TCVN ISO 27001 4
Transcript of TCVN ISO 27001 4
TCVN 27001 2008
Mục lục
Lời noacutei đầu3
Lời giới thiệu4
01 Khaacutei quaacutet4
02 Caacutech tiếp cận theo quy trigravenh4
03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec6
1 Phạm vi aacutep dụng7
11 Khaacutei quaacutet7
12 Aacutep dụng7
2 Tagravei liệu viện dẫn7
3 Thuật ngữ vagrave định nghĩa7
31 Tagravei sản7
32 Tiacutenh sẵn sagraveng7
33 Tiacutenh biacute mật7
34 An toagraven thocircng tin8
35 Sự kiện an toagraven thocircng tin8
36 Sự cố an toagraven thocircng tin8
37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)8
38 Tiacutenh toagraven vẹn8
39 Rủi ro tồn đọng8
310 Sự chấp nhận rủi ro8
311 Phacircn tiacutech rủi ro8
312 Đaacutenh giaacute rủi ro8
313 Quản lyacute rủi ro9
314 Xử lyacute rủi ro9
315 Thocircng baacuteo aacutep dụng9
316 Tổ chức9
4 Hệ thống quản lyacute an toagraven thocircng tin10
1
TCVN 27001 2008
41 Caacutec yecircu cầu chung10
42 Thiết lập vagrave quản lyacute hệ thống ISMS10
421 Thiết lập hệ thống ISMS10
422 Triển khai vagrave điều hagravenh hệ thống ISMS13
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS14
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS15
43 Caacutec yecircu cầu về hệ thống tagravei liệu15
431 Khaacutei quaacutet16
432 Biện phaacutep quản lyacute tagravei liệu17
433 Biện phaacutep quản lyacute hồ sơ17
5 Traacutech nhiệm của ban quản lyacute18
51 Cam kết của ban quản lyacute18
52 Quản lyacute nguồn lực18
521 Cấp phaacutet nguồn lực18
522 Đagraveo tạo nhận thức vagrave năng lực19
6 Kiểm tra nội bộ hệ thống ISMS19
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS20
71 Khaacutei quaacutet20
72 Đầu vagraveo của việc soaacutet xeacutet20
73 Đầu ra của việc soaacutet xeacutet21
8 Nacircng cấp hệ thống ISMS21
81 Nacircng cấp thường xuyecircn21
82 Hagravenh động khắc phục22
83 Hagravenh động phograveng ngừa22
Phụ lục A24
Phụ lục B49
Phụ lục C51
Tagravei liệu tham khảo54
2
TCVN 27001 2008
Lời noacutei đầu
Bản dự thảo tiecircu chuẩn kỹ thuật nagravey được Trung tacircm Ứng cứu khẩn cấp Maacutey tiacutenh
Việt Nam biecircn soạn hoagraven toagraven phugrave hợp với tiecircu chuẩn quốc tế ISOIEC
270012005 rdquoInformation security management systemrdquo
3
TIEcircU CHUẨN VIỆT NAM TCVN 27001 2008
Lời giới thiệu
01 Khaacutei quaacutet
Tiecircu chuẩn quốc tế nagravey được chuẩn bị để đưa ra một mocirc higravenh cho việc thiết lập
triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an
toagraven thocircng tin (ISMS) Việc chấp nhận một hệ thống ISMS sẽ lagrave một quyết định
chiến lược của tổ chức Thiết kế vagrave triển khai hệ thống quản lyacute an toagraven thocircng tin
của một tổ chức phụ thuộc vagraveo caacutec nhu cầu vagrave mục tiecircu khaacutec nhau caacutec yecircu cầu
về an toagraven cần phải đạt caacutec quy trigravenh đang được sử dụng vagrave quy mocirc cấu truacutec của
tổ chức Caacutec điều nagravey vagrave caacutec hệ thống hỗ trợ cần luocircn được cập nhật vagrave thay đổi
Việc đầu tư vagrave triển khai một hệ thống ISMS cần phải coacute tỷ trọng phugrave hợp với nhu
cầu của tổ chức
Tiecircu chuẩn nagravey coacute thể sử dụng để đaacutenh giaacute sự tuacircn thủ của caacutec bộ phận becircn trong
tổ chức cũng như caacutec bộ phận liecircn quan becircn ngoagravei tổ chức
02 Caacutech tiếp cận theo quy trigravenh
Tiecircu chuẩn nagravey khuyến khiacutech việc chấp nhận caacutech tiếp cận theo quy trigravenh khi thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống ISMS
của tổ chức
Một tổ chức cần xaacutec định vagrave quản lyacute rất nhiều hoạt động để vận hagravenh một caacutech
hiệu quả Bất cứ hoạt động nagraveo sử dụng caacutec tagravei nguyecircn vagrave quản lyacute việc tiếp nhận
caacutec đầu vagraveo chuyển hoacutea thagravenh đầu ra coacute thể coi như một quy trigravenh Thocircng thường
đầu ra của một quy trigravenh nagravey lagrave đầu vagraveo của một quy trigravenh tiếp theo
Việc aacutep dụng một hệ thống caacutec quy trigravenh trong tổ chức cugraveng với sự nhận biết
tương taacutec giữa caacutec quy trigravenh như vậy vagrave sự quản lyacute chuacuteng coacute thể coi như ldquocaacutech
tiếp cận theo quy trigravenhrdquo
Caacutech tiếp cận theo quy trigravenh cho quản lyacute an toagraven thocircng tin được trigravenh bagravey trong
tiecircu chuẩn nagravey nhằm khuyến khiacutech người sử dụng nhấn mạnh caacutec điểm quan
trọng của
4
TCVN 27001 2008
a) Việc hiểu caacutec yecircu cầu an toagraven thocircng tin của tổ chức vagrave caacutec sự cần thiết phải
thiết lập chiacutenh saacutech vagrave mục tiecircu cho an toagraven thocircng tin
b) Việc triển khai vagrave điều hagravenh caacutec biện phaacutep để quản lyacute rủi ro an toagraven thocircng tin
của tổ chức trước tất cả caacutec rủi ro chung coacute thể xảy ra với tổ chức
c) Việc giaacutem saacutet vagrave soaacutet xeacutet lợi iacutech vagrave hiệu quả của hệ thống ISMS vagrave
d) Thường xuyecircn nacircng cấp dựa trecircn caacutec khuocircn khổ mục tiecircu đatilde đặt ra
Tiecircu chuẩn nagravey thocircng qua mocirc higravenh ldquoLập kế hoạch ndash Thực hiện ndash Kiểm tra vagrave Hagravenh
độngrdquo (PDCA) để aacutep dụng cho tất cả caacutec quy trigravenh trong hệ thống ISMS Higravenh 1
dưới đacircy mocirc tả caacutech hệ thống ISMS lấy đầu vagraveo lagrave caacutec yecircu cầu vagrave kỳ vọng về bảo
mật thocircng tin của caacutec becircn thứ ba sau khi tiến hagravenh caacutec quy trigravenh xử lyacute cần thiết sẽ
đaacutep ứng an toagraven thocircng tin theo như caacutec yecircu cầu vagrave kỳ vọng đatilde đặt ra Higravenh 1 cũng
chỉ ra caacutec liecircn hệ giữa caacutec quy trigravenh được biểu diễn trong caacutec điều 4567 vagrave 8
Higravenh 1 Aacutep dụng mocirc higravenh PDCA cho caacutec quy trigravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
P
D
C
A
Thiết lập hệ thống ISMS
Thiết lập hệ thống ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
5
TCVN 27001 2008
P (Lập kế hoạch) - Thiết lập
ISMS
Thiết lập caacutec chiacutenh saacutech mục tiecircu quy trigravenh vagrave thủ
tục liecircn quan đến việc quản lyacute caacutec rủi ro vagrave nacircng
cao an toagraven thocircng tin nhằm đem lại caacutec kết quả
phugrave hợp với caacutec chiacutenh saacutech vagrave mục tiecircu chung của
tổ chức
D (Thực hiện) - Triển khai vagrave
điều hagravenh ISMS
Cagravei đặt vagrave vận hagravenh caacutec chiacutenh saacutech biện phaacutep
quản lyacute quy trigravenh vagrave thủ tục của hệ thống ISMS
C (Kiểm tra) - giaacutem saacutet vagrave soaacutet
xeacutet ISMS
Xaacutec định hiệu quả việc thực hiện quy trigravenh dựa
trecircn chiacutenh saacutech mục tiecircu magrave hệ thống ISMS đatilde
đặt ra kinh nghiệm thực tiễn vagrave baacuteo caacuteo kết quả
cho việc soaacutet xeacutet của ban quản lyacute
A (Hagravenh động) - Duy trigrave vagrave nacircng
cấp ISMS
Tiến hagravenh caacutec biện phaacutep hoagraven thiện vagrave bảo vệ dựa
trecircn caacutec kết quả của việc kiểm toaacuten nội bộ hệ
thống ISMS soaacutet xeacutet của ban quản lyacute hoặc caacutec
thocircng tin liecircn quan khaacutec nhằm liecircn tục hoagraven thiện
hệ thống ISMS
03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
Tiecircu chuẩn nagravey hoagraven toagraven tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec như ISO
90012000 TCVN ISO 90012000 vagrave ISO 140012004 nhằm đảm bảo sự thống
nhất vagrave thagravenh cocircng khi triển khai cugraveng luacutec caacutec tiecircu chuẩn quản lyacute khaacutec nhau
6
TCVN 27001 2008
1 Phạm vi aacutep dụng
11 Khaacutei quaacutet
Tiecircu chuẩn nagravey hướng tới việc aacutep dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec
nhau (viacute dụ tổ chức thương mại cơ quan nhagrave nước caacutec tổ chức phi lợi nhuận
vvhellip ) Nội dung tiecircu chuẩn chỉ rotilde yecircu cầu cho từng quaacute trigravenh thiết lập triển khai
điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp một hệ thống ISMS để đảm bảo
an toagraven thocircng tin trước những tất cả caacutec rủi ro coacute thể xảy ra với tổ chức Tiecircu
chuẩn nagravey cũng chỉ rotilde caacutec yecircu cầu khi triển khai caacutec biện phaacutep bảo vệ an toagraven đatilde
được chọn lọc phugrave hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức
Hệ thống ISMS được thiết kế caacutec biện phaacutep đảm bảo an toagraven thocircng tin phugrave hợp vagrave
đầy đủ để bảo vệ caacutec tagravei sản thocircng tin vagrave đem lại sự tin tưởng của caacutec becircn liecircn
quan như đối taacutec khaacutech hagraveng vvhellip
Caacutec yecircu cầu được trigravenh bagravey trong tiecircu chuẩn nagravey lagrave mang tiacutenh tổng quaacutet vagrave nhằm
ứng dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec nhau
12 Aacutep dụng
2 Tagravei liệu viện dẫn
Tiecircu chuẩn quốc tế ISOIEC 177992005
3 Thuật ngữ vagrave định nghĩa
Tiecircu chuẩn nagravey sử dụng caacutec thuật ngữ vagrave định nghĩa sau
31 Tagravei sản
Lagrave bất cứ gigrave coacute giaacute trị đối với tổ chức
32 Tiacutenh sẵn sagraveng
Tiacutenh chất đảm bảo mọi thực thể được pheacutep coacute thể truy cập vagrave sử dụng theo yecircu
cầu
33 Tiacutenh biacute mật
Tiacutenh chất đảm bảo thocircng tin khocircng sẵn sagraveng vagrave cocircng khai đối với caacutec caacute nhacircn
thực thể vagrave caacutec tiến trigravenh khocircng được pheacutep
7
TCVN 27001 2008
34 An toagraven thocircng tin
Sự duy trigrave tiacutenh biacute mật tiacutenh toagraven vẹn vagrave tiacutenh sẵn sagraveng của thocircng tin ngoagravei ra cograven coacute
thể bao hagravem một số tiacutenh chất khaacutec như xaacutec thực kiểm soaacutet chống chối bỏ vagrave tin
cậy
35 Sự kiện an toagraven thocircng tin
Một sự kiện xaacutec định xảy ra trong một hệ thống một dịch vụ hay một trạng thaacutei
mạng chỉ ra sự vi phạm chiacutenh saacutech an toagraven thocircng tin sự thất bại của hệ thống bảo
vệ hoặc một tigravenh huống bất ngờ liecircn quan đến an toagraven
36 Sự cố an toagraven thocircng tin
Một hoặc một chuỗi caacutec sự kiện an toagraven thocircng tin khocircng mong muốn coacute khả năng
lagravem tổn hại caacutec hoạt động của cơ quan tổ chức vagrave đe dọa an toagraven thocircng tin
37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
Hệ thống quản lyacute an toagraven thocircng tin lagrave một phần của hệ thống quản lyacute tổng thể căn
cứ vagraveo việc đaacutenh giaacute rủi ro coacute thể xuất hiện trong hoạt động của tổ chức để thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp an toagraven thocircng tin
Chuacute yacute Hệ thống quản lyacute tổng thể bao gồm cơ cấu chiacutenh saacutech kế hoạch hoạt
động traacutech nhiệm quy định thủ tục quy trigravenh vagrave tagravei nguyecircn của tổ chức
38 Tiacutenh toagraven vẹn
Tiacutenh chất đảm bảo sự chiacutenh xaacutec vagrave sự toagraven vẹn của caacutec tagravei sản
39 Rủi ro tồn đọng
Caacutec rủi ro cograven lại sau quaacute trigravenh xử lyacute rủi ro
310 Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro
311 Phacircn tiacutech rủi ro
Sử dụng thocircng tin một caacutech coacute hệ thống nhằm xaacutec định caacutec nguồn gốc vagrave đaacutenh
giaacute rủi ro
312 Đaacutenh giaacute rủi ro
8
TCVN 27001 2008
Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định
mức độ nghiecircm trọng của rủi ro
313 Quản lyacute rủi ro
Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro
coacute thể xảy ra
314 Xử lyacute rủi ro
Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro
315 Thocircng baacuteo aacutep dụng
Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức
Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết
quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay
chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ
chức để đảm bảo an toagraven thocircng tin
316 Tổ chức
Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn
tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng
nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh
thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với
nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau
Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả
caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute
quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC
tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động
lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức
ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản
linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng
hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC
chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven
đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -
9
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
41 Caacutec yecircu cầu chung10
42 Thiết lập vagrave quản lyacute hệ thống ISMS10
421 Thiết lập hệ thống ISMS10
422 Triển khai vagrave điều hagravenh hệ thống ISMS13
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS14
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS15
43 Caacutec yecircu cầu về hệ thống tagravei liệu15
431 Khaacutei quaacutet16
432 Biện phaacutep quản lyacute tagravei liệu17
433 Biện phaacutep quản lyacute hồ sơ17
5 Traacutech nhiệm của ban quản lyacute18
51 Cam kết của ban quản lyacute18
52 Quản lyacute nguồn lực18
521 Cấp phaacutet nguồn lực18
522 Đagraveo tạo nhận thức vagrave năng lực19
6 Kiểm tra nội bộ hệ thống ISMS19
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS20
71 Khaacutei quaacutet20
72 Đầu vagraveo của việc soaacutet xeacutet20
73 Đầu ra của việc soaacutet xeacutet21
8 Nacircng cấp hệ thống ISMS21
81 Nacircng cấp thường xuyecircn21
82 Hagravenh động khắc phục22
83 Hagravenh động phograveng ngừa22
Phụ lục A24
Phụ lục B49
Phụ lục C51
Tagravei liệu tham khảo54
2
TCVN 27001 2008
Lời noacutei đầu
Bản dự thảo tiecircu chuẩn kỹ thuật nagravey được Trung tacircm Ứng cứu khẩn cấp Maacutey tiacutenh
Việt Nam biecircn soạn hoagraven toagraven phugrave hợp với tiecircu chuẩn quốc tế ISOIEC
270012005 rdquoInformation security management systemrdquo
3
TIEcircU CHUẨN VIỆT NAM TCVN 27001 2008
Lời giới thiệu
01 Khaacutei quaacutet
Tiecircu chuẩn quốc tế nagravey được chuẩn bị để đưa ra một mocirc higravenh cho việc thiết lập
triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an
toagraven thocircng tin (ISMS) Việc chấp nhận một hệ thống ISMS sẽ lagrave một quyết định
chiến lược của tổ chức Thiết kế vagrave triển khai hệ thống quản lyacute an toagraven thocircng tin
của một tổ chức phụ thuộc vagraveo caacutec nhu cầu vagrave mục tiecircu khaacutec nhau caacutec yecircu cầu
về an toagraven cần phải đạt caacutec quy trigravenh đang được sử dụng vagrave quy mocirc cấu truacutec của
tổ chức Caacutec điều nagravey vagrave caacutec hệ thống hỗ trợ cần luocircn được cập nhật vagrave thay đổi
Việc đầu tư vagrave triển khai một hệ thống ISMS cần phải coacute tỷ trọng phugrave hợp với nhu
cầu của tổ chức
Tiecircu chuẩn nagravey coacute thể sử dụng để đaacutenh giaacute sự tuacircn thủ của caacutec bộ phận becircn trong
tổ chức cũng như caacutec bộ phận liecircn quan becircn ngoagravei tổ chức
02 Caacutech tiếp cận theo quy trigravenh
Tiecircu chuẩn nagravey khuyến khiacutech việc chấp nhận caacutech tiếp cận theo quy trigravenh khi thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống ISMS
của tổ chức
Một tổ chức cần xaacutec định vagrave quản lyacute rất nhiều hoạt động để vận hagravenh một caacutech
hiệu quả Bất cứ hoạt động nagraveo sử dụng caacutec tagravei nguyecircn vagrave quản lyacute việc tiếp nhận
caacutec đầu vagraveo chuyển hoacutea thagravenh đầu ra coacute thể coi như một quy trigravenh Thocircng thường
đầu ra của một quy trigravenh nagravey lagrave đầu vagraveo của một quy trigravenh tiếp theo
Việc aacutep dụng một hệ thống caacutec quy trigravenh trong tổ chức cugraveng với sự nhận biết
tương taacutec giữa caacutec quy trigravenh như vậy vagrave sự quản lyacute chuacuteng coacute thể coi như ldquocaacutech
tiếp cận theo quy trigravenhrdquo
Caacutech tiếp cận theo quy trigravenh cho quản lyacute an toagraven thocircng tin được trigravenh bagravey trong
tiecircu chuẩn nagravey nhằm khuyến khiacutech người sử dụng nhấn mạnh caacutec điểm quan
trọng của
4
TCVN 27001 2008
a) Việc hiểu caacutec yecircu cầu an toagraven thocircng tin của tổ chức vagrave caacutec sự cần thiết phải
thiết lập chiacutenh saacutech vagrave mục tiecircu cho an toagraven thocircng tin
b) Việc triển khai vagrave điều hagravenh caacutec biện phaacutep để quản lyacute rủi ro an toagraven thocircng tin
của tổ chức trước tất cả caacutec rủi ro chung coacute thể xảy ra với tổ chức
c) Việc giaacutem saacutet vagrave soaacutet xeacutet lợi iacutech vagrave hiệu quả của hệ thống ISMS vagrave
d) Thường xuyecircn nacircng cấp dựa trecircn caacutec khuocircn khổ mục tiecircu đatilde đặt ra
Tiecircu chuẩn nagravey thocircng qua mocirc higravenh ldquoLập kế hoạch ndash Thực hiện ndash Kiểm tra vagrave Hagravenh
độngrdquo (PDCA) để aacutep dụng cho tất cả caacutec quy trigravenh trong hệ thống ISMS Higravenh 1
dưới đacircy mocirc tả caacutech hệ thống ISMS lấy đầu vagraveo lagrave caacutec yecircu cầu vagrave kỳ vọng về bảo
mật thocircng tin của caacutec becircn thứ ba sau khi tiến hagravenh caacutec quy trigravenh xử lyacute cần thiết sẽ
đaacutep ứng an toagraven thocircng tin theo như caacutec yecircu cầu vagrave kỳ vọng đatilde đặt ra Higravenh 1 cũng
chỉ ra caacutec liecircn hệ giữa caacutec quy trigravenh được biểu diễn trong caacutec điều 4567 vagrave 8
Higravenh 1 Aacutep dụng mocirc higravenh PDCA cho caacutec quy trigravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
P
D
C
A
Thiết lập hệ thống ISMS
Thiết lập hệ thống ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
5
TCVN 27001 2008
P (Lập kế hoạch) - Thiết lập
ISMS
Thiết lập caacutec chiacutenh saacutech mục tiecircu quy trigravenh vagrave thủ
tục liecircn quan đến việc quản lyacute caacutec rủi ro vagrave nacircng
cao an toagraven thocircng tin nhằm đem lại caacutec kết quả
phugrave hợp với caacutec chiacutenh saacutech vagrave mục tiecircu chung của
tổ chức
D (Thực hiện) - Triển khai vagrave
điều hagravenh ISMS
Cagravei đặt vagrave vận hagravenh caacutec chiacutenh saacutech biện phaacutep
quản lyacute quy trigravenh vagrave thủ tục của hệ thống ISMS
C (Kiểm tra) - giaacutem saacutet vagrave soaacutet
xeacutet ISMS
Xaacutec định hiệu quả việc thực hiện quy trigravenh dựa
trecircn chiacutenh saacutech mục tiecircu magrave hệ thống ISMS đatilde
đặt ra kinh nghiệm thực tiễn vagrave baacuteo caacuteo kết quả
cho việc soaacutet xeacutet của ban quản lyacute
A (Hagravenh động) - Duy trigrave vagrave nacircng
cấp ISMS
Tiến hagravenh caacutec biện phaacutep hoagraven thiện vagrave bảo vệ dựa
trecircn caacutec kết quả của việc kiểm toaacuten nội bộ hệ
thống ISMS soaacutet xeacutet của ban quản lyacute hoặc caacutec
thocircng tin liecircn quan khaacutec nhằm liecircn tục hoagraven thiện
hệ thống ISMS
03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
Tiecircu chuẩn nagravey hoagraven toagraven tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec như ISO
90012000 TCVN ISO 90012000 vagrave ISO 140012004 nhằm đảm bảo sự thống
nhất vagrave thagravenh cocircng khi triển khai cugraveng luacutec caacutec tiecircu chuẩn quản lyacute khaacutec nhau
6
TCVN 27001 2008
1 Phạm vi aacutep dụng
11 Khaacutei quaacutet
Tiecircu chuẩn nagravey hướng tới việc aacutep dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec
nhau (viacute dụ tổ chức thương mại cơ quan nhagrave nước caacutec tổ chức phi lợi nhuận
vvhellip ) Nội dung tiecircu chuẩn chỉ rotilde yecircu cầu cho từng quaacute trigravenh thiết lập triển khai
điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp một hệ thống ISMS để đảm bảo
an toagraven thocircng tin trước những tất cả caacutec rủi ro coacute thể xảy ra với tổ chức Tiecircu
chuẩn nagravey cũng chỉ rotilde caacutec yecircu cầu khi triển khai caacutec biện phaacutep bảo vệ an toagraven đatilde
được chọn lọc phugrave hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức
Hệ thống ISMS được thiết kế caacutec biện phaacutep đảm bảo an toagraven thocircng tin phugrave hợp vagrave
đầy đủ để bảo vệ caacutec tagravei sản thocircng tin vagrave đem lại sự tin tưởng của caacutec becircn liecircn
quan như đối taacutec khaacutech hagraveng vvhellip
Caacutec yecircu cầu được trigravenh bagravey trong tiecircu chuẩn nagravey lagrave mang tiacutenh tổng quaacutet vagrave nhằm
ứng dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec nhau
12 Aacutep dụng
2 Tagravei liệu viện dẫn
Tiecircu chuẩn quốc tế ISOIEC 177992005
3 Thuật ngữ vagrave định nghĩa
Tiecircu chuẩn nagravey sử dụng caacutec thuật ngữ vagrave định nghĩa sau
31 Tagravei sản
Lagrave bất cứ gigrave coacute giaacute trị đối với tổ chức
32 Tiacutenh sẵn sagraveng
Tiacutenh chất đảm bảo mọi thực thể được pheacutep coacute thể truy cập vagrave sử dụng theo yecircu
cầu
33 Tiacutenh biacute mật
Tiacutenh chất đảm bảo thocircng tin khocircng sẵn sagraveng vagrave cocircng khai đối với caacutec caacute nhacircn
thực thể vagrave caacutec tiến trigravenh khocircng được pheacutep
7
TCVN 27001 2008
34 An toagraven thocircng tin
Sự duy trigrave tiacutenh biacute mật tiacutenh toagraven vẹn vagrave tiacutenh sẵn sagraveng của thocircng tin ngoagravei ra cograven coacute
thể bao hagravem một số tiacutenh chất khaacutec như xaacutec thực kiểm soaacutet chống chối bỏ vagrave tin
cậy
35 Sự kiện an toagraven thocircng tin
Một sự kiện xaacutec định xảy ra trong một hệ thống một dịch vụ hay một trạng thaacutei
mạng chỉ ra sự vi phạm chiacutenh saacutech an toagraven thocircng tin sự thất bại của hệ thống bảo
vệ hoặc một tigravenh huống bất ngờ liecircn quan đến an toagraven
36 Sự cố an toagraven thocircng tin
Một hoặc một chuỗi caacutec sự kiện an toagraven thocircng tin khocircng mong muốn coacute khả năng
lagravem tổn hại caacutec hoạt động của cơ quan tổ chức vagrave đe dọa an toagraven thocircng tin
37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
Hệ thống quản lyacute an toagraven thocircng tin lagrave một phần của hệ thống quản lyacute tổng thể căn
cứ vagraveo việc đaacutenh giaacute rủi ro coacute thể xuất hiện trong hoạt động của tổ chức để thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp an toagraven thocircng tin
Chuacute yacute Hệ thống quản lyacute tổng thể bao gồm cơ cấu chiacutenh saacutech kế hoạch hoạt
động traacutech nhiệm quy định thủ tục quy trigravenh vagrave tagravei nguyecircn của tổ chức
38 Tiacutenh toagraven vẹn
Tiacutenh chất đảm bảo sự chiacutenh xaacutec vagrave sự toagraven vẹn của caacutec tagravei sản
39 Rủi ro tồn đọng
Caacutec rủi ro cograven lại sau quaacute trigravenh xử lyacute rủi ro
310 Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro
311 Phacircn tiacutech rủi ro
Sử dụng thocircng tin một caacutech coacute hệ thống nhằm xaacutec định caacutec nguồn gốc vagrave đaacutenh
giaacute rủi ro
312 Đaacutenh giaacute rủi ro
8
TCVN 27001 2008
Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định
mức độ nghiecircm trọng của rủi ro
313 Quản lyacute rủi ro
Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro
coacute thể xảy ra
314 Xử lyacute rủi ro
Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro
315 Thocircng baacuteo aacutep dụng
Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức
Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết
quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay
chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ
chức để đảm bảo an toagraven thocircng tin
316 Tổ chức
Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn
tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng
nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh
thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với
nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau
Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả
caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute
quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC
tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động
lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức
ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản
linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng
hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC
chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven
đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -
9
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Lời noacutei đầu
Bản dự thảo tiecircu chuẩn kỹ thuật nagravey được Trung tacircm Ứng cứu khẩn cấp Maacutey tiacutenh
Việt Nam biecircn soạn hoagraven toagraven phugrave hợp với tiecircu chuẩn quốc tế ISOIEC
270012005 rdquoInformation security management systemrdquo
3
TIEcircU CHUẨN VIỆT NAM TCVN 27001 2008
Lời giới thiệu
01 Khaacutei quaacutet
Tiecircu chuẩn quốc tế nagravey được chuẩn bị để đưa ra một mocirc higravenh cho việc thiết lập
triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an
toagraven thocircng tin (ISMS) Việc chấp nhận một hệ thống ISMS sẽ lagrave một quyết định
chiến lược của tổ chức Thiết kế vagrave triển khai hệ thống quản lyacute an toagraven thocircng tin
của một tổ chức phụ thuộc vagraveo caacutec nhu cầu vagrave mục tiecircu khaacutec nhau caacutec yecircu cầu
về an toagraven cần phải đạt caacutec quy trigravenh đang được sử dụng vagrave quy mocirc cấu truacutec của
tổ chức Caacutec điều nagravey vagrave caacutec hệ thống hỗ trợ cần luocircn được cập nhật vagrave thay đổi
Việc đầu tư vagrave triển khai một hệ thống ISMS cần phải coacute tỷ trọng phugrave hợp với nhu
cầu của tổ chức
Tiecircu chuẩn nagravey coacute thể sử dụng để đaacutenh giaacute sự tuacircn thủ của caacutec bộ phận becircn trong
tổ chức cũng như caacutec bộ phận liecircn quan becircn ngoagravei tổ chức
02 Caacutech tiếp cận theo quy trigravenh
Tiecircu chuẩn nagravey khuyến khiacutech việc chấp nhận caacutech tiếp cận theo quy trigravenh khi thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống ISMS
của tổ chức
Một tổ chức cần xaacutec định vagrave quản lyacute rất nhiều hoạt động để vận hagravenh một caacutech
hiệu quả Bất cứ hoạt động nagraveo sử dụng caacutec tagravei nguyecircn vagrave quản lyacute việc tiếp nhận
caacutec đầu vagraveo chuyển hoacutea thagravenh đầu ra coacute thể coi như một quy trigravenh Thocircng thường
đầu ra của một quy trigravenh nagravey lagrave đầu vagraveo của một quy trigravenh tiếp theo
Việc aacutep dụng một hệ thống caacutec quy trigravenh trong tổ chức cugraveng với sự nhận biết
tương taacutec giữa caacutec quy trigravenh như vậy vagrave sự quản lyacute chuacuteng coacute thể coi như ldquocaacutech
tiếp cận theo quy trigravenhrdquo
Caacutech tiếp cận theo quy trigravenh cho quản lyacute an toagraven thocircng tin được trigravenh bagravey trong
tiecircu chuẩn nagravey nhằm khuyến khiacutech người sử dụng nhấn mạnh caacutec điểm quan
trọng của
4
TCVN 27001 2008
a) Việc hiểu caacutec yecircu cầu an toagraven thocircng tin của tổ chức vagrave caacutec sự cần thiết phải
thiết lập chiacutenh saacutech vagrave mục tiecircu cho an toagraven thocircng tin
b) Việc triển khai vagrave điều hagravenh caacutec biện phaacutep để quản lyacute rủi ro an toagraven thocircng tin
của tổ chức trước tất cả caacutec rủi ro chung coacute thể xảy ra với tổ chức
c) Việc giaacutem saacutet vagrave soaacutet xeacutet lợi iacutech vagrave hiệu quả của hệ thống ISMS vagrave
d) Thường xuyecircn nacircng cấp dựa trecircn caacutec khuocircn khổ mục tiecircu đatilde đặt ra
Tiecircu chuẩn nagravey thocircng qua mocirc higravenh ldquoLập kế hoạch ndash Thực hiện ndash Kiểm tra vagrave Hagravenh
độngrdquo (PDCA) để aacutep dụng cho tất cả caacutec quy trigravenh trong hệ thống ISMS Higravenh 1
dưới đacircy mocirc tả caacutech hệ thống ISMS lấy đầu vagraveo lagrave caacutec yecircu cầu vagrave kỳ vọng về bảo
mật thocircng tin của caacutec becircn thứ ba sau khi tiến hagravenh caacutec quy trigravenh xử lyacute cần thiết sẽ
đaacutep ứng an toagraven thocircng tin theo như caacutec yecircu cầu vagrave kỳ vọng đatilde đặt ra Higravenh 1 cũng
chỉ ra caacutec liecircn hệ giữa caacutec quy trigravenh được biểu diễn trong caacutec điều 4567 vagrave 8
Higravenh 1 Aacutep dụng mocirc higravenh PDCA cho caacutec quy trigravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
P
D
C
A
Thiết lập hệ thống ISMS
Thiết lập hệ thống ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
5
TCVN 27001 2008
P (Lập kế hoạch) - Thiết lập
ISMS
Thiết lập caacutec chiacutenh saacutech mục tiecircu quy trigravenh vagrave thủ
tục liecircn quan đến việc quản lyacute caacutec rủi ro vagrave nacircng
cao an toagraven thocircng tin nhằm đem lại caacutec kết quả
phugrave hợp với caacutec chiacutenh saacutech vagrave mục tiecircu chung của
tổ chức
D (Thực hiện) - Triển khai vagrave
điều hagravenh ISMS
Cagravei đặt vagrave vận hagravenh caacutec chiacutenh saacutech biện phaacutep
quản lyacute quy trigravenh vagrave thủ tục của hệ thống ISMS
C (Kiểm tra) - giaacutem saacutet vagrave soaacutet
xeacutet ISMS
Xaacutec định hiệu quả việc thực hiện quy trigravenh dựa
trecircn chiacutenh saacutech mục tiecircu magrave hệ thống ISMS đatilde
đặt ra kinh nghiệm thực tiễn vagrave baacuteo caacuteo kết quả
cho việc soaacutet xeacutet của ban quản lyacute
A (Hagravenh động) - Duy trigrave vagrave nacircng
cấp ISMS
Tiến hagravenh caacutec biện phaacutep hoagraven thiện vagrave bảo vệ dựa
trecircn caacutec kết quả của việc kiểm toaacuten nội bộ hệ
thống ISMS soaacutet xeacutet của ban quản lyacute hoặc caacutec
thocircng tin liecircn quan khaacutec nhằm liecircn tục hoagraven thiện
hệ thống ISMS
03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
Tiecircu chuẩn nagravey hoagraven toagraven tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec như ISO
90012000 TCVN ISO 90012000 vagrave ISO 140012004 nhằm đảm bảo sự thống
nhất vagrave thagravenh cocircng khi triển khai cugraveng luacutec caacutec tiecircu chuẩn quản lyacute khaacutec nhau
6
TCVN 27001 2008
1 Phạm vi aacutep dụng
11 Khaacutei quaacutet
Tiecircu chuẩn nagravey hướng tới việc aacutep dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec
nhau (viacute dụ tổ chức thương mại cơ quan nhagrave nước caacutec tổ chức phi lợi nhuận
vvhellip ) Nội dung tiecircu chuẩn chỉ rotilde yecircu cầu cho từng quaacute trigravenh thiết lập triển khai
điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp một hệ thống ISMS để đảm bảo
an toagraven thocircng tin trước những tất cả caacutec rủi ro coacute thể xảy ra với tổ chức Tiecircu
chuẩn nagravey cũng chỉ rotilde caacutec yecircu cầu khi triển khai caacutec biện phaacutep bảo vệ an toagraven đatilde
được chọn lọc phugrave hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức
Hệ thống ISMS được thiết kế caacutec biện phaacutep đảm bảo an toagraven thocircng tin phugrave hợp vagrave
đầy đủ để bảo vệ caacutec tagravei sản thocircng tin vagrave đem lại sự tin tưởng của caacutec becircn liecircn
quan như đối taacutec khaacutech hagraveng vvhellip
Caacutec yecircu cầu được trigravenh bagravey trong tiecircu chuẩn nagravey lagrave mang tiacutenh tổng quaacutet vagrave nhằm
ứng dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec nhau
12 Aacutep dụng
2 Tagravei liệu viện dẫn
Tiecircu chuẩn quốc tế ISOIEC 177992005
3 Thuật ngữ vagrave định nghĩa
Tiecircu chuẩn nagravey sử dụng caacutec thuật ngữ vagrave định nghĩa sau
31 Tagravei sản
Lagrave bất cứ gigrave coacute giaacute trị đối với tổ chức
32 Tiacutenh sẵn sagraveng
Tiacutenh chất đảm bảo mọi thực thể được pheacutep coacute thể truy cập vagrave sử dụng theo yecircu
cầu
33 Tiacutenh biacute mật
Tiacutenh chất đảm bảo thocircng tin khocircng sẵn sagraveng vagrave cocircng khai đối với caacutec caacute nhacircn
thực thể vagrave caacutec tiến trigravenh khocircng được pheacutep
7
TCVN 27001 2008
34 An toagraven thocircng tin
Sự duy trigrave tiacutenh biacute mật tiacutenh toagraven vẹn vagrave tiacutenh sẵn sagraveng của thocircng tin ngoagravei ra cograven coacute
thể bao hagravem một số tiacutenh chất khaacutec như xaacutec thực kiểm soaacutet chống chối bỏ vagrave tin
cậy
35 Sự kiện an toagraven thocircng tin
Một sự kiện xaacutec định xảy ra trong một hệ thống một dịch vụ hay một trạng thaacutei
mạng chỉ ra sự vi phạm chiacutenh saacutech an toagraven thocircng tin sự thất bại của hệ thống bảo
vệ hoặc một tigravenh huống bất ngờ liecircn quan đến an toagraven
36 Sự cố an toagraven thocircng tin
Một hoặc một chuỗi caacutec sự kiện an toagraven thocircng tin khocircng mong muốn coacute khả năng
lagravem tổn hại caacutec hoạt động của cơ quan tổ chức vagrave đe dọa an toagraven thocircng tin
37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
Hệ thống quản lyacute an toagraven thocircng tin lagrave một phần của hệ thống quản lyacute tổng thể căn
cứ vagraveo việc đaacutenh giaacute rủi ro coacute thể xuất hiện trong hoạt động của tổ chức để thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp an toagraven thocircng tin
Chuacute yacute Hệ thống quản lyacute tổng thể bao gồm cơ cấu chiacutenh saacutech kế hoạch hoạt
động traacutech nhiệm quy định thủ tục quy trigravenh vagrave tagravei nguyecircn của tổ chức
38 Tiacutenh toagraven vẹn
Tiacutenh chất đảm bảo sự chiacutenh xaacutec vagrave sự toagraven vẹn của caacutec tagravei sản
39 Rủi ro tồn đọng
Caacutec rủi ro cograven lại sau quaacute trigravenh xử lyacute rủi ro
310 Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro
311 Phacircn tiacutech rủi ro
Sử dụng thocircng tin một caacutech coacute hệ thống nhằm xaacutec định caacutec nguồn gốc vagrave đaacutenh
giaacute rủi ro
312 Đaacutenh giaacute rủi ro
8
TCVN 27001 2008
Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định
mức độ nghiecircm trọng của rủi ro
313 Quản lyacute rủi ro
Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro
coacute thể xảy ra
314 Xử lyacute rủi ro
Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro
315 Thocircng baacuteo aacutep dụng
Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức
Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết
quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay
chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ
chức để đảm bảo an toagraven thocircng tin
316 Tổ chức
Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn
tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng
nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh
thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với
nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau
Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả
caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute
quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC
tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động
lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức
ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản
linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng
hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC
chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven
đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -
9
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TIEcircU CHUẨN VIỆT NAM TCVN 27001 2008
Lời giới thiệu
01 Khaacutei quaacutet
Tiecircu chuẩn quốc tế nagravey được chuẩn bị để đưa ra một mocirc higravenh cho việc thiết lập
triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an
toagraven thocircng tin (ISMS) Việc chấp nhận một hệ thống ISMS sẽ lagrave một quyết định
chiến lược của tổ chức Thiết kế vagrave triển khai hệ thống quản lyacute an toagraven thocircng tin
của một tổ chức phụ thuộc vagraveo caacutec nhu cầu vagrave mục tiecircu khaacutec nhau caacutec yecircu cầu
về an toagraven cần phải đạt caacutec quy trigravenh đang được sử dụng vagrave quy mocirc cấu truacutec của
tổ chức Caacutec điều nagravey vagrave caacutec hệ thống hỗ trợ cần luocircn được cập nhật vagrave thay đổi
Việc đầu tư vagrave triển khai một hệ thống ISMS cần phải coacute tỷ trọng phugrave hợp với nhu
cầu của tổ chức
Tiecircu chuẩn nagravey coacute thể sử dụng để đaacutenh giaacute sự tuacircn thủ của caacutec bộ phận becircn trong
tổ chức cũng như caacutec bộ phận liecircn quan becircn ngoagravei tổ chức
02 Caacutech tiếp cận theo quy trigravenh
Tiecircu chuẩn nagravey khuyến khiacutech việc chấp nhận caacutech tiếp cận theo quy trigravenh khi thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ thống ISMS
của tổ chức
Một tổ chức cần xaacutec định vagrave quản lyacute rất nhiều hoạt động để vận hagravenh một caacutech
hiệu quả Bất cứ hoạt động nagraveo sử dụng caacutec tagravei nguyecircn vagrave quản lyacute việc tiếp nhận
caacutec đầu vagraveo chuyển hoacutea thagravenh đầu ra coacute thể coi như một quy trigravenh Thocircng thường
đầu ra của một quy trigravenh nagravey lagrave đầu vagraveo của một quy trigravenh tiếp theo
Việc aacutep dụng một hệ thống caacutec quy trigravenh trong tổ chức cugraveng với sự nhận biết
tương taacutec giữa caacutec quy trigravenh như vậy vagrave sự quản lyacute chuacuteng coacute thể coi như ldquocaacutech
tiếp cận theo quy trigravenhrdquo
Caacutech tiếp cận theo quy trigravenh cho quản lyacute an toagraven thocircng tin được trigravenh bagravey trong
tiecircu chuẩn nagravey nhằm khuyến khiacutech người sử dụng nhấn mạnh caacutec điểm quan
trọng của
4
TCVN 27001 2008
a) Việc hiểu caacutec yecircu cầu an toagraven thocircng tin của tổ chức vagrave caacutec sự cần thiết phải
thiết lập chiacutenh saacutech vagrave mục tiecircu cho an toagraven thocircng tin
b) Việc triển khai vagrave điều hagravenh caacutec biện phaacutep để quản lyacute rủi ro an toagraven thocircng tin
của tổ chức trước tất cả caacutec rủi ro chung coacute thể xảy ra với tổ chức
c) Việc giaacutem saacutet vagrave soaacutet xeacutet lợi iacutech vagrave hiệu quả của hệ thống ISMS vagrave
d) Thường xuyecircn nacircng cấp dựa trecircn caacutec khuocircn khổ mục tiecircu đatilde đặt ra
Tiecircu chuẩn nagravey thocircng qua mocirc higravenh ldquoLập kế hoạch ndash Thực hiện ndash Kiểm tra vagrave Hagravenh
độngrdquo (PDCA) để aacutep dụng cho tất cả caacutec quy trigravenh trong hệ thống ISMS Higravenh 1
dưới đacircy mocirc tả caacutech hệ thống ISMS lấy đầu vagraveo lagrave caacutec yecircu cầu vagrave kỳ vọng về bảo
mật thocircng tin của caacutec becircn thứ ba sau khi tiến hagravenh caacutec quy trigravenh xử lyacute cần thiết sẽ
đaacutep ứng an toagraven thocircng tin theo như caacutec yecircu cầu vagrave kỳ vọng đatilde đặt ra Higravenh 1 cũng
chỉ ra caacutec liecircn hệ giữa caacutec quy trigravenh được biểu diễn trong caacutec điều 4567 vagrave 8
Higravenh 1 Aacutep dụng mocirc higravenh PDCA cho caacutec quy trigravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
P
D
C
A
Thiết lập hệ thống ISMS
Thiết lập hệ thống ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
5
TCVN 27001 2008
P (Lập kế hoạch) - Thiết lập
ISMS
Thiết lập caacutec chiacutenh saacutech mục tiecircu quy trigravenh vagrave thủ
tục liecircn quan đến việc quản lyacute caacutec rủi ro vagrave nacircng
cao an toagraven thocircng tin nhằm đem lại caacutec kết quả
phugrave hợp với caacutec chiacutenh saacutech vagrave mục tiecircu chung của
tổ chức
D (Thực hiện) - Triển khai vagrave
điều hagravenh ISMS
Cagravei đặt vagrave vận hagravenh caacutec chiacutenh saacutech biện phaacutep
quản lyacute quy trigravenh vagrave thủ tục của hệ thống ISMS
C (Kiểm tra) - giaacutem saacutet vagrave soaacutet
xeacutet ISMS
Xaacutec định hiệu quả việc thực hiện quy trigravenh dựa
trecircn chiacutenh saacutech mục tiecircu magrave hệ thống ISMS đatilde
đặt ra kinh nghiệm thực tiễn vagrave baacuteo caacuteo kết quả
cho việc soaacutet xeacutet của ban quản lyacute
A (Hagravenh động) - Duy trigrave vagrave nacircng
cấp ISMS
Tiến hagravenh caacutec biện phaacutep hoagraven thiện vagrave bảo vệ dựa
trecircn caacutec kết quả của việc kiểm toaacuten nội bộ hệ
thống ISMS soaacutet xeacutet của ban quản lyacute hoặc caacutec
thocircng tin liecircn quan khaacutec nhằm liecircn tục hoagraven thiện
hệ thống ISMS
03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
Tiecircu chuẩn nagravey hoagraven toagraven tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec như ISO
90012000 TCVN ISO 90012000 vagrave ISO 140012004 nhằm đảm bảo sự thống
nhất vagrave thagravenh cocircng khi triển khai cugraveng luacutec caacutec tiecircu chuẩn quản lyacute khaacutec nhau
6
TCVN 27001 2008
1 Phạm vi aacutep dụng
11 Khaacutei quaacutet
Tiecircu chuẩn nagravey hướng tới việc aacutep dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec
nhau (viacute dụ tổ chức thương mại cơ quan nhagrave nước caacutec tổ chức phi lợi nhuận
vvhellip ) Nội dung tiecircu chuẩn chỉ rotilde yecircu cầu cho từng quaacute trigravenh thiết lập triển khai
điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp một hệ thống ISMS để đảm bảo
an toagraven thocircng tin trước những tất cả caacutec rủi ro coacute thể xảy ra với tổ chức Tiecircu
chuẩn nagravey cũng chỉ rotilde caacutec yecircu cầu khi triển khai caacutec biện phaacutep bảo vệ an toagraven đatilde
được chọn lọc phugrave hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức
Hệ thống ISMS được thiết kế caacutec biện phaacutep đảm bảo an toagraven thocircng tin phugrave hợp vagrave
đầy đủ để bảo vệ caacutec tagravei sản thocircng tin vagrave đem lại sự tin tưởng của caacutec becircn liecircn
quan như đối taacutec khaacutech hagraveng vvhellip
Caacutec yecircu cầu được trigravenh bagravey trong tiecircu chuẩn nagravey lagrave mang tiacutenh tổng quaacutet vagrave nhằm
ứng dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec nhau
12 Aacutep dụng
2 Tagravei liệu viện dẫn
Tiecircu chuẩn quốc tế ISOIEC 177992005
3 Thuật ngữ vagrave định nghĩa
Tiecircu chuẩn nagravey sử dụng caacutec thuật ngữ vagrave định nghĩa sau
31 Tagravei sản
Lagrave bất cứ gigrave coacute giaacute trị đối với tổ chức
32 Tiacutenh sẵn sagraveng
Tiacutenh chất đảm bảo mọi thực thể được pheacutep coacute thể truy cập vagrave sử dụng theo yecircu
cầu
33 Tiacutenh biacute mật
Tiacutenh chất đảm bảo thocircng tin khocircng sẵn sagraveng vagrave cocircng khai đối với caacutec caacute nhacircn
thực thể vagrave caacutec tiến trigravenh khocircng được pheacutep
7
TCVN 27001 2008
34 An toagraven thocircng tin
Sự duy trigrave tiacutenh biacute mật tiacutenh toagraven vẹn vagrave tiacutenh sẵn sagraveng của thocircng tin ngoagravei ra cograven coacute
thể bao hagravem một số tiacutenh chất khaacutec như xaacutec thực kiểm soaacutet chống chối bỏ vagrave tin
cậy
35 Sự kiện an toagraven thocircng tin
Một sự kiện xaacutec định xảy ra trong một hệ thống một dịch vụ hay một trạng thaacutei
mạng chỉ ra sự vi phạm chiacutenh saacutech an toagraven thocircng tin sự thất bại của hệ thống bảo
vệ hoặc một tigravenh huống bất ngờ liecircn quan đến an toagraven
36 Sự cố an toagraven thocircng tin
Một hoặc một chuỗi caacutec sự kiện an toagraven thocircng tin khocircng mong muốn coacute khả năng
lagravem tổn hại caacutec hoạt động của cơ quan tổ chức vagrave đe dọa an toagraven thocircng tin
37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
Hệ thống quản lyacute an toagraven thocircng tin lagrave một phần của hệ thống quản lyacute tổng thể căn
cứ vagraveo việc đaacutenh giaacute rủi ro coacute thể xuất hiện trong hoạt động của tổ chức để thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp an toagraven thocircng tin
Chuacute yacute Hệ thống quản lyacute tổng thể bao gồm cơ cấu chiacutenh saacutech kế hoạch hoạt
động traacutech nhiệm quy định thủ tục quy trigravenh vagrave tagravei nguyecircn của tổ chức
38 Tiacutenh toagraven vẹn
Tiacutenh chất đảm bảo sự chiacutenh xaacutec vagrave sự toagraven vẹn của caacutec tagravei sản
39 Rủi ro tồn đọng
Caacutec rủi ro cograven lại sau quaacute trigravenh xử lyacute rủi ro
310 Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro
311 Phacircn tiacutech rủi ro
Sử dụng thocircng tin một caacutech coacute hệ thống nhằm xaacutec định caacutec nguồn gốc vagrave đaacutenh
giaacute rủi ro
312 Đaacutenh giaacute rủi ro
8
TCVN 27001 2008
Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định
mức độ nghiecircm trọng của rủi ro
313 Quản lyacute rủi ro
Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro
coacute thể xảy ra
314 Xử lyacute rủi ro
Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro
315 Thocircng baacuteo aacutep dụng
Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức
Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết
quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay
chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ
chức để đảm bảo an toagraven thocircng tin
316 Tổ chức
Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn
tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng
nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh
thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với
nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau
Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả
caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute
quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC
tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động
lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức
ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản
linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng
hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC
chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven
đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -
9
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
a) Việc hiểu caacutec yecircu cầu an toagraven thocircng tin của tổ chức vagrave caacutec sự cần thiết phải
thiết lập chiacutenh saacutech vagrave mục tiecircu cho an toagraven thocircng tin
b) Việc triển khai vagrave điều hagravenh caacutec biện phaacutep để quản lyacute rủi ro an toagraven thocircng tin
của tổ chức trước tất cả caacutec rủi ro chung coacute thể xảy ra với tổ chức
c) Việc giaacutem saacutet vagrave soaacutet xeacutet lợi iacutech vagrave hiệu quả của hệ thống ISMS vagrave
d) Thường xuyecircn nacircng cấp dựa trecircn caacutec khuocircn khổ mục tiecircu đatilde đặt ra
Tiecircu chuẩn nagravey thocircng qua mocirc higravenh ldquoLập kế hoạch ndash Thực hiện ndash Kiểm tra vagrave Hagravenh
độngrdquo (PDCA) để aacutep dụng cho tất cả caacutec quy trigravenh trong hệ thống ISMS Higravenh 1
dưới đacircy mocirc tả caacutech hệ thống ISMS lấy đầu vagraveo lagrave caacutec yecircu cầu vagrave kỳ vọng về bảo
mật thocircng tin của caacutec becircn thứ ba sau khi tiến hagravenh caacutec quy trigravenh xử lyacute cần thiết sẽ
đaacutep ứng an toagraven thocircng tin theo như caacutec yecircu cầu vagrave kỳ vọng đatilde đặt ra Higravenh 1 cũng
chỉ ra caacutec liecircn hệ giữa caacutec quy trigravenh được biểu diễn trong caacutec điều 4567 vagrave 8
Higravenh 1 Aacutep dụng mocirc higravenh PDCA cho caacutec quy trigravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Triển khai vagrave điều hagravenh hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
Giaacutem saacutet vagrave đaacutenh giaacute hệ thống ISMS
P
D
C
A
Thiết lập hệ thống ISMS
Thiết lập hệ thống ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Duy trigrave vagrave nacircng cấp hệ thống
ISMS
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Caacutec yecircu cầu vagrave kỳ
vọng về an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
Caacutec bộ phận liecircn
quan
Kết quả quản lyacute an toagraven thocircng
tin
5
TCVN 27001 2008
P (Lập kế hoạch) - Thiết lập
ISMS
Thiết lập caacutec chiacutenh saacutech mục tiecircu quy trigravenh vagrave thủ
tục liecircn quan đến việc quản lyacute caacutec rủi ro vagrave nacircng
cao an toagraven thocircng tin nhằm đem lại caacutec kết quả
phugrave hợp với caacutec chiacutenh saacutech vagrave mục tiecircu chung của
tổ chức
D (Thực hiện) - Triển khai vagrave
điều hagravenh ISMS
Cagravei đặt vagrave vận hagravenh caacutec chiacutenh saacutech biện phaacutep
quản lyacute quy trigravenh vagrave thủ tục của hệ thống ISMS
C (Kiểm tra) - giaacutem saacutet vagrave soaacutet
xeacutet ISMS
Xaacutec định hiệu quả việc thực hiện quy trigravenh dựa
trecircn chiacutenh saacutech mục tiecircu magrave hệ thống ISMS đatilde
đặt ra kinh nghiệm thực tiễn vagrave baacuteo caacuteo kết quả
cho việc soaacutet xeacutet của ban quản lyacute
A (Hagravenh động) - Duy trigrave vagrave nacircng
cấp ISMS
Tiến hagravenh caacutec biện phaacutep hoagraven thiện vagrave bảo vệ dựa
trecircn caacutec kết quả của việc kiểm toaacuten nội bộ hệ
thống ISMS soaacutet xeacutet của ban quản lyacute hoặc caacutec
thocircng tin liecircn quan khaacutec nhằm liecircn tục hoagraven thiện
hệ thống ISMS
03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
Tiecircu chuẩn nagravey hoagraven toagraven tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec như ISO
90012000 TCVN ISO 90012000 vagrave ISO 140012004 nhằm đảm bảo sự thống
nhất vagrave thagravenh cocircng khi triển khai cugraveng luacutec caacutec tiecircu chuẩn quản lyacute khaacutec nhau
6
TCVN 27001 2008
1 Phạm vi aacutep dụng
11 Khaacutei quaacutet
Tiecircu chuẩn nagravey hướng tới việc aacutep dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec
nhau (viacute dụ tổ chức thương mại cơ quan nhagrave nước caacutec tổ chức phi lợi nhuận
vvhellip ) Nội dung tiecircu chuẩn chỉ rotilde yecircu cầu cho từng quaacute trigravenh thiết lập triển khai
điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp một hệ thống ISMS để đảm bảo
an toagraven thocircng tin trước những tất cả caacutec rủi ro coacute thể xảy ra với tổ chức Tiecircu
chuẩn nagravey cũng chỉ rotilde caacutec yecircu cầu khi triển khai caacutec biện phaacutep bảo vệ an toagraven đatilde
được chọn lọc phugrave hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức
Hệ thống ISMS được thiết kế caacutec biện phaacutep đảm bảo an toagraven thocircng tin phugrave hợp vagrave
đầy đủ để bảo vệ caacutec tagravei sản thocircng tin vagrave đem lại sự tin tưởng của caacutec becircn liecircn
quan như đối taacutec khaacutech hagraveng vvhellip
Caacutec yecircu cầu được trigravenh bagravey trong tiecircu chuẩn nagravey lagrave mang tiacutenh tổng quaacutet vagrave nhằm
ứng dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec nhau
12 Aacutep dụng
2 Tagravei liệu viện dẫn
Tiecircu chuẩn quốc tế ISOIEC 177992005
3 Thuật ngữ vagrave định nghĩa
Tiecircu chuẩn nagravey sử dụng caacutec thuật ngữ vagrave định nghĩa sau
31 Tagravei sản
Lagrave bất cứ gigrave coacute giaacute trị đối với tổ chức
32 Tiacutenh sẵn sagraveng
Tiacutenh chất đảm bảo mọi thực thể được pheacutep coacute thể truy cập vagrave sử dụng theo yecircu
cầu
33 Tiacutenh biacute mật
Tiacutenh chất đảm bảo thocircng tin khocircng sẵn sagraveng vagrave cocircng khai đối với caacutec caacute nhacircn
thực thể vagrave caacutec tiến trigravenh khocircng được pheacutep
7
TCVN 27001 2008
34 An toagraven thocircng tin
Sự duy trigrave tiacutenh biacute mật tiacutenh toagraven vẹn vagrave tiacutenh sẵn sagraveng của thocircng tin ngoagravei ra cograven coacute
thể bao hagravem một số tiacutenh chất khaacutec như xaacutec thực kiểm soaacutet chống chối bỏ vagrave tin
cậy
35 Sự kiện an toagraven thocircng tin
Một sự kiện xaacutec định xảy ra trong một hệ thống một dịch vụ hay một trạng thaacutei
mạng chỉ ra sự vi phạm chiacutenh saacutech an toagraven thocircng tin sự thất bại của hệ thống bảo
vệ hoặc một tigravenh huống bất ngờ liecircn quan đến an toagraven
36 Sự cố an toagraven thocircng tin
Một hoặc một chuỗi caacutec sự kiện an toagraven thocircng tin khocircng mong muốn coacute khả năng
lagravem tổn hại caacutec hoạt động của cơ quan tổ chức vagrave đe dọa an toagraven thocircng tin
37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
Hệ thống quản lyacute an toagraven thocircng tin lagrave một phần của hệ thống quản lyacute tổng thể căn
cứ vagraveo việc đaacutenh giaacute rủi ro coacute thể xuất hiện trong hoạt động của tổ chức để thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp an toagraven thocircng tin
Chuacute yacute Hệ thống quản lyacute tổng thể bao gồm cơ cấu chiacutenh saacutech kế hoạch hoạt
động traacutech nhiệm quy định thủ tục quy trigravenh vagrave tagravei nguyecircn của tổ chức
38 Tiacutenh toagraven vẹn
Tiacutenh chất đảm bảo sự chiacutenh xaacutec vagrave sự toagraven vẹn của caacutec tagravei sản
39 Rủi ro tồn đọng
Caacutec rủi ro cograven lại sau quaacute trigravenh xử lyacute rủi ro
310 Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro
311 Phacircn tiacutech rủi ro
Sử dụng thocircng tin một caacutech coacute hệ thống nhằm xaacutec định caacutec nguồn gốc vagrave đaacutenh
giaacute rủi ro
312 Đaacutenh giaacute rủi ro
8
TCVN 27001 2008
Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định
mức độ nghiecircm trọng của rủi ro
313 Quản lyacute rủi ro
Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro
coacute thể xảy ra
314 Xử lyacute rủi ro
Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro
315 Thocircng baacuteo aacutep dụng
Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức
Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết
quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay
chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ
chức để đảm bảo an toagraven thocircng tin
316 Tổ chức
Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn
tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng
nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh
thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với
nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau
Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả
caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute
quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC
tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động
lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức
ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản
linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng
hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC
chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven
đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -
9
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
P (Lập kế hoạch) - Thiết lập
ISMS
Thiết lập caacutec chiacutenh saacutech mục tiecircu quy trigravenh vagrave thủ
tục liecircn quan đến việc quản lyacute caacutec rủi ro vagrave nacircng
cao an toagraven thocircng tin nhằm đem lại caacutec kết quả
phugrave hợp với caacutec chiacutenh saacutech vagrave mục tiecircu chung của
tổ chức
D (Thực hiện) - Triển khai vagrave
điều hagravenh ISMS
Cagravei đặt vagrave vận hagravenh caacutec chiacutenh saacutech biện phaacutep
quản lyacute quy trigravenh vagrave thủ tục của hệ thống ISMS
C (Kiểm tra) - giaacutem saacutet vagrave soaacutet
xeacutet ISMS
Xaacutec định hiệu quả việc thực hiện quy trigravenh dựa
trecircn chiacutenh saacutech mục tiecircu magrave hệ thống ISMS đatilde
đặt ra kinh nghiệm thực tiễn vagrave baacuteo caacuteo kết quả
cho việc soaacutet xeacutet của ban quản lyacute
A (Hagravenh động) - Duy trigrave vagrave nacircng
cấp ISMS
Tiến hagravenh caacutec biện phaacutep hoagraven thiện vagrave bảo vệ dựa
trecircn caacutec kết quả của việc kiểm toaacuten nội bộ hệ
thống ISMS soaacutet xeacutet của ban quản lyacute hoặc caacutec
thocircng tin liecircn quan khaacutec nhằm liecircn tục hoagraven thiện
hệ thống ISMS
03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
Tiecircu chuẩn nagravey hoagraven toagraven tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec như ISO
90012000 TCVN ISO 90012000 vagrave ISO 140012004 nhằm đảm bảo sự thống
nhất vagrave thagravenh cocircng khi triển khai cugraveng luacutec caacutec tiecircu chuẩn quản lyacute khaacutec nhau
6
TCVN 27001 2008
1 Phạm vi aacutep dụng
11 Khaacutei quaacutet
Tiecircu chuẩn nagravey hướng tới việc aacutep dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec
nhau (viacute dụ tổ chức thương mại cơ quan nhagrave nước caacutec tổ chức phi lợi nhuận
vvhellip ) Nội dung tiecircu chuẩn chỉ rotilde yecircu cầu cho từng quaacute trigravenh thiết lập triển khai
điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp một hệ thống ISMS để đảm bảo
an toagraven thocircng tin trước những tất cả caacutec rủi ro coacute thể xảy ra với tổ chức Tiecircu
chuẩn nagravey cũng chỉ rotilde caacutec yecircu cầu khi triển khai caacutec biện phaacutep bảo vệ an toagraven đatilde
được chọn lọc phugrave hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức
Hệ thống ISMS được thiết kế caacutec biện phaacutep đảm bảo an toagraven thocircng tin phugrave hợp vagrave
đầy đủ để bảo vệ caacutec tagravei sản thocircng tin vagrave đem lại sự tin tưởng của caacutec becircn liecircn
quan như đối taacutec khaacutech hagraveng vvhellip
Caacutec yecircu cầu được trigravenh bagravey trong tiecircu chuẩn nagravey lagrave mang tiacutenh tổng quaacutet vagrave nhằm
ứng dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec nhau
12 Aacutep dụng
2 Tagravei liệu viện dẫn
Tiecircu chuẩn quốc tế ISOIEC 177992005
3 Thuật ngữ vagrave định nghĩa
Tiecircu chuẩn nagravey sử dụng caacutec thuật ngữ vagrave định nghĩa sau
31 Tagravei sản
Lagrave bất cứ gigrave coacute giaacute trị đối với tổ chức
32 Tiacutenh sẵn sagraveng
Tiacutenh chất đảm bảo mọi thực thể được pheacutep coacute thể truy cập vagrave sử dụng theo yecircu
cầu
33 Tiacutenh biacute mật
Tiacutenh chất đảm bảo thocircng tin khocircng sẵn sagraveng vagrave cocircng khai đối với caacutec caacute nhacircn
thực thể vagrave caacutec tiến trigravenh khocircng được pheacutep
7
TCVN 27001 2008
34 An toagraven thocircng tin
Sự duy trigrave tiacutenh biacute mật tiacutenh toagraven vẹn vagrave tiacutenh sẵn sagraveng của thocircng tin ngoagravei ra cograven coacute
thể bao hagravem một số tiacutenh chất khaacutec như xaacutec thực kiểm soaacutet chống chối bỏ vagrave tin
cậy
35 Sự kiện an toagraven thocircng tin
Một sự kiện xaacutec định xảy ra trong một hệ thống một dịch vụ hay một trạng thaacutei
mạng chỉ ra sự vi phạm chiacutenh saacutech an toagraven thocircng tin sự thất bại của hệ thống bảo
vệ hoặc một tigravenh huống bất ngờ liecircn quan đến an toagraven
36 Sự cố an toagraven thocircng tin
Một hoặc một chuỗi caacutec sự kiện an toagraven thocircng tin khocircng mong muốn coacute khả năng
lagravem tổn hại caacutec hoạt động của cơ quan tổ chức vagrave đe dọa an toagraven thocircng tin
37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
Hệ thống quản lyacute an toagraven thocircng tin lagrave một phần của hệ thống quản lyacute tổng thể căn
cứ vagraveo việc đaacutenh giaacute rủi ro coacute thể xuất hiện trong hoạt động của tổ chức để thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp an toagraven thocircng tin
Chuacute yacute Hệ thống quản lyacute tổng thể bao gồm cơ cấu chiacutenh saacutech kế hoạch hoạt
động traacutech nhiệm quy định thủ tục quy trigravenh vagrave tagravei nguyecircn của tổ chức
38 Tiacutenh toagraven vẹn
Tiacutenh chất đảm bảo sự chiacutenh xaacutec vagrave sự toagraven vẹn của caacutec tagravei sản
39 Rủi ro tồn đọng
Caacutec rủi ro cograven lại sau quaacute trigravenh xử lyacute rủi ro
310 Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro
311 Phacircn tiacutech rủi ro
Sử dụng thocircng tin một caacutech coacute hệ thống nhằm xaacutec định caacutec nguồn gốc vagrave đaacutenh
giaacute rủi ro
312 Đaacutenh giaacute rủi ro
8
TCVN 27001 2008
Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định
mức độ nghiecircm trọng của rủi ro
313 Quản lyacute rủi ro
Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro
coacute thể xảy ra
314 Xử lyacute rủi ro
Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro
315 Thocircng baacuteo aacutep dụng
Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức
Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết
quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay
chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ
chức để đảm bảo an toagraven thocircng tin
316 Tổ chức
Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn
tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng
nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh
thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với
nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau
Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả
caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute
quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC
tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động
lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức
ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản
linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng
hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC
chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven
đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -
9
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
1 Phạm vi aacutep dụng
11 Khaacutei quaacutet
Tiecircu chuẩn nagravey hướng tới việc aacutep dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec
nhau (viacute dụ tổ chức thương mại cơ quan nhagrave nước caacutec tổ chức phi lợi nhuận
vvhellip ) Nội dung tiecircu chuẩn chỉ rotilde yecircu cầu cho từng quaacute trigravenh thiết lập triển khai
điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp một hệ thống ISMS để đảm bảo
an toagraven thocircng tin trước những tất cả caacutec rủi ro coacute thể xảy ra với tổ chức Tiecircu
chuẩn nagravey cũng chỉ rotilde caacutec yecircu cầu khi triển khai caacutec biện phaacutep bảo vệ an toagraven đatilde
được chọn lọc phugrave hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức
Hệ thống ISMS được thiết kế caacutec biện phaacutep đảm bảo an toagraven thocircng tin phugrave hợp vagrave
đầy đủ để bảo vệ caacutec tagravei sản thocircng tin vagrave đem lại sự tin tưởng của caacutec becircn liecircn
quan như đối taacutec khaacutech hagraveng vvhellip
Caacutec yecircu cầu được trigravenh bagravey trong tiecircu chuẩn nagravey lagrave mang tiacutenh tổng quaacutet vagrave nhằm
ứng dụng rộng ratildei cho nhiều loại higravenh tổ chức khaacutec nhau
12 Aacutep dụng
2 Tagravei liệu viện dẫn
Tiecircu chuẩn quốc tế ISOIEC 177992005
3 Thuật ngữ vagrave định nghĩa
Tiecircu chuẩn nagravey sử dụng caacutec thuật ngữ vagrave định nghĩa sau
31 Tagravei sản
Lagrave bất cứ gigrave coacute giaacute trị đối với tổ chức
32 Tiacutenh sẵn sagraveng
Tiacutenh chất đảm bảo mọi thực thể được pheacutep coacute thể truy cập vagrave sử dụng theo yecircu
cầu
33 Tiacutenh biacute mật
Tiacutenh chất đảm bảo thocircng tin khocircng sẵn sagraveng vagrave cocircng khai đối với caacutec caacute nhacircn
thực thể vagrave caacutec tiến trigravenh khocircng được pheacutep
7
TCVN 27001 2008
34 An toagraven thocircng tin
Sự duy trigrave tiacutenh biacute mật tiacutenh toagraven vẹn vagrave tiacutenh sẵn sagraveng của thocircng tin ngoagravei ra cograven coacute
thể bao hagravem một số tiacutenh chất khaacutec như xaacutec thực kiểm soaacutet chống chối bỏ vagrave tin
cậy
35 Sự kiện an toagraven thocircng tin
Một sự kiện xaacutec định xảy ra trong một hệ thống một dịch vụ hay một trạng thaacutei
mạng chỉ ra sự vi phạm chiacutenh saacutech an toagraven thocircng tin sự thất bại của hệ thống bảo
vệ hoặc một tigravenh huống bất ngờ liecircn quan đến an toagraven
36 Sự cố an toagraven thocircng tin
Một hoặc một chuỗi caacutec sự kiện an toagraven thocircng tin khocircng mong muốn coacute khả năng
lagravem tổn hại caacutec hoạt động của cơ quan tổ chức vagrave đe dọa an toagraven thocircng tin
37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
Hệ thống quản lyacute an toagraven thocircng tin lagrave một phần của hệ thống quản lyacute tổng thể căn
cứ vagraveo việc đaacutenh giaacute rủi ro coacute thể xuất hiện trong hoạt động của tổ chức để thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp an toagraven thocircng tin
Chuacute yacute Hệ thống quản lyacute tổng thể bao gồm cơ cấu chiacutenh saacutech kế hoạch hoạt
động traacutech nhiệm quy định thủ tục quy trigravenh vagrave tagravei nguyecircn của tổ chức
38 Tiacutenh toagraven vẹn
Tiacutenh chất đảm bảo sự chiacutenh xaacutec vagrave sự toagraven vẹn của caacutec tagravei sản
39 Rủi ro tồn đọng
Caacutec rủi ro cograven lại sau quaacute trigravenh xử lyacute rủi ro
310 Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro
311 Phacircn tiacutech rủi ro
Sử dụng thocircng tin một caacutech coacute hệ thống nhằm xaacutec định caacutec nguồn gốc vagrave đaacutenh
giaacute rủi ro
312 Đaacutenh giaacute rủi ro
8
TCVN 27001 2008
Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định
mức độ nghiecircm trọng của rủi ro
313 Quản lyacute rủi ro
Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro
coacute thể xảy ra
314 Xử lyacute rủi ro
Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro
315 Thocircng baacuteo aacutep dụng
Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức
Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết
quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay
chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ
chức để đảm bảo an toagraven thocircng tin
316 Tổ chức
Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn
tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng
nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh
thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với
nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau
Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả
caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute
quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC
tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động
lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức
ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản
linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng
hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC
chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven
đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -
9
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
34 An toagraven thocircng tin
Sự duy trigrave tiacutenh biacute mật tiacutenh toagraven vẹn vagrave tiacutenh sẵn sagraveng của thocircng tin ngoagravei ra cograven coacute
thể bao hagravem một số tiacutenh chất khaacutec như xaacutec thực kiểm soaacutet chống chối bỏ vagrave tin
cậy
35 Sự kiện an toagraven thocircng tin
Một sự kiện xaacutec định xảy ra trong một hệ thống một dịch vụ hay một trạng thaacutei
mạng chỉ ra sự vi phạm chiacutenh saacutech an toagraven thocircng tin sự thất bại của hệ thống bảo
vệ hoặc một tigravenh huống bất ngờ liecircn quan đến an toagraven
36 Sự cố an toagraven thocircng tin
Một hoặc một chuỗi caacutec sự kiện an toagraven thocircng tin khocircng mong muốn coacute khả năng
lagravem tổn hại caacutec hoạt động của cơ quan tổ chức vagrave đe dọa an toagraven thocircng tin
37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
Hệ thống quản lyacute an toagraven thocircng tin lagrave một phần của hệ thống quản lyacute tổng thể căn
cứ vagraveo việc đaacutenh giaacute rủi ro coacute thể xuất hiện trong hoạt động của tổ chức để thiết
lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp an toagraven thocircng tin
Chuacute yacute Hệ thống quản lyacute tổng thể bao gồm cơ cấu chiacutenh saacutech kế hoạch hoạt
động traacutech nhiệm quy định thủ tục quy trigravenh vagrave tagravei nguyecircn của tổ chức
38 Tiacutenh toagraven vẹn
Tiacutenh chất đảm bảo sự chiacutenh xaacutec vagrave sự toagraven vẹn của caacutec tagravei sản
39 Rủi ro tồn đọng
Caacutec rủi ro cograven lại sau quaacute trigravenh xử lyacute rủi ro
310 Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro
311 Phacircn tiacutech rủi ro
Sử dụng thocircng tin một caacutech coacute hệ thống nhằm xaacutec định caacutec nguồn gốc vagrave đaacutenh
giaacute rủi ro
312 Đaacutenh giaacute rủi ro
8
TCVN 27001 2008
Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định
mức độ nghiecircm trọng của rủi ro
313 Quản lyacute rủi ro
Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro
coacute thể xảy ra
314 Xử lyacute rủi ro
Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro
315 Thocircng baacuteo aacutep dụng
Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức
Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết
quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay
chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ
chức để đảm bảo an toagraven thocircng tin
316 Tổ chức
Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn
tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng
nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh
thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với
nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau
Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả
caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute
quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC
tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động
lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức
ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản
linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng
hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC
chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven
đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -
9
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Quaacute trigravenh so saacutenh rủi ro đatilde được dự đoaacuten với chỉ tiecircu rủi ro đatilde coacute nhằm xaacutec định
mức độ nghiecircm trọng của rủi ro
313 Quản lyacute rủi ro
Caacutec hoạt động phối hợp nhằm điều khiển vagrave quản lyacute một tổ chức trước caacutec rủi ro
coacute thể xảy ra
314 Xử lyacute rủi ro
Quaacute trigravenh lựa chọn vagrave triển khai caacutec biện phaacutep hạn chế rủi ro
315 Thocircng baacuteo aacutep dụng
Thocircng baacuteo được biecircn soạn nhằm mocirc tả mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
thiacutech hợp aacutep dụng cho hệ thống ISMS của tổ chức
Chuacute yacute Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute được xacircy dựng dựa trecircn caacutec kết
quả tổng kết của việc đaacutenh giaacute rủi ro caacutec quaacute trigravenh xử lyacute rủi ro caacutec yecircu cầu hay
chế tagravei về phaacutep lyacute caacutec ragraveng buộc vagrave caacutec yecircu cầu trong hoạt động nghiệp vụ của tổ
chức để đảm bảo an toagraven thocircng tin
316 Tổ chức
Tổ chức (TC) lagrave higravenh thức tập hợp liecircn kết caacutec thagravenh viecircn trong xatilde hội (caacute nhacircn
tập thể) nhằm đaacutep ứng yecircu cầu nguyện vọng lợi iacutech của caacutec thagravenh viecircn cugraveng
nhau hagravenh động vigrave mục tiecircu chung Caacutec TC trong xatilde hội loagravei người được higravenh
thagravenh đagraveo thải phaacutet triển khocircng ngừng theo tiến trigravenh phaacutet triển của xatilde hội với
nhiều higravenh thức tập hợp quy mocirc nội dung vagrave caacutech thức hoạt động khaacutec nhau
Caacutec TC trong xatilde hội hiện đại rất phong phuacute đa dạng được higravenh thagravenh trong tất cả
caacutec lĩnh vực của đời sống xatilde hội ở từng ngagravenh từng địa phương từng cơ sở coacute
quy mocirc cả nước một số TC coacute yecircu cầu vagrave điều kiện thigrave tham gia hệ thống TC
tương ứng trong khu vực vagrave thế giới Coacute loại TC được liecircn kết chặt chẽ hoạt động
lacircu dagravei (đảng chiacutenh trị cơ quan nhagrave nước tổ chức Liecircn hợp quốc tổ chức
ASEAN vv) Coacute loại TC chỉ coacute higravenh thức liecircn kết vagrave nội quy hoạt động đơn giản
linh hoạt (hội quần chuacuteng ở caacutec địa phương vagrave cơ sở như hội lagravem vườn hội đồng
hương đồng khoa vv) Phacircn loại caacutec TC trong xatilde hội hiện đại thường lagrave TC
chiacutenh trị (đảng chiacutenh trị chiacutenh quyền nhagrave nước) TC chiacutenh trị - xatilde hội (cocircng đoagraven
đoagraven thanh niecircn hội phụ nữ hội nocircng dacircn hội cựu chiến binh vv) TC chiacutenh trị -
9
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
xatilde hội - nghề nghiệp (hội nhagrave văn hội nhagrave baacuteo vv) TC xatilde hội (hội của những
người cugraveng nghề nghiệp sở thiacutech hoạt động nhacircn đạo từ thiện vv) TC tocircn giaacuteo
(caacutec giaacuteo hội Thiecircn Chuacutea giaacuteo Tin Lagravenh Phật giaacuteo Hoagrave Hảo Cao Đagravei Hồi giaacuteo
vv) TC kinh tế (cocircng ty ngacircn hagraveng hợp taacutec xatilde vv) TC văn hoaacute thể thao (đoagraven
kịch đoagraven chegraveo đội boacuteng vv) TC vũ trang Nhagrave nước tiến hagravenh việc quản liacute về
TC vagrave hoạt động của caacutec TC trong xatilde hội bằng Hiến phaacutep vagrave phaacutep luật Caacutec TC
trong xatilde hội thường coacute điều lệ nội quy hoạt động quy định traacutech nhiệm quyền
hạn của caacutec thagravenh viecircn vagrave mối quan hệ giữa caacutec thagravenh viecircn trong TC ấy
4 Hệ thống quản lyacute an toagraven thocircng tin
41 Caacutec yecircu cầu chung
Tổ chức cần phải thiết lập triển khai điều hagravenh giaacutem saacutet bảo trigrave vagrave nacircng cấp một
hệ thống quản lyacute an toagraven thocircng tin (ISMS) đatilde được tagravei liệu hoacutea trong bối cảnh toagraven
bộ hoạt động của tổ chức vagrave những rủi ro đang phải đối mặt
42 Thiết lập vagrave quản lyacute hệ thống ISMS
421 Thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA tổ chức cần thực hiện như sau
a) Định nghĩa phạm vi vagrave caacutec giới hạn của hệ thống ISMS theo caacutec mặt đặc thugrave
cocircng việc sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ đồng thời bao gồm
cả caacutec thocircng tin chi tiết vagrave lyacute do nếu loại bỏ yecircu cầu hellip trong tiecircu chuẩn khỏi
phạm vi aacutep dụng
b) Vạch rotilde chiacutenh saacutech triển khai hệ thống ISMS theo caacutec mặt đặc thugrave cocircng việc
sự tổ chức địa điểm caacutec tagravei sản vagrave cocircng nghệ magrave trong đoacute
1) bao gồm khuocircn khổ để xacircy dựng mục tiecircu thiết lập định hướng vagrave nguyecircn
tắc cho việc đảm bảo an toagraven thocircng tin
2) chuacute yacute đến caacutec hoạt động nghiệp vụ phaacutep lyacute quy định vagrave caacutec điều khoản bắt
buộc về bảo mật
3) đưa vagraveo caacutec yecircu cầu kinh doanh caacutec yecircu cầu vagrave chế tagravei về phaacutep lyacute cũng
như caacutec nghĩa vụ về an toagraven an ninh coacute trong hợp đồng
4) thực hiện sự thiết lập vagrave duy trigrave hệ thống ISMS như một phần trong chiến
lược quản lyacute rủi ro của tổ chức
10
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
5) thiết lập caacutec chỉ tiecircu đaacutenh giaacute rủi ro coacute thể xảy ra (xem 421c)
6) được ban quản lyacute phecirc duyệt
Chuacute yacute Để đạt được mục tiecircu của tiecircu chuẩn nagravey chiacutenh saacutech triển khai hệ thống
ISMS được xem xeacutet như lagrave một danh mục đầy đủ caacutec chiacutenh saacutech an toagraven thocircng
tin Caacutec chiacutenh saacutech nagravey coacute thể được mocirc tả trong cugraveng một tagravei liệu
c) Xaacutec định phương phaacutep tiếp cận đaacutenh giaacute rủi ro của tổ chức
1) Xaacutec định hệ phương phaacutep đaacutenh giaacute rủi ro thiacutech hợp với hệ thống ISMS vagrave
caacutec quy định phaacutep lyacute an toagraven bảo mật thocircng tin đatilde xaacutec định
2) Phaacutet triển chỉ tiecircu cho caacutec rủi ro coacute thể chấp nhận vagrave vạch rotilde caacutec mức rủi ro
coacute thể chấp nhận được (xem 51f)
Hệ phương phaacutep đaacutenh giaacute rủi ro được lựa chọn sẽ đảm bảo caacutec đaacutenh giaacute rủi ro
đưa ra caacutec kết quả coacute thể so saacutenh vagrave taacutei tạo được
Chuacute yacute Coacute nhiều hệ phương phaacutep đaacutenh giaacute rủi ro khaacutec nhau Viacute dụ về caacutec hệ
phương phaacutep đaacutenh giaacute rủi ro được necircu ra trong tagravei liệu ISOIEC TR 13335-3
ldquoInformation technology- Guidelines for the management of IT Security ndash
Techniques for the management of IT Securityrdquo
d) Xaacutec định caacutec rủi ro
1) Xaacutec định caacutec tagravei sản trong phạm vi hệ thống ISMS vagrave đối tượng quản lyacute 1
caacutec tagravei sản nagravey
2) Xaacutec định caacutec mối đe doạ coacute thể xảy ra đối với tagravei sản
3) Xaacutec định caacutec yếu điểm coacute thể bị khai thaacutec bởi caacutec mối đe doạ trecircn
4) Xaacutec định những taacutec động xấu tới caacutec tiacutenh chất quan trọng của tagravei sản cần
bảo đảm biacute mật toagraven vẹn vagrave sẵn sagraveng
e) Phacircn tiacutech vagrave đaacutenh giaacute caacutec rủi ro
1) Đaacutenh giaacute caacutec ảnh hưởng hoạt động của tổ chức do sự cố về an toagraven thocircng
tin chuacute yacute đến caacutec hậu quả của việc mất tiacutenh biacute mật toagraven vẹn hay sẵn sagraveng
của caacutec tagravei sản
1 Thuật ngữ ldquođối tượng quản lyacuterdquo trong ngữ cảnh nagravey dugraveng để chỉ một caacute nhacircn hay thực thể đatilde phecirc chuẩn traacutech nhiệm quản lyacute trong việc điều khiển sản xuất phaacutet triển bảo trigrave sử dụng vagrave đảm bảo an toagraven của tagravei sản Thuật ngữ nagravey khocircng dugraveng để chỉ những người coacute quyền sở hữu tagravei sản
11
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
2) Đaacutenh giaacute caacutec khả năng thực tế coacute thể xảy ra sự cố an toagraven thocircng tin bắt
nguồn từ caacutec mối đe dọa vagrave nguy cơ đatilde dự đoaacuten Đồng thời đaacutenh giaacute caacutec
taacutec động tới tagravei sản vagrave caacutec biện phaacutep bảo vệ đang thực hiện
3) Ước lượng caacutec mức độ của rủi ro
4) Xaacutec định rủi ro được chấp nhận hay phải coacute biện phaacutep xử lyacute dựa trecircn caacutec
chỉ tiecircu chấp nhận rủi ro đatilde được thiết lập trong mục 421c2
f) Xaacutec định vagrave đaacutenh giaacute caacutec lựa chọn cho việc xử lyacute rủi ro
Caacutec hoạt động coacute thể thực hiện
1) Aacutep dụng caacutec biện phaacutep quản lyacute thiacutech hợp
2) Chấp nhận rủi ro với điều kiện chuacuteng hoagraven toagraven thỏa matilden caacutec chiacutenh saacutech
vagrave tiecircu chuẩn chấp nhận rủi ro của tổ chức (xem 421c)2))
3) Traacutenh caacutec rủi ro
4) Chuyển giao caacutec rủi ro caacutec bộ phận khaacutec như bảo hiểm nhagrave cung cấp
vv
g) Lựa chọn caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute để xử lyacute caacutec rủi ro
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute sẽ được lựa chọn vagrave thực hiện để đaacutep
ứng caacutec yecircu cầu được xaacutec định bởi quaacute trigravenh xử lyacute rủi ro vagrave đaacutenh giaacute rủi ro Sự lựa
chọn nagravey sẽ xem xeacutet đến tiecircu chuẩn chấp nhận rủi ro (xem 421)c)2) cũng như
caacutec yecircu cầu về phaacutep lyacute quy định vagrave cam kết phải tuacircn thủ
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A coacute thể được lựa chọn
như lagrave một phần thiacutech hợp để bảo đảm caacutec yecircu cầu đatilde xaacutec định
Caacutec yecircu cầu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A lagrave chưa thực sự đầy đủ
Tugravey trường hợp coacute thể lựa chọn thecircm caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
cần thiết khaacutec
Chuacute yacute Phụ lục A bao gồm một danh saacutech bao gồm nhiều mục tiecircu quản lyacute vagrave biện
phaacutep quản lyacute một caacutech toagraven diện coacute khả năng thiacutech hợp đối với nhiều tổ chức
Người sử dụng tiecircu chuẩn quốc tế nagravey coacute thể sử dụng phụ lục A như lagrave điểm khởi
đầu trong việc lựa chọn biện phaacutep quản lyacute để khocircng coacute caacutec biện phaacutep quan trọng
bị bỏ soacutet
h) Được ban quản lyacute phecirc chuẩn caacutec rủi ro tồn đọng đatilde đề xuất
12
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
i) Được ban quản lyacute cho pheacutep cagravei đặt vagrave vận hagravenh hệ thống ISMS
j) Chuẩn bị thocircng baacuteo aacutep dụng
Thocircng baacuteo aacutep dụng hệ thống ISMS bao gồm
1) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đatilde được lựa chọn trong mục
421g) vagrave caacutec cơ sở tiến hagravenh lựa chọn
2) Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute đang được thực hiện
3) Sự loại trừ caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute trong phụ lục A cũng
như giải trigravenh cho việc nagravey
Chuacute yacute Thocircng baacuteo nagravey cung cấp thocircng tin toacutem tắt cho caacutec quyết định liecircn quan đến
việc xử lyacute rủi ro Việc giải trigravenh caacutec biện phaacutep vagrave mục tiecircu quản lyacute trong phụ lục A
khocircng được sử dụng nhằm traacutenh khả năng bỏ soacutet
422 Triển khai vagrave điều hagravenh hệ thống ISMS
Quaacute trigravenh triển khai vagrave điều hagravenh hệ thống ISMS đogravei hỏi thực hiện như sau
a) Lập kế hoạch xử lyacute rủi ro trong đoacute xaacutec định caacutec hoạt động quản lyacute thiacutech hợp
tagravei nguyecircn traacutech nhiệm vagrave mức độ ưu tiecircn để quản lyacute caacutec rủi ro an toagraven thocircng
tin (xem 5)
b) Triển khai kế hoạch xử lyacute rủi ro nhằm đạt được mục tiecircu quản lyacute đatilde xaacutec định
trong đoacute bao gồm cả sự xem xeacutet kinh phiacute đầu tư cũng như phacircn bổ vai trograve
traacutech nhiệm
c) Triển khai caacutec biện phaacutep quản lyacute được lựa chọn trong 421g) để thỏa matilden caacutec
mục tiecircu quản lyacute
d) Định nghĩa caacutech tiacutenh toaacuten mức độ hiệu quả của caacutec biện phaacutep quản lyacute hoặc
nhoacutem caacutec biện phaacutep quản lyacute đatilde lựa chọn vagrave chỉ ra caacutec kết quả nagravey sẽ được sử
dụng như thế nagraveo trong việc đaacutenh giaacute tiacutenh hiệu quả quản lyacute nhằm tạo ra
những kết quả coacute thể so saacutenh được vagrave taacutei tạo được (xem 423c)
e) Triển khai caacutec chương trigravenh đagraveo tạo nacircng cao nhận thức (xem 522)
f) Quản lyacute hoạt động hệ thống ISMS
g) Quản lyacute caacutec tagravei nguyecircn dagravenh cho hệ thống ISMS (xem 52)
13
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
h) Triển khai caacutec thủ tục vagrave caacutec biện phaacutep quản lyacute khaacutec coacute khả năng phaacutet hiện
caacutec sự kiện an toagraven thocircng tin cũng như phản ứng với caacutec sự cố an toagraven thocircng
tin (xem 423a)
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
Tổ chức thực hiện caacutec biện phaacutep sau đacircy
a) Tiến hagravenh giaacutem saacutet soaacutet xeacutet lại caacutec thủ tục vagrave biện phaacutep quản lyacute an toagraven thocircng
tin khaacutec nhằm
1) Nhanh choacuteng phaacutet hiện ra caacutec lỗi trong kết quả xử lyacute
2) Nhanh choacuteng xaacutec định caacutec tấn cocircng lỗ hổng vagrave sự cố an toagraven thocircng tin
3) Cho pheacutep ban quản lyacute xaacutec định kết quả caacutec caacutec cocircng nghệ cũng như con
người đatilde đem lại coacute đạt mục tiecircu đề ra hay khocircng
4) Hỗ trợ phaacutet hiện caacutec sự kiện an toagraven thocircng tin do đoacute ngăn chặn sớm caacutec sự
cố an toagraven thocircng tin bằng caacutec chỉ thị cần thiết
5) Xaacutec định đuacuteng hiệu quả của caacutec hoạt động xử lyacute lỗ hổng an toagraven thocircng tin
b) Thường xuyecircn kiểm tra soaacutet xeacutet hiệu quả của hệ thống ISMS (bao gồm việc
xem xeacutet tiacutenh phugrave hợp giữa chiacutenh saacutech caacutec mục tiecircu quản lyacute vagrave soaacutet xeacutet của
việc thực hiện caacutec biện phaacutep quản lyacute an toagraven thocircng tin) trong đoacute xem xeacutet đến
caacutec kết quả kiểm tra an toagraven bảo mật caacutec sự cố đatilde xảy ra kết quả tiacutenh toaacuten
hiệu quả caacutec đề xuất kiến nghị cũng như caacutec thocircng tin phản hồi thu thập
được
c) Tiacutenh toaacuten hiệu quả của caacutec biện phaacutep quản lyacute đatilde thỏa matilden caacutec yecircu cầu về
bảo đảm ATTT
d) Soaacutet xeacutet lại caacutec đaacutenh giaacute rủi ro đatilde tiến hagravenh đồng thời soaacutet xeacutet caacutec rủi ro được
bỏ qua cũng như mức độ rủi ro coacute thể chấp nhận được Trong đoacute lưu yacute caacutec
thay đổi trong
1) Tổ chức
2) Cocircng nghệ
3) Mục tiecircu vagrave caacutec quaacute trigravenh nghiệp vụ
4) Caacutec mối nguy hiểm đe doạ an toagraven thocircng tin đatilde xaacutec định
14
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
5) Tiacutenh hiệu quả của caacutec biện phaacutep quản lyacute đatilde thực hiện
6) Caacutec sự kiện becircn ngoagravei chẳng hạn như thay đổi trong mocirci trường phaacutep lyacute
quy định điều khoản phải tuacircn thủ hoagraven cảnh xatilde hội
e) Thực hiện việc kiểm tra nội bộ hệ thống ISMS một caacutech định kỳ (xem 6)
Chuacute yacute Kiểm tra nội bộ đocirci khi cograven được gọi lagrave kiểm tra sơ bộ vagrave được tự thực
hiện
f) Đảm bảo thường xuyecircn kiểm tra việc quản lyacute hệ thống ISMS để đaacutenh giaacute mục
tiecircu đặt ra coacute cograven phugrave hợp cũng như nacircng cấp caacutec vagrave đatilde xaacutec định caacutec nacircng
cấp cần thiết cho hệ thống ISMS (xem 71)
g) Cập nhật kế hoạch bảo đảm an toagraven thocircng tin theo saacutet thay đổi của tigravenh higravenh
thực tế thu được qua caacutec hoạt động giaacutem saacutet vagrave đaacutenh giaacute
h) Ghi cheacutep lập tagravei liệu về caacutec sự kiện vagrave hoạt động coacute khả năng hưởng đến tiacutenh
hiệu quả hoặc hiệu lực của hệ thống ISMS (xem 433)
424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
Tổ chức cần thường xuyecircn thực hiện
a) Triển khai caacutec nacircng cấp cho hệ thống ISMS đatilde xaacutec định
b) Tiến hagravenh hoagraven chỉnh vagrave coacute caacutec biện phaacutep phograveng ngừa thiacutech hợp (xem 82 vagrave
83) Chuacute yacute vận dụng kinh nghiệm đatilde coacute cũng như tham khảo từ caacutec tổ chức
khaacutec
c) Thocircng baacuteo vagrave thống nhất với caacutec thagravenh phần liecircn quan về caacutec hoạt động vagrave sự
nacircng cấp của hệ thống ISMS
d) Đảm bảo việc thực hiện nacircng cấp phải phugrave hợp với caacutec mục tiecircu đatilde đặt ra
43 Caacutec yecircu cầu về hệ thống tagravei liệu
431 Khaacutei quaacutet
Tagravei liệu bao gồm tập hợp caacutec hồ sơ xử lyacute nhằm đảm bảo cho pheacutep truy lại được
caacutec quyết định xử lyacute chiacutenh saacutech vagrave đảm bảo rằng caacutec kết quả ghi nhận lagrave coacute thể
taacutei tạo lại được
15
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Điều quan trọng lagrave cần necircu rotilde được sự liecircn quan giữa caacutec biện phaacutep quản lyacute đatilde
chọn với kết quả của caacutec quy trigravenh đaacutenh giaacute vagrave xử lyacute rủi ro cũng như với caacutec chiacutenh
saacutech vagrave mục tiecircu của hệ thống ISMS đatilde được đặt ra
Caacutec tagravei liệu của hệ thống ISMS bao gồm
a) Caacutec thocircng baacuteo về chiacutenh saacutech (xem 421b) vagrave mục tiecircu của hệ thống ISMS
b) Phạm vi của hệ thống ISMS (xem 421a)
c) Caacutec thủ tục vagrave biện phaacutep quản lyacute hỗ trợ cho hệ thống ISMS
d) Mocirc tả hệ phương phaacutep đaacutenh giaacute rủi ro (xem 421c))
e) Baacuteo caacuteo đaacutenh giaacute rủi ro (xem 421c)-421g))
f) Kế hoạch xử lyacute rủi ro (xem 422b))
g) Caacutec thủ tục dạng văn bản của tổ chức để coacute thể đảm bảo hiệu quả của kế
hoạch sự điều hagravenh vagrave quản lyacute caacutec quy trigravenh bảo đảm an toagraven thocircng tin vagrave mocirc
tả phương thức đaacutenh giaacute hiệu quả của caacutec biện phaacutep quản lyacute đatilde aacutep dụng (xem
423c)
h) Caacutec hồ sơ cần thiết được mocirc tả trong mục 433 của tiecircu chuẩn nagravey
i) Thocircng baacuteo aacutep dụng
Chuacute yacute 1 Cụm từ ldquothủ tục dưới dạng văn bảnrdquo trong ngữ cảnh của tiecircu chuẩn quốc
tế nagravey coacute nghĩa lagrave caacutec thủ tục đatilde được thiết lập biecircn soạn thagravenh tagravei liệu triển khai
vagrave bảo trigrave
Chuacute yacute 2 Quy mocirc của tagravei liệu về hệ thống ISMS giữa caacutec tổ chức lagrave khaacutec nhau vagrave
phụ thuộc vagraveo
- Kiacutech thước vagrave loại higravenh hoạt động của tổ chức
- Phạm vi vagrave độ phức tạp của caacutec yecircu cầu an toagraven bảo mật cũng như caacutec hệ
thống đang được tổ chức quản lyacute
Chuacute yacute 3 Caacutec hồ sơ vagrave tagravei liệu coacute thể được biểu diễn dưới bất kỳ higravenh thức vagrave
phương tiện nagraveo phugrave hợp
16
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
432 Biện phaacutep quản lyacute tagravei liệu
Caacutec tagravei liệu cần thiết của hệ thống ISMS cần phải được bảo vệ vagrave quản lyacute thiacutech
hợp Một thủ tục sẽ được thiết lập để xaacutec định caacutec hoạt động quản lyacute cần thiết
nhằm
a) phecirc duyệt caacutec tagravei liệu thỏa đaacuteng trước khi được ban hagravenh
b) soaacutet xeacutet tagravei liệu vagrave tiến hagravenh caacutec sửa đổi cần thiết để coacute thể phecirc duyệt lại
c) đảm bảo nhận biết được caacutec thay đổi vagrave tigravenh trạng sửa đổi hiện hagravenh của tagravei
liệu
d) đảm bảo rằng caacutec phiecircn bản tagravei liệu thiacutech hợp luocircn coacute sẵn ở nơi cần sử dụng
e) đảm bảo rằng caacutec tagravei liệu phải rotilde ragraveng dễ đọc vagrave dễ nhận biết
f) đảm bảo tagravei liệu phải sẵn sagraveng đối với người cần được chuyển giao lưu trữ
vagrave hủy bỏ được aacutep dụng theo caacutec thủ tục phugrave hợp
g) đảm bảo caacutec tagravei liệu coacute nguồn gốc becircn ngoagravei được nhận biết
h) đảm bảo việc phacircn phối tagravei liệu phải được quản lyacute
i) traacutenh việc vocirc tigravenh sử dụng phải caacutec tagravei liệu quaacute hạn
j) aacutep dụng caacutec biện phaacutep định danh phugrave hợp đối với caacutec tagravei liệu cần lưu trữ
433 Biện phaacutep quản lyacute hồ sơ
Caacutec hồ sơ sẽ được thiết lập vagrave duy trigrave để cung cấp caacutec dẫn chứng thể hiện sự phugrave
hợp giữa yecircu cầu vagrave caacutec hoạt động điều hagravenh của hệ thống ISMS Caacutec hồ sơ sẽ
được bảo vệ vagrave quản lyacute Hệ thống ISMS sẽ phải chuacute yacute đến caacutec phaacutep lyacute liecircn quan
caacutec yecircu cầu sửa đổi vagrave caacutec ragraveng buộc đatilde thống nhất Hồ sơ phải dễ đọc dễ nhận
biết vagrave coacute thể sửa được Caacutec biện phaacutep quản lyacute cần thiết để định danh lưu trữ
bảo vệ sửa chữa thời gian sử dụng vagrave hủy bỏ của hồ sơ sẽ được biecircn soạn vagrave
thực hiện Caacutec hồ sơ sẽ được giữ theo quy trigravenh như đatilde phaacutec thảo trong mục 42
vagrave caacutec sự cố đaacuteng kể xuất hiện coacute liecircn quan đến hệ thống ISMS
Viacute dụ hồ sơ lagrave một quyển saacutech ghi cheacutep về caacutec khaacutech tham quan baacuteo caacuteo kiểm
toaacuten vvhellip
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
17
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Ban quản lyacute phải cam kết sẽ cung cấp caacutec dẫn chứng để thiết lập triển khai điều
hagravenh giaacutem saacutet đaacutenh giaacute bảo trigrave vagrave nacircng cấp hệ thống quản lyacute an toagraven thocircng tin
bằng
a) Thiết lập chiacutenh saacutech cho hệ thống bảo đảm an toagraven thocircng tin
b) Đảm bảo rằng caacutec mục tiecircu vagrave kế hoạch của hệ thống an toagraven thocircng tin đatilde
được xacircy dựng
c) Xacircy dựng vai trograve vagrave traacutech nhiệm của an toagraven thocircng tin
d) Trao đổi với tổ chức về caacutec mục tiecircu bảo đảm an toagraven thocircng tin vagrave lagravem cho
phugrave hợp với caacutec chiacutenh saacutech an toagraven thocircng tin caacutec traacutech nhiệm dưới luật vagrave
cần thiết tiếp tục cải tiến
e) Thocircng tin cho toagraven bộ tổ chức biết về tầm quan trọng của caacutec mục tiecircu an toagraven
thocircng tin cần đạt được sự tuacircn thủ chiacutenh saacutech an toagraven thocircng tin traacutech nhiệm
trước phaacutep luật vagrave sự cần thiết phải nacircng cấp cải thiện hệ thống một caacutech
thường xuyecircn
f) Cung cấp đầy đủ tagravei nguyecircn cho caacutec quaacute trigravenh thiết lập triển khai điều hagravenh
giaacutem saacutet kiểm tra bảo trigrave vagrave nacircng cấp hệ thống ISMS (xem 521)
g) Xaacutec định chỉ tiecircu cho caacutec rủi ro vagrave mức độ rủi ro coacute thể chấp nhận được
h) Đảm bảo việc chỉ đạo quaacute trigravenh kiểm toaacuten nội bộ hệ thống ISMS (xem 6)
i) Chỉ đạo việc soaacutet xeacutet sự quản lyacute của hệ thống ISMS (xem 7)
52 Quản lyacute nguồn lực
521 Cấp phaacutet nguồn lực
Tổ chức phải xaacutec định vagrave cung cấp caacutec nguồn lực cần thiết
a) Thiết lập triển khai điều hagravenh giaacutem saacutet soaacutet xeacutet bảo trigrave vagrave nacircng cấp hệ
thống ISMS
b) Đảm bảo rằng caacutec quy trigravenh bảo đảm an toagraven thocircng tin hỗ trợ cho caacutec yecircu cầu
nghiệp vụ
c) Xaacutec định vagrave aacutep dụng caacutec yecircu cầu phaacutep lyacute vagrave quy định cũng như caacutec ragraveng buộc
về an toagraven thocircng tin phải tuacircn thủ
18
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
d) Duy trigrave đầy đủ an toagraven bảo mật bằng caacutech aacutep dụng tất cả caacutec biện phaacutep quản
lyacute đatilde được triển khai
e) Thực hiện soaacutet xeacutet vagrave coacute caacutec biện phaacutep xử lyacute khi cần thiết vagrave
f) Nacircng cao năng lực của hệ thống ISMS khi cần thiết
522 Đagraveo tạo nhận thức vagrave năng lực
Tổ chức phải đảm bảo những người coacute traacutech nhiệm trong hệ thống ISMS phải coacute
đầy đủ năng lực để thực hiện caacutec nhiệm vụ được giao bằng caacutech
a) Xaacutec định caacutec kỹ năng cần thiết để coacute thể thực hiện hiệu quả cocircng việc được
giao
b) Cung cấp caacutec khoacutea đagraveo tạo hoặc tuyển chọn người đatilde coacute năng lực để coacute thể
thỏa matilden yecircu cầu
c) Đaacutenh giaacute mức độ hiệu quả của caacutec hoạt động đatilde thực hiện
d) Lưu giữ hồ sơ về việc học vấn quaacute trigravenh đagraveo tạo caacutec kỹ năng kinh nghiệm vagrave
trigravenh độ chuyecircn mocircn (xem 433)
Tổ chức cũng cần đảm bảo rằng tất cả những caacute nhacircn liecircn quan đều nhận thức
được tầm quan trọng của caacutec hoạt động đảm bảo an toagraven thocircng tin vagrave hiểu caacutech
goacutep phần thực hiện caacutec mục tiecircu của hệ thống ISMS
6 Kiểm tra nội bộ hệ thống ISMS
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xaacutec định caacutec mục tiecircu
quản lyacute biện phaacutep quản lyacute quy trigravenh thủ tục trong hệ thống ISMS
a) Theo caacutec yecircu cầu của tiecircu chuẩn nagravey phaacutep lyacute vagrave caacutec quy định liecircn quan
b) Theo caacutec caacutec yecircu cầu trong đảm bảo an toagraven thocircng tin
c) Phải đảm bảo hiệu quả trong triển khai vagrave duy trigrave
d) Hoạt động diễn ra đuacuteng như mong muốn
Caacutec chương trigravenh kiểm tra sẽ được lecircn kế hoạch vagrave cần xem xeacutet đến caacutec vấn đề
như hiện trạng vagrave yacute nghĩa của caacutec quy trigravenh vagrave phạm vi được kiểm tra Caacutec chỉ
tiecircu phạm vi tần suất vagrave biện phaacutep sẽ được xaacutec định Sự lựa chọn người tiến
hagravenh kiểm tra (kiểm tra viecircn) vagrave caacutech hướng dẫn chỉ đạo kiểm tra sẽ đảm bảo tiacutenh
19
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
khaacutech quan cocircng bằng cho quaacute trigravenh kiểm tra Kiểm tra viecircn khocircng necircn tự kiểm tra
cocircng việc của migravenh
Caacutec traacutech nhiệm vagrave yecircu cầu cho việc lập kế hoạch vagrave hướng dẫn kiểm tra baacuteo
caacuteo kết quả vagrave lưu giữ hồ sơ (xem 433) phải được xaacutec định rotilde ragraveng trong một thủ
tục dưới dạng văn bản
Ban quản lyacute chịu traacutech nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo
caacutec hoạt động được thực hiện đuacuteng thời hạn nhằm loại bỏ caacutec vi phạm Caacutec hoạt
động tiếp theo sẽ bao gồm việc thẩm tra caacutec hoạt động đatilde thực hiện vagrave lập baacuteo
caacuteo về kết quả thẩm tra nagravey (xem 8)
Chuacute yacute Tiecircu chuẩn ISO 190112002 rdquoGuidelines for quality andor environemental
management system auditingrdquo coacute thể cung cấp thocircng tin hỗ trợ cho việc triển khai
việc kiểm tra nội bộ hệ thống ISMS
7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
71 Khaacutei quaacutet
Ban quản lyacute sẽ soaacutet xeacutet hệ thống ISMS của tổ chức theo kế hoạch đatilde đặt ra (iacutet
nhất một lần trong năm) để luocircn luocircn đảm bảo tiacutenh chất phugrave hợp đầy đủ vagrave hiệu
quả Sự xoaacutet xeacutet nagravey bao gồm đaacutenh giaacute caacutec cơ hội cho việc nacircng cấp vagrave sự cần
thiết phải thay đổi của hệ thống ISMS bao gồm caacutec chiacutenh saacutech an toagraven thocircng tin
vagrave mục tiecircu an toagraven thocircng tin Caacutec kết quả của việc soaacutet xeacutet sẽ được lưu giữ vagrave
biecircn soạn thagravenh tagravei liệu (xem 433)
72 Đầu vagraveo của việc soaacutet xeacutet
Đầu vagraveo cho ban quản lyacute tiến hagravenh việc soaacutet xeacutet hệ thống ISMS bao gồm
a) Caacutec kết quả kiểm tra vagrave soaacutet xeacutet hệ thống ISMS
b) Thocircng tin phản hồi từ caacutec bộ phận coacute liecircn quan
c) Caacutec kỹ thuật sản phẩm hoặc thủ tục coacute thể được sử dụng trong tổ chức nhằm
nacircng cao hiệu quả vagrave năng lực của hệ thống ISMS
d) Hiện trạng trạng của caacutec hagravenh động ngăn ngừa vagrave khắc phục sửa chữa
e) Caacutec lỗ hổng hoặc nguy cơ mất an toagraven thocircng tin khocircng được đề cập một caacutech
thấu đaacuteo trong lần đaacutenh giaacute rủi ro trước
20
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
f) Caacutec kết quả đaacutenh giaacute năng lực của hệ thống
g) Caacutec hoạt động tiếp theo lần soaacutet xeacutet trước
h) Caacutec thay đổi coacute ảnh hưởng đến hệ thống ISMS vagrave
i) Caacutec kiến nghị nhằm cải thiện hệ thống
73 Đầu ra của việc soaacutet xeacutet
Ban quản lyacute sau khi soaacutet xeacutet hệ thống ISMS sẽ cần đưa ra caacutec quyết định vagrave hoạt
động trong việc
a) Nacircng cao năng lực của hệ thống ISMS
b) Cập nhật kế hoạch đaacutenh giaacute vagrave xử lyacute rủi ro
c) Sửa đổi caacutec thủ tục vagrave biện phaacutep quản lyacute coacute ảnh hưởng cần thiết đến bảo đảm
an toagraven thocircng tin nhằm đối phoacute lại với caacutec sự kiện coacute thể gacircy taacutec động đến hệ
thống ISMS bao gồm
1) Caacutec yecircu cầu trong hoạt động nghiệp vụ
2) Caacutec yecircu cầu an toagraven bảo mật
3) Caacutec quy trigravenh nghiệp vụ coacute ảnh hưởng tới caacutec yecircu cầu trong hoạt động
nghiệp vụ của tổ chức
4) Caacutec yecircu cầu về phaacutep lyacute vagrave quy định
5) Caacutec ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết
6) Mức độ rủi ro vagravehoặc chỉ tiecircu chấp nhận rủi ro
d) Caacutec nhu cầu cần thiết về tagravei nguyecircn
e) Nacircng cao phương thức đaacutenh giaacute mức độ hiệu quả của caacutec biện phaacutep quản lyacute
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
Tổ chức phải thường xuyecircn nacircng cao tiacutenh hiệu lực của hệ thống ISMS thocircng qua
việc tận dụng chiacutenh saacutech đảm bảo an toagraven thocircng tin caacutec mục tiecircu đảm bảo an
toagraven thocircng tin caacutec kết quả kiểm tra kết quả phacircn tiacutech caacutec sự kiện đatilde xảy ra caacutec
hagravenh động ngăn ngừa vagrave khắc phục cũng như caacutec kết quả soaacutet xeacutet của ban quản
lyacute (xem 7)
21
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
82 Hagravenh động khắc phục
Tổ chức phải thực hiện loại bỏ caacutec nguyecircn nhacircn của caacutec vi phạm với yecircu cầu của
hệ thống ISMS Caacutec thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xaacutec định
rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vi phạm
b) Tigravem ra nguyecircn nhacircn của caacutec vi phạm trecircn
c) Đaacutenh giaacute caacutec hagravenh động cần thiết nhằm ngăn chặn caacutec vi phạm nagravey xuất hiện
trở lại
d) Quyết định vagrave triển khai caacutec hagravenh động khắc phục cần thiết
e) Lập hồ sơ caacutec kết quả khi thực hiện caacutec hagravenh động trecircn
f) Soaacutet xeacutet lại caacutec hagravenh động khắc phục đatilde được thực hiện
83 Hagravenh động phograveng ngừa
Tổ chức cần xaacutec định caacutec hagravenh động để traacutenh caacutec nguyecircn nhacircn gacircy ra caacutec vi
phạm tiềm ẩn coacute thể phaacutet sinh với hệ thống ISMS để coacute caacutec biện phaacutep bảo vệ vagrave
phograveng ngừa Caacutec hagravenh động bảo vệ vagrave phograveng ngừa cần được thực hiện phugrave hợp
với caacutec taacutec động magrave caacutec vi phạm nagravey coacute thể gacircy ra Caacutec thủ tục dưới dạng văn
bản để bảo vệ phograveng ngừa cần xaacutec định rotilde caacutec yecircu cầu sau
a) Xaacutec định caacutec vấn đề vi phạm tiềm ẩn vagrave nguyecircn nhacircn gacircy ra chuacuteng
b) Đaacutenh giaacute sự cần thiết của caacutec hagravenh động ngăn chặn caacutec vi phạm nagravey xuất
hiện
c) Xaacutec định vagrave triển khai caacutec hagravenh động trecircn
d) Lập hồ sơ về caacutec hagravenh động nagravey (xem 433)
e) Soaacutet xeacutet caacutec hagravenh động đatilde được thực hiện trecircn
Tổ chức cần nhận biết caacutec rủi ro đatilde thay đổi vagrave xaacutec định caacutec hagravenh động phugrave hợp
đaacutep ứng lại caacutec thay đổi nagravey Mức ưu tiecircn của caacutec hagravenh động bảo vệ vagrave phograveng
ngừa sẽ được xaacutec định dựa trecircn kết quả của quaacute trigravenh đaacutenh giaacute rủi ro
Chuacute yacute Hagravenh động nhằm ngăn chặn trước caacutec vi phạm thường hiệu quả vagrave kinh tế
hơn lagrave đi khắc phục sự cố do caacutec vi phạm gacircy ra
22
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Phụ lục A
Caacutec mục tiecircu quản lyacute vagrave biện phaacutep quản lyacute
Caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng A1 được xacircy dựng từ caacutec điều số 5
đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 Nội dung trong bảng A1 lagrave
chưa hoagraven toagraven đầy đủ necircn tổ chức coacute thể tham khảo thecircm caacutec mục tiecircu vagrave biện
phaacutep quản lyacute khaacutec Việc lựa chọn caacutec mục tiecircu vagrave biện phaacutep quản lyacute trong bảng
dưới đacircy sẽ được coi như một phần trong quaacute trigravenh thiết lập hệ thống ISMS (xem
431)
Điều 5 đến 15 trong tiecircu chuẩn quốc tế ISOIEC 177992005 cung cấp caacutec khuyến
caacuteo vagrave hướng dẫn triển khai thực tế cho caacutec biện phaacutep quản lyacute trong bảng A1
Bảng A1 - Caacutec mục tiecircu vagrave biện phaacutep quản lyacute
A5 Chiacutenh saacutech an toagraven bảo mật
A51 Chiacutenh saacutech an toagraven thocircng tin
Mục tiecircu Nhằm cung cấp định hướng quản lyacute vagrave hỗ trợ bảo đảm an toagraven thocircng tin thỏa matilden với
caacutec yecircu cầu trong hoạt động nghiệp vụ mocirci trường phaacutep lyacute vagrave caacutec quy định phải tuacircn thủ
A511 Tagravei liệu chiacutenh saacutech an toagraven
thocircng tin
Biện phaacutep quản lyacute
Một tagravei liệu về chiacutenh saacutech an toagraven thocircng tin cần
phải được phecirc duyệt bởi ban quản lyacute vagrave được
cung cấp thocircng baacuteo tới mọi nhacircn viecircn cũng như
caacutec bộ phận liecircn quan
A512 Soaacutet xeacutet lại chiacutenh saacutech an
toagraven thocircng tin
Biện phaacutep quản lyacute
Chiacutenh saacutech an toagraven thocircng tin cần thường xuyecircn
được soaacutet xeacutet theo đuacuteng kế hoạch định trước
hoặc nếu khi coacute những thay đổi lớn xuất hiện để
luocircn đảm bảo sự phugrave hợp đầy đủ vagrave thực sự coacute
hiệu lực
A6 Sự tổ chức của bảo đảm an toagraven thocircng tin
A61 Tổ chức nội bộ
Mục tiecircu Nhằm quản lyacute an toagraven thocircng tin becircn trong tổ chức
23
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
A611 Ban quản lyacute đối cam kết về
bảo đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Ban quản lyacute cần chủ động hỗ trợ bảo đảm an
toagraven thocircng tin trong tổ chức bằng caacutec định
hướng rotilde ragraveng caacutec cam kết minh bạch caacutec
nhiệm vụ rotilde ragraveng vagrave nhận thức rotilde được traacutech
nhiệm về bảo đảm an toagraven thocircng tin
A612 Phối hợp bảo đảm an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec hoạt động bảo đảm an toagraven thocircng tin cần
phải được phối hợp bởi caacutec thagravenh phần đại diện
cho caacutec bộ phận trong tổ chức với vai trograve vagrave
nhiệm vụ cụ thể
A613 Phacircn định traacutech nhiệm bảo
đảm an toagraven thocircng tin
Biện phaacutep quản lyacute
Tất cả caacutec traacutech nhiệm bảo đảm an toagraven thocircng
tin cần phải được xaacutec định một caacutech rotilde ragraveng
A614 Quy trigravenh cấp pheacutep cho chức
năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Một quy trigravenh quản lyacute cấp pheacutep cho chức năng
xử lyacute thocircng tin phải được xaacutec định rotilde vagrave thi
hagravenh
A615 Caacutec thỏa thuận biacute mật Biện phaacutep quản lyacute
Caacutec yecircu cầu cho caacutec thỏa thuận biacute mật phản
aacutenh caacutec nhu cầu của tổ chức để bảo vệ thocircng tin
sẽ được xaacutec định rotilde vagrave thường xuyecircn soaacutet xeacutet
lại
A616 Liecircn lạc với những cơ
quantổ chức coacute thẩm quyền
thẩm quyền
Biện phaacutep quản lyacute
Phải duy trigrave caacutec kecircnh liecircn lạc cần thiết với caacutec cơ
quan coacute thẩm quyền
A617 Liecircn lạc với caacutec với caacutec nhoacutem
coacute quyền lợi đặc biệt
Biện phaacutep quản lyacute
Giữ liecircn lạc với caacutec nhoacutem coacute quyền lợi đặc biệt
caacutec diễn đagraven vagrave hiệp hội an toagraven thocircng tin
A618 Tự soaacutet xeacutet về an toagraven thocircng
tin
Biện phaacutep quản lyacute
24
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Caacutech tiếp cận của tổ chức đối với việc quản lyacute
vagrave triển khai hoạt động đảm bảo an toagraven thocircng
tin (chẳng hạn như caacutec mục tiecircu vagrave biện phaacutep
quản lyacute caacutec chiacutenh saacutech caacutec quaacute trigravenh vagrave caacutec thủ
tục đảm bảo an toagraven thocircng tin) cần phải được tự
soaacutet xeacutet theo định kỳ hoặc khi xuất hiện những
thay đổi quan trọng liecircn quan đến an toagraven thocircng
tin
A62 Caacutec thagravenh phần becircn ngoagravei
Mục tiecircu Nhằm duy trigrave an toagraven đối với thocircng tin vagrave caacutec chức năng xử lyacute thocircng tin của tổ chức magrave
được truy cập xử lyacute truyền tới hoặc quản lyacute bởi caacutec thagravenh phần becircn ngoagravei tổ chức
A621 Xaacutec định caacutec rủi ro liecircn quan
đến caacutec bộ phận ngoagravei
Biện phaacutep quản lyacute
Caacutec rủi ro đối thocircng tin vagrave caacutec chức năng xử lyacute
thocircng tin của tổ chức từ caacutec quy trigravenh nghiệp vụ
liecircn quan đến caacutec thagravenh phần becircn ngoagravei cần
được nhận biết vagrave triển khai biện phaacutep quản lyacute
thiacutech hợp khi cấp quyền truy cập cho caacutec thagravenh
phần nagravey
A622 Xem xeacutet an toagraven an ninh khi
thương thảo với khaacutech hagraveng
Biện phaacutep quản lyacute
Tất cả caacutec yecircu cầu về an toagraven an ninh đatilde được
xaacutec định cần phải được xem xeacutet trước khi cho
pheacutep khaacutech hagraveng truy cập tới caacutec tagravei sản hoặc
thocircng tin của tổ chức
A623 Xem xeacutet an toagraven an ninh
trong caacutec thỏa thuận với becircn
thứ 3
Biện phaacutep quản lyacute
Caacutec thỏa thuận với becircn thứ 3 liecircn quan đến truy
cập xử lyacute truyền thocircng hoặc quản lyacute thocircng tin
hay chức năng xử lyacute thocircng tin hoặc caacutec sản
phẩm dịch vụ phụ trợ để coacute điều kiện thuận tiện
để xử lyacute thocircng tin cần phải được xem xeacutet nhằm
thỏa matilden với mọi yecircu cầu an toagraven an ninh một
caacutech thỏa đaacuteng
A7 Quản lyacute tagravei sản
A71 Traacutech nhiệm đối với tagravei sản
25
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Mục tiecircu Hoagraven thagravenh vagrave duy trigrave caacutec biện phaacutep bảo vệ thiacutech hợp đối với tagravei sản của tổ chức
A711 Kecirc khai tagravei sản Biện phaacutep quản lyacute
Tất cả mọi tagravei sản cần được xaacutec định một caacutech
rotilde ragraveng vagrave cần thực hiện vagrave duy trigrave việc kecirc khai
mọi tagravei sản quan trọng
A712 Quyền sở hữu tagravei sản Biện phaacutep quản lyacute
Tất cả mọi thocircng tin vagrave tagravei sản liecircn quan tới chức
năng xử lyacute thocircng tin sẽ được phacircn bổ bởi bộ
phận coacute chức năng của tổ chức
A713 Sử dụng hợp lyacute tagravei sản Biện phaacutep quản lyacute
Caacutec quy tắc cho việc sử dụng hợp lyacute caacutec tagravei sản
vagrave thocircng tin liecircn quan tới caacutec chức năng xử lyacute
thocircng tin cần được xaacutec định tagravei liệu hoacutea vagrave triển
khai
A72 Phacircn loại thocircng tin
Mục tiecircu Nhằm đảm bảo rằng thocircng tin sẽ coacute mức độ bảo vệ thiacutech hợp
A721 Hướng dẫn phacircn loại Biện phaacutep quản lyacute
Thocircng tin cần được phacircn loại theo giaacute trị yecircu
cầu phaacutep lyacute sự nhạy cảm vagrave quan trọng đối với
tổ chức
A722 Gaacuten nhatilden vagrave quản lyacute thocircng
tin
Biện phaacutep quản lyacute
Caacutec thủ tục cần thiết cho việc gaacuten nhatilden vagrave quản
lyacute thocircng tin cần được phaacutet triển vagrave triển khai phugrave
hợp với lược đồ phacircn loại thocircng tin đatilde được tổ
chức lựa chọn
A8 Đảm bảo an toagraven tagravei nguyecircn con người
A81 Trước khi tuyển dụng vagrave bổ nhiệm
26
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Mục tiecircu Đảm bảo rằng caacutec nhacircn viecircn nhagrave thầu vagrave caacutec caacutec becircn thứ 3 hiểu rotilde traacutech nhiệm của
migravenh thiacutech hợp đối với caacutec vai trograve được giao phoacute đồng thời giảm thiểu caacutec rủi ro về việc ăn cắp
gian lận hoặc lạm dụng chức năng quyền hạn
A811 Caacutec vai trograve vagrave traacutech nhiệm Biện phaacutep quản lyacute
Caacutec vai trograve vagrave traacutech nhiệm đảm bảo an toagraven của
caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ ba cần được
định nghĩa vagrave tagravei liệu hoacutea theo caacutec chiacutenh saacutech
đảm bảo an toagraven thocircng tin của tổ chức
A812 Thẩm tra Biện phaacutep quản lyacute
Quaacute trigravenh xaacutec nhận thocircng tin vagrave kiểm tra tất cả
caacutec ứng viecircn cho caacutec vị triacute cần phải được thực
hiện phugrave hợp phaacutep luật quy định vagrave đạo đức
phugrave hợp với caacutec yecircu cầu của cocircng việc Sự
phacircn loại thocircng tin để nắm bắt vagrave đaacutenh giaacute được
caacutec rủi ro
A813 Thời hạn vagrave điều kiện tuyển
dụng
Biện phaacutep quản lyacute
Như một phần của caacutec ragraveng buộc trong hợp
đồng caacutec nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 cần
phải thống nhất vagrave kyacute vagraveo hạn chế vagrave quy định
của hợp đồng tuyển dụng Điều nagravey sẽ necircu rotilde
traacutech nhiệm của người được tuyển dụng vagrave tổ
chức tuyển dụng đối với an toagraven thocircng tin
A82 Trong thời gian lagravem việc
Mục tiecircu Đảm bảo rằng tất cả mọi nhacircn viecircn của tổ chức nhagrave thầu vagrave becircn thứ 3 cần phải nhận
thức được caacutec mối nguy cơ vagrave caacutec vấn đề liecircn quan tới an toagraven thocircng tin traacutech nhiệm vagrave nghĩa vụ
phaacutep lyacute của họ cũng như được trang bị caacutec kiến thức điều kiện cần thiết nhằm hỗ trợ chiacutenh saacutech
an toagraven thocircng tin của tổ chức trong quaacute trigravenh họ lagravem việc để coacute thể giảm thiểu tối đa caacutec rủi ro do
con người gacircy ra
A821 Traacutech nhiệm ban quản lyacute Biện phaacutep quản lyacute
Ban quản lyacute cần phải yecircu cầu caacutec nhacircn viecircn
nhagrave thầu vagrave becircn thứ 3 chấp hagravenh đảm bảo an
toagraven thocircng tin phugrave hợp với caacutec caacutec thủ tục vagrave
27
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
caacutec chiacutenh saacutech an toagraven thocircng tin đatilde được thiết
lập của tổ chức
A822 Nhận thức giaacuteo dục vagrave đagraveo
tạo về đảm bảo an toagraven thocircng
tin
Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn trong tổ chức nhagrave thầu vagrave
caacutec becircn thứ 3 cần phải được đagraveo tạo nhận thức
vagrave cập nhật thường xuyecircn những thủ tục chiacutenh
saacutech đảm bảo an toagraven thocircng tin của tổ chức như
một phần cocircng việc bắt buộc
A823 Xử lyacute kỷ luật Biện phaacutep quản lyacute
Lagrave caacutec higravenh thức xử lyacute kỷ luật đối với caacutec nhacircn
viecircn vi phạm cocircng taacutec đảm bảo an toagraven thocircng
tin
A83 Chấm dứt hoặc thay đổi cocircng việc
Mục tiecircu Nhằm đảm bảo rằng caacutec nhacircn viecircn của tổ chức nhagrave thầu vagrave caacutec becircn thứ 3 nghỉ việc
hoặc thay vị triacute cần thực hiện một caacutech coacute tổ chức
A831 Traacutech nhiệm kết thuacutec hợp
đồng
Biện phaacutep quản lyacute
Caacutec traacutech nhiệm trong việc kết thuacutec hoặc thay
đổi việc sử dụng nhacircn sự cần được vạch ra vagrave
quy định rotilde ragraveng
A832 Bagraven giao tagravei sản Biện phaacutep quản lyacute
Tất cả caacutec nhacircn viecircn cần trả lại caacutec tagravei sản tổ
chức magrave họ quản lyacute khi kết thuacutec hợp đồng hoặc
thuyecircn chuyển sang cocircng taacutec khaacutec theo caacutec điều
khoản đatilde thống nhất
A833 Hủy bỏ quyền truy cập Biện phaacutep quản lyacute
Caacutec quyền truy cập thocircng tin vagrave caacutec chức năng
xử lyacute thocircng tin của mọi nhacircn viecircn cần phải được
hủy bỏ khi họ kết thuacutec hợp đồng hoặc thuyecircn
chuyển cocircng taacutec
A9 Đảm bảo an toagraven vật lyacute vagrave mocirci trường
28
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
A91 Caacutec khu vực an toagraven
Mục tiecircu Nhằm ngăn chặn caacutec sự truy cập vật lyacute traacutei pheacutep lagravem hư hại vagrave cản trở tới thocircng tin vagrave
tagravei sản của tổ chức
A911 Vagravenh đai an toagraven vật lyacute Biện phaacutep quản lyacute
Caacutec vagravenh đai an toagraven (như caacutec bức tường cổng
ravagraveo coacute kiểm soaacutet bằng thẻ hoặc bagraven tiếp tacircn
vv) cần được sử dụng để bảo vệ caacutec khu vực
chứa thocircng tin vagrave chức năng lyacute thocircng tin của tổ
chức
A912 Kiểm soaacutet cổng truy cập vật
lyacute
Biện phaacutep quản lyacute
Caacutec khu vực bảo mật cần được bảo vệ bởi caacutec
biện phaacutep kiểm soaacutet truy cập thiacutech hợp nhằm
đảm bảo chỉ coacute những người coacute quyền mới
được pheacutep truy cập
A913 Bảo vệ caacutec văn phograveng phograveng
lagravem việc vagrave vật dụng
Biện phaacutep quản lyacute
Đảm bảo an toagraven vật lyacute cho caacutec văn phograveng
phograveng lagravem việc vagrave vật dụng cần được thiết kế vagrave
aacutep dụng
A914 Bảo vệ chống lại caacutec mối đe
dọa từ becircn ngoagravei vagrave từ mocirci
trường
Biện phaacutep quản lyacute
Bảo vệ vật lyacute chống lại những nguy cơ do chaacutey
nổ ngập lụt động đất tigravenh trạng naacuteo loạn vagrave
caacutec dạng thảm họa khaacutec do thiecircn nhiecircn vagrave do
con người gacircy ra cần được thiết kế vagrave aacutep dụng
A915 Lagravem việc trong caacutec khu vực
an toagraven
Biện phaacutep quản lyacute
Hướng dẫn vagrave bảo vệ vật lyacute để lagravem việc trong
caacutec khu vực an toagraven cần được thiết kế vagrave aacutep
dụng
A916 Caacutec khu vực truy cập tự do
phacircn phối chuyển hagraveng
Biện phaacutep quản lyacute
Caacutec điểm truy cập magrave người truy nhập khocircng
cần cấp pheacutep như khu vực chung phacircn phối
chuyển hagraveng vv sẽ cần được quản lyacute vagrave nếu
coacute thể caacutech ly khỏi caacutec chức năng xử lyacute thocircng tin
29
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
để traacutenh tigravenh trạng truy nhập traacutei pheacutep
A92 Đảm bảo an toagraven trang thiết bị
Mục tiecircuNhằm ngăn ngừa sự mất maacutet hư hại mất cắp hoặc lợi dụng tagravei sản vagrave lagravem giaacuten đoạn
hoạt động của tổ chức
A921 Bố triacute vagrave bảo vệ thiết bị Biện phaacutep quản lyacute
Thiết bị cần được bố triacute tại caacutec địa điểm an toagraven
hoặc được bảo vệ nhằm giảm thiểu caacutec rủi ro do
caacutec nguy cơ vấn đề từ mocirci trường hay caacutec truy
cập traacutei pheacutep
A922 Caacutec tiện iacutech hỗ trợ Biện phaacutep quản lyacute
Trang thiết bị cần được bảo vệ khỏi sự cố về
điện cũng như caacutec sự giaacuten đoạn hoạt động coacute
nguyecircn nhacircn từ caacutec hệ thống phụ trợ
A923 An toagraven cho dacircy caacutep Biện phaacutep quản lyacute
Dacircy dẫn của điện vagrave truyền thocircng cần phải được
bảo vệ khỏi sự xacircm phạm hoặc lagravem hư hại
A924 Bảo trigrave thiết bị Biện phaacutep quản lyacute
Caacutec thiết bị cần được bảo trigrave một caacutech thiacutech hợp
nhằm đảm bảo luocircn luocircn sẵn sagraveng vagrave toagraven vẹn
A925 An toagraven cho thiết bị hoạt động
becircn ngoagravei
Biện phaacutep quản lyacute
Đảm bảo an toagraven cần được aacutep dụng đối với thiết
bị chuacute yacute đến caacutec rủi ro khaacutec nhau khi thiết bị lagravem
việc becircn ngoagravei tổ chức
A926 An toagraven trong loại bỏ vagrave taacutei
sử dụng thiết bị
Biện phaacutep quản lyacute
Tất cả caacutec thagravenh phần của thiết bị bao gồm caacutec
phương tiện lưu trữ thocircng tin cần phải được
kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy
cảm vagrave phần mềm coacute bản quyền nagraveo phải được
xoacutea bỏ hoặc ghi đegrave trước khi loại bỏ hoặc taacutei sử
dụng thiết bị cho mục điacutech khaacutec
30
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
A927 Di dời tagravei sản Biện phaacutep quản lyacute
Thiết bị thocircng tin hoặc phần mềm sẽ khocircng
được mang ra ngoagravei trước khi được cho pheacutep
A10 Quản lyacute truyền thocircng vagrave điều hagravenh
A101 Caacutec traacutech nhiệm vagrave thủ tục điều hagravenh
Mục tiecircu Nhằm đảm bảo sự điều hagravenh hagravenh đuacuteng đắn vagrave an toagraven caacutec chức năng xử lyacute thocircng tin
A1011 Caacutec thủ tục vận hagravenh đatilde
được tagravei liệu hoacutea
Biện phaacutep quản lyacute
Caacutec thủ thục vận hagravenh cần được tagravei liệu hoacutea
duy trigrave vagrave luocircn sẵn sagraveng đối với mọi người cần
dugraveng đến
A1012 Quản lyacute thay đổi Biện phaacutep quản lyacute
Caacutec thay đổi trong chức năng vagrave hệ thống xử lyacute
thocircng tin cần phải được kiểm soaacutet
A1013 Phacircn taacutech nhiệm vụ Biện phaacutep quản lyacute
Caacutec nhiệm vụ vagrave phạm vi traacutech nhiệm cần được
phacircn taacutech nhằm giảm thiểu khả năng sửa đổi
bất hợp lệ hoặc khocircng mong muốn hay lạm
dụng caacutec tagravei sản của tổ chức
A1014 Phacircn taacutech caacutec chức năng
phaacutet triển kiểm thử vagrave điều
hagravenh
Biện phaacutep quản lyacute
Caacutec chức năng phaacutet triển kiểm thử vagrave vận hagravenh
cần được phacircn taacutech nhằm giảm thiểu caacutec rủi ro
của việc truy cập hoặc thay đổi traacutei pheacutep đối với
hệ thống điều hagravenh
A102 Quản lyacute việc chuyển giao dịch vụ của becircn thứ 3
Mục tiecircu Nhằm triển khai vagrave duy trigrave mức độ an toagraven thocircng tin vagrave sự chuyển giao dịch vụ phugrave hợp
với thỏa thuận chuyển giao dịch vụ với becircn thứ 3
A1021 Chuyển giao dịch vụ Biện phaacutep quản lyacute
Cần phải đảm bảo rằng caacutec biện phaacutep kiểm soaacutet
an toagraven caacutec định nghĩa dịch vụ vagrave mức độ
chuyển giao dịch vụ trong thỏa thuận chuyển
31
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
giao dịch vụ với becircn thứ 3 được triển khai vận
hagravenh vagrave duy trigrave bởi becircn thứ 3
A1022 Giaacutem saacutet vagrave soaacutet xeacutet caacutec dịch
vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec dịch vụ baacuteo caacuteo vagrave hồ sơ của becircn thứ 3
cung cấp cần phải được giaacutem saacutet soaacutet xeacutet vagrave
kiểm tra kiểm toaacuten một caacutech thường xuyecircn
A1023 Quản lyacute thay đổi đối với caacutec
dịch vụ của becircn thứ 3
Biện phaacutep quản lyacute
Caacutec thay đổi về sự cung cấp dịch vụ bao gồm
việc bảo trigrave vagrave nacircng cấp caacutec chiacutenh saacutech thủ tục
biện phaacutep quản lyacute an toagraven thocircng tin đang tồn tại
cần phải được quản lyacute vagrave chuacute yacute đến caacutec chỉ tiecircu
của hệ thống vagrave caacutec quy trigravenh liecircn quan cũng
như việc đaacutenh giaacute lại lại caacutec rủi ro
A103 Kế hoạch vagrave sự cocircng nhận hệ thống
Mục tiecircu Giảm thiểu caacutec rủi ro do sự đổ vỡ hệ thống
A1031 Quản lyacute cocircng suất Biện phaacutep quản lyacute
Việc sử dụng tagravei nguyecircn cần được theo dotildei điều
chỉnh vagrave dự đoaacuten caacutec yecircu cầu về cocircng suất
trong tương lai nhằm đảm bảo hiệu suất hệ
thống cần thiết
A1032 Sự cocircng nhận hệ thống Biện phaacutep quản lyacute
Chỉ tiecircu cocircng nhận đối với caacutec hệ thống thocircng
tin mới nacircng cấp hay caacutec phiecircn bản mới cần
được thiết lập vagrave kiểm tra của hệ thống cần tiến
hagravenh trong quaacute trigravenh phaacutet triển vagrave trước khi được
cocircng nhận
A104 Bảo vệ chống lại caacutec matilde độc vagrave matilde di động
Mục tiecircu Nhằm bảo vệ tiacutenh toaacuten vẹn của phần mềm vagrave thocircng tin
A1041 Quản lyacute chống lại matilde độc Biện phaacutep quản lyacute
Caacutec biện phaacutep quản lyacute trong việc phaacutet hiện
ngăn chặn vagrave phục hồi nhằm bảo vệ chống lại
32
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
caacutec đoạn matilde độc cũng như triển khai caacutec thủ tục
tuyecircn truyền nacircng cao nhận thức của người sử
dụng
A1042 Kiểm soaacutet caacutec matilde di động Biện phaacutep quản lyacute
Đối với caacutec matilde di động hợp lệ việc cagravei đặt sẽ
đảm bảo phugrave hợp với caacutec chiacutenh saacutech an toagraven đatilde
được đặt ra Ngược lại caacutec đoạn matilde di động traacutei
pheacutep sẽ bị ngăn chặn
A105 Sao lưu
Mục tiecircu Nhằm duy trigrave sự toagraven vẹn vagrave sẵn sagraveng của thocircng tin cũng như caacutec chức năng xử lyacute thocircng
tin
A1051 Sao lưu thocircng tin Biện phaacutep quản lyacute
Caacutec bản sao lưu của thocircng tin vagrave phần mềm cần
được thực hiện vagrave kiểm tra thường xuyecircn sao
cho phugrave hợp với chiacutenh saacutech sao lưu đatilde được
chấp thuận
A106 Quản lyacute an toagraven mạng
Mục tiecircu Nhằm đảm bảo an toagraven cho thocircng tin trecircn mạng vagrave an toagraven cho cơ sở hạ tầng hỗ trợ
A1061 Kiểm soaacutet mạng Biện phaacutep quản lyacute
Caacutec mạng cần phải được quản lyacute vagrave kiểm soaacutet
một caacutech thỏa đaacuteng nhằm bảo vệ khỏi caacutec mối
đe dọa vagrave duy trigrave an toagraven cho caacutec hệ thống ứng
dụng sử dụng mạng vagrave thocircng tin đang được
truyền trecircn mạng
A1062 An toagraven cho caacutec dịch vụ
mạng
Biện phaacutep quản lyacute
Caacutec đặc điểm về an toagraven caacutec mức độ dịch vụ vagrave
caacutec yecircu cầu quản lyacute của tất cả caacutec dịch vụ mạng
cần được xaacutec định vagrave ghi rotilde trong caacutec thỏa
thuận về dịch vụ mạng
A107 Quản lyacute phương tiện
Mục tiecircu Nhằm ngăn chặn khả năng bị phơi bagravey sửa đổi di chuyển hoặc phaacute hoại bất hợp phaacutep
33
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
caacutec tagravei sản vagrave gacircy giaacuten đoạn caacutec hoạt động nghiệp vụ
A1071 Quản lyacute caacutec phương tiện coacute
thể di dời
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute phương tiện coacute thể di dời được
A1072 Loại bỏ phương tiện Biện phaacutep quản lyacute
Caacutec phương tiện cần được loại bỏ một caacutech an
toagraven vagrave bảo mật khi khocircng cograven cần thiết theo
caacutec thủ tục xử lyacute chiacutenh thức
A1073 Caacutec thủ tục quản lyacute thocircng tin Biện phaacutep quản lyacute
Caacutec thủ tục nhằm quản lyacute vagrave lưu trữ thocircng tin
cần được thiết lập nhằm bảo vệ thocircng tin khỏi
sự phaacutet taacuten hoặc lạm dụng một caacutech bất hợp
phaacutep
A1074 An toagraven cho caacutec tagravei liệu hệ
thống
Biện phaacutep quản lyacute
Caacutec tagravei liệu về hệ thống cần được bảo vệ khỏi
sự truy cập traacutei pheacutep
A108 Trao đổi thocircng tin
Mục tiecircu Nhằm duy trigrave tigravenh trạng an toagraven cho caacutec thocircng tin vagrave phần mềm được trao đổi trong nội
bộ tổ chức hoặc với caacutec thực thể becircn ngoagravei
A1081 Caacutec thủ tục vagrave chiacutenh saacutech
trao đổi thocircng tin
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech thủ tục vagrave biện phaacutep quản lyacute
chiacutenh thức cần phải sẵn coacute để bảo vệ sự trao
đổi thocircng tin thocircng qua hệ thống truyền thocircng
A1082 Caacutec thỏa thuận trao đổi Biện phaacutep quản lyacute
Caacutec thỏa thuận cần được thiết lập cho việc trao
đổi thocircng tin vagrave phần mềm giữa tổ chức vagrave caacutec
thực thể becircn ngoagravei
A1083 Vận chuyển phương tiện vật
lyacute
Biện phaacutep quản lyacute
Phương tiện chứa thocircng tin cần được bảo vệ
khỏi sự truy cập lạm dụng hoặc lagravem giaacuten đoạn
34
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
traacutei pheacutep khi vận chuyển vượt ra ngoagravei phạm vi
địa lyacute của tổ chức
A1084 Thocircng điệp điện tử Biện phaacutep quản lyacute
Thocircng tin bao hagravem trong caacutec thocircng điệp điện tử
cần được bảo vệ một caacutech thỏa đaacuteng
A1085 Caacutec hệ thống thocircng tin
nghiệp vụ
Biện phaacutep quản lyacute
Caacutec chiacutenh saacutech caacutec thủ tục cần được phaacutet triển
vagrave triển khai nhằm bảo vệ thocircng tin gắn liền với
sự kết nối giữa caacutec caacutec hệ thống thocircng tin
nghiệp vụ
A109 Caacutec dịch vụ thương mại điện tử
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec dịch vụ thương mại điện tử vagrave sử dụng dịch vụ một caacutech
bảo đảm
A1091 Thương mại điện tử Biện phaacutep quản lyacute
Thocircng tin trong thương mại điện tử truyền qua
caacutec mạng cocircng cộng cần phải được bảo vệ khỏi
caacutec hoạt động gian lận caacutec tranh catildei vagrave sự cocircng
khai sửa đổi traacutei pheacutep
A1092 Caacutec giao dịch trực tuyến Biện phaacutep quản lyacute
Thocircng tin trong caacutec giao dịch trực tuyến cần
được bảo vệ nhằm ngăn chặn việc truyền khocircng
đầy đủ dữ liệu sai địa chỉ sửa đổi cocircng khai
hoặc nhacircn bản thocircng điệp một caacutech traacutei pheacutep
A1093 Thocircng tin cocircng khai Biện phaacutep quản lyacute
Tiacutenh toagraven vẹn của thocircng tin được cocircng khai trecircn
caacutec hệ thống cocircng cộng cần phải được bảo vệ
nhằm ngăn chặn sự sửa đổi traacutei pheacutep
A1010 Giaacutem saacutet
Mục tiecircu Nhằm phaacutet hiện caacutec hoạt động xử lyacute thocircng tin traacutei pheacutep
A10101 Ghi nhật kyacute kiểm toaacuten Biện phaacutep quản lyacute
35
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Việc ghi lại tất cả caacutec hoạt động của người
dugraveng caacutec lỗi ngoại lệ vagrave caacutec sự kiện an toagraven
thocircng tin cần phải được thực hiện vagrave duy trigrave
trong một khoảng thời gian đatilde được thỏa thuận
nhằm trợ giuacutep cho việc điều tra cũng như giaacutem
saacutet điều khiển truy cập về sau
A10102 Sử dụng hệ thống giaacutem saacutet Biện phaacutep quản lyacute
Caacutec thủ tục giaacutem saacutet việc sử dụng caacutec chức
năng xử lyacute thocircng tin cần được thiết lập vagrave kết
quả giaacutem saacutet cần phải được xem xeacutet lại thường
xuyecircn
A10103 Bảo vệ caacutec thocircng tin nhật kyacute Biện phaacutep quản lyacute
Caacutec chức năng ghi nhật kyacute cũng như thocircng tin
nhật kyacute cần được bảo vệ khỏi sự giả mạo vagrave
truy cập traacutei pheacutep
A10104 Nhật kyacute người điều hagravenh vagrave
người quản trị
Biện phaacutep quản lyacute
Tất cả caacutec hoạt động của người quản trị cũng
như người điều hagravenh hagravenh hệ thống cần phải
được ghi lại
A10105 Nhật kyacute lỗi Biện phaacutep quản lyacute
Caacutec lỗi cần được ghi lại vagrave phacircn tiacutech vagrave coacute caacutec
hoạt động xử lyacute cần thiết
A10106 Đồng bộ thời gian Biện phaacutep quản lyacute
Đồng hồ trecircn caacutec hệ thống xử lyacute thocircng tin trong
tổ chức hoặc trong một phạm vi an toagraven cần
được đồng bộ với một nguồn thời gian chiacutenh xaacutec
đatilde được đồng yacute lựa chọn
A11 Quản lyacute truy cập
A111 Yecircu cầu nghiệp vụ cho quản lyacute truy cập
Mục tiecircu Quản lyacute caacutec truy cập thocircng tin
36
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
A1111 Chiacutenh saacutech quản lyacute truy cập Biện phaacutep quản lyacute
Chiacutenh saacutech quản lyacute truy cập cần được thiết lập
tagravei liệu hoacutea vagrave soaacutet xeacutet dựa trecircn caacutec yecircu cầu bảo
mật vagrave nghiệp vụ cho caacutec truy cập
A112 Quản lyacute truy cập người sử dụng
Mục tiecircu Nhằm đảm bảo caacutec người dugraveng hợp lệ được truy cập vagrave ngăn chặn những người dugraveng
khocircng hợp lệ truy cập traacutei pheacutep đến hệ thống thocircng tin
A1121 Đăng kyacute thagravenh viecircn Biện phaacutep quản lyacute
Cần thiết phải coacute một thủ tục đăng kyacute vagrave hủy
đăng kyacute thagravenh viecircn chiacutenh thức để thực hiện cấp
phaacutet hoặc thu hồi quyền truy cập đến tất cả caacutec
hệ thống vagrave dịch vụ thocircng tin
A1122 Quản lyacute đặc quyền Biện phaacutep quản lyacute
Sự cấp phaacutet vagrave sử dụng caacutec đặc quyền cần phải
được giới hạn vagrave kiểm soaacutet
A1123 Quản lyacute mật khẩu người sử
dụng
Biện phaacutep quản lyacute
Sự cấp phaacutet mật khẩu người dugraveng cần được
kiểm soaacutet thocircng qua một quy trigravenh quản lyacute chiacutenh
thức
A1124 Soaacutet xeacutet lại caacutec quyền truy
cập của người dugraveng
Biện phaacutep quản lyacute
Ban quản lyacute cần thường xuyecircn soaacutet xeacutet caacutec
quyền truy cập của người sử dụng bằng sử
dụng một quy trigravenh chiacutenh thức
A113 Caacutec traacutech nhiệm của người dugraveng
Mục tiecircu Nhằm ngăn chặn những người dugraveng traacutei pheacutep truy cập lagravem tổn hại hoặc ăn cắp thocircng tin
cũng như caacutec chức năng xử lyacute thocircng tin
A1131 Sử dụng mật khẩu Biện phaacutep quản lyacute
Người dugraveng cần tuacircn thủ caacutec quy tắc sử dụng
vagrave đặt mật khẩu an toagraven
A1132 Caacutec thiết bị vocirc chủ Biện phaacutep quản lyacute
37
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Người dugraveng cần đảm bảo rằng caacutec thiết bị khi
khocircng coacute chủ sở hữu phải được bảo vệ thiacutech
hợp
A1133 Chiacutenh saacutech giữ sạch bagraven vagrave
magraven higravenh lagravem việc
Biện phaacutep quản lyacute
Chiacutenh saacutech bagraven lagravem việc sạch khocircng coacute giấy vagrave
caacutec phương tiện di động vagrave chiacutenh saacutech magraven hinh
sạch caacutec chức năng xử lyacute thocircng tin đều cần
được thực hiện
A114 Quản lyacute truy cập mạng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep caacutec dịch vụ mạng
A1141 Chiacutenh saacutech sử dụng caacutec dịch
vụ mạng
Biện phaacutep quản lyacute
Người dugraveng chỉ được cung cấp quyền truy cập
đối với caacutec dịch vụ magrave họ đatilde được cho pheacutep
A1142 Xaacutec thực người sử dụng cho
caacutec kết nối becircn ngoagravei
Biện phaacutep quản lyacute
Caacutec biện phaacutep chứng thực thiacutech hợp cần được
sử dụng để quản lyacute truy cập bởi caacutec người dugraveng
từ xa
A1143 Định danh thiết bị trong caacutec
mạng
Biện phaacutep quản lyacute
Sự định danh thiết bị một caacutech tự động cần
được xem xeacutet như lagrave một biện phaacutep để xaacutec thực
kết nối từ caacutec vị triacute vagrave thiết bị nhất định
A1144 Bảo vệ cổng cấu higravenh vagrave
chẩn đoaacuten từ xa
Biện phaacutep quản lyacute
Caacutec truy cập locircgiacutec hoặc vật lyacute tới caacutec cổng dugraveng
cho việc cấu higravenh vagrave chẩn đoaacuten cần được kiểm
soaacutet
A1145 Phacircn taacutech mạng Biện phaacutep quản lyacute
Caacutec nhoacutem người dugraveng dịch vụ vagrave hệ thống
thocircng tin cần được phacircn taacutech trecircn caacutec mạng
khaacutec nhau
38
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
A1146 Quản lyacute kết nối mạng Biện phaacutep quản lyacute
Đối với caacutec mạng chia sẻ đặc biệt lagrave caacutec mạng
mở rộng ra ngoagravei tổ chức số lượng người sử
dụng coacute thể kết nối đến cần phải được giới hạn
song song với caacutec chiacutenh saacutech quản lyacute truy cập
vagrave caacutec yecircu cầu trong ứng dụng nghiệp vụ (xem
111)
A1147 Quản lyacute định tuyến mạng Biện phaacutep quản lyacute
Quản lyacute định tuyến mạng cần được triển khai
nhằm đảm bảo rằng caacutec kết nối maacutey tiacutenh vagrave
luồng thocircng tin khocircng vi phạm caacutec chiacutenh saacutech
quản lyacute truy cập của caacutec ứng dụng nghiệp vụ
A115 Quản lyacute truy cập hệ thống điều hagravenh
Mục tiecircu Nhằm ngăn chặn caacutec truy cập traacutei pheacutep tới hệ thống điều hagravenh
A1151 Caacutec thủ tục đăng nhập an
toagraven
Biện phaacutep quản lyacute
Truy cập đến hệ thống điều hagravenh cần được kiểm
soaacutet bởi thủ tục đăng nhập an toagraven
A1152 Định danh vagrave chứng thực
người dugraveng
Biện phaacutep quản lyacute
Tất cả mọi người dugraveng đều coacute một định danh
duy nhất (định danh người dugraveng ndash User ID) để
sử dụng cho mục điacutech caacute nhacircn Một kỹ thuật xaacutec
thực thiacutech hợp cần được chọn nhằm chứng thực
đặc điểm nhận dạng của người dugraveng
A1153 Hệ thống quản lyacute mật khẩu Biện phaacutep quản lyacute
Caacutec hệ thống quản lyacute mật khẩu cần phải coacute khả
năng tương taacutec vagrave bảo đảm chất lượng của mật
khẩu
A1154 Sử dụng caacutec tiện iacutech hệ
thống
Biện phaacutep quản lyacute
Việc sử dụng chương trigravenh tiện iacutech coacute thể gacircy ra
ảnh hưởng đến việc quản lyacute hệ thống vagrave caacutec
chương trigravenh ứng dụng khaacutec cần phải được giới
39
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
hạn vagrave kiểm soaacutet chặt chẽ
A1155 Thời gian giới hạn của phiecircn
lagravem việc
Biện phaacutep quản lyacute
Caacutec phiecircn lagravem việc khocircng hoạt động cần được
tắt sau một khoảng thời gian trễ nhất định
A1156 Giới hạn thời gian kết nối Biện phaacutep quản lyacute
Cần hạn chế thời gian kết nối để lagravem tăng mức
bảo mật của caacutec ứng dụng coacute mức rủi ro cao
A116 Điều khiển truy cập thocircng tin vagrave ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec truy cập đến thocircng tin lưu trong caacutec hệ thống ứng dụng
A1161 Hạn chế truy cập thocircng tin Biện phaacutep quản lyacute
Truy cập tới thocircng tin vagrave caacutec chức năng của hệ
thống ứng dụng của người sử dụng cũng như
caacutec nhacircn viecircn cần được hạn chế sao cho phugrave
hợp với chiacutenh saacutech quản lyacute truy cập đatilde được
xaacutec định rotilde
A1162 Caacutech ly hệ thống nhạy cảm Biện phaacutep quản lyacute
Caacutec hệ thống nhạy cảm cần được đặt riecircng
(caacutech ly) coacute một mocirci trường maacutey tiacutenh
A117 Tiacutenh toaacuten di động vagrave lagravem việc từ xa
Mục tiecircu Nhằm đảm bảo an toagraven thocircng tin khi sử dụng tiacutenh toaacuten di động vagrave lagravem việc từ xa
A1171 Tiacutenh toaacuten vagrave truyền thocircng di
động
Biện phaacutep quản lyacute
Một chiacutenh saacutech chiacutenh thức cần được chuẩn bị
vagrave caacutec biện phaacutep đaacutenh giaacute an toagraven thocircng tin
thiacutech hợp cần được thocircng qua nhằm bảo vệ khỏi
caacutec rủi ro do sử dụng tiacutenh toaacuten vagrave truyền thocircng
di động
A1172 Lagravem việc từ xa Biện phaacutep quản lyacute
Chiacutenh saacutech caacutec kế hoạch điều hagravenh vagrave caacutec thủ
tục cần được phaacutet triển vagrave triển khai cho caacutec
40
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
hoạt động lagravem việc từ xa
A12 Tiếp nhận phaacutet triển vagrave bảo trigrave caacutec hệ thống thocircng tin
A121 Caacutec yecircu cầu đảm bảo an toagraven cho caacutec hệ thống thocircng tin
Mục tiecircu Nhằm đảm bảo rằng bảm đảm an toagraven lagrave một phần khocircng thể thiếu của caacutec hệ thống
thocircng tin
A1211 Phacircn tiacutech vagrave đặc tả caacutec yecircu
cầu về an toagraven
Biện phaacutep quản lyacute
Caacutec thocircng baacuteo về yecircu cầu nghiệp vụ đối với một
hệ thống thocircng tin mới hoặc được nacircng cấp của
một hệ thống thocircng tin coacute sẵn cần chỉ rotilde caacutec yecircu
cầu về biện phaacutep quản lyacute an toagraven thocircng tin
A122 Khắc phục ứng dụng
Mục tiecircu Nhằm ngăn chặn caacutec lỗi sự mất maacutet sửa đổi hoặc lạm dụng traacutei pheacutep thocircng tin trong
caacutec ứng dụng
A1221 Kiểm tra tiacutenh hợp lệ của dữ
liệu nhập vagraveo
Biện phaacutep quản lyacute
Dữ liệu nhập vagraveo caacutec ứng dụng cần được kiểm
tra tiacutenh hợp lệ để đảm bảo rằng caacutec dữ liệu nagravey
lagrave chiacutenh xaacutec vagrave thiacutech hợp
A1222 Quản lyacute việc xử lyacute nội bộ Biện phaacutep quản lyacute
Sự kiểm tra tiacutenh hợp lệ cần được tiacutech hợp trong
caacutec ứng dụng nhằm phaacutet hiện thocircng tin sai lệch
do caacutec lỗi trong quaacute trigravenh xử lyacute hoặc caacutec hagravenh vi
coacute chủ yacute
A1223 Tiacutenh toagraven vẹn thocircng điệp Biện phaacutep quản lyacute
Caacutec yecircu cầu trong việc đảm bảo tiacutenh chất xaacutec
thực vagrave bảo vệ tiacutenh sự toagraven vẹn thocircng điệp trong
caacutec ứng dụng cần được xaacutec định Becircn cạnh đoacute
cũng cần xaacutec định vagrave triển khai caacutec biện phaacutep
quản lyacute phugrave hợp
A1224 Kiểm tra tiacutenh hợp lệ của dữ
liệu đầu ra
Biện phaacutep quản lyacute
Dữ liệu xuất ra từ một ứng dụng cần được kiểm
41
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
tra nhằm đảm ảo rằng quaacute trigravenh xử lyacute thocircng tin
chiacutenh xaacutec vagrave thiacutech hợp trong mọi trường hợp
A123 Quản lyacute matilde hoacutea
Mục điacutech Nhằm bảo vệ tiacutenh biacute mật xaacutec thực hoặc toagraven vẹn của thocircng tin bằng caacutec biện phaacutep matilde
hoacutea
A1231 Chiacutenh saacutech sử dụng caacutec biện
phaacutep quản lyacute matilde hoacutea
Biện phaacutep quản lyacute
Một chiacutenh saacutech về việc sử dụng caacutec biện phaacutep
quản lyacute matilde hoacutea để bảo vệ thocircng tin cần được
xacircy dựng vagrave triển khai
A1232 Quản lyacute khoacutea Biện phaacutep quản lyacute
Việc quản lyacute khoacutea cần sẵn sằng để hỗ trợ cho
caacutec kỹ thuật matilde hoacutea được sử dụng trong tổ
chức
A124 An toagraven cho caacutec tệp tin hệ thống
Mục tiecircu Nhằm đảm bảo an toagraven cho caacutec tệp tin hệ thống
A1241 Sự quản lyacute caacutec phần mềm
điều hagravenh
Biện phaacutep quản lyacute
Cần phải coacute caacutec thủ tục sẵn sagraveng cho việc quản
lyacute quaacute trigravenh cagravei đặt caacutec phần mềm trecircn hệ thống
điều hagravenh
A1242 Bảo vệ dữ liệu kiểm tra hệ
thống
Biện phaacutep quản lyacute
Dữ liệu kiểm tra cần được lựa chọn bảo vệ vagrave
kiểm soaacutet một caacutech thận trọng
A1243 Quản lyacute truy cập đến matilde
nguồn của chương trigravenh
Biện phaacutep quản lyacute
Sự truy cập đến matilde nguồn của chương trigravenh cần
được giới hạn chặt chẽ
A125 Bảo đảm an toagraven trong caacutec quy trigravenh hỗ trợ vagrave phaacutet triển
Mục tiecircu Nhằm duy trigrave an toagraven của thocircng tin vagrave caacutec phần mềm hệ thống ứng dụng
A1251 Caacutec thủ tục quản lyacute thay đổi Biện phaacutep quản lyacute
42
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Việc thực thi caacutec thay đổi cần được quản lyacute
bằng việc aacutep dụng caacutec thủ tục quản lyacute thay đổi
chiacutenh thức
A1252 Soaacutet xeacutet kỹ thuật của caacutec ứng
dụng sau khi coacute caacutec thay đổi
của hệ thống điều hagravenh
Biện phaacutep quản lyacute
Khi hệ điều hagravenh thay đổi việc ứng dụng chỉ tiecircu
nghiệp vụ cần được soaacutet xeacutet vagrave kiểm tra lại
nhằm đảm bảo rằng khocircng xảy ra caacutec ảnh
hưởng bất lợi tới hoạt động cũng như an toagraven
của tổ chức
A1253 Hạn chế caacutec thay đổi caacutec goacutei
phần mềm
Biện phaacutep quản lyacute
Sự sửa đổi caacutec goacutei phần mềm lagrave khocircng được
khuyến khiacutech cần hạn chế vagrave chỉ necircn thực hiện
đối với caacutec thay đổi rất cần thiết Trong trường
hợp đoacute mọi thay đổi cần phải được quản lyacute chặt
chẽ
A1254 Sự rograve rỉ thocircng tin Biện phaacutep quản lyacute
Caacutec điều kiện coacute thể gacircy rograve rỉ thocircng tin cần phải
được ngăn chặn
A1255 Phaacutet triển phần mềm thuecirc
khoaacuten
Biện phaacutep quản lyacute
Việc phaacutet triển caacutec phần mềm thuecirc khoaacuten cần
phải được quản lyacute vagrave giaacutem saacutet bởi tổ chức
A126 Quản lyacute caacutec điểm yếu về kỹ thuật
Mục tiecircu Nhằm giảm thiểu caacutec mối nguy hiểm xuất phaacutet từ việc tin tặc khai thaacutec caacutec điểm yếu kỹ
thuật đatilde được cocircng bố
A1261 Quản lyacute caacutec nguy cơ về mặt
kỹ thuật
Biện phaacutep quản lyacute
Thocircng tin kịp thời về caacutec điểm yếu kỹ thuật của
caacutec hệ thống thocircng tin đang được sử dụng cần
phải được thu thập Đồng thời tổ chức cần cocircng
bố caacutec đaacutenh giaacute về điểm yếu nagravey cũng như caacutec
biện phaacutep tiến hagravenh để xaacutec định caacutec rủi ro liecircn
quan
43
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
A13 Quản lyacute caacutec sự cố an toagraven thocircng tin
A131 Baacuteo caacuteo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin
Mục tiecircu Nhằm đảm bảo caacutec nhược điểm vagrave sự kiện về an toagraven thocircng tin liecircn quan tới caacutec hệ
thống thocircng tin cần được trao đổi để caacutec hoạt động sửa chữa được tiến hagravenh kịp thời
A1311 Baacuteo caacuteo caacutec sự kiện an toagraven
thocircng tin
Biện phaacutep quản lyacute
Caacutec sự kiện về an toagraven thocircng tin cần được baacuteo
caacuteo thocircng qua caacutec kecircnh quản lyacute một caacutech nhanh
nhất coacute thể
A1312 Baacuteo caacuteo caacutec nhược điểm về
bảo mật
Biện phaacutep quản lyacute
Tất cả mọi nhacircn viecircn nhagrave thầu vagrave becircn thứ 3 của
caacutec hệ thống thocircng tin cần được yecircu cầu phải
chuacute yacute vagrave baacuteo caacuteo bất kỳ nhược điểm nagraveo về bảo
đảm an toagraven đatilde thấy được hoặc cảm thấy nghi
ngờ trong caacutec hệ thống hoặc dịch vụ
A132 Quản lyacute caacutec sự cố an toagraven thocircng tin vagrave nacircng cấp
Mục tiecircu Nhằm đảm bảo một caacutech tiếp cận hiệu quả vagrave nhất quaacuten được aacutep dụng trong việc quản
lyacute caacutec sự cố an toagraven thocircng tin
A1321 Caacutec traacutech nhiệm vagrave thủ tục Biện phaacutep quản lyacute
Caacutec traacutech nhiệm vagrave thủ tục quản lyacute cần được
thiết lập nhằm đảm bảo sự phản ứng nhanh
choacuteng kịp thời hiệu quả đuacuteng trigravenh tự khi xảy
ra caacutec sự cố an toagraven thocircng tin
A1322 Ruacutet bagravei học kinh nghiệm từ
caacutec sự cố an toagraven thocircng tin
Biện phaacutep quản lyacute
Cần phải coacute caacutec cơ chế sẵn sagraveng nhằm cho
pheacutep caacutec lượng hoacutea vagrave giaacutem saacutet caacutec kiểu khối
lượng vagrave chi phiacute của caacutec sự cố an toagraven thocircng
tin
A1323 Thu thập chứng cứ Biện phaacutep quản lyacute
Khi một hagravenh động nhằm chống lại một người
hay một tổ chức sau khi coacute một sự cố an toagraven
thocircng tin xảy ra bao gồm cả caacutec hagravenh động hợp
44
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
phaacutep (cả hai higravenh thức dacircn sự hay higravenh sự)
chứng cứ cần được thu thập giữ lại vagrave được
trigravenh bagravey sao cho phugrave hợp với quy định phaacutep lyacute
A14 Quản lyacute sự liecircn tục trong hoạt động nghiệp vụ
A141 Caacutec khiacutea cạnh an toagraven thocircng tin của việc quản lyacute sự liecircn tục của hoạt động nghiệp vụ
Mục tiecircu Chống lại caacutec giaacuten đoạn trong hoạt động nghiệp vụ vagrave bảo vệ caacutec sự vận hagravenh caacutec hoạt
động trọng yếu khỏi caacutec ảnh hưởng do hệ thống thocircng tin coacute vấn đề hay caacutec thảm hoạ nhằm đảm
bảo khả năng khocirci phục caacutec hoạt động bigravenh thường đuacuteng luacutec
A1411 Bao gồm bảo đảm an toagraven
thocircng tin trong caacutec quaacute trigravenh
quản lyacute sự liecircn tục của hoạt
động nghiệp vụ
Biện phaacutep quản lyacute
Một quaacute trigravenh được quản lyacute cần được xacircy dựng
vagrave duy trigrave nhằm đảm bảo caacutec hoạt động của cơ
quantổ chức khocircng bị giaacuten đoạn Nội dung quaacute
trigravenh nagravey cần phải đề cập caacutec yecircu cầu về an
toagraven thocircng tin cần thiết để coacute thể đảm bảo caacutec
hoạt động liecircn tục của tổ chức
A1412 Đaacutenh giaacute rủi ro vagrave sự liecircn tục
trong hoạt động của tổ chức
Biện phaacutep quản lyacute
Caacutec sự kiện coacute thể gacircy ra sự giaacuten đoạn của quaacute
trigravenh hoạt động của tổ chức cần được xaacutec định
cugraveng với caacutec xaacutec suất ảnh hưởng cũng như hậu
quả của chuacuteng đối với an toagraven thocircng tin
A1413 Phaacutet triển vagrave triển khai liecircn
tục caacutec kế hoạch trong đoacute
bao gồm vấn đề bảo đảm an
toagraven thocircng tin
Biện phaacutep quản lyacute
Caacutec kế hoạch được phaacutet triển vagrave triển khai nhằm
duy trigrave hoặc khocirci phục caacutec hoạt động điều hagravenh
vagrave đảm bảo tiacutenh sẵn coacute của thocircng tin theo yecircu
cầu vagrave đaacutep ứng yecircu cầu về thời gian xử lyacute caacutec
giaacuten đoạn vagrave vấn đề xảy ra
A1414 Khung hoạch định sự liecircn tục
trong kinh doanh
Biện phaacutep quản lyacute
Một khung hoạch định caacutec kế hoạch đảm bảo
liecircn tục trong kinh doanh cần được duy trigrave để
mọi kế hoạch được thực hiện một caacutech nhất
quaacuten vagrave đạt được caacutec yecircu cầu về đảm bảo an
toagraven thocircng tin cũng như xaacutec định được caacutec mức
45
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
độ ưu tiecircn cho việc kiểm tra vagrave bảo trigrave
A1415 Kiểm thử bảo trigrave vagrave đaacutenh giaacute
lại caacutec kế hoạch đảm bảo sự
liecircn tục trong hoạt động của
tổ chức
Biện phaacutep quản lyacute
Caacutec kế hoạch đảm bảo sự liecircn tục trong hoạt
động đơn vị cần được kiểm thử vagrave cập nhật
thường xuyecircn nhằm luocircn đảm bảo tiacutenh cập nhật
vagrave hiệu quả
A15 Sự phugrave hợp
A151 Sự phugrave hợp với caacutec quy định phaacutep lyacute
Mục tiecircu Nhằm traacutenh sự vi phạm phaacutep luật quy định ragraveng buộc theo caacutec hợp đồng đatilde kyacute kết caacutec
yecircu cầu về bảo đảm an toagraven thocircng tin
A1511 Xaacutec định caacutec điều luật coacute thể
aacutep dụng được
Biện phaacutep quản lyacute
Tất cả yecircu cầu phải tuacircn thủ về phaacutep lyacute quy
định cam kết trong hợp đồng đatilde kyacute caacutech tiếp
cận của tổ chức cần phải được xaacutec định rotilde ragraveng
tagravei liệu hoacutea vagrave được cập nhật thường xuyecircn
A1512 Quyền sở hữu triacute tuệ (IPR) Biện phaacutep quản lyacute
Caacutec thủ tục phugrave hợp cần được triển khai nhằm
đảm bảo sự phugrave hợp với yecircu cầu phaacutep lyacute caacutec
quy định vagrave cam kết theo hợp đồng trong việc
sử dụng caacutec tagravei liệu phần mềm coacute yecircu cầu về
bản quyền sở hữu triacute tuệ
A1513 Bảo vệ caacutec hồ sơ tổ chức Biện phaacutep quản lyacute
Caacutec hồ sơ quan trọng cần được bảo vệ khỏi sự
mất maacutet phaacute hủy hoặc lagravem sai lệnh sao cho phugrave
hợp với phaacutep luật quy định caacutec ragraveng buộc trong
hợp đồng đatilde kyacute
A1514 Bảo vệ dữ liệu vagrave sự riecircng tư
của thocircng tin caacute nhacircn
Biện phaacutep quản lyacute
Sự bảo vệ dữ liệu vagrave tiacutenh riecircng tư cần được
đảm bảo theo phaacutep lyacute quy định vagrave nếu coacute thể
bao gồm cả caacutec điều khoản trong hợp đồng vagrave
yecircu cầu nghiệp vụ
46
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
A1515 Ngăn ngừa việc lạm dụng
chức năng xử lyacute thocircng tin
Biện phaacutep quản lyacute
Cần phải ngăn chặn người dugraveng khỏi việc sử
dụng caacutec chức năng xử lyacute thocircng tin vagraveo mục
điacutech khocircng được pheacutep
A1516 Quy định về quản lyacute matilde hoacutea Biện phaacutep quản lyacute
Quản lyacute matilde hoacutea cần được aacutep dụng phugrave hợp với
caacutec thỏa thuận luật phaacutep vagrave caacutec quy định liecircn
quan
A152 Phugrave hợp với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn đảm bảo an toagraven vagrave tương thiacutech kỹ
thuật
Mục tiecircu Nhằm đảm bảo sự phugrave hợp của hệ thống với caacutec chiacutenh saacutech vagrave caacutec tiecircu chuẩn của tổ
chức
A1521 Phugrave hợp với caacutec chiacutenh saacutech
vagrave tiecircu chuẩn an toagraven
Biện phaacutep quản lyacute
Người quản lyacute cần đảm bảo rằng mọi thủ tục
đảm bảo an toagraven trong phạm vi traacutech nhiệm của
migravenh đều được thực hiện chiacutenh xaacutec để đạt được
kết quả phugrave hợp với caacutec chiacutenh saacutech cũng như
caacutec tiecircu chuẩn đảm bảo an toagraven
A1522 Kiểm tra sự tương thiacutech kỹ
thuật
Biện phaacutep quản lyacute
Caacutec hệ thống thocircng tin cần được kiểm tra
thường xuyecircn sự phugrave hợp với caacutec tiecircu chuẩn
thực hiện đảm bảo an toagraven
A153 Xem xeacutet việc kiểm toaacuten caacutec hệ thống thocircng tin
Mục tiecircu Nhằm tối ưu hoacutea tiacutenh hiệu quả vagrave giảm thiểu những ảnh hưởng xấu tới quaacute trigravenh kiểm
toaacuten caacutec hệ thống thocircng tin
A1531 Caacutec biện phaacutep quản lyacute kiểm
toaacuten caacutec hệ thống thocircng tin
Biện phaacutep quản lyacute
Caacutec yecircu cầu kiểm toaacuten vagrave caacutec hoạt động kiểm
tra caacutec hệ thống điều hagravenh cần được hoạch định
thận trọng vagrave thống nhất để hạn chế rủi ro hoặc
sự đổ vỡ của caacutec quy trigravenh hoạt động nghiệp vụ
A1532 Bảo vệ caacutec cocircng cụ kiểm Biện phaacutep quản lyacute
47
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
toaacuten hệ thống thocircng tin Truy cập đến caacutec cocircng cụ kiểm toaacuten hệ thống
thocircng tin cần được bảo vệ khỏi mọi sự lạm dụng
hoặc bị lợi dụng
Phụ lục B
(Tham khảo)
Nguyecircn tắc của OECD vagrave hệ hống ISMS
Caacutec nguyecircn tắc được đưa ra trong hướng dẫn của OECD (Organisation for
Economic Co-operation and Development ndash tổ chức hợp taacutec vagrave phaacutet triển kinh tế)
cho vấn đề đảm bảo an toagraven hệ thống thocircng tin vagrave mạng aacutep dụng cho tất cả caacutec
chiacutenh saacutech vagrave mức vận hagravenh chi phối đến vấn đề bảo mật hệ thống thocircng tin vagrave
mạng Tiecircu chuẩn nagravey cung cấp khung hệ thống quản lyacute hệ thống an toagraven thocircng
tin để triển khai một phần caacutec nguyecircn tắc của OECD bằng caacutech aacutep dụng mocirc higravenh
PDCA vagrave caacutec quy trigravenh được mocirc tả trong điều 456 vagrave 8 như được chỉ ra trong
bảng B1 dưới đacircy
Bảng B1 Caacutec nguyecircn tắc OECD vagrave mocirc higravenh PDCA
Nguyecircn tắc OECDQuy trigravenh của hệ thống ISMS vagrave giai đoạn
trong mocirc higravenh PDCA tương ứng
Nhận thức
Người tham gia cần phải hiểu sự cần
thiết của cocircng taacutec đảm bảo an toagraven
trong caacutec hệ thống thocircng tin vagrave mạng
cũng như coacute đủ kiến thức để đảm bảo
hiệu quả cocircng taacutec đảm bảo an toagraven
thocircng tin
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 522)
Traacutech nhiệm
Tất cả những người tham gia đều
phải coacute traacutech nhiệm đối với sự an
Hoạt động nagravey lagrave một phần của giai đoạn Thực hiện (D) (xem
422 vagrave 51)
48
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
toagraven của hệ thống thocircng tin vagrave mạng
Đaacutep ứng
Người tham gia cần phải lagravem việc
theo caacutech cộng taacutec với nhau vagrave theo
giờ hợp lyacute để coacute thể ngăn chặn nhận
biết vagrave phản ứng lại với những sự cố
an toagraven xảy ra bất ngờ
Đacircy lagrave một phần của hoạt động giaacutem saacutet trong giai đoạn Kiểm
tra (C) (xem 423 vagrave 6 tới 73) vagrave hoạt động phản ứng lại trong
giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới 83) Noacute cũng
bao gồm một vagravei khiacutea cạnh của giai đoạn Lập kế hoạch (Pl) vagrave
giai đoạn Kiểm tra (C)
Đaacutenh giaacute rủi ro
Những người tham gia cần phải quản
lyacute caacutec đaacutenh giaacute rủi ro
Hoạt động nagravey lagrave một phần của giai đoạn Lập kế hoạch (P)
(xem 421) vagrave việc đaacutenh giaacute rủi ro lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73)
Thiết kế vagrave triển khai đảm bảo an
toagraven
Người tham gia cần kết hợp chặt chẽ
đảm bảo an toagraven như lagrave caacutec nhacircn tố
cơ bản của hệ thống thocircng tin vagrave
mạng
Một khi caacutec đaacutenh giaacute rủi ro được hoagraven thagravenh quaacute trigravenh quản lyacute
sẽ chọn ra caacutech xử lyacute đối với caacutec rủi ro đacircy lagrave một phần của
giai đoạn Lập kế hoạch (P) ( xem 421) Sau đoacute giai đoạn Thực
hiện (D) (xem 422 vagrave 52) sẽ bao gồm sự thực thi vagrave quyền sử
dụng caacutec hoạt động trong những quaacute trigravenh quản lyacute nagravey
Quản lyacute an toagraven
Người tham gia cần sử dụng một
phương phaacutep toagraven diện để quản lyacute an
toagraven
Quản lyacute rủi ro lagrave một quaacute trigravenh gồm caacutec hoạt động ngăn chặn
dograve tigravem vagrave phản ứng lại caacutec sự cố bất ngờ xảy ra tiếp tục quaacute
trigravenh duy trigrave soaacutet xeacutet vagrave kiểm toaacuten Tất cả caacutec khiacutea cạnh nagravey coacute
trong caacutec giai đoạn Lập kế hoạch (P) Thực hiecircn (D) Kiểm tra
(C) vagrave Hagravenh động (A)
Đaacutenh giaacute lại
Người tham gia cần phải soaacutet xeacutet
đaacutenh giaacute lại sự an toagraven của caacutec hệ
thống thocircng tin vagrave mạng vagrave tiến hagravenh
caacutec điều chỉnh phugrave hợp trong chiacutenh
saacutech quy tắc tiecircu chuẩn vagrave thủ tục
đảm bảo an toagraven
Việc đaacutenh giaacute lại an toagraven thocircng tin lagrave một phần của giai đoạn
Kiểm tra (C) (xem 423 vagrave 6 tới 73) khi magrave việc soaacutet xeacutet một
caacutech đều đặn cần được bảo đảm để kiểm tra tiacutenh hiệu quả của
hệ quản lyacute an toagraven thocircng tin Việc nacircng cấp an toagraven thocircng tin lagrave
một phần của giai đoạn Hagravenh động (A) (xem 424 vagrave 81 tới
83)
49
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Phụ lục C
(Tham khảo)
Sự phugrave hợp với caacutec tiecircu chuẩn quốc tế ISO 90012000 vagrave ISO
140012004
Tiecircu chuẩn hệ thống quản lyacute an toagraven thocircng tin hoagraven toagraven phugrave hợp với caacutec tiecircu
chuẩn ISO 90012000 vagrave ISO 140012004 bảng dưới đacircy sẽ đưa ra caacutec thocircng tin
so saacutenh để chứng minh sự phugrave hợp giữa caacutec tiecircu chuẩn trecircn
Tiecircu chuẩn ldquoHệ thống
quản lyacute ATTTrdquo
ISO 90012000 ISO 140012004
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quy trigravenh
03 Sự tương thiacutech với caacutec hệ
thống quản lyacute khaacutec
0 Giới thiệu
01 Khaacutei quaacutet
02 Caacutech tiếp cận theo quaacute trigravenh
03 Mối quan hệ với ISO 9004
04 Sự tương thiacutech với caacutec hệ thống
quản lyacute khaacutec
0 Giới thiệu
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
11 Khaacutei quaacutet
12 Aacutep dụng
1 Phạm vi
2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn 2 Tagravei liệu viện dẫn
3Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định nghĩa 3 Thuật ngữ vagrave định
nghĩa
4 Hệ thống quản lyacute an toagraven thocircng
tin
41 Caacutec yecircu cầu chung
42 Thiết lập vagrave quản lyacute hệ thống
ISMS
421 Thiết lập ISMS
4 Hệ thống quản lyacute chất lượng
41 Yecircu cầu chung
823 Theo dotildei vagrave đo lường caacutec quaacute
trigravenh
824 Theo dotildei vagrave đo lường caacutec sản
phẩm
4 Caacutec yecircu cầu của IMS
41 Caacutec yecircu cầu chung
41 Thực thi vagrave điều khiển
451 Giaacutem saacutet vagrave đo đạc
50
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
422 Triển khai vagrave điều hagravenh hệ
thống ISMS
423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống
ISMS
424 Duy trigrave vagrave nacircng cấp hệ thống
ISMS
43 Caacutec yecircu cầu về tagravei liệu hoacutea
431 Khaacutei quaacutet
432 Quản lyacute tagravei liệu
433 Quản lyacute hồ sơ
42 Caacutec yecircu cầu về hệ thống tagravei liệu
421 Khaacutei quaacutet
422 Sổ tay chất lượng
423 Kiểm soaacutet tagravei liệu
424 Kiểm soaacutet hồ sơ
445 Quản lyacute tagravei liệu
454 Quản lyacute caacutec bản ghi
5 Traacutech nhiệm của ban quản lyacute
51 Cam kết của ban quản lyacute
5 Traacutech nhiệm của latildenh đạo
51 Cam kết của latildenh đạo
52 Hướng vagraveo khaacutech hagraveng
53 Chiacutenh saacutech chất lượng
54 Hoạch định
55 Traacutech nhiecircm quyền hạn vagrave trao đổi
thocircng tin
42 Chiacutenh saacutech về mocirci
trường
43 Lecircn kế hoạch
52 Quản lyacute nguồn lực
521 Dự phograveng nguồn lực
522 Đagraveo tạo nhận thức trigravenh độ
6 Quản lyacute nguồn lực
61 Cung cấp nguồn lực
62 Nguồn nhacircn lực
622 Năng lực nhận thức vagrave đagraveo tạo
63 Cơ sở hạ tầng
64 Mocirci trường lagravem việc
442 Đagraveo tạo nhận thức
trigravenh độ
6 Kiểm tra nội bộ hệ thống ISMS 822 Đaacutenh giaacute nội bộ 455 Kiểm tra nội bộ
7 Ban quản lyacute soaacutet xeacutet hệ thống
ISMS
71 Khaacutei quaacutet
56 Xem xeacutet của latildenh đạo
561 Khaacutei quaacutet
562 Đầu vagraveo của việc soaacutet xeacutet
46 Soaacutet xeacutet cocircng taacutec
quản lyacute
51
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
72 Đầu vagraveo cho việc soaacutet xeacutet
73 Đầu ra của việc soaacutet xeacutet
563 Đầu ra của việc soaacutet xeacutet
8 Nacircng cấp hệ thống ISMS
81 Nacircng cấp thường xuyecircn
82 Hoạt động khắc phục
83 Hoạt động ngăn ngừa
85 Cải tiến
851 Cải tiến thường xuyecircn
852 Hagravenh động khắc phục
853 Hagravenh động ngăn ngừa
453 Sự bất tuacircn hoạt
động sửa chữa hoạt
động ngăn ngừa
Phụ lục A Caacutec mục tiecircu quản lyacute vagrave
biện phaacutep quản lyacute
Phụ lục B Caacutec nguyecircn tắc OECD
vagrave caacutec tiecircu chuẩn
Phụ lục C Sự phugrave hợp giữa caacutec
chuẩn ISO 90012000 ISO
140012004 vagrave tiecircu chuẩn quốc tế
nagravey
Phụ lục A Sự phugrave hợp giữa caacutec chuẩn
ISO 90012000 vagrave chuẩn ISO
140012004
Phụ lục A Hướng dẫn sử
dụng tiecircu chuẩn quốc tế
nagravey
Phụ lục B Sự phugrave hợp
giữa caacutec chuẩn ISO
90012000 vagrave chuẩn ISO
140012004
52
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Tagravei liệu tham khảo
Tiecircu chuẩn kỹ thuật
[1] ISO 90012000 Quality management systems 1048754 Requirements
[2] ISOIEC 13335-12004 Information technology 1048754 Security techniques 1048754
Management of information and communications technology security 1048754 Part 1
Concepts and models for information and communications technology security
management
[3] ISOIEC TR 13335-31998 Information technology 1048754 Guidelines for the
management of IT Security
Part 3 Techniques for the management of IT security
[4] ISOIEC TR 13335-42000 Information technology 1048754 Guidelines for the
management of IT Security
Part 4 Selection of safeguards
[5] ISO 140012004 Environmental management systems 1048754 Requirements with
guidance for use
[6] ISOIEC TR 180442004 Information technology 1048754 Security techniques 1048754
Information security
incident management
[7] ISO 190112002 Guidelines for quality andor environmental management
systems auditing
[8] ISOIEC Guide 621996 General requirements for bodies operating
assessment and
certificationregistration of quality systems
[9] ISOIEC Guide 732002 Risk management - Vocabulary -1048754 Guidelines for use
in standards
[10] TCVN ISO 90012000 Hệ thống quản lyacute chất lượng - Caacutec yecircu cầu
[11] TCVN 75622005 Cocircng nghệ thocircng tin ndash Matilde thực hagravenh quản lyacute an ninh thocircng
tin
53
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-
TCVN 27001 2008
Caacutec tagravei liệu khaacutec
[1] OECD Guidelines for the Security of Information Systems and Networks 1048754
Towards a Culture of
Security Paris OECD July 2002 wwwoecdorg
[2] NIST SP 800-30 Risk Management Guide for Information Technology Systems
[3] Deming WE Out of the Crisis Cambridge Mass MIT Center for Advanced
Engineering Study 1986
54
- Lời noacutei đầu
- Lời giới thiệu
-
- 01 Khaacutei quaacutet
- 02 Caacutech tiếp cận theo quy trigravenh
- 03 Sự tương thiacutech với caacutec tiecircu chuẩn quản lyacute khaacutec
-
- 1 Phạm vi aacutep dụng
-
- 11 Khaacutei quaacutet
- 12 Aacutep dụng
-
- 2 Tagravei liệu viện dẫn
- 3 Thuật ngữ vagrave định nghĩa
-
- 31 Tagravei sản
- 32 Tiacutenh sẵn sagraveng
- 33 Tiacutenh biacute mật
- 34 An toagraven thocircng tin
- 35 Sự kiện an toagraven thocircng tin
- 36 Sự cố an toagraven thocircng tin
- 37 Hệ thống quản lyacute an toagraven thocircng tin (ISMS)
- 38 Tiacutenh toagraven vẹn
- 39 Rủi ro tồn đọng
- 310 Sự chấp nhận rủi ro
- 311 Phacircn tiacutech rủi ro
- 312 Đaacutenh giaacute rủi ro
- 313 Quản lyacute rủi ro
- 314 Xử lyacute rủi ro
- 315 Thocircng baacuteo aacutep dụng
- 316 Tổ chức
-
- 4 Hệ thống quản lyacute an toagraven thocircng tin
-
- 41 Caacutec yecircu cầu chung
- 42 Thiết lập vagrave quản lyacute hệ thống ISMS
-
- 421 Thiết lập hệ thống ISMS
- 422 Triển khai vagrave điều hagravenh hệ thống ISMS
- 423 Giaacutem saacutet vagrave soaacutet xeacutet hệ thống ISMS
- 424 Duy trigrave vagrave nacircng cấp hệ thống ISMS
-
- 43 Caacutec yecircu cầu về hệ thống tagravei liệu
-
- 431 Khaacutei quaacutet
- 432 Biện phaacutep quản lyacute tagravei liệu
- 433 Biện phaacutep quản lyacute hồ sơ
-
- 5 Traacutech nhiệm của ban quản lyacute
-
- 51 Cam kết của ban quản lyacute
- 52 Quản lyacute nguồn lực
-
- 521 Cấp phaacutet nguồn lực
- 522 Đagraveo tạo nhận thức vagrave năng lực
-
- 6 Kiểm tra nội bộ hệ thống ISMS
- 7 Ban quản lyacute soaacutet xeacutet hệ thống ISMS
-
- 71 Khaacutei quaacutet
- 72 Đầu vagraveo của việc soaacutet xeacutet
- 73 Đầu ra của việc soaacutet xeacutet
-
- 8 Nacircng cấp hệ thống ISMS
-
- 81 Nacircng cấp thường xuyecircn
- 82 Hagravenh động khắc phục
- 83 Hagravenh động phograveng ngừa
-
- Phụ lục A
- Phụ lục B
- Phụ lục C
- Tagravei liệu tham khảo
-