TCVN ISO 27001 4

TCVN 27001 2008

Mục lục

Lời noacutei đầu3

Lời giới thiệu4

01 Khaacutei quaacutet4

02 Caacutech tiếp cận theo quy trigravenh4

03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec6

1 Phạm vi aacutep dụng7


12 Aacutep dụng7

2 Tagravei liệu viện dẫn7

3 Thuật ngữ vagrave định nghĩa7

31 Tagravei sản7

32 Tiacutenh sẵn sagraveng7

33 Tiacutenh biacute mật7

34 An toagraven thocircng tin8

35 Sự kiện an toagraven thocircng tin8

36 Sự cố an toagraven thocircng tin8

37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)8

38 Tiacutenh toagraven vẹn8

39 Rủi ro tồn đọng8

310 Sự chấp nhận rủi ro8

311 Phacircn tiacutech rủi ro8

312 Đaacutenh giaacute rủi ro8

313 Quản lyacute rủi ro9

314 Xử lyacute rủi ro9

315 Thocircng baacuteo aacutep dụng9

316 Tổ chức9

4 Hệ thống quản lyacute an toagraven thocircng tin10

1

TCVN 27001 2008

41 Caacutec yecircu cầu chung10

42 Thiết lập vagrave quản lyacute hệ thống ISMS10

421 Thiết lập hệ thống ISMS10

422 Triển khai vagrave điều hagravenh hệ thống ISMS13

423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS14

424 Duy trigrave vagrave nacircng cấp hệ thống ISMS15

43 Caacutec yecircu cầu về hệ thống tagravei liệu15


432 Biện phaacutep quản lyacute tagravei liệu17

433 Biện phaacutep quản lyacute hồ sơ17

5 Traacutech nhiệm của ban quản lyacute18

51 Cam kết của ban quản lyacute18

52 Quản lyacute nguồn lực18

521 Cấp phaacutet nguồn lực18

522 Đagraveo tạo nhận thức vagrave năng lực19

6 Kiểm tra nội bộ hệ thống ISMS19

7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS20


72 Đầu vagraveo của việc soaacutet xeacutet20

73 Đầu ra của việc soaacutet xeacutet21

8 Nacircng cấp hệ thống ISMS21

81 Nacircng cấp thường xuyecircn21

82 Hagravenh động khắc phục22

83 Hagravenh động phograveng ngừa22

Phụ lục A24

Phụ lục B49

Phụ lục C51

Tagravei liệu tham khảo54

2

TCVN 27001 2008

Lời noacutei đầu

Bản dự thảo tiecircu chuẩn kỹ thuật nagravey được Trung tacircm Ứng cứu khẩn cấp Maacutey tiacutenh

Việt Nam biecircn soạn hoagraven toagraven phugrave hợp với tiecircu chuẩn quốc tế ISOIEC

270012005 rdquoInformation security management systemrdquo

3

TIEcircU CHUẨN VIỆT NAM TCVN 27001 2008

Lời giới thiệu

01 Khaacutei quaacutet

Tiecircu chuẩn quốc tế nagravey được chuẩn bị để đưa ra một mocirc higravenh cho việc thiết lập

triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an

toagraven thocircng tin (ISMS) Việc chấp nhận một hệ thống ISMS sẽ lagrave một quyết định

chiến lược của tổ chức Thiết kế vagrave triển khai hệ thống quản lyacute an toagraven thocircng tin

của một tổ chức phụ thuộc vagraveo caacutec nhu cầu vagrave mục tiecircu khaacutec nhau caacutec yecircu cầu

về an toagraven cần phải đạt caacutec quy trigravenh đang được sử dụng vagrave quy mocirc cấu truacutec của

tổ chức Caacutec điều nagravey vagrave caacutec hệ thống hỗ trợ cần luocircn được cập nhật vagrave thay đổi

Việc đầu tư vagrave triển khai một hệ thống ISMS cần phải coacute tỷ trọng phugrave hợp với nhu

cầu của tổ chức

Tiecircu chuẩn nagravey coacute thể sử dụng để đaacutenh giaacute sự tuacircn thủ của caacutec bộ phận becircn trong

tổ chức cũng như caacutec bộ phận liecircn quan becircn ngoagravei tổ chức

02 Caacutech tiếp cận theo quy trigravenh

Tiecircu chuẩn nagravey khuyến khiacutech việc chấp nhận caacutech tiếp cận theo quy trigravenh khi thiết

lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống ISMS

của tổ chức

Một tổ chức cần xaacutec định vagrave quản lyacute rất nhiều hoạt động để vận hagravenh một caacutech

hiệu quả Bất cứ hoạt động nagraveo sử dụng caacutec tagravei nguyecircn vagrave quản lyacute việc tiếp nhận

caacutec đầu vagraveo chuyển hoacutea thagravenh đầu ra coacute thể coi như một quy trigravenh Thocircng thường

đầu ra của một quy trigravenh nagravey lagrave đầu vagraveo của một quy trigravenh tiếp theo

Việc aacutep dụng một hệ thống caacutec quy trigravenh trong tổ chức cugraveng với sự nhận biết

tương taacutec giữa caacutec quy trigravenh như vậy vagrave sự quản lyacute chuacuteng coacute thể coi như ldquocaacutech

tiếp cận theo quy trigravenhrdquo

Caacutech tiếp cận theo quy trigravenh cho quản lyacute an toagraven thocircng tin được trigravenh bagravey trong

tiecircu chuẩn nagravey nhằm khuyến khiacutech người sử dụng nhấn mạnh caacutec điểm quan

trọng của

4

TCVN 27001 2008

a) Việc hiểu caacutec yecircu cầu an toagraven thocircng tin của tổ chức vagrave caacutec sự cần thiết phải

thiết lập chiacutenh saacutech vagrave mục tiecircu cho an toagraven thocircng tin

b) Việc triển khai vagrave điều hagravenh caacutec biện phaacutep để quản lyacute rủi ro an toagraven thocircng tin

của tổ chức trước tất cả caacutec rủi ro chung coacute thể xảy ra với tổ chức

c) Việc giaacutem saacutet vagrave soaacutet xeacutet lợi iacutech vagrave hiệu quả của hệ thống ISMS vagrave

d) Thường xuyecircn nacircng cấp dựa trecircn caacutec khuocircn khổ mục tiecircu đatilde đặt ra

Tiecircu chuẩn nagravey thocircng qua mocirc higravenh ldquoLập kế hoạch ndash Thực hiện ndash Kiểm tra vagrave Hagravenh

độngrdquo (PDCA) để aacutep dụng cho tất cả caacutec quy trigravenh trong hệ thống ISMS Higravenh 1

dưới đacircy mocirc tả caacutech hệ thống ISMS lấy đầu vagraveo lagrave caacutec yecircu cầu vagrave kỳ vọng về bảo

mật thocircng tin của caacutec becircn thứ ba sau khi tiến hagravenh caacutec quy trigravenh xử lyacute cần thiết sẽ

đaacutep ứng an toagraven thocircng tin theo như caacutec yecircu cầu vagrave kỳ vọng đatilde đặt ra Higravenh 1 cũng

chỉ ra caacutec liecircn hệ giữa caacutec quy trigravenh được biểu diễn trong caacutec điều 4567 vagrave 8

Higravenh 1 Aacutep dụng mocirc higravenh PDCA cho caacutec quy trigravenh hệ thống ISMS

Triển khai vagrave điều hagravenh hệ thống ISMS


Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS


P

D

C

A

Thiết lập hệ thống ISMS


Duy trigrave vagrave nacircng cấp hệ thống

ISMS


ISMS

Caacutec bộ phận liecircn

quan

Caacutec yecircu cầu vagrave kỳ

vọng về an toagraven thocircng

tin


quan



tin


quan

Kết quả quản lyacute an toagraven thocircng

tin


quan


tin

5

TCVN 27001 2008

P (Lập kế hoạch) - Thiết lập

ISMS

Thiết lập caacutec chiacutenh saacutech mục tiecircu quy trigravenh vagrave thủ

tục liecircn quan đến việc quản lyacute caacutec rủi ro vagrave nacircng

cao an toagraven thocircng tin nhằm đem lại caacutec kết quả

phugrave hợp với caacutec chiacutenh saacutech vagrave mục tiecircu chung của

tổ chức

D (Thực hiện) - Triển khai vagrave

điều hagravenh ISMS

Cagravei đặt vagrave vận hagravenh caacutec chiacutenh saacutech biện phaacutep

quản lyacute quy trigravenh vagrave thủ tục của hệ thống ISMS

C (Kiểm tra) - giaacutem saacutet vagrave soaacutet

xeacutet ISMS

Xaacutec định hiệu quả việc thực hiện quy trigravenh dựa

trecircn chiacutenh saacutech mục tiecircu magrave hệ thống ISMS đatilde

đặt ra kinh nghiệm thực tiễn vagrave baacuteo caacuteo kết quả

cho việc soaacutet xeacutet của ban quản lyacute

A (Hagravenh động) - Duy trigrave vagrave nacircng

cấp ISMS

Tiến hagravenh caacutec biện phaacutep hoagraven thiện vagrave bảo vệ dựa

trecircn caacutec kết quả của việc kiểm toaacuten nội bộ hệ

thống ISMS soaacutet xeacutet của ban quản lyacute hoặc caacutec

thocircng tin liecircn quan khaacutec nhằm liecircn tục hoagraven thiện

hệ thống ISMS

03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec

Tiecircu chuẩn nagravey hoagraven toagraven tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec như ISO

90012000 TCVN ISO 90012000 vagrave ISO 140012004 nhằm đảm bảo sự thống

nhất vagrave thagravenh cocircng khi triển khai cugraveng luacutec caacutec tiecircu chuẩn quản lyacute khaacutec nhau

6

TCVN 27001 2008

1 Phạm vi aacutep dụng


Tiecircu chuẩn nagravey hướng tới việc aacutep dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec

nhau (viacute dụ tổ chức thương mại cơ quan nhagrave nước caacutec tổ chức phi lợi nhuận

vvhellip ) Nội dung tiecircu chuẩn chỉ rotilde yecircu cầu cho từng quaacute trigravenh thiết lập triển khai

điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp một hệ thống ISMS để đảm bảo

an toagraven thocircng tin trước những tất cả caacutec rủi ro coacute thể xảy ra với tổ chức Tiecircu

chuẩn nagravey cũng chỉ rotilde caacutec yecircu cầu khi triển khai caacutec biện phaacutep bảo vệ an toagraven đatilde

được chọn lọc phugrave hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức

Hệ thống ISMS được thiết kế caacutec biện phaacutep đảm bảo an toagraven thocircng tin phugrave hợp vagrave

đầy đủ để bảo vệ caacutec tagravei sản thocircng tin vagrave đem lại sự tin tưởng của caacutec becircn liecircn

quan như đối taacutec khaacutech hagraveng vvhellip

Caacutec yecircu cầu được trigravenh bagravey trong tiecircu chuẩn nagravey lagrave mang tiacutenh tổng quaacutet vagrave nhằm

ứng dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec nhau

12 Aacutep dụng

2 Tagravei liệu viện dẫn

Tiecircu chuẩn quốc tế ISOIEC 177992005

3 Thuật ngữ vagrave định nghĩa

Tiecircu chuẩn nagravey sử dụng caacutec thuật ngữ vagrave định nghĩa sau

31 Tagravei sản

Lagrave bất cứ gigrave coacute giaacute trị đối với tổ chức

32 Tiacutenh sẵn sagraveng

Tiacutenh chất đảm bảo mọi thực thể được pheacutep coacute thể truy cập vagrave sử dụng theo yecircu

cầu

33 Tiacutenh biacute mật

Tiacutenh chất đảm bảo thocircng tin khocircng sẵn sagraveng vagrave cocircng khai đối với caacutec caacute nhacircn

thực thể vagrave caacutec tiến trigravenh khocircng được pheacutep

7

TCVN 27001 2008

34 An toagraven thocircng tin

Sự duy trigrave tiacutenh biacute mật tiacutenh toagraven vẹn vagrave tiacutenh sẵn sagraveng của thocircng tin ngoagravei ra cograven coacute

thể bao hagravem một số tiacutenh chất khaacutec như xaacutec thực kiểm soaacutet chống chối bỏ vagrave tin

cậy

35 Sự kiện an toagraven thocircng tin

Một sự kiện xaacutec định xảy ra trong một hệ thống một dịch vụ hay một trạng thaacutei

mạng chỉ ra sự vi phạm chiacutenh saacutech an toagraven thocircng tin sự thất bại của hệ thống bảo

vệ hoặc một tigravenh huống bất ngờ liecircn quan đến an toagraven

36 Sự cố an toagraven thocircng tin

Một hoặc một chuỗi caacutec sự kiện an toagraven thocircng tin khocircng mong muốn coacute khả năng

lagravem tổn hại caacutec hoạt động của cơ quan tổ chức vagrave đe dọa an toagraven thocircng tin

37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)

Hệ thống quản lyacute an toagraven thocircng tin lagrave một phần của hệ thống quản lyacute tổng thể căn

cứ vagraveo việc đaacutenh giaacute rủi ro coacute thể xuất hiện trong hoạt động của tổ chức để thiết

lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp an toagraven thocircng tin

Chuacute yacute Hệ thống quản lyacute tổng thể bao gồm cơ cấu chiacutenh saacutech kế hoạch hoạt

động traacutech nhiệm quy định thủ tục quy trigravenh vagrave tagravei nguyecircn của tổ chức

38 Tiacutenh toagraven vẹn

Tiacutenh chất đảm bảo sự chiacutenh xaacutec vagrave sự toagraven vẹn của caacutec tagravei sản

39 Rủi ro tồn đọng

Caacutec rủi ro cograven lại sau quaacute trigravenh xử lyacute rủi ro

310 Sự chấp nhận rủi ro

Quyết định chấp nhận sự tồn tại một rủi ro

311 Phacircn tiacutech rủi ro

Sử dụng thocircng tin một caacutech coacute hệ thống nhằm xaacutec định caacutec nguồn gốc vagrave đaacutenh

giaacute rủi ro

312 Đaacutenh giaacute rủi ro

8

TCVN 27001 2008

Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định

mức độ nghiecircm trọng của rủi ro

313 Quản lyacute rủi ro

Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro

coacute thể xảy ra

314 Xử lyacute rủi ro

Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro

315 Thocircng baacuteo aacutep dụng

Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute

thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức

Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết

quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay

chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ

chức để đảm bảo an toagraven thocircng tin

316 Tổ chức

Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn

tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng

nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh

thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với

nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau

Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả

caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute

quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC

tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động

lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức

ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản

linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng

hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC

chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven

đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -

9

TCVN 27001 2008

xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những

người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo

(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo

vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven

kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về

TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC

trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền

hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy

4 Hệ thống quản lyacute an toagraven thocircng tin

41 Caacutec yecircu cầu chung

Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một

hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven

bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt

42 Thiết lập vagrave quản lyacute hệ thống ISMS

421 Thiết lập hệ thống ISMS

Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau

a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave

cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm

cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi

phạm vi aacutep dụng

b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc

sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute

1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn

tắc cho việc đảm bảo an toagraven thocircng tin

2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt

buộc về bảo mật

3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng

như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng

4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến

lược quản lyacute rủi ro của tổ chức

10

TCVN 27001 2008

5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)

6) được ban quản lyacute phecirc duyệt

Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống

ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng

tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu

c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức

1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave

caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định

2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro

coacute thể chấp nhận được (xem 51f)

Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro

đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được

Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ

phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3

ldquoInformation technology- Guidelines for the management of IT Security ndash

Techniques for the management of IT Securityrdquo

d) Xaacutec định caacutec rủi ro

1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1

caacutec tagravei sản nagravey

2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản

3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn

4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần

bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng

e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro

1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng

tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng

của caacutec tagravei sản

1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản

11

TCVN 27001 2008

2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt

nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec

taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện

3) Ước lượng caacutec mức độ của rủi ro

4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec

chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2

f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro

Caacutec hoạt động coacute thể thực hiện

1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp

2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech

vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))

3) Traacutenh caacutec rủi ro

4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp

vv

g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro

Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep

ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa

chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như

caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ

Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn

như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định

Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ

Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute

cần thiết khaacutec

Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện

phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức

Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi

đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng

bị bỏ soacutet

h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất

12

TCVN 27001 2008

i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS

j) Chuẩn bị thocircng baacuteo aacutep dụng

Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm

1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục

421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn

2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện

3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng

như giải trigravenh cho việc nagravey

Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến

việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A

khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet

422 Triển khai vagrave điều hagravenh hệ thống ISMS

Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau

a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp

tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng

tin (xem 5)

b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định

trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve

traacutech nhiệm

c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec

mục tiecircu quản lyacute

d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc

nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử

dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra

những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)

e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)

f) Quản lyacute hoạt động hệ thống ISMS

g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)

13

TCVN 27001 2008

h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện

caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng

tin (xem 423a)

423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS

Tổ chức thực hiện caacutec biện phaacutep sau đacircy

a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng

tin khaacutec nhằm

1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute

2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin

3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con

người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng

4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự

cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết

5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin

b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc

xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của

việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến

caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten

hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập

được

c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về

bảo đảm ATTT

d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được

bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec

thay đổi trong

1) Tổ chức

2) Cocircng nghệ

3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ

4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định

14

TCVN 27001 2008

5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện

6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute

quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội

e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)

Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực

hiện

f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục

tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng

cấp cần thiết cho hệ thống ISMS (xem 71)

g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh

thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute

h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh

hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)

424 Duy trigrave vagrave nacircng cấp hệ thống ISMS

Tổ chức cần thường xuyecircn thực hiện

a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định

b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave

83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức

khaacutec

c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự

nacircng cấp của hệ thống ISMS

d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra

43 Caacutec yecircu cầu về hệ thống tagravei liệu


Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được

caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể

taacutei tạo lại được

15

TCVN 27001 2008

Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde

chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh

saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra

Caacutec tagravei liệu của hệ thống ISMS bao gồm

a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS

b) Phạm vi của hệ thống ISMS (xem 421a)

c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS

d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))

e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))

f) Kế hoạch xử lyacute rủi ro (xem 422b))

g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế

hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc

tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem

423c)

h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey

i) Thocircng baacuteo aacutep dụng

Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc

tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai

vagrave bảo trigrave

Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave

phụ thuộc vagraveo

- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức

- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ

thống đang được tổ chức quản lyacute

Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave

phương tiện nagraveo phugrave hợp

16

TCVN 27001 2008

432 Biện phaacutep quản lyacute tagravei liệu

Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech

hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết

nhằm

a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh

b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại

c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei

liệu

d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng

e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết

f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ

vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp

g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết

h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute

i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn

j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ

433 Biện phaacutep quản lyacute hồ sơ

Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave

hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ

được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan

caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận

biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ

bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave

thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42

vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS

Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm

toaacuten vvhellip

5 Traacutech nhiệm của ban quản lyacute

51 Cam kết của ban quản lyacute

17

TCVN 27001 2008

Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều

hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin

bằng

a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin

b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde

được xacircy dựng

c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin

d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho

phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave

cần thiết tiếp tục cải tiến

e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven

thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm

trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech

thường xuyecircn

f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh

giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)

g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được

h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)

i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)

52 Quản lyacute nguồn lực

521 Cấp phaacutet nguồn lực

Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết

a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ

thống ISMS

b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu

nghiệp vụ

c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc

về an toagraven thocircng tin phải tuacircn thủ

18

TCVN 27001 2008

d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản

lyacute đatilde được triển khai

e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave

f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết

522 Đagraveo tạo nhận thức vagrave năng lực

Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute

đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech

a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được

giao

b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể

thỏa matilden yecircu cầu

c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện

d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave

trigravenh độ chuyecircn mocircn (xem 433)

Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức

được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech

goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS

6 Kiểm tra nội bộ hệ thống ISMS

Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu

quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS

a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan

b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin

c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave

d) Hoạt động diễn ra đuacuteng như mong muốn

Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề

như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ

tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến

hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh

19

TCVN 27001 2008

khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra

cocircng việc của migravenh

Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo

caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ

tục dưới dạng văn bản

Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo

caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt

động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo

caacuteo về kết quả thẩm tra nagravey (xem 8)

Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental

management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai

việc kiểm tra nội bộ hệ thống ISMS

7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS


Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet

nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu

quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần

thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin

vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave

biecircn soạn thagravenh tagravei liệu (xem 433)

72 Đầu vagraveo của việc soaacutet xeacutet

Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm

a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS

b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan

c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm

nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS

d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa

e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech

thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước

20

TCVN 27001 2008

f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống

g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước

h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave

i) Caacutec kiến nghị nhằm cải thiện hệ thống

73 Đầu ra của việc soaacutet xeacutet

Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt

động trong việc

a) Nacircng cao năng lực của hệ thống ISMS

b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro

c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm

an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ

thống ISMS bao gồm

1) Caacutec yecircu cầu trong hoạt động nghiệp vụ

2) Caacutec yecircu cầu an toagraven bảo mật

3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động

nghiệp vụ của tổ chức

4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định

5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết

6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro

d) Caacutec nhu cầu cần thiết về tagravei nguyecircn

e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute

8 Nacircng cấp hệ thống ISMS

81 Nacircng cấp thường xuyecircn

Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua

việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an

toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec

hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản

lyacute (xem 7)

21

TCVN 27001 2008

82 Hagravenh động khắc phục

Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của

hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định

rotilde caacutec yecircu cầu sau

a) Xaacutec định caacutec vi phạm

b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn

c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện

trở lại

d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết

e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn

f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện

83 Hagravenh động phograveng ngừa

Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi

phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave

phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp

với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn

bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau

a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng

b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất

hiện

c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn

d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)

e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn

Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp

đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng

ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro

Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế

hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra

22

TCVN 27001 2008

Phụ lục A

Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute

Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5

đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave

chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện

phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng

dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem

431)

Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến

caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1

Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute

A5 Chiacutenh saacutech an toagraven bảo mật

A51 Chiacutenh saacutech an toagraven thocircng tin

Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với

caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ

A511 Tagravei liệu chiacutenh saacutech an toagraven

thocircng tin

Biện phaacutep quản lyacute

Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần

phải được phecirc duyệt bởi ban quản lyacute vagrave được

cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như

caacutec bộ phận liecircn quan

A512 Soaacutet xeacutet lại chiacutenh saacutech an

toagraven thocircng tin


Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn

được soaacutet xeacutet theo đuacuteng kế hoạch định trước

hoặc nếu khi coacute những thay đổi lớn xuất hiện để

luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute

hiệu lực

A6 Sự tổ chức của bảo đảm an toagraven thocircng tin

A61 Tổ chức nội bộ

Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức

23

TCVN 27001 2008

A611 Ban quản lyacute đối cam kết về

bảo đảm an toagraven thocircng tin


Ban quản lyacute cần chủ động hỗ trợ bảo đảm an

toagraven thocircng tin trong tổ chức bằng caacutec định

hướng rotilde ragraveng caacutec cam kết minh bạch caacutec

nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech

nhiệm về bảo đảm an toagraven thocircng tin

A612 Phối hợp bảo đảm an toagraven

thocircng tin


Caacutec hoạt động bảo đảm an toagraven thocircng tin cần

phải được phối hợp bởi caacutec thagravenh phần đại diện

cho caacutec bộ phận trong tổ chức với vai trograve vagrave

nhiệm vụ cụ thể

A613 Phacircn định traacutech nhiệm bảo

đảm an toagraven thocircng tin


Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng

tin cần phải được xaacutec định một caacutech rotilde ragraveng

A614 Quy trigravenh cấp pheacutep cho chức

năng xử lyacute thocircng tin


Một quy trigravenh quản lyacute cấp pheacutep cho chức năng

xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi

hagravenh

A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute

Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản

aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin

sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet

lại

A616 Liecircn lạc với những cơ

quantổ chức coacute thẩm quyền

thẩm quyền


Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ

quan coacute thẩm quyền

A617 Liecircn lạc với caacutec với caacutec nhoacutem

coacute quyền lợi đặc biệt


Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt

caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin

A618 Tự soaacutet xeacutet về an toagraven thocircng

tin


24

TCVN 27001 2008

Caacutech tiếp cận của tổ chức đối với việc quản lyacute

vagrave triển khai hoạt động đảm bảo an toagraven thocircng

tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep

quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ

tục đảm bảo an toagraven thocircng tin) cần phải được tự

soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những

thay đổi quan trọng liecircn quan đến an toagraven thocircng

tin

A62 Caacutec thagravenh phần becircn ngoagravei

Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave

được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức

A621 Xaacutec định caacutec rủi ro liecircn quan

đến caacutec bộ phận ngoagravei


Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute

thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ

liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần

được nhận biết vagrave triển khai biện phaacutep quản lyacute

thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh

phần nagravey

A622 Xem xeacutet an toagraven an ninh khi

thương thảo với khaacutech hagraveng


Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được

xaacutec định cần phải được xem xeacutet trước khi cho

pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc

thocircng tin của tổ chức

A623 Xem xeacutet an toagraven an ninh

trong caacutec thỏa thuận với becircn

thứ 3


Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy

cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin

hay chức năng xử lyacute thocircng tin hoặc caacutec sản

phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện

để xử lyacute thocircng tin cần phải được xem xeacutet nhằm

thỏa matilden với mọi yecircu cầu an toagraven an ninh một

caacutech thỏa đaacuteng

A7 Quản lyacute tagravei sản

A71 Traacutech nhiệm đối với tagravei sản

25

TCVN 27001 2008

Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức

A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute

Tất cả mọi tagravei sản cần được xaacutec định một caacutech

rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai

mọi tagravei sản quan trọng

A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute

Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức

năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ

phận coacute chức năng của tổ chức

A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute

Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản

vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute

thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển

khai

A72 Phacircn loại thocircng tin

Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp

A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute

Thocircng tin cần được phacircn loại theo giaacute trị yecircu

cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với

tổ chức

A722 Gaacuten nhatilden vagrave quản lyacute thocircng

tin


Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản

lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave

hợp với lược đồ phacircn loại thocircng tin đatilde được tổ

chức lựa chọn

A8 Đảm bảo an toagraven tagravei nguyecircn con người

A81 Trước khi tuyển dụng vagrave bổ nhiệm

26

TCVN 27001 2008

Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của

migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp

gian lận hoặc lạm dụng chức năng quyền hạn

A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute

Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của

caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được

định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech

đảm bảo an toagraven thocircng tin của tổ chức

A812 Thẩm tra Biện phaacutep quản lyacute

Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả

caacutec ứng viecircn cho caacutec vị triacute cần phải được thực

hiện phugrave hợp phaacutep luật quy định vagrave đạo đức

phugrave hợp với caacutec yecircu cầu của cocircng việc Sự

phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được

caacutec rủi ro

A813 Thời hạn vagrave điều kiện tuyển

dụng


Như một phần của caacutec ragraveng buộc trong hợp

đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần

phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định

của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde

traacutech nhiệm của người được tuyển dụng vagrave tổ

chức tuyển dụng đối với an toagraven thocircng tin

A82 Trong thời gian lagravem việc

Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận

thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ

phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech

an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do

con người gacircy ra

A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute

Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn

nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an

toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave

27

TCVN 27001 2008

caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết

lập của tổ chức

A822 Nhận thức giaacuteo dục vagrave đagraveo

tạo về đảm bảo an toagraven thocircng

tin


Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave

caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức

vagrave cập nhật thường xuyecircn những thủ tục chiacutenh

saacutech đảm bảo an toagraven thocircng tin của tổ chức như

một phần cocircng việc bắt buộc

A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute

Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn

viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng

tin

A83 Chấm dứt hoặc thay đổi cocircng việc

Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc

hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức

A831 Traacutech nhiệm kết thuacutec hợp

đồng


Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay

đổi việc sử dụng nhacircn sự cần được vạch ra vagrave

quy định rotilde ragraveng

A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute

Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ

chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc

thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều

khoản đatilde thống nhất

A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute

Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng

xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được

hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn

chuyển cocircng taacutec

A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường

28

TCVN 27001 2008

A91 Caacutec khu vực an toagraven

Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave

tagravei sản của tổ chức

A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute

Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng

ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn

vv) cần được sử dụng để bảo vệ caacutec khu vực

chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ

chức

A912 Kiểm soaacutet cổng truy cập vật

lyacute


Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec

biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm

đảm bảo chỉ coacute những người coacute quyền mới

được pheacutep truy cập

A913 Bảo vệ caacutec văn phograveng phograveng

lagravem việc vagrave vật dụng


Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng

phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave

aacutep dụng

A914 Bảo vệ chống lại caacutec mối đe

dọa từ becircn ngoagravei vagrave từ mocirci

trường


Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey

nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave

caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do

con người gacircy ra cần được thiết kế vagrave aacutep dụng

A915 Lagravem việc trong caacutec khu vực

an toagraven


Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong

caacutec khu vực an toagraven cần được thiết kế vagrave aacutep

dụng

A916 Caacutec khu vực truy cập tự do

phacircn phối chuyển hagraveng


Caacutec điểm truy cập magrave người truy nhập khocircng

cần cấp pheacutep như khu vực chung phacircn phối

chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu

coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin

29

TCVN 27001 2008

để traacutenh tigravenh trạng truy nhập traacutei pheacutep

A92 Đảm bảo an toagraven trang thiết bị

Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn

hoạt động của tổ chức

A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute

Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven

hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do

caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy

cập traacutei pheacutep

A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute

Trang thiết bị cần được bảo vệ khỏi sự cố về

điện cũng như caacutec sự giaacuten đoạn hoạt động coacute

nguyecircn nhacircn từ caacutec hệ thống phụ trợ

A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute

Dacircy dẫn của điện vagrave truyền thocircng cần phải được

bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại

A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute

Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp

nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn

A925 An toagraven cho thiết bị hoạt động

becircn ngoagravei


Đảm bảo an toagraven cần được aacutep dụng đối với thiết

bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem

việc becircn ngoagravei tổ chức

A926 An toagraven trong loại bỏ vagrave taacutei

sử dụng thiết bị


Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec

phương tiện lưu trữ thocircng tin cần phải được

kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy

cảm vagrave phần mềm coacute bản quyền nagraveo phải được

xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử

dụng thiết bị cho mục điacutech khaacutec

30

TCVN 27001 2008

A927 Di dời tagravei sản Biện phaacutep quản lyacute

Thiết bị thocircng tin hoặc phần mềm sẽ khocircng

được mang ra ngoagravei trước khi được cho pheacutep

A10 Quản lyacute truyền thocircng vagrave điều hagravenh

A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh

Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin

A1011 Caacutec thủ tục vận hagravenh đatilde

được tagravei liệu hoacutea


Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea

duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần

dugraveng đến

A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute

Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute

thocircng tin cần phải được kiểm soaacutet

A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute

Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được

phacircn taacutech nhằm giảm thiểu khả năng sửa đổi

bất hợp lệ hoặc khocircng mong muốn hay lạm

dụng caacutec tagravei sản của tổ chức

A1014 Phacircn taacutech caacutec chức năng

phaacutet triển kiểm thử vagrave điều

hagravenh


Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh

cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro

của việc truy cập hoặc thay đổi traacutei pheacutep đối với

hệ thống điều hagravenh

A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3

Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp

với thỏa thuận chuyển giao dịch vụ với becircn thứ 3

A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute

Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet

an toagraven caacutec định nghĩa dịch vụ vagrave mức độ

chuyển giao dịch vụ trong thỏa thuận chuyển

31

TCVN 27001 2008

giao dịch vụ với becircn thứ 3 được triển khai vận

hagravenh vagrave duy trigrave bởi becircn thứ 3

A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch

vụ của becircn thứ 3


Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3

cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave

kiểm tra kiểm toaacuten một caacutech thường xuyecircn

A1023 Quản lyacute thay đổi đối với caacutec

dịch vụ của becircn thứ 3


Caacutec thay đổi về sự cung cấp dịch vụ bao gồm

việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục

biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại

cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu

của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng

như việc đaacutenh giaacute lại lại caacutec rủi ro

A103 Kế hoạch vagrave sự cocircng nhận hệ thống

Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống

A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute

Việc sử dụng tagravei nguyecircn cần được theo dotildei điều

chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất

trong tương lai nhằm đảm bảo hiệu suất hệ

thống cần thiết

A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute

Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng

tin mới nacircng cấp hay caacutec phiecircn bản mới cần

được thiết lập vagrave kiểm tra của hệ thống cần tiến

hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được

cocircng nhận

A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động

Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin

A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute

Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện

ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại

32

TCVN 27001 2008

caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục

tuyecircn truyền nacircng cao nhận thức của người sử

dụng

A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute

Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ

đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde

được đặt ra Ngược lại caacutec đoạn matilde di động traacutei

pheacutep sẽ bị ngăn chặn

A105 Sao lưu

Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng

tin

A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute

Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần

được thực hiện vagrave kiểm tra thường xuyecircn sao

cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được

chấp thuận

A106 Quản lyacute an toagraven mạng

Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ

A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute

Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet

một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối

đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng

dụng sử dụng mạng vagrave thocircng tin đang được

truyền trecircn mạng

A1062 An toagraven cho caacutec dịch vụ

mạng


Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave

caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng

cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa

thuận về dịch vụ mạng

A107 Quản lyacute phương tiện

Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep

33

TCVN 27001 2008

caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ

A1071 Quản lyacute caacutec phương tiện coacute

thể di dời


Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản

lyacute phương tiện coacute thể di dời được

A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute

Caacutec phương tiện cần được loại bỏ một caacutech an

toagraven vagrave bảo mật khi khocircng cograven cần thiết theo

caacutec thủ tục xử lyacute chiacutenh thức

A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute

Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin

cần được thiết lập nhằm bảo vệ thocircng tin khỏi

sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp

phaacutep

A1074 An toagraven cho caacutec tagravei liệu hệ

thống


Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi

sự truy cập traacutei pheacutep

A108 Trao đổi thocircng tin

Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội

bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei

A1081 Caacutec thủ tục vagrave chiacutenh saacutech

trao đổi thocircng tin


Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute

chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao

đổi thocircng tin thocircng qua hệ thống truyền thocircng

A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute

Caacutec thỏa thuận cần được thiết lập cho việc trao

đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec

thực thể becircn ngoagravei

A1083 Vận chuyển phương tiện vật

lyacute


Phương tiện chứa thocircng tin cần được bảo vệ

khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn

34

TCVN 27001 2008

traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi

địa lyacute của tổ chức

A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute

Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử

cần được bảo vệ một caacutech thỏa đaacuteng

A1085 Caacutec hệ thống thocircng tin

nghiệp vụ


Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển

vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với

sự kết nối giữa caacutec caacutec hệ thống thocircng tin

nghiệp vụ

A109 Caacutec dịch vụ thương mại điện tử

Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech

bảo đảm

A1091 Thương mại điện tử Biện phaacutep quản lyacute

Thocircng tin trong thương mại điện tử truyền qua

caacutec mạng cocircng cộng cần phải được bảo vệ khỏi

caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng

khai sửa đổi traacutei pheacutep

A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute

Thocircng tin trong caacutec giao dịch trực tuyến cần

được bảo vệ nhằm ngăn chặn việc truyền khocircng

đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai

hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep

A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute

Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn

caacutec hệ thống cocircng cộng cần phải được bảo vệ

nhằm ngăn chặn sự sửa đổi traacutei pheacutep

A1010 Giaacutem saacutet

Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep

A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute

35

TCVN 27001 2008

Việc ghi lại tất cả caacutec hoạt động của người

dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven

thocircng tin cần phải được thực hiện vagrave duy trigrave

trong một khoảng thời gian đatilde được thỏa thuận

nhằm trợ giuacutep cho việc điều tra cũng như giaacutem

saacutet điều khiển truy cập về sau

A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute

Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức

năng xử lyacute thocircng tin cần được thiết lập vagrave kết

quả giaacutem saacutet cần phải được xem xeacutet lại thường

xuyecircn

A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute

Caacutec chức năng ghi nhật kyacute cũng như thocircng tin

nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave

truy cập traacutei pheacutep

A10104 Nhật kyacute người điều hagravenh vagrave

người quản trị


Tất cả caacutec hoạt động của người quản trị cũng

như người điều hagravenh hagravenh hệ thống cần phải

được ghi lại

A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute

Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec

hoạt động xử lyacute cần thiết

A10106 Đồng bộ thời gian Biện phaacutep quản lyacute

Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong

tổ chức hoặc trong một phạm vi an toagraven cần

được đồng bộ với một nguồn thời gian chiacutenh xaacutec

đatilde được đồng yacute lựa chọn

A11 Quản lyacute truy cập

A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập

Mục tiecircu Quản lyacute caacutec truy cập thocircng tin

36

TCVN 27001 2008

A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute

Chiacutenh saacutech quản lyacute truy cập cần được thiết lập

tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo

mật vagrave nghiệp vụ cho caacutec truy cập

A112 Quản lyacute truy cập người sử dụng

Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng

khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin

A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute

Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy

đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp

phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec

hệ thống vagrave dịch vụ thocircng tin

A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute

Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải

được giới hạn vagrave kiểm soaacutet

A1123 Quản lyacute mật khẩu người sử

dụng


Sự cấp phaacutet mật khẩu người dugraveng cần được

kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh

thức

A1124 Soaacutet xeacutet lại caacutec quyền truy

cập của người dugraveng


Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec

quyền truy cập của người sử dụng bằng sử

dụng một quy trigravenh chiacutenh thức

A113 Caacutec traacutech nhiệm của người dugraveng

Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin

cũng như caacutec chức năng xử lyacute thocircng tin

A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute

Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng

vagrave đặt mật khẩu an toagraven

A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute

37

TCVN 27001 2008

Người dugraveng cần đảm bảo rằng caacutec thiết bị khi

khocircng coacute chủ sở hữu phải được bảo vệ thiacutech

hợp

A1133 Chiacutenh saacutech giữ sạch bagraven vagrave

magraven higravenh lagravem việc


Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave

caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh

sạch caacutec chức năng xử lyacute thocircng tin đều cần

được thực hiện

A114 Quản lyacute truy cập mạng

Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng

A1141 Chiacutenh saacutech sử dụng caacutec dịch

vụ mạng


Người dugraveng chỉ được cung cấp quyền truy cập

đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep

A1142 Xaacutec thực người sử dụng cho

caacutec kết nối becircn ngoagravei


Caacutec biện phaacutep chứng thực thiacutech hợp cần được

sử dụng để quản lyacute truy cập bởi caacutec người dugraveng

từ xa

A1143 Định danh thiết bị trong caacutec

mạng


Sự định danh thiết bị một caacutech tự động cần

được xem xeacutet như lagrave một biện phaacutep để xaacutec thực

kết nối từ caacutec vị triacute vagrave thiết bị nhất định

A1144 Bảo vệ cổng cấu higravenh vagrave

chẩn đoaacuten từ xa


Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng

cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm

soaacutet

A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute

Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống

thocircng tin cần được phacircn taacutech trecircn caacutec mạng

khaacutec nhau

38

TCVN 27001 2008

A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute

Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng

mở rộng ra ngoagravei tổ chức số lượng người sử

dụng coacute thể kết nối đến cần phải được giới hạn

song song với caacutec chiacutenh saacutech quản lyacute truy cập

vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem

111)

A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute

Quản lyacute định tuyến mạng cần được triển khai

nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave

luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech

quản lyacute truy cập của caacutec ứng dụng nghiệp vụ

A115 Quản lyacute truy cập hệ thống điều hagravenh

Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh

A1151 Caacutec thủ tục đăng nhập an

toagraven


Truy cập đến hệ thống điều hagravenh cần được kiểm

soaacutet bởi thủ tục đăng nhập an toagraven

A1152 Định danh vagrave chứng thực

người dugraveng


Tất cả mọi người dugraveng đều coacute một định danh

duy nhất (định danh người dugraveng ndash User ID) để

sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec

thực thiacutech hợp cần được chọn nhằm chứng thực

đặc điểm nhận dạng của người dugraveng

A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute

Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả

năng tương taacutec vagrave bảo đảm chất lượng của mật

khẩu

A1154 Sử dụng caacutec tiện iacutech hệ

thống


Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra

ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec

chương trigravenh ứng dụng khaacutec cần phải được giới

39

TCVN 27001 2008

hạn vagrave kiểm soaacutet chặt chẽ

A1155 Thời gian giới hạn của phiecircn

lagravem việc


Caacutec phiecircn lagravem việc khocircng hoạt động cần được

tắt sau một khoảng thời gian trễ nhất định

A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute

Cần hạn chế thời gian kết nối để lagravem tăng mức

bảo mật của caacutec ứng dụng coacute mức rủi ro cao

A116 Điều khiển truy cập thocircng tin vagrave ứng dụng

Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng

A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute

Truy cập tới thocircng tin vagrave caacutec chức năng của hệ

thống ứng dụng của người sử dụng cũng như

caacutec nhacircn viecircn cần được hạn chế sao cho phugrave

hợp với chiacutenh saacutech quản lyacute truy cập đatilde được

xaacutec định rotilde

A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute

Caacutec hệ thống nhạy cảm cần được đặt riecircng

(caacutech ly) coacute một mocirci trường maacutey tiacutenh

A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa

Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa

A1171 Tiacutenh toaacuten vagrave truyền thocircng di

động


Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị

vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin

thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi

caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng

di động

A1172 Lagravem việc từ xa Biện phaacutep quản lyacute

Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ

tục cần được phaacutet triển vagrave triển khai cho caacutec

40

TCVN 27001 2008

hoạt động lagravem việc từ xa

A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin

A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin

Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống

thocircng tin

A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu

cầu về an toagraven


Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một

hệ thống thocircng tin mới hoặc được nacircng cấp của

một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu

cầu về biện phaacutep quản lyacute an toagraven thocircng tin

A122 Khắc phục ứng dụng

Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong

caacutec ứng dụng

A1221 Kiểm tra tiacutenh hợp lệ của dữ

liệu nhập vagraveo


Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm

tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey

lagrave chiacutenh xaacutec vagrave thiacutech hợp

A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute

Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong

caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch

do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi

coacute chủ yacute

A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute

Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec

thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong

caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute

cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep

quản lyacute phugrave hợp


liệu đầu ra


Dữ liệu xuất ra từ một ứng dụng cần được kiểm

41

TCVN 27001 2008

tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin

chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp

A123 Quản lyacute matilde hoacutea

Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde

hoacutea

A1231 Chiacutenh saacutech sử dụng caacutec biện

phaacutep quản lyacute matilde hoacutea


Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep

quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được

xacircy dựng vagrave triển khai

A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute

Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho

caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ

chức

A124 An toagraven cho caacutec tệp tin hệ thống

Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống

A1241 Sự quản lyacute caacutec phần mềm

điều hagravenh



lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống

điều hagravenh

A1242 Bảo vệ dữ liệu kiểm tra hệ

thống


Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave

kiểm soaacutet một caacutech thận trọng

A1243 Quản lyacute truy cập đến matilde

nguồn của chương trigravenh


Sự truy cập đến matilde nguồn của chương trigravenh cần

được giới hạn chặt chẽ

A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển

Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng

A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute

42

TCVN 27001 2008

Việc thực thi caacutec thay đổi cần được quản lyacute

bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi

chiacutenh thức

A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng

dụng sau khi coacute caacutec thay đổi

của hệ thống điều hagravenh


Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu

nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại

nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh

hưởng bất lợi tới hoạt động cũng như an toagraven

của tổ chức

A1253 Hạn chế caacutec thay đổi caacutec goacutei

phần mềm


Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được

khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện

đối với caacutec thay đổi rất cần thiết Trong trường

hợp đoacute mọi thay đổi cần phải được quản lyacute chặt

chẽ

A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute

Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải

được ngăn chặn

A1255 Phaacutet triển phần mềm thuecirc

khoaacuten


Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần

phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức

A126 Quản lyacute caacutec điểm yếu về kỹ thuật

Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ

thuật đatilde được cocircng bố

A1261 Quản lyacute caacutec nguy cơ về mặt

kỹ thuật


Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của

caacutec hệ thống thocircng tin đang được sử dụng cần

phải được thu thập Đồng thời tổ chức cần cocircng

bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec

biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn

quan

43

TCVN 27001 2008

A13 Quản lyacute caacutec sự cố an toagraven thocircng tin

A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin

Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ

thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời

A1311 Baacuteo caacuteo caacutec sự kiện an toagraven

thocircng tin


Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo

caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh

nhất coacute thể

A1312 Baacuteo caacuteo caacutec nhược điểm về

bảo mật


Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của

caacutec hệ thống thocircng tin cần được yecircu cầu phải

chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo

đảm an toagraven đatilde thấy được hoặc cảm thấy nghi

ngờ trong caacutec hệ thống hoặc dịch vụ

A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp

Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản

lyacute caacutec sự cố an toagraven thocircng tin

A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute

Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được

thiết lập nhằm đảm bảo sự phản ứng nhanh

choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy

ra caacutec sự cố an toagraven thocircng tin

A1322 Ruacutet bagravei học kinh nghiệm từ

caacutec sự cố an toagraven thocircng tin


Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho

pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối

lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng

tin

A1323 Thu thập chứng cứ Biện phaacutep quản lyacute

Khi một hagravenh động nhằm chống lại một người

hay một tổ chức sau khi coacute một sự cố an toagraven

thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp

44

TCVN 27001 2008

phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)

chứng cứ cần được thu thập giữ lại vagrave được

trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute

A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ

A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ

Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt

động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm

bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec

A1411 Bao gồm bảo đảm an toagraven

thocircng tin trong caacutec quaacute trigravenh

quản lyacute sự liecircn tục của hoạt

động nghiệp vụ


Một quaacute trigravenh được quản lyacute cần được xacircy dựng

vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ

quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute

trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an

toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec

hoạt động liecircn tục của tổ chức

A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục

trong hoạt động của tổ chức


Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute

trigravenh hoạt động của tổ chức cần được xaacutec định

cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu

quả của chuacuteng đối với an toagraven thocircng tin

A1413 Phaacutet triển vagrave triển khai liecircn

tục caacutec kế hoạch trong đoacute

bao gồm vấn đề bảo đảm an



Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm

duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh

vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu

cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec

giaacuten đoạn vagrave vấn đề xảy ra

A1414 Khung hoạch định sự liecircn tục

trong kinh doanh


Một khung hoạch định caacutec kế hoạch đảm bảo

liecircn tục trong kinh doanh cần được duy trigrave để

mọi kế hoạch được thực hiện một caacutech nhất

quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an

toagraven thocircng tin cũng như xaacutec định được caacutec mức

45

TCVN 27001 2008

độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave

A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute

lại caacutec kế hoạch đảm bảo sự

liecircn tục trong hoạt động của

tổ chức


Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt

động đơn vị cần được kiểm thử vagrave cập nhật

thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật

vagrave hiệu quả

A15 Sự phugrave hợp

A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute

Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec

yecircu cầu về bảo đảm an toagraven thocircng tin

A1511 Xaacutec định caacutec điều luật coacute thể

aacutep dụng được


Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy

định cam kết trong hợp đồng đatilde kyacute caacutech tiếp

cận của tổ chức cần phải được xaacutec định rotilde ragraveng

tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn

A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute

Caacutec thủ tục phugrave hợp cần được triển khai nhằm

đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec

quy định vagrave cam kết theo hợp đồng trong việc

sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về

bản quyền sở hữu triacute tuệ

A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute

Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự

mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave

hợp với phaacutep luật quy định caacutec ragraveng buộc trong

hợp đồng đatilde kyacute

A1514 Bảo vệ dữ liệu vagrave sự riecircng tư

của thocircng tin caacute nhacircn


Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được

đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể

bao gồm cả caacutec điều khoản trong hợp đồng vagrave

yecircu cầu nghiệp vụ

46

TCVN 27001 2008

A1515 Ngăn ngừa việc lạm dụng

chức năng xử lyacute thocircng tin


Cần phải ngăn chặn người dugraveng khỏi việc sử

dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục

điacutech khocircng được pheacutep

A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute

Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với

caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn

quan

A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ

thuật

Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ

chức

A1521 Phugrave hợp với caacutec chiacutenh saacutech

vagrave tiecircu chuẩn an toagraven


Người quản lyacute cần đảm bảo rằng mọi thủ tục

đảm bảo an toagraven trong phạm vi traacutech nhiệm của

migravenh đều được thực hiện chiacutenh xaacutec để đạt được

kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như

caacutec tiecircu chuẩn đảm bảo an toagraven

A1522 Kiểm tra sự tương thiacutech kỹ

thuật


Caacutec hệ thống thocircng tin cần được kiểm tra

thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn

thực hiện đảm bảo an toagraven

A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin

Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm

toaacuten caacutec hệ thống thocircng tin

A1531 Caacutec biện phaacutep quản lyacute kiểm



Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm

tra caacutec hệ thống điều hagravenh cần được hoạch định

thận trọng vagrave thống nhất để hạn chế rủi ro hoặc

sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ

A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute

47

TCVN 27001 2008

toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống

thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng

hoặc bị lợi dụng

Phụ lục B

(Tham khảo)

Nguyecircn tắc của OECD vagrave hệ hống ISMS

Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for

Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)

cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec

chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave

mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng

tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh

PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong

bảng B1 dưới đacircy

Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA

Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn

trong mocirc higravenh PDCA tương ứng

Nhận thức

Người tham gia cần phải hiểu sự cần

thiết của cocircng taacutec đảm bảo an toagraven

trong caacutec hệ thống thocircng tin vagrave mạng

cũng như coacute đủ kiến thức để đảm bảo

hiệu quả cocircng taacutec đảm bảo an toagraven

thocircng tin

Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem

422 vagrave 522)

Traacutech nhiệm

Tất cả những người tham gia đều

phải coacute traacutech nhiệm đối với sự an


422 vagrave 51)

48

TCVN 27001 2008

toagraven của hệ thống thocircng tin vagrave mạng

Đaacutep ứng

Người tham gia cần phải lagravem việc

theo caacutech cộng taacutec với nhau vagrave theo

giờ hợp lyacute để coacute thể ngăn chặn nhận

biết vagrave phản ứng lại với những sự cố

an toagraven xảy ra bất ngờ

Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm

tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong

giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng

bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave

giai đoạn Kiểm tra (C)

Đaacutenh giaacute rủi ro

Những người tham gia cần phải quản

lyacute caacutec đaacutenh giaacute rủi ro

Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)

(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn

Kiểm tra (C) (xem 423 vagrave 6 tới 73)

Thiết kế vagrave triển khai đảm bảo an

toagraven

Người tham gia cần kết hợp chặt chẽ

đảm bảo an toagraven như lagrave caacutec nhacircn tố

cơ bản của hệ thống thocircng tin vagrave

mạng

Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute

sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của

giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực

hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử

dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey

Quản lyacute an toagraven

Người tham gia cần sử dụng một

phương phaacutep toagraven diện để quản lyacute an

toagraven

Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn

dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute

trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute

trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra

(C) vagrave Hagravenh động (A)

Đaacutenh giaacute lại

Người tham gia cần phải soaacutet xeacutet

đaacutenh giaacute lại sự an toagraven của caacutec hệ

thống thocircng tin vagrave mạng vagrave tiến hagravenh

caacutec điều chỉnh phugrave hợp trong chiacutenh

saacutech quy tắc tiecircu chuẩn vagrave thủ tục

đảm bảo an toagraven

Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn

Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một

caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của

hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave

một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới

83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)

Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO

140012004

Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu

chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin

so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn

Tiecircu chuẩn ldquoHệ thống

quản lyacute ATTTrdquo

ISO 90012000 ISO 140012004

0 Giới thiệu



03 Sự tương thiacutech với caacutec hệ

thống quản lyacute khaacutec

0 Giới thiệu


02 Caacutech tiếp cận theo quaacute trigravenh

03 Mối quan hệ với ISO 9004

04 Sự tương thiacutech với caacutec hệ thống

quản lyacute khaacutec

0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi

2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn

3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định

nghĩa

4 Hệ thống quản lyacute an toagraven thocircng

tin


42 Thiết lập vagrave quản lyacute hệ thống

ISMS

421 Thiết lập ISMS

4 Hệ thống quản lyacute chất lượng

41 Yecircu cầu chung

823 Theo dotildei vagrave đo lường caacutec quaacute

trigravenh

824 Theo dotildei vagrave đo lường caacutec sản

phẩm

4 Caacutec yecircu cầu của IMS


41 Thực thi vagrave điều khiển

451 Giaacutem saacutet vagrave đo đạc

50

TCVN 27001 2008

422 Triển khai vagrave điều hagravenh hệ

thống ISMS

423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống

ISMS

424 Duy trigrave vagrave nacircng cấp hệ thống

ISMS

43 Caacutec yecircu cầu về tagravei liệu hoacutea


432 Quản lyacute tagravei liệu

433 Quản lyacute hồ sơ



422 Sổ tay chất lượng

423 Kiểm soaacutet tagravei liệu

424 Kiểm soaacutet hồ sơ


454 Quản lyacute caacutec bản ghi



5 Traacutech nhiệm của latildenh đạo

51 Cam kết của latildenh đạo

52 Hướng vagraveo khaacutech hagraveng

53 Chiacutenh saacutech chất lượng

54 Hoạch định

55 Traacutech nhiecircm quyền hạn vagrave trao đổi

thocircng tin

42 Chiacutenh saacutech về mocirci

trường

43 Lecircn kế hoạch


521 Dự phograveng nguồn lực

522 Đagraveo tạo nhận thức trigravenh độ


61 Cung cấp nguồn lực

62 Nguồn nhacircn lực

622 Năng lực nhận thức vagrave đagraveo tạo

63 Cơ sở hạ tầng

64 Mocirci trường lagravem việc

442 Đagraveo tạo nhận thức

trigravenh độ

6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ

7 Ban quản lyacute soaacutet xeacutet hệ thống

ISMS


56 Xem xeacutet của latildenh đạo



46 Soaacutet xeacutet cocircng taacutec

quản lyacute

51

TCVN 27001 2008

72 Đầu vagraveo cho việc soaacutet xeacutet





82 Hoạt động khắc phục

83 Hoạt động ngăn ngừa

85 Cải tiến

851 Cải tiến thường xuyecircn


853 Hagravenh động ngăn ngừa

453 Sự bất tuacircn hoạt

động sửa chữa hoạt

động ngăn ngừa

Phụ lục A Caacutec mục tiecircu quản lyacute vagrave

biện phaacutep quản lyacute

Phụ lục B Caacutec nguyecircn tắc OECD

vagrave caacutec tiecircu chuẩn

Phụ lục C Sự phugrave hợp giữa caacutec

chuẩn ISO 90012000 ISO

140012004 vagrave tiecircu chuẩn quốc tế

nagravey

Phụ lục A Sự phugrave hợp giữa caacutec chuẩn

ISO 90012000 vagrave chuẩn ISO

140012004

Phụ lục A Hướng dẫn sử

dụng tiecircu chuẩn quốc tế

nagravey

Phụ lục B Sự phugrave hợp

giữa caacutec chuẩn ISO

90012000 vagrave chuẩn ISO

140012004

52

TCVN 27001 2008

Tagravei liệu tham khảo

Tiecircu chuẩn kỹ thuật

[1] ISO 90012000 Quality management systems 1048754 Requirements

[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754

Management of information and communications technology security 1048754 Part 1

Concepts and models for information and communications technology security

management

[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the

management of IT Security

Part 3 Techniques for the management of IT security



Part 4 Selection of safeguards

[5] ISO 140012004 Environmental management systems 1048754 Requirements with

guidance for use

[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754

Information security

incident management

[7] ISO 190112002 Guidelines for quality andor environmental management

systems auditing

[8] ISOIEC Guide 621996 General requirements for bodies operating

assessment and

certificationregistration of quality systems

[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use

in standards

[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu

[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng

tin

53

TCVN 27001 2008

Caacutec tagravei liệu khaacutec

[1] OECD Guidelines for the Security of Information Systems and Networks 1048754

Towards a Culture of

Security Paris OECD July 2002 wwwoecdorg

[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems

[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced

Engineering Study 1986

54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008

41 Caacutec yecircu cầu chung10

42 Thiết lập vagrave quản lyacute hệ thống ISMS10

421 Thiết lập hệ thống ISMS10

422 Triển khai vagrave điều hagravenh hệ thống ISMS13

423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS14

424 Duy trigrave vagrave nacircng cấp hệ thống ISMS15

43 Caacutec yecircu cầu về hệ thống tagravei liệu15


432 Biện phaacutep quản lyacute tagravei liệu17

433 Biện phaacutep quản lyacute hồ sơ17

5 Traacutech nhiệm của ban quản lyacute18

51 Cam kết của ban quản lyacute18

52 Quản lyacute nguồn lực18

521 Cấp phaacutet nguồn lực18

522 Đagraveo tạo nhận thức vagrave năng lực19

6 Kiểm tra nội bộ hệ thống ISMS19

7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS20


72 Đầu vagraveo của việc soaacutet xeacutet20

73 Đầu ra của việc soaacutet xeacutet21

8 Nacircng cấp hệ thống ISMS21

81 Nacircng cấp thường xuyecircn21

82 Hagravenh động khắc phục22

83 Hagravenh động phograveng ngừa22

Phụ lục A24

Phụ lục B49

Phụ lục C51

Tagravei liệu tham khảo54

2

TCVN 27001 2008





3


















của tổ chức










trọng của

4

TCVN 27001 2008


















P

D

C

A




ISMS


ISMS


quan



tin


quan



tin


quan


tin


quan


tin

5

TCVN 27001 2008


ISMS





tổ chức






xeacutet ISMS






cấp ISMS





hệ thống ISMS





6

TCVN 27001 2008















12 Aacutep dụng





31 Tagravei sản




cầu




7

TCVN 27001 2008




cậy






















giaacute rủi ro


8

TCVN 27001 2008















316 Tổ chức
















9

TCVN 27001 2008































10

TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008





3


















của tổ chức










trọng của

4

TCVN 27001 2008


















P

D

C

A




ISMS


ISMS


quan



tin


quan



tin


quan


tin


quan


tin

5

TCVN 27001 2008


ISMS





tổ chức






xeacutet ISMS






cấp ISMS





hệ thống ISMS





6

TCVN 27001 2008















12 Aacutep dụng





31 Tagravei sản




cầu




7

TCVN 27001 2008




cậy






















giaacute rủi ro


8

TCVN 27001 2008















316 Tổ chức
















9

TCVN 27001 2008































10

TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C



















của tổ chức










trọng của

4

TCVN 27001 2008


















P

D

C

A




ISMS


ISMS


quan



tin


quan



tin


quan


tin


quan


tin

5

TCVN 27001 2008


ISMS





tổ chức






xeacutet ISMS






cấp ISMS





hệ thống ISMS





6

TCVN 27001 2008















12 Aacutep dụng





31 Tagravei sản




cầu




7

TCVN 27001 2008




cậy






















giaacute rủi ro


8

TCVN 27001 2008















316 Tổ chức
















9

TCVN 27001 2008































10

TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008


















P

D

C

A




ISMS


ISMS


quan



tin


quan



tin


quan


tin


quan


tin

5

TCVN 27001 2008


ISMS





tổ chức






xeacutet ISMS






cấp ISMS





hệ thống ISMS





6

TCVN 27001 2008















12 Aacutep dụng





31 Tagravei sản




cầu




7

TCVN 27001 2008




cậy






















giaacute rủi ro


8

TCVN 27001 2008















316 Tổ chức
















9

TCVN 27001 2008































10

TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008


ISMS





tổ chức






xeacutet ISMS






cấp ISMS





hệ thống ISMS





6

TCVN 27001 2008















12 Aacutep dụng





31 Tagravei sản




cầu




7

TCVN 27001 2008




cậy






















giaacute rủi ro


8

TCVN 27001 2008















316 Tổ chức
















9

TCVN 27001 2008































10

TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008















12 Aacutep dụng





31 Tagravei sản




cầu




7

TCVN 27001 2008




cậy






















giaacute rủi ro


8

TCVN 27001 2008















316 Tổ chức
















9

TCVN 27001 2008































10

TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008




cậy






















giaacute rủi ro


8

TCVN 27001 2008















316 Tổ chức
















9

TCVN 27001 2008































10

TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008















316 Tổ chức
















9

TCVN 27001 2008































10

TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008































10

TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008





























11

TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008














vv















bị bỏ soacutet


12

TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008
















tin (xem 5)



traacutech nhiệm










13

TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008



tin (xem 423a)

















được


bảo đảm ATTT



thay đổi trong

1) Tổ chức

2) Cocircng nghệ



14

TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008






hiện













khaacutec









15

TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008














423c)













16

TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008




nhằm




liệu



















toaacuten vvhellip



17

TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008



bằng











thường xuyecircn










thống ISMS


nghiệp vụ



18

TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008









giao




















19

TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008






























20

TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008




























lyacute (xem 7)

21

TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008








trở lại












hiện









22

TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008

Phụ lục A







431)









thocircng tin













hiệu lực




23

TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008










thocircng tin
















hagravenh





lại



thẩm quyền










tin


24

TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008








tin












phần nagravey










thứ 3











25

TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008














khai






tổ chức


tin





chức lựa chọn



26

TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008















caacutec rủi ro


dụng


















27

TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008





tin










tin





đồng
















28

TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008









chức


lyacute











aacutep dụng



trường







an toagraven




dụng








29

TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008





















becircn ngoagravei














30

TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008












dugraveng đến











hagravenh













31

TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008






























cocircng nhận






32

TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008



dụng






A105 Sao lưu


tin





chấp thuận










mạng








33

TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008



thể di dời












phaacutep


thống


















lyacute




34

TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008







nghiệp vụ





nghiệp vụ



bảo đảm


















35

TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008











xuyecircn










được ghi lại












36

TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008

















dụng




thức














37

TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008



hợp











vụ mạng









từ xa


mạng










soaacutet




khaacutec nhau

38

TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008







111)









toagraven





người dugraveng










khẩu


thống





39

TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008



lagravem việc





















động






di động




40

TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008





thocircng tin





























liệu đầu ra



41

TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008





hoacutea










chức




điều hagravenh




điều hagravenh


thống












42

TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008



chiacutenh thức









của tổ chức


phần mềm






chẽ





khoaacuten








kỹ thuật







quan

43

TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008






thocircng tin






bảo mật





















tin





44

TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008






































trong kinh doanh







45

TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008





tổ chức



































46

TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008










quan


thuật


chức










thuật
















47

TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008




Phụ lục B

(Tham khảo)













Nhận thức






thocircng tin


422 vagrave 522)

Traacutech nhiệm




422 vagrave 51)

48

TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008


Đaacutep ứng


















toagraven




mạng









toagraven


















83)

49

TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008

Phụ lục C

(Tham khảo)


140012004






ISO 90012000 ISO 140012004

0 Giới thiệu





0 Giới thiệu






0 Giới thiệu

1 Phạm vi


12 Aacutep dụng

1 Phạm vi


12 Aacutep dụng

1 Phạm vi



nghĩa


tin



ISMS





trigravenh


phẩm





50

TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008


thống ISMS


ISMS


ISMS


















54 Hoạch định


thocircng tin


trường












trigravenh độ



ISMS






quản lyacute

51

TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008








85 Cải tiến














nagravey



140012004



nagravey




140012004

52

TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008







management








guidance for use



incident management


systems auditing


assessment and



in standards



tin

53

TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN 27001 2008








54








12 Aacutep dụng



31 Tagravei sản















316 Tổ chức


























Phụ lục A

Phụ lục B

Phụ lục C


TCVN ISO 27001 4

Documents

Transcript of TCVN ISO 27001 4