1. Trang chủ
  2. » Luận Văn - Báo Cáo

Công nghệ thông tin các kỹ thuật an toàn quy tắc thực hành quản lý an toàn thông tin

12 12 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 12
Dung lượng 355,92 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

11.2.6 An toàn cho thiết bị hoạt động bên ngoài các trụ sở tổ chứcError!. 12.1.4 Phân tách các chức năng phát triển, kiểm thử và môi trường vận hànhError!. 15.1.1 Chính sách an toàn thôn

Trang 1

TCVN T I Ê U C H U Ẩ N Q U Ố C G I A

TCVN xxx:2015 ISO/IEC 27002:2013

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –

QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN THÔNG TIN

Information technology – Security techniques – Code of practice for infomation security

management

HÀ NỘI – 2015

Trang 2

2

Trang 3

Mục lục

Lời nói đầu

1 Phạm vi áp dụng 11

2 Tiêu chuẩn viện dẫn 11

3 Thuật ngữ và định nghĩa 11

4 Cấu trúc của tiêu chuẩn này Error! Bookmark not defined

4.1 Các mệnh đề Error! Bookmark not defined

4.2 Phân loại kiểm soát Error! Bookmark not defined

5 Chính sách an toàn thông tin Error! Bookmark not defined

5.1 Hướng dẫn quản lý an toàn thông tin Error! Bookmark not defined

5.1.1 Chính sách cho an toàn thông tin Error! Bookmark not defined

5.1.2 Soát xét lại chính sách an toàn thông tin Error! Bookmark not defined

6 Tổ chức của an toàn thông tin Error! Bookmark not defined

6.1 Tổ chức bên trong Error! Bookmark not defined

6.1.1 Vài trò và trách nhiệm đảm bảo an toàn thông tin Error! Bookmark not defined

6.1.2 Phân tách nhiệm vụ Error! Bookmark not defined

6.1.3 Liên lạc với những cơ quan/ tổ chức có thẩm quyền Error! Bookmark not defined

6.1.4 Liên lạc với các nhóm chuyên gia Error! Bookmark not defined

6.1.5 An toàn thông tin trong quản lý dự án Error! Bookmark not defined

6.2 Thiết bị di động và làm việc qua mạng Error! Bookmark not defined

6.2.1 Chính sách sử dụng thiết bị di động Error! Bookmark not defined

6.2.2 Làm việc từ xa Error! Bookmark not defined

7 An toàn nguồn nhân lực Error! Bookmark not defined

7.1 Trước khi tuyển dụng Error! Bookmark not defined

7.1.1 Thẩm tra Error! Bookmark not defined

7.1.2 Điều khoản và điều kiện tuyển dụng Error! Bookmark not defined

7.2 Trong thời gian làm việc Error! Bookmark not defined

7.2.1 Trách nhiệm của ban quản lý Error! Bookmark not defined

Trang 4

7.2.2 Nhận thức, giáo dục và đào tạo về an toàn thông tin Error! Bookmark not defined

7.2.3 Xử lý kỷ luật Error! Bookmark not defined

7.3 Chấm dứt hoặc thay đổi công việc Error! Bookmark not defined

7.3.1 Trách nhiệm kết thúc hoặc thay đổi hợp đồng Error! Bookmark not defined

8 Quản lý tài sản Error! Bookmark not defined

8.1 Trách nhiệm đối với tài sản Error! Bookmark not defined

8.1.1 Kiểm kê tài sản Error! Bookmark not defined

8.1.2 Quyền sở hữu tài sản Error! Bookmark not defined

8.1.3 Sử dụng hợp lý tài sản Error! Bookmark not defined

8.1.4 Trả lại tài sản Error! Bookmark not defined

8.2 Phân loại thông tin Error! Bookmark not defined

8.2.1 Phân loại thông tin Error! Bookmark not defined

8.2.2 Gắn nhãn thông tin Error! Bookmark not defined

8.2.3 Xử lý tài sản Error! Bookmark not defined

8.3 Xử lý thiết bị lưu trữ Error! Bookmark not defined

8.3.1 Quản lý các phương tiện lưu trữ thông tin di động Error! Bookmark not defined

8.3.2 Loại bỏ các phương tiện lưu trữ thông tin Error! Bookmark not defined

8.3.3 Vận chuyển phương tiện vật lý Error! Bookmark not defined

9 Kiểm soát truy cập Error! Bookmark not defined

9.1 Yêu cầu nghiệp vụ đối với quản lý truy cập Error! Bookmark not defined

9.1.1 Chính sách quản lý truy cập Error! Bookmark not defined

9.1.2 Truy cập mạng và các dịch vụ mạng Error! Bookmark not defined

9.2 Quản lý truy cập người dùng Error! Bookmark not defined

9.2.1 Đăng kí và hủy thành viên đăng kí Error! Bookmark not defined

9.2.2 Dự liệu truy cập người dùng Error! Bookmark not defined

9.2.3 Quản lý đặc quyền truy cập Error! Bookmark not defined

9.2.4 Quản lý các thông tin xác thực bí mật của người dùng Error! Bookmark not defined

9.2.5 Soát xét các quyền truy cập người dùng Error! Bookmark not defined

9.2.6 Hủy bỏ hoặc chỉnh sửa quyền truy cập Error! Bookmark not defined

Trang 5

9.3 Các trách nhiệm người dùng Error! Bookmark not defined

9.3.1 Sử dụng thông tin xác thực bí mật Error! Bookmark not defined

9.4 Quản lý truy cập và ứng dụng hệ thống Error! Bookmark not defined

9.4.1 Hạn chế truy cập ứng dụng và hệ thống Error! Bookmark not defined

9.4.2 Các thủ tục đăng nhập an toàn Error! Bookmark not defined

9.4.3 Hệ thống quản lý mật khẩu Error! Bookmark not defined

9.4.4 Sử dụng các chương trình tiện ích đặc quyền Error! Bookmark not defined

9.4.5 Quản lý truy cập tới mã nguồn chương trình Error! Bookmark not defined

10 Mã hóa Error! Bookmark not defined

10.1 Kiểm soát mã hóa Error! Bookmark not defined

10.1.1 Chính sách sử dụng các kiểm soát mã hóa Error! Bookmark not defined

10.1.2 Quản lý khóa Error! Bookmark not defined

11 An toàn môi trường và vật lý Error! Bookmark not defined

11.1 Các khu vực an toàn Error! Bookmark not defined

11.1.1 Vành đai an toàn vật lý Error! Bookmark not defined

11.1.2 Kiểm soát cổng truy cập vật lý Error! Bookmark not defined

11.1.3 Bảo vệ các văn phòng, phòng làm việc và vật dụng Error! Bookmark not defined

11.1.4 Bảo vệ chống lại các mối đe dọa từ bên ngoài và từ môi trườngError! Bookmark not defined

11.1.5 Làm việc trong các khu vực an toàn Error! Bookmark not defined

11.1.6 Các khu vực truy cập tự do, phân phối và chuyển hàng Error! Bookmark not defined

11.2 Đảm bảo an toàn trang thiết bị Error! Bookmark not defined

11.2.1 Bố trí và bảo vệ thiết bị Error! Bookmark not defined

11.2.2 Các tiện ích hỗ trợ Error! Bookmark not defined

11.2.3 An toàn cho dây cáp Error! Bookmark not defined

11.2.4 Bảo dưỡng thiết bị Error! Bookmark not defined

11.2.5 An toàn khi di chuyển thiết bị Error! Bookmark not defined

11.2.6 An toàn cho thiết bị hoạt động bên ngoài các trụ sở tổ chứcError! Bookmark not defined.

Trang 6

11.2.7 Xử lý an toàn và tái sử dụng các thiết bị Error! Bookmark not defined

11.2.8 Thiết bị người dùng không giám sát Error! Bookmark not defined

11.2.9 Chính sách màn hình sạch và bàn làm việc sạch Error! Bookmark not defined

12 An toàn thao tác Error! Bookmark not defined

12.1 Thủ tục và trách nhiệm thao tác Error! Bookmark not defined

12.1.1 Các thủ tục vận hành được ghi thành văn bản Error! Bookmark not defined

12.1.2 Quản lý thay đổi Error! Bookmark not defined

12.1.3 Quản lý năng lực Error! Bookmark not defined

12.1.4 Phân tách các chức năng phát triển, kiểm thử và môi trường vận hànhError! Bookmark

not defined

12.2 Bảo vệ khỏi phần mềm độc hại Error! Bookmark not defined

12.2.1 Kiểm soát chống lại phần mềm độc hại Error! Bookmark not defined

12.3 Sao lưu Error! Bookmark not defined

12.3.1 Thông tin sao lưu Error! Bookmark not defined

12.4 Lưu nhật ký và giám sát Error! Bookmark not defined

12.4.1 Lưu nhật ký các sự kiện Error! Bookmark not defined

12.4.2 Bảo vệ các thông tin nhật ký Error! Bookmark not defined

12.4.3 Nhật ký của người điều hành và người quản trị Error! Bookmark not defined

12.4.4 Đồng bộ thời gian Error! Bookmark not defined

12.5 Kiểm soát phần mềm điều hành Error! Bookmark not defined

12.5.1 Cài đặt phần mềm trên các hệ thống hoạt động Error! Bookmark not defined

12.6 Quản lý điểm yếu kỹ thuật Error! Bookmark not defined

12.6.1 Quản lý về các điểm yếu kỹ thuật Error! Bookmark not defined

12.6.2 Hạn chế cài đặt phần mềm Error! Bookmark not defined

12.7 Xem xét việc đánh giá các hệ thống thông tin Error! Bookmark not defined

12.7.1 Các kiểm soát đánh giá hệ thống thông tin Error! Bookmark not defined

13 An toàn truyền thông Error! Bookmark not defined

13.1 Quản lý an toàn mạng Error! Bookmark not defined

13.1.1 Các biện pháp kiểm soát mạng Error! Bookmark not defined

Trang 7

13.1.2 An toàn các dịch vụ mạng Error! Bookmark not defined

13.1.3 Phân tách mạng Error! Bookmark not defined

13.2 An toàn truyền tải thông tin Error! Bookmark not defined

13.2.1 Các chính sách và thủ tục truyền tải thông tin Error! Bookmark not defined

13.2.2 Các thỏa thuận truyền tải thông tin Error! Bookmark not defined

13.2.3 Thông điệp điện tử Error! Bookmark not defined

13.2.4 Các thỏa thuận bảo mật hay không tiết lộ Error! Bookmark not defined

14 Trưng dụng hệ thống, phát triển và bảo trì Error! Bookmark not defined

14.1 Yêu cầu đảm bảo an toàn cho các hệ thống thông tin Error! Bookmark not defined

14.1.1 Phân tích và đặc tả các yêu cầu về an toàn thông tin Error! Bookmark not defined

14.1.2 An toàn các dịch vụ ứng dụng trên mạng công cộng Error! Bookmark not defined

14.1.3 Bảo vệ dịch vụ ứng dụng khi giao dịch Error! Bookmark not defined

14.2 Bảo đảm an toàn trong các quy trình hỗ trợ và phát triển Error! Bookmark not defined

14.2.1 Chính sách phát triển an toàn Error! Bookmark not defined

14.2.2 Thay đổi thủ tục kiểm soát hệ thống Error! Bookmark not defined

14.2.3 Soát sét kỹ thuật của các ứng dụng sau khi thay đổi nền tảng hệ điều hành Error! Bookmark not defined

14.2.4 Hạn chế thay đối các gói phần mềm Error! Bookmark not defined

14.2.5 Các nguyên tắc về kỹ thuật của hệ thống an ninh Error! Bookmark not defined

14.2.6 Môi trường phát triển an toàn Error! Bookmark not defined

14.2.7 Phát triển thuê khoán Error! Bookmark not defined

14.2.8 Kiểm thử bảo mật của hệ thống Error! Bookmark not defined

14.2.9 Kiểm thử chấp nhận hệ thống Error! Bookmark not defined

14.3 Dữ liệu kiểm thử Error! Bookmark not defined

14.3.1 Bảo vệ dữ liệu kiểm thử Error! Bookmark not defined

15 Các mối quan hệ nhà cung cấp Error! Bookmark not defined

15.1 An toàn thông tin trong các mối quan hệ nhà cung cấp Error! Bookmark not defined

15.1.1 Chính sách an toàn thông tin trong các mối quan hệ nhà cung cấpError! Bookmark not

defined.

Trang 8

15.1.2 Đảm bảo an toàn trong các thỏa thuận cung cấp Error! Bookmark not defined

15.1.3 Chuỗi cung ứng sản phẩm, dịch vụ công nghệ thông tin và truyền thông Error!

Bookmark not defined.

15.2 Quản lý chuỗi dịch vụ giao hàng Error! Bookmark not defined

15.2.1 Giám sát và đánh giá các nhà cung cấp dịch vụ Error! Bookmark not defined

15.3 Quản lý thay đổi nhà cung cấp dịch vụ Error! Bookmark not defined

16 Quản lý sự cố an toàn thông tin Error! Bookmark not defined

16.1 Quản lý các sự cố an toàn thông tin và các cải thiện Error! Bookmark not defined

16.1.1 Trách nhiệm và thủ tục Error! Bookmark not defined

16.1.2 Báo cáo sự cố an toàn thông tin Error! Bookmark not defined

16.1.3 Báo cáo các điểm yếu an toàn thông tin Error! Bookmark not defined

16.1.4 Đánh giá và quyết định về sự cố an toàn thông tin Error! Bookmark not defined

16.1.5 Ứng phó sự cố an toàn thông tin Error! Bookmark not defined

16.1.6 Rút bài học kinh nghiệm từ các sự cố an toàn thông tin Error! Bookmark not defined

16.1.7 Thu thập chứng cứ Error! Bookmark not defined

17 Các khía cạnh an toàn thông tin của quản lý nghiệp vụ liên tục Error! Bookmark not defined

17.1 An toàn thông tin liên tục Error! Bookmark not defined 17.1.1 Lập kế hoạch an toàn thông tin liên tục Error! Bookmark not defined

17.1.2 Thực hiện an toàn thông tin liên tục Error! Bookmark not defined

17.1.3 Xác minh, xem xét và đánh giá an toàn thông tin liên tục Error! Bookmark not defined

17.2 Sự dư thừa Error! Bookmark not defined

17.2.1 Tính sẵn sang của phương tiện xử lý thông tin Error! Bookmark not defined

18 Sự tuân thủ Error! Bookmark not defined

18.1 Sự tuân thủ các yêu cầu pháp lý và hợp đồng Error! Bookmark not defined

18.1.1 Xác định các điều luật áp dụng và yêu cầu hợp đồng Error! Bookmark not defined

18.1.2 Quyền sở hữu trí tuệ Error! Bookmark not defined

18.1.3 Bảo vệ các hồ sơ Error! Bookmark not defined

18.1.4 Bảo mật riêng tư và bảo vệ thông tin cá nhân Error! Bookmark not defined

18.1.5 Qui định về quản lý mã hóa Error! Bookmark not defined

Trang 9

18.2 Xem xét về an toàn thông tin Error! Bookmark not defined

18.2.1 Xem xét độc lập về an toàn thông tin Error! Bookmark not defined

18.2.2 Sự tuân thủ các tiêu chuẩn và chính sách an toàn Error! Bookmark not defined

18.2.3 Đánh giá sự tương thích kỹ thuật Error! Bookmark not defined

Thư mục tài liệu tham khảo Error! Bookmark not defined

Trang 10

TCVN xxx:2010

Lời nói đầu

TCVN xxx:2015 được xây dựng trên cơ sở chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27002:2013 của Tổ chức tiêu chuẩn hóa quốc tế ISO và Ủy ban kỹ thuật điện quốc tế IEC

TCVN xxx:2015 do Viện Công nghệ thông tin, Đại học Quốc gia Hà nội biên soạn, Bộ Thông tin và Truyền thông đề nghị,Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ tiết lộ theo Quyết định số

Trang 12

T I Ê U C H U Ẩ N Q U Ố C G I A TCVN XXX:2015

Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin

Information technology – Security techniques – Code of practice for infomation security management

1 Phạm vi áp dụng

Tiêu chuẩn này đưa ra hướng dẫn cho các tiêu chuẩn an toàn thông tin cho tổ chức và thực hành quản

lý an toàn thông tin bao gồm các lựa chọn, thực hiện và quản lý các kiểm soát có tính đến môi trường rủi ro an toàn thông tin của các tổ chức

Tiêu chuẩn này được thiết kế để được sử dụng bởi các tổ chức có ý định:

a) chọn lựa các kiểm soát trong quá trình thực hiện một hệ thống quản lý an toàn thông tin dựa trên tiêu chuẩn ISO/IEC 27001; [10]

b) thực hiện các kiểm soát an toàn thông tin được chấp nhận chung;

c) phát triển các hướng dẫn quản lý an toàn thông tin của riêng mình

2 Tiêu chuẩn viện dẫn

Tiêu chuẩn này tham chiếu …

Các tài liệu sau đây, toàn bộ hoặc một phần, được tham chiếu trong tài liệu này và là không thể thiếu cho các ứng dụng của nó Đối với tài liệu ghi thời gian, chỉ áp dụng các phiên bản được trích dẫn Đối với tài liệu không ghi thời gian, các phiên bản mới nhất của các tài liệu tham chiếu (bao gồm cả các sửa đổi) được áp dụng

ISO / IEC 27000, Công nghệ thông tin - Kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

3 Thuật ngữ và định nghĩa

Đối với các mục đích của tài liệu này, các thuật ngữ và định nghĩa trong ISO/IEC 27000 được áp dụng

Ngày đăng: 17/03/2021, 19:11

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w