Các biện pháp quản lý ATTT khuyến khích áp dụng trong các cơ quan NN

I.Phạm vi áp dụng6 II.Tài liệu viện dẫn6 III.Thuật ngữ và định nghĩa6 III.1.Tài sản6 III.2.Biện pháp quản lý6 III.3.Phương tiện xử lý thông tin6 III.4.An toàn thông tin6 III.5.Sự kiện an toàn thông tin6 III.6.Sự cố an toàn thông tin6 III.7.Mối đe dọa6 III.8.Điểm yếu7 III.9.Ban quản lý an toàn thông tin7 IV.Chính sách an toàn7 IV.1.Chính sách an toàn thông tin7 IV.1.1.Tài liệu chính sách an toàn thông tin7 IV.1.2.Soát xét chính sách an toàn thông tin8 V.Tổ chức an toàn thông tin9 V.1.Tổ chức nội bộ9 V.1.1.Ban quản lý cam kết về đảm bảo an toàn thông tin9 V.1.2.Phối hợp đảm bảo an toàn thông tin10 V.1.3.Phân cấp trách nhiệm đảm bảo an toàn thông tin trong tổ chức11 V.1.4.Phân quyền quản lý phương tiện xử lý thông tin11 V.1.5.Các thỏa thuận bí mật12 V.1.6.Liên hệ với các cơ quan có thẩm quyền13 V.1.7.Liên hệ với các tổ chức/cộng đồng có chung lợi ích13 V.1.8.Soát xét an toàn thông tin bởi tổ chức độc lập13 V.2.Đối tác bên ngoài14 V.2.1.Xác định các rủi ro liên quan đến đối tác bên ngoài15 V.2.2.Xác định các vấn đề ATTT liên quan tới người sử dụng là khách hàng16 V.2.3.Xác định các vấn đề ATTT trong thỏa thuận với bên thứ ba17 VI.Quản lý tài sản20 VI.1.Trách nhiệm đối với tài sản20 VI.1.1.Kiểm kê tài sản20 VI.1.2.Quyền sở hữu tài sản20 VI.1.3.Sử dụng tài sản21 VI.2.Phân loại thông tin21 VI.2.1.Hướng dẫn phân loại22 VI.2.2.Gán nhãn và xử lý thông tin22 VII.An toàn nguồn nhân lực23 VII.1.Ưu tiên để tuyển dụng23 VII.1.1.Vai trò và trách nhiệm23 VII.1.2.Thẩm tra lý lịch23 VII.1.3.Các điều khoản và điều kiện tuyển dụng24 VII.2.Sử dụng nhân sự25 VII.2.1.Trách nhiệm ban quản lý26 VII.2.2.Nhận thức, giáo dục và đào tạo an toàn thông tin26 VII.2.3.Quy chế xử lý vi phạm27 VII.3.Chấm dứt hoặc điều chuyển sử dụng nhân sự27 VII.3.1.Trách nhiệm khi chấm dứt việc sử dụng nhân sự27 VII.3.2.Bàn giao tài sản28 VII.3.3.Xóa bỏ quyền truy cập28 VIII.An toàn vật lý và môi trường29 VIII.1.Khu vực bảo mật29 VIII.1.1.Vành đai bảo vệ vật lý29 VIII.1.2.Kiểm soát truy cập vật lý30 VIII.1.3.Làm việc trong khu vực bảo mật30 VIII.2.Bảo vệ thiết bị31 VIII.2.1.Bảo vệ và sắp đặt thiết bị31 VIII.2.2.Các tiện ích hỗ trợ32 VIII.2.3.An toàn truyền dẫn32 VIII.2.4.Bảo trì thiết bị33 VIII.2.5.An toàn thiết bị đặt bên ngoài tổ chức33 VIII.2.6.Loại bỏ và tái sử dụng thiết bị một cách an toàn34 VIII.2.7.Di chuyển thiết bị34 IX.Quản lý điều hành và truyền thông35 IX.1.Các thủ tục và trách nhiệm điều hành35 IX.1.1.Biên soạn tài liệu về quy trình vận hành35 IX.1.2.Quản lý các thay đổi35 IX.1.3.Phân chia trách nhiệm36 IX.1.4.Phân tách các phương tiện đang được phát triển, thử nghiệm và sử dụng36 IX.2.Quản lý sự phân phối dịch vụ cho bên thứ ba37 IX.2.1.Phân phối dịch vụ37 IX.2.2.Giám sát và soát xét các dịch vụ của bên thứ ba38 IX.2.3.Quản lý thay đổi với dịch vụ của bên thứ ba39 IX.3.Chấp thuận và quy hoạch hệ thống39 IX.3.1.Quản lý năng lực40 IX.3.2.Công nhận hệ thống40 IX.4.Bảo vệ chống lại mã độc hại41 IX.4.1.Biện pháp bảo vệ trước mã độc hại41 IX.5.Sao lưu dự phòng43 IX.5.1.Sao lưu thông tin43 IX.6.Quản lý an toàn mạng44 IX.6.1.Biện pháp quản lý hệ thống mạng44 IX.6.2.Đảm bảo an toàn cho dịch vụ mạng45 IX.7.Xử lý thiết bị45 IX.7.1.Quản lý thiết bị lưu trữ di động46 IX.7.2.Loại bỏ thiết bị46 IX.7.3.Thủ tục xử lý thông tin47 IX.7.4.Đảm bảo an toàn tài liệu hệ thống48 IX.8.Trao đổi thông tin48 IX.8.1.Quy trình và chính sách trao đổi thông tin49 IX.8.2.Thỏa thuận trao đổi thông tin và phần mềm50 IX.8.3.Vận chuyển thiết bị lưu trữ vật lý51 IX.8.4.Thông điệp điện tử52 IX.8.5.Hệ thống thông tin nghiệp vụ52 IX.9.Giám sát53 IX.9.1.Nhật ký kiểm tra53 IX.9.2.Sử dụng hệ thống giám sát54 IX.9.3.Bảo vệ thông tin nhật ký55 IX.9.4.Ghi nhật ký hoạt động nhân viên quản trị và điều hành56 IX.9.5.Nhật ký lỗi phát sinh56 IX.9.6.Đồng bộ thời gian57 X.Quản lý truy cập57 X.1.Các yêu cầu đối với quản lý truy cập57 X.1.1.Chính sách quản lý truy cập57 X.2.Quản lý truy cập của người sử dụng58 X.2.1.Đăng ký sử dụng59 X.2.2.Quản lý đặc quyền59 X.2.3.Quản lý mật khẩu của người sử dụng60 X.2.4.Soát xét quyền truy cập của người sử dụng61 X.3.Trách nhiệm của người sử dụng61 X.3.1.Sử dụng mật khẩu62 X.3.2.Quản lý thiết bị tạm thời không dùng đến62 X.3.3.Quy định về bàn sạch và màn hình sạch63 X.4.Quản lý truy cập mạng63 X.4.1.Chính sách sử dụng dịch vụ mạng64 X.4.2.Xác thực người sử dụng với các kết nối từ bên ngoài64 X.4.3.Định danh thiết bị trên mạng65 X.4.4.Bảo vệ cổng cấu hình và chẩn đoán từ xa65 X.4.5.Phân vùng mạng66 X.4.6.Quản lý kết nối mạng66 X.4.7.Quản lý định tuyến mạng66 X.5.Quản lý truy cập hệ điều hành67 X.5.1.Quy trình đăng nhập an toàn67 X.5.2.Xác thực và định danh người sử dụng68 X.5.3.Hệ thống quản lý mật khẩu69 X.5.4.Bảo vệ các tiện ích hệ thống69 X.5.5.Giới hạn thời gian các kết nối70 X.6.Quản lý truy cập thông tin và ứng dụng70 X.6.1.Hạn chế truy cập thông tin71 X.6.2.Cách ly các hệ thống nhạy cảm71 X.7.Xử lý di động và làm việc từ xa72 X.7.1.Xử lý và truyền thông di động72 X.7.2.Làm việc từ xa72 XI.Tiếp nhận nhận, phát triển và duy trì các hệ thống thông tin73 XI.1.Phân tích và đặc tả các yêu cầu an toàn hệ thống73 XI.1.1.Phân tích và đặc tả các yêu cầu an toàn hệ thống74 XI.2.Các biện pháp mã hóa74 XI.2.1.Chính sách về sử dụng các biện pháp mã hóa75 XI.2.2.Quản lý khóa mã hóa76 XI.3.Bảo mật các tệp tin hệ thống76 XI.3.1.Bảo vệ các hệ điều hành76 XI.3.2.Bảo vệ dữ liệu kiểm tra, thử nghiệm hệ thống77 XI.3.3.Quản lý truy cập tới mã nguồn phần mềm77 XI.4.Bảo mật các quy trình hỗ trợ và phát triển78 XI.4.1.Thủ tục quản lý thay đổi78 XI.4.2.Kiểm tra kỹ thuật các ứng dụng sau khi thay đổi hệ điều hành79 XI.4.3.Hạn chế thay đổi gói phần mềm80 XI.4.4.Ngăn chặn tiết lộ thông tin80 XI.4.5.Quản lý thuê khoán dịch vụ phát triển phần mềm81 XI.5.Quản lý các điểm yếu kỹ thuật81 XI.5.1.Quản lý các điểm yếu kỹ thuật82 XII.Quản lý sự cố an toàn thông tin83 XII.1.Báo cáo các sự cố và và điểm yếu ATTT83 XII.1.1.Báo cáo các sự kiện an toàn thông tin83 XII.1.2.Báo cáo các điểm yếu bảo mật84 XII.2.Quản lý sự cố và nâng cấp an toàn thông tin84 XII.2.1.Các trách nhiệm và các quy trình quản lý sự cố an toàn thông tin85 XII.2.2.Rút kinh nghiệm từ các sự cố an toàn thông tin86 XII.2.3.Thu thập bằng chứng86 XIII.Tuân thủ87 XIII.1.Tuân thủ các quy định pháp lý87 XIII.1.1.Áp dụng các quy định pháp lý87 XIII.1.2.Quyền sở hữu trí tuệ87 XIII.1.3.Bảo vệ dữ liệu và thông tin cá nhân88 XIII.1.4.Chống lạm dụng các phương tiện xử lý thông tin88 XIII.2.Tuân thủ các tiêu chuẩn, chính sách89 XIII.2.1.Tuân thủ các chính sách và tiêu chuẩn ATTT89 XIII.2.2.Kiểm tra việc tuân thủ kỹ thuật89 XIII.3.Kiểm tra hệ thống thông tin90 XIII.3.1.Biện pháp kiểm tra an toàn thông tin90 XIII.3.2.Bảo vệ công cụ kiểm tra hệ thống thông tin91

Trang 1

Mục Lục

I Phạm vi áp dụng 6

II Tài liệu viện dẫn 6

III Thuật ngữ và định nghĩa 6

III.1 Tài sản 6

III.2 Biện pháp quản lý 6

III.3 Phương tiện xử lý thông tin 6

III.4 An toàn thông tin 6

III.5 Sự kiện an toàn thông tin 6

III.6 Sự cố an toàn thông tin 6

III.7 Mối đe dọa 6

III.8 Điểm yếu 7

III.9 Ban quản lý an toàn thông tin 7

IV Chính sách an toàn 7

IV.1 Chính sách an toàn thông tin 7

IV.1.1 Tài liệu chính sách an toàn thông tin 7

IV.1.2 Soát xét chính sách an toàn thông tin 8

V Tổ chức an toàn thông tin 9

V.1 Tổ chức nội bộ 9

V.1.1 Ban quản lý cam kết về đảm bảo an toàn thông tin 9

V.1.2 Phối hợp đảm bảo an toàn thông tin 10

V.1.3 Phân cấp trách nhiệm đảm bảo an toàn thông tin trong tổ chức 11 V.1.4 Phân quyền quản lý phương tiện xử lý thông tin 11

V.1.5 Các thỏa thuận bí mật 12

V.1.6 Liên hệ với các cơ quan có thẩm quyền 13

V.1.7 Liên hệ với các tổ chức/cộng đồng có chung lợi ích 13

V.1.8 Soát xét an toàn thông tin bởi tổ chức độc lập 13

V.2 Đối tác bên ngoài 14

V.2.1 Xác định các rủi ro liên quan đến đối tác bên ngoài 15

V.2.2 Xác định các vấn đề ATTT liên quan tới người sử dụng là khách hàng 16

V.2.3 Xác định các vấn đề ATTT trong thỏa thuận với bên thứ ba 17

VI Quản lý tài sản 20

VI.1 Trách nhiệm đối với tài sản 20

VI.1.1 Kiểm kê tài sản 20

VI.1.2 Quyền sở hữu tài sản 20

VI.1.3 Sử dụng tài sản 21

Trang 2

VI.2 Phân loại thông tin 21

VI.2.1 Hướng dẫn phân loại 22

VI.2.2 Gán nhãn và xử lý thông tin 22

VII An toàn nguồn nhân lực 23

VII.1 Ưu tiên để tuyển dụng 23

VII.1.1 Vai trò và trách nhiệm 23

VII.1.2 Thẩm tra lý lịch 23

VII.1.3 Các điều khoản và điều kiện tuyển dụng 24

VII.2 Sử dụng nhân sự 25

VII.2.1 Trách nhiệm ban quản lý 26

VII.2.2 Nhận thức, giáo dục và đào tạo an toàn thông tin 26

VII.2.3 Quy chế xử lý vi phạm 27

VII.3 Chấm dứt hoặc điều chuyển sử dụng nhân sự 27

VII.3.1 Trách nhiệm khi chấm dứt việc sử dụng nhân sự 27

VII.3.2 Bàn giao tài sản 28

VII.3.3 Xóa bỏ quyền truy cập 28

VIII An toàn vật lý và môi trường 29

VIII.1 Khu vực bảo mật 29

VIII.1.1 Vành đai bảo vệ vật lý 29

VIII.1.2 Kiểm soát truy cập vật lý 30

VIII.1.3 Làm việc trong khu vực bảo mật 30

VIII.2 Bảo vệ thiết bị 31

VIII.2.1 Bảo vệ và sắp đặt thiết bị 31

VIII.2.2 Các tiện ích hỗ trợ 32

VIII.2.3 An toàn truyền dẫn 32

VIII.2.4 Bảo trì thiết bị 33

VIII.2.5 An toàn thiết bị đặt bên ngoài tổ chức 33

VIII.2.6 Loại bỏ và tái sử dụng thiết bị một cách an toàn 34

VIII.2.7 Di chuyển thiết bị 34

IX Quản lý điều hành và truyền thông 35

IX.1 Các thủ tục và trách nhiệm điều hành 35

IX.1.1 Biên soạn tài liệu về quy trình vận hành 35

IX.1.2 Quản lý các thay đổi 35

IX.1.3 Phân chia trách nhiệm 36

IX.1.4 Phân tách các phương tiện đang được phát triển, thử nghiệm và sử dụng 36

IX.2 Quản lý sự phân phối dịch vụ cho bên thứ ba 37

IX.2.1 Phân phối dịch vụ 37

IX.2.2 Giám sát và soát xét các dịch vụ của bên thứ ba 38

IX.2.3 Quản lý thay đổi với dịch vụ của bên thứ ba 39

Trang 3

IX.3 Chấp thuận và quy hoạch hệ thống 39

IX.3.1 Quản lý năng lực 40

IX.3.2 Công nhận hệ thống 40

IX.4 Bảo vệ chống lại mã độc hại 41

IX.4.1 Biện pháp bảo vệ trước mã độc hại 41

IX.5 Sao lưu dự phòng 43

IX.5.1 Sao lưu thông tin 43

IX.6 Quản lý an toàn mạng 44

IX.6.1 Biện pháp quản lý hệ thống mạng 44

IX.6.2 Đảm bảo an toàn cho dịch vụ mạng 45

IX.7 Xử lý thiết bị 45

IX.7.1 Quản lý thiết bị lưu trữ di động 46

IX.7.2 Loại bỏ thiết bị 46

IX.7.3 Thủ tục xử lý thông tin 47

IX.7.4 Đảm bảo an toàn tài liệu hệ thống 48

IX.8 Trao đổi thông tin 48

IX.8.1 Quy trình và chính sách trao đổi thông tin 49

IX.8.2 Thỏa thuận trao đổi thông tin và phần mềm 50

IX.8.3 Vận chuyển thiết bị lưu trữ vật lý 51

IX.8.4 Thông điệp điện tử 52

IX.8.5 Hệ thống thông tin nghiệp vụ 52

IX.9 Giám sát 53

IX.9.1 Nhật ký kiểm tra 53

IX.9.2 Sử dụng hệ thống giám sát 54

IX.9.3 Bảo vệ thông tin nhật ký 55

IX.9.4 Ghi nhật ký hoạt động nhân viên quản trị và điều hành 56

IX.9.5 Nhật ký lỗi phát sinh 56

IX.9.6 Đồng bộ thời gian 57

X Quản lý truy cập 57

X.1 Các yêu cầu đối với quản lý truy cập 57

X.1.1 Chính sách quản lý truy cập 57

X.2 Quản lý truy cập của người sử dụng 58

X.2.1 Đăng ký sử dụng 59

X.2.2 Quản lý đặc quyền 59

X.2.3 Quản lý mật khẩu của người sử dụng 60

X.2.4 Soát xét quyền truy cập của người sử dụng 61

X.3 Trách nhiệm của người sử dụng 61

X.3.1 Sử dụng mật khẩu 62

X.3.2 Quản lý thiết bị tạm thời không dùng đến 62

X.3.3 Quy định về bàn sạch và màn hình sạch 63

Trang 4

X.4 Quản lý truy cập mạng 63

X.4.1 Chính sách sử dụng dịch vụ mạng 64

X.4.2 Xác thực người sử dụng với các kết nối từ bên ngoài 64

X.4.3 Định danh thiết bị trên mạng 65

X.4.4 Bảo vệ cổng cấu hình và chẩn đoán từ xa 65

X.4.5 Phân vùng mạng 66

X.4.6 Quản lý kết nối mạng 66

X.4.7 Quản lý định tuyến mạng 66

X.5 Quản lý truy cập hệ điều hành 67

X.5.1 Quy trình đăng nhập an toàn 67

X.5.2 Xác thực và định danh người sử dụng 68

X.5.3 Hệ thống quản lý mật khẩu 69

X.5.4 Bảo vệ các tiện ích hệ thống 69

X.5.5 Giới hạn thời gian các kết nối 70

X.6 Quản lý truy cập thông tin và ứng dụng 70

X.6.1 Hạn chế truy cập thông tin 71

X.6.2 Cách ly các hệ thống nhạy cảm 71

X.7 Xử lý di động và làm việc từ xa 72

X.7.1 Xử lý và truyền thông di động 72

X.7.2 Làm việc từ xa 72

XI Tiếp nhận nhận, phát triển và duy trì các hệ thống thông tin 73

XI.1 Phân tích và đặc tả các yêu cầu an toàn hệ thống 73

XI.1.1 Phân tích và đặc tả các yêu cầu an toàn hệ thống 74

XI.2 Các biện pháp mã hóa 74

XI.2.1 Chính sách về sử dụng các biện pháp mã hóa 75

XI.2.2 Quản lý khóa mã hóa 76

XI.3 Bảo mật các tệp tin hệ thống 76

XI.3.1 Bảo vệ các hệ điều hành 76

XI.3.2 Bảo vệ dữ liệu kiểm tra, thử nghiệm hệ thống 77

XI.3.3 Quản lý truy cập tới mã nguồn phần mềm 77

XI.4 Bảo mật các quy trình hỗ trợ và phát triển 78

XI.4.1 Thủ tục quản lý thay đổi 78

XI.4.2 Kiểm tra kỹ thuật các ứng dụng sau khi thay đổi hệ điều hành 79

XI.4.3 Hạn chế thay đổi gói phần mềm 80

XI.4.4 Ngăn chặn tiết lộ thông tin 80

XI.4.5 Quản lý thuê khoán dịch vụ phát triển phần mềm 81

XI.5 Quản lý các điểm yếu kỹ thuật 81

XI.5.1 Quản lý các điểm yếu kỹ thuật 82

XII Quản lý sự cố an toàn thông tin 83

XII.1 Báo cáo các sự cố và và điểm yếu ATTT 83

Trang 5

XII.1.1 Báo cáo các sự kiện an toàn thông tin 83

XII.1.2 Báo cáo các điểm yếu bảo mật 84

XII.2 Quản lý sự cố và nâng cấp an toàn thông tin 84

XII.2.1 Các trách nhiệm và các quy trình quản lý sự cố an toàn thông tin 85

XII.2.2 Rút kinh nghiệm từ các sự cố an toàn thông tin 86

XII.2.3 Thu thập bằng chứng 86

XIII Tuân thủ 87

XIII.1 Tuân thủ các quy định pháp lý 87

XIII.1.1 Áp dụng các quy định pháp lý 87

XIII.1.2 Quyền sở hữu trí tuệ 87

XIII.1.3 Bảo vệ dữ liệu và thông tin cá nhân 88

XIII.1.4 Chống lạm dụng các phương tiện xử lý thông tin 88

XIII.2 Tuân thủ các tiêu chuẩn, chính sách 89

XIII.2.1 Tuân thủ các chính sách và tiêu chuẩn ATTT 89

XIII.2.2 Kiểm tra việc tuân thủ kỹ thuật 89

XIII.3 Kiểm tra hệ thống thông tin 90

XIII.3.1 Biện pháp kiểm tra an toàn thông tin 90

XIII.3.2 Bảo vệ công cụ kiểm tra hệ thống thông tin 91

Trang 6

I Phạm vi áp dụng

Nội dung tài liệu này đưa ra khuyến nghị các biện pháp quản lý an toànthông tin cần xem xét áp dụng trong các cơ quan nhà nước

Tiêu chuẩn quốc tế hệ thống quản lý an toàn thông tin mã số “ISO27001:2005”

Tài liệu này áp dụng dụng các thuật ngữ và định nghĩa sau:

III.1 Tài sản

Tài sản là tất cả những gì có giá trị đối với tổ chức

III.2 Biện pháp quản lý

Biện pháp quản lý bao gồm chính sách, các thủ tục, quy trình, nguyêntắc hay cơ cấu của tổ chức nhằm đảm bảo an toàn cho hệ thống thông tin

Chú ý: Trong tài liệu này biện pháp quản lý cũng được sử dụng đồng nghĩavới biện pháp bảo vệ hay biện pháp đối phó

III.3 Phương tiện xử lý thông tin

Phương tiện xử lý thông tin bao gồm: phần mềm, hệ thống, cơ sở hạtầng, dịch vụ, địa điểm xử lý thông tin

III.4 An toàn thông tin

An toàn thông tin là việc đảm bảo tính tin cậy, tính toàn vẹn và tính sẵnsàng của thông tin và có thể bao hàm thêm một số thuộc tính khác như tínhchất xác thực, chống chối bỏ, tin cậy v.v

III.5 Sự kiện an toàn thông tin

Một sự kiện an toàn thông tin là sự xuất hiện dấu hiệu vi phạm hoặc saisót trong hệ thống, dịch vụ và mạng có liên quan tới an toàn thông tin

III.6 Sự cố an toàn thông tin

Là một hoặc một chuỗi các sự kiện an toàn thông tin xảy ra gây ảnhhưởng xấu tới hoạt động nghiệp vụ cũng như đe dọa an toàn thông tin

III.7 Mối đe dọa

Khả năng gây ra các sự cố không mong muốn, mà có thể gây hại chomột hệ thống hay tổ chức

Trang 7

III.8 Điểm yếu

Vấn đề của một hoặc một nhóm tài sản có thể bị khai thác và lợi dụngtrái phép bởi các mối đe dọa

III.9 Ban quản lý an toàn thông tin

Ban quản lý an toàn thông tin trong quy chuẩn này (được gọi tắt là Banquản lý) dùng để chỉ các cấp lãnh đạo hoặc các bộ phận có thẩm quyền về antoàn thông tin trong cơ quan, tổ chức

IV.1 Chính sách an toàn thông tin

Mục tiêu: Cung cấp định hướng quản lý và hỗ trợ đảm bảo an toàn thôngtin (ATTT) phù hợp với các yêu cầu nghiệp vụ, luật và các quy định liênquan

Ban quản lý cần thiết lập một phương hướng chính sách rõ ràng phù hợpvới các mục tiêu khác của tổ chức và chứng minh sự hỗ trợ, cam kết đảmbảo ATTT thông qua kết quả và sự duy trì, bảo vệ chính sách đảm bảo antoàn thông tin xuyên suốt tổ chức

IV.1.1. Tài liệu chính sách an toàn thông tin

Biện pháp quản lý:

Cần có tài liệu về chính sách ATTT được ban quản lý phê duyệt, banhành và phổ biến đến tất cả nhân viên cũng như các đối tác bên ngoài có liênquan

Hướng dẫn thực hiện:

Tài liệu này cần nêu rõ cam kết của ban quản lý và trình bày phươnghướng quản lý ATTT của tổ chức Nội dung của tài liệu cần bao gồm các nộidung sau:

a Định nghĩa về an toàn thông tin, các mục tiêu chung, phạm vi áp dụng và tầm quan trọng của ATTT như một cơ chế cho phép chia

sẻ thông tin

b Sự tuyên bố về mục đích quản lý, hỗ trợ cho mục tiêu và nguyêntắc đảm bảo ATTT phù hợp với chiến lược và các mục tiêuchung của tổ chức

c Cơ cấu thiết lập các mục tiêu quản lý và biện pháp quản lý, baogồm cấu trúc đánh giá rủi ro và quản lý rủi ro

Trang 8

d Giải thích tóm tắt về chính sách, nguyên tắc, tiêu chuẩn và cácyêu cầu cần tuân thủ đặc biệt quan trọng với tổ chức trong côngtác đảm bảo an toàn thông tin, bao gồm:

1) Sự tuân thủ pháp luật, quy định và các cam kết trong hợpđồng đã ký;

2) Yêu cầu về giáo dục, đào tạo và nâng cao nhận thức về antoàn thông tin;

3) Quản lý sự liên tục các hoạt động của tổ chức;

4) Các hệ quả của sự vi phạm chính sách an toàn thông tin

e Định nghĩa tổng quan và xác định các trách nhiệm trong việcquản lý an toàn thông tin, bao gồm cả việc báo cáo sự cố an toànthông tin

f Các tài liệu tham chiếu có thể cung cấp phương hướng, chínhsách, thí dụ như các thông tin cụ thể về chính sách ATTT và cácthủ tục cho hệ thống thông tin nào đó hoặc các quy tắc an toànthông tin mà người sử dụng phải tuân thủ

Chính sách an toàn thông tin cần được phổ biến rộng rãi tới mọi thànhviên trong tổ chức, đảm bảo nội dung phải dễ hiểu và chọn hình thức phổbiến thích đáng và thuận tiện đối với người đọc

IV.1.2. Soát xét chính sách an toàn thông tin

Sự soát xét của chính sách ATTT cần quan tâm đến kết quả của việcsoát xét nghiệp vụ Điều này cần được xác định các thủ tục soát xét nghiệp

vụ, bao gồm lịch trình hoặc kỳ hạn soát xét

Đầu vào của việc soát xét nghiệp vụ có thể bao gồm :

a Phản hồi từ các bộ phận;

b Kết quả của soát xét độc lập

c Tình trạng của các hoạt động ngăn ngừa và khắc phục;

d Kết quả soát xét trước đó;

Trang 9

e Hiệu quả xử lý và sự tuân thủ chính sách an toàn thông tin;

f Các thay đổi có thể ảnh hưởng tới phương hướng quản lý an toànthông tin của tổ chức, bao gồm sự thay đổi môi trường tổ chức,hoàn cảnh hoạt động, nguồn lực, các cam kết, quy định và khungpháp lý hoặc môi trường công nghệ;

g Xu hướng tấn công của tin tặc cũng như các nguy cơ mất ATTT;

h Các sự cố an toàn thông tin đã được báo cáo;

i Khuyến nghị được cung cấp bởi các cơ quan chức năng liênquan

Đầu ra của việc soát xét nghiệp vụ cần bao gồm mọi quyết định vàhành động liên quan tới:

a Hoàn thiện phương hướng và phương pháp quản lý an toànthông tin của tổ chức;

b Hoàn thiện các mục tiêu quản lý và biện pháp quản lý;

c Hoàn thiện sự cấp phát nguồn lực và quản lý trách nhiệm

Cần duy trì và bảo vệ hồ sơ lưu trữ các soát xét nghiệp vụ một cáchphù hợp

Chính sách sửa đổi cần được phê chuẩn

V.1 Tổ chức nội bộ

Mục tiêu: Quản lý an toàn thông tin trong tổ chức

Một cơ cấu quản lý cần được thiết lập để khởi tạo và điều khiển sự thihành đảm bảo an toàn thông tin bên trong tổ chức

Ban quản lý cần phê chuẩn chính sách an toàn thông tin, giao quyền, tráchnhiệm, phối hợp và soát xét sự thực hiện đảm bảo an toàn thông tin trongtoàn bộ tổ chức

V.1.1. Ban quản lý cam kết về đảm bảo an toàn thông tin

Ban quản lý cần tích cực hỗ trợ đảm bảo an toàn thông tin trong tổchức qua việc xác định phương hướng thực hiện một cách rõ ràng, thể hiện cụthể các cam kết, phân công rõ ràng và hiểu rõ trách nhiệm đối với việc đảmbảo an toàn thông tin

Trang 10

Ban quản lý cần:

a Đảm bảo các mục tiêu ATTT đã được xác định phù hợp với yêucầu của tổ chức và được tích hợp trong các quy trình xử lý liênquan;

b Biên soạn, soát xét và phê duyệt chính sách ATTT;

c Soát xét hiệu quả của việc thực hiện chính sách ATTT;

d Cung cấp phương hướng và hỗ trợ quản lý một cách rõ rệt nhằmchủ động đảm bảo an toàn thông tin;

e Cung cấp các nguồn lực cần thiết cho ATTT;

f Phê duyệt cụ thể chức năng và nhiệm vụ của từng vị trí trongtoàn bộ tổ chức;

g Khởi xướng các kế hoạch và chương trình nâng cao nhận thức antoàn thông tin;

h Đảm bảo rằng việc thực hiện các biện pháp quản lý ATTT đượckết hợp bởi sức mạnh của toàn bộ tổ chức

Ban quản lý cần xác định sự cần thiết của các ý kiến đóng góp của cácchuyên gia ATTT trong và ngoài tổ chức, soát xét và tổng hợp các ý kiếntrong toàn bộ tổ chức

Dựa vào quy mô của tổ chức, các trách nhiệm cần được quản lý bởiban quản lý riêng hoặc ban lãnh đạo đã có như ban giám đốc

V.1.2. Phối hợp đảm bảo an toàn thông tin

Các hoạt động đảm bảo ATTT cần được phối hợp bởi các đại diện các

bộ phận trong tổ chức có chức năng và nhiệm vụ liên quan

Thông thường, sự phối hợp đảm bảo ATTT cần bao gồm sự phối hợpđiều hành và cộng tác của lãnh đạo, người sử dụng, quản trị, thiết kế ứngdụng, kiểm toán viên ATTT, nhân sự phục vụ đảm bảo ATTT và các chuyêngia trong lĩnh vực bảo hiểm, pháp lý, quản lý nguồn nhân lực, CNTTT hoặcquản lý rủi ro Hoạt động này cần:

a Đảm bảo việc thực thi các hoạt động đảm bảo ATTT đều phùhợp với chính sách ATTT;

Trang 11

e Đánh giá sự phù hợp và phối hợp thực hiện các biện pháp quản

lý ATTT;

f Đẩy mạnh một cách hiệu quả các hoạt động giáo dục, đào tạo vànâng cao nhận thức về ATTT trong toàn bộ tổ chức;

g Đánh giá các thông tin thu được từ việc giám sát và soát xét sự

cố ATTT và khuyến cáo các hoạt động cần thiết nhằm xác địnhcác sự cố an toàn thông tin

V.1.3 Phân cấp trách nhiệm đảm bảo an toàn thông tin trong tổ chức

Các cá nhân được giao trách nhiệm đảm bảo ATTT có thể giao lạinhiệm vụ cho người khác Tuy nhiên, họ vẫn giữ nguyên trách nhiệm và cầnđảm bảo rằng tất cả các nhiệm vụ đều được thực hiện chính xác

Các lĩnh vực mà các cá nhân phải chịu trách nhiệm cần được công bố

rõ ràng, nói riêng cần thực hiện như sau:

a Các tài sản và quy trình đảm bảo an toàn liên quan với các từng

hệ thống cần được nhận biết và xác định rõ ràng;

b Trách nhiệm thực tế đối với mỗi tài sản hoặc quy trình đảm bảo

an toàn cần được chỉ định và nội dung chi tiết trách nhiệm nàycần được biên soạn thành tài liệu cụ thể

c Các mức độ quyền hạn cần được xác định rõ ràng và biên soạnthành tài liệu cụ thể

V.1.4. Phân quyền quản lý phương tiện xử lý thông tin

Quy trình phân quyền quản lý cho các phương tiện xử lý thông tin mớicần được xác định và thi hành

Trang 12

Các hướng dẫn sau cần được cân nhắc đối với quy trình phân quyền:

a Các chức năng mới cần được cấp phép sử dụng một cách phùhợp theo mục đích và nhu cầu sử dụng Việc cấp phép cũng cầnbao gồm trách nhiệm ;

b Khi cần thiết, các thiết bị phần cứng và phần mềm cần đượckiểm tra để đảm bảo được sự tương thích giữa các thành phầntrong hệ thống;

c Sử dụng các phương tiện xử lý thông tin riêng như máy tínhxách tay, máy tính cá nhân, thiết bị cầm tay có thể gây ra cácnguy cơ mất an toàn thông tin mới do đó cần phải xác định và ápdụng các biện pháp quản lý an toàn thông tin

V.1.5. Các thỏa thuận bí mật

Các yêu cầu bảo mật thông tin về các thỏa thuận bí mật hoặc khôngđược công bố cần xác định rõ và thường xuyên rà soát biện pháp bảo vệ kịpthời

Xác định các yêu cầu đối với bảo vệ các thỏa thuận cần giữ bí mật hoặckhông được công bố Để xác định được yêu cầu này, cần xem xét thực hiệncác điểm sau:

a Định nghĩa thông tin cần bảo vệ (thông tin mật);

b Thời hạn bảo mật hiệu lực đối với từng thỏa thuận, bao gồm cảcác trường hợp có hiệu lực vô thời hạn;

c Các xử lý cần thiết khi hết thời hạn hiệu lực;

d Trách nhiệm và hoạt động của các bên tham gia ký kết để tránhviệc tiết lộ các thông tin không được phép (như là: cần phảibiết);

e Quyền sở hữu thông tin, bí mật thương mại, quyền sở hữu trí tuệ

và sự liên quan của nó tới việc bảo vệ thông tin mật;

f Quyền được phép sử dụng thông tin mật và quyền sử dụng thôngtin của các bên tham gia thỏa thuận;

g Quyền kiểm toán và giám sát các hoạt động có chứa thông tinmật;

h Quy trình thông báo và lập biên bản các vi phạm bảo mật, tiết lộtrái phép thông tin;

i Điều khoản về thống kê và hủy thông tin khi thỏa thuận chấmdứt;

j Các điều khoản khi thỏa thuận bị vi phạm;

Trang 13

V.1.6. Liên hệ với các cơ quan có thẩm quyền

Khi tổ chức bị tấn công từ mạng Internet có thể cần sự can thiệp củacác đối tác bên ngoài (như : nhà cung cấp dịch vụ Internet, Trung tâm InternetViệt Nam, Trung tâm ứng cứu khẩn cấp máy tính VN v.v ) can thiệp để ngănchặn nguồn tấn công

V.1.7. Liên hệ với các tổ chức/cộng đồng có chung lợi ích

Trang 14

Phương hướng quản lý ATTT của tổ chức cũng như việc thực hiện(như: mục tiêu, biện pháp quản lý, chính sách, quy trình, thủ tục đảm bảoATTT) cần được soát xét độc lập theo kế hoạch định kỳ, hoặc khi có xuấthiện các dấu hiệu thay đổi ảnh hưởng tới việc đảm bảo ATTT.

Các soát xét độc lập cần được đề xuất bởi Ban quản lý Soát xét độc lập

là cần thiết để đảm bảo liên tục sự thích hợp, đầy đủ và hiệu quả của phươnghướng quản lý ATTT do tổ chức đặt ra Việc soát xét cần bao gồm các đánhgiá về cơ hội để nâng cấp và sự cần thiết thay đổi phương hướng đảm bảo antoàn, bao gồm chính sách và mục tiêu quản lý

Mỗi một soát xét cần thực hiện bởi các cá nhân không liên quan đếnnội dung được soát xét ví dụ như chức năng kiểm toán nội bộ, cần có mộtquản lý độc lập hoặc một tổ chức chuyên nghiệp bên ngoài thực hiện Các cánhân thực hiện các soát xét này cần có đủ trình độ và kinh nghiệm thích hợp

Kết quả của việc soát xét độc lập cần được lưu vào hồ sơ và báo cáocho ban quản lý, nơi đề xuất việc soát xét Các hồ sơ này cần được bảo quản

và lưu trữ một cách phù hợp

Nếu các soát xét độc lập cho thấy phương hướng và cách thực hiệncông tác đảm bảo ATTT là chưa đúng và phù hợp với định hướng đã duyệttrong tài liệu chính sách ATTT, thì Ban quản lý cần tham khảo để có các biệnpháp khắc phục

V.2 Đối tác bên ngoài

Mục tiêu: Duy trì an toàn cho thông tin và các phương tiện xử lý thông tincủa tổ chức mà đối tác bên ngoài có thể truy cập, xử lý, truyền thông vàquản lý

An toàn của thông tin và phương tiện xử lý thông tin của tổ chức khôngcần phải thay đổi, giảm bớt khi có sự tham gia dịch vụ và sản phẩm củacác đối tác bên ngoài

Bất cứ truy cập vào phương tiện xử lý thông tin, xử lý hoặc trao đổi thôngtin với các đối tác bên ngoài đều cần được kiểm soát chặt chẽ

Khi thực hiện các nhiệm vụ mà đối tác bên ngoài cần truy cập tới thông tin

và phương tiện xử lý thông tin của tổ chức, bao gồm cả việc tiếp nhận haycung cấp sản phẩm hoặc dịch vụ với một đối tác bên ngoài đều cần thựchiện những đánh giá rủi ro để xác định các yêu cầu về quản lý về an toàn

Trang 15

thông tin Các biện pháp quản lý cần được xác định và thống nhất trongthỏa thuận với đối tác bên ngoài.

V.2.1. Xác định các rủi ro liên quan đến đối tác bên ngoài

Các rủi ro đối với thông tin và phương tiện xử lý thông tin của tổ chứcbắt nguồn từ các quy trình nghiệp vụ có liên quan đến các đối tác bên ngoàicần được xác định và thực hiện các biện pháp quản lý phù hợp trước khi cấpquyền truy cập

Đối với các trường hợp cần cho phép các đối tác bên ngoài có thể truycập tới thông tin hoặc các phương tiện xử lý thông tin của tổ chức thì cần tiếnhành đánh giá các rủi ro có thể xảy ra, để xác định tất cả các yêu cầu đối vớiviệc quản lý các hoạt động này Việc xác định các rủi ro liên quan tới sự truycập từ các đối tác bên ngoài cần quan tâm đến các vấn đề sau:

a Các phương tiện xử lý thông tin mà đối tác bên ngoài cần truycập;

b Kiểu truy cập của các đối tác bên ngoài tới thông tin và cácphương tiện xử lý thông tin:

1) Về mặt vật lý ví dụ như truy cập từ văn phòng làm việc,phòng máy tính hay phòng xử lý thông tin v.v…;

2) Về mặt logic ví dụ như truy cập tới một cơ sở dữ liệu, mộtWebsite hay một dịch vụ mạng v.v…;

3) Kết nối mạng giữa các tổ chức và các đối tác bên ngoài ví

dụ như các kết nối thường xuyên, truy cập từ xa v.v…;4) Kết nối trực tuyến hay không;

c Giá trị và mức độ mật của thông tin liên quan;

d Các biện pháp quản lý cần thiết để bảo vệ thông tin mà đối tácbên ngoài không được phép truy cập tới;

e Nhân sự của các đối tác bên ngoài có liên quan tới các thông tincủa tổ chức;

f Cách xác định và kiểm tra quyền truy cập của cá nhân hoặc tổchức cũng như thời gian phê duyệt lại các quyền hạn này;

g Các điều kiện và biện pháp quản lý mà đối tác bên ngoài cầnthực hiện khi lưu trữ, xử lý, truyền thông, chia sẻ và trao đổithông tin;

h Các ảnh hưởng có thể xảy ra khi các đối tác bên ngoài không thểtruy cập khi cần thiết, hoặc khi quá trình nhập hay nhận dữ liệucủa bộ phận này bị sai lệch;

Trang 16

i Các hoạt động và quy trình xử lý khi có sự cố ATTT, nguy hiểm

có thể xảy cũng như các điều khoản và cam kết đảm bảo sự liêntục truy cập đối với các đối tác bên ngoài khi có sự cố ATTT xảyra;

j Các quy định, yêu cầu pháp lý, điều khoản đã cam kết liên quanđến các đối tác bên ngoài cần phải thực hiện;

k Ảnh hưởng lợi ích của tất cả các thành viên khi có sự điều chỉnh.Chưa cung cấp khả năng truy cập thông tin của tổ chức cho các đối tácbên ngoài cho đến khi thực hiện đầy đủ các biện pháp quản lý cần thiết vàphù hợp Hai bên cần ký kết hợp đồng với các điều khoản cam kết cho cácviệc kết nối, truy cập và chuẩn bị thực hiện

Cần đảm bảo các đối tác bên ngoài nhận thức được rõ và đầy đủ vềràng buộc, trách nhiệm và nghĩa vụ của mình khi truy cập, xử lý, truyền thônghay quản lý các thông tin hay các phương tiện xử lý thông tin của tổ chức

V.2.2. Xác định các vấn đề ATTT liên quan tới người sử dụng là khách hàng

a Bảo vệ tài sản, bao gồm:

1) Các quy trình bảo vệ tài sản của tổ chức, bao gồm thôngtin, phần mềm và sự quản lý các yếu điểm đã biết;

2) Các quy trình để phát hiện các vấn đề như xâm phạm tàisản, mất mát và sửa đổi dữ liệu ;

3) Tính toàn vẹn;

4) Hạn chế việc sao chép và tiết lộ thông tin;

b Mô tả các sản phẩm và dịch vụ được cung cấp;

c Các nguyên nhân, yêu cầu và lợi ích khi cho phép đối tác truycập;

d Chính sách quản lý truy cập, bao gồm:

Trang 17

1) Các phương thức truy cập được phép và sự quản lý và sửdụng định danh duy nhất như là Mã truy cập (ID) và mậtkhẩu.

2) Quy trình xác thực và phân quyền truy cập;

3) Thông báo các truy cập trái phép sẽ bị cấm;

4) Quy trình thu hồi quyền truy cập và ngắt các kết nối giữacác hệ thống;

e Chính sách quản lý truy cập, bao gồm:

1) Các phương thức truy cập được phép và sự quản lý và sửdụng định danh duy nhất như là Mã truy cập (ID) và mậtkhẩu

3) Chuẩn bị sẵn sàng cho việc báo cáo, thông báo trongtrường hợp có sự cố an toàn thông tin hay các vấn đề về

an toàn có thể xuất hiện

f Mô tả về từng dịch vụ đã sẵn sàng;

g Xác định mức đạt và không đạt của dịch vụ;

h Quyền giám sát, thu hồi và bất kỳ hoạt động nào liên quan tới tàisản của tổ chức;

i Trách nhiệm pháp lý của tổ chức và các đối tác;

j Trách nhiệm trong việc tuân thủ pháp lý và đặc biệt là trongtrường hợp có yếu tố nước ngoài;

k Quyền tác giả và quyền sở hữu trí tuệ và đảm bảo thực hiện đầy

Thỏa thuận cần phải được biên soạn rõ ràng, rành mạch để tránh cáchiểu lầm Nội dung thỏa thuận cần thỏa mãn các yêu cầu của tổ chức cũngnhư đảm bảo quyền lợi cho bên thứ ba

Thỏa thuận giữa hai bên cần bao gồm các vấn đề sau để thỏa mãn việcxác định yêu cầu đảm bảo an toàn:

a Chính sách đảm bảo an toàn thông tin;

Trang 18

b Các biện pháp đảm bảo an toàn tài sản, bao gồm:

1) Quy trình bảo vệ các tài sản của tổ chức, bao gồm thôngtin, phần mềm và thiết bị phần cứng;

2) Các yêu cầu đối với cơ chế và biện pháp bảo vệ vật lý;

3) Các biện pháp bảo vệ trước các phần mềm mã độc hại;

4) Các quy trình để phát hiện các vấn đề như xâm phạm tàisản, mất mát và sửa đổi thông tin, phần mềm, phần cứng ;5) Các biện pháp quản lý để đảm bảo việc hoàn trả và hủy bỏthông tin cũng như tài sản theo thỏa thuận;

6) Tính bí mật, toàn vẹn, sẵn sàng và các thuộc tính khác củatài sản;

7) Hạn chế việc sao chép và phát tán thông tin cũng như việc

áp dụng các điều khoản đã cam kết giữa hai bên

c Đào tạo cho người sử dụng cũng như quản trị về phương pháp,thủ tục và đảm bảo an toàn thông tin

d Đảm bảo người sử dụng nhận thức đầy đủ về trách nhiệm vàviệc thi hành đảm bảo ATTT

e Chuẩn bị cho việc trao đổi nhân sự một cách phù hợp khi cầnthiết;

f Trách nhiệm trong việc cài đặt và bảo trì phần cứng và phầnmềm;

g Báo cáo có cấu trúc rõ ràng và sử dụng các định dạng đã đượchai bên thống nhất;

h Quy trình cụ thể và rõ ràng cho việc quản lý các thay đổi;

i Chính sách quản lý truy cập, bao gồm:

1) Các nguyên nhân, yêu cầu và lợi ích đối với việc truy cậpcủa bên thứ ba

2) Các phương thức truy cập được phép và sự quản lý và sửdụng định danh duy nhất như là Mã truy cập (ID) và mậtkhẩu

4) Yêu cầu đối với việc duy trì danh sách cá nhân được phép

sử dụng dịch vụ Danh sách này được lưu kèm theo cácthông tin chi tiết về quyền, giới hạn cũng như các điềukiện phải tuân thủ

5) Thông báo các truy cập trái phép sẽ bị cấm;

6) Quy trình thu hồi quyền truy cập và ngắt các kết nối giữacác hệ thống;

Trang 19

j Chuẩn bị sẵn sàng cho việc báo cáo, thông báo và trường hợpxuất hiện sự cố, nguy cơ mất an toàn thông tin hoặc vi phạm cácthỏa thuận đã cam kết;

k Mô tả các sản phẩm hoặc dịch vụ được cung cấp cũng như mô tảcác thông tin cần cung cấp với sự phân loại mức độ bảo mật củanó;

l Mức đạt và không đạt của dịch vụ;

m Định nghĩa các chỉ tiêu hiệu quả có thể kiểm tra, việc giám sát

và lập báo cáo về các chỉ tiêu này;

n Quyềm giám sát, thu hồi và tất cả các hoạt động nào liên quanđến tài sản của tổ chức;

o Quyền kiểm toán các trách nhiệm đã được xác định trong thỏathuận, quyền được biết kết quả kiểm toán được thực hiện bởi bênthứ ba và liệt kê các quyền hợp pháp của các kiểm toán viên;

p Thiết lập một quy trình giải quyết vấn đề;

q Các yêu cầu đảm bảo sự liên tục của dịch vụ, bao gồm các tiêuchuẩn về sự sẵn sàng và tin cậy, phù hợp với các yêu cầu của tổchức;

r Sự tuân thủ các nghĩa vụ pháp lý của các bên trong thỏa thuận;

s Trách nhiệm pháp lý cần tuân thủ và việc đảm bảo thực thi đầy

đủ các nghĩa vụ này đặc biệt với các trường hợp có liên quan đếnkhung pháp lý của nhiều quốc gia;

t Quyền tác giả và quyền sở hữu trí tuệ và đảm bảo thực hiện đầy

đủ các thỏa thuận về hợp tác;

u Bao hàm cả các bên thứ ba với các hợp đồng phụ và các biệnpháp an ninh cần thiết thực hiện đối với các hợp đồng này;

v Điều kiện để thương thảo lại hoặc chấm dứt các thỏa thuận:

1) Các kế hoạch dự phòng cần thực hiện khi một bên muốnchấm dứt hợp đồng liên quan trước khi kết thúc thỏathuận

2) Thương thảo lại các thỏa thuận nếu các yêu cầu đảm bảo

an toàn thông tin của tổ chức thay đổi

3) Các tài liệu về danh sách tài sản, bản quyền, thỏa thuận vàcác quyền liên quan tới chúng;

Trang 20

VI Quản lý tài sản

VI.1 Trách nhiệm đối với tài sản

Mục tiêu: Để hoàn thành và duy trì việc bảo vệ các tài sản của tổ chức mộtcách hợp lý

Tất cả các tài sản cần được quản lý và giao cho người có trách nhiệm

Người có trách nhiệm quản lý cần xác định rõ tất cả các tài sản và tráchnhiệm đối với việc duy trì các biện pháp bảo vệ phù hợp Việc thực hiệncác biện pháp bảo vệ có thể được ủy nhiệm cho một người khác có khảnăng phù hợp, nhưng người ủy nhiệm phải chịu mọi trách nhiệm trongviệc bảo vệ tài sản

VI.1.1. Kiểm kê tài sản

Hơn nữa, quyền sở hữu và việc phân loại thông tin cần được thống nhất

và tài liệu hóa cho từng tài sản Dựa trên tầm quan trọng của tài sản, giá trịcủa tài sản và phân loại tài sản, mức độ bảo vệ phù hợp với tầm quan trọngcủa tài sản cần được xác định

VI.1.2. Quyền sở hữu tài sản

Tất cả các thông tin và tài sản liên quan tới các phương tiện xử lý thôngtin cần được sở hữu bởi bộ phận trong tổ chức đã được chỉ định

Người sở hữu tài sản cần có trách nhiệm trong việc:

a Đảm bảo thông tin và các tài sản liên quan đến phương tiện xử lýthông tin được phân loại một cách phù hợp

Trang 21

b Định nghĩa và soát xét thường xuyên việc phân loại và các hạnchế truy cập, phù hợp với chính sách quản lý truy cập.

Quyền sở hữu có thể được cấp cho:

a Nguyên tắc sử dụng Internet và hộp thư điện tử;

b Hướng dẫn sử dụng các thiết bị di động, đặc biệt đối với các việc

sử dụng bên ngoài bên ngoài tổ chức

Mỗi nguyên tắc hoặc hướng dẫn cần được ban quản lý tương ứng cungcấp Nhân viên, các nhà thầu và người sử dụng bên thứ ba khi truy cập hoặc

sử dụng các tài sản của tổ chức cần có nhận thức về các phạm vi và quyềnhạn đối với thông tin, các tài sản liên quan tới phương tiện xử lý thông tin vàcác nguồn lực của tổ chức Những người này cũng chịu trách nhiệm đối vớiviệc sử dụng các tài nguyên xử lý thông tin

VI.2 Phân loại thông tin

Mục tiêu: Đảm bảo tất cả thông tin đều có mức bảo vệ thích hợp

Thông tin cần được phân loại để chỉ ra mức độ cần thiết, mức ưu tiên và

kỳ vọng vào việc bảo vệ khi sử dụng thông tin

Thông tin có nhiều mức độ nhạy cảm và quan trọng khác nhau Một số tintức sẽ cần một mức bảo vệ tăng cường hoặc cần được xử lý đặc biệt Cần

áp dụng một lược đồ phân loại thông tin để xác định tập các mức bảo vệphù hợp với mỗi loại thông tin và truyền đạt sự cần thiết đối với các biệnpháp xử lý đặc biệt

Trang 22

VI.2.1. Hướng dẫn phân loại

Hướng dẫn phân loại cần bao gồm các quy ước cho lần đầu phân loạicũng như việc phân loại lại theo thời gian, phù hợp với các chính sách quản lýtruy cập đã định trước

Người sở hữu thông tin có trách nhiệm xác định sự phân loại tài sản,thường xuyên rà soát và đảm bảo luôn cập nhật một cách phù hợp Sự phânloại cần kết hợp với các ảnh hưởng có thể xảy ra

Cần xem xét một số cách phân loại cũng như lợi ích nhằm đạt đượccách sử dụng chúng Các lược đồ phân loại quá phức tạp có thể làm cho việc

sử dụng trở nên cồng kềnh, không hữu ích hoặc là phi thực tế Cũng cần quantâm đến các nhãn phân loại trên các tài liệu của các tổ chức khác vì có thểđược phân loại theo một cách khác

VI.2.2. Gán nhãn và xử lý thông tin

Đối với mỗi mức phân loại cần xác định các thủ tục xử lý bao gồm: xử

lý an toàn; lưu trữ; truyền; thay đổi phân loại và hủy Bao gồm cả các thủ tục

để liên kết sự giám sát và ghi nhật ký các sự kiên liên quan đến an toàn thôngtin

Trang 23

Sự thống nhất chia sẻ thông tin giữa các tổ chức cần bao gồm cả thủtục xác định cách phân loại thông tin cũng như thể hiện các nhãn phân loại.

VII.1 Ưu tiên để tuyển dụng

Mục tiêu: Nhằm đảm bảo các nhân viên, người thực hiện hợp đồng thuêkhoán và người sử dụng của bên thứ ba hiểu được trách nhiệm, phù hợpvới vị trí tuyển dụng, giảm rủi ro như: trộm cắp, lừa đảo hoặc lạm dụngphương tiện làm việc

Trách nhiệm đảm bảo an toàn cần được xác định rõ, đầy đủ ngay trongthông báo khi tuyển dụng (mô tả công việc, các điều khoản và ràng buộc)

VII.1.1. Vai trò và trách nhiệm

Vai trò và trách nhiệm của nhân viên, người thực hiện hợp đồng thuêkhoán và người sử dụng của bên thứ ba trong việc đảm bảo an toàn thông tincần được xác định và biên soạn thành tài liệu theo chính sách đảm bảo antoàn thông tin của tổ chức

Vai trò và trách nhiệm đảm bảo an toàn cần có các yêu cầu:

a Chấp hành đầy đủ chính sách an toàn thông tin của tổ chức;

b Bảo vệ các tài sản khỏi các truy cập, tiết lộ, sửa đổi, hủy hoặccan thiệp trái phép;

c Thực hiện nghiêm chỉnh các quy trình và hoạt động đảm bảo antoàn thông tin;

d Đảm bảo trách nhiệm được giao đúng tới từng cá nhân thực hiện.Vai trò và trách nhiệm đảm bảo an toàn cần được xác định và truyềnđạt rõ ràng tới người dự tuyển trong quá trình tuyển dụng

VII.1.2. Thẩm tra lý lịch

Cần tiến hành kiểm tra các thông tin cơ bản của tất cả nhân viên, ngườithực hiện hợp đồng và những người sử dụng thuộc bên thứ ba theo luật, quyđịnh và các nội quy, sự phù hợp với các yêu cầu của tổ chức, phân loại thôngtin được truy cập và các rủi ro có thể nhận thấy

Trang 24

b Kiểm tra sơ yếu lý lịch;

c Xác nhận các yêu cầu đối với trình độ và học vấn;

d Kiểm tra giấy tờ tùy thân (Chứng minh thư, hộ chiếu hoặc cácgiấy tờ khác có thể thay thế)

e Kiểm tra cụ thể hồ sơ cán bộ hoặc các hồ sơ tội phạm

Đối với những vị trí công tác có khả năng truy cập vào các phương tiện

xử lý thông tin, dữ liệu nhạy cảm như thông tin tài chính, dữ liệu mật thì cần

có những kiểm tra kỹ trước khi tuyển dụng nhân sự

Thủ tục cần xác định các chỉ tiêu và sự giới hạn cho việc kiểm tra

Một quy trình thẩm tra cũng cần thực hiện đối với những người thamgia theo dạng hợp đồng, người sử dụng của bên thứ ba Nếu những ngườitham gia theo dạng hợp đồng do một cơ quan/ đơn vị nào cung cấp, thì cầnphải xác định rõ trách nhiệm thẩm tra lý lịch và thủ tục thông báo mà cơquan/ đơn vị này phải tuân thủ Tương tự như vậy, các thỏa thuận với bên thứ

ba cũng cần xác định rõ trách nhiệm và thủ tục thông báo đối với việc thẩmtra lý lịch

Cần thu thập thông tin về các đối tượng dự tuyển để cân nhắc cho các

vị trí phù hợp trong tổ chức Viêc thẩm tra lý lịch có thể thông báo trước vớingười dự tuyển

VII.1.3. Các điều khoản và điều kiện tuyển dụng

Đây là một phần bắt buộc của hợp đồng lao động , thuê khoán hoặc vớingười sử dụng thuộc bên thứ ba Các bên cần phải thống nhất và ký kết cácđiều khoản và điều kiện trong hợp đồng lao động trong đó quy định rõ tráchnhiệm của người lao động và tổ chức sử dụng trong việc đảm bảo an toànthông tin

Các điều khoản và điều kiện tuyển dụng cần phù hợp với chính sáchđảm bảo an toàn thông tin của tổ chức:

Trang 25

a Tất cả các nhân viên, người lao động theo hợp đồng thuê khoán,người sử dụng thuộc bên thứ ba có quyền truy nhập tới các thôngtin nhạy cảm cần phải ký cam kết trước khi truy cập;

b Quyền và trách nhiệm pháp lý của nhân viên, người lao độngtheo hợp đồng thuê khoán và người sử dụng thuộc bên thứ banhư bản quyền, quyền bảo vệ dữ liệu cá nhân v.v…;

c Trách nhiệm trong việc phân loại thông tin, quản lý các tài sảnliên quan tới hệ thống thông tin và các dịch vụ do nhân viên,người lao động theo hợp đồng thuê khoán và người sử dụngthuộc bên thứ ba thực hiện;

d Trách nhiệm của nhân viên, người lao động theo hợp đồng thuêkhoán và người sử dụng thuộc bên thứ ba đối với việc xử lýthông tin nhận được từ các công ty hoặc các đối tác bên ngoài;

e Trách nhiệm của tổ chức trong việc xử lý thông tin cá nhân, baogồm cả các thông tin cá nhân thu được trong quá trình tuyểndụng của tổ chức;

f Trách nhiệm đối với các vấn đề ở bên ngoài tổ chức, ngoài giờlàm việc như trong trường hợp làm việc ở nhà;

g Hoạt động được thực hiện nếu nhân viên, người lao động theohợp đồng thuê khoán và người sử dụng thuộc bên thứ ba khôngtuân thủ yêu cầu đảm bảo an toàn của tổ chức

Cần thiết, đặc biệt với các lao động thuê mướn và người sử dụng của bên thứ ba

VII.2 Sử dụng nhân sự

Mục tiêu: Đảm bảo nhân viên, người thực hiện hợp đồng thuê khoán vàngười sử dụng của bên thứ ba quan tâm và nhận thức được các nguy cơgây mất an toàn thông tin cũng như trách nhiệm và nghĩa vụ của mình.Cũng cần trang bị đầy đủ kiến thức cần thiết để có thể thực hiện đúngchính sách đảm bảo an toàn thông tin trong quá trình làm việc cũng nhưgiảm thiểu rủi ro do lỗi chủ quan của con người

Trách nhiệm ban quản lý cũng cần được xác định để đảm bảo hoạt độngđảm bảo an toàn thông tin được tất cả mọi cá nhân trong tổ chức thực hiệnmột cách nghiêm túc

Phổ biến đến mọi nhân viên, người thực hiện hợp đồng thuê khoán vàngười sử dụng của bên thứ ba các thủ tục về đảm bảo an toàn thông tin

Trang 26

cũng như các sử dụng các phương tiện xử lý thông tin để nhằm giảm thiểucác rủi ro Một các quy chế xử lý vi phạm cần được thiết lập để xử lý các

vi phạm an toàn thông tin

VII.2.1. Trách nhiệm ban quản lý

Ban quản lý cần yêu cầu nhân viên, người thực hiện hợp đồng thuêkhoán và người sử dụng của bên thứ ba thực hiện đảm bảo an toàn thông tintheo các chính sách và thủ tục do tổ chức quy định

Trách nhiệm ban quản lý cần bao gồm việc đảm bảo tất cả nhân viên,người thực hiện hợp đồng thuê khoán và người sử dụng của bên thứ ba:

a Được chỉ dẫn tường tận về vai trò và trách nhiệm trong đảm bảo

an toàn thông tin trước khi giao quyền truy cập các dữ liệu nhạycảm hoặc hệ thống thông tin;

b Được cung cấp các hướng dẫn trong đó nêu rõ kỳ vọng đối vớivai trò được giao trong việc đảm bảo ATTT cho tổ chức;

c Năng động trong việc phát huy chính sách đảm bảo ATTT của tổchức;

d Nhận thức đầy đủ về vai trò và trách nhiệm trong việc đảm bảoATTT trong tổ chức;

e Tuân thủ các điều khoản và điều kiện tuyển dụng, bao gồm cảcác chính sách đảm bảo an toàn thông tin và các phương pháplàm việc thích hợp;

f Luôn có đầy đủ kỹ thuật và trình độ cần thiết

VII.2.2. Nhận thức, giáo dục và đào tạo an toàn thông tin

Tất cả nhân viên, người thực hiện hợp đồng thuê khoán và người sửdụng của bên thứ ba cần được đào tạo nhận thức một cách phù hợp và thườngxuyên được cập nhật chính sách của tổ chức, các thủ tục cũng như các chứcnăng nhiệm vụ liên quan

Đào tạo nhận thức cần bắt đầu với các quy trình bổ nhiệm chính thứcnhằm giới thiệu các chính sách ATTT và các kỳ vọng trước khi được phéptruy cập tới thông tin và các dịch vụ

Trang 27

Việc đào tạo liên tục cần bao gồm các yêu cầu đảm bảo an toàn, tráchnhiệm pháp lý, biện pháp quản lý nghiệp vụ cũng như là đào tạo về cách sửdụng các phương tiện xử lý thông tin như quy trình truy cập, sử dụng các góiphần mềm v.v….

VII.2.3. Quy chế xử lý vi phạm

Cần có một quy chế xử lý vi phạm chính thức dành cho các nhân viên

vi phạm quy định đảm bảo an toàn thông tin

Một quy chế xử lý vi phạm cần bắt đầu bằng việc xác minh sự cố

Quy chế xử lý vi phạm chính thức cần đảm bảo chính xác và công bằngđối với tất cả các nhân viên có dấu hiệu vi phạm an toàn thông tin

VII.3 Chấm dứt hoặc điều chuyển sử dụng nhân sự

Mục tiêu: Đảm bảo nhân viên, người thực hiện hợp đồng thuê khoán vàngười sử dụng của bên thứ ba chấm dứt hoặc điều chuyển công tác phảituân thủ đúng quy định đề ra

Cần đặt ra một số trách nhiệm đối với nhân viên, người thực hiện hợpđồng thuê khoán và người sử dụng của bên thứ ba khi chấm dứt hoặc điềuchuyển công tác để đảm bảo việc tổ chức quản lý chặt chẽ, thu hồi và bàngiao tài sản, công việc cũng như xóa bỏ mọi quyền hạn đã được cấp

Cần quản lý chặt chẽ việc chấm dứt và điều chuyển công tác của nhân sựcũng như các trách nhiệm cần tuân thủ theo các hướng dẫn của phần này

VII.3.1. Trách nhiệm khi chấm dứt việc sử dụng nhân sự

Trang 28

Các trách nhiệm và nghĩa vụ vẫn còn hiệu lực sau khi chấm dứt sửdụng nhận sự cần được ghi rõ trong hợp đồng.

Sự thay đổi trách nhiệm hoặc chức năng, nhiệm vụ nhân sự cần đượcquản lý chặt chẽ như việc chấm dứt sử dụng nhân sự, các trách nhiệm mới sẽđược quản lý theo nội dung đã nêu ra

VII.3.2. Bàn giao tài sản

Trong trường hợp thiết bị là tài sản cá nhân của người lao động, hoặc

đã được tổ chức cho thì cần có thủ tục xóa bỏ tất cả các thông tin không đượcphát tán rộng rãi

Trong trường hợp nhân viên, người thực hiện hợp đồng thuê khoán vàngười sử dụng của bên thứ ba nắm giữ các công nghệ quan trọng thì cần phảilập thành tài liệu và bàn giao lại cho tổ chức

VII.3.3. Xóa bỏ quyền truy cập

Trang 29

VIII An toàn vật lý và môi trường

Mục tiêu: Để bảo vệ tài sản và thông tin của tổ chức khỏi các truy nhậptrái phép, nguy hiểm và trở ngại có thể xảy ra

Các phương tiện xử lý thông tin nhạy cảm và quan trọng cần được đặttrong khu vực bảo mật Khu vực này được bảo vệ bởi vành đai an toàn vớicác rào cản bảo mật phù hợp và trang bị các biện pháp quản lý truy cập.Đặc biệt cần trang bị các biện pháp bảo vệ vật lý để tránh khỏi các xâmnhập trái phép, nguy hiểm và trở ngại có thể xảy ra

Sự bảo vệ cần phù hợp với các rủi ro đã biết có thể xảy ra

VIII.1.1. Vành đai bảo vệ vật lý

Vành đai bảo vệ vật lý (như tường, máy kiểm tra thẻ, bàn tiếp tân) cầnđược sử dụng để bảo vệ khu vực chứa thông tin, phương tiện xử lý thông tin.Hướng dẫn thực hiện:

Các hướng dẫn sau đây cần được tham khảo và thực hiện để xây dựngvành đai bảo mật vật lý:

a Các vành đai bảo mật cần được xác định rõ, lựa chọn vị trí, mức

độ bảo vệ phù hợp dựa trên các yêu cầu đảm bảo an toàn tài sảntrong vành đai và đánh giá rủi ro có thể xảy ra;

b Các vành đai của một tòa nhà hoặc các vị trí đặt phương tiện xử

lý thông tin cần được xây dựng một cách hợp lý (ví dụ: như đểđảm bảo không có kẽ hở để kẻ gian có thể đột nhập dễ dàng);các tường bao, cổng cần vững chắc chống lại các xâm nhập tráiphép; đồng thời trang bị các cơ chế bảo vệ khác như: sử dụngchấn song sắt, chuông báo động, khóa Cửa sổ và cửa ra vào cầnđược khóa, đặc biệt là cửa sổ tầng 1 phải chú ý có biện pháp bảo

vệ phù hợp

c Khu vực tiếp đón khách hoặc phục vụ cho việc kiểm soát truynhập cần được thiết lập; cần hạn chế các đối tượng ra vào tòanhà, cấp phép cho từng người theo nhiệm vụ được giao

d Xây dựng các hàng rào bảo vệ vật lý chống lại các xâm nhập tráiphép

Trang 30

e Tất cả các cửa thoát hiểm cần được đặt chuông báo động hoặccamera theo dõi.

f Xây dựng các hệ thống phát hiện xâm nhập trái phép và thườngxuyên kiểm tra, duy trì hoạt động

g Các phương tiện xử lý thông tin do tổ chức quản lý cần được đặtriêng biệt với các phương tiện do bên thứ ba quản lý

VIII.1.2. Kiểm soát truy cập vật lý

Khu vực bảo mật cần được bảo vệ bằng các biện pháp quản lý truy cậpthích hợp

Cần tham khảo các hướng dẫn sau:

a Cần phải ghi lại thông tin về ngày giờ vào / ra của khách, mọihoạt động cần được giám sát Giấy phép ra vào chỉ được cấp chocác điều kiện cụ thể theo quy định đặt ra

b Mọi người vào ra khu vực bảo mật đều phải đeo thẻ, có nhiềuloại thẻ khác nhau cho nhân viên, người làm việc theo hợp đồngthuê khoán, các nhân viên của bên thứ ba cũng như khách tớilàm việc v.v

c Hạn chế việc truy nhập khu vực bảo mật của nhân sự bên thứ bacung cấp dịch vụ, nếu cho phép truy nhập thì cần có biện phápkiểm tra và giám sát chặt chẽ

d Quyền truy cập khu vực bảo mật cần thường xuyên được kiểmtra, điều chỉnh phù hợp

VIII.1.3. Làm việc trong khu vực bảo mật

Cần thiết kế và áp dụng biện pháp bảo vệ vật lý, hướng dẫn khi làmviệc trong khu vực bảo mật

Cần tham khảo các hướng dẫn sau:

a Nhân viên chỉ được biết các thông tin cần thiết liên quan đếnnhiệm vụ về khu vực bảo mật cũng như các hoạt động bên trongkhu vực này;

Trang 31

b Tránh bỏ sót việc giám sát các hoạt động trong vùng bảo mật;

c Các không gian trống trong vùng bảo mật cần được khóa vàkiểm tra định kỳ;

d Cấm sử dụng máy ảnh, máy quay phim, máy thu âm v.v… vàđặc biệt quan tâm các thiết bị di động có chức năng quay phim,chụp ảnh trừ các trường hợp đặc biệt được cấp phép

VIII.2. Bảo vệ thiết bị

Mục tiêu: Tránh thất lạc, mất trộm, hư hỏng hoặc lợi dụng tài sản hoặc ảnhhưởng hoạt động của tổ chức

Các thiết bị cần được bảo vệ trước các nguy hại vật lý và từ môi trường.Việc bảo vệ thiết bị là cần thiết để giảm thiểu rủi ro do các truy cập tráiphép vào thông tin, bảo vệ tài sản không bị thất lạc cũng như hư hỏng.Vấn đề này liên quan đến cả vị trí cài đặt cũng như loại bỏ thiết bị Cácbiện pháp đặc biệt cần bảo vệ chống lại các mối nguy hại vật lý, đảm bảo

an toàn cho các hệ thống phụ trợ như là nguồn điện hay hạ tầng truyền dẫnv.v…

VIII.2.1. Bảo vệ và sắp đặt thiết bị

Thiết bị cần được đặt hoặc bảo vệ để giảm thiểu các nguy cơ xâm hạingẫu nhiên, truy cập trái phép hoặc từ môi trường

Các hướng dẫn sau đây cần được xem xét để bảo vệ thiết bị:

a Thiết bị cần được đặt tại các nơi có ít người qua lại;

b Các phương tiện xử lý thông tin liên quan tới các dữ liệu nhạycảm cần được đặt và hạn chế tầm quan sát từ bên ngoài để tránhtiết lộ thông tin;

c Các thiết bị cần bảo vệ đặc biệt cần được tách riêng khỏi nhómcác thiết bị thông thường khác để giảm mức độ bảo vệ chung

d Chuẩn bị các biện pháp để giảm thiểu các mối nguy như mấttrộm, cháy, nổ, khói, nước… và các hành động phá hoại

e Cần xây dựng các hướng dẫn đối với việc ăn, uống, hút thuốc tạinơi gần thiết bị xử lý thông tin

Trang 32

f Theo dõi các điều kiện môi trường, như nhiệt độ, độ ẩm, để biếtmức độ ảnh hưởng của các yếu tố trên đối với thiết bị xử lýthông tin.

g Cần chống sét trong tất cả các tòa nhà và sử dụng các bộ bảo vệsét đánh cho các đường điện và liên lạc

h Cân nhắc việc sử dụng các phương thức bảo vệ đặc biệt đặc biệt

là môi trường công nghiệp, ví dụ như bàn phím có màng chechống thấm, chống acid

i Bảo vệ các thiết bị xử lý thông tin nhạy cảm để giảm thiểu rủi ro

Mạng lưới cáp truyền dẫn viễn thông và điện lực cần được bảo vệ tránh

bị nghe lén, ngăn chặn và hư hại

Chú ý những hướng dẫn sau:

a Hệ thống dây dẫn điện và cáp truyền dẫn của các thiết bị xử lýthông tin nên được đặt ngầm hay có các cách thức bảo vệ phùhợp khác

b Cần bảo vệ hệ thống cáp mạng khỏi mối nguy nghe lén hay hỏnghóc

Trang 33

c Các hệ thống cáp điện và cáp truyền thông cần tách riêng đểtránh nhiễu.

d Cáp và thiết bị cần được đánh dấu rõ ràng với đầy đủ thông tin

e Lập tài liệu đấu nối để giới hạn các sai sót có thể xảy ra

f Đối với các hệ thống nhạy cảm, trọng yếu cần cân nhắc thêm cácgiải pháp sau:

1) Sử dụng ống bọc dây dẫn, các phòng hoặc hộp có khóa tạicác vị trí cần thiết phải bảo vệ dây dẫn

2) Sử dụng các phương thức định tuyến hay truyền dẫn antoàn hơn

3) Sử dụng cáp quang4) Sử dụng tấm chắn điện từ để bảo vệ cáp5) Kiểm tra để dò tìm các thiết bị trái phép đang gắn trên cáp.6) Kiểm soát truy xuất vào bảng đấu nối và phòng chứa cáp

VIII.2.4. Bảo trì thiết bị

Thiết bị cần được bảo trì đúng cách để đảm bảo liên tục sự sẵn sàng vàtoàn vẹn

Hướng dẫn sau về việc bảo dưỡng thiết bị:

a Thiết bị cần được bảo trì phù hợp định kỳ theo khuyến cáo củanhà cung cấp;

b Việc sửa chữa và bảo trì thiết bị phải do đối tượng đã được tổchức phân công;

c Cần ghi lại các nghi vấn hay lỗi xảy ra trong quá trình bảo trì;

d Cần thực hiện các biện pháp quản lý an toàn thông tin cần thiếtkhi chuẩn bị đưa thiết bị đi bảo trì, cân nhắc đối tượng sẽ thựchiện công việc bảo trì; nếu cần thiết nên xóa thông tin nhạy cảmkhỏi thiết bị Người bảo trì cần phải tin cậy;

e Lưu ý các yêu cầu trong các quy định bảo hiểm khi đem thiết bị

đi bảo dưỡng

VIII.2.5. An toàn thiết bị đặt bên ngoài tổ chức

Trang 34

Cần thực hiện các biện pháp đảm bảo sự an toàn cho các thiết bị thuộc

sở hữu nhưng nằm bên ngoài của tổ chức, cân nhắc tới các rủi ro khi làm việcbên ngoài phạm vi vật lý của tổ chức

b Tuân thủ các hướng dẫn về việc bảo vệ thiết bị

c Quá trình làm việc tại nhà nên được đánh giá rủi ro an toànthông tin và thực hiện đầy đủ các biện pháp bảo vệ

d Bảo hiểm đầy đủ cho các thiết bị này

VIII.2.6. Loại bỏ và tái sử dụng thiết bị một cách an toàn

Tất cả các thành phần của thiết bị chứa phương tiện lưu trữ thông tincần được kiểm tra.kỹ trước khi loại bỏ Đặc biệt là các thông tin nhạy cảm,bản quyền phần mềm cần được xóa hoặc ghi đè để tránh tiết lộ thônng tin

Các thiết bị chứa thông tin nhạy cảm cần được hủy vật lý hoặc sử dụngcác kỹ thuật đặc biệt cho phép hủy thông tin mà người khác không thể khôiphục lại được Không nên sử dụng các lệnh xóa tệp tin hay format thôngthường do hệ điều hành cung cấp

VIII.2.7. Di chuyển thiết bị

Tất cả các thành phần của thiết bị chứa phương tiện lưu trữ thông tincần được kiểm tra.kỹ trước khi loại bỏ Đặc biệt là các thông tin nhạy cảm,bản quyền phần mềm cần được xóa hoặc ghi đè để tránh tiết lộ thông tin

Một số hướng dẫn cần xem xét lựa chọn áp dụng:

a Thiết bị, thông tin hay phần mềm cần được cấp phép trước khimang ra ngoài phạm vi của tổ chức

b Kiểm tra kỹ thông tin cá nhân trước khi được cấp phép di chuyểnthiết bị ra ngoài

Trang 35

c Đặt thời gian cho việc di chuyển thiết bị và kiểm tra theo đúngquy trình khi thiết bị được trả về.

d Nếu cần thiết thì phải lập hồ sơ việc đem thiết bị ra / vào tổchức

IX.1 Các thủ tục và trách nhiệm điều hành

Mục tiêu: Để đảm bảo vận hành đúng và an toàn các phương tiện xử lýthông tin

Trách nhiệm và thủ tục quản lý và vận hành các phương tiện xử lý thôngtin cần được thiết lập Cần phát triển các quy trình vận hành phù hợp Cần phân chia trách nhiệm một cách rõ ràng và phù hợp để giảm thiểu sơsuất và tránh việc lạm dụng

IX.1.1. Biên soạn tài liệu về quy trình vận hành

Các quy trình vận hành sau đây cần phải có hướng dẫn thực hiện cụthể:

a Các phần mềm và thiết bị phần cứng;

b Sao lưu dự phòng;

c Các xác định và xử lý khi có sự cố xảy ra;

d Khởi động lại và khôi phục lại hệ thống khi có sự cố;

e Quản lý các kết quả kiểm tra và dữ liệu về nhật ký hoạt độngnhư log file

IX.1.2. Quản lý các thay đổi

Trang 36

Sự thay đổi của hệ thống cũng như các phương tiện xử lý thông tin cầnđược kiểm soát chặt chẽ.

Sự thay đổi của các các hệ điều hành và phần mềm ứng dụng cần được quản lý chặt chẽ Có thể tham khảo đưa vào thực hiện:

a Lập danh sách các thay đổi cần phải quản lý;

b Xác định và ghi lại các thay đổi quan trọng;

c Lập kế hoạch và kiểm tra sự thay đổi;

d Đánh giá ảnh hưởng tiềm ẩn, bao gồm cả các ảnh hưởng về antoàn của các thay đổi;

e Quy trình chính thức phê duyệt các thay đổi đã được đưa ra;

f Các quy trình dự phòng, bao gồm quy trình và trách nhiệm choviệc hủy bỏ và khôi phục các thay đổi không hiệu quả và các sựkiện bất ngờ

Các trách nhiệm và quy trình quản lý chính thức cần đảm bảo quản lý chặt chẽ được mọi sự thay đổi thiết bị, phần mềm và quy trình

IX.1.3. Phân chia trách nhiệm

Trách nhiệm và lĩnh vực phụ trách cần được phân chia rõ rành để tránhviệc sử dụng, sửa đổi trái phép cũng như lạm dụng các tài sản của tổ chức

Sự phân chia trách nhiệm là một phương pháp giảm thiểu các sự cố xảy

ra và tránh lạm dụng hệ thống Việc này thực hiện để đảm bảo ngăn chặn cáctruy cập, sử dụng, thay đổi tài sản trái phép mà không bị phát hiện

Đối với các tổ chức nhỏ rất khó phân chia trách nhiệm rõ ràng, nhưngnguyên tắc này cần phải áp dụng hiệu quả và tối ưu nhất Khi khó khăn trongviệc phân chia trách nhiệm, thì cần có biện pháp để giám sát, kiểm tra vàquản lý

IX.1.4. Phân tách các phương tiện đang được phát triển, thử

nghiệm và sử dụng

Trang 37

Các phương tiện trong quá trình phát triển, thử nghiệm và sử dụng cầnđược tách rời để giảm thiểu rủi ro do truy cập trái phép hoặc thay đổi hệthống đang vận hành.

Phân biệt giữa các môi trường phát triển, thử nghiệm và sử dụng là cầnthiết để tránh được các vấn đề điều hành Vấn đề này cần xác định rõ và thựchiện các biện pháp quản lý phù hợp

Cần tham khảo các mục dưới đây:

a Cần biên soạn các tài liệu về quy tắc chuyển đổi từ phần mềmđang phát triển sang phần mềm sử dụng;

b Việc phát triển phần mềm và sử dụng phần mềm nếu được tiếnhành song song cần được triển khai độc lập tránh gây ảnh hưởngxấu tới hệ thống đang hoạt động;

c Môi trường kiểm thử hệ thống cần mô phỏng thật sát với thực tế

d Người sử dụng cần sử dụng các tài khoản khác nhau để kiểm tra

và sử dụng hệ thống, tuy nhiên phần mềm phải hiển thị đượcchính xác các thông báo định danh người sử dụng để giảm thiểucác lỗi có thể xảy ra

e Không được sử dụng thông tin nhạy cảm vào thử nghiệm hệthống

IX.2 Quản lý sự phân phối dịch vụ cho bên thứ ba

Mục tiêu: Để thực thi và duy trì các mức độ phù hợp về đảm bảo an toànthông tin và phân phối dịch vụ với bên thứ ba phù hợp với những cam kết

đã có

Tổ chức cần kiểm tra sự thực hiện các cam kết, giám sát sự tuân thủ vớicác cam kết và quản lý các thay đổi để đảm bảo dịch vụ đáp ứng được đầy

đủ các cam kết đã có của hai bên

IX.2.1. Phân phối dịch vụ

Đảm bảo rằng các biện pháp đảm bảo ATTT và cam kết với bên thứ bađều được bên thứ ba thực thi, điều hành và duy trì đúng

Trang 38

Dịch vụ do bên thứ ba cung cấp cần kèm theo các điều kiện đảm bảoATTT, định nghĩa dịch vụ và hướng quản lý của dịch vụ Trong trường hợpdịch vụ được chuyển sang cho một tổ chức khác thực hiện thì tổ chức cũngcần có kế hoạch cho việc chuyển tiếp và đảm bảo duy trì sự an toàn trong giaiđoạn này.

Tổ chức cần đảm bảo bên thứ ba duy trì được khả năng cung cấp dịch

vụ theo đúng thỏa thuận

IX.2.2. Giám sát và soát xét các dịch vụ của bên thứ ba

a Giám sát mức độ hiệu quả dịch vụ để kiểm tra sự tuân thủ cáccam kết;

b Soát xét các báo cáo dịch vụ do bên thứ ba đưa ra và và sắp xếpcuộc họp xúc tiến thường kỳ như đã yêu cầu trong các hợp đồng

c Bên thứ ba cung cấp thông tin về sự cố ATTT và kết quả soát xétlại thông tin này của bên thứ ba cũng như của chính tổ chức theocác cam kết và quy trình thực hiện đã có;

d Soát xét các chuỗi kết quả kiểm toán và hồ sơ sự cố an toànthông tin, các vấn đề và lỗi trong vận hành, dấu hiệu của sự hưhỏng hoặc đổ vỡ có thể xảy ra liên quan đến dịch vụ được phânphối;

e Xử lý và quản lý các vấn đề đã xác định

Cần có người chịu trách nhiệm chính đối với dịch vụ do bên thứ bacung cấp Có phương án theo dõi và kiểm tra việc thực hiện nghiêm túc cáccam kết đã có Kịp thời xử lý khi có các trường hợp vi phạm xảy ra

Ban quản lý cần duy trì các biện pháp hữu hiệu đảm bảo an toàn đốivới thông tin nhạy cảm, các phương tiện xử lý thông tin mà được truy cập, xử

lý hoặc quản lý bởi bên thứ ba Tổ chức cũng cần đảm bảo rằng họ duy trì sựminh bạch trong các hoạt động đảm bảo an toàn thông tin, ví dụ như quản lý

sự thay đổi, xác định các điểm yếu, báo cáo/đối phó với sự cố an toàn thông

Trang 39

tin thông qua quá trình báo cáo, qui cách hoặc cấu trúc đã được xác định rõràng.

IX.2.3. Quản lý thay đổi với dịch vụ của bên thứ ba

Cần quản lý các thay đổi liên quan tới các điều khoản dịch vụ, bao gồm

cả duy trì và hoàn thiện các chính sách, quy trình, biện pháp quản lý an toànthông tin cần được quản lý Ngoài ra cần quan tâm đến các chỉ tiêu đối vớicác quy trình và hệ thống nghiệp vụ cũng như việc đánh giá rủi ro

Quy trình quản lý các thay đổi để dịch vụ của bên thứ ba cần phải đápứng:

a Tổ chức thực hiện việc thay đổi nhằm:

1) Cải thiện các dịch vụ hiện tại;

2) Phát triển các ứng dụng và hệ thống mới;

3) Thay đổi hoặc cập nhật các chính sách và thủ tục

của tổ chức;

4) Đưa ra các biện pháp mới để giải quyết các sự cố an

toàn thông tin và nâng cao tính bảo mật

b Thay đổi do bên thứ ba cung cấp dịch vụ nhằm:

1) Sự thay đổi và cải thiện hệ thống mạng;

2) Sử dụng các công nghệ mới;

3) Chấp nhận sử dụng những sản phẩm hoặc phiên bản

mới;

4) Các công cụ và môi trường phát triển mới;

5) Thay đổi về vị trí đặt các phương tiện;

6) Thay đổi nhà cung cấp

IX.3 Chấp thuận và quy hoạch hệ thống

Mục tiêu: Nhằm giảm thiểu các rủi ro do lỗi hệ thống

Việc yêu cầu chuẩn bị và quy hoạch hệ thống nhằm đảm bảo tính sẵn sàngđầy đủ khả năng và nguồn lực để đảm bảo các yêu cầu cho hệ thống hoạtđộng hiệu quả

Cần đưa ra các dự đoán về nhu cầu trong thời gian tiếp theo để có kếhoạch, tránh cho hệ thống bị quá tải

Các yêu cầu sử dụng các hệ thống mới cần được xây dựng, biên soạnthành tài liệu và kiểm tra trước khi được chấp thuận và đưa vào sử dụng

Trang 40

IX.3.1. Quản lý năng lực

Giám sát, điều chỉnh việc sử dụng các nguồn tài nguyên Xây dựng các

dự đoán về nhu cầu trong tường lai để đảm bảo các yêu cầu cho hệ thống hoạtđộng hiệu quả

Đối với mỗi hoạt động mới và đang diễn ra, cần xác định các yêu cầu

về năng lực Cần phải theo dõi và điều chỉnh hệ thống để đảm bảo hiệu quả

và nâng cao năng lực hệ thống Các biện pháp quản lý thích đáng nhằm pháthiện vấn đề về năng lực hệ thống cần được triển khai Việc dự đoán năng lựccủa hệ thống cần đáp ứng cần quan tâm đến các yêu cầu nghiệp vụ, hệ thống,hiện trạng cũng như định hướng phát triển của tổ chức

Cần quan tâm đến các nguồn lực cần thiết phải có cho thời gian hoạtđộng dài và có chi phí cao, vì vậy người quản lý phải giám sát việc sử dụngcác nguồn tài nguyên của các hệ thống quan trọng Ngoài ra, cần xác định xuhướng của việc sử dụng, đặc biệt là các liên quan tới các ứng dụng nghiệp vụhay các công cụ quản lý hệ thống thông tin

Người quản lý cần sử dụng những thông tin này để xác định và tránhkhỏi những khả năng tắc nghẽn, dựa trên những nhân sự chủ chốt có thể đểxem xét các nguy hiểm có thể xảy ra với dịch vụ hoặc ATTT để chủ động lập

Các cán bộ quản lý cần đảm bảo rằng các yêu cầu và chỉ tiêu cho việcchấp nhận hệ thống được định nghĩa, thống nhất, biên soạn thành tài liệu vàthử nghiệm một cách thận trọng Việc triển khai áp dụng các hệ thống mớihoặc nâng cấp chỉ được tiến hành khi đã có sự chấp thuận chính thức bằngvăn bản Các vấn đề sau cần được quan tâm trước khi đưa ra các chấp thuậnchính thức:

Định dạng
Số trang	91
Dung lượng	607,5 KB