200903 ISO 27001 2013 vi
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (342.61 KB, 33 trang )
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
TIÊU CHUẨN ISO 27001:2013(E)
MỤC LỤC
Lời tựa .......................................................................................................... 3
0 Giới thiệu ................................................................................................... 3
0.1
Tổng quan .......................................................................................... 3
0.2
Tính tương thích với các tiêu chuẩn hệ thống quản lý khác ..................... 4
1
Phạm vi ................................................................................................... 4
2
Quy phạm tham chiếu ............................................................................... 4
3
Khái niệm và định nghĩa ........................................................................... 5
4
Bối cảnh của tổ chức ................................................................................ 5
5
6
4.1
Hiểu về tổ chức và bối cảnh của nó ....................................................... 5
4.2
Hiểu về nhu cầu và kỳ vọng của các bên liên quan ................................. 5
4.3
Xác định phạm vi của hệ thống quản lý bảo mật thông tin ....................... 5
4.4
Hệ thống quản lý bảo mật thông tin ...................................................... 5
Lãnh đạo ................................................................................................. 6
5.1
Lãnh đạo và cam kết ............................................................................ 6
5.2
Chính sách ......................................................................................... 6
5.3
Các vai trò, trách nhiệm và thẩm quyền của tổ chức .............................. 6
Hoạch định .............................................................................................. 7
6.1
6.1.1
Tổng quan ..................................................................................... 7
6.1.2
Đánh giá rủi ro bảo mật thông tin .................................................... 7
6.1.3
Xử lý rủi ro bảo mật thông tin ........................................................ 8
6.2
7
Các hành động để giải quyết rủi ro và các cơ hội ................................... 7
Các mục tiêu bảo mật thông tin và hoạch định để đạt được chúng ............ 8
Hỗ trợ ..................................................................................................... 9
7.1
Tài nguyên ......................................................................................... 9
7.2
Trình độ chuyên môn ........................................................................... 9
7.3
Nhận thức ........................................................................................... 9
7.4
Truyền thông ...................................................................................... 9
7.5
Thông tin được lập thành văn bản ......................................................... 9
7.5.1
Tổng quan ..................................................................................... 9
7.5.2
Tạo ra và cập nhật ........................................................................ 10
7.5.3
Kiểm sốt thơng tin được lập thành văn bản .................................... 10
8 Vận hành ................................................................................................ 10
1|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
8.1
Hoạch định và kiểm soát vận hành ....................................................... 10
8.2
Đánh giá rủi ro bảo mật thông tin ........................................................ 11
8.3
Xử lý rủi ro bảo mật thông tin ............................................................. 11
9
Đánh giá hiệu suất .................................................................................. 11
9.1
Giám sát, đo lường, phân tích và đánh giá ............................................ 11
9.2
Kiểm toán nội bộ ............................................................................... 12
9.3
Đánh giá của cấp quản lý .................................................................... 12
10
Cải thiện .............................................................................................. 13
10.1
Không tuân thủ và hành động khắc phục ............................................ 13
10.2
Liên tục cải tiến .............................................................................. 13
Phụ lục A (quy phạm) .................................................................................... 14
Các kiểm soát và mục tiêu kiểm soát tham chiếu .............................................. 14
Nguồn tham khảo .......................................................................................... 33
2|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
Lời tựa
ISO (Tổ chức Quốc tế về Tiêu chuẩn hóa) và IEC (Ủy ban Quốc tế về Kỹ
thuật điện) định hình hệ thống chun mơn hóa cho việc tiêu chuẩn hóa tồn cầu.
Các quốc gia thành viên là thành viên của ISO hoặc IEC tham gia vào việc phát
triển các Tiêu chuẩn Quốc tế thông qua các tiểu ban kỹ thuật được thiết lập bởi tổ
chức tương ứng để xử lý những lĩnh vực cụ thể về các hoạt động kỹ thuật. Các tiểu
ban kỹ thuật của ISO và IEC cộng tác trong những lĩnh vực có cùng mối quan tâm
lẫn nhau. Các tổ chức quốc tế khác, chính phủ và phi chính phủ, trong mối liên hệ
với ISO và IEC, cũng đóng góp một phần cơng việc. Trong lĩnh vực công nghệ
thông tin, ISO và IEC đã thiết lập một tiểu ban kỹ thuật chung được gọi là
ISO/IEC JT1.
Các Tiêu chuẩn Quốc tế được phác thảo tương xứng với các quy tắc được
đưa ra trong Định hướng ISO/IEC, Phần 2.
Công việc chủ yếu của tiểu ban kỹ thuật liên hợp là chuẩn bị các Tiêu
chuẩn Quốc tế. Phác thảo các Tiêu chuẩn Quốc tế được thông qua bởi tiểu ban kỹ
thuật liên hợp được lưu hành tại các quốc gia thành viên để bỏ phiếu. Việc cơng
bố một Tiêu chuẩn Quốc tế địi hỏi phải được phê duyệt bởi ít nhất 75% số quốc
gia thành viên tham gia bỏ phiếu.
Cần lưu ý đến khả năng rằng một vài thành phần của tài liệu này có thể là
đối tượng của quyền sáng chế. ISO và IEC sẽ không chịu trách nhiệm cho việc xác
định bất kỳ hoặc toàn bộ các quyền sáng chế như vậy.
Phiên bản thứ hai hủy bỏ và thay thế phiên bản đầu tiên (ISO/IEC
27001:2005), đã được sửa đổi về mặt kỹ thuật.
0 Giới thiệu
0.1 Tổng quan
Tiêu chuẩn Quốc tế này đã được chuẩn bị để cung cấp các yêu cầu về việc
thiết lập, triển khai, duy trì và liên tục cải tiến một hệ thống quản lý bảo mật
thông tin. Việc thông qua một hệ thống quản lý bảo mật thông tin là một quyết
định chiến lược của tổ chức. Thiết lập và triển khai một hệ thống quản lý bảo mật
thông tin của tổ chức chịu ảnh hưởng bởi các nhu cầu và mục tiêu của tổ chức, các
yêu cầu bảo mật, các quy trình thuộc tổ chức được sử dụng và quy mô và cấu trúc
của tổ chức. Tất cả những yếu tố ảnh hưởng nói trên được dự kiến sẽ thay đổi theo
thời gian.
Hệ thống quản lý bảo mật thông tin giữ gìn tính bảo mật, tồn vẹn và sẵn
sàng của thơng tin bằng cách áp dụng một quy trình quản lý rủi ro và đem lại niềm
tin cho các bên liên quan rằng các rủi ro đã được quản lý một cách thích đáng.
Điều quan trọng là hệ thống quản lý bảo mật thông tin là một phần của và
được tích hợp với các quy trình và cấu trúc quản lý tổng thể của tổ chức, và rằng
3|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
bảo mật thông tin được xem xét trong giai đoạn thiết kế các quy trình, hệ thống
thơng tin và các kiểm soát. Việc triển khai hệ thống quản lý bảo mật thông tin
được dự kiến sẽ mở rộng một cách tương xứng với các nhu cầu của tổ chức.
Tiêu chuẩn Quốc tế này có thể được sử dụng bởi các bên nội bộ hoặc bên
ngoài để đánh giá khả năng đáp ứng của một tổ chức đối với các u cầu bảo mật
thơng tin của chính mình.
Thứ tự trình bày các yêu cầu trong Tiêu chuẩn Quốc tế này không phản ảnh
tầm quan trọng của chúng hoặc ngụ ý thứ tự mà chúng sẽ được triển khai. Danh
sách các mục được liệt kê chỉ cho mục đích tham khảo.
ISO/IEC 27000 mô tả tổng quan và từ vựng về các hệ thống quản lý bảo mật
thông tin, tham chiếu đến họ các tiêu chuẩn hệ thống quản lý bảo mật thông tin
(bao gồm ISO/IEC 27003 ( 2 ) ,ISO/IEC 27004 ( 3 ) và ISO/IEC 27005 ( 4 ) , cùng với các
thuật ngữ và định nghĩa có liên quan.
0.2 Tính tương thích với các tiêu chuẩn hệ thống quản lý khác
Tiêu chuẩn Quốc tế này áp dụng cấu trúc cấp cao, tiêu đề các điều khoản
phụ giống nhau, văn bản giống nhau, các thuật ngữ phổ biến, các các định nghĩa
cốt lõi được xác định trong Phụ lục SL của Định hướng ISO/IEC, Phần 1, Bổ sung
ISO được hợp nhất, và do đó, duy trì khả năng tương thích với các tiêu chuẩn hệ
thống quản lý khác mà đã thông qua Phụ lục SL.
Phương pháp tiếp cận phổ biến được xác định trong Phụ lục SL sẽ rất hữu
ích cho những tổ chức lựa chọn vận hành một hệ thống quản lý đơn lẻ đáp ứng
được các yêu cầu của hai tiêu chuẩn hệ thống quản lý hoặc nhiều hơn.
1
Phạm vi
Tiêu chuẩn Quốc tế này chỉ định các yêu cầu trong thiết lập, triển khai, duy
trì và liên tục cải tiến một hệ thống quản lý bảo mật thông tin trong bối cảnh của
tổ chức. Tiêu chuẩn Quốc tế này cũng bao gồm các yêu cầu về đánh giá và xử lý
các rủi ro bảo mật thông tin thay đổi tùy theo nhu cầu của tổ chức. Những yêu cầu
được thiết lập trong Tiêu chuẩn Quốc tế này là phổ quát và được dự định là có thể
áp dụng được cho tất cả các tổ chức, bất kể loại hình, quy mơ hoặc bản chất. Việc
loại trừ bất kỳ yêu cầu được chỉ định trong Điều 4 đến Điều 10 là không thể chấp
nhận được khi một tổ chức khẳng định tuân thủ Tiêu chuẩn Quốc tế này.
2
Quy phạm tham chiếu
Tài liệu dưới đây, toàn thể hoặc một phần, là quy phạm tham chiếu trong tài
liệu này và khơng thể thiếu cho việc ứng dụng nó (Tiêu chuẩn này – người dịch).
Đối với các tham chiếu lỗi thời, chỉ áp dụng những phiên bản được viện dẫn. Đối
với các tham chiếu chưa lỗi thời, phiên bản mới nhất của tài liệu được tham chiếu
(bao gồm cả bất kỳ điều chỉnh nào) được áp dụng.
4|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
ISO/IEC 27000, Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống
quản lý bảo mật thông tin – Tổng quan và từ vựng.
3
Khái niệm và định nghĩa
Đối với những mục đích của tải liệu này, những thuật ngữ và định nghĩa
được đưa ra trong ISO/IEC 27000 được áp dụng.
4
Bối cảnh của tổ chức
4.1 Hiểu về tổ chức và bối cảnh của nó
Tổ chức phải xác định những vấn đề nội tại và bên ngồi có liên quan đến
mục đích của minh và ảnh hưởng đến khả năng đạt được (những) kết quả dự định
của hệ thống quản lý bảo mật thông tin của mình.
LƯU Ý: Việc xác định những vấn đề nói trên là liên quan tới việc thiết lập
bối cảnh nội bộ và bên ngoài của tổ chức được xem xét trong Điều 5.3 của ISO
31000:2009 ( 5 ) .
4.2 Hiểu về nhu cầu và kỳ vọng của các bên liên quan
Tổ chức phải xác định:
a) các bên liên quan có liên quan tới hệ thống quản lý bảo mật thông tin, và
b) những yêu cầu của các bên liên quan này có liên quan tới bảo mật thơng
tin.
LƯU Ý: Những u cầu của các bên liên quan có thể bao gồm các yêu cầu
về pháp lý và quy định và các nghĩa vụ hợp đồng.
4.3 Xác định phạm vi của hệ thống quản lý bảo mật thông tin
Tổ chức phải xác định ranh giới và khả năng áp dụng hệ thống quản lý bảo
mật thông tin để thiết lập phạm vi của nó (hệ thống quản lý bảo mật thơng tin).
Khi xác định phạm vi, tổ chức phải cân nhắc:
a) các vấn đề nội tại và bên ngoài được đề cập đến trong 4.1;
b) các yêu cầu được đề cập đến trong 4.2; và
c) các giao diện và phụ thuộc giữa những hành động được hoàn thành bởi tổ
chức, và những hành động được hoàn thành bởi tổ chức khác.
Phạm vi phải sẵn sàng dưới dạng thông tin được lập thành văn bản.
4.4 Hệ thống quản lý bảo mật thông tin
Tổ chức phải thiết lập, triển khai, duy trì và liên tục cải tiến một hệ thống quản lý
bảo mật thông tin, tương xứng với các yêu cầu của Tiêu chuẩn Quốc tế này.
5|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
5
Lãnh đạo
5.1 Lãnh đạo và cam kết
Cấp quản lý hàng đầu phải chứng minh khả năng lãnh đạo và cam kết với sự
tôn trọng hệ thống quản lý bảo mật thông tin bằng các biện pháp sau:
a) đảm bảo chính sách bảo mật thơng tin và các mục tiêu bảo mật thông tin
được thiết lập và tương thích với định hướng chiến lược của tổ chức;
b) đảm bảo sự tích hợp các yêu cầu về hệ thống quản lý bảo mật thơng tin
vào các quy trình của tổ chức;
c) đảm bảo rằng các tài nguyên cần thiết cho hệ thống quản lý bảo mật
thông tin sẵn sàng;
d) truyền thông về tầm quan trọng của quản lý bảo mật thông tin hiệu quả
và của việc tuân thủ các yêu cầu về hệ thống quản lý bảo mật thông tin;
e) đảm bảo rằng hệ thống quản lý bảo mật thông tin đạt được (các) kết quả
như dự định của nó;
f) định hướng và hỗ trợ nhân viên để đóng góp cho tính hiệu quả của hệ
thống quản lý bảo mật thông tin;
g) thúc đẩy cải tiến liên tục, và
h) hỗ trợ các vai trò quản lý liên quan trong việc chứng minh khả năng lãnh
đạo của họ khi được áp dụng trong khu vực trách nhiệm của mình.
5.2 Chính sách
Cấp quản lý hàng đầu phải thiết lập một chính sách bảo mật thông tin mà:
a) phù hợp với mục đích của tổ chức;
b) bao gồm các mục tiêu bảo mật thông tin (xem 6.2) hoặc cung cấp khuôn
khổ để thiết lập các mục tiêu bảo mật thông tin;
c) bao gồm một cam kết để đáp ứng các yêu cầu có thể áp dụng được có liên
quan tới bảo mật thông tin; và
d) bao gồm một cam kết để liên tục cải tiến hệ thống quản lý bảo mật thơng
tin.
Chính sách bảo mật thông tin phải:
a) sẵn sàng dưới dạng thông tin được lập thành văn bản;
b) được truyền thông trong tổ chức; và
c) sẵn sàng cho các bên liên quan, nếu phù hợp.
5.3 Các vai trò, trách nhiệm và thẩm quyền của tổ chức
Cấp quản lý hàng đầu phải đảm bảo rằng trách nhiệm và thẩm quyền cho các
vai trị liên quan tới bảo mật thơng tin được chỉ định và được truyền đạt.
Cấp quản lý hàng đầu phải chỉ định trách nhiệm và quyền hạn cho việc:
a) đảm bảo rằng hệ thống quản lý bảo mật thông tin tuân thủ các yêu cầu
của Tiêu chuẩn Quốc tế này; và
b) báo cáo về hiệu suất của hệ thống quản lý bảo mật thông tin cho cấp quản
lý hàng đầu.
6|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
LƯU Ý: Cấp quản lý hàng đầu cũng có thể chỉ định trách nhiệm và quyền
hạn cho việc báo cáo hiệu suất của hệ thống quản lý bảo mật thông tin trong tổ
chức.
6
Hoạch định
6.1 Các hành động để giải quyết rủi ro và các cơ hội
6.1.1 Tổng quan
Khi hoạch định hệ thống quản lý bảo mật thông tin, tổ chức phải cân nhắc
các vấn đề đã được đề cập đến trong 4.1 và các yêu cầu được đề cập đến trong 4.2
và xác định các rủi ro và cơ hội cần phải được giải quyết để:
a) đảm bảo hệ thống quản lý bảo mật thơng tin có thể đạt được (các) kết quả
dự định của nó;
b) ngăn chặn, hoặc giảm thiểu, các hiệu ứng không mong muốn; và
c) đạt được cải tiến liên tục.
Tổ chức phải lên kế hoạch:
a) các hành động để giải quyết những rủi ro và cơ hội đó; và
b) cách thức để
1. tích hợp và triển khai những hành động vào trong các quy trình hệ
thống quản lý bảo mật thơng tin; và
2. đánh giá tính hiệu quả của những hành động đó.
6.1.2 Đánh giá rủi ro bảo mật thông tin
Tổ chức phải xác định và áp dụng một quy trình đánh giá rủi ro bảo mật
thông tin mà:
a) thiết lập và duy trì tiêu chí rủi ro bảo mật thơng tin có bao gồm:
1. tiêu chí chấp thuận rủi ro; và
2. tiêu chí về việc hồn thành đánh giá rủi ro bảo mật thông tin;
b) đảm bảo rằng các đánh giá rủi ro bảo mật thơng tin được lặp lại có những
kết quả nhất quán, vững chắc và có thể so sánh được;
c) xác định các rủi ro bảo mật thông tin:
1. áp dụng quy trình đánh giá rủi ro bảo mật thông tin để xác định các
rủi ro tương ứng với sự mất mát tính bảo mật, tồn vẹn và sẵn sàng
của thông tin trong pham vi hệ thống quản lý bảo mật thông tin; và
2. xác định chủ sở hữu của rủi ro;
d) phân tích các rủi ro bảo mật thông tin:
1. đánh giá các hậu quả tiềm tàng mà có thể là kết quả của việc các
rủi ro được xác định trong 6.1.2 c) 1) trở thành hiện thực;
2. đánh giá khả năng xảy ra thực tế của những rủi ro được xác định
trong 6.1.2 c) 1); và
3. xác định các mức độ của rủi ro;
e) đánh giá các rủi ro bảo mật thông tin:
1. so sánh các kết quả của phân tích rủi ro với tiêu chí rủi ro được
thiết lập trong 6.1.2 a); và
2. thiết lập độ ưu tiên các rủi ro đã phân tích để xử lý rủi ro.
Tổ chức phải giữ lại thông tin đã được lập thành văn bản về quy trình đánh
giá rủi ro bảo mật thông tin.
7|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
6.1.3 Xử lý rủi ro bảo mật thông tin
Tổ chức phải xác định và áp dụng một quy trình xử lý rủi ro bảo mật thơng
tin để:
a) lựa chọn các biện pháp xử lý rủi ro bảo mật thơng tin phù hợp, có tính
đến các kết quả đánh giá rủi ro;
b) xác định mọi kiểm soát cần thiết để triển khai (các) lựa chọn xử lý bảo
mật thơng tin đã được chọn;
LƯU Ý: Các tổ chức có thể thiết kế các kiểm soát theo yêu cầu hoặc xác
định chúng từ bất kỳ nguồn nào.
c) so sánh các kiểm soát đã xác định trong 6.1.3 b) nêu trên với những điều
trong Phụ lục A và xác minh rằng khơng có kiểm sốt cần thiết nào bị bỏ
sót;
LƯU Ý 1: Phụ lục A bao gồm một danh sách toàn diện các mục tiêu kiểm
soát và các kiểm soát. Người sử dụng Tiêu chuẩn Quốc tế này được chuyển
hướng tới Phụ lục A để đảm bảo rằng khơng có kiểm sốt cần thiết nào bị bỏ
sót.
LƯU Ý 2: Các mục tiêu kiểm sốt có ẩn ý bao gồm các kiểm soát đã được
chọn. Các mục tiêu kiểm soát và các kiểm sốt được liệt kê trong Phụ lục A
là khơng đầy đủ và có thể cần đến các mục tiêu kiểm soát và các kiểm soát
bổ sung.
d) đưa ra một Tuyên bố về khả năng áp dụng có bao gồm các kiểm soát cần
thiết (xem 6.1.3 b) và c)) và các lý giải cho các bao gồm, dù cho chúng
có được triển khai hay không, và lý giải về những loại trừ các kiểm sốt
từ Phụ lục A;
e) trình bày rõ ràng một kế hoạch xử lý rủi ro bảo mật thông tin; và
f) đạt được phê duyệt của chủ sở hữu của rủi ro về kế hoạch xử lý rủi ro và
mức chấp thuận về những rủi ro bảo mật thơng tin cịn tồn dư.
Tổ chức phải tiếp tục giữ thơng tin lập thành văn bản về quy trình xử lý rủi
ro bảo mật thơng tin
LƯU Ý: Quy trình đánh giá và xử lý rủi ro bảo mật thông tin trong Tiêu
chuẩn Quốc tế này liên kết với các nguyên tắc và hướng dẫn tổng quát được
cung cấp trong ISO 31000 ( 5 ) .
6.2 Các mục tiêu bảo mật thông tin và hoạch định để đạt được chúng
Tổ chức phải thiết lập các mục tiêu bảo mật thông tin ở các chức năng và
mức độ liên quan.
Các mục tiêu bảo mật thơng tin phải:
a) nhất qn với chính sách bảo mật thơng tin;
b) có thể đo lường được (nếu thực tế);
c) tính đến các yêu cầu bảo mật thơng tin có thể áp dụng được, và các kết
quả từ đánh giá và xử lý rủi ro;
d) được truyền thông; và
e) được cập nhật khi phù hợp.
8|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
Khi hoạch định cách để đạt được các mục tiêu bảo mật thông tin, tổ chức
phải xác định:
a) những gì sẽ được hồn thành;
b) tài ngun nào sẽ được yêu cầu;
c) ai sẽ chịu trách nhiệm;
d) khi nào thì nó sẽ được hồn thành; và
e) các kết quả sẽ được đánh giá như thế nào.
7
Hỗ trợ
7.1 Tài nguyên
Tổ chức phải xác định và cung cấp những tài nguyên cần thiết cho việc thiết
lập, triển khai, duy trì và liên tục cải tiến hệ thống quản lý bảo mật thơng tin.
7.2 Trình độ chun mơn
Tổ chức phải:
a) xác định trình độ chun mơn cần thiết của (các) nhân viên thực hiện
cơng việc dưới sự kiểm sốt của mình mà có ảnh hưởng đến hiệu suất bảo
mật thơng tin;
b) đảm bảo rằng những nhân viên đó có năng lực trên cơ sở được đào tạo,
giáo dục, hoặc kinh nghiệm phù hợp;
c) nếu có thể; thực hiện các hành động để đạt được năng lực cần thiết, và
đánh giá tính hiệu quả của những hành động đã thực hiện; và
d) lưu giữ thông tin được lập thành văn bản như là bằng chứng về năng lực.
LƯU Ý: Những hành động có thể áp dụng được bao gồm, ví dụ: cung cấp
đào tạo, cố vấn, hoặc tái phân công những nhân viên hiện tại, hoặc thuê
hoặc ký hợp đồng với nhân viên có năng lực.
7.3 Nhận thức
Nhân viên thực hiện cơng việc dưới sự kiểm soát của tổ chức phải nhận thức
được về:
a) chính sách bảo mật thơng tin;
b) đóng góp của họ cho hiệu suất của hệ thống quản lý bảo mật thơng tin,
bao gồm những lợi ích của hiệu suất bảo mật thông tin được cải thiện; và
c) hệ quả của việc không tuân thủ các yêu cầu hệ thống quản lý bảo mật
thông tin.
7.4 Truyền thông
Tổ chức phải xác định nhu cầu truyền thông nội bộ và bên ngồi có liên
quan tới hệ thống quản lý bảo mật thơng tin, bao gồm:
a) về những gì được truyền thơng;
b) khi nào thì truyền thơng;
c) truyền thơng cho ai;
d) ai sẽ truyền thơng; và
e) các quy trình mà sẽ bị ảnh hưởng bởi (sự) truyền thông nào.
7.5 Thông tin được lập thành văn bản
7.5.1 Tổng quan
Hệ thống quản lý bảo mật thông tin của tổ chức phải bao gồm:
9|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
a) thông tin được lập thành văn bản được yêu cầu bởi Tiêu chuẩn Quốc tế
này; và
b) thông tin được lập thành văn bản được tổ chức xác định là cần thiết cho
tính hiệu quả của hệ thống quản lý bảo mật thông tin.
LƯU Ý: Mức độ của thông tin được lập thành văn bản cho một hệ thống
quản lý bảo mật thơng tin có thể khác nhau giữa các tổ chức, bởi vì:
1) quy mơ của tổ chức, và kiểu hoạt đồng, quy trình, sản phẩm và dịch vụ
của họ;
2) độ phức tạp của các quy trình và những tương tác của chúng; và
3) năng lực của nhân viên.
7.5.2 Tạo ra và cập nhật
Khi tạo ra và cập nhật những thông tin được lập thành văn bản, tổ chức phải
đảm bảo phù hợp:
a) các định nghĩa và mơ tả (ví dụ, tiêu đề, ngày, người soạn thảo, hoặc số
tham chiếu);
b) định dạng (ví dụ, ngơn ngữ, phiên bản phần mềm, hình ảnh) và phương
tiện (ví dụ, giấy, điện tử); và
c) đánh giá và phê duyệt tính phù hợp và chính xác.
7.5.3 Kiểm sốt thơng tin được lập thành văn bản
Thông tin được lập thành văn bản được yêu cầu bởi hệ thống quản lý bảo
mật thông tin và bởi Tiêu chuẩn Quốc tế này phải được kiểm sốt để đảm bảo:
a) nó sẵn sàng và phù hợp để sử dụng, khi và ở nơi cần thiết; và
b) nó được bảo vệ một cách đầy đủ (ví dụ, tránh mất tính bảo mật, sử dụng
khơng đúng, hoặc mất tính tồn vẹn).
Để kiểm sốt thơng tin được lập thành văn bản, tổ chức phải giải quyết
những hành động dưới đây, nếu có thể:
a) phân phối, truy cập, trích xuất và sử dụng;
b) lưu trữ và bảo quản, bao gồm sự bảo quản tính dễ đọc, dễ xem;
c) kiểm sốt các thay đổi (ví dụ, kiểm sốt phiên bản); và
d) lưu giữ và bố trí.
Thơng tin được lập thành văn bản có nguồn gốc bên ngồi, được tổ chức xác
định là cần thiết cho việc hoạch định và vận hành hệ thống quản lý bảo mật thông
tin, phải được xác định một cách phù hợp, và được kiểm soát.
LƯU Ý: Truy cập ngụ ý chỉ quyết định có liên quan đến quyền chỉ xem
thông tin được lập thành văn bản, hoặc quyền và thẩm quyền xem và thay đổi
thông tin được lập thành văn bản, v.v…
8
Vận hành
8.1 Hoạch định và kiểm soát vận hành
Tổ chức phải lập kế hoạch, triển khai và kiểm sốt các quy trình cần thiết để
đáp ứng các yêu cầu bảo mật thông tin, và để triển khai những hành động được xác
10 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
định trong 6.1. Tổ chức cũng phải triển khai các kế hoạch để đạt được các mục
tiêu bảo mật thông tin được xác định trong 6.2.
Tổ chức phải giữ thông tin được lập thành văn bản ở mức độ cần thiết để tin
tưởng rằng các quy trình đã được thực hiện theo kế hoạch đã định.
Tổ chức phải kiểm soát những thay đổi đã được lên kế hoạch, và xem xét
những hậu quả của các thay đổi khơng mong muốn, có tính đến hành động để giảm
thiểu bất kỳ tác động bất lợi nào, nếu cần.
Tổ chức phải đảm bảo rằng các quy trình được th ngồi đã được xác định
và kiểm soát.
8.2 Đánh giá rủi ro bảo mật thơng tin
Tổ chức phải hồn thành các đánh giá rủi ro bảo mật thông tin theo định kỳ
đã được lên kế hoạch hoặc khi những thay đổi quan trọng được đề xuất hoặc diễn
ra, có tính đến tiêu chí được thiết lập trong 6.1.2 a).
Tổ chức phải giữ lại thông tin được lập thành văn bản về kết quả của các
đánh giá rủi ro bảo mật thông tin.
8.3 Xử lý rủi ro bảo mật thông tin
Tổ chức phải triển khai kế hoạch xử lý rủi ro bảo mật thông tin.
Tổ chức phải giữ lại thông tin được lập thành văn bản về các kết quả của
việc xử lý rủi ro bảo mật thông tin.
9
Đánh giá hiệu suất
9.1 Giám sát, đo lường, phân tích và đánh giá
Tổ chức phải đánh giá hiệu suất và tính hiệu quả bảo mật thông tin của hệ
thống quản lý bảo mật thông tin.
Tổ chức phải xác định:
a) những gì cần được giám sát và đo lường, bao gồm các quy trình và kiểm
sốt bảo mật thông tin;
b) phương pháp giám sát, đo lường, phân tích và đánh giá, nếu có thể, để
đảm bảo các kết quả hợp lệ;
LƯU Ý: Những phương pháp đã chọn nên đem lại các kết quả có thể so sánh
được và có thể tái lập được để được coi là hợp lệ.
c) khi nào thì việc giám sát và đo lường được hoàn thành;
d) ai sẽ là người giám sát và đo lường;
e) khi nào thì các kết quả của việc giám sát và đo lường sẽ được phân tích
và đánh giá; và
f) ai sẽ phân tích và đánh giá những kết quả đó.
11 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
Tổ chức phải giữ lại thông tin được lập thành văn bản để làm bằng chứng về
các kết quả của giám sát và đo lường.
9.2 Kiểm toán nội bộ
Tổ chức phải tiến hành các cuộc kiểm toán nội bộ theo định kỳ đã được lên
kế hoạch để cung cấp thông tin về việc liệu hệ thống quản lý bảo mật thông tin:
a) tuân theo
1) các yêu cầu của tổ chức về hệ thống quản lý bảo mật thông tin; và
2) các yêu cầu của Tiêu chuẩn Quốc tế này;
b) được triển khai và duy trì một cách hiệu quả.
Tổ chức phải:
a) lên kế hoạch, thiết lập, triển khai và duy trì (các) chương trình kiểm
tốn, bao gồm tần suất, phương pháp, trách nhiệm, các yêu cầu hoạch
định và báo cáo. (Các) Chương trình kiểm tốn phải xem xét tầm quan
trọng của các quy trình được đề cập và các kết quả của các lần kiểm tốn
trước đó;
b) xác định tiêu chí kiểm tốn và phạm vi của mỗi cuộc kiểm toán;
c) lựa chọn kiểm toán viên và tiến hành các cuộc kiểm tốn đảm bảo tính
khách quan và cơng bằng của quy trình kiểm tốn;
d) đảm bảo rằng các kết quả của các cuộc kiểm toán được báo cáo cho cấp
quản lý có liên quan; và
e) giữ lại thông tin được lập thành văn bản để làm bằng chứng về (các)
chương trình kiểm tốn và các kết quả kiểm toán.
9.3 Đánh giá của cấp quản lý
Cấp quản lý hàng đầu phải xem xét hệ thống quản lý bảo mật thông tin của
tổ chức theo định kỳ đã được lên kế hoạch để đảm bảo rằng tính phù hợp, đầy đủ
và hiệu quả liên tục của nó (hệ thống quản lý bảo mật thông tin – người dịch).
Việc xem xét của cấp quản lý phải bao gồm các cân nhắc về:
a) trạng thái hoạt động từ các lần xem xét trước đó;
b) những thay đổi trong các vấn đề bên trong và bên ngồi (tổ chức) có liên
quan tới hệ thống quản lý bảo mật thông tin;
c) phản hồi về hiệu suất bảo mật thông tin, bao gồm những xu hướng trong:
1) các điểm không tuân thủ và các hành động khắc phục;
2) các kết quả giám sát và đo lường;
3) các kết quả kiểm toán, và
4) sự hồn thành các mục tiêu bảo mật thơng tin;
d) phản hồi từ các bên liên quan;
e) các kết quả của đánh giá rủi ro và trạng thái của kế hoạch xử lý rủi ro; và
f) các cơ hội cho cải thiện liên tục.
12 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
Những kết quả đầu ra của việc xem xét bởi cấp quản lý phải bao gồm các
quyết định có liên quan đến những cơ hội cải thiện liên tục và bất kỳ nhu cầu thay
đổi nào đối với hệ thống quản lý bảo mật thông tin.
Tổ chức phải giữ lại thông tin được lập thành văn bản để làm bằng chứng về
việc xem xét bởi cấp quản lý.
10 Cải thiện
10.1
Không tuân thủ và hành động khắc phục
Khi xảy ra sự không tuân thủ, tổ chức phải:
a) đối phó với sự khơng tn thủ, và nếu có thể:
1) thực hiện hành động để kiểm soát và khắc phục nó (khơng tn
thủ); và
2) xử lý các hậu quả;
b) đánh giá nhu cầu về hành động để loại bỏ những ngun nhân của sự
khơng tn thủ, để nó khơng tái diễn hoặc xảy ra ở đâu đó, bằng cách:
1) đánh giá sự không tuân thủ;
2) xác định những nguyên nhân của sự không tuân thủ; và
3) xác định nếu sự khơng tn thủ tương tự vẫn tồn tại, hoặc có tiềm
năng xảy ra;
c) triển khai bất kỳ hành động cần thiết nào;
d) xem xét tính hiệu quả của bất kỳ hành động khắc phục nào đã được thực
hiện; và
e) thực hiện thay đổi đối với hệ thống quản lý bảo mật thông tin, nếu cần
thiết.
Các hành động khắc phục phải phù hợp với các ảnh hưởng của sự không
tuân thủ đã xảy ra.
Tổ chức phải giữ lại thông tin được lập thành văn bản để làm bằng chứng
về:
f) bản chất của những điểm không tuân thủ và những hành động được thực
hiện sau đó; và
g) kết quả của bất kỳ hành động khắc phục nào.
10.2
Liên tục cải tiến
Tổ chức phải liên tục cải tiến tính phù hợp, đầy đủ và hiệu quả của hệ thống
quản lý bảo mật thông tin.
13 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
Phụ lục A (quy phạm)
Các kiểm soát và mục tiêu kiểm soát tham chiếu
Các mục tiêu kiểm soát và các kiểm soát được liệt kê trong Bảng A.1 có nguồn gốc trực tiếp từ và được căn chỉnh với
những mục tiêu kiểm soát và kiểm soát được liệt kê trong ISO/IEC 27002:2013 ( 1 ) , Điều 5 đến Điều 18 và được sử dụng trong
bối cảnh cùng với Điều 6.13.
Bảng A.1 – Các mục tiêu kiểm sốt và các kiểm sốt
A.5
Chính sách bảo mật thơng tin
A.5.1
Định hướng của cấp quản lý về bảo mật thông tin
Mục tiêu: Để cung cấp định hướng của cấp quản lý và hỗ trợ bảo mật thông tin tương xứng với các yêu cầu kinh doanh và
các luật lệ và quy định liên quan.
A.5.1.1
Các chính sách về bảo mật thơng Kiểm sốt
tin
Một bộ các chính sách về bảo mật thơng tin phải được xác định, phê duyệt
bởi cấp quản lý, được công bố và truyền thông đến nhân viên và các bên thứ
ba bên ngồi có liên quan.
A.5.1.2
Xem xét các chính sách bảo mật Kiểm sốt
thơng tin
Các chinh sách bảo mật thông tin phải được xem xét theo định kỳ đã được
lên kế hoạch hoặc nếu các thay đổi quan trọng xảy ra để đảm bảo tính phù
hợp, đầy đủ và hiệu quả liên tục của chúng (các chính sách).
A.6
Tổ chức bảo mật thông tin
A.6.1
Tổ chức nội bộ
Mục tiêu: Thiết lập một khuôn khổ quản lý để khởi đầu và kiểm sốt việc triển khai và vận hành bảo mật thơng tin trong tổ
chức.
A.6.1.1
Các vai trò và trách nhiệm bảo Kiểm sốt
mật thơng tin
Tất cả trách nhiệm bảo mật thơng tin phải được xác định và phân bổ.
A.6.1.2
Tách biệt nhiệm vụ
Kiểm soát
14 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
Sự xung đột nhiệm vụ và các khu vực trách nhiệm phải được tách biệt để
giảm thiểu cơ hội cho việc điều chỉnh trái phép hoặc không mong muốn
hoặc sử dụng sai các tài sản của tổ chức.
A.6.1.3
Liên hệ với các cơ quan thẩm Kiểm soát
quyền
Các liên hệ phù hợp với các cơ quan thẩm quyền có liên quan phải được duy
trì.
A.6.1.4
Liên hệ với các nhóm lợi ích đặc Kiểm soát
biệt
Các liên hệ phù hợp với các nhóm lợi ích đặc biệt hoặc các diễn đàn chun
gia bảo mật khác và các hiệp hội chuyên gia phải được duy trì.
A.6.1.5
Bảo mật thơng tin trong quản lý Kiểm sốt
dự án
Bảo mật thơng tin phải được giải quyết trong quản lý dự án bất kể kiểu của
dự án.
A.6.2
Các thiết bị di động và làm việc từ xa
Mục tiêu: Để đảm bảo tính bảo mật cho việc làm việc từ xa và sử dụng các thiết bị di động
A.6.2.1
Chính sách thiết bị di động
Kiểm sốt
Một chính sách và hỗ trợ các biện pháp đo lường bảo mật phải được thông
qua để quản lý các rủi ro mang lại bởi việc sử dụng thiết bị di động.
A.6.2.2
Làm việc từ xa
Kiểm soát
Một chính sách và hỗ trợ các biện pháp đo lường bảo mật phải được triển
khai để bảo vệ thông tin được truy cập, xử lý hoặc lưu trữ tại các địa điểm
làm việc từ xa.
A.7
Bảo mật nguồn nhân lực
A.7.1
Trước khi bắt đầu công việc
Mục tiêu: Để đảm bảo rằng nhân viên và các nhà thầu hiểu rõ trách nhiệm của họ và phù hợp với vai trò mà họ được cân
nhắc.
A.7.1.1
Sàng lọc
Kiểm sốt
Các kiểm tra xác minh thơng tin lý lịch của mọi ứng viên cho công việc phải
15 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
được tiến hành phù hợp với các luật, quy định và quy tắc đạo đức có liên
quan và phải tương xứng với các yêu cầu kinh doanh, phân loại thông tin
được truy cập và những rủi ro được nhận thức.
A.7.1.2
Các điều khoản và điều kiện làm Kiểm soát
việc
Những thỏa thuận hợp đồng với nhân viên và các nhà thầu phải tuyên bố rõ
ràng về trách nhiệm của họ (nhân viên và các nhà thầu) và tổ chức trong bảo
mật thông tin.
A.7.2
Trong khi làm việc
Mục tiêu: Để đảm bảo rằng nhân viên và các nhà thầu nhận thức được và hồn thành trách nhiệm bảo mật thơng tin của mình.
A.7.2.1
Trách nhiệm của cấp quản lý.
A.7.2.2
Nâng cao nhận thức, giáo dục và Kiểm sốt
đào tạo về bảo mật thơng tin.
Mọi nhân viên của tổ chức và, nếu có liên quan, các nhà thầu phải nhận
được một sự nâng cao nhận thức, giáo dục và đào tạo phù hợp và các cập
nhật thường xuyên về các chính sách và thủ tục của tổ chức, liên quan đến
chức năng công việc của họ (nhân viên và các nhà thầu).
A.7.2.3
Quy trình kỷ luật
A.7.3
Chấm dứt hoặc thay đổi cơng việc
Kiểm sốt
Cấp quản lý phải yêu cầu mọi nhân viên và nhà thầu áp dụng bảo mật thơng
tin tương ứng với các chính sách và thủ tục của tổ chức đã được thiết lập.
Kiểm sốt
Phải có một quy trình kỷ luật chính thức và được truyền thơng có sẵn để có
hành động chống lại nhân viên đã vi phạm bảo mật thông tin.
Mục tiêu: Bảo vệ những lợi ích của tổ chức như một phần của quy trình về thay đổi hoặc chấm dứt cơng việc.
A.7.3.1
Chấm dứt hoặc thay đổi các trách Kiểm sốt
nhiệm công việc
Trách nhiệm và nghĩa vụ bảo mật thông tin vẫn còn hiệu lực sau khi chấm
dứt hoặc thay đổi công việc phải được xác định, truyền thông tới nhân viên
và các nhà thầu và là bắt buộc.
A.8
Quản lý tài sản
16 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
A.8.1
Trách nhiệm đối với tài sản
Mục tiêu: Để xác định các tài sản của tổ chức và định nghĩa các trách nhiệm bảo vệ phù hợp.
A.8.1.1
Kiểm kê tài sản
Kiểm sốt
Những tài sản được kết hợp với thơng tin và các phương tiện xử lý thông tin
phải được xác định và một bản kiểm kê những tài sản đó phải được soạn
thảo và duy trì.
A.8.1.2
Chủ sở hữu tài sản
Kiểm sốt
Những tài sản được duy trì trong bản kiểm kê phải được sở hữu.
A.8.1.3
Việc sử dụng tài sản được chấp Kiểm soát
thuận
Các quy tắc cho việc sử dụng được chấp thuận thông tin và các tài sản tương
ứng với thông tin và các thiết bị xử lý thông tin phải được xác định, lập
thành văn bản và triển khai.
A.8.1.4
Trả lại tài sản
A.8.2
Phân loại thơng tin
Kiểm sốt
Mọi nhân viên và người dùng của bên thứ ba bên ngoài phải trả lại mọi tài
sản của tổ chức theo vị trí của họ tùy thuộc vào sự chấm dứt công việc, hợp
đồng hoặc thỏa thuận của họ.
Mục tiêu: Đảm bảo rằng thông tin nhận được mức độ bảo vệ tương xứng với tầm quan trọng của nó đối với tổ chức.
A.8.2.1
Phân loại thơng tin
Kiểm sốt
Thơng tin phải được phân loại theo các yêu cầu pháp lý, giá trị, mức độ
quan trọng và độ nhạy cảm đối với sự tiết lộ hoặc điều chỉnh trái phép.
A.8.2.2
Dán nhãn thơng tin
Kiểm sốt
Một bộ các thủ tục tương xứng cho việc dán nhãn thông tin phải được phát
triển và triển khai phù hợp với kế hoạch phân loại thông tin đã được tổ chức
thông qua.
A.8.2.3
Xử lý tài sản
Kiểm soát
Các thủ tục xử lý tài sản phải được phát triển và triển khai phù hợp với kế
17 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
hoạch phân loại thông tin đã được tổ chức thông qua.
A.8.3
Xử lý phương tiện
Mục tiêu: Ngăn chặn việc tiết lộ, điều chỉnh, xóa bỏ hoặc phá hủy trái phép thông tin được lưu trữ trong các phương tiện.
A.8.3.1
Quản lý phương tiện di động
Kiểm soát
Các thủ tục phải được triển khai để quản lý các phương tiện có thể di dời
được, phù hợp với kế hoạch phân loại đã được tổ chức thơng qua.
A.8.3.2
Loại bỏ phương tiện
Kiểm sốt
Phương tiện phải được loại bỏ một cách an toàn khi khơng cịn cần thiết, sử
dụng các thủ tục chính thức.
A.8.3.3
Di chuyển phương tiện vật lý
Kiểm sốt
Các phương tiện có chứa thông tin phải được bảo vệ chống lại truy cập, sử
dụng trái phép hoặc sự sai lệch trong quá trình vận chuyển.
A.9
Kiểm soát truy cập
A.9.1
Yêu cầu kinh doanh về kiểm sốt truy cập
Mục tiêu: Giới hạn truy cập vào thơng tin và các phương tiện xử lý thơng tin.
A.9.1.1
Chính sách kiểm soát truy cập
A.9.1.2
Truy cập mạng và các dịch vụ Kiểm sốt
mạng
Người dùng chỉ có thể được cung cấp truy cập tới mạng và các dịch vụ mạng
mà họ được cấp phép cụ thể.
A.9.2
Quản lý truy cập người dùng
A.9.2.1
Đăng ký và hủy đăng ký người Kiểm sốt
dùng
Một quy trình đăng ký và hủy đăng ký người dùng chính thức phải được
triển khai đế cho phép phân bổ quyền truy cập.
A.9.2.2
Cung cấp truy cập người dùng
Kiểm sốt
Một chính sách kiểm sốt truy cập phải được thiết lập, lập thành văn bản và
xem xét dựa trên các yêu cầu kinh doanh và u cầu bảo mật thơng tin.
Kiểm sốt
18 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
Một quy trình cung cấp truy cập người dùng chính thức phải được triển khai
để phân bổ hoặc thu hồi quyền truy cập của mọi kiểu người dùng tới mọi hệ
thống và dịch vụ.
A.9.2.3
Quản lý đặc quyền truy cập
A.9.2.4
Quản lý thơng tin xác minh người Kiểm sốt
dùng bí mật
Việc phân bổ thơng tin xác minh bí mật phải được kiểm sốt thơng qua một
quy trình quản lý chính thức.
A.9.2.5
Xem xét quyền truy cập người Kiểm sốt
dùng
Chủ sở hữu tài sản phải xem xét quyền truy cập của người dùng thường
xuyên theo định kỳ.
A.9.2.6
Loại bỏ hoặc điều chỉnh quyền Kiểm soát
truy cập
Quyền truy cập của mọi nhân viên và người dùng của bên thứ ba bên ngồi
tới thơng tin và các phương tiện xử lý thông tin phải được hủy bỏ tùy thuộc
vào sự chấm dứt công việc, hợp đồng hoặc thỏa thuận, hoặc được điều chỉnh
tùy theo thay đổi.
A.9.3
Trách nhiệm (của) người dùng
Kiểm soát
Việc phân bổ và sử dụng đặc quyền truy cập phải được hạn chế và kiểm
soát.
Mục tiêu: Khiến cho nhân viên chịu trách nhiệm về việc bảo vệ thơng tin xác minh của mình.
A.9.3.1
Sử dụng thơng tin xác minh bí mật
A.9.4
Kiểm sốt truy cập hệ thống và ứng dụng
Kiểm soát
Người dùng phải được yêu cầu tuân thủ các thực tiễn của tổ chức về việc sử
dụng thơng tin xác minh bí mật.
Mục tiêu: Ngăn chặn việc truy cập trái phép tới các hệ thống và ứng dụng.
A.9.4.1
Giới hạn truy cập thơng tin
Kiểm sốt
Truy cập tới thông tin và các chức năng ứng dụng hệ thống phải được giới
hạn tương xứng với chính sách kiểm soát truy cập.
19 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các u cầu
A.9.4.2
Thủ tục đăng nhập an tồn
Kiểm sốt
Khi được u cầu bởi chính sách kiểm sốt truy cập, việc truy cập tới các hệ
thống và ứng dụng phải được kiểm soát bởi một thủ tục đăng nhập an tồn.
A.9.4.3
Hệ thống quản lý mật khẩu
Kiểm sốt
Các hệ thống quản lý mật khẩu phải tương tác và đảm bảo các mật khẩu chất
lượng.
A.9.4.4
Sử dụng các chương trình tiện ích
Kiểm sốt
Việc sử dụng các chương trình tiện ích có khả năng ghi đè lên các kiểm soát
hệ thống và ứng dụng phải được giới hạn và kiểm soát chặt chẽ.
A.9.4.5
Kiểm soát truy cập tới mã nguồn Kiểm sốt
chương trình
Truy cập tới mã nguồn chương trình phải được giới hạn.
A.10
Mã hóa
A.10.1
Kiểm sốt mã hóa
Mục tiêu: Đảm bảo sử dụng đúng đắn và hiệu quả biện pháp mã hóa để bảo vệ tính bảo mật, tính xác thực và/hoặc tính tồn
vẹn của thơng tin.
A.10.1.1
Chính sách sử dụng các kiểm sốt Kiểm sốt
mã hóa
Một chính sách về việc sử dụng kiểm sốt khóa mã hóa để bảo vệ thơng tin
phải được phát triển và triển khai.
A.10.1.2
Quản lý khóa
A.11
Bảo mật vật lý và mơi trường
A.11.1
Các khu vực an ninh
Kiểm sốt
Một chính sách về việc sử dụng, bảo vệ và thời gian sống của các khóa mã
hóa phải được phát triển và triển khai trong suốt vịng đời của chúng (các
khóa mã hóa).
Mục tiêu: Ngăn chặn truy cập vật lý trái phép, phá hoại và can thiệp vào thông tin và các thiết bị xử lý thông tin của tổ chức.
A.11.1.1
Phạm vi an ninh vật lý
Kiểm soát
20 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
Những phạm vi an ninh phải được xác định và sử dụng để bảo vệ các khu
vực có chứa thơng tin và các thiết bị xử lý thơng tin nhạy cảm hoặc quan
trọng.
A.11.1.2
Kiểm sốt truy nhập vật lý
A.11.1.3
An ninh tịa nhà, phịng, và các cơ Kiểm sốt
sở
An ninh vật lý cho các văn phòng, phòng và các cơ sở phải được thiết kế và
áp dụng.
A.11.1.4
Bảo vệ chống lại các nguy cơ mơi Kiểm sốt
trường và nguy cơ bên ngồi
Bảo vệ vật lý chơng lại các thảm họa tự nhiên, tấn công phá hoại hoặc các
tai nạn phải được thiết kế và triển khai.
A.11.1.5
Làm việc trong các khu vực an Kiểm soát
ninh
Các thủ tục về việc làm việc trong các khu vực an ninh phải được thiết kế và
áp dụng.
A.11.1.6
Khu vực bốc dỡ hàng hóa
A.11.2
Thiết bị
Kiểm sốt
Những khu vực an ninh phải được bảo vệ bởi các kiểm sốt truy nhập hợp lý
để đảm bảo rằng chỉ có những người đã được cấp phép mới được phép truy
cập.
Kiểm soát
Các điểm truy cập như khu vực bốc dỡ hàng hóa và các điểm khác, nơi mà
những người khơng được phép có thể đi vào trong các cơ sở phải được kiểm
sốt và, nếu có thể, cách ly khỏi các thiết bị xử lý thông tin để ngăn chặn
truy cập trái phép.
Mục tiêu: Ngăn ngừa sự mất cắp, hư hỏng, trộm cắp hoặc làm tổn thương các tài sản và gián đoạn vận hành của tổ chức.
A.11.2.1
Định vị và bảo vệ thiết bị
Kiểm soát
Thiết bị phải được xác định vị trí và bảo vệ để giảm thiểu rủi ro từ các mối
đe dọa và mối nguy của môi trường, và cơ hội truy cập trái phép.
A.11.2.2
Các tiện ích hỗ trợ
Kiểm soát
Thiết bị phải được bảo vệ khỏi các sự cố mất nguồn và các gián đoạn khác
21 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
gây ra bởi sự cố của các tiện ích hỗ trợ.
A.11.2.3
Bảo mật cáp
Kiểm sốt
Các cáp nguồn điện và tín hiệu truyền thơng mang dữ liệu hoặc hỗ trợ các
dịch vụ thông tin phải được bảo vệ khỏi tấn cơng đánh chặn, can thiệp hoặc
phá hoại.
A.11.2.4
Bảo trì thiết bị
Kiểm sốt
Thiết bị phải được bảo trì một cách đúng đắn để đảm bảo tính sẵn sàng và
tồn vẹn liên tục của nó (thiết bị).
A.11.2.5
Loại bỏ tài sản
Kiểm sốt
Thiết bị, thông tin hoặc phần mềm không được mang ra khỏi tổ chức mà
khơng có sự cấp phép trước.
A.11.2.6
Bảo mật thiết bị và tài sản ngoại Kiểm soát
biên
Bảo mật phải được áp dụng cho những tài sản ngoại biên có tính đến những
rủi ro khác nhau của việc làm việc bên ngoài cơ sở của tổ chức.
A.11.2.7
Loại bỏ hoặc tái sử dụng an tồn Kiểm sốt
thiết bị
Mọi mục của thiết bị có chứa phương tiện lưu trữ phải được xác minh để
đảm bảo rằng bất kỳ dữ liệu nhạy cảm và phần mềm được cấp phép đã được
loại bỏ hoặc ghi đè một cách an toàn trước khi loại bỏ hoặc tái sử dụng thiết
bị.
A.11.2.8
Thiết bị vắng mặt người dùng
A.11.2.9
Chính sách bàn làm việc và màn Kiểm sốt
hình gọn gàng
Một chính sách bàn làm việc gọn gàng đối với giấy tờ và các phương tiện
lưu trữ có thể di động và một chính sách màn hình gọn gàng đối với các
thiết bị xử lý thông tin phải được thông qua.
A.12
Bảo mật vận hành
A.12.1
Các thủ tục và trách nhiệm vận hành
Kiểm soát
Người dùng phải đảm bảo rằng những thiết bị vắng mặt (người dùng) đã
được bảo vệ thích đáng.
22 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
Mục tiêu: Đảm bảo vận hành đúng đắn và an tồn các thiết bị xử lý thơng tin
A.12.1.1
Các thủ tục vận hành được lập Kiểm soát
thành văn bản
Các thủ tục vận hành phải được lập thành văn bản và sẵn sàng cho mọi
người dùng cần đến chúng.
A.12.1.2
Quản lý thay đổi
Kiểm soát
Những thay đổi đối với tổ chức, các quy trình kinh doanh, các thiết bị và hệ
thống xử lý thơng tin có ảnh hưởng tới bảo mật thơng tin phải được kiểm
sốt.
A.12.1.3
Quản lý năng lực
Kiểm sốt
Việc sử dụng các tài nguyên phải được giám sát, điều chỉnh và các dự kiến
được thực hiện về các yêu cầu năng lực trong tương lai để đảm bảo hiệu suất
hệ thống được yêu cầu.
A.12.1.4
Tách biệt các môi trường phát Kiểm sốt
triển, kiểm thử và vận hành
Các mơi trường phát triển, kiểm thử và vận hành phải được tách biệt để
giảm thiểu những rủi ro từ việc truy cập hoặc thay đổi trái phép đến môi
trường vận hành.
A.12.2
Bảo vệ khỏi phần mềm độc hại
Mục tiêu: Để đảm bảo rằng thông tin và các thiết bị xử lý thông tin được bảo vệ khỏi phần mềm độc hại.
A.12.2.1
Các kiểm soát chống lại phần mềm Kiểm soát
độc hại
Các kiểm soát nhận dạng, ngăn ngừa và khôi phục để bảo vệ chống lại phần
mềm độc hại phải được triển khai, kết hợp với nâng cao nhận thức của người
dùng một cách tương xứng.
A.12.3
Sao lưu
Mục tiêu: Bảo vệ tránh khỏi sự mất mát dữ liệu
A.12.3.1
Sao lưu thơng tin
Kiểm sốt
Việc sao lưu các bản sao của thơng tin, phần mềm và hình ảnh hệ thống phải
được thực hiện và kiểm tra thường xuyên tương xứng với một chính sách sao
23 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
lưu đã được thỏa thuận.
A.12.4
Lưu nhật ký và giám sát
Mục tiêu: Ghi lại các sự kiện và tạo ra bằng chứng
A.12.4.1
Ghi nhật ký sự kiện
Kiểm soát
Các nhật ký sự kiện ghi lại các hành động củ người dùng, các ngoại lệ, lỗi,
và các sự kiện bảo mật thông tin phải được tạo ra, lưu giữ và xem xét
thường xun.
A.12.4.2
Bảo vệ thơng tin nhật ký
Kiểm sốt
Các thiết bị ghi nhật ký và thông tin nhật ký phải được bảo vệ khỏi sự giả
mạo và truy cập trái phép.
A.12.4.3
Các nhật ký quản trị và vận hành
Kiểm soát
Các hoạt động của quản trị viên hệ thống và nhân viên vận hành phải được
ghi nhật ký và các nhật ký phải được bảo vệ và xem xét thường xuyên.
A.12.4.4
Đồng bộ hóa đồng hồ
Kiểm soát
Các đồng hồ của mọi hệ thống xử lý thơng tin có liên quan trong tổ chức
hoặc khu vực bảo mật phải được đồng bộ hóa với một nguồn tham chiếu thời
gian đơn lẻ.
A.12.5
Kiểm soát phần mềm vận hành
Mục tiêu: Đảm bảo tính tồn vẹn của các hệ thống vận hành
A.12.5.1
Cài đặt phần mềm trên các hệ Kiểm soát
thống vận hành
Các thủ tục phải được triển khai để kiểm soát việc cài đặt phần mềm trên
các hệ thống vận hành.
A.12.6
Quản lý lỗ hổng kỹ thuật
Mục tiêu: Ngăn chặn sự khai thác các lỗ hổng kỹ thuật.
A.12.6.1
Quản lý các lỗ hổng kỹ thuật
Kiểm sốt
Thơng tin về các lỗ hổng kỹ thuật của các hệ thống thông tin đang được sử
dụng phải có được một cách kịp thời, mức độ phơi nhiễm của tổ chức đối
24 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
Công nghệ thông tin – Các kỹ thuật bảo mật – Các hệ thống quản lý bảo mật thông tin – Các yêu cầu
với các lỗ hổng đó được đánh giá và các biện pháp phù hợp được thực hiện
để giải quyết rủi ro có liên quan.
A.12.6.2
Giới hạn việc cài đặt phần mềm
A.12.7
Mối bận tâm về kiểm toán hệ thống thơng tin
Kiểm sốt
Các quy tắc quản trị việc cài đặt phần mềm bởi người dùng phải được thiết
lập và triển khai.
Mục tiêu: Tối thiểu hóa tác động của các hoạt động kiểm toán tới các hệ thống vận hành.
A.12.7.1
Kiểm soát kiểm tốn hệ thống Kiểm sốt
thơng tin
Các u cầu và hoạt động kiểm tốn có liên quan đến việc kiểm tra những
hệ thống vận hành phải được hoạch định một cách cẩn thận và được thỏa
thuận để tối thiểu hóa sự gián đoạn các quy trình kinh doanh
A.13
Bảo mật truyền thông
A.13.1
Quản lý bảo mật mạng
Mục tiêu: Đảm bảo sự bảo vệ của thông tin trong các hệ thống mạng và sự hỗ trợ của nó cho các thiết bị xử lý thơng tin
A.13.1.1
Kiểm sốt mạng
Kiểm sốt
Các hệ thống mạng phải được quản lý và kiểm sốt để bảo vệ thơng tin trong
các hệ thống và ứng dụng.
A.13.1.2
Bảo mật các dịch vụ mạng
Kiểm soát
Các phương pháp bảo mật, các mức dịch vụ và các yêu cầu quản lý cho mọi
dịch vụ mạng phải được xác định và bao gồm trong các thỏa thuận dịch vụ
mạng, bất kể dịch vụ đó được cung cấp nội bộ hoặc thuê ngoài.
A.13.1.3
Tách biệt hệ thống mạng
Kiểm sốt
Các nhóm của các dịch vụ thơng tin, người dùng và các hệ thống thông tin
phải được tách biệt trên mạng.
A.13.2
Truyền tải thơng tin
Mục tiêu: Duy trì bảo mật cho thông tin được truyền tải trong tổ chức và với bất kỳ thực thể bên ngoài nào khác.
25 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng –
