nhằm đảm bảo một cách tiếp\r\n cận hiệu quả và nhất quán được áp dụng trong việc quản lý sự cố an toàn thông\r\n tin. \r\nCác trách nhiệm và thủ tục cần được\r\n thực hiện để xử lý các sự kiện và điểm yếu an toàn thông tin một cách hiệu quả\r\n mỗi khi chúng được báo cáo. Quá trình cải\r\n tiến liên tục cũng cần được áp dụng nhằm phản ứng, giám sát, đánh giá, và quản\r\n lý chung về các sự cố an toàn thông tin. \r\nTrong trường hợp | \r\n
12.2.1. Các trách nhiệm và thủ tục
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thủ tục và trách nhiệm quản lý cần\r\nđược thiết lập nhằm đảm bảo sự phản ứng nhanh chóng, hiệu quả, đúng
Hướng dẫn triển khai
\r\n\r\nBên cạnh việc báo cáo các điểm yếu và\r\nsự kiện an toàn thông tin (xem 12.1), cũng cần giám sát các hệ thống, các cảnh\r\nbáo, và các điểm yếu (9.10.2) cần được sử dụng nhằm phát hiện các sự cố an toàn\r\nthông tin.
\r\n\r\nNhững hướng dẫn sau đây cho các thủ tục\r\nquản lý sự cố an toàn thông tin cần được quan tâm:
\r\n\r\na) các thủ tục cần được thiết lập nhằm\r\nxử lý các dạng sự cố an toàn thông tin khác nhau bao gồm:
\r\n\r\n1) lỗi hệ thống thông tin và mất dịch\r\nvụ:
\r\n\r\n2) mã độc hại (xem 9.4.1);
\r\n\r\n3) từ chối dịch vụ;
\r\n\r\n4) các lỗi do dữ liệu nghiệp vụ không\r\nđầy đủ hoặc không chính xác;
\r\n\r\n5) các vi phạm về tính bí mật hoặc\r\ntính toàn vẹn;
\r\n\r\n6) sự lạm dụng các hệ thống thông tin;
\r\n\r\nb) bên cạnh các kế hoạch đối phó với\r\ncác sự kiện bất ngờ thông thường (xem 13.1.3) thì các thủ tục cũng cần bao gồm\r\n(xem 12.2.2):
\r\n\r\n1) phân tích và xác định nguyên nhân của\r\nsự cố;
\r\n\r\n2) chính sách ngăn chặn;
\r\n\r\n3) lập kế hoạch và triển khai hoạt động\r\nkhắc phục nhằm ngăn ngừa tái diễn, nếu cần thiết;
\r\n\r\n4) trao đổi thông tin với những người\r\nbị ảnh hưởng hoặc có tham gia vào phục hồi\r\nsự cố;
\r\n\r\n5) báo cáo về hoạt động tới người có
c) các truy vết và các bằng chứng\r\ntương tự phải được thu thập (xem 12.2.3) và được bảo vệ an toàn, để dùng cho việc:
\r\n\r\n1) phân tích vấn đề từ bên trong;
\r\n\r\n2) sử dụng như chứng cứ pháp lý liên\r\nquan tới việc vi phạm hợp đồng hoặc yêu cầu\r\npháp lý hoặc trong các trường hợp xảy ra kiện cáo dân sự hoặc hình sự, ví dụ lạm\r\ndụng chức năng của máy tính hoặc làm sai luật bảo vệ dữ liệu;
\r\n\r\n3) thương lượng bồi thường từ những\r\nnhà cung cấp dịch vụ và phần mềm;
\r\n\r\nd) hoạt động nhằm khôi phục lại sau\r\nkhi xảy ra các lỗ hổng an toàn và hiệu chỉnh các lỗi hệ thống cần được quản lý\r\nthận trọng và chính thức; các thủ tục cần đảm bảo rằng:
\r\n\r\n1) chỉ cá nhân được phép và đã được chỉ\r\nđịnh rõ mới được phép truy cập vào dữ liệu và hệ thống đang hoạt động (xem 5.2\r\nphần truy cập từ bên ngoài);
\r\n\r\n2) mọi hoạt động khẩn cấp đã được thực\r\nhiện đều phải được ghi vào văn bản một cách chi tiết;
\r\n\r\n3) hoạt động khẩn cấp phải được báo\r\ncáo với ban quản lý và được soát xét một cách có trình\r\ntự;
\r\n\r\n4) tính toàn vẹn của các hệ thống nghiệp\r\nvụ và các biện pháp quản lý cần được chứng thực với\r\nđộ trễ tối thiểu.
\r\n\r\nCác mục tiêu của việc quản lý sự cố an\r\ntoàn thông tin cần được ban quản lý thông qua, và cũng cần đảm bảo rằng những\r\nngười có trách nhiệm trong việc quản lý sự cố an toàn thông tin đều hiểu rõ quyền\r\nưu tiên của tổ chức đối với việc xử lý các sự cố an toàn thông tin.
\r\n\r\nThông tin khác
\r\n\r\nCác sự cố an toàn thông tin có thể nằm\r\nngoài ranh giới của tổ chức và ranh giới quốc gia. Để phản ứng lại các sự cố như\r\nvậy cần nâng cao yêu cầu phối hợp ứng cứu và chia sẻ thông tin về các sự cố với\r\ncác tổ chức bên ngoài một cách phù hợp.
\r\n\r\n12.2.2. Rút bài học kinh nghiệm từ các\r\nsự cố an toàn thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nCần có các cơ chế sẵn sàng nhằm cho\r\nphép các lượng hóa và giám sát các kiểu, số lượng và chi phí của các sự cố an\r\ntoàn thông tin.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nThông tin thu được từ quá trình đánh\r\ngiá các sự cố an toàn thông tin phải được sử dụng để xác định các sự cố có tính\r\nchu kỳ hoặc có ảnh hưởng lớn.
\r\n\r\nThông tin khác
\r\n\r\nViệc đánh giá các sự cố an toàn thông\r\ntin có thể chỉ ra sự cần thiết phải áp dụng các biện pháp quản lý tăng cường hoặc\r\nbổ sung nhằm hạn chế tần suất, thiệt hại và chi phí của các sự cố trong tương lai, hoặc phải xem xét sử dụng quá
12.2.3. Thu thập chứng cứ
\r\n\r\nBiện pháp quản lý
\r\n\r\nKhi một hành động nhằm chống lại một\r\nngười hay một tổ chức sau khi có một sự cố an toàn thông tin xảy ra, liên quan\r\nđến pháp luật (có thể là dân sự hoặc hình sự), thì chứng cứ cần được thu thập,\r\ngiữ lại, và được trình bày sao cho phù hợp\r\nvới quy định pháp lý.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác thủ tục nội bộ cần được phát triển\r\nvà tuân thủ trong quá trình thu thập và
Nhìn chung, các quy tắc đối với chứng\r\ncứ bao gồm:
\r\n\r\na) khả năng chấp nhận được
b) trọng lượng của chứng cứ: chất lượng\r\nvà tính đầy đủ của chứng cứ.
\r\n\r\nĐể đạt được\r\nkhả năng chấp nhận của chứng cứ thì tổ chức cần đảm bảo rằng các hệ thống thông\r\ntin của họ đã tuân thủ tất cả các tiêu chuẩn hoặc quy tắc thực hành đã được ban\r\nhành trong việc lấy các chứng cứ có thể được chấp nhận.
\r\n\r\nTrọng lượng của chứng cứ được cung cấp phải tuân thủ các yêu cầu hiện hành. Để\r\ncó được trọng lượng của chứng cứ thì chất lượng và tính đầy đủ của các biện\r\npháp quản lý được sử dụng nhằm bảo vệ chứng cứ một cách phù hợp và nhất quán (tức\r\nlà quy trình quản lý bằng chứng) trong suốt\r\nthời gian các chứng cứ được lưu giữ và xử lý phải được thể hiện bởi một vết chứng\r\ncứ chắc chắn. Nhìn chung, vết chứng cứ chắc chắn có thể được thiết lập theo các\r\nđiều kiện sau đây:
\r\n\r\na) đối với các tài liệu in trên giấy:\r\nbản gốc cần được giữ an toàn cùng với một hồ sơ của người đã tìm thấy tài liệu,\r\nnơi tìm thấy tài liệu, thời điểm tìm thấy tài liệu và người làm chứng cho phát\r\nhiện này; mọi cuộc điều tra đều phải đảm bảo rằng các tài liệu gốc không bị giả\r\nmạo;
\r\n\r\nb) đối với các thông tin trên thiết bị\r\nmáy tính: các hình ảnh trung thực hoặc các bản sao (tùy thuộc các yêu cầu ứng dụng)\r\ncủa mọi phương tiện có thể di dời, thông tin trên các đĩa cứng hoặc trong bộ nhớ\r\ncần được đảm bảo tính sẵn sàng; nhật ký của mọi hoạt động trong quá
Mọi công việc có liên quan đến pháp luật\r\nđều chỉ được thực hiện trên các bản sao tài liệu chứng cứ. Tính toàn vẹn
Thông tin khác
\r\n\r\nKhi một sự kiện an toàn thông tin được\r\nphát hiện lần đầu, có thể không thể xác định rõ ràng liệu sự kiện đó có phải\r\nđưa ra tòa hay không. Vì vậy, tồn tại một nguy cơ rằng chứng cứ cần thiết có thể\r\nvô tình hoặc cố ý bị phá hủy trước khi mức độ nghiêm trọng của vụ việc được nhận\r\nra. Do vậy,nên sớm cần có một luật sư hoặc một nhân viên cảnh sát trong mọi hoạt\r\nđộng pháp lý được dự định thực hiện và được tư vấn\r\nvề chứng cứ.
\r\n\r\nChứng cứ có thể nằm ngoài phạm vi quyền\r\nhạn và/hoặc biên giới của tổ chức. Trong những trường hợp này, cần đảm bảo rằng\r\ntổ chức được quyền thu thập các thông tin cần thiết làm chứng cứ. Các yêu cầu về\r\nphạm vi quyền hạn pháp lý khác nhau cũng cần được xem xét nhằm tối đa hóa các\r\ncơ hội thú nhận.
\r\n\r\n13. Quản lý sự liên tục\r\ncủa hoạt động nghiệp vụ
\r\n\r\n13.1. Các khía cạnh an toàn thông tin\r\ntrong quản lý sự liên tục của hoạt động nghiệp vụ
\r\n\r\n| \r\n Mục tiêu: Chống lại các gián đoạn\r\n trong hoạt động nghiệp vụ và bảo vệ các quy trình\r\n hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm\r\n họa và đảm bảo khả năng khôi phục các hoạt động bình thường kịp thời. \r\nQuy trình quản lý sự liên tục của hoạt\r\n động nghiệp vụ cần được triển khai nhằm tối giảm ảnh hưởng lên tổ chức và\r\n khôi phục lại sau khi mất mát các tài sản thông tin (ví dụ, tài sản có thể bị\r\n mất do các thảm họa tự nhiên, các tai nạn, lỗi thiết bị, và các hoạt động cố\r\n ý) đến một mức độ có thể chấp nhận bằng cách phối hợp các biện pháp quản lý\r\n ngăn ngừa và khôi phục. Quá trình này cần xác định các quy Hậu quả của các thảm họa, lỗi bảo mật, mất mát thiết bị, và sự sẵn sàng\r\n của dịch vụ phải là các đối tượng của quá trình\r\n phân tích ảnh hưởng lên nghiệp vụ. Các kế hoạch về sự liên tục trong hoạt động\r\n nghiệp vụ cần được phát triển và triển\r\n khai nhằm đảm bảo sự tiếp tục của các hoạt động cần thiết đúng lúc. An toàn\r\n thông tin cần phải là một phần không tách rời của quá trình đảm bảo sự liên tục của hoạt động nghiệp vụ, và các quá Quản lý sự liên tục | \r\n
13.1.1. Tính đến an toàn thông tin\r\ntrong các quy trình quản lý sự liên tục của\r\nhoạt động nghiệp vụ
\r\n\r\nBiện pháp quản lý
\r\n\r\nMột quy trình\r\nđược quản lý cần được xây dựng và duy trì\r\nnhằm đảm bảo các hoạt động của cơ quan/tổ chức không bị gián đoạn. Nội dung quy\r\ntrình này phải đề cập các yêu cầu về an toàn thông tin cần thiết nhằm đảm bảo\r\ncác hoạt động liên tục của tổ chức.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nQuy trình\r\nnày phải cho các yếu tố quan trọng sau trong quản lý sự liên tục
a) hiểu về các rủi ro mà tổ chức đang\r\nđối mặt trên khía cạnh về rủi ro rất có khả năng xảy ra và
b) xác định\r\nmọi tài sản tham gia vào các quá trình nghiệp vụ quan trọng (xem 6.1.1);
\r\n\r\nc) hiểu rõ về ảnh hưởng lên hoạt động nghiệp vụ của các gián đoạn do các sự cố\r\nthông tin có khả năng xảy ra (quan trọng là các giải pháp tìm được phải giải\r\nquyết được các sự cố gây ra ảnh hưởng nhỏ,\r\ncũng như các sự cố nghiêm trọng có thể đe dọa sự tồn tại của tổ chức), và thiết\r\nlập các mục tiêu nghiệp vụ của các phương tiện xử lý thông tin;
\r\n\r\nd) cân nhắc đến việc mua bảo hiểm phù\r\nhợp, việc này có thể là một phần trong quy trình quản\r\nlý sự liên tục của hoạt động nghiệp chung, và cũng là một phần trong quá\r\ntrình quản\r\nlý rủi ro hoạt động;
\r\n\r\ne) xác định và quan tâm tới việc triển\r\nkhai thêm các biện pháp quản lý phòng ngừa và giảm nhẹ thiệt hại;
\r\n\r\nf) xác định\r\ncác nguồn tài nguyên về tài chính, tổ chức, kỹ thuật và môi trường thỏa đáng để\r\ncó thể xử lý được các yêu cầu an toàn thông tin đã xác định;
\r\n\r\ng) đảm bảo sự an toàn cho nhân viên và\r\nsự bảo vệ các phương tiện xử lý thông tin và tài sản của tổ chức;
\r\n\r\nh) lập và lập thành tài liệu các kế hoạch\r\nquản lý sự liên tục của hoạt động nghiệp vụ trong đó giải quyết các yêu cầu an\r\ntoàn thông tin tuân theo chiến lược quản lý sự liên tục về hoạt động nghiệp vụ\r\nđã được thông qua (xem 13.1.3);
\r\n\r\ni) kiểm tra và cập nhật định kỳ các kế\r\nhoạch và các quy trình cần thực hiện (xem\r\n13.1.5);
\r\n\r\nj) đảm bảo rằng việc quản lý sự liên tục\r\ncủa hoạt động nghiệp vụ được phối hợp trong cơ cấu và các quy trình của tổ chức,\r\ntrách nhiệm về quá trình quản lý sự liên\r\ntục của hoạt động nghiệp vụ cần được phân ở mức độ phù hợp trong tổ chức (xem\r\n5.1.1).
\r\n\r\n13.1.2. Đánh giá rủi ro và sự liên tục\r\ntrong hoạt động của tổ chức
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác sự kiện có thể gây ra gián đoạn sự\r\ngián đoạn của hoạt động của tổ chức cần được xác định cùng với xác suất, ảnh hưởng\r\ncũng như hậu quả của chúng đối với an\r\ntoàn thông tin.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác khía cạnh an toàn thông tin của sự\r\nliên tục của hoạt động nghiệp vụ cần dựa trên việc xác định các sự kiện (hoặc\r\nchuỗi sự kiện) có thể gây ra sự gián đoạn các quá trình\r\nnghiệp vụ của tổ chức, ví dụ sự cố thiết bị, lỗi do con người, mất cắp, cháy,\r\ncác thảm họa tự nhiên và các hoạt động khủng bố. Sau đó cần đánh giá rủi ro nhằm\r\nxác định khả năng xảy ra và ảnh hưởng của\r\nnhững gián đoạn đó, về mặt thời gian, mức độ thiệt hại và thời gian khôi phục.
\r\n\r\nCác đánh giá rủi ro đối với sự liên tục\r\ncủa các hoạt động nghiệp vụ cần được thực hiện với sự tham gia đầy đủ của các\r\nchủ sở hữu các quá
Tùy thuộc vào các kết quả
13.1.3. Xây dựng và triển khai các kế\r\nhoạch về tính liên tục, trong đó bao gồm vấn đề đảm bảo an toàn thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác kế hoạch phải được phát triển và triển khai nhằm duy trì hoặc khôi phục\r\ncác hoạt động điều hành và đảm bảo tính sẵn sàng của thông tin ở mức độ yêu cầu\r\nvà đáp ứng yêu cầu về thời gian xử lý các gián đoạn và hư hỏng trong các quá
Hướng dẫn triển khai
\r\n\r\nQuá trình lên kế hoạch về tính liên tục\r\nvề nghiệp vụ cần quan tâm tới những điều sau:
\r\n\r\na) xác định và thông qua mọi trách nhiệm\r\nvà thủ tục về tính liên tục của hoạt động\r\nnghiệp vụ;
\r\n\r\nb) xác định độ mất mát thông tin và dịch\r\nvụ ở mức chấp nhận được;
\r\n\r\nc) triển khai các thủ tục cho phép\r\nkhôi phục và phục hồi các hoạt động nghiệp vụ và tính sẵn sàng của thông tin\r\ntheo thang thời gian yêu cầu; cần đưa ra\r\ncác yêu cầu chú ý đặc biệt đến việc đánh giá những phụ thuộc về nghiệp vụ trong\r\nnội bộ và bên ngoài và các bản hợp đồng đang có hiệu lực;
\r\n\r\nd) các thủ tục vận hành cho đến khi\r\nhoàn tất việc khôi phục và phục hồi;
\r\n\r\ne) tài liệu về các quy
f) đào tạo phù hợp đội ngũ nhân viên về\r\ncác quá trình và thủ tục đã được thông\r\nqua, gồm cả việc quản lý khủng hoảng;
\r\n\r\ng) kiểm tra và cập nhật các kế hoạch.
\r\n\r\nQuá trình lập kế hoạch cần tập trung\r\nvào các mục tiêu nghiệp vụ được yêu cầu, ví dụ việc khôi phục các dịch vụ truyền\r\nthông cụ thể cho khách hàng trong khoảng thời gian có thể chấp nhận. Các dịch vụ\r\nvà nguồn tài nguyên hỗ trợ quá trình này\r\ncũng cần được xác định, bao gồm đội ngũ nhân viên, các nguồn tài nguyên xử lý\r\nkhông phải dạng thông tin, cũng như các dàn xếp về phương tiện
Các kế hoạch về sự liên tục
Nếu sử dụng các vị trí thay thế tạm thời\r\nthì mức độ của các biện pháp quản lý an toàn được triển khai tại những vị trí\r\nđó phải tương đương với vị trí chính.
\r\n\r\nThông tin khác
\r\n\r\nCũng cần chú ý rằng các kế hoạch và\r\ncác hoạt động quản lý khủng hoảng (xem 13.1.3f)) có thể khác với
13.1.4. Khung hoạch định sự liên tục trong\r\nhoạt động nghiệp vụ
\r\n\r\nBiện pháp quản lý
\r\n\r\nMột khung hoạch định các kế hoạch đảm\r\nbảo liên tục trong hoạt động nghiệp vụ cần được duy trì để mọi kế hoạch được thực\r\nhiện một cách nhất quán và đạt được các yêu cầu về đảm bảo an toàn thông tin\r\ncũng như xác định được các mức độ ưu tiên cho việc kiểm tra và duy trì.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nMỗi kế hoạch về sự liên tục của các hoạt\r\nđộng nghiệp vụ phải mô tả cách tiếp cận tính liên tục, ví dụ cách tiếp cận để đảm\r\nbảo tính sẵn sàng và sự an toàn của thông\r\ntin hoặc hệ thống thông tin. Mỗi kế hoạch cũng cần xác định rõ kế hoạch nâng dần\r\ncấp xử lý và các điều kiện thực hiện, cũng như các cá nhân có trách nhiệm thực\r\nhiện từng bộ phận của kế hoạch. Khi có\r\ncác yêu cầu mới được xác định thì mọi thủ tục khẩn cấp hiện hành, ví dụ các kế\r\nhoạch di tản hoặc các dàn xếp về dự phòng, cần được bổ sung hợp lý. Các thủ tục\r\ncần nằm trong chương trình quản lý thay đổi\r\ncủa tổ chức để đảm bảo rằng các vấn đề về sự liên tục của hoạt động nghiệp vụ\r\nluôn được giải quyết thỏa đáng.
\r\n\r\nMỗi kế hoạch cần có người
Khung hoạch định sự liên tục trong hoạt\r\nđộng nghiệp vụ cần tập trung vào các yêu cầu an toàn thông tin đã được xác định\r\nvà cần quan tâm tới những điều sau:
\r\n\r\na) các điều kiện khởi động các kế hoạch,\r\ntrong đó mô tả quy trình phải thực hiện\r\n(ví dụ cách đánh giá tình hình, người tham gia) trước khi mỗi kế hoạch được khởi\r\nđộng;
\r\n\r\nb) các thủ tục khẩn cấp, trong đó mô tả\r\ncác hoạt động cần được thực hiện khi xảy ra một sự cố gây nguy hiểm cho các hoạt\r\nđộng nghiệp vụ;
\r\n\r\nc) các thủ tục dự phòng trong đó mô tả\r\ncác hoạt động cần được thực hiện nhằm thúc đẩy các hoạt động nghiệp vụ cần thiết\r\nhoặc hỗ trợ các dịch vụ cho các vị trí thay thế tạm thời khác, và khôi phục các\r\nquá trình nghiệp vụ theo các thang thời\r\ngian yêu cầu;
\r\n\r\nd) thủ tục vận hành tạm thời trong khi\r\nchờ đợi hoàn thành việc khôi phục;
\r\n\r\ne) các thủ tục tiếp tục lại trong đó mô\r\ntả những hoạt động cần được thực hiện để trở lại các hoạt động nghiệp vụ bình\r\nthường;
\r\n\r\nf) lịch trình\r\nbảo dưỡng trong đó quy định cách thức và thời gian kế hoạch sẽ được kiểm tra và\r\nquy trình duy trì kế hoạch;
\r\n\r\ng) các hoạt động nhận thức, giáo dục và\r\nđào tạo được thiết kế nhằm thiết lập hiểu biết về các quá
h) các trách nhiệm
i) các tài sản và nguồn tài nguyên\r\nquan trọng cần để có thể thực hiện các thủ tục khẩn cấp, dự phòng
13.1.5. Kiểm tra, duy trì và đánh giá\r\nlại các kế hoạch đảm bảo sự liên tục trong hoạt động nghiệp vụ
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác kế hoạch về sự liên tục trong hoạt\r\nđộng nghiệp vụ cần được kiểm tra và cập nhật thường xuyên nhằm luôn đảm bảo tính\r\ncập nhật và hiệu quả.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác cuộc kiểm tra kế hoạch về sự liên\r\ntục của hoạt động nghiệp vụ cần đảm bảo rằng tất cả thành viên
Kế hoạch kiểm tra (các) kế hoạch về sự\r\nliên tục của hoạt động nghiệp vụ cần chỉ ra cách thức và thời gian kiểm tra từng\r\nthành phần của kế hoạch. Mỗi thành phần của (các) kế hoạch cần được kiểm tra\r\nthường xuyên.
\r\n\r\nPhải sử dụng nhiều kỹ thuật kiểm tra để\r\nđảm bảo rằng (các) kế hoạch sẽ vận hành trong đời sống thực tế. Các kỹ thuật\r\nnày phải bao gồm:
\r\n\r\na) kiểm tra bằng công nghệ cao các kịch\r\nbản khác nhau (trong đó thảo luận về các kịch bản khôi phục hoạt động nghiệp vụ\r\nsử dụng các gián đoạn mẫu);
\r\n\r\nb) mô phỏng (đặc biệt là trong quá
c) kiểm tra việc khôi phục kỹ thuật (đảm\r\nbảo các hệ thống thông tin có thể được khôi phục thực sự);
\r\n\r\nd) kiểm tra việc khôi phục tại một vị\r\ntrí khác (chạy các quy trình nghiệp vụ song song với các hoạt động khôi phục ở\r\nxa vị trí chính);
\r\n\r\ne) các cuộc kiểm tra các phương tiện\r\nvà dịch vụ của nhà cung cấp (đảm bảo rằng các dịch vụ và sản phẩm được cung cấp\r\ntừ bên ngoài sẽ tuân theo cam kết trong hợp đồng);
\r\n\r\nf) hoàn
Những kỹ thuật này có thể được sử dụng\r\ncho mọi tổ chức. Chúng phải được áp dụng theo cách phù hợp với kế hoạch khôi phục\r\ncụ thể. Các kết quả của các cuộc kiểm tra\r\ncần được ghi lại và các hoạt động cần được thực hiện nhằm cải tiến kế hoạch nếu\r\ncần thiết.
\r\n\r\nTrách nhiệm cần được phân định trong\r\nviệc thường xuyên soát xét từng kế hoạch về sự liên tục của hoạt động nghiệp vụ.\r\nSau khi xác định những thay đổi trong các hoạt động nghiệp vụ chưa được phản\r\nánh trong các kế hoạch về sự liên tục của hoạt động nghiệp vụ thì phải cập nhật\r\nkế hoạch một cách phù hợp. Quá trình quản lý thay đổi chính thức này cần đảm bảo\r\nrằng các kế hoạch được cập nhật đều được phân phối và củng có bằng các soát xét\r\nvề toàn bộ kế hoạch một cách thường xuyên.
\r\n\r\nCác ví dụ về những thay đổi mà việc cập\r\nnhật các kế hoạch về sự liên tục của hoạt động nghiệp vụ cần phải được quan tâm\r\nlà việc thu nhận thiết bị mới, nâng cấp các hệ thống và những thay đổi về:
\r\n\r\na) nhân sự;
\r\n\r\nb) các địa chỉ và số điện thoại;
\r\n\r\nc) chiến lược nghiệp vụ;
\r\n\r\nd) vị trí, các phương tiện và các nguồn\r\ntài nguyên;
\r\n\r\ne) quy định pháp lý;
\r\n\r\nf) các nhà thầu, nhà cung cấp và khách\r\nhàng thân thiết;
\r\n\r\ng) các quy trình, hoặc mới hoặc bị thu hồi;
\r\n\r\nh) rủi ro (điều hành
14.1. Sự tuân thủ các quy định pháp lý
\r\n\r\n| \r\n Mục tiêu: Nhằm tránh sự vi phạm pháp\r\n luật, quy định, nghĩa vụ theo các hợp đồng đã ký kết, và tránh sự vi phạm các\r\n yêu cầu về đảm bảo an toàn thông tin. \r\nThiết kế, điều hành, sử dụng và quản\r\n lý các hệ thống thông tin có thể phải tuân theo các yêu cầu về an toàn thông\r\n tin của luật pháp, quy định, và giao\r\n kèo. \r\nCó thể tìm thấy những tư vấn về các\r\n yêu cầu pháp lý cụ thể từ những cố vấn pháp luật của tổ chức, hoặc những người\r\n hành nghề về luật pháp có đủ khả năng\r\n phù hợp. Các yêu cầu pháp lý của các quốc\r\n gia cũng khác nhau và có thể thay đổi nếu thông tin được tạo ra ở một quốc\r\n gia nhưng lại được truyền sang một quốc gia khác (nghĩa là luồng dữ liệu chuyển\r\n qua biên giới). \r\n | \r\n
14.1.1. Xác định các điều luật hiện\r\nđang áp dụng được
\r\n\r\nBiện pháp quản lý
\r\n\r\nTất cả các yêu cầu về pháp lý, quy định,\r\nnghĩa vụ trong hợp đồng đã ký và cách tiếp cận của\r\ntổ chức để đáp ứng những yêu cầu này phải được xác định rõ ràng, ghi thành văn\r\nbản và được cập nhật thường xuyên.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác biện pháp quản lý cụ thể và các\r\ntrách nhiệm của cá nhân để đáp ứng các yêu\r\ncầu này phải được xác định và được lập thành văn bản.
\r\n\r\n14.1.2. Quyền\r\nsở hữu trí tuệ (IPR)
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác thủ tục phù hợp cần được triển\r\nkhai nhằm đảm bảo sự phù hợp với các yêu cầu pháp lý, các quy định và cam kết\r\ntheo hợp đồng trong việc sử dụng các tài liệu có quyền sở hữu trí tuệ và các sản\r\nphẩm phần mềm độc quyền.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác hướng dẫn sau cần được quan tâm để\r\nbảo vệ mọi tài liệu có quyền sở hữu trí\r\ntuệ:
\r\n\r\na) công bố các quyền sở hữu trí tuệ phải\r\ntuân thủ theo chính sách trong đó xác định việc sử dụng hợp pháp các sản phẩm\r\nthông tin và phần mềm;
\r\n\r\nb) chỉ lấy phần mềm qua các nguồn quen\r\nbiết và đáng tin cậy, nhằm đảm bảo rằng không vi phạm bản quyền;
\r\n\r\nc) duy trì nhận thức về các chính sách\r\nbảo vệ các quyền sở hữu trí tuệ, và đưa\r\nra lưu ý về mục đích thực hiện hoạt động kỷ luật đối với các cá nhân vi phạm\r\ncác chính sách;
\r\n\r\nd) duy trì đăng ký
e) duy trì chứng minh và chứng cứ về quyền\r\nsở hữu bản quyền, các đĩa điều khiển, sách hướng dẫn...;
\r\n\r\nf) triển khai các biện pháp quản lý nhằm\r\nđảm bảo rằng không bị vượt quá số lượng người dùng tối đa được phép;
\r\n\r\ng) thực hiện các cuộc kiểm tra để đảm\r\nbảo rằng chỉ các phần mềm được cấp phép và các sản phẩm có bản quyền mới được\r\ncài đặt;
\r\n\r\nh) cung cấp một chính sách duy trì các\r\nđiều kiện bản quyền thích hợp;
\r\n\r\ni) cung cấp một chính sách bố trí hoặc\r\nchuyển phần mềm cho những người khác;
\r\n\r\nj) Sử dụng các công cụ đánh giá phù hợp;
\r\n\r\nk) tuân theo các điều khoản và điều kiện\r\nđối với phần mềm và thông tin lấy được từ các mạng công cộng;
\r\n\r\nI) không nhân bản, chuyển đổi sang dạng\r\nkhác hoặc lấy từ các hồ sơ thương mại (phim ảnh, tiếng nói) trừ khi đã được\r\nphép;
\r\n\r\nm) không sao chép toàn bộ hoặc từng phần\r\ncác sách, báo, báo cáo hoặc các dạng tài liệu khác trừ khi được luật bản quyền\r\ncho phép.
\r\n\r\nThông tin khác
\r\n\r\nCác quyền sở hữu trí tuệ bao gồm bản\r\nquyền phần mềm hoặc tài liệu, các quyền thiết kế, đăng ký thương mại, bằng sáng\r\nchế, và các đăng ký mã nguồn.
\r\n\r\nCác sản phẩm phần mềm có bản quyền thường\r\nđược cung cấp theo một thỏa thuận đăng ký nhằm xác định các điều khoản và điều\r\nkiện đăng ký, ví dụ, giới hạn sử dụng các sản phẩm chỉ với các máy móc cụ thể\r\nhoặc giới hạn sao chép chỉ cho các mục đích tạo ra các bản sao lưu. Trạng thái\r\nIPR của phần mềm do tổ chức phát triển sẽ đòi hỏi phải được công bố rõ ràng với\r\nđội ngũ nhân viên.
\r\n\r\nCác yêu cầu pháp lý, quy định và giao\r\nkèo có thể đặt ra những giới hạn trong việc sao chép các tài liệu có bản quyền.\r\nCụ thể là, chúng có thể yêu cầu chỉ có\r\ncác tài liệu được phát triển bởi tổ chức, hoặc được đăng ký bản quyền hoặc được\r\ncung cấp bởi người phát triển cho tổ chức, mới có thể được sử dụng. Sự vi phạm\r\nbản quyền có thể dẫn đến các hoạt động pháp lý, đó có thể là các cuộc kiện cáo\r\ncó tính chất hình sự.
\r\n\r\n14.1.3. Bảo vệ các hồ sơ
Biện pháp quản lý
\r\n\r\nCác hồ sơ quan trọng cần được bảo vệ\r\nkhỏi sự mất mát, phá hủy hoặc làm sai lệch, phù hợp với pháp luật, quy định,\r\ncác nghĩa vụ trong hợp đồng đã ký.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác hồ sơ cần được phân loại theo loại\r\nhồ sơ, ví dụ hồ sơ kế toán, hồ sơ cơ sở dữ\r\nliệu, nhật ký giao dịch, nhật ký đánh giá, và các thủ tục điều hành, mỗi hồ sơ đều\r\ncó các thông tin chi tiết về các giai đoạn sử dụng và loại phương tiện lưu trữ,\r\nví dụ giấy, phim, từ, quang. Mọi tài liệu có khóa mã hóa liên quan và các
Cần xem xét khả năng hư hỏng thiết bị\r\nđược sử dụng để lưu trữ các hồ sơ. Các thủ\r\ntục lưu trữ và xử lý cần được triển khai theo các hướng dẫn của nhà
Trường hợp thiết bị lưu trữ điện tử được\r\nlựa chọn thì các thủ tục nhằm đảm bảo khả năng truy cập dữ liệu (cả khả năng đọc\r\nphương tiện và định dạng) trong toàn bộ quá trình lưu trữ cũng cần được đưa ra\r\nnhằm bảo vệ an toàn trước những mất mát do sự thay đổi công nghệ trong tương\r\nlai.
\r\n\r\nCác hệ thống lưu trữ dữ liệu cần được\r\nchọn lựa sao cho dữ liệu được yêu cầu có thể lấy lại định dạng và khung thời\r\ngian trong mức có thể chấp nhận được, tùy theo các yêu cầu phải thỏa mãn.
\r\n\r\nNếu thích hợp thì hệ thống lưu trữ và\r\nxử lý cần đảm bảo định danh rõ các hồ sơ và thời gian lưu trữ chúng như đã được\r\nxác định bởi các yêu cầu pháp lý, quy định của quốc gia hoặc khu vực. Hệ thống này\r\nphải cho phép hủy bỏ các hồ sơ một cách phù hợp sau thời gian lưu trữ đó nếu\r\nchúng không cần thiết cho tổ chức nữa.
\r\n\r\nĐể thỏa mãn các mục tiêu bảo vệ hồ sơ,\r\ncác bước sau đây cần được thực hiện trong nội bộ tổ chức:
\r\n\r\na) đưa ra các hướng dẫn về việc sử dụng,\r\nlưu trữ, xử lý và loại bỏ các hồ sơ và\r\nthông tin;
\r\n\r\nb) kế hoạch lưu trữ cần được phác thảo\r\nnhằm xác định các hồ sơ và khoảng thời gian lưu trữ chúng:
\r\n\r\nc) việc kiểm kê các nguồn tài nguyên
d) các biện pháp quản lý phù hợp cần\r\nđược triển khai nhằm bảo vệ các hồ sơ và thông tin khỏi bị mất, phá hủy
Thông tin
Một số hồ sơ có thể cần được lưu giữ\r\nan toàn để tuân thủ các yêu cầu pháp lý, quy định hoặc giao kèo, cũng như để hỗ\r\ntrợ các hoạt động nghiệp vụ cần thiết. Ví dụ các hồ sơ có thể được yêu cầu là chứng cứ cho thấy tổ chức hoạt động tuân\r\ntheo các quy định hoặc các yêu cầu pháp lý, nhằm đảm bảo sự phòng thủ thích\r\nđáng trước các hành động dân sự hoặc hình sự tiềm ẩn, hoặc để xác nhận tình trạng\r\ntài chính của một tổ chức trước các cổ đông, các bên liên quan, và các đánh giá\r\nviên. Khoảng thời gian và nội dung dữ liệu cần lưu trữ thông tin có thể được\r\nquy định bởi các điều luật hoặc quy tắc quốc gia.
\r\n\r\nThông tin sâu hơn về việc quản lý các\r\nhồ sơ của tổ chức có thể tìm thấy trong\r\nISO 15489-1.
\r\n\r\n14.1.4. Bảo vệ dữ liệu và sự riêng tư\r\ncủa thông tin cá nhân
\r\n\r\nBiện pháp quản lý
\r\n\r\nViệc bảo vệ dữ liệu và tính riêng tư cần\r\nđược đảm bảo theo yêu cầu pháp lý, quy định,\r\nvà cả các điều khoản trong hợp đồng nếu có.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nChính sách về sự riêng tư và bảo vệ dữ\r\nliệu của tổ chức cần được phát triển và\r\ntriển khai. Chính sách này cần được phổ biến cho tất cả các nhân viên tham gia\r\nvào việc xử lý thông tin cá nhân.
\r\n\r\nViệc tuân thủ chính sách này và tất cả\r\ncác yêu cầu pháp lý và quy định về bảo vệ dữ liệu có liên quan đòi hỏi cơ cấu\r\nvà biện pháp quản lý phù hợp. Thông thường cách tốt nhất để đạt được điều này\r\nlà chỉ định trách nhiệm cá nhân, ví dụ chỉ định ra một nhân viên bảo vệ dữ liệu,\r\nngười này phải đưa ra hướng dẫn cho những người quản lý, người dùng, và các nhà\r\ncung cấp dịch vụ trên cơ sở các trách nhiệm\r\ncá nhân của họ và các thủ tục cần phải tuân\r\ntheo. Trách nhiệm đối với việc xử lý thông tin cá nhân và đảm bảo nhận thức về\r\ncác nguyên tắc bảo vệ dữ liệu cần được đề cập phù hợp tuân theo các yêu cầu\r\npháp lý và các quy định. Các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ\r\nthông tin cá nhân cũng cần được triển khai.
\r\n\r\nThông tin khác
\r\n\r\nMột số nước đã đưa ra quy định pháp lý\r\nvề các biện pháp quản lý việc thu thập, xử lý, và chuyển giao dữ liệu cá nhân\r\n(nhìn chung, thông tin về những người còn sống có thể được xác định từ
14.1.5. Ngăn ngừa việc lạm dụng phương\r\ntiện xử lý thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nCần ngăn chặn người dùng khỏi việc sử\r\ndụng các phương tiện xử lý thông tin vào mục đích không được phép.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nBan quản lý cần thông qua việc sử dụng\r\ncác phương tiện xử lý thông tin. Mọi sự sử dụng các phương tiện này cho các mục\r\nđích phi nghiệp vụ mà chưa có sự thông qua của ban quản lý (xem 5.1.4), hoặc\r\ncho các mục đích trái phép, đều được coi là sử dụng các phương tiện một cách\r\nkhông phù hợp. Nếu bất kỳ hoạt động trái phép nào được xác định bởi quá trình\r\ngiám sát hoặc bởi các biện pháp khác thì hoạt động này cần được đưa vào diện\r\nlưu ý của người quản lý, trong đó cần quan tâm đến biện pháp xử phạt thỏa đáng\r\nvà/hoặc hoạt động pháp lý.
\r\n\r\nCần có sự tư vấn pháp lý trước khi triển\r\nkhai các thủ tục giám sát.
\r\n\r\nMọi người dùng đều phải nhận thức được\r\nphạm vi truy cập được phép của họ và việc giám sát nhằm phát hiện sự sử dụng\r\ntrái phép. Họ có thể được cấp cho một giấy phép, mà bản sao
Tại thời điểm đăng nhập, cần có một\r\nthông điệp cảnh báo chỉ ra rằng phương tiện xử lý thông tin đang được truy cập là\r\nthuộc quyền sở hữu của tổ chức và sự truy cập chưa được cấp phép sẽ bị cấm. Người\r\ndùng phải hiểu biết và phản ứng một cách phù hợp với\r\nthông điệp trên màn hình để tiếp tục quá trình\r\nđăng nhập (xem 10.5.1).
\r\n\r\nThông tin khác
\r\n\r\nCác phương tiện xử lý thông tin
Các công cụ phát hiện vi phạm, kiểm\r\ntra nội dung, và các công cụ giám sát khác có thể giúp ngăn ngừa và phát hiện sự\r\nlạm dụng các phương tiện xử lý thông tin.
\r\n\r\nRất nhiều nước đã có các quy định pháp\r\nlý trong việc bảo vệ chống lại việc lạm dụng máy tính. Đó có thể là sự vi phạm\r\ncó tính chất hình sự trong việc sử dụng\r\nmáy tính cho những mục đích trái phép.
\r\n\r\nTính pháp lý của việc giám sát sự sử dụng\r\ncũng khác nhau giữa các quốc gia và có thể\r\nđòi hỏi ban quản lý phải tư vấn cho mọi\r\nngười dùng về việc giám sát và/hoặc để nhận được sự chấp thuận của họ. Nếu hệ\r\nthống đang được truy cập được sử dụng cho truy cập công cộng (ví dụ dịch vụ web công cộng) và là đối tượng cần giám\r\nsát an toàn bảo mật thì cần đưa ra một thông điệp thông báo về điều đó.
\r\n\r\n14.1.6. Quy định về quản lý mã hóa
\r\n\r\nBiện pháp quản lý
\r\n\r\nQuản lý mã hóa cần được áp dụng phù hợp\r\nvới các thỏa thuận, luật pháp và các quy định liên quan.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNhững vấn đề sau cần được quan tâm nhằm\r\ntuân thủ các thỏa thuận, luật pháp và quy định liên quan;
\r\n\r\na) các hạn chế về việc nhập và/hoặc xuất\r\nphần mềm và phần cứng máy tính để thực hiện các chức năng mã hóa;
\r\n\r\nb) các hạn chế về việc nhập và/hoặc xuất\r\nphần mềm và phần cứng máy tính được thiết kế để bổ sung các chức năng mã hóa;
\r\n\r\nc) các hạn chế về việc sử dụng mã hóa;
\r\n\r\nd) các phương pháp bắt buộc hoặc tùy\r\nchọn về truy cập được thực hiện bởi các quan chức quốc gia tới thông tin được mã\r\nhóa bởi phần cứng hoặc phần mềm để có được sự bí mật về nội dung.
\r\n\r\nCần có tư vấn pháp lý để đảm bảo sự\r\ntuân thủ các luật lệ và quy định của quốc gia. Trước khi thông tin đã mã hóa hoặc\r\ncác biện pháp quản lý mã hóa được chuyển sang quốc gia khác thì cũng cần có sự\r\ntư vấn pháp lý.
\r\n\r\n14.2. Sự tuân thủ các chính sách và\r\ntiêu chuẩn an toàn, và tương thích kỹ thuật
\r\n\r\n| \r\n Mục tiêu: Nhằm đảm bảo sự tuân thủ của\r\n hệ thống theo các chính sách và tiêu chuẩn an toàn của tổ chức. \r\nSự an toàn của các hệ thống thông\r\n tin cần được soát xét định kỳ. \r\nCác soát xét như vậy phải được thực\r\n hiện theo các chính sách an toàn thông tin phù hợp và các nền tảng kỹ thuật,\r\n các hệ thống thông tin cần được đánh giá sự tuân thủ theo các tiêu chuẩn triển\r\n khai an toàn thông tin hiện hành và các biện pháp quản lý an toàn thông tin\r\n đã được lập thành văn bản. \r\n | \r\n
14.2.1. Sự tuân thủ các tiêu chuẩn và chính\r\nsách an toàn
\r\n\r\nBiện pháp quản lý
\r\n\r\nNgười quản lý cần đảm bảo rằng mọi thủ\r\ntục đảm bảo an toàn trong phạm vi trách nhiệm của\r\nmình đều được thực hiện chính xác để đạt được kết quả phù hợp với các chính\r\nsách cũng như các tiêu chuẩn an toàn.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nBan quản lý cần soát xét định kỳ sự\r\ntuân thủ về xử lý thông tin theo các chính sách, tiêu chuẩn an toàn và các yêu\r\ncầu an toàn khác trong phạm vi trách nhiệm của mình.
\r\n\r\nNếu khi soát xét tìm thấy bất cứ sự\r\nkhông tuân thủ nào thì ban quản lý cần:
\r\n\r\na) xác định nguyên nhân của sự không tuân\r\nthủ;
\r\n\r\nb) đánh giá nhu cầu cần có các hoạt động\r\nđể đảm bảo sự không tuân thủ sẽ không tái diễn;
\r\n\r\nc) xác định và triển khai hoạt động\r\nphòng ngừa thích hợp;
\r\n\r\nd) soát xét lại hoạt động phòng ngừa\r\nđã được thực hiện.
\r\n\r\nCác kết quả của việc soát xét và các hoạt động phòng ngừa đã được thực hiện bởi\r\nnhững người quản lý cần được ghi lại và các báo cáo này cần được lưu lại. Những\r\nngười quản lý phải báo cáo các
Thông tin
Nội dung giám sát điều hành việc sử dụng\r\nhệ thống đã được đề cập trong 9.10.
\r\n\r\n14.2.2. Kiểm tra sự tương thích kỹ thuật\r\n
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác hệ thống thông tin cần được kiểm\r\ntra thường xuyên sự tuân thủ các tiêu chuẩn thực hiện an toàn.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nViệc kiểm tra tuân thủ kỹ thuật cần được\r\nthực hiện bằng tay (nếu cần phải được hỗ trợ bởi các công cụ phần mềm phù hợp)\r\nbởi một kỹ sư hệ thống có kinh nghiệm, và/hoặc với sự hỗ trợ của các công cụ tự\r\nđộng, các công cụ này sẽ cung cấp một bản báo cáo kỹ thuật mà sau này sẽ được\r\ngiải thích bởi một chuyên gia kỹ thuật.
\r\n\r\nNếu thực hiện các cuộc kiểm tra thâm\r\nnhập hoặc các cuộc đánh giá điểm yếu thì cần thận trọng vì các hoạt động như vậy\r\ncó thể gây tổn hại đến sự an toàn của hệ thống. Những cuộc kiểm tra này cần được\r\nlên kế hoạch, được lập thành văn bản và có thể lặp lại.
\r\n\r\nMọi cuộc kiểm tra tuân thủ kỹ thuật đều\r\nchỉ được thực hiện bởi những người nhân viên có trình\r\nđộ, có thẩm quyền, hoặc dưới sự giám sát
Thông tin khác
\r\n\r\nKiểm tra tuân thủ kỹ thuật phải thực\r\nhiện trên các hệ thống vận hành nhằm đảm bảo rằng các biện pháp quản lý phần cứng\r\nvà phần mềm đều được thực hiện đúng. Loại kiểm tra tuân thủ này đòi hỏi phải được\r\nthực hiện bởi những chuyên gia kỹ thuật thành thạo.
\r\n\r\nKiểm tra tuân thủ cũng bao gồm, ví dụ,\r\ncác cuộc kiểm tra xâm nhập và các cuộc đánh giá điểm yếu, các cuộc kiểm tra này\r\ncó thể được thực hiện bởi những chuyên gia độc lập đã được ký hợp đồng thực hiện\r\nmục đích này. Cách đó có thể rất hữu ích trong việc phát hiện các điểm yếu của\r\nhệ thống và kiểm tra xem các biện pháp quản lý\r\ncó hiệu quả trong việc ngăn chặn truy cập trái phép do những điểm yếu này\r\nkhông.
\r\n\r\nViệc kiểm tra sự xâm nhập và đánh giá\r\ncác điểm yếu sẽ cung cấp đánh giá chung về hệ thống trong một trạng thái nhất định\r\nvào một thời điểm nhất định. Sự đánh giá này được giới hạn cho các phần của hệ\r\nthống thực sự đã được kiểm tra trong mọi nỗ lực xâm nhập. Việc kiểm tra xâm nhập\r\nvà đánh giá điểm yếu không thể thay thế việc đánh giá rủi ro.
\r\n\r\n14.3. Xem xét việc đánh giá các hệ thống\r\nthông tin
\r\n\r\n| \r\n Mục tiêu: Nhằm tối ưu hóa và giảm\r\n thiểu những ảnh hưởng xấu từ/tới quá\r\n trình đánh giá các hệ thống thông tin. \r\nCần có các biện pháp quản lý nhằm bảo\r\n vệ an toàn cho các hệ thống vận hành và các công cụ đánh giá trong khi đánh\r\n giá các hệ thống thông tin. \r\nViệc bảo vệ cũng được yêu cầu nhằm bảo\r\n vệ tính toàn vẹn và ngăn ngừa sự lạm dụng\r\n các công cụ đánh giá. \r\n | \r\n
14.3.1. Các biện pháp quản lý đánh giá\r\ncác hệ thống thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nCác yêu cầu và hoạt động đánh giá các\r\nhệ thống vận hành cần được hoạch định thận trọng và thống nhất nhằm hạn chế rủi\r\nro hoặc sự đổ vỡ của các quy trình hoạt động nghiệp vụ.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nNhững hướng dẫn sau cần được quan tâm:
\r\n\r\na) các yêu cầu đánh giá cần được thông\r\nqua với ban quản lý;
\r\n\r\nb) phạm vi của các cuộc kiểm tra cần được thông qua và
c) các cuộc kiểm tra cần được giới hạn\r\nchỉ truy cập đọc tới phần mềm và dữ liệu;
\r\n\r\nd) các truy cập khác ngoài truy cập chỉ\r\nđọc chỉ được cho phép đối với các bản sao đã được phân tách của các tệp tin hệ\r\nthống, các bản sao này phải được xóa bỏ khi việc đánh giá đã hoàn tất hoặc được\r\nbảo vệ phù hợp nếu có nghĩa vụ phải giữ lại các tệp tin đó theo các yêu cầu của\r\nhồ sơ đánh giá;
\r\n\r\ne) các nguồn tài nguyên sử dụng để thực\r\nthi các cuộc kiểm tra phải được xác định rõ và sẵn sàng;
\r\n\r\nf) các yêu cầu về xử lý đặc biệt hoặc\r\nxử lý thêm cũng cần được xác định rõ và được thông qua;
\r\n\r\ng) mọi truy cập đều phải được giám sát\r\nvà ghi lại để cung cấp vết tham chiếu; việc sử dụng các vết tham chiếu theo thời\r\ngian cần được xem xét đối với các hệ thống hoặc dữ liệu quan trọng;
\r\n\r\nh) mọi thủ tục, yêu cầu và trách nhiệm\r\nđều phải được lập thành văn bản;
\r\n\r\ni) (những) người thực hiện đánh giá cần\r\nđộc lập với các hoạt động cần đánh giá.
\r\n\r\n14.3.2. Bảo vệ các công cụ đánh giá hệ\r\nthống thông tin
\r\n\r\nBiện pháp quản lý
\r\n\r\nTruy cập tới các công cụ đánh giá hệ\r\nthống thông tin cần được bảo vệ khỏi mọi sự lạm dụng hoặc lợi dụng.
\r\n\r\nHướng dẫn triển khai
\r\n\r\nCác công cụ đánh giá hệ thống thông\r\ntin, ví dụ, các phần mềm hoặc tệp dữ liệu, cần được cách ly với các hệ thống vận\r\nhành và phát triển và không được giữ trong các thư viện băng ghi âm hoặc các\r\nkhu vực có người dùng, trừ khi được bảo vệ ở mức độ phù hợp.
\r\n\r\nThông tin khác
\r\n\r\nNếu công việc đánh giá có sự tham gia\r\ncủa các bên thứ ba thì có thể xuất hiện rủi ro do các bên thứ ba lạm dụng các\r\ncông cụ đánh giá và truy cập vào thông tin. Các biện pháp quản lý như 5.2.1 (để\r\nđánh giá rủi ro) và 8.1.2 (để hạn chế truy cập vật lý) có thể cần được quan tâm\r\nđể giải quyết rủi ro này và mọi hậu quả của\r\nnó, ví dụ ngay lập tức thay đổi các mật khẩu đã được tiết lộ cho các nhân viên\r\nđánh giá
\r\n\r\n[1] ISO/IEC Guide 2:1996,
[2] ISO/IEC Guide 73:2002, Risk management\r\n- Vocabulary — Guidelines for use in standards
\r\n\r\n[3] ISO/IEC 13335-1:2004, Information\r\ntechnology -- Security techniques -- Management of information and communications\r\ntechnology security - Part 1: Concepts and models for information and\r\ncommunications technology security management
\r\n\r\n[4] ISO/IEC TR 13335-3:1998, Information\r\ntechnology - Guidelines for the management of IT Security — Part 3: Techniques\r\nfor the management of IT Security
\r\n\r\n[5] ISO/IEC 13888-1:1997, Information\r\ntechnology - Security techniques - Non-repudiation - Part 1: General
\r\n\r\n[6] ISO/IEC 11770-1:1996, Information\r\ntechnology - Security techniques -- Key management --
[7] ISO/IEC 9796-2:2002, Information\r\ntechnology — Security techniques - Digital signature
[8] ISO/IEC 9796-3:2000, Information\r\ntechnology - Security techniques - Digital signature
[9] ISO/IEC 14888-1:1998, Information\r\ntechnology -- Security techniques -- Digital signatures with
[10] ISO/IEC 15408-1:1999, Information\r\ntechnology — Security techniques - Evaluation criteria for IT security - Part\r\n1: Introduction and general model
\r\n\r\n[11] ISO/IEC TR 14516:2002, Information\r\ntechnology -- Security techniques - Guidelines for the use and management of\r\nTrusted Third Party services
\r\n\r\n[12] BS ISO 15489-1:2001, Information\r\nand documentation - Records management - Part 1: General
\r\n\r\n[13] ISO 10007:2003, Guidelines for\r\nConfiguration Management.
\r\n\r\n[14] ISO/IEC 12207:1995, Information\r\ntechnology - Software life cycle processes
\r\n\r\n[15] ISO 19011:2002, Guidelines for quality\r\nand/or environmental management systems auditing
\r\n\r\n[16] OECD Guidelines for the Security of\r\nInformation Systems and Networks: Towards a Culture of
[17] OECD Guidelines for Cryptography\r\nPolicy, 1997
\r\n\r\n[18] IEEE P1363 - 2000,
[19] ISO/IEC 18028-4, Information\r\ntechnology -- Security techniques - IT Network security - Part 4: Securing\r\nremote access
\r\n\r\n[20] ISO/IEC TR 18044, Information\r\ntechnology - Security techniques - Information security incident management.
\r\n\r\n\r\n\r\n
1. Phạm vi áp dụng
\r\n\r\n2. Thuật ngữ và định nghĩa
\r\n\r\n3. Đánh giá và xử lý rủi ro
\r\n\r\n3.1. Đánh giá rủi ro an toàn thông tin
\r\n\r\n3.2. Xử lý các rủi ro an toàn thông tin
\r\n\r\n4. Chính sách an toàn thông tin
\r\n\r\n4.1. Chính sách an toàn thông tin
\r\n\r\n4.1.1. Tài liệu chính sách an toàn thông tin
\r\n\r\n4.1.2. Soát xét lại chính sách an toàn thông\r\ntin
\r\n\r\n5. Tổ chức đảm bảo an toàn thông tin
\r\n\r\n5.1. Tổ chức nội bộ
\r\n\r\n5.1.1. Cam kết của ban quản lý về đảm bảo an\r\ntoàn thông tin
\r\n\r\n5.1.2. Phối hợp đảm bảo an toàn thông tin
\r\n\r\n5.1.3. Phân định trách nhiệm đảm bảo an toàn\r\nthông tin
\r\n\r\n5.1.4. Quy trình cấp phép cho phương tiện xử\r\nlý thông tin
\r\n\r\n5.1.5. Các thỏa thuận về bảo mật.
\r\n\r\n5.1.6. Liên lạc với những cơ quan/tổ chức có\r\nthẩm quyền
\r\n\r\n5.1.7. Liên lạc với các nhóm chuyên gia
\r\n\r\n5.1.8. Soát xét độc lập về an toàn thông tin
\r\n\r\n5.2. Các bên tham gia bên ngoài
\r\n\r\n5.2.1. Xác định các rủi ro liên quan đến các\r\nbên tham gia bên ngoài
\r\n\r\n5.2.2. Giải quyết an toàn khi làm việc với\r\nkhách hàng
\r\n\r\n5.2.3. Giải quyết an toàn trong các thỏa thuận\r\nvới bên thứ ba
\r\n\r\n6. Quản lý tài sản
\r\n\r\n6.1. Trách nhiệm đối với tài sản
\r\n\r\n6.1.1. Kiểm kê tài sản
\r\n\r\n6.1.2. Quyền sở hữu tài sản
\r\n\r\n6.1.3. Sử dụng hợp lý tài sản
\r\n\r\n6.2. Phân loại thông tin
\r\n\r\n6.2.1. Hướng dẫn phân loại
\r\n\r\n6.2.2. Gắn nhãn và xử lý thông tin.
\r\n\r\n7. Đảm bảo an toàn thông tin từ nguồn nhân lực\r\n
\r\n\r\n7.1. Trước khi tuyển dụng
\r\n\r\n7.1.1. Các vai trò và trách nhiệm
\r\n\r\n7.1.2. Thẩm tra
\r\n\r\n7.1.3. Điều khoản và điều kiện tuyển dụng
\r\n\r\n7.2. Trong thời gian làm việc
\r\n\r\n7.2.1. Trách nhiệm của ban quản lý
\r\n\r\n7.2.2. Nhận thức, giáo dục và đào tạo về an\r\ntoàn thông tin
\r\n\r\n7.2.3. Xử lý kỷ luật
\r\n\r\n7.3. Chấm dứt hoặc thay đổi công việc
\r\n\r\n7.3.1. Trách nhiệm khi kết thúc hợp đồng
\r\n\r\n7.3.2. Bàn giao tài sản
\r\n\r\n7.3.3. Hủy bỏ quyền truy cập
\r\n\r\n8. Đảm bảo an toàn vật lý và môi trường
\r\n\r\n8.1.Các khu vực an toàn
\r\n\r\n8.1.1. Vành đai an toàn vật lý
\r\n\r\n8.1.2. Kiểm soát cổng truy cập vật lý
\r\n\r\n8.1.3. Bảo vệ các văn phòng, phòng làm việc\r\nvà vật dụng
\r\n\r\n8.1.4. Bảo vệ chống lại các mối đe dọa từ bên\r\nngoài và từ môi trường
\r\n\r\n8.1.5. Làm việc trong các khu vực an toàn
\r\n\r\n8.1.6. Các khu vực truy cập tự do, phân phối\r\nvà tập kết hàng
\r\n\r\n8.2. Đảm bảo an toàn trang thiết bị
\r\n\r\n8.2.1. Bố trí và bảo vệ thiết bị
\r\n\r\n8.2.2. Các tiện ích hỗ trợ
\r\n\r\n8.2.3. An toàn cho dây cáp
\r\n\r\n8.2.4. Bảo dưỡng thiết bị
\r\n\r\n8.2.5. An toàn cho thiết bị hoạt động bên\r\nngoài trụ sở của tổ chức
\r\n\r\n8.2.6. An toàn khi loại bỏ hoặc tái sử dụng\r\nthiết bị
\r\n\r\n8.2.7. Di dời tài sản
\r\n\r\n9. Quản lý truyền thông và vận hành
\r\n\r\n9.1. Các trách nhiệm và thủ tục vận hành
\r\n\r\n9.1.1. Các thủ tục vận hành được ghi thành\r\nvăn bản
\r\n\r\n9.1.2. Quản lý thay đổi
\r\n\r\n9.1.3. Phân tách nhiệm vụ
\r\n\r\n9.1.4. Phân tách các chức năng phát triển, kiểm\r\nthử và vận hành
\r\n\r\n9.2. Quản lý chuyển giao dịch vụ của bên thứ\r\nba
\r\n\r\n9.2.1. Chuyển giao dịch vụ
\r\n\r\n9.2.2. Giám sát và soát xét các dịch vụ của\r\nbên thứ ba
\r\n\r\n9.2.3. Quản lý thay đổi đối với các dịch vụ của\r\nbên thứ ba
\r\n\r\n9.3. Lập kế hoạch và chấp nhận hệ thống
\r\n\r\n9.3.1. Quản lý năng lực hệ thống
\r\n\r\n9.3.2. Chấp nhận hệ thống
\r\n\r\n9.4. Bảo vệ chống lại mã độc hại và mã di động\r\n
\r\n\r\n9.4.1. Quản lý chống lại mã độc hại
\r\n\r\n9.4.2. Kiểm soát các mã di động
\r\n\r\n9.5. Sao lưu
\r\n\r\n9.5.1. Sao lưu thông tin
\r\n\r\n9.6. Quản lý an toàn mạng
\r\n\r\n9.6.1. Kiểm soát mạng
\r\n\r\n9.6.2. An toàn cho các dịch vụ mạng
\r\n\r\n9.7. Xử lý phương tiện
\r\n\r\n9.7.1. Quản lý các phương tiện có thể di dời \r\n
\r\n\r\n9.7.2. Loại bỏ phương tiện
\r\n\r\n9.7.3. Các thủ tục xử lý thông tin
\r\n\r\n9.7.4. An toàn cho các tài liệu hệ thống
\r\n\r\n9.8. Trao đổi thông tin
\r\n\r\n9.8.1. Các chính sách và thủ tục trao đổi\r\nthông tin
\r\n\r\n9.8.2. Các thỏa thuận trao đổi
\r\n\r\n9.8.3. Vận chuyển phương tiện vật lý
\r\n\r\n9.8.4. Thông điệp điện tử
\r\n\r\n9.8.5. Các hệ thống thông tin nghiệp vụ
\r\n\r\n9.9. Các dịch vụ thương mại điện tử
\r\n\r\n9.9.1. Thương mại điện tử
\r\n\r\n9.9.2. Các giao dịch trực tuyến
\r\n\r\n9.9.3. Thông tin công khai
\r\n\r\n9.10. Giám sát
\r\n\r\n9.10.1. Ghi nhật Ký đánh giá
\r\n\r\n9.10.2. Giám sát sử dụng hệ thống
\r\n\r\n9.10.3. Bảo vệ các thông tin nhật ký
\r\n\r\n9.10.4. Nhật ký của người điều hành và người\r\nquản trị
\r\n\r\n9.10.5. Ghi nhật ký lỗi
\r\n\r\n9.10.6. Đồng bộ thời gian
\r\n\r\n10. Quản lý truy cập
\r\n\r\n10.1. Yêu cầu nghiệp vụ đối với quản lý truy\r\ncập
\r\n\r\n10.1.1. Chính sách quản lý truy cập
\r\n\r\n10.2. Quản lý truy cập người dùng
\r\n\r\n10.2.1. Đăng ký người dùng
\r\n\r\n10.2.2. Quản lý đặc quyền
\r\n\r\n10.2.3. Quản lý mật khẩu người dùng
\r\n\r\n10.2.4. Soát xét các quyền truy cập của người\r\ndùng
\r\n\r\n10.3. Các trách nhiệm của người dùng
\r\n\r\n10.3.1. Sử dụng mật khẩu
\r\n\r\n10.3.2. Thiết bị người dùng khi không sử dụng\r\n
\r\n\r\n10.3.3. Chính sách màn hình sạch và bàn làm\r\nviệc sạch
\r\n\r\n10.4. Quản lý truy cập mạng
\r\n\r\n10.4.1. Chính sách sử dụng các dịch vụ mạng
\r\n\r\n10.4.2. Xác thực người dùng cho các kết nối\r\nbên ngoài
\r\n\r\n10.4.3. Định danh thiết bị trong các mạng
\r\n\r\n10.4.4. Chuẩn đoán từ xa và bảo vệ cổng cấu\r\nhình
\r\n\r\n10.4.5. Phân tách trên mạng
\r\n\r\n10.4.6. Quản lý kết nối mạng
\r\n\r\n10.4.7. Quản lý định tuyến mạng
\r\n\r\n10.5. Quản lý truy cập hệ điều hành
\r\n\r\n10.5.1. Các thủ tục đăng nhập an toàn
\r\n\r\n10.5.2. Định danh và xác thực người dùng
\r\n\r\n10.5.3. Hệ thống quản lý mật khẩu
\r\n\r\n10.5.4. Sử dụng các tiện ích hệ thống
\r\n\r\n10.5.5. Thời gian giới hạn của phiên làm việc\r\n
\r\n\r\n10.5.6. Giới hạn thời gian kết nối
\r\n\r\n10.6. Điều khiển truy cập thông tin và ứng dụng\r\n
\r\n\r\n10.6.1. Hạn chế truy cập thông tin
\r\n\r\n10.6.2. Cách ly hệ thống nhạy cảm
\r\n\r\n10.7. Tính toán di động và làm việc từ xa
\r\n\r\n10.7.1. Tính toán và truyền thông qua thiết bị\r\ndi động
\r\n\r\n10.7.2. Làm việc từ xa
\r\n\r\n11. Tiếp nhận, phát triển và duy trì các hệ\r\nthống thông tin
\r\n\r\n11.1. Yêu cầu đảm bảo an toàn cho các hệ thống\r\nthông tin
\r\n\r\n11.1.1. Phân tích và đặc tả các yêu cầu về an\r\ntoàn
\r\n\r\n11.2. Xử lý đúng trong các ứng dụng
\r\n\r\n11.2.1. Kiểm tra tính hợp lệ của dữ liệu đầu\r\nvào
\r\n\r\n11.2.2. Kiểm soát việc xử lý nội bộ
\r\n\r\n11.2.3. Tính toàn vẹn thông điệp
\r\n\r\n11.2.4. Kiểm tra tính hợp lệ của dữ liệu đầu\r\nra
\r\n\r\n11.3. Quản lý mã hóa
\r\n\r\n11.3.1. Chính sách sử dụng các biện pháp quản\r\nlý mã hóa
\r\n\r\n11.3.2. Quản lý khóa
\r\n\r\n11.4. An toàn cho các tệp tin hệ thống
\r\n\r\n11.4.1. Quản lý các phần mềm điều hành
\r\n\r\n11.4.2. Bảo vệ dữ liệu kiểm tra hệ thống
\r\n\r\n11.4.3. Quản lý truy cập đến mã nguồn chương\r\ntrình
\r\n\r\n11.5. Bảo đảm an toàn trong các quy trình hỗ\r\ntrợ và phát triển
\r\n\r\n11.5.1. Các thủ tục quản lý thay đổi
\r\n\r\n11.5.2. Soát xét kỹ thuật các ứng dụng sau\r\nthay đổi của hệ điều hành
\r\n\r\n11.5.3. Hạn chế thay đổi các gói phần mềm
\r\n\r\n11.5.4. Sự rò rỉ thông tin
\r\n\r\n11.5.5. Phát triển phần mềm thuê khoán
\r\n\r\n11.6. Quản lý các điểm yếu kỹ thuật
\r\n\r\n11.6.1. Quản lý các điểm yếu về kỹ thuật
\r\n\r\n12. Quản lý các sự cố an toàn thông tin
\r\n\r\n12.1. Báo cáo về các sự kiện an toàn thông\r\ntin và các điểm yếu
\r\n\r\n12.1.1 Báo cáo các sự kiện an toàn thông tin
\r\n\r\n12.1.2. Báo cáo các điểm yếu về an toàn thông\r\ntin
\r\n\r\n12.2. Quản lý các sự cố an toàn thông tin và\r\ncải tiến
\r\n\r\n12.2.1 Các trách nhiệm và thủ tục
\r\n\r\n12.2.2. Rút bài học kinh nghiệm từ các sự cố\r\nan toàn thông tin
\r\n\r\n12.2.3. Thu thập chứng cứ
\r\n\r\n13. Quản lý sự liên tục của hoạt động nghiệp\r\nvụ
\r\n\r\n13.1. Các khía cạnh an toàn thông tin trong\r\nquản lý sự liên tục của hoạt động nghiệp vụ
\r\n\r\n13.1.1. Tính đến an toàn thông tin trong các\r\nquy trình quản lý sự liên tục của hoạt động nghiệp vụ
\r\n\r\n13.1.2. Đánh giá rủi ro và sự liên tục trong\r\nhoạt động của tổ chức
\r\n\r\n13.1.3. Xây dựng và triển khai các kế hoạch về\r\ntính liên tục, trong đó bao gồm vấn đề đảm bảo an toàn thông tin
\r\n\r\n13.1.4. Khung hoạch định sự liên tục trong hoạt\r\nđộng nghiệp vụ
\r\n\r\n13.1.5. Kiểm tra, duy trì và đánh giá lại các\r\nkế hoạch đảm bảo sự liên tục trong hoạt động nghiệp vụ
\r\n\r\n14. Sự tuân thủ
\r\n\r\n14.1. Sự tuân thủ các quy định pháp lý
\r\n\r\n14.1.1. Xác định các điều luật hiện đang áp dụng\r\nđược
\r\n\r\n14.1.2. Quyền sở hữu trí tuệ (IPR)
\r\n\r\n14.1.3. Bảo vệ các hồ sơ của tổ chức
\r\n\r\n14.1.4. Bảo vệ dữ liệu và sự riêng tư của\r\nthông tin cá nhân
\r\n\r\n14.1.5. Ngăn ngừa việc lạm dụng phương tiện xử\r\nlý thông tin
\r\n\r\n14.1.6. Quy định về quản lý mã hóa
\r\n\r\n14.2. Sự tuân thủ các chính sách và tiêu chuẩn\r\nan toàn, và tương thích kỹ thuật
\r\n\r\n14.2.1. Sự tuân thủ các tiêu chuẩn và chính\r\nsách an toàn
\r\n\r\n14.2.2. Kiểm tra sự tương thích kỹ thuật
\r\n\r\n14.3. Xem xét việc đánh giá các hệ thống\r\nthông tin
\r\n\r\n14.3.1. Các biện pháp quản lý đánh giá các hệ\r\nthống thông tin
\r\n\r\n14.3.2. Bảo vệ các công cụ đánh giá hệ thống\r\nthông tin
\r\n\r\nThư mục tài liệu tham khảo
\r\n\r\nFile gốc của Tiêu chuẩn Việt Nam TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) về công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an toàn thông tin đang được cập nhật.
Tiêu chuẩn Việt Nam TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) về công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an toàn thông tin
Tóm tắt
| Cơ quan ban hành | Đã xác định |
| Số hiệu | TCVNISO/IEC27002:2011 |
| Loại văn bản | Tiêu chuẩn Việt Nam |
| Người ký | Đã xác định |
| Ngày ban hành | 2011-01-01 |
| Ngày hiệu lực | |
| Lĩnh vực | Xây dựng - Đô thị |
| Tình trạng | Còn hiệu lực |