TCVN xxx:2010

TCVN

TIÊU CHUẨN QUỐC GIA

TCVN xxx:2015
ISO/IEC 27002:2013

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –
QUY TẮC THỰC HÀNH QUẢN LÝ AN TỒN THƠNG TIN
Information technology – Security techniques – Code of practice for infomation security
management

HÀ NỘI – 2015

1

3


TCVN xxx:2015
2

1


TCVN xxx:2015
Mục lục
Lời nói đầu
1

Phạm vi áp dụng ....................................................................................................................... 11

2

Tiêu chuẩn viện dẫn ................................................................................................................. 11

3

Thuật ngữ và định nghĩa .......................................................................................................... 11

4

Cấu trúc của tiêu chuẩn này ........................................................... Error! Bookmark not defined.
4.1

Các mệnh đề .......................................................................... Error! Bookmark not defined.

4.2

Phân loại kiểm sốt................................................................. Error! Bookmark not defined.

5

Chính sách an tồn thơng tin .......................................................... Error! Bookmark not defined.
5.1

Hướng dẫn quản lý an toàn thơng tin ...................................... Error! Bookmark not defined.
5.1.1


Chính sách cho an tồn thơng tin ..................................... Error! Bookmark not defined.

5.1.2

Sốt xét lại chính sách an tồn thơng tin .......................... Error! Bookmark not defined.

Tổ chức của an tồn thơng tin ........................................................ Error! Bookmark not defined.

6
6.1

6.2

Tổ chức bên trong................................................................... Error! Bookmark not defined.
6.1.1

Vài trò và trách nhiệm đảm bảo an tồn thơng tin ............. Error! Bookmark not defined.

6.1.2

Phân tách nhiệm vụ .......................................................... Error! Bookmark not defined.

6.1.3

Liên lạc với những cơ quan/ tổ chức có thẩm quyền ........ Error! Bookmark not defined.

6.1.4

Liên lạc với các nhóm chun gia ..................................... Error! Bookmark not defined.


6.1.5

An tồn thơng tin trong quản lý dự án ............................... Error! Bookmark not defined.

Thiết bị di động và làm việc qua mạng .................................... Error! Bookmark not defined.
6.2.1

Chính sách sử dụng thiết bị di động ................................. Error! Bookmark not defined.

6.2.2

Làm việc từ xa .................................................................. Error! Bookmark not defined.

An toàn nguồn nhân lực.................................................................. Error! Bookmark not defined.

7
7.1

7.2

Trước khi tuyển dụng .............................................................. Error! Bookmark not defined.
7.1.1

Thẩm tra ........................................................................... Error! Bookmark not defined.

7.1.2

Điều khoản và điều kiện tuyển dụng ................................. Error! Bookmark not defined.

Trong thời gian làm việc.......................................................... Error! Bookmark not defined.

7.2.1

Trách nhiệm của ban quản lý ........................................... Error! Bookmark not defined.

3


TCVN xxx:2010

7.3

7.2.2

Nhận thức, giáo dục và đào tạo về an tồn thơng tin ........ Error! Bookmark not defined.

7.2.3

Xử lý kỷ luật ...................................................................... Error! Bookmark not defined.

Chấm dứt hoặc thay đổi công việc .......................................... Error! Bookmark not defined.
7.3.1

Quản lý tài sản ................................................................................. Error! Bookmark not defined.

8
8.1

8.2

8.3


Trách nhiệm đối với tài sản ..................................................... Error! Bookmark not defined.
8.1.1

Kiểm kê tài sản ................................................................. Error! Bookmark not defined.

8.1.2

Quyền sở hữu tài sản ....................................................... Error! Bookmark not defined.

8.1.3

Sử dụng hợp lý tài sản...................................................... Error! Bookmark not defined.

8.1.4

Trả lại tài sản .................................................................... Error! Bookmark not defined.

Phân loại thông tin .................................................................. Error! Bookmark not defined.
8.2.1

Phân loại thông tin ............................................................ Error! Bookmark not defined.

8.2.2

Gắn nhãn thông tin ........................................................... Error! Bookmark not defined.

8.2.3

Xử lý tài sản...................................................................... Error! Bookmark not defined.


Xử lý thiết bị lưu trữ ................................................................ Error! Bookmark not defined.
8.3.1

Quản lý các phương tiện lưu trữ thông tin di động ............ Error! Bookmark not defined.

8.3.2

Loại bỏ các phương tiện lưu trữ thông tin ......................... Error! Bookmark not defined.

8.3.3

Vận chuyển phương tiện vật lý ......................................... Error! Bookmark not defined.

Kiểm soát truy cập ........................................................................... Error! Bookmark not defined.

9
9.1

9.2

4

Trách nhiệm kết thúc hoặc thay đổi hợp đồng .................. Error! Bookmark not defined.

Yêu cầu nghiệp vụ đối với quản lý truy cập ............................. Error! Bookmark not defined.
9.1.1

Chính sách quản lý truy cập ............................................. Error! Bookmark not defined.


9.1.2

Truy cập mạng và các dịch vụ mạng................................. Error! Bookmark not defined.

Quản lý truy cập người dùng ................................................... Error! Bookmark not defined.
9.2.1

Đăng kí và hủy thành viên đăng kí .................................... Error! Bookmark not defined.

9.2.2

Dự liệu truy cập người dùng ............................................. Error! Bookmark not defined.

9.2.3

Quản lý đặc quyền truy cập .............................................. Error! Bookmark not defined.

9.2.4

Quản lý các thông tin xác thực bí mật của người dùng ..... Error! Bookmark not defined.

9.2.5

Soát xét các quyền truy cập người dùng........................... Error! Bookmark not defined.

9.2.6

Hủy bỏ hoặc chỉnh sửa quyền truy cập ............................. Error! Bookmark not defined.



TCVN xxx:2015
Các trách nhiệm người dùng .................................................. Error! Bookmark not defined.

9.3

9.3.1

Quản lý truy cập và ứng dụng hệ thống .................................. Error! Bookmark not defined.

9.4

10

Sử dụng thơng tin xác thực bí mật .................................... Error! Bookmark not defined.

9.4.1

Hạn chế truy cập ứng dụng và hệ thống ........................... Error! Bookmark not defined.

9.4.2

Các thủ tục đăng nhập an toàn ......................................... Error! Bookmark not defined.

9.4.3

Hệ thống quản lý mật khẩu ............................................... Error! Bookmark not defined.

9.4.4

Sử dụng các chương trình tiện ích đặc quyền .................. Error! Bookmark not defined.


9.4.5

Quản lý truy cập tới mã nguồn chương trình .................... Error! Bookmark not defined.

Mã hóa .............................................................................................. Error! Bookmark not defined.

10.1

Kiểm sốt mã hóa ................................................................... Error! Bookmark not defined.

10.1.1 Chính sách sử dụng các kiểm sốt mã hóa ...................... Error! Bookmark not defined.
10.1.2 Quản lý khóa .................................................................... Error! Bookmark not defined.
11

An tồn mơi trường và vật lý .......................................................... Error! Bookmark not defined.

11.1

Các khu vực an toàn ............................................................... Error! Bookmark not defined.

11.1.1 Vành đai an toàn vật lý ..................................................... Error! Bookmark not defined.
11.1.2 Kiểm soát cổng truy cập vật lý .......................................... Error! Bookmark not defined.
11.1.3 Bảo vệ các văn phòng, phòng làm việc và vật dụng ......... Error! Bookmark not defined.
11.1.4 Bảo vệ chống lại các mối đe dọa từ bên ngồi và từ mơi trườngError!

Bookmark

not


defined.
11.1.5 Làm việc trong các khu vực an toàn ................................. Error! Bookmark not defined.
11.1.6 Các khu vực truy cập tự do, phân phối và chuyển hàng ... Error! Bookmark not defined.
11.2

Đảm bảo an toàn trang thiết bị ................................................ Error! Bookmark not defined.

11.2.1 Bố trí và bảo vệ thiết bị ..................................................... Error! Bookmark not defined.
11.2.2 Các tiện ích hỗ trợ ............................................................ Error! Bookmark not defined.
11.2.3 An toàn cho dây cáp ......................................................... Error! Bookmark not defined.
11.2.4 Bảo dưỡng thiết bị ............................................................ Error! Bookmark not defined.
11.2.5 An toàn khi di chuyển thiết bị ............................................ Error! Bookmark not defined.
11.2.6 An toàn cho thiết bị hoạt động bên ngoài các trụ sở tổ chứcError!

Bookmark

not

defined.

5


TCVN xxx:2010
11.2.7 Xử lý an toàn và tái sử dụng các thiết bị ........................... Error! Bookmark not defined.
11.2.8 Thiết bị người dùng khơng giám sát.................................. Error! Bookmark not defined.
11.2.9 Chính sách màn hình sạch và bàn làm việc sạch ............. Error! Bookmark not defined.
12

An toàn thao tác ............................................................................... Error! Bookmark not defined.


12.1

Thủ tục và trách nhiệm thao tác .............................................. Error! Bookmark not defined.

12.1.1 Các thủ tục vận hành được ghi thành văn bản.................. Error! Bookmark not defined.
12.1.2 Quản lý thay đổi ................................................................ Error! Bookmark not defined.
12.1.3 Quản lý năng lực .............................................................. Error! Bookmark not defined.
12.1.4 Phân tách các chức năng phát triển, kiểm thử và môi trường vận hànhError! Bookmark
not defined.
12.2

Bảo vệ khỏi phần mềm độc hại ............................................... Error! Bookmark not defined.

12.2.1 Kiểm soát chống lại phần mềm độc hại ............................ Error! Bookmark not defined.
12.3

Sao lưu ................................................................................... Error! Bookmark not defined.

12.3.1 Thông tin sao lưu .............................................................. Error! Bookmark not defined.
12.4

Lưu nhật ký và giám sát .......................................................... Error! Bookmark not defined.

12.4.1 Lưu nhật ký các sự kiện.................................................... Error! Bookmark not defined.
12.4.2 Bảo vệ các thông tin nhật ký ............................................. Error! Bookmark not defined.
12.4.3 Nhật ký của người điều hành và người quản trị ................ Error! Bookmark not defined.
12.4.4 Đồng bộ thời gian ............................................................. Error! Bookmark not defined.
12.5


Kiểm soát phần mềm điều hành .............................................. Error! Bookmark not defined.

12.5.1 Cài đặt phần mềm trên các hệ thống hoạt động................ Error! Bookmark not defined.
12.6

Quản lý điểm yếu kỹ thuật ....................................................... Error! Bookmark not defined.

12.6.1 Quản lý về các điểm yếu kỹ thuật ..................................... Error! Bookmark not defined.
12.6.2 Hạn chế cài đặt phần mềm ............................................... Error! Bookmark not defined.
12.7

Xem xét việc đánh giá các hệ thống thông tin ......................... Error! Bookmark not defined.

12.7.1 Các kiểm sốt đánh giá hệ thống thơng tin ....................... Error! Bookmark not defined.
13

An tồn truyền thơng ....................................................................... Error! Bookmark not defined.

13.1

Quản lý an toàn mạng ............................................................. Error! Bookmark not defined.

13.1.1 Các biện pháp kiểm soát mạng......................................... Error! Bookmark not defined.

6


TCVN xxx:2015
13.1.2 An toàn các dịch vụ mạng ................................................ Error! Bookmark not defined.
13.1.3 Phân tách mạng ............................................................... Error! Bookmark not defined.

13.2

An tồn truyền tải thơng tin ..................................................... Error! Bookmark not defined.

13.2.1 Các chính sách và thủ tục truyền tải thơng tin .................. Error! Bookmark not defined.
13.2.2 Các thỏa thuận truyền tải thông tin ................................... Error! Bookmark not defined.
13.2.3 Thông điệp điện tử ........................................................... Error! Bookmark not defined.
13.2.4 Các thỏa thuận bảo mật hay không tiết lộ ......................... Error! Bookmark not defined.
14

Trưng dụng hệ thống, phát triển và bảo trì .................................... Error! Bookmark not defined.

14.1

Yêu cầu đảm bảo an toàn cho các hệ thống thông tin............. Error! Bookmark not defined.

14.1.1 Phân tích và đặc tả các u cầu về an tồn thơng tin ....... Error! Bookmark not defined.
14.1.2 An tồn các dịch vụ ứng dụng trên mạng công cộng ........ Error! Bookmark not defined.
14.1.3 Bảo vệ dịch vụ ứng dụng khi giao dịch ............................. Error! Bookmark not defined.
14.2

Bảo đảm an toàn trong các quy trình hỗ trợ và phát triển........ Error! Bookmark not defined.

14.2.1 Chính sách phát triển an tồn ........................................... Error! Bookmark not defined.
14.2.2 Thay đổi thủ tục kiểm soát hệ thống ................................. Error! Bookmark not defined.
14.2.3 Soát sét kỹ thuật của các ứng dụng sau khi thay đổi nền tảng hệ điều hành ........... Error!
Bookmark not defined.
14.2.4 Hạn chế thay đối các gói phần mềm ................................. Error! Bookmark not defined.
14.2.5 Các nguyên tắc về kỹ thuật của hệ thống an ninh............. Error! Bookmark not defined.
14.2.6 Môi trường phát triển an toàn ........................................... Error! Bookmark not defined.

14.2.7 Phát triển thuê khoán ....................................................... Error! Bookmark not defined.
14.2.8 Kiểm thử bảo mật của hệ thống........................................ Error! Bookmark not defined.
14.2.9 Kiểm thử chấp nhận hệ thống .......................................... Error! Bookmark not defined.
14.3

Dữ liệu kiểm thử ..................................................................... Error! Bookmark not defined.

14.3.1 Bảo vệ dữ liệu kiểm thử ................................................... Error! Bookmark not defined.
15

Các mối quan hệ nhà cung cấp ...................................................... Error! Bookmark not defined.

15.1

An tồn thơng tin trong các mối quan hệ nhà cung cấp ........... Error! Bookmark not defined.

15.1.1 Chính sách an tồn thơng tin trong các mối quan hệ nhà cung cấpError! Bookmark not
defined.

7


TCVN xxx:2010
15.1.2 Đảm bảo an toàn trong các thỏa thuận cung cấp .............. Error! Bookmark not defined.
15.1.3 Chuỗi cung ứng sản phẩm, dịch vụ công nghệ thông tin và truyền thông ................ Error!
Bookmark not defined.
15.2

Quản lý chuỗi dịch vụ giao hàng ............................................. Error! Bookmark not defined.


15.2.1 Giám sát và đánh giá các nhà cung cấp dịch vụ ............... Error! Bookmark not defined.
15.3
16

Quản lý thay đổi nhà cung cấp dịch vụ .................................... Error! Bookmark not defined.

Quản lý sự cố an toàn thông tin ..................................................... Error! Bookmark not defined.

16.1

Quản lý các sự cố an tồn thơng tin và các cải thiện............... Error! Bookmark not defined.

16.1.1 Trách nhiệm và thủ tục ..................................................... Error! Bookmark not defined.
16.1.2 Báo cáo sự cố an tồn thơng tin ....................................... Error! Bookmark not defined.
16.1.3 Báo cáo các điểm yếu an tồn thơng tin ........................... Error! Bookmark not defined.
16.1.4 Đánh giá và quyết định về sự cố an toàn thơng tin ........... Error! Bookmark not defined.
16.1.5 Ứng phó sự cố an tồn thơng tin ...................................... Error! Bookmark not defined.
16.1.6 Rút bài học kinh nghiệm từ các sự cố an tồn thơng tin.... Error! Bookmark not defined.
16.1.7 Thu thập chứng cứ ........................................................... Error! Bookmark not defined.
17

Các khía cạnh an tồn thông tin của quản lý nghiệp vụ liên tục .. Error! Bookmark not defined.

17.1

An tồn thơng tin liên tục ......................................................... Error! Bookmark not defined.

17.1.1 Lập kế hoạch an tồn thơng tin liên tục............................. Error! Bookmark not defined.
17.1.2 Thực hiện an tồn thơng tin liên tục .................................. Error! Bookmark not defined.
17.1.3 Xác minh, xem xét và đánh giá an tồn thơng tin liên tục.. Error! Bookmark not defined.

17.2

Sự dư thừa ............................................................................. Error! Bookmark not defined.

17.2.1 Tính sẵn sang của phương tiện xử lý thông tin ................. Error! Bookmark not defined.
18

Sự tuân thủ ....................................................................................... Error! Bookmark not defined.

18.1

Sự tuân thủ các yêu cầu pháp lý và hợp đồng ........................ Error! Bookmark not defined.

18.1.1 Xác định các điều luật áp dụng và yêu cầu hợp đồng ....... Error! Bookmark not defined.
18.1.2 Quyền sở hữu trí tuệ......................................................... Error! Bookmark not defined.
18.1.3 Bảo vệ các hồ sơ .............................................................. Error! Bookmark not defined.
18.1.4 Bảo mật riêng tư và bảo vệ thông tin cá nhân................... Error! Bookmark not defined.
18.1.5 Qui định về quản lý mã hóa .............................................. Error! Bookmark not defined.

8


TCVN xxx:2015
18.2

Xem xét về an tồn thơng tin .................................................. Error! Bookmark not defined.

18.2.1 Xem xét độc lập về an toàn thông tin ................................ Error! Bookmark not defined.
18.2.2 Sự tuân thủ các tiêu chuẩn và chính sách an tồn ........... Error! Bookmark not defined.
18.2.3 Đánh giá sự tương thích kỹ thuật ..................................... Error! Bookmark not defined.

Thư mục tài liệu tham khảo...................................................................... Error! Bookmark not defined.

9


TCVN xxx:2010
Lời nói đầu

TCVN xxx:2015 được xây dựng trên cơ sở chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC
27002:2013 của Tổ chức tiêu chuẩn hóa quốc tế ISO và Ủy ban kỹ thuật điện quốc tế IEC.
TCVN xxx:2015 do Viện Công nghệ thông tin, Đại học Quốc gia Hà nội biên soạn, Bộ Thông tin và
Truyền thông đề nghị,Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công
nghệ tiết lộ theo Quyết định số.....

10


TCVN xxx:2015

11


TCVN xxx:2010
TIÊU CHUẨN QUỐC GIA

TCVN XXX:2015

Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành
quản lý an tồn thơng tin
Information technology – Security techniques – Code of practice for infomation security

management

Phạm vi áp dụng

1

Tiêu chuẩn này đưa ra hướng dẫn cho các tiêu chuẩn an tồn thơng tin cho tổ chức và thực hành quản
lý an tồn thơng tin bao gồm các lựa chọn, thực hiện và quản lý các kiểm sốt có tính đến mơi trường
rủi ro an tồn thơng tin của các tổ chức.
Tiêu chuẩn này được thiết kế để được sử dụng bởi các tổ chức có ý định:
a) chọn lựa các kiểm sốt trong q trình thực hiện một hệ thống quản lý an tồn thơng tin dựa trên
tiêu chuẩn ISO/IEC 27001; [10]
b) thực hiện các kiểm sốt an tồn thơng tin được chấp nhận chung;
c) phát triển các hướng dẫn quản lý an tồn thơng tin của riêng mình.

2

Tiêu chuẩn viện dẫn

Tiêu chuẩn này tham chiếu …
Các tài liệu sau đây, toàn bộ hoặc một phần, được tham chiếu trong tài liệu này và là không thể thiếu
cho các ứng dụng của nó. Đối với tài liệu ghi thời gian, chỉ áp dụng các phiên bản được trích dẫn. Đối
với tài liệu không ghi thời gian, các phiên bản mới nhất của các tài liệu tham chiếu (bao gồm cả các
sửa đổi) được áp dụng.
ISO / IEC 27000, Công nghệ thơng tin - Kỹ thuật an tồn – Hệ thống quản lý an tồn thơng tin - Tổng
quan và từ vựng

3

Thuật ngữ và định nghĩa


Đối với các mục đích của tài liệu này, các thuật ngữ và định nghĩa trong ISO/IEC 27000 được áp dụng.

12