TCVN

TIÊU CHUẨN QUỐC GIA

TCVN ISO/IEC 27011:201x
ISO/IEC 27011:2008
Xuất bản lần 1

CÔNG NGHỆ THƠNG TIN – CÁC KỸ THUẬT AN TỒN –
HƯỚNG DẪN QUẢN LÝ AN TỒN THƠNG TIN CHO CÁC
TỔ CHỨC VIỄN THÔNG DỰA TRÊN ISO/IEC 27002

Information technology — Security techniques — Information security management
guidelines for telecommunications organizations based on ISO/IEC 27002

HÀ NỘI – 201x

3



Mục lục
1

Phạm vi áp dụng.............................................................................................................................11

2

Tài liệu viện dẫn..............................................................................................................................11

3

Định nghĩa và danh mục từ viết tắt..............................................................................................11

4

Tổng quan.......................................................................................................................................15

5

Chính sách an tồn thơng tin.......................................................................................................20

6

Tổ chức đảm bảo an tồn thơng tin.............................................................................................20
6.1

6.2

7

Tổ chức nội bộ..........................................................................................................................20
6.1.1

Cam kết của ban quản lý về đảm bảo an tồn thơng tin...................................................20

6.1.2

Phối hợp đảm bảo an tồn thơng tin..................................................................................20

6.1.3


Phân định trách nhiệm đảm bảo an tồn thơng tin............................................................20

6.1.4

Quy trình cấp phép cho phương tiện xử lý thông tin.........................................................20

6.1.5

Các thỏa thuận về bảo mật................................................................................................20

6.1.6

Liên lạc với cơ quan chức năng.........................................................................................22

6.1.7

Liên lạc với các nhóm chun gia......................................................................................22

6.1.8

Sốt xét độc lập về an tồn thơng tin.................................................................................22

Các bên tham gia bên ngồi.....................................................................................................23
6.2.1

Xác định các rủi ro liên quan đến các bên tham gia bên ngoài.........................................23

6.2.2


Chỉ rõ vấn đề an toàn khi làm việc với khách hàng...........................................................23

6.2.3

Chỉ rõ vấn đề an toàn trong các thỏa thuận với bên thứ ba..............................................25

Quản lý tài sản................................................................................................................................28
7.1

7.2

Trách nhiệm đối với tài sản.......................................................................................................28
7.1.1

Kiểm kê tài sản...................................................................................................................28

7.1.2

Quyền sở hữu tài sản.........................................................................................................30

7.1.3

Sử dụng hợp lý tài sản.......................................................................................................30

Phân loại thông tin....................................................................................................................30
7.2.1

Hướng dẫn phân loại.........................................................................................................31

7.2.2


Gắn nhãn và xử lý thông tin...............................................................................................32

3


8

Đảm bảo an tồn thơng tin từ nguồn nhân lực..........................................................................32
8.1

Trước khi sử dụng nhân sự......................................................................................................32
8.1.1

Các vai trò và trách nhiệm.................................................................................................32

8.1.2

Thẩm tra.............................................................................................................................33

8.1.3

Điều khoản và điều kiện sử dụng nhân sự........................................................................34

8.2

Trong thời gian làm việc............................................................................................................36

8.3


Chấm dứt hoặc thay đổi công việc...........................................................................................36

9

Đảm bảo an tồn vật lý và mơi trường........................................................................................36
9.1

Các khu vực an tồn.................................................................................................................36
9.1.1

Vành đai an tồn vật lý.......................................................................................................36

9.1.2

Kiểm sốt ra vào.................................................................................................................38

9.1.3

Bảo vệ các văn phòng, phòng làm việc và vật dụng.........................................................39

9.1.4

Bảo vệ chống lại các mối đe dọa từ bên ngoài và từ mơi trường.....................................39

9.1.5

Làm việc trong các khu vực an tồn..................................................................................39

9.1.6


Các khu vực truy nhập tự do, phân phối và tập kết hàng.................................................39

9.2

10

Đảm bảo an tồn trang thiết bị.................................................................................................39
9.2.1

Bố trí và bảo vệ thiết bị.......................................................................................................39

9.2.2

Các tiện ích hỗ trợ..............................................................................................................40

9.2.3

An tồn cho dây cáp...........................................................................................................42

9.2.4

Bảo dưỡng thiết bị..............................................................................................................42

9.2.5

An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức...........................................42

9.2.6

An toàn khi loại bỏ hoặc tái sử dụng thiết bị......................................................................42


9.2.7

Di dời tài sản.......................................................................................................................42

Quản lý truyền thơng và vận hành...............................................................................................42

10.1

4

Các quy trình và trách nhiệm vận hành....................................................................................42

10.1.1

Văn bản hóa các thủ tục vận hành....................................................................................42

10.1.2

Quản lý thay đổi..................................................................................................................43

10.1.3

Phân tách nhiệm vụ............................................................................................................44


10.1.4

Phân tách các trang thiết bị phát triển, kiểm thử và vận hành..........................................44


10.2

Quản lý chuyển giao dịch vụ của bên thứ ba...........................................................................46

10.3

Lập kế hoạch và chấp nhận hệ thống......................................................................................46

10.4

Bảo vệ chống lại mã độc và mã di động...................................................................................46

10.4.1

Quản lý chống lại mã độc...................................................................................................46

10.4.2

Kiểm soát các mã di động..................................................................................................46

10.5

Sao lưu......................................................................................................................................47

10.6

Quản lý an tồn mạng...............................................................................................................47

10.6.1


Kiểm sốt mạng..................................................................................................................47

10.6.2

An tồn cho các dịch vụ mạng...........................................................................................47

10.7

Xử lý phương tiện.....................................................................................................................48

10.8

Trao đổi thông tin......................................................................................................................48

10.9

Các dịch vụ thương mại điện tử...............................................................................................48

10.10

Giám sát.................................................................................................................................49

10.10.1 Ghi nhật ký..........................................................................................................................49
10.10.2 Giám sát sử dụng hệ thống................................................................................................50
10.10.3 Bảo vệ các thông tin nhật ký..............................................................................................50
10.10.4 Nhật ký của người điều hành và người quản trị................................................................50
10.10.5 Ghi nhật ký lỗi.....................................................................................................................50
10.10.6 Đồng bộ thời gian...............................................................................................................50
11


Kiểm soát truy nhập.......................................................................................................................50
11.1

u cầu nghiệp vụ đối với kiểm sốt truy nhập.......................................................................50

11.1.1

Chính sách kiểm soát truy nhập.........................................................................................51

11.2

Quản lý truy nhập người dùng..................................................................................................52

11.3

Trách nhiệm của người dùng....................................................................................................52

11.4

Kiểm soát truy nhập mạng........................................................................................................52

11.5

Kiểm soát truy nhập hệ điều hành............................................................................................52

11.6

Kiểm sốt truy nhập thơng tin và ứng dụng.............................................................................52

5



11.7
12

Tiếp nhận, phát triển và duy trì các hệ thống thơng tin............................................................53

12.1

u cầu đảm bảo an tồn cho các hệ thống thông tin.............................................................53

12.2

Xử lý đúng trong các ứng dụng................................................................................................53

12.3

Các biện pháp mật mã..............................................................................................................53

12.4

Đảm bảo an toàn cho các tệp tin hệ thống...............................................................................53

12.4.1

Kiểm soát các phần mềm điều hành..................................................................................53

12.4.2

Bảo vệ dữ liệu kiểm tra hệ thống.......................................................................................54


12.4.3

Kiểm soát truy nhập đến mã nguồn chương trình.............................................................54

12.5

Đảm bảo an tồn trong các quy trình hỗ trợ và phát triển.......................................................55

12.6

Quản lý các điểm yếu kỹ thuật..................................................................................................55

13

Quản lý các sự cố an tồn thơng tin............................................................................................55

13.1

14

Báo cáo sự kiện an tồn thơng tin.....................................................................................55

13.1.2

Báo cáo điểm yếu về bảo mật............................................................................................57

Quản lý các sự cố an tồn thơng tin và các cải tiến.................................................................57

13.2.1


Trách nhiệm và thủ tục.......................................................................................................57

13.2.2

Rút kinh nghiệm từ các sự cố an tồn thơng tin................................................................60

13.2.3

Thu thập các chứng cứ......................................................................................................60

Quản lý tính liên tục của hoạt động nghiệp vụ...........................................................................61

14.1

15

Báo cáo các sự kiện an tồn thơng tin và các điểm yếu..........................................................55

13.1.1

13.2

6

Tính tốn di động và làm việc từ xa..........................................................................................52

Khía cạnh an tồn thơng tin của quản lý tính liên tục của hoạt động nghiệp vụ.....................61

14.1.1


An tồn thơng tin trong q trình quản lý tính liên tục của hoạt động nghiệp vụ..............61

14.1.2

Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức..............................................62

14.1.3

Xây dựng và thực hiện các kế hoạch về tính liên tục bao gồm cả vấn đề an tồn thơng

tin

62

14.1.4

Khung hoạch định sự liên tục trong hoạt động nghiệp vụ.................................................64

14.1.5

Thử nghiệm, duy trì và đánh giá lại các kế hoạch đảm bảo liên tục nghiệp vụ................64

Sự phù hợp.....................................................................................................................................64


PHỤ LỤC A (Quy định) Bộ qui tắc mở rộng dành cho viễn thông.....................................................65
PHỤ LỤC B (Tham khảo) Hướng dẫn thực hiện bổ sung...................................................................77
Thư mục tài liệu tham khảo.......................................................................................................................80


7


Lời nói đầu
TCVN ISO/IEC 27011:20xx hồn tồn tương đương với ISO/IEC 27011:2008,
Information technology - Security techniques - Information security management
guidelines for telecommunications organizations based on ISO/IEC 27002, được
soạn thảo bởi Ủy ban Kỹ thuật Liên hiệp ISO/IEC JTC1, Công nghệ thơng tin,
Tiểu ban SC 27, Kỹ thuật an tồn phối hợp cùng ITU-T.
TCVN ISO/IEC 27011:20xx do Học viện Công nghệ Bưu chính Viễn thơng biên
soạn, Bộ Thơng tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất
lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

8


TCVN ISO/IEC 27011:201x

TIÊU CHUẨN QUỐC GIA

TCVN ISO/IEC 27011:201x

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG
DẪN QUẢN LÝ AN TỒN THƠNG TIN CHO CÁC TỔ CHỨC VIỄN
THƠNG DỰA TRÊN ISO/IEC 27002
Information technology — Security techniques — Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002
Giới thiệu
Tiêu chuẩn này hướng dẫn triển khai và quản lý an tồn thơng tin trong các tổ chức viễn thơng dựa
trên TCVN ISO/IEC 27002:2011 (Quy tắc thực hành quản lý an tồn thơng tin). Bên cạnh các mục tiêu

và biện pháp an tồn thơng tin đã được trình bày trong TCVN ISO/IEC 27002:2011, các tổ chức viễn
thông cần phải xem xét các đặc tính sau đây:
1) Tính bí mật
Thơng tin liên quan tới các tổ chức viễn thông cần được bảo vệ nhằm tránh bị tiết lộ trái phép.
Tính bí mật bao hàm tính khơng tiết lộ về sự tồn tại, nội dung, nguồn, đích của truyền thơng và
ngày giờ thơng tin được trao đổi.
Tổ chức viễn thông phải đảm bảo rằng tính khơng tiết lộ truyền thơng của các truyền thông mà
họ đang xử lý không bị xâm phạm. Những người có liên quan tới tổ chức viễn thơng cần giữ
bí mật bất cứ thơng tin nào mà họ có thể đã biết trong quá trình làm việc.
GHI CHÚ – Thuật ngữ “bí mật truyền thơng” được sử dụng thay thế “tính khơng tiết lộ truyền thơng” tại một số quốc
gia.

2) Tính tồn vẹn
Việc lắp đặt và sử dụng các trang thiết bị viễn thơng cần phải được kiểm sốt, đảm bảo tính
xác thực, độ chính xác và hồn thiện của thông tin được truyền đi, chuyển tiếp hoặc tiếp nhận
bởi hữu tuyến, vô tuyến hay bất cứ phương pháp nào khác.
3) Tính sẵn sàng
Chỉ nên cấp quyền truy nhập tới các thông tin, trang thiết bị và phương tiện viễn thông dành
cho việc cung cấp các dịch vụ truyền thơng khi cần thiết, cho dù đó là hữu tuyến, vô tuyến hay
bất cứ phương thức nào khác. Để tăng cường tính sẵn sàng, các tổ chức viễn thơng cần cấp

9


quyền ưu tiên cho các truyền thông trọng yếu trong trường hợp khẩn cấp, và phải tuân theo
các yêu cầu pháp luật.
Tổ chức viễn thông cần phải thực hiện quản lý an tồn thơng tin bất kể sử dụng cơng nghệ nào như
hữu tuyến, vô tuyến hoặc công nghệ băng rộng. Nếu việc quản lý an tồn thơng tin khơng được thực
hiện một cách thỏa đáng, mức độ ảnh hưởng của các nguy cơ đối với viễn thơng về tính bảo mật, tính
tồn vẹn và sẵn sàng có thể gia tăng.

Các tổ chức viễn thơng có chức năng cung cấp các dịch vụ viễn thông bằng cách cung cấp truyền
thông trung gian cho các bên khác thông qua trang thiết bị của mình. Bởi thế, cần tính tới việc các
trang thiết bị xử lý thông tin của tổ chức viễn thông không chỉ được truy nhập và sử dụng bởi nhân viên
và nhà thầu của chính họ mà cịn bởi rất nhiều người dùng khác bên ngoài tổ chức.
Nhằm cung cấp các dịch vụ viễn thông, các tổ chức viễn thông cần kết nối hoặc chia sẻ các dịch vụ và
trang thiết bị viễn thông của họ, và/hoặc sử dụng các dịch vụ và trang thiết bị của các tổ chức viễn
thơng khác. Bởi thế, việc quản lý an tồn thơng tin trong các tổ chức viễn thơng là có phụ thuộc lẫn
nhau và có thể bao hàm bất cứ hoặc tất cả hạ tầng mạng, ứng dụng dịch vụ và các trang thiết bị khác.
Các tổ chức viễn thông cần thực hiện các biện pháp phù hợp nhằm đảm bảo tính bí mật, tính tồn vẹn,
tính sẵn sàng và bất cứ đặc tính an tồn nào khác của viễn thông, bất chấp quy mô hoạt động, vùng
dịch vụ hay loại dịch vụ.
Đối tượng
Tiêu chuẩn này cung cấp cho các tổ chức viễn thơng, và những người có trách nhiệm đảm bảo an tồn
thơng tin; cùng với các nhà cung cấp thiết bị an ninh, kiểm toán, các nhà cung cấp thiết bị đầu cuối viễn
thông một bộ tổng quát các mục tiêu kiểm sốt an tồn thơng tin dựa trên TCVN ISO/IEC 27002:2011,
các biện pháp đặc thù cho viễn thơng, cùng với các hướng dẫn quản lý an tồn thông tin cho phép lựa
chọn và thực hiện những biện pháp như vậy.

10


TCVN ISO/IEC 27011:201x

1

Phạm vi áp dụng

Tiêu chuẩn này thiết lập các hướng dẫn và nguyên tắc chung cho công tác quản lý an tồn thơng tin
trong các tổ chức viễn thông.
Việc tuân thủ tiêu chuẩn này sẽ giúp các tổ chức viễn thơng thỏa mãn các địi hỏi cơ bản về tính bí

mật, tính tồn vẹn, sẵn sàng và các đặc tính an tồn khác trong quản lý an tồn thông tin.
2

Tài liệu viện dẫn

Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi
năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn khơng ghi năm cơng bố thì
áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).
TCVN ISO/IEC 27001:2009, Cơng nghệ thơng tin - Hệ thống quản lý an tồn thơng tin – Các yêu cầu.
TCVN ISO/IEC 27002:2011, Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý
an tồn thơng tin.
3

Định nghĩa và danh mục từ viết tắt

3.1

Định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN ISO/IEC 27002. Ngoài ra, các
định nghĩa sau đây cũng được áp dụng:
3.1.1
Bản ghi viễn thông (telecommunication record)
Thông tin về các bên liên quan tới một liên lạc ngoại trừ nội dung của liên lạc đó, và thời gian, độ dài
của liên lạc.
3.1.2
Cuộc gọi ưu tiên (priority call)
Liên lạc viễn thông được khởi tạo từ những thiết bị đầu cuối nhất định trong các trường hợp khẩn cấp,
cần được xử lý với mức ưu tiên bằng cách giới hạn các cuộc gọi công cộng. Những thiết bị đầu cuối đó
có thể có trong các dịch vụ khác nhau (VoIP, thoại trên mạng PSTN, luồng dữ liệu IP,...) cả với các

mạng dây và mạng không dây.
3.1.3
Dịch vụ viễn thông (telecommunications service)
Các truyền thông sử dụng trang thiết bị viễn thông, hoặc bất cứ phương tiện cung cấp truyền thông
giữa các người dùng dịch vụ viễn thông hoặc giữa các khách hàng dịch vụ viễn thông.
3.1.4

11


Khách hàng dịch vụ viễn thông (telecommunications service customer)
Cá nhân hoặc tổ chức tham gia hợp đồng với tổ chức viễn thông để được cung cấp các dịch vụ viễn
thông.
3.1.5
Nghiệp vụ viễn thông (telecommunications business)
Nghiệp vụ để cung cấp các dịch vụ viễn thông nhằm đáp ứng nhu cầu của các bên khác.
3.1.6
Người dùng (user)
Cá nhân hoặc tổ chức sử dụng các trang thiết bị hoặc hệ thống xử lý thông tin, chẳng hạn như nhân
viên, nhà thầu hoặc người dùng bên thứ ba.
3.1.7
Người sử dụng dịch vụ viễn thông (telecommunications service user)
Người hoặc tổ chức sử dụng các dịch vụ viễn thông.
3.1.8
Phối hợp địa điểm (collocation)
Việc lắp đặt các trang thiết bị viễn thông trong phạm vi quản lý của các tổ chức viễn thơng khác.
3.1.9
Phịng thiết bị viễn thơng (telecommunications equipment room)
Một phần của tịa nhà chẳng hạn như một phòng nơi đặt các thiết bị phục vụ cho hoạt động viễn thông.
3.1.10

Thông tin cá nhân (personal information)
Thông tin về một cá nhân có thể được dùng để xác định cá nhân đó. Những thơng tin cụ thể sẽ được
quy định trong luật pháp của quốc gia.
3.1.11
Tính khơng tiết lộ truyền thông (non-disclosure of communications)
Những người liên quan tới tổ chức viễn thông khi xử lý các truyền thơng khơng được phép tiết lộ các
đặc tính của truyền thơng đó như sự tồn tại, nội dung, nguồn, đích và ngày giờ của thông tin được
truyền thông.
3.1.12
Tổ chức viễn thông (telecommunications organization)

12


TCVN ISO/IEC 27011:201x
Tổ chức cung cấp các dịch vụ viễn thơng nhằm đáp ứng địi hỏi của các bên khác.
3.1.13
Trang thiết bị đầu cuối (terminal facilities)
Trang thiết bị viễn thông kết nối vào một đầu của đường truyền viễn thông và tất cả các phần của
chúng được lắp đặt trong cùng một cơ sở (bao gồm các khu vực được xem như trong cùng một cơ
sở), hoặc trong cùng một tịa nhà.
3.1.14
Trang thiết bị viễn thơng (telecommunications facilities)
Máy móc, thiết bị, dây và cáp, tòa nhà và các trang thiết bị điện khác phục vụ cho hoạt động của hệ
thống viễn thơng.
3.1.15
Trung tâm truyền thơng (communication centre)
Tịa nhà nơi đặt các trang thiết bị nhằm cung cấp dịch vụ viễn thơng.
3.1.16
Truyền thơng trọng yếu (essential communications)

Truyền thơng có nội dung cần thiết cho cơng tác phịng chống hoặc khắc phục thảm họa, cho duy trì
vận tải, thơng tin liên lạc hoặc cung cấp điện, hoặc cho việc duy trì trật tự xã hội.
3.1.17
Ứng dụng viễn thông (telecommunications application)
Các ứng dụng như e-mail được truy nhập bởi người sử dụng đầu cuối và được xây dựng dựa trên các
dịch vụ hệ thống.

13


3.2

Danh mục các từ viết tắt

ADSL

Asymmetric Digital Subscriber Line

Đường thuê bao số không đối xứng

ASP

Application Service Provider

Nhà cung cấp dịch vụ ứng dụng

CATV

Community Antenna Television


Truyền hình cáp hữu tuyến

CERT

Computer Emergency Response Team

Đội ứng cứu khẩn cấp máy tính

DDoS

Distributed Denial of Service

Từ chối dịch vụ phân tán

DNS

Domain Name System

Hệ thống tên miền DNS

DoS

Denial of Service

Từ chối dịch vụ

ISAC

Information Sharing and Analysis Centre


Trung tâm chia sẻ và phân tích thơng tin

ISMS

Information

Hệ thống quản lý an tồn thơng tin

Security

Management

System
NGN

Next Generation Network

Mạng thế hệ sau

NMS

Network Management System

Hệ thống quản lý mạng

OAM&P

Operations, Administration, Maintenance Vận hành, quản lý, bảo trì và dự phịng
and Provisioning


PIN

Personal Identification Number

Mã số nhận dạng cá nhân

PSTN

Public Switched Telephone Network

Mạng điện thoại chuyển mạch công cộng
– Mạng PSTN

SIP

Session Initiation Protocol

Giao thức khởi tạo phiên

SLA

Service Level Agreement

Cam kết chất lượng dịch vụ

SOA

Statement of Applicability

Tuyên bố áp dụng


UPS

Uninterruptible Power Supply

Bộ lưu điện

URL

Uniform Resource Locator

Định vị tài nguyên thống nhất

VoIP

Voice over Internet Protocol

Thoại theo giao thức IP

14


TCVN ISO/IEC 27011:201x

4

Tổng quan

4.1


Cấu trúc của tài liệu

Tiêu chuẩn này được trình bày trong định dạng tương tự với TCVN ISO/IEC 27002. Trong những
trường hợp khi mục tiêu và các biện pháp được định ra trong TCVN ISO/IEC 27002 có thể áp dụng
vào tiêu chuẩn này mà khơng cần có thơng tin gì thêm thì sẽ chỉ nêu các phần viện dẫn tương ứng
trong TCVN ISO/IEC 27002. Các biện pháp quản lý và hướng dẫn thực hiện mang tính đặc thù cho
viễn thơng được trình bày trong phụ lục A (quy định).
Trong những trường hợp khi các biện pháp quản lý cần có thêm hướng dẫn bổ sung đặc thù cho viễn
thông, mục tiêu và các biện pháp quản lý được định ra trong TCVN ISO/IEC 27002 sẽ được giữ
nguyên khơng sửa đổi, theo sau đó là những hướng dẫn đặc thù cho viễn thông liên quan đến biện
pháp quản lý đó. Thơng tin và các hướng dẫn đặc thù trong lĩnh vực viễn thông bao gồm các điều sau
đây:
-

Tổ chức an tồn thơng tin (điều 6)

-

Quản lý tài sản (điều 7)

-

Đảm bảo an tồn thơng tin từ nguồn nhân lực (điều 8)

-

Đảm bảo an tồn vật lý và mơi trường (điều 9)

-


Quản lý truyền thông và vận hành (điều 10)

-

Kiểm soát truy nhập (điều 11)

-

Tiếp nhận, phát triển và duy trì các hệ thống thơng tin (điều 12)

-

Quản lý các sự cố an tồn thơng tin (điều 13)

-

Quản lý tính liên tục của hoạt động nghiệp vụ (điều 14)

4.2
4.2.1

Các hệ thống quản lý an tồn thơng tin trong viễn thông
Mục tiêu

Thông tin, giống như các tài sản khác của tổ chức, là một thành tố quan trọng đóng góp vào việc kinh
doanh của tổ chức. Thơng tin có thể được in hoặc viết ra giấy, lưu trữ điện tử, vận chuyển bằng thư,
liên lạc điện tử, trình chiếu trên phim, hoặc được nói ra trong các cuộc hội thoại. Bất kể ở hình thái
hoặc chức năng nào của thơng tin, hoặc phương thức, phương tiện nào để chia sẻ hoặc lưu giữ, thông
tin luôn luôn cần phải được bảo vệ một cách phù hợp.
Các tổ chức và hệ thống thông tin và mạng lưới của họ phải đối mặt với các nguy cơ an tồn thơng tin

từ rất nhiều nguồn khác nhau, bao gồm lừa đảo có hỗ trợ của máy tính, gián điệp thơng tin, phá hoại,

15


rị rỉ thơng tin, động đất, hỏa hoạn, lũ lụt. Những nguy cơ an tồn này có thể khởi phát từ bên trong hay
bên ngồi tổ chức viễn thơng và làm tổn hại tới tổ chức.
Khi đã xảy ra vi phạm về an tồn thơng tin, chẳng hạn khi có xâm nhập trái phép vào hệ thống xử lý
thông tin của một hệ thống, tổ chức có thể sẽ bị tổn hại. Chính vì thế, các tổ chức cần coi trọng đảm
bảo an tồn thơng tin bằng cách khơng ngừng cải thiện hệ thống quản lý an tồn thơng tin (ISMS) của
tổ chức tuân thủ với TCVN ISO/IEC 27001.
Hiệu quả an tồn thơng tin sẽ đạt được bằng cách thực hiện tập hợp các biện pháp quản lý phù hợp
dựa trên những biện pháp được đề cập tới trong tiêu chuẩn này. Các biện pháp quản lý này cần được
thiết lập, thực hiện, giám sát, xem xét đánh giá và cải tiến đối với các trang thiết bị, dịch vụ và ứng
dụng viễn thông. Việc triển khai thành công các biện pháp kiểm sốt an tồn sẽ giúp đạt được các địi
hỏi an tồn tốt hơn và đạt được các mục tiêu kinh doanh của tổ chức.
Các tổ chức viễn thơng có trang thiết bị được sử dụng bởi nhiều người dùng khác nhau để xử lý thông
tin như dữ liệu cá nhân, dữ liệu mật và dữ liệu kinh doanh cần coi trọng việc kiểm sốt các thơng tin
này và áp dụng các mức độ bảo vệ thích hợp.
Tóm lại, các tổ chức viễn thông cần thiết lập và không ngừng cải thiện ISMS tổng thể nhằm đảm bảo
các biện pháp an tồn thích hợp ln được duy trì.
4.2.2

Những điều cần chú ý về an tồn thơng tin trong viễn thơng

u cầu cho các khung an tồn thơng tin chung trong viễn thông nảy sinh từ những nguyên nhân khác
nhau:
a) Khách hàng/thuê bao cần có sự tin tưởng vào hệ thống và các dịch vụ được cung cấp, bao
gồm cả tính sẵn sàng của dịch vụ (nhất là các dịch vụ khẩn) trong trường hợp có những thảm
họa lớn;

b) Các nhà chức trách yêu cầu đảm bảo an toàn thông tin bằng các chỉ thị, quy định và luật, nhằm
đảm bảo tính sẵn sàng của dịch vụ, cạnh tranh cơng bằng và bảo vệ tính riêng tư;
c) Bản thân các nhà vận hành mạng và các nhà cung cấp dịch vụ cần an tồn thơng tin để đảm
bảo các lợi ích vận hành và kinh doanh của họ, và thực hiện nghĩa vụ của họ đối với khách
hàng và xã hội.
Thêm vào đó, các tổ chức viễn thơng cần cân nhắc những sự cố môi trường và vận hành sau đây:
a) Các dịch vụ viễn thông phụ thuộc rất nhiều vào vô số trang thiết bị kết nối lẫn nhau, chẳng hạn
như các bộ định tuyến, chuyển mạch, hệ thống máy chủ tên miền (DNS), các hệ thống tiếp
phát, truyền dẫn và hệ thống quản lý mạng (NMS). Bởi vậy, các sự cố an tồn có thể xảy ra với
nhiều trang thiết bị và các sự cố đó có thể lan truyền rất nhanh chóng qua hệ thống vào các
trang thiết bị khác;

16


TCVN ISO/IEC 27011:201x
b) Bên cạnh các trang thiết bị viễn thông, các lỗ hổng trong các giao thức và tôpô mạng có thể dẫn
tới các sự cố mạng nghiêm trọng. Đặc biệt, sự hội tụ của các mạng dây và khơng dây có thể
đặt ra các thách thức lớn đối với việc phát triển những giao thức có khả năng tương vận;
c) Một điểm quan ngại lớn của các tổ chức viễn thông là khả năng gián đoạn hệ thống khi an tồn
thơng tin bị xâm phạm. Việc gián đoạn hệ thống như thế sẽ gây ra tổn thất lớn trong mối quan
hệ với khách hàng, suy giảm doanh thu và tốn chi phí cho việc phục hồi. Những cuộc tấn cơng
chủ đích nhằm vào tính sẵn sàng của hạ tầng viễn thơng quốc gia có thể được xem là nguy cơ
an ninh quốc gia;
d) Các mạng và hệ thống quản lý viễn thơng dễ có nguy cơ bị tin tặc thâm nhập. Một động lực phổ
biến cho các thâm nhập đó là việc ăn cắp các dịch vụ viễn thơng. Việc đánh cắp đó có thể được
thực hiện theo rất nhiều cách thức, chẳng hạn như kích hoạt các chức năng chẩn đoán kiểm
soát hoạt động ghi cước, thay đổi các cơ sở dữ liệu sắp đưa vào sử dụng và nghe lén cuộc gọi
của các thuê bao;
e) Bên cạnh các thâm nhập từ bên ngoài, các nhà mạng cịn lo ngại về các xâm phạm an tồn

thơng tin từ các nguồn bên trong, chẳng hạn những thay đổi không hợp lệ đối với các cơ sở dữ
liệu quản trị hệ thống hoặc cấu hình hệ thống được tiến hành bởi những cá nhân khơng có
thẩm quyền. Những sự việc như thế có thể là vơ tình hay cố ý.
Nhằm bảo vệ các tài sản thông tin viễn thông khỏi nhiều nguồn khác nhau trong những môi trường viễn
thông khác nhau, nhất thiết phải có các hướng dẫn an tồn cho viễn thơng để hỗ trợ việc thực hiện
quản lý an tồn thơng tin trong các tổ chức viễn thơng.
Các hướng dẫn an tồn cần phải được áp dụng cho:
a) Các tổ chức viễn thông muốn đạt được ưu thế cạnh tranh thông qua việc triển khai hệ thống
quản lý an tồn thơng tin;
b) Các tổ chức viễn thơng muốn đảm bảo thỏa mãn các yêu cầu an toàn thông tin của các đối
tượng quan tâm của họ (chẳng hạn như các nhà cung cấp, khách hàng, các cơ quan quản lý);
c) Người dùng và các nhà cung cấp các sản phẩm và dịch vụ liên quan đến an tồn thơng tin cho
ngành cơng nghiệp viễn thơng;
d) Những đối tượng trong hoặc ngồi tổ chức viễn thơng, những người sẽ đánh giá và kiểm định
hệ thống quản lý an tồn thơng tin xem có tn thủ với các u cầu của TCVN ISO/IEC 27001
hay không;
e) Những đối tượng trong hoặc ngồi tổ chức viễn thơng, những người sẽ tư vấn hoặc đào tạo về
hệ thống quản lý an toàn thơng tin phù hợp với tổ chức đó.

17


4.2.3

Các tài sản thông tin được bảo vệ

Để thiết lập quản lý an tồn thơng tin, một điều quan trọng là tổ chức cần phải làm rõ và xác định tất
cả các tài sản của tổ chức. Việc làm rõ các thuộc tính và độ quan trọng của các tài sản sẽ cho phép
thực hiện các biện pháp phù hợp.
Các tài sản thông tin mà tổ chức viễn thông cần bảo vệ được trình bày trong 7.1.1 Kiểm kê tài sản.

4.2.4

Thiết lập quản lý an tồn thơng tin

4.2.4.1 Cách thức xác lập các u cầu an tồn thơng tin
Một điều trọng yếu đối với các tổ chức viễn thông là xác định các u cầu an tồn của họ. Có ba nguồn
chính đối với các u cầu an tồn như sau:
a) Những điều được rút ra từ việc đánh giá rủi ro đối với một nhà mạng viễn thơng, có xem xét
đến tổng thể chiến lược và các mục đích kinh doanh của nhà mạng đó. Thơng qua việc đánh
giá rủi ro sẽ xác định được các nguy cơ đối với tài sản, đánh giá được các điểm yếu và khả
năng xảy ra của các nguy cơ đó, và dự trù được tác hại;
b) Luật, quy chế, quy định, và các yêu cầu hợp đồng mà các tổ chức viễn thơng phải tn theo,
cùng với mơi trường văn hóa, xã hội. Ví dụ của các yêu cầu pháp luật đối với các tổ chức viễn
thơng là tính khơng tiết lộ truyền thông (A.15.1.7) và đảm bảo các truyền thông trọng yếu
(A.15.1.8). Ví dụ về các u cầu văn hóa, xã hội là đảm bảo tính tồn vẹn của viễn thơng, phát,
chuyển tiếp và nhận bằng bất cứ phương tiện nào, tính sẵn sàng của các trang thiết bị viễn
thơng đối với những người có chức năng, và khơng gây hại đối với các trang thiết bị viễn thông
khác;
c) Những bộ quy tắc, mục tiêu và yêu cầu công việc đối với việc xử lý thông tin mà nhà mạng viễn
thông đã xây dựng nên để hỗ trợ cho hoạt động của mình.
4.2.4.2 Đánh giá rủi ro an tồn thơng tin
Các yêu cầu an toàn được xác định bằng việc đánh giá các rủi ro một cách khoa học. Cần cân đối giữa
chi phí thực hiện các biện pháp với các tổn thất có thể xảy ra với việc kinh doanh do việc khơng đảm
bảo an tồn. Kết quả của việc đánh giá rủi ro sẽ giúp định hướng và xác định hoạt động quản lý phù
hợp và mức ưu tiên cho việc quản lý các nguy cơ an tồn thơng tin và cho việc thực hiện các biện
pháp được lựa chọn để bảo vệ chống lại các nguy cơ đó.
Đánh giá rủi ro cần được lặp lại định kỳ để xử lý bất cứ thay đổi nào có thể ảnh hưởng tới kết quả đánh
giá rủi ro.

18



TCVN ISO/IEC 27011:201x
4.2.4.3 Lựa chọn các biện pháp
Khi đã xác định được các yêu cầu an toàn và các rủi ro và đã quyết định xử lý các rủi ro đó cần lựa
chọn và thực hiện các biện pháp phù hợp nhằm đảm bảo rủi ro được giảm thiểu tới một mức chấp
nhận được.
Tiêu chuẩn này cung cấp các hướng dẫn bổ sung và các biện pháp đặc thù cho viễn thơng bên cạnh
hệ thống quản lý an tồn thơng tin thơng thường, có xem xét tới các địi hỏi đặc thù của viễn thông. Bởi
thế, khuyến nghị tổ chức viễn thông lựa chọn và thực hiện các biện pháp từ tiêu chuẩn này. Thêm vào
đó, các biện pháp mới có thể được thiết lập để thỏa mãn các địi hỏi đặc thù một cách thỏa đáng.
Việc lựa chọn các biện pháp an toàn phụ thuộc vào các quyết định của tổ chức dựa trên các tiêu chí về
việc chấp nhận rủi ro, các lựa chọn xử lý rủi ro, và các bước tiếp cận chung tới việc xử lý rủi ro áp dụng
cho các tổ chức viễn thông, và cũng cần tuân thủ tất cả các luật và quy định tương ứng của quốc gia
và quốc tế.
4.2.4.4 Các yếu tố chính dẫn đến thành cơng
Kinh nghiệm cho thấy các yếu tố sau đây thường đóng vai trị quan trọng với việc thực hiện thành cơng
an tồn thơng tin trong tổ chức:
a) chính sách, các mục tiêu và các hoạt động an tồn thơng tin phản ánh các mục tiêu kinh doanh;
b) cách tiếp cận và cơ chế thực hiện, duy trì, giám sát và tăng cường an tồn thơng tin nhất quán
với văn hóa của tổ chức;
c) các hỗ trợ rõ ràng và cam kết từ tất cả các cấp độ quản lý;
d) kiến thức tốt về các yêu cầu an tồn thơng tin, đánh giá rủi ro và quản lý rủi ro;
e) thực hiện hiệu quả công tác tun truyền về an tồn thơng tin tới tất cả cán bộ quản lý, nhân
viên và các bên khác để đạt được nhận thức tốt về vấn đề;
f)

phát các hướng dẫn về chính sách an tồn thơng tin và các tiêu chuẩn tới tất cả các cán bộ
quản lý, nhân viên và các bên khác;


g) chuẩn bị tốt ngân quỹ cho các hoạt động quản lý an tồn thơng tin;
h) tăng cường nhận thức, huấn luyện và đào tạo;
i)

thiết lập quy trình quản lý sự cố an tồn thơng tin hiệu quả;

j)

triển khai hệ thống đo lường để đánh giá và phản hồi các đề xuất để cải thiện hiệu quả quản lý
an tồn thơng tin.

19


5

Chính sách an tồn thơng tin

Áp dụng mục tiêu kiểm sốt và nội dung trình bày trong điều 4 của TCVN ISO/IEC 27002.
6

Tổ chức đảm bảo an tồn thơng tin

6.1

Tổ chức nội bộ

Mục tiêu: Nhằm quản lý an tồn thơng tin bên trong tổ chức.
Cần thiết lập ban quản lý nhằm khởi tạo và quản lý việc thực hiện an tồn thơng tin trong nội bộ tổ
chức.

Ban quản lý cần thơng qua chính sách an tồn thơng tin, phân định vai trị an tồn, phối hợp và sốt
xét việc thực hiện an tồn thơng tin trong tồn bộ tổ chức.
Nếu cần thiết thì cần thiết lập và duy trì sẵn sàng nguồn hỗ trợ chun mơn về an tồn thơng tin từ
trong nội bộ của tổ chức. Cũng cần thiết lập những mối liên hệ với các nhóm hoặc các chun gia về
an tồn thơng tin ở bên ngồi nhằm có thể theo kịp các xu hướng cơng nghiệp, giám sát các tiêu chuẩn
và các phương pháp đánh giá và đưa ra các điểm vận dụng phù hợp trong quá trình xử lý sự cố an
tồn thơng tin. Cần khuyến khích cách tiếp cận an tồn thơng tin đa chiều.
6.1.1

Cam kết của ban quản lý về đảm bảo an toàn thông tin

Áp dụng biện pháp 5.1.1 của TCVN ISO/IEC 27002.
6.1.2

Phối hợp đảm bảo an tồn thơng tin

Áp dụng biện pháp 5.1.2 của TCVN ISO/IEC 27002.
6.1.3

Phân định trách nhiệm đảm bảo an tồn thơng tin

Áp dụng biện pháp 5.1.3 của TCVN ISO/IEC 27002.
6.1.4

Quy trình cấp phép cho phương tiện xử lý thông tin

Áp dụng biện pháp 5.1.4 của TCVN ISO/IEC 27002.
6.1.5

Các thỏa thuận về bảo mật


Biện pháp quản lý
Cần xác định rõ và thường xuyên soát xét lại các thỏa thuận về bảo mật hoặc không tiết lộ thông tin
phản ánh nhu cầu của tổ chức đối với việc bảo vệ thông tin.
Hướng dẫn triển khai
Các thỏa thuận bảo mật hoặc không tiết lộ cần nêu rõ các yêu cầu bảo mật thơng tin bằng các điều
khoản có ràng buộc pháp lý. Để xác định được các yêu cầu đối với các thỏa thuận bảo mật hoặc không
tiết lộ, cần xem xét các yếu tố sau:

20


TCVN ISO/IEC 27011:201x
a) định nghĩa về thông tin cần được bảo vệ (ví dụ, thơng tin mật);
b) khoảng thời gian dự kiến của thỏa thuận, bao gồm cả các trường hợp yêu cầu bảo mật không
thời hạn;
c) các hoạt động cần được tiến hành khi kết thúc thỏa thuận;
d) các trách nhiệm và hành động của các bên ký kết nhằm tránh tiết lộ thông tin trái phép;
e) quyền sở hữu thơng tin, các bí mật giao dịch và quyền sở hữu trí tuệ, và mối quan hệ của
chúng với việc bảo vệ thông tin mật;
f)

việc được phép sử dụng thông tin mật và các quyền của người ký kết sử dụng thông tin;

g) quyền đánh giá và giám sát các hoạt động liên quan đến thông tin mật;
h) quy trình thơng báo và báo cáo về việc tiết lộ trái phép hoặc những lỗ hổng thông tin mật;
i)

các điều khoản đối với thông tin được trả về hoặc bị hủy khi chấm dứt thỏa thuận;


j)

các hành động dự kiến trong trường hợp có vi phạm thỏa thuận.

Dựa trên các u cầu về an tồn thơng tin của tổ chức, có thể đưa thêm một số điều khoản khác vào
thỏa thuận không tiết lộ hoặc thỏa thuận bảo mật.
Các thỏa thuận bảo mật và không tiết lộ cần tuân thủ tất cả những quy định và điều luật phù hợp (xem
thêm 14.1.1 trong TCVN ISO/IEC 27002).
Các yêu cầu đối với các thỏa thuận bảo mật và không tiết lộ cần được soát xét định kỳ và tại các thời
điểm xảy ra thay đổi làm ảnh hưởng đến các yêu cầu này.
Hướng dẫn triển khai đặc thù cho viễn thông
Nhằm định rõ các yêu cầu đối với các thỏa thuận bảo mật và không tiết lộ, các tổ chức viễn thông cần
cân nhắc sự cần thiết bảo vệ tính khơng tiết lộ của:
a) sự tồn tại;
b) nội dung;
c) nguồn;
d) đích;
e) ngày, giờ;
trong thông tin được trao đổi.

21


Thông tin khác
Các thỏa thuận bảo mật hoặc không tiết lộ sẽ bảo vệ các thông tin của tổ chức và thông báo cho các
bên ký kết về trách nhiệm của họ trong việc bảo vệ, sử dụng, và tiết lộ thơng tin một cách có trách
nhiệm và đúng thẩm quyền.
Tổ chức có thể cũng cần sử dụng các khn mẫu thỏa thuận bảo mật hoặc không tiết lộ khác nhau
trong những tình huống khác nhau.
6.1.6


Liên lạc với cơ quan chức năng

Biện pháp quản lý
Phải duy trì liên lạc thỏa đáng với những cơ quan chức năng liên quan.
Hướng dẫn triển khai
Các tổ chức cần có các thủ tục xác định khi nào và ai sẽ liên hệ với các cơ quan có thẩm quyền (ví dụ,
cơ quan thi hành luật, cảnh sát phòng cháy chữa cháy, các cơ quan giám sát), và cách thức báo cáo
các sự cố an tồn thơng tin đã xác định một cách kịp thời nếu có nghi ngờ đã có sự vi phạm pháp luật.
Các tổ chức bị tấn cơng từ Internet có thể cần các bên thứ ba (ví dụ, một nhà cung cấp dịch vụ Internet
hoặc một nhà khai thác viễn thông) tiến hành các hoạt động chống lại nguồn gốc tấn công.
Hướng dẫn triển khai đặc thù cho viễn thông
Khi tổ chức viễn thông nhận được yêu cầu điều tra từ các cơ quan thực thi pháp luật hoặc các cơ quan
điều tra về thông tin liên quan tới người dùng dịch vụ viễn thông, tổ chức viễn thông cần chắc chắn
rằng u cầu đó được xử lý thơng qua các thủ tục và quy trình pháp lý, tuân thủ luật pháp và các quy
định của quốc gia.
Thông tin khác
Việc duy trì những liên lạc như vậy có thể là một yêu cầu giúp hỗ trợ quản lý các sự cố an tồn thơng
tin (điều 13.2) hoặc q trình lập kế hoạch liên tục nghiệp vụ và phương án ứng phó (điều 14). Các mối
liên hệ với các cơ quan luật pháp cũng sẽ có lợi cho cơng tác dự báo và chuẩn bị cho những thay đổi
sắp xảy ra trên phương diện luật pháp hoặc các quy định mà các tổ chức bắt buộc phải tuân theo.
Những liên hệ với những cơ quan có thẩm quyền khác bao gồm các cơ quan cung cấp điện, nước, các
dịch vụ khẩn cấp, sức khỏe và an toàn, các nhà cung cấp dịch vụ viễn thơng (có liên quan đến định
tuyến và độ sẵn sàng).
6.1.7

Liên lạc với các nhóm chuyên gia

Áp dụng biện pháp 5.1.7 của TCVN ISO/IEC 27002.
6.1.8


Soát xét độc lập về an tồn thơng tin

Áp dụng biện pháp 5.1.8 của TCVN ISO/IEC 27002.

22


TCVN ISO/IEC 27011:201x
6.2

Các bên tham gia bên ngoài

Mục tiêu: Nhằm duy trì an tồn đối với thơng tin và phương tiện xử lý thông tin của tổ chức được truy
nhập, xử lý, liên lạc với, hoặc quản lý bởi các bên tham gia bên ngoài tổ chức.
Sự xuất hiện của các sản phẩm hoặc dịch vụ của các bên tham gia bên ngồi khơng được làm suy
giảm mức độ an tồn của thơng tin và phương tiện xử lý thơng tin của tổ chức.
Cần quản lý tất cả các truy nhập tới phương tiện xử lý thông tin của tổ chức, cũng như tới q trình xử
lý thơng tin và truyền thông được thực hiện bởi các bên tham gia bên ngồi.
Khi có nhu cầu cơng việc cần làm việc với các bên tham gia bên ngồi mà cơng việc ấy có thể địi hỏi
phải truy nhập đến thơng tin và phương tiện xử lý thông tin của tổ chức, hoặc khi có nhu cầu
nhận/cung cấp một sản phẩm và dịch vụ từ/tới một bên tham gia bên ngồi thì cần thực hiện đánh giá
rủi ro nhằm xác định các ảnh hưởng liên quan đến an tồn thơng tin và các yêu cầu về biện pháp quản
lý. Cần thống nhất và định rõ các biện pháp quản lý trong thỏa thuận với các bên tham gia bên ngoài.
6.2.1

Xác định các rủi ro liên quan đến các bên tham gia bên ngoài

Áp dụng biện pháp 5.2.1 của TCVN ISO/IEC 27002.
6.2.2


Chỉ rõ vấn đề an toàn khi làm việc với khách hàng

Biện pháp quản lý
Tất cả các yêu cầu về an toàn đã được đặt ra phải được chỉ rõ trước khi cho phép khách hàng truy
nhập tới thông tin hoặc tài sản của tổ chức.
Hướng dẫn triển khai
Cần quan tâm đến các vấn đề sau nhằm chỉ rõ về an toàn thông tin trước khi cho phép khách hàng truy
nhập đến bất kỳ tài sản nào của tổ chức (áp dụng tùy thuộc vào loại và quy mô của truy nhập, khơng
phải áp dụng tồn bộ):
a) bảo vệ tài sản, bao gồm:
1) các quy trình bảo vệ các tài sản của tổ chức, bao gồm thông tin và phần mềm, và quản
lý các điểm yếu đã biết trước;
2) các thủ tục xác định tổn hại đến tài sản, ví dụ dữ liệu có bị mất hoặc bị làm thay đổi
khơng;
3) tính toàn vẹn;
4) những giới hạn trong việc sao chép và tiết lộ thông tin;
b) mô tả sản phẩm hoặc dịch vụ được cung cấp;
c) các lý do, yêu cầu khác nhau, và các lợi ích trong việc truy nhập của khách hàng;

23


d) chính sách kiểm sốt truy nhập, trong đó có:
1) các phương pháp truy nhập được cho phép, biện pháp quản lý và sử dụng các định
danh duy nhất như ID và mật khẩu của người dùng;
2) quy trình cấp phép truy nhập và đặc quyền cho người dùng;
3) thông báo nêu rõ tất cả các truy nhập chưa được cấp phép đều bị cấm;
4) quy trình thu hồi quyền truy nhập hoặc ngắt kết nối giữa các hệ thống;
e) bố trí thực hiện việc báo cáo, thơng báo, và điều tra về về những sai lệch của thông tin (ví dụ

các thơng tin chi tiết về cá nhân), các sự cố an tồn thơng tin và các lỗ hổng bảo mật;
f)

mô tả về từng dịch vụ sẽ được cung cấp;

g) mức kỳ vọng của dịch vụ và các mức không chấp nhận được của dịch vụ;
h) quyền giám sát, thu hồi, và thực hiện hoạt động bất kỳ liên quan đến các tài sản của tổ chức;
i)

các nghĩa vụ tương ứng của tổ chức và khách hàng;

j)

các trách nhiệm liên quan đến các vấn đề luật pháp và phương thức nhằm đảm bảo đáp ứng
các yêu cầu luật pháp, chẳng hạn như các quy định pháp luật về bảo vệ dữ liệu, đặc biệt là phải
tính đến các hệ thống luật pháp quốc gia khác nếu thỏa thuận có sự phối hợp với các khách
hàng ở các quốc gia khác (xem thêm trong 14.1 trong TCVN ISO/IEC 27002);

k) các quyền sở hữu trí tuệ (IPR) và vấn đề bản quyền (xem 14.1.2 trong TCVN ISO/IEC 27002)
và việc bảo vệ các kết quả cơng việc có sự cộng tác (xem thêm 6.1.5).
Hướng dẫn triển khai đặc thù cho viễn thông
Các tổ chức viễn thông cần cân nhắc các điều khoản sau đây nhằm chỉ rõ các vấn đề an toàn trước khi
cho phép khách hàng truy nhập tới bất kỳ tài sản nào của tổ chức:
a) thỏa thuận rõ ràng rằng các trang thiết bị dịch vụ viễn thông hoặc thiết bị khác của người dùng
kết nối tới nhà mạng viễn thông sẽ không bị phá hủy hoặc làm hư hỏng;
b) sự phân định trách nhiệm rõ ràng giữa các trang thiết bị dịch vụ của các tổ chức viễn thông và
của người dùng dịch vụ;
c) đặc tả rõ ràng về khả năng tạm ngưng các dịch vụ viễn thông trong trường hợp có thể có rủi ro,
ví dụ như nguy cơ spam, cản trở việc cung cấp liên tục các dịch vụ viễn thông.
Thông tin khác

Các yêu cầu về an tồn thơng tin liên quan đến việc khách hàng truy nhập vào tài sản của tổ chức có
thể rất khác nhau tùy theo trang thiết bị xử lý thông tin và thông tin được truy nhập. Các yêu cầu về an
tồn này có thể được làm rõ trong các thỏa thuận với khách hàng, trong đó bao gồm tất cả các rủi ro
và các yêu cầu an toàn đã được xác định (xem 6.2.1).

24


TCVN ISO/IEC 27011:201x
Các thỏa thuận với các bên tham gia bên ngồi cũng có thể bao gồm các bên khác. Các thỏa thuận
chấp nhận việc truy nhập của bên tham gia bên ngoài cần bao gồm cả việc cho phép chỉ định các tổ
chức có đủ tư cách khác, các điều kiện truy nhập và sự tham gia của họ.
6.2.3

Chỉ rõ vấn đề an toàn trong các thỏa thuận với bên thứ ba

Biện pháp quản lý
Các thỏa thuận với bên thứ ba liên quan đến truy nhập, xử lý, truyền thông, quản lý thông tin hoặc các
phương tiện xử lý thông tin của tổ chức, hoặc việc đưa thêm các sản phẩm, dịch vụ tới các phương
tiện xử lý thông tin phải bao hàm tất cả các yêu cầu an toàn tương ứng.
Hướng dẫn triển khai
Thỏa thuận cần đảm bảo rằng khơng có sự hiểu nhầm giữa tổ chức và bên thứ ba. Các tổ chức cần có
đảm bảo chắc chắn bằng việc bồi thường của bên thứ ba.
Các điều khoản sau cần được xem xét đưa vào bản thỏa thuận nhằm thỏa mãn các yêu cầu an toàn
đã xác định (xem 6.2.1):
a) chính sách an tồn thơng tin;
b) các biện pháp quản lý nhằm đảm bảo tài sản được bảo vệ, bao gồm:
1) các thủ tục bảo vệ tài sản của tổ chức, bao gồm thông tin, phần mềm và phần cứng;
2) các cơ chế và biện pháp bảo vệ vật lý được yêu cầu;
3) các biện pháp nhằm đảm bảo việc bảo vệ chống lại phần mềm độc hại (xem 10.4.1);

4) các thủ tục để xác định xem có bất cứ tổn hại nào đến tài sản hay khơng, ví dụ mất mát
hoặc chỉnh sửa thơng tin, phần mềm và phần cứng;
5) các biện pháp quản lý nhằm đảm bảo khôi phục hoặc tiêu hủy thông tin và tài sản khi kết
thúc hoặc trong thời hiệu của thỏa thuận;
6) tính bí mật, tính tồn vẹn, tính sẵn sàng, và thuộc tính liên quan bất kỳ của các tài sản
(xem 2.5, TCVN ISO/IEC 27002);
7)

các hạn chế về sao chép và tiết lộ thông tin, và áp dụng các thỏa thuận về bảo mật
(xem 6.1.5);

c) đào tạo người dùng và người quản lý về các phương pháp, thủ tục và an tồn thơng tin;
d) đảm bảo rằng người dùng hiểu về các vai trị và trách nhiệm của mình về an tồn thơng tin;
e) các quy định về điều chuyển nhân sự khi có yêu cầu;
f)

các trách nhiệm về lắp đặt và bảo dưỡng phần cứng và phần mềm;

g) cấu trúc báo cáo rõ ràng và các định dạng báo cáo đã được thống nhất;

25